avril, 2010

Deux chercheurs de l’Université de Princeton ont mis au point une technique de révélation d’informations optiques noyées dans du bruit. Le « secret » tiendrait dans l’utilisation d’un cristal non linéaire polarisé progressivement, faisant en sorte que le bruit ainsi « ajouté » joue le rôle d’agent de contraste. La netteté des informations s’améliore progressivement, puis se dégrade passé un certain point. En l’absence d’optique spéciale, il est absolument impossible de distinguer quoi que ce soit dans le milieu translucide contenant l’information.

Cette technique, expliquent les deux chercheurs, pourrait déboucher sur une multitude d’applications, dont l’amélioration de la vision dans des milieux liquides turbides –la pêche en eau trouble en d’autres termes-, l’imagerie à faible niveau d’éclairage etc. Celle, bien sûr, qui intéresserait le plus le monde de la sécurité informatique c’est l’utilisation de cette technique en stéganographie. En développant un polycarbonate semi-transparent et diffusant la lumière, il serait possible de produire des CD-Rom illisibles avec des lecteurs conventionnels mais dont le contenu apparaîtrait avec des périphériques dotés d’une optique à « cristal non linéaire polarisé ». si le support peut en outre être capable de supporter une gravure traditionnelle chargée de « donner le change » lors d’un contrôle, ces disques à contenu secret pourraient bien connaître un certain succès auprès des amateurs de films d’espionnage.

La technique est également utilisable pour masque un discret tatouage d’identification qui n’apparaîtrait que sous l’œil lunetté et polarisé d’un inspecteur.

L’Isaca (Information Systems Audit and Control Association ) publie une rapide étude de 4 pages réalisée par IDC, selon laquelle, sur un panel de 1800 entreprises US, 45 % d’entre elles pensent que les risques liés aux technologies Cloud sont plus importants que les économies escomptées (contre 17% qui pensent le contraire et 38% qui estiment que les deux sont équilibrés). L’engouement est d’ailleurs relativement mitigé, puisque seulement 15 % des personnes interrogées envisagent de « cloudifier » des pans non critiques de leur infrastructure, et 10 % pensent confier aux « nuages » des services d’importance stratégique… proportion à comparer aux 26% qui n’envisagent pas d’externaliser quoi que ce soit, aux 18% qui n’ont pas finalisés leurs plans et aux 30 % qui ne connaissent pas les souhaits de la Direction en la matière.

Cette réticence –ou prudence face à un mode de fonctionnement qui n’a pas encore fait ses preuves, selon l’Isaca-, serait notamment provoqué par la crainte de risques de piratage des installations « dans le nuage », risques dressés par le Cloud Security Alliance en mars dernier. S’ajoute à ces peurs les contraintes légales, normatives ou d’agrémentation qui peuvent disparaître en cas de sous-traitance d’une fonction stratégique, ou lorsque le sous-traitant ne peut garantir un niveau de service conforme aux exigences. Le risque, contrairement aux processus métiers, est quelque chose qui ne se divise pas, mais qui s’additionne.

Si l’affaire des « fuites de la HSBC » et de ses conséquences politico-fiscales ont remué quelques gros salaires Français, un « précédent » survenu en Allemagne pourrait redonner un peu de cœur au ventre à tous ceux pour qui le bouclier fiscal ne suffit pas : un marchand de biens immobiliers du Bad Homburg, épinglé par le fisc germanique il y a plus d’un an pour avoir « oublié » quelques économies dans une banque du Lichtenstein, a décidé de poursuivre l’établissement et de demander la modique somme de 7,3 millions d’Euro en dommages et intérêts, soit le montant de l’amende imposée par l’administration Fédérale. Demande qu’un juge de ce même Lichtenstein a considéré comme légitime, donnant gain de cause à cette malheureuse victime de l’impéritie des employés voleurs de fichiers.

Mais, loin de se considérer comme dédommagé, nous apprennent le TagesSpiegel, le Zeit ou le HandelsBlatt, voilà que ce noble défenseur du bas de laine décide de porter l’affaire devant une autre instance, en augmentant au passage le mondant de son « dol moral ». Cette fois, c’est 13,7 millions d’Euros qu’exige cette victime des contributions directes, en d’autres termes le montant de l’imposition elle-même… requête qu’avait déjà rejeté le premier jugement. Même avec les honoraires des avocats, le pécule restant demeurera confortable… si et seulement si le jugement est à nouveau prononcé en faveur de ce promoteur prometteur mais pas prêteur.

La morale de cette histoire, c’est qu’il n’y a strictement rien de morale dans les histoires de fuite d’information. Le Gouvernement Fédéral –l’affaire avait indigné la presse à l’époque- s’est rendu coupable de complicité de recel et de complicité de piratage en acceptant ces fichiers volés et en rétribuant l’auteur de cette fuite d’information, lui-même coupable d’intrusion dans un système… fusse-t-il étranger. L’ Anstalt qui possède la banque de « blanchiment » se montre moins blanche que l’argent qu’elle accepte de cacher. Le propriétaire du compte, quant à lui, ne peut être reconnu innocent, la fraude ayant été prouvée et sanctionnée par l’Autorité financière de son pays. Le juge chargé de statuer sur la plainte, enfin, a purement et simplement légalisé l’évasion fiscale en estimant le fraudeur moins « coupable » que l’ Anstalt.

Cet appel, s’il se conclut en faveur du plaignant, pourrait bien inciter les fonctionnaires de Bercy à envoyer directement la facture de l’affaire Falciani au siège de la HSBC de Genève. Cela aurait au moins l’avantage d’éviter les frais de justice, toujours inutiles à supporter en ces temps de crise et de grande restriction. Cela pourrait également inciter les banques des pays situés légèrement en dehors de la CEE à intensifier leurs politiques de sécurité apparemment déplorables…. Comparées à celles en usage à l’intérieur de l’Hexagone. Car des fuites d’information provenant d’établissements financiers Français, est-ce imaginable ?

Qu’est-ce qui fait la « clouditude »d’un cloud ? sa nébulosité ? Question aristotélicienne sur l’essence de l’informatique en nuage posée sur Devcentral. Réponse : son infrastructure dynamique… entre autres

Par le miracle des technologies Web 2.0, le papillon Microsoft gazouille désormais sur Twitter à l’adresse>@MSFTSecResponse . Prudente,  l’équipe sécurité précise qu’elle ne répondra probablement pas à toutes les questions …

Mavituna security vient récemment d’annoncer la sortie d’une version « communautaire et gratuite » de leur scanner Netsparker. Il s’agit d’une version allégée du programme commercial, mais déjà capable de renseigner les Webmestres de tous niveaux sur les trous de sécurité les plus évidents relevés notamment après un premier balayage automatique. Le mode « pour les nuls » est déjà capable de repérer les fenêtres de login en mode http non protégé, les XSS potentiels, les inclusions de fichiers probables, les chemins bizarres et autres divulgations d’information souhaitées ou involontaires (adresses email notamment). Quelques séquences vidéo montrent comment mieux utiliser l’outil en question et tirer de plus sérieux enseignements techniques. Même employé par des non-techniciens, ce logiciel peut guider l’usager dans les méandres des recommandations Owasp et dans la hiérarchisation des failles de sécurité les plus courantes.

Vincent Hinderer raconte brièvement, sur le blog du Cert Lexsi, comment une très probable erreur d’administration de routeur en Chine a provoqué, par le biais de BGP, une avalanche d’erreurs de routage qui a fini par contaminer pratiquement le monde entier. Si le problème n’avait pas rapidement été jugulé grâce à la rapidité de réaction des réseaux d’alerte, le routage de l’Internet aurait pu connaître un sacré… capharnaüm. A été évité également une nouvelle vague de rumeurs sur d’éventuelles « grandes cyber-manœuvres Chinoises » destinées à tester « la résistance des réseaux du monde occidental ». Le problème a tout de même duré près d’une vingtaine de minutes et prouvé l’efficacité des canaux de communication d’alertes.

Ce genre de mésaventure n’est pas sans rappeler les « blackout » d’Internet provoqués autrefois lorsqu’une « erreur de bande » de la part d’un employé de NSL réduisait en cendres tout le domaine .com, et autre accidents classés dans la catégorie « çà n’arrive jamais ».

11 bulletins, 5 « critiques », 25 failles au total : Microsoft renoue avec les « patch Tuesday » gras et fournis nous apprend le bulletin du MSRC. L’on remarquera au passage la promesse de « clôture » des bulletins 981169 et surtout 977544, un DoS possible par protocole SMB. Ces « failles SMB » feront d’ailleurs l’objet de multiples correctifs dans les mois à venir, résultat de l’impressionnant travail de fuzzing mené par Laurent Gaffié qui aura permis l’élimination de trous de sécurité datant pour certains de la haute époque OS/2 Lan Manager.

Notons également au passage les faire-part de décès suivant :

– XP SP2, qui disparaîtra de la liste des noyaux supportés dès le 13 juillet prochain –le passage au SP3 est donc nécessaire-.

– Le support étendu de Windows 2000 s’éteindra doucement ce même jour. Plus le moindre bulletin de sécurité ou de mise à jour ne devra être attendu, la famille aimante du défunt pourra toujours tenter d’embaumer les rares survivants dans l’enceinte protectrice d’une VM isolée.

– Le support de Vista RTM rejoindra le Walhalla des patchs Tuesday ce même jour, et son proche héritier, Vista SP1, ne lui survivra pas plus d’un an. Date d’expiration prévue, le 12 juillet 2011. Le passage au SP2 devrait permettre de repousser l’agonie encore quelques temps.

C’est Graham Clueley, le sémillant DirCom de Sophos, qui a levé le lièvre : Le gouvernement Britannique vient d’accroître les pouvoirs de l’ ICO (Information Commissioner’s Office). L’une des conséquences de cette décision est de renforcer les mesures du Data Protection Act, qui jusqu’à présent condamnait les négligences ayant entraîné une perte de données à caractère personnel d’une amende de 5000 Livres Sterling. Et le « facteur multiplicateur » cette fois est de 100 : une clef USB égarée sur le parking d’un pub, un document « top secret » brandi par un ministre en visite au 10 Downing Street, un routeur WiFi « Wep Protected » en plein cœur de la City coûtera 500 000 £ maximum, soit un peu moins de 670 000 Euros.

Cette mesure extrême ne peut que faire sourire les citoyens Français, à l’abri de tels excès perpétrés par une administration trop zélée et prompte à foudroyer le contribuable. Car, chez les Enfants de Clovis, contrairement à ce qui se passe au pays de Guillaume Tell ou de Robin des Bois, nulle banque n’égare de fichier client ou se le fait dérober pour finir un jour entre les mains d’un receleur ou d’un Ministre des Finances étranger. Aucun militaire n’utilise la moindre clef USB (il ne va d’ailleurs jamais au « pub »). Jamais, ô grand jamais, un fonctionnaire ou une Administration dans son ensemble, ne laisse échapper le plus petit octet. Pas une seule fois un Ministre ne parlerait à un autre Ministre sans utiliser un téléphone chiffré ou n’oserait s’épancher sur Internet. D’ailleurs, compte tenu du souci de transparence dont font perpétuellement preuve nos édiles, cela se saurait très rapidement.

La faille « par défaut » (ou de conception) du format PDF mise à jour par Didier Stevens la semaine dernière continue à faire couler beaucoup d’encre. L’exploit fonctionne aussi bien sur Acrobat Reader que sur Foxit et permet de lancer n’importe quel exécutable.

Adobe de son côté envisage d’éliminer rapidement cette « feature » qui a rapidement tourné au « bug ». En attendant, conseil est donné à tous les administrateurs et responsables sécurité de déployer rapidement un « .reg » dans HKCU, selon la recette indiquée sur son site. A l’heure où nous rédigeons ces lignes, nulle réaction du côté de Foxit, entreprise qui n’a jamais brillé par son sens de la communication en matière de sécurité.

Un malheur n’arrivant jamais seul, l’on peut se plonger avec intérêt dans le courrier des lecteurs du Sans, intitulé ce jour « Camouflage de JavaScript dans un PDF : passé les bornes, y’a plus de limite ». Comme l’explique le rédacteur du « journal intime » du Sans, cette méthode est assez efficace pour que l’attaque en question ne soit détectée que par 6 des AV sur les 39 que compte VirusTotal.

Pour achever ce petit voyage au pays des vecteurs d’attaque « Adobe All right reserved » (une valeur presque aussi sûre que les exploits Internet Explorer), l’on peut lire l’article de l’équipe sécurité de Sourcefire intitulé « principes de base de l’analyse des fichiers PDF », article qui, fait abondamment référence aux travaux de Didier Stevens.