mai, 2010

Le monde entier, grâce à un récent rapport de l’AntiPhishing Working Group, vient d’apprendre un vieux mot gaulois-arpitan : Avalanche. Ce botnet, nous explique l’APWG, serait responsable de près de 66% des attaques en phishing durant la seconde moitié de l’année 2009 avec, pour première conséquence, un doublement des malversations et escroqueries par rapport à l’année précédente. Avalanche serait un enfant né des cendres du sinistre groupe Rock Phish, dont il exploiterait encore certaines techniques reconnaissables : fast-flux du côté des serveurs de phishing afin de rendre caduque toute technique de bannissement des adresses, attaques provenant d’un petit nombre de serveurs aux noms très approchants… au total, l’adresse de ces truands du Net aura permis très exactement près de 84 000 attaques distinctes sur la période juillet-décembre (sur un total de 126 697 tous types de botnets confondus), assauts affectant l’apparence d’au moins 40 banques et établissements financiers. C’est également, comme l’explique Dancho Danchev, l’un des vecteurs important de propagation du troyen Zeus et un groupe reposant fortement sur le fournisseur de services Internet véreux Troyak.

L’un des Mantras les mieux ressassés par certains grands-prêtres de l’informatique (surtout durant les conférences de presse) peut se résumer ainsi : «la redondance de nos systèmes et la compétence de nos équipes écartent tout risque de rupture de service ». Ce sont généralement ces mêmes gourous qui dénoncent avec virulence l’agressivité de certains Etats-Voyous qui utilisent en sous-main des hordes de hackers aussi agressifs que politisés. Serait-ce pour mieux cacher que le Roi est presque nu face à Dame Fatalité ?

Sur le blog du Cert Lexsi, ce rapide billet de Pierre Caron, qui narre comment, une heure durant, l’Allemagne et l’Autriche ont disparu du monde Internet. Un nouvel Anschluss numérique ? L’œuvre d’un exercice grandeur nature contre une attaque « Estonie Revival » comme seule notre SNCF nationale est capable d’en réaliser ? Non : le Top Level Domain « .de » était tombé tout seul. Ce genre de mésaventure survenait régulièrement à l’époque où seul (où presque) Network Solutions régentait le monde IP. Une mauvaise cartouche dans le lecteur contenant le domain.txt des .Com, une propagation malheureuse, un week-end prolongé, et l’univers IP basculait dans un vide s’étendant de notre planète à la mythique University of Mars. Mais à l’époque, les mots ecommerce, messagerie d’entreprise, infrastructures intranet/extranet, cloud computing n’existaient pas. Aujourd’hui (demain plus encore), la chute d’un contrôleur de domaine ou la pollution de son contenu engendre des conséquences financières immédiates et peut rapidement gripper l’Appareil d’Etat. C’est un sinistre Scada que personne ne veut envisager sérieusement.

L’accident subit par nos voisins germains est-il isolé ? Non, simplement rarement médiatisé. Cette même semaine, l’on apprenait le shutdown, une heure durant, de « quelques instances d’EC2 », l’infrastructure Cloud d’Amazon. A l’origine de la panne, un camion qui percute un poteau électrique, lequel provoque ce qui est interprété comme un « défaut de terre » par les systèmes de protection électrique de l’hébergeur. Lesquels systèmes ont immédiatement mis hors tension tout un pan de l’infrastructure informatique du centre de calcul situé sur la côte Est des USA. C’est, remarque DataCenterKnowledge, la quatrième panne électrique qui frappe Amazon en moins de deux semaines.

En Allemagne comme aux Etats Unis, la défaillance de ces systèmes stratégiques (ou qui le deviendront si l’on fait référence au Cloud Computing) n’a pas été provoquée par de dangereuses hordes de pirates, mais par un accident. Les procédures et recadrages normatifs qui s’ensuivront permettront peut-être que cela ne se reproduise pas… ce qui n’empêchera pas que d’autres pannes, ayant d’autres motifs, avec des conséquence d’autant plus dramatiques que s’étendra l’emprise d’Internet et de « l’informatique en nuage » sur le monde industriel et administratif.

Collecter les pensées (même les plus insignifiantes) pour en faire un business sous prétexte que dans un océan de vanités il peut se trouver quelques perles, c’est là la définition même du Web « Deuzéro ». Amazon vient, dans ce domaine, de franchir un pas supplémentaire, nous apprend TechDirt, en collectant les « notes et mises en exergue » de ses lecteurs d’eBooks Kindle. Désormais, le moindre gribouillis de marge sera sauvegardé dans une base de données centrale, et refourguée sous forme de base consultable sous l’appellation des « exergues les plus populaires ».

Ainsi, toutes les pensées profondes populaires qu’inspirent la lecture d’un grand classique seront accessibles à chacun et profiteront à tous. Imaginons quelques instants ces fameux passages soulignés et les « notes en marge »

« Je suis romaine hélas puisqu’Horace est romain » penser à acheter de la salade*

« Il entra dans la vie comme un vieillard en sort » Rock and roll mops avec un œuf à ch’val**

« Longtemps je me suis couché de bonne heure » j’me taperais bien une camomille ***

« Aujourd’hui, maman est morte » Ode à Madame de Warens ?****

« Doukipudonktan, se demanda Gabriel excédé » Recharger le pass Navigo ce soir*****

… et ainsi de suite.

L’histoire ne dit pas dans quelle mesure Amazon filtre et trie ces mille et un joyaux de la pensée moderne. Sans filtrage, l’on pourrait bien imaginer qu’ en marge du 1984 d’Orwell, un hacker fou puisse un jour ajouter un allègre « http : // Jupiter.amazon.com/KindleBase/inject.php?id=1+UNION+0,0,0,0,0,0,0,0,0,0,0,0-- »… cela pourrait être amusant, non ?

Ndlclds Note de la Critique Littéraire de service : * Pierre Corneille et Félix Potin ; **Hugo apocryphe, Boris Vian par Henri Salvador ; ***Marcel Proust, Jean-Luc Bideau dans « Et la tendresse Bordel ! » ; **** A.Camus, Académie Florimontane ; ***** R. Queneau, Bienvenüe (Fulgence, pas Montparnasse)

La « Fondation » offre depuis peu une page de test destinée à répertorier et éventuellement mettre à jour les « plugin » non seulement de Firefox mais également d’I.E., de Chrome, d’Opera et de Safari. Une grande partie des attaques et points d’entrée appréciés par les virus utilisent précisément ces fameux « plug-in » dont la mise à jour s’effectue très aléatoirement puisque non prise en compte (ou partiellement seulement) par les concepteurs de système d’exploitation ou les éditeurs de navigateurs Web.

Une note du Department of Commerce Américain publiée par Cryptome a été émise afin d’attirer l’attention des services pénitentiaires et des opérateurs sur la prolifération des téléphones cellulaires dans les prisons d’Etat.« En 2006, il a été saisi 261 téléphones cellulaires dans les prisons Californiennes ». Le compte-rendu continue : « Mais deux ans plus tard, ce nombre a grimpé pour atteindre 2811 terminaux illégalement entrés dans les cellules. Dans le Maryland, 1700 appareils étaient confisqués en 2009, 1200 l’année précédente ».Le problème n’existait pas ou peu à la bonne époque du téléphone « ligne terrestre », et s’est développé peu à peu, suivant le rythme de progression du marché général de la téléphonie mobile.

Et pour venir à bout de ces téléphones incontrôlés, il n’existe pas de solution. Le brouillage pourrait-être envisagé… mais il frapperait également le personnel pénitentiaire et les usagers habitant ou circulant à proximité de l’établissement. Une mesure plus souple consisterait à filtrer, au niveau des cellules locales, tout appel non répertorié dans une « liste blanche »… mais comment alors accepter l’appel d’une personne passant exceptionnellement dans la zone couverte ? D’autant plus qu’il est impensable de supprimer ainsi l’accès au 911, le numéro d’appel d’urgence…Or, un brouillage ou un filtrage ne peut pas tenir compte du numéro appelé.

Et quand bien même l’on trouverait une solution que les personnes incarcérées auraient toujours la possibilité de recourir à d’autres transmissions sans fil. Outre le 800 MHz du GSM américain, il serait également nécessaire de bloquer les PCS (Personal Communication System) sur 1900 MHz, les Advanced Wireless Services sur 1700 MHz, les Specialized Mobile Radio sur 800 et 900 MHz (donc une portion du spectre est également utilisée par des réseaux sans fil de télé-contrôle dans certaines architectures Scada), les futurs services sans fil mobiles sur les portions 698-806 MHz, 2110-2170 et 2500-2690 MHz, les émetteurs PMR (462 à 467 MHz aux USA), les émetteurs de « cibi » … sans parler des VHF de chantier, des talky à usage « marine », des bricolages utilisant les fréquences WiFi -2400 et 5000 MHz-… et l’on doit probablement en oublier quelques autres.

Même les infrastructures de la prison auraient de grandes chances d’en pâtir.

Mais mis à part la gloire que, peut-être, pourrait en tirer un homme politique, qu’est-ce qui peut bien motiver la rédaction d’un tel rapport ? Surtout lorsque la réponse au problème ne fait aucun doute : il n’y a pas de solution.

A moins qu’une telle agitation ne soit que le prétexte nécessaire pour promulguer une loi-valise facile à ressortir lorsque la situation l’exige ?

Le traditionnel mardi des rustines qui unit en une fraternité correctrice Microsoft et Acrobat fera ce mois-ci parler de lui longtemps. Pourtant, chez Microsoft, le bulletin récapitulatif du mois de mai ne compte que deux rustines, mais deux rustines dont le niveau de criticité est élevé. Il s’agit en premier lieu de la MS10-030, faille Outlook Express/Windows mail découverte par le canadien Francis Provencher, et qui affecte toutes les éditions de ces programmes, de XP à 2008 R2 Server. La seconde faille est encore bien plus ennuyeuse, car il s’agit d’un problème touchant VBA, le Visual Basic for Application intégré (entre autres programmes) dans Office 2003 et 2007. Comme VBA est également utilisé par une multitude de logiciels « tiers », l’on risque d’entendre l’écho de ce défaut durant quelques mois encore.

Chez Adobe, c’est une tradition, les informations sur les failles découvertes brillent par leur absence. Mais l’on ne peut toutefois ignorer les quelques 18 CVE corrigées par ce bouchon gargantuesque destiné à Shockwave, et concernant aussi bien les utilisateurs de Windows que ceux d’OS/X. Ce plugin Shockwave étant parfois installé à l’insu des utilisateurs, il est utile de tester sa présence et sa version grâce à la page de test accessible sur le site Adobe.

« Cet exploit passe inaperçu aux yeux de tous les antivirus les plus connus » pensent les chercheurs de Matousec. Surnommé le « tremblement de terre des logiciels de sécurité Windows », ce programme fonctionne de manière plutôt simple, et reposant une fois de plus (c’est là une marotte de Matousec) sur les « kernels mode driver ».

Lors de chaque appel en lecture ou écriture, un programme (et par conséquent un virus) fait un appel au noyau qui est nécessairement inspecté par un antivirus. Le virus Matousec, lui, n’envoie pas un, mais deux appels, l’un sain, qui jouera le rôle de chèvre vis-à-vis du logiciel de protection, l’autre infectieux, mais expédié avec un léger retard par rapport au premier, et en utilisant un thread parallèle. Grâce à ce « double effet kiss-cool », en langage technique, une attaque en « race condition », la charge virale ne craint rien, même si son pedigree est théoriquement répertorié dans la base de signature de l’A.V.. Selon les chercheurs, ce Khobe-là fonctionnerait sur toutes les plateformes Windows, et n’aurait pour l’heure pas encore connu d’adversaire à sa taille.

*NdlC Note de la Correctrice : encore un jeu de mot aussi lamentable et je rends mon tablier !

Signalé par Secunia et découvert par Krystian Koskowski, cette faille dans la gestion de la fermeture d’une fenêtre de navigation « parente » a fait l’objet d’une preuve de faisabilité. Compte tenu de la dangerosité de cette faille (exploitable dans le cadre d’une attaque distante via une page Web forgée), le Cert US recommande aux usagers de Safari de désactiver JavaScript, au moins temporairement. Le défaut ne semble pas, pour l’heure, exploité de façon active par le moindre malware.

Le décalogue de la sécurité réseau, par Leon Ward : simples à comprendre… parfois complexes à mettre en œuvre.

Chris John Riley, sur son blog C22, offre une sorte de « manuel de survie dans la jungle des alertes CVE ».Que les pentesteurs se le disent !