mai, 2010

Jusqu’à présent, le piratage d’un réseau quantique (ou plus exactement du brin QDK d’un réseau quantique) reposait sur des défauts matériel et non sur le principe de fonctionnement même du réseau. Ainsi l’attaque par « aveuglement » de Bob et modification de son régime de fonctionnement. Trois chercheurs de l’Université de Toronto, Feihu Xu, Bing Qi et Hoi-Kwong Lo, sont parvenus à monter une véritable attaque «WIM » (Woman in the middle, Eve étant pas définition et par construction une femme). Le principe de l’attaque est relativement complexe. Il nécessite, comme le décrit avec précision l’article des trois universitaires, l’installation d’un point d’interception situé près des installations d’Eve.

Lors de la création de la clef quantique (QDK), Bob envoie une double impulsion laser. Elle sert non seulement à synchroniser la transmission et d’autre part à générer le photon unique qui sera renvoyé vers Bob. Le coup de « flash laser » est tout d’abord modulé en phase par Eve, puis atténué jusqu’à obtenir le « photon unique » qui servira à la construction de la clef quantique. Ca, c’est ce qui se passe en temps normal. Mais lors de l’attaque imaginée par les chercheurs de l’Université Canadienne, Eve intercepte ce flash laser et lui fait subir un léger décalage temporel. Décalage qui aura pour conséquence de modifier la modulation de phase effectuée par Alice. S’en suit alors une série de comparaisons de la phase du signal par Eve, qui renvoie ou non, selon le résultat, un signal à destination de Bob. L’élégance de la solution consiste surtout à respecter le « Qbit error rate » moyen constaté sur de tels réseaux et imposé par le protocole BB84. Ce Qber est généralement spécifié aux environs de 20% (taux d’erreur généré par le bruit et autres accidents de transmission). Le taux d’erreur généré par l’intervention d’Eve lors de son attaque en « réallocation de phase », précisent les chercheurs, se situe aux environs de 19% et quelques dixièmes, et demeure donc non détecté par Bob. Le réseau semble fonctionner normalement.

L’attaque a été modélisée sur des équipements commerciaux, insistent les trois chercheurs. Et plus précisément sur une plateforme ID Quantique, fabriquée par l’entreprise Helvétique du même nom. Les contremesures permettant d’éviter une telle interception sont d’ores et déjà mises au point, consistant notamment en un resserrement des taux d’erreur admis et un meilleur contrôle des écarts temporels séparant les deux impulsions émises par Bob (mettant ainsi en évidence le décalage temporel induit). Eve, de son côté, pourrait combiner plusieurs types d’attaques avec pour première conséquence l’obtention d’un Qber plus faible encore, et donc plus difficile à détecter.

Google fait coup double en publiant une nouvelle version « stable » de son navigateur Chrome, et d’autre part en ouvrant un service encore expérimental de chiffrement des requêtes effectuées sur son moteur de recherche.

La sortie de Chrome 5 n’est pas révolutionnaire en soi, le programme étant largement et depuis longtemps diffusé en préversion. C’est cependant la première fois qu’une version finale de Chrome est disponible en même temps sous Windows, OS/X et Linux.

La « VPNisation » des requêtes Google, en revanche, provoque quelques soulèvements de sourcils dans la communauté des Webmestres. Si cette fonction limite les risques d’intelligence économique par simple examen des requêtes d’une entreprise (Google conserve son « droit de regard » par construction), elle supprime également toute trace de « référant »… ce qui n’arrange pas la bonne tenue des statistiques des sites visités.

McAfee vient d’annoncer son intention d’acquérir Trust Digital, spécialiste de l’administration/sécurisation des parcs de téléphones « intelligents ». Le montant de la transaction n’a pas été précisé, la finalisation de l’accord devant s’effectuer fin juin. Trust Digital commercialise une plateforme d’administration destinée à étendre les politiques de sécurité de l’entreprise aux flottes de mobiles (iPhone, Android, Windows Mobile, Symbian, Palm…). En toute logique, les produits et techniques de Trust Digital devraient être intégrés dans un premier temps au sein de la gamme Mobile Protect /Mobile Security destinée aux grandes entreprises, opérateurs et fabricants.

47 secondes de contemplation sur la page de garde Google contre 11 secondes en temps normal… le logo « pac-man » affiché vendredi 20 mai par le moteur de recherche, peut-on lire sur le blog Rescue Time, aurait provoqué la dilapidation de plus de 4,8 millions d’heures de travail. Et encore ne tient-on pas compte des internautes qui ont immédiatement compris que ce pac-man était « jouable » et parfaitement fonctionnel. Même au Smic, tout ce temps perdu représente une somme digne du PIB d’un petit état Africain et pourrait être placé en tête du hit-parade des attaques en déni de service les plus fructueuses du siècle. Bien sûr non détecté par les principaux antivirus et firewalls, cette pernicieuse attaque en CWoT (Complete Wast of Time *) risque de donner des idées encore plus dangereuses aux redoutables pirates nihilistes qui cherchent à ruiner l’économie internationale. De source bien informée et généralement digne de foi, l’on aurait même entendu parler de quelques projets visant spécifiquement le tissu industriel Français :

– Un manuel de montage de cocottes en papier sur la page d’accueil de Service Public. Fr

– Un mini-Monopoly interactif sur impots.gouv.fr

– Une double attaque Arkanoïd/Space Invader sur la frontpage de l’Esa

… et ce ne sont là que les moins dangereux des détournements que l’Anti-France est sur le point de lancer contre nos nobles institutions. Notre même source bieninformégénéralementdignedefoi laisserait entendre qu’à la tête de ces gangs mafieux internationaux, l’on trouverait la même équipe qui serait à l’origine du redoutable « Solitaire » sous Windows, branche armée du mouvement occulte et international du « courriel départemental à lire et qui ne sert à rien », lui-même lié à la secte secrète du mouvement « bonne blague à lire en attachement et à faire suivre à tous tes contacts », sous-section de la redoutable organisation « chaine de l’espoir et de l’amour » département des emails pernicieux. Certains experts du CertA (car notre Administration est experte pour tout ce qui touche à l’optimisation du travail) voient même quelques liens indirects avec les dangereux terroristes chronophages spécialistes de la bombe « Alerte mail importante de sécurité Microsoft » qui sévit à périodes régulières. La police est sur les dents… du moins les effectifs qui n’ont pas été frappés par cette diffusion virale.

*NdT note de la Traductrice : Copyright Monthy Python, all right reserved, excepted for the LDAA (Lumberjack drag artist association)

Il y a quelques temps de cela, vers la fin février, Dancho Danchev écrivait un article intitulé « 10 choses que vous ignorez à propos du gang Koobface ». Dix points dénonçant les alliances mafieuses qui unissaient les créateurs du botnet Koobface et d’autres filières, telles que le botnet Bahama, ou son implication dans l’attaque du New York Times en septembre dernier.

Et le gang Koobface de répondre sur les dix points en question, réponses intégrées dans le code retrouvé sur des serveurs infectés. Dancho Danchev revient sur les différents points, et contre-attaque avec des arguments techniques difficilement niables. Le billet du chercheur s’achève sur une liste de quelques 20 liens HyperText pointant sur d’anciens billets dénonçant depuis juillet de l’an passé l’activité du groupe cyber-mafieux.

Il semblerait que cette faille de sécurité affectant Java SE et Java for Business n’ait pas fait l’objet de beaucoup de publicité, si ce n’est sur le Bugtraq et sur le quotidien du Sans. Le trou de sécurité n’en est pas moins dangereux car exploitable à distance, comme l’explique Peter Vreugdenhil sur son blog au fil d’une très longue explication technique décrivant un PoC reposant sur un fichier audio rmf forgé. La faille, si l’on se rapporte à la longue liste dressée par le Bugtraq, affecte de très nombreuses versions et toutes les plateformes connues de Java SE (Windows, Linux, OS/X). La toute dernière version corrige ce problème.

Le premier rapport de sinistralité de l’année 2010 McAfee vient de sortir, publié en plus de 9 langues dont le français. Première constatation atypique, ce sont les vers se propageant via les composants USB qui décrochent la première place des malwares… un retour aux sources qui rappelle les « virus boot sector » à l’époque des disquettes. Outre les fonctions d’auto-exécution qu’offrent encore bon nombre de versions de Windows, c’est le côté « mobile » de ces clefs qui intéresse les auteurs de malwares. Les infections USB les plus fréquemment rencontrées sont des Troyens voleurs de mot de passe de tous types. Plus une clef USB voyage, plus elle est susceptible de moissonner de nouvelles crédences.

Rien de nouveau sur le front du spam, si ce n’est peut-être une certaine spécialisation pays par pays, une « localisation » de l’escroquerie. La France a vu notamment apparaître quelques piteuses et peu convaincantes opérations de phishing aux couleurs de la Caisse d’Allocations Familiales. Pour ce premier trimestre 2010, les attrapes-gogo les plus prisés ont reposé, sans surprise, sur les tremblements de terre d’Haïti, du Chili, sur les rappels successifs de véhicules par Toyota, sur la sortie de l’iPad. Le taux de croissance de ce spam est constant, sans variation importante par rapport à l’an passé. Sur un plan international, en revanche, les statisticiens de l’Avert remarquent une forte hausse des malwares (virus et spam) dans les pays émergeants qui développent activement leur infrastructure Internet. Principal hébergeur des applications Web nouvelles (réseaux sociaux notamment), les USA conservent la tête dans la course au pays diffuseurs de liens dangereux : 98 % pour les Etats-Unis, suivis de loin par la Chine (61%) et le Canada (31%).

Par souci sécuritaire, le Sénateur UMP Jean-Louis Masson propose une modification de l’article 6 de la LCEN contraignant les blogueurs « non professionnels et professionnels » de divulguer leurs nom, prénom, adresse e-mail, adresse de domicile et numéro de téléphone. Ceci dans le but de lutter contre toute possibilité de diffamation. Rappelons que ce même Jean-Louis Masson était, dès 2007, déjà parti en croisade contre l’anonymat des rédacteurs de Wikipedia, strictement pour les mêmes motifs.

Il n’en fallait pas plus pour mettre le feu aux poudres et déchaîner une avalanche de billets, tant dans la presse conventionnelle que sur les blogs d’amateurs. Le Nouvel Obs, MédiaPart, Numérama, 20 Minutes, PC Inpact, Korben… Les plumes s’enflamment rapidement.

Est-il utile de préciser que ce texte n’a quasiment aucune « chance » de passer ? Il ne fait qu’empirer le climat délétère qui règne sur la Toile Française depuis le passage d’Hadopi, la finalisation de la Loppsi 2 et le spectre d’Acta, et son adoption risquerait de réveiller l’ensemble des médias grand public qui généralement ne prêtent que peu d’attention à la « liberté de la presse non professionnelle ».

Cette loi ne passera pas car, en premier lieu, elle assimile un blogueur à un Directeur de Publication. Détail qui risque de ne pas être du goût des « véritables » directeurs de publication, puisque cela offrirait du même coup les prérogatives de directeur de publication à n’importe quel blogueur quelque soit son âge. A commencer par un détail d’importance si l’on pousse le raisonnement à l’extrême : cela offrirait auxdits blogueurs un statut d’organe de presse, avec son cortège d’avantages fiscaux et légaux associés.

Que l’on exige la divulgation des identités des blogueurs, et l’on entre immédiatement en conflit avec les textes visant à préserver la protection et l’anonymat des mineurs. Car la grande majorité des blogueurs est constituée de préadolescents. L’on ne peut invoquer en permanence la protection de l’enfance dans le but de justifier une surveillance croissante d’Internet et une chasse de tous les « violeurs, prédateurs sexuels et poseurs de bombes », puis exiger d’un autre côté une loi en totale contradiction avec la précédente, exposant la vie privée et la sécurité de ces mêmes enfants sous prétexte de lutte contre les écrits diffamants.

En outre,à l’instar des conséquences d’Hadopi, le passage d’une telle proposition aurait pour première conséquence une « prise de maquis » de ces mêmes blogueurs. Car si jusqu’à présent, des propos diffamatoires pouvaient faire l’objet d’une plainte, laquelle ouvrait la voie à une demande de coordonnées et d’identité à l’hébergeur du site, cet amendement Masson pourrait très rapidement « expatrier » les blogueurs vers d’autres cieux… si possible sur des plateformes et des hébergeurs ne possédant ni correspondant, ni filiale en Europe. Un tunnel SSL pour la mise à jour du site, une attention particulière aux propos écrits afin de ne pas fournir trop d’indices, et les persifleurs les plus acharnés souriront des gesticulations de quelques plaideurs face à l’hermétisme d’un «bullet proof host service » situé sur les bords de la Volga, du Yang Tse Kiang ou du Mississipi.

Déjà, par le passé, divers Ministres ont tenté de faire taire les libelles, de censurer des chansons, de supprimer les pamphlets. De Mazarin à Richelieu en passant par Louis XIV ou le sinistre Adolphe Thiers, beaucoup ont cherché à inviter Anastasie au grand banquet de la chose imprimée. Avec pour première conséquence une exacerbation des positions critiques et un enrichissement des imprimeurs Hollandais ou Anglais. L’amendement Masson ne passera pas, enfin, car il existe sans le moindre doute, au sein de la Majorité, plus d’un Député, plus d’un Ministre qui a lu le Le Dictionaire Historique et critique de Pierre Bayle (piratable sans vergogne sur le site Gallica ), dictionnaire qui intègre une passionnante Dissertation sur les libelles diffamatoires.

*NdlC Note de la correctrice : du « Buzz » en langage geek. Mais il paraît que la commission de la langue Française, digne inventrice des mots « bogue-pas-celle-de-la-châtaigne » et de MEV (pour Ram, et non Mégaélectronvolt), impose ce terme issu du vieux François.

Après la radioscopie Facebook de RabidGremlin qui dévoile tout, même ce que l’on croyait « préservé », après le PanoptiClick de l’EFF qui examine toutes les fuites de navigateur, voici un autre fouilleur de cache d’origine tellement Polonaise que Père Ubu n’y aurait rien trouvé à redire. Des sites X aux visites d’universités, en passant par les dernières requêtes expédiées à Google, ce site Web fleure bon son Bentham. Bien que relativement difficile à joindre, probablement en raison de son brusque succès, « What the Internet Knows About You » peut être un excellent outil de sensibilisation aux règles élémentaires de sécurité auprès d’un public de non-techniciens.

100 exploits de plus : Metasploit 3.4.0 disponible, avec une section « brute force attack » renforcée. Première version « majeure » depuis le rachat de Metasploit par Rapid7