avril, 2010

Un rapide et discret papier de Joanna Rutkowska annonce la naissance d’un nouveau système d’exploitation baptisé QubesOS, fabriqué sur une base Xen (sur host Fedora), une interface X et des noyaux Linux. Peu d’informations techniques sur ce développement. Les applications s’exécutent chacune dans des VM isolées les unes des autres et s’affichent sur l’écran en mode « seamless ». Joanna Rutkowska laisse espérer une intégration prochaine des noyaux et applications Windows. Cette approche rappelle par certains aspects celle de Microsoft avec le projet Midori. Est-ce un noyau-hyperviseur, est-ce une architecture à micronoyau ? la différence est subtile.

Les instructions d’installation sont détaillées sur un Wiki dédié au projet

Des conférences les plus suivies, ce fut probablement celle traitant des différentes plateformes européennes de signalisation qui fut la plus prisée. Non seulement parce que les animateurs-participants ont pu immédiatement balayer toute ambiguïté sur les accusations de « cyber-délation » qui auraient pu entacher ces initiatives, mais également parce que chaque instance présente a pu présenter objectivement des résultats chiffrés des différentes initiatives.
L’idée d’une plateforme de signalisation n’est d’ailleurs pas sans rappeler celle établie depuis des années par le CSI-FBI et qui permet de dresser aux Etats-Unis un bilan annuel de l’évolution de la cyberdélinquance et de la fraude en ligne. A l’origine, explique Radomir Jansky, officier de police détaché auprès de la Direction Générale Justice et Liberté Sécurité de la Commission Européenne à Bruxelles, les plateformes destinées à recueillir les cris d’alarmes des internautes se limitaient à une simple boîte email. Boite rapidement noyée sous un déluge de réclamations abusives et de véritable spam. Rapidement, ces « boîte à réclamation » prennent la forme d’un formulaire à remplir sur une page Web, mécanisme limitant très fortement l’intrusion de « robots » et décourageant les amateurs de dénonciations abusives ou non justifiées. Qu’ils s’agissent des sites de signalisation des fournisseurs d’accès (celle de l’AFA notamment) ou des services de police (Pharos de l’OCLCTIC en France, FCCU de Belgique), ces portails permettent aux usagers d’attirer l’attention des autorités sur les abus manifestes de certains truands du net : grands spammeurs, flibustiers des Scam Nigérians, sites roses directement accessibles aux mineurs, web de phishing etc.
Le résultat est-il à la hauteur des efforts ? Difficile à dire. En 2008, Pharos « pesait » 12419 signalements, qui se sont traduits par 434 transmissions, en France vers des services d’enquête, et 617 transmissions à Interpol. C’est peu… c’est déjà beaucoup. Comment s’explique l’abandon de plus de 90% des cas signalés ? Par la redondance des signalisations, d’une part. Un site de phishing, une campagne de spam sentant l’escroquerie à plein nez provoque souvent une vague de dénonciations, malgré les presque 10 pages de questionnaire que doivent remplir les plaignants. Par aussi, il faut bien l’admettre, l’extraterritorialité des présumés coupables, qui se trouvent bien souvent sous une juridiction étrangère à l’Europe. Le temps passe, les écarts se creusent. Un an plus tard, en 2009, Pharos enregistre 52 353 signalements. 6110 (un peu plus du dixième) sont transmis vers des services d’enquêtes, dont « 315 pour action ». 1794 sont renvoyés à Interpol. D’un point de vue typologique, 50 % des signalements portent sur des escroqueries, résultat peu étonnant si l’on recoupe ces chiffres avec ceux de l’AntiPhishing Working Group ou des différentes statistiques des éditeurs d’A.V. sur l’évolution du spam. Près de 20% sont classées dans la catégorie « atteintes sur les mineurs » (généralement des sites « roses » sans limitation d’accès), le reste des plaintes se répartissant de manière pratiquement semblable dans les catégories « xénophobie », « divers » et «signalisation sans suite par absence d’infraction ». Les statistiques données par la FCCU (12534 signalisations en 2008 dont 8953 infractions, le tout traité avec un effectif de fonctionnaires relativement faible) fournissent des proportions comparables.
Reste que, tant dans les faits que dans l’esprit des internautes, la différence entre un « dépôt de plainte » formel et la dénonciation d’une entreprise manifestement délictueuse n’est pas parfaitement claire. Et la notion devient encore plus floue lorsqu’il s’agit de la plateforme de l’AFA, par exemple, dont les centres d’intérêts sont encore plus restreints, plus précis que ceux des polices d’Europe : pornographie infantile, incitation à la haine raciale, contenus choquants accessibles aux mineurs, crimes ou délits contre les personnes, terrorisme et fabrication de bombes, provocation au suicide et apologie de crime de guerre ou contre l’humanité. Les expériences de petit chimiste mis à part, l’on retrouve là les limitations déontologiques qui valaient un bannissement IP au coupable d’un tel crime à l’aube de l’IP Universitaire, au début des années 80. Mais là encore, le message risque de ne pas passer. De plus en plus, l’Exécutif Européen (voir les projets d’Acta en la matière) ou les dispositions légales Françaises (à commencer par Hadopi) donnent aux FAI une image de « délateurs en chef » ou s’amalgament à la fois la lutte contre une forme réellement dangereuse de cyberdélinquance et l’obligation d’agir pour la préservation des intérêts économiques d’un quarteron de marchands de variétés. Une situation qui, au fil des années à venir, risque de biaiser un peu plus la confiance que les usagers du Net peuvent témoigner envers les plateformes en question.

Et l’Europe, dans tout çà ? Elle compte, elle compare, elle collationne et surtout elle incite les différents pays membres à communiquer les résultats de leurs analyses. Ce point de collationnement s’appelle I-Cros, pour Internet Crime Reporting Online System. Plus qu’un référentiel pour les différentes polices de l’Union, I-Cros sert essentiellement à dresser des statistiques, des portraits le plus précis possible sur l’état de la cyberdélinquance en ligne. Des chiffres déjà délivrés par 13 Etats possesseurs de plateformes : Belgique, Chypre, République Tchèque, Estonie, Finlande, France, Irlande, Italie (police d’Etat et Carabinieri), Lituanie, Lettonie, Royaumes Unis… l’Allemagne ne possédant qu’un rôle d’observateur. l’Espagne, l’Estonie, la Hongrie, la Pologne, les Pays-Bas, le Portugal et la Slovaquie devraient rapidement rejoindre le groupe grâce à une aide au moins logistique venant d’Europol (l’ISEC, programme « prévenir et combattre la criminalité », dispose d’un trésor de guerre de 85 millions d’euros pour le budget 2010).

Le 4ème Forum International sur la Cybercriminalité qui s’est tenu à Lille du 31 mars au 1er avril, marquait le début d’une ère nouvelle. Ce cycle de conférence orchestré par la Gendarmerie Nationale, dont l’accès était autrefois réservé à un « club d’initiés », s’est transformé en vitrine de la politique sécuritaire des différents pays d’Europe, en plateforme de « sensibilisation » à l’attention notamment des responsables d’entreprises et patrons Sécurité des grandes administrations et entreprises moyennes et artisanales, pour la plupart locales.
Comme par le passé, l’on pouvait noter une forte présence des frontaliers, entrepreneurs et fonctionnaires Belges et Luxembourgeois, sans oublier la participation de cybergendarmes provenant des différents pays d’Europe physique. Au total, plus de 2200 visiteurs et orateurs, soit une fréquentation doublée par rapport à l’an passé.
Mais contrairement aux trois années précédentes, nul Ministre de Tutelle n’était présent pour ouvrir la « plénière » d’ouverture. Absence compensée par un discours transmis et lu par Jean-Michel Bérard, Préfet de la région Nord-Pas de Calais. Des paroles attendues, sans surprise aucune, appelant à renforcer la collaboration des services de police et la circulation de l’information entre les différents pays d’Europe, et insistant sur la montée en puissance de la cybercriminalité en général et de la pédopornographie en particulier. Une croissance du « mal » qui justifie à elle seule toute l’acceptation de la Loppsi (alias Lopsi 2) et du bien fondé des blocages rapides des sites considérés comme dangereux par les forces de l’ordre. Les historiens apprécieront. Aucun journaliste présent à ce moment n’a pu s’empêcher de relever l’argument définitif de Monsieur le Ministre de l’Intérieur« il est urgent d’agir l’efficacité est dans le pragmatisme, il ne faut pas renoncer parce que la solution n’est pas absolument parfaite».

C’est donc sur l’air de « la patrie Internet est en danger » qu’enchaînait le Général de gendarmerie Marc Wattin-Augouard : « Internet ne doit pas être le Far West : il faut un protecteur du faible contre le fort. La cybercriminalité n’est pas la prolongation d’une criminalité classique, elle est en rupture profonde la cyberguerre a commencé. Il faut adapter notre dispositif à la cyberdéfense, le droit international doit évoluer ». Far West, Cyberguerre justifiant toutes les réformes… autant de termes légèrement plus nuancés par d’autres spécialistes de la question, Anssi en tête, pour qui la cyberdélinquance se manifeste tout au plus par des successions de cybertattaques d’origines mafieuses. Mais de cyberguerre, point. Peut-être, à la rigueur, a-t-on assisté à de telles escarmouches quasi militaires à l’occasion du conflit Russo-géorgien, difficiles à prouver d’ailleurs. Quoiqu’il en soit, ce sont là des termes anxiogènes, des épouvantails agités par des journalistes en mal de sensationnel … peut-on même parfois s’entendre dire.
Difficile de se retrouver dans cette dialectique à géométrie variable. Les choses étaient parfois plus claires au fil des « ateliers », exposés-tables rondes organisés autours de thèmes précis. Exception faite de quelques débats non-contradictoires (tels que celui, très convenu, sur la « lutte sur les téléchargements illégaux »), les exposés dressaient un tableau objectif de la cyber-délinquance début 2010.

Il avait déjà fait beaucoup de bruit en juin dernier. Cette fois, Keykeriki, après avoir intercepté et spoofé les claviers sans fil travaillant sur 27 MHz, s’attaque aux presque hyperfréquences et intercepte le babil des claviers Logitech et Microsoft sur 2,4 GHz… claviers aux communications pourtant protégées par un circuit intégrés spécialisé AES 128 bits, mais qui, chez Microsoft notamment, souffre d’une étonnante erreur d’intégration. Mais il y a pire, précisent les chercheurs de Remote Exploit. Avec notamment les claviers Fujitsu-Siemens, pour qui le mot chiffrement ne doit exister ni en Allemand, ni en Japonais. Et que dire des claviers génériques….

La nouvelle version de Keykeriki est en fait… strictement identique à l’ancienne. Ce qui veut dire que les possesseurs de la platine V1 peuvent, en ajoutant un transceiver Nordic Semiconductor et un nouveau firmware, lire directement ce que dactylographient leurs voisins. Il est même, dans des conditions plus restreintes, possible d’injecter des séquences de touches à l’insu de ce même voisin.

Cette recherche s’apparente techniquement aux travaux du THC et autres chercheurs qui utilisent des radios à définition logicielle. A une nuance près : pour des raisons de simplicité de mise en œuvre, les circuits Nordic Semiconductor traitent en partie le signal (jusqu’au layer 2). Une technique purement SDR, telle que celle mise en œuvre par l’école polytechnique de Lausanne, traite la totalité de l’information par logiciel. La partie radio se contente de récupérer le signal quelque soit sa fréquence, l’abaisser afin que son contenu soit compatible avec un processeur de signal, qui, à son tour, livrera le fruit de son traitement (principalement des FFT) au microprocesseur de l’ordinateur.

Après la démonstration de hack du Dect (oh combien technique et difficilement réalisable sans microscope à balayage), voici un autre type de pêche à l’information, bien plus facile et qui peut rapporter gros : la pêche à la photocopieuse. Article généralement placé en « location bail » ou en location pure, le photocopieur achève souvent ses jours revendu aux enchères, sans toujours passer par les mains expertes et prudentes de professionnels. Si ce détail était relativement secondaire il y a une dizaine d’années, la chose devient de plus en plus critique de nos jours, ces appareils intégrant de plus en plus des disques durs contenant des années d’archives, d’images de documents copiés. C’est un quotidien Canadien non spécialisé, le Star de Toronto, qui s’en émeut. Tous les photocopieurs ne finissent pas à la casse, et même les modèles utilisant un mécanisme de chiffrement sont susceptibles de devenir très bavards sous la torture d’un bon hacker. Ceci sans omettre le fait qu’une « Xerox » moderne est aussi généralement un périphérique pouvant être raccordé à un réseau, avec les risques d’intrusion que cela comporte.

Un seul serait mortel, pour I.E. 6 et 7. Les rustines « out of band » concernent généralement les failles ayant fait l’objet d’une publication d’exploit et d’une utilisation active par des malwares… ce qui est précisément le cas de l’alerte 981374. Alerte qui, par la magie des transmutations des failles en rustine, prend l’immatriculation MS10-018. Comme il s’agit d’un problème affectant Internet Explorer, l’un des maillons les plus prolifiques dans la chaine de production de bugs Microsoft, l’équipe du MSRC prévient ses lecteurs qu’elle en a profité pour caser dans le lot neufs autres correctifs de moindre criticité qui étaient initialement attendus pour la livraison du 13 avril prochain.

Le « bug mortel » ne concerne que les éditions 6 et 7 du navigateur. Cependant, puisque d’autres correctifs colmatent des trous de sécurité I.E.8, MS10-018 concerne absolument tout le monde.

A lire à ce sujet le papier de Craig Schmugar de l’Avert, qui dresse quelques statistiques précisément sur la présence détectée de la CVE-2010-0806, celle-là même qui est colmatée par la rustine en question. Le moins que l’on puisse dire, c’est que le danger n’est pas nul.

Ce Patch Tuesday hors calendrier pour Microsoft semble avoir déclenché une véritable épidémie. Le Sun Developer Network signale l’existence d’une nouvelle version de Java répondant au nom transparent de 1.6.0_19-b04 (b signifiant « build » nous précise le bulletin).

Chez Apple, le nombre de défauts que corrige Mac OS X v10.6.3 est tel qu’il faudrait un roman pour les décrire tous. Les versions stables sont disponibles sur le site de l’éditeur, et trois articles de la base de connaissance fournissent quelques très maigres informations.

VMware, de son côté, émet trois bulletins d’alertes. L’un d’eux est entièrement nouveau, il s’agit du VMSA-2010-0005 portant sur Virtual Center 2.5 et 2.0.2, VMware Server 2.0.2 et 1.0.10, ainsi que ESX 3.5 et 3.0.3. Deux autres bulletins plus anciens ont été mis à jour, les VMSA-2009-0016.5 et VMSA-2010-0002.1. Bonne semaine pour les responsables de déploiement de patchs.