Après un « down » d’une journée très exactement, le site The Pirate Bay est à nouveau en état de fonctionnement. L’analyse de trafic effectuée par Netcraft témoigne de l’heure à laquelle a été mise en application l’injonction de la justice Allemande, du communiqué de presse triomphale du MPA (Motion Picture Association),, puis de l’heure de reprise des activités du Site, qui a trouvé un nouvel FAI entre temps. L’hébergeur en question est le Parti Pirate (PP) Suédois, dirigé par Rick Falkvinge. Le PP précise que ne sont accueillis en son sein que la page de garde et le moteur de recherche du Pirate Bay, « les trackers et fichiers torrent… étant désormais situés à un autre endroit »*. Le prochain procès contre Pirate Bay risque donc d’être relativement technique compte tenu de cette dispersion des ressources.

NdlR Note de la rédaction : Au moment de mettre sous presse, la Correctrice des notes de la Correctrice déclarait « c’est quoi, pirat’Bé, un virus ? j’comprends rien »… ce qui prouve que s’il existe sur terre une personne qui ne peut craindre les foudres de l’Hadopi, c’est bien notre correctrice à nous.

Le récent challenge iAwacs ou le dernier exploit Matousec ont ceci de commun : avec deux doigts d’ingéniosité, une « charge » peut franchir sans problème (ou presque) la barrière des antivirus sans réveiller le plus petit octet de ces enceintes numériques. Ceci pour peu que le moyen de poser cette charge ne soit pas « connu des services compétents », en d’autres termes, qu’il ne possède de « signature » répertoriée.

Et c’est précisément sur cet argument que contre-attaquent les éditeurs d’A.V.. Adrian Kingsley-Hughes, dans une colonne rédigée pour le compte de ZD Net, se fait l’écho de leurs propos… lesquels, sans surprise, reposent sur des arguments très discutables. Ainsi, le fait de signaler qu’un « virus en chambre » peut tromper « tous les antivirus » est une façon de voir les choses excessivement alarmiste … dans la bouche d’un vendeur de produits de sécurité qui abreuve régulièrement le public de statistiques dramatiquement montées en épingle et de « bilan de sinistralité mensuel », voilà qui est savoureux. S’il était diffusé « in the wild », l’on en posséderait immédiatement une signature et serions à même de le combattre insiste Graham Clueley. Est-ce en fonction d’un tel principe que l’on se défausse du problème des attaques ciblées ? Si l’on pousse la logique à son comble, il serait donc nécessaire que les éditeurs d’A.V. précisent sur leur publicité « capable de vous protéger contre tous les virus connus, pour les autres, Dieu s’en charge ».

Seules les machines Windows XP sont affectées par le virus Matousec… à l’heure de Windows 7, la belle affaire, semble dire en substance Paul Ducklin, le « Sophos’s Head of Technology ». Est-ce avec ces mêmes arguments invoquant la vétusté et l’obsolescence technologique que ces mêmes éditeurs sont immédiatement parvenus à commercialiser des solutions de protection compatibles Vista 64 dès le lancement de ce noyau ? Pas franchement. Au gré de l’actualité, le « trop vieux » l’oppose au « trop moderne », et le lamentoso des éditeurs trouve toujours une source de malheur dans la conception du système d’exploitation.

Chez F-Secure, l’on insiste sur le fait que la menace Matousec n’était pas « connue » des antivirus. « if we would see such an attack, we would simply add signature detection for it, stopping it in its tracks ». Oui, mais zunpeutard.

Pourquoi de telles réactions défensives ? Probablement parce que les éditeurs d’A.V., dont le business-model est en train d’être sérieusement bousculé par l’apparition d’outils « gratuits » de renom, craignent précisément un mouvement de rejet généralisé, une « simplification réductrice » qui pourrait détourner les utilisateurs de leurs logiciels. Rassurons-les : en premier lieu, les virus « en chambre » ne sont qu’une poignée à être connus des médias… les autres ne sont employés que par les blackhats spécialistes des attaques en « spear intrusion » ou par les fonctionnaires des mille et une officines étatiques de barbouzes. Pas de quoi s’inquiéter, donc, car ces personnes-là se confient rarement à la presse, et les victimes ne se rendent compte de rien. Le business-model est donc préservé. Ensuite, à l’exception de quelques spécialistes du sujet, ce genre de révélation n’a que très peu d’influence à moyen terme. Dans moins de deux ou trois semaines, le monde entier aura oublié Matousec et les antivirus poreux. Dans le cas contraire, les éditeurs pourront même modifier leurs accroches et retourner la situation à leur profit : « protège de tous les virus connus, y compris ceux de Matousec que même les « mécréants » n’utilisent pas ! ». Rien de nouveau sous le soleil, donc. Les techniques utilisées par les concepteurs d’A.V. sont et seront encore régies par un système de « blacklist ». Les exploits d’un Matousec ou d’un concours iAwacs ne semblent pas pouvoir infléchir la position de ces marchands de sécurité ou les inciter à réfléchir à de nouveaux modes de fonctionnement.

Par le plus grand des hasards, une association « indépendante », l’Amtso (Antimalware Testing Standard Organisation) publie cette semaine un communiqué condamnant les auteurs qui créent et publient des « échantillons de virus destinés aux tests ». Un morceau de bravoure qui, si l’on sait lire entre les lignes, laisse clairement entendre que seuls ceux qui « savent » peuvent probablement se livrer à ce petit jeu. Les « bench », c’est une histoire de pros. Le directoire, ainsi que la liste des membres laissent planer quelques doutes quand à l’objectivité de l’étude. Mais reste que tous les arguments avancés dans cet article ne sont pas à ignorer.

Si les électroniciens ne trouvent strictement rien d’étonnant à cette communication, les gens de la sécurité, en revanche, s’émeuvent. Une dizaine de chercheurs de Seattle et de La Jolla (USA) nous apprend qu’il est presque facile d’interdire ou autoriser à distance le freinage d’une automobile moderne, d’immobiliser le véhicule voir d’enfermer ses passagers, et même simuler, en piratant l’affichage du tableau de bord, un programme d’autodestruction du voiturin.

Tout ceci grâce à une règle de sécurité industrielle qui a la vie dure : la sécurité par l’obscurantisme. Depuis quelques années déjà, les ordinateurs de bord permettent un contrôle de pratiquement tous les paramètres d’une voiture : injection, freinage, démarrage et antivol, température, console autoradio etc. Des accès dépendant de protocoles dont notamment le fameux CAN (Controler Area Network), réseau partiellement documenté, ce qui ne veut pas dire qu’il soit chiffré ou protégé d’une quelconque manière. Un outil adapté (CarShark, le WireShark des réseaux embarqués) et un peu de patience viennent généralement à bout des « boîtes noires » les plus rebelles.

Car il faut savoir que l’accès à ces ordinateurs de bord via ces bus est toujours physiquement possible grâce à un connecteur de diagnostic, dit « prise Obd2 ». Les données disponibles sur cette sorte de « Jtag de la bagnole » sont décrites et normalisées seulement pour les plus importantes. Tout comme l’intégration du langage Java ou du format HTML, chacun voit midi à sa porte et reste libre d’ajouter des « compléments propriétaires » dont la documentation n’est pas obligatoire. Une prise de Mercedes ne donne pas strictement les mêmes informations que celle d’une Peugeot ou d’une General Motors… il faut bien vendre les valises de diagnostic et protéger un peu son réseau de concessionnaires.

Et c’est grâce à la prise Obd et à CarShark que nos dix chercheurs ont décortiqué ces protocoles, documentés ou non. Puis, en « patchant » un véhicule avec une électronique servant à pirater le port Obd et accessible via WiFi ou lien GSM, les universitaires sont parvenus à littéralement détourner une automobile en déplacement, truander son compteur de vitesse, interdire tout freinage et emprisonner les testeurs en bloquant les portes. Le tout avec moins de 150 lignes de code et un testeur avec un cœur « gros comme çà »… car il fallait bien un conducteur dans la voiture « hackée ».

Peut-on paisiblement P0wner la Papamobile ? Rien de plus simple, explique l’étude. L’employé d’un garage peut aisément accéder aux bus CAN… ou toute personne sachant ouvrir un capot moteur. Autrement dit un spécialiste du vol de voiture. Les proches également, ou une personne pouvant avoir accès à un véhicule d’entreprise « partagé » par plusieurs personnes.

Mais contrairement aux attaques informatiques, qui peuvent immédiatement déboucher sur des vols d’information relativement intéressants (numéros de cartes de crédit, login réseau, données personnelles…), le hack des automobiles frise le cas d’école. A l’exception d’un attentat prémédité visant une personne précise lorsque celle-ci est au volant, le piratage du CAN d’un véhicule nécessite encore la présence d’un hack matériel qui peut toujours être découvert puis débranché. Il ne reste donc que peu de « débouchés applicatifs » pour ce « proof of concept » : élément de scénario pour les scénaristes de Speed 3, avec ou sans Sandra Bullock, ou arguments pour avocats d’une compagnie d’assurance en mal de versement de prime.

Le tour de Metasploit en 7 heures de vidéo : c’est sur IronGeek (téléchargement des AVI conseillé car version « streaming » très moyenne).

Bob Graham fait du wardriving et s’intéresse aux clients WiFi. Cela fait bientôt plus d’un an que Graham a acheté un USRP…

Une histoire des langages de programmation très peu objective par James Iry.

Enlevé par des Extra Terrestres : le député Andrei Lebedev, selon la BBC, aurait été enlevé par des petits hommes verts. Première fois que des E.T. seraient impliqués dans une attaque SCADA.

La « notification avancée » du prochain « patch Tuesday » prévoit un correctif noyau Windows, un patch Office, un « fix » d’outils de développement… mais pas de correctif Sharepoint.

CNISevent et ses partenaires vous invitent à …

… vous inscrire gratuitement

Cliquer ici : S’inscrire en ligne à  « CNIS Event : La réalité derrière les nuages »

RENDEZ-VOUS :

Jeudi 1er juillet 2010, premier évènement de CNIS Event qui décrypte les différents aspects du Cloud Computing. Des experts terrain reconnus viennent expliquer la réalité aujourd’hui du Cloud Computing en termes de Sécurité des informations et donnent également les conseils nécessaires pour qu’une entreprise puisse s’engager dans ce modèle d’infrastructure en toute confiance (assurance, contrat, géolocalisation des données, limites juridiques, changement de fournisseur de services …).

Un premier évènement qui créée le Club CNIS Event dont l’objectif est de réunir les lecteurs une fois par trimestre autour d’experts, à chaque sortie de magazine. Pour souscrire à ce club (gratuit), le formulaire d’inscription à l’évènement suffit.

Où ?

CNIS Event a choisi un yacht spécialement aménagé pour des séminaires. Situé au centre de Paris sur les quais de Seine, il est facile d’accès par les transports en commun ou par véhicule (parking privé). Une mini croisière sur la Seine au moment de cocktail déjeunatoire est prévue joignant l’utile à l’agréable.

Le Mirage, Yachts de Paris, Port Henri IV
75004 Paris
Tél : +33 (0)1 44 54 14 70

Pour s’y rendre : Plan d’accès au port Henri IV

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise. Tous sont concernés par le choix d’un nouveau business modèle en ce qui concerne l’infrastructure IT car il impacte profondément les façons de travailler en facilitant le time to business.

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 8H55- Ouverture de la conférence par l’Editeur de CNIS Mag
• 9H00 – Etat de l’Art du Cloud Computing, la situation actuelle et les points sensibles par Pascal Lointier, Président du CLusif
• 9H20 – Expert terrain, point de vue de l’éditeur avec Christophe Bianco, Qualys
• 9H40 – Expert analyste IDC avec Eric Domage, présentation d’une étude sur le Cloud Computing
• 10H00 – Expert terrain, point de vue de Gil Delille, Président du Forum des Compétences, sur la problématique de la sécurité dans le Cloud
• 10H20 – Introduction au Panel Sécurité dans le Cloud, point de vue de Matthew Northam, Technical Expert VMware (présentation en anglais)
• 10H35 – Panel Sur la Sécurité dans le Cloud animé par SecurityVibes avec la participation d’experts reconnus dans le monde de la sécurité
• 11H20 – PAUSE Networking
• 11H35 – Expert terrain, point de vue Opérateur de Cloud, AMAZON (présentation en anglais)
• 11H55 – Reportage cas client d’une entreprise passée partiellement au Cloud Computing, interview du RSSI, Bruno Kerouanton, Chef du Groupe Sécurité, République et Canton du Jura, qui parlera également des modifications dans son métier au quotidien
• 12H 05- Expert terrain, point de vue de Jean-Marc Rietsch, président de la FedISA, problématique des données archivées dans le Cloud
• 12H20 – Expert terrain, point de vue d’un acteur sécurité, RSA
• 12H40 – Panel sur les conseils pour passer en toute sécurité au Cloud Computing : un assureur, un avocat, une administratrice de l’AFCDP, un témoin entreprise, un consultant terrain. Animé par CloudMagazine.fr
• 13H25 – Fin de la conférence et largage des amarres. Début du Networking déjeunatoire durant une croisière sur le Seine.
• 14H30-15H – Clôture de la conférence

La campagne de hargne, de grogne et de rogne qui vise actuellement Facebook et son sens très particulier de la vie privée s’étend désormais à tous les médias. Initialement entamée par quelques blogueurs à cheval sur les principes, cette bataille contre l’exploitation abusive des contenus gagne désormais la « grande presse » tant Américaine qu’Européenne. Nos confrères de Rue 89 titraient la semaine passée « 2005-2010 : comment Facebook a bradé notre vie privée ». Plus technique, le New York Times démontrait, à l’aide d’un organigramme, comment les maîtres du Web 2.0 rendaient quasiment impossible toute possibilité de contrôle des informations personnelles en multipliant les points de contrôle et les options « à cocher ». 50 paramètres, 170 options, une politique de sécurité de près de 6000 mots (pondus dans un vocabulaire d’Avocat parfois incompréhensible ou trompeur). Paradoxalement, plus se multiplient ces « options facilitant la maîtrise des données personnelles », plus Facebook étend, parfois sans en avertir clairement ses usagers, le champ des informations accessibles sur Internet. Sur ce point précis, les graphiques publiés par mattmckeon.com sont édifiants.

Ce sont d’ailleurs ces constants changements de « politique concernant la vie privée des internautes » qui vaut à FaceBook l’honneur de se faire épingler par le très Européen, très critique et très vigilant Article 29 Working Party. « Il est inacceptable qu’une compagnie change fondamentalement les paramètres par défaut de sa plateforme de réseau social au détriment des utilisateurs ». La lettre est sèche est sans ambages.

Et même si certaines initiatives peuvent paraître louables, telle cette console d’administration capable d’autoriser ou non certains périphériques mobiles, l’on se rend bien compte que c’est là une « solution » qui ne concernera qu’une frange infinitésimale des abonnés capables de comprendre ce qu’est cette sorte de « NAC pour monsieur Toutlemonde ». Au fil du temps, la gestion des droits d’accès aux informations Facebook ressemble de plus en plus aux barèmes de facturation d’un opérateur de téléphonie mobile : conçu spécialement pour que jamais un utilisateur puisse s’y retrouver.

Situation d’autant plus paradoxale qu’à côté de ces outils d’administration fine, des trous de confidentialité sont encore béants, ainsi le démontre Stephan Tanase de Kaspersky. Un Stephan Tanase qui achève son billet par une série de « ne faites pas ci, ne faites pas çà… » que les lecteurs les plus « facebook addict » ne liront ou ne comprendront pas. C’est là une réaction naturelle et propre à cette génération des « Transparents vs parents » que dénonçait notre confrère Jean Marc Manach lors de la dernière conférence iAwacs. D’autres adoptent une position bien plus radicale, à commencer, bien sûr, par le boycott pur et simple de Facebook, en expliquant comment désactiver les pages d’annonce ou se désinscrire de ce « service ». Méthode Groovipost ou The Consumerist, l’opération est presque aussi simple que de comprendre l’administration d’un profil. Les brûlots dénonçant l’attitude de l’équipe de Mark Zuckerberg se multiplient, comme en témoigne Richi Jennings, rédacteur du BlogWatch de Computerworld. Même Wired y va de sa campagne en écrivant noir sur blanc « Facebook déborde d’arrogance, il est temps de recourir à un service alternatif ». Le service alternatif sera-t-il Diaspora ? Ce projet d’universitaires a fait les gros titres du New York Times (http://www.nytimes.com/2010/05/12/nyregion/12about.htm) et les « hits » sur le site du projet (http://www.joindiaspora.com/project.html) se comptent par millions, tandis que les financiers se battent presque pour commanditer ces « jeunes qui ont du talent ». IM, VoIP, simili Twitter, dazibao informatique, outils de backup chiffré réparti (une résurgence du projet Ocean Store ?), identifiant « open »… Diaspora fera tout et même plus que ce que propose FaceBook… si les dieux lares de l’informatique leur prêtent longue vie.

Face à cette campagne, le comité de direction a pris une mesure exceptionnelle : une grande concertation générale interne nous informe nos confrères de ComputerWorld.

Comment vont réagir les usagers de Facebook ? Pour l’heure, seuls les plus « politisés » abandonnent ce réseau social, le bruit médiatique fait autour de cette affaire ne touchant pratiquement que le macrocosme du milieu informatico-webo-communiquant. L’impact sur l’image de marque ne se traduira pas nécessairement par une fermeture en masse des comptes, et comme nul ne peut avoir accès aux statistiques réelles de fréquentation du site, il sera bien difficile de constater un hypothétique phénomène des vases communicants capable de bénéficier à un Diaspora ou proche parent.