juin, 2010

Catalin Grigoras est ingénieur chez Diamond Cut Production, spécialiste de la restauration de vieux enregistrements audio. Mais ce ne sont pas les talents de nettoyeur de 78 tours qui ont valu à ce chercheur les honneurs de la presse. Ce serait plutôt une communication intitulée « Analyse des enregistrements numériques audio : le critère « fréquence réseau » ». Une note d’application qui explique comment dater avec précision n’importe quel enregistrement numérique en prenant comme référence la fréquence du courant secteur.

Pendant plusieurs années, Grigoras a effectué des mesures de variation de la fréquence secteur, le fameux « 50 Hertz » de nos prises électriques. Bien que la stabilité dans le temps soit d’une précision quasi horlogère, les variations de fréquence à court terme sont légions, pouvant atteindre parfois plus d’un demi-hertz sur une période de 10 secondes. Et, selon le maillage du fournisseur d’énergie local, l’on peut aisément constater que ces mêmes variations se mesurent avec les mêmes écarts dans les villes éloignées parfois de plusieurs centaines de kilomètres.

Or, lors d’un enregistrement, particulièrement lorsqu’un élément de la chaine audio est alimenté par le secteur, et ce même lorsque l’appareil est correctement filtré, une infime partie de ce « 50 Hz » est enregistré avec le signal souhaité. Et avec lui, les variations de fréquence totalement aléatoires le caractérisant. Dater un enregistrement avec une précision de la seconde devient alors presque un jeu d’enfant. Il faut, dans un premier temps, filtrer le contenu de l’enregistrement numérique en n’extrayant que les fréquences situées entre 49 et 51 Hertz, là où l’on est certain de capter le « ronflement » du courant secteur. C’est ce signal que l’on va comparer à un autre signal de référence, en fait les « archives enregistrées » des variations de fréquence caractéristiques de chaque fournisseur d’énergie pour une maille en particulier. Cette comparaison se limite à retrouver une séquence commune aux deux signaux (référence et pièce à conviction), d’une manière analogue à celle que pratiquent les archéologues cherchant à dater un morceau de bois par analyse dendrochronologique. Une correspondance d’événements une fois trouvée, il ne reste plus qu’à relever l’heure à laquelle a été effectué l’enregistrement de référence.

L’on pourrait objecter qu’un appareil alimenté par piles ne peut être perturbé par le « ronflement » du courant secteur. Et bien si, nous apprend Catalin Grigoras. La sensibilité des micros à électret que l’on emploie sur les appareils modernes est telle que le rayonnement électromagnétique des lignes alentours est « capté » par la capsule. Un raisonnement qui peut être étendu à tous les capteurs utilisés dans une chaine d’enregistrement, y compris les têtes magnétiques de DAT.

Encore faudrait-il que les fournisseurs d’électricité du monde entier tiennent à disposition de la justice et des experts des archives complètes de chacune de leurs mailles. Une telle collection d’enregistrements pourrait également donner quelques informations de géolocalisation, puisqu’aucun fournisseur d’énergie ne peut générer les mêmes variations de fréquences que celles de son voisin …

Les millénaristes et amateurs de titres tapageurs le disent et le répètent depuis bientôt 5 ans : 2011 sera une année qui fera date dans la magnitude des éruptions solaires. Cette brutale activité devrait, selon certains, transformer l’humain en proche cousin de la brochette merguez-chipolata, pour d’autres s’avérer aussi destructeur qu’une cyberguerre Estonienne à l’échelon mondial. Car, expliquent-ils, les bombardements ionisants venus de l’espace pourraient affecter nos processeurs, nos lignes de transmission, voir même le bronzage de nos disques durs.

Généreux ou non, le vent solaire du cycle 24 nous apportera de toute manière son lot de charlatans et de vendeurs de solutions miracles. Verra-t-on fleurir de nouvelles publicités pour des câbles Ethernet « Cat 6 écrantés » garantis anti-neutrons ? Des boîtiers pour serveurs aux normes Mil-std 3.14159 EMP-clean ? Des spécialistes de la « peinture anti-rayonnement » ? De la crème de jour Clarins contre les éruptions solaires ? Ou bien encore des chapeaux à aimants intégrés capables de dévier les radiations mortelles de Phébus (lire à ce sujet un excellent papier de la « Bib » ). Les spécialistes du backup « solar-resistant » viendront nous vendre des systèmes de PRA garantis tous-temps, et les gourous du firewall et de l’antivirus auront su, c’est certain, modéliser la signature du « bit aléatoire » ajouté sans vergogne par la chromosphère en furie.

Twitter Kebab: plus de 1000 comptes Twitter, majoritairement Israéliens, auraient été piratés par des hackers « noirs » d’origine Turque (ou se prétendant tels). Info relayée par F-Secure. L’exploit utilisé ne semble pas connu.

Un flic à historique de navigation. Un excellent outil de sensibilisation au message « videz vos caches »…

Le numéro 26 de (In)Secure vient de sortir. De passionnants papiers sur le spam par sms, la sécurité de l’iPhone, l’authentification ADS à partir d’un poste Linux…

« Image microcosmique de la société reflétant ses luttes de pouvoir et ses mariages d’intérêt » pour certains sociologues, instrument politique de manipulation pour d’autres, les rencontres de personnes jouant à la balle dans un champ sont souvent le catalyseur d’idées techniques remarquables. Les statistiques de consommation en eau (effet « chasse d’eau de la mi-temps »), les procédés d’optimisation de la fermentation du houblon, le redressement du déficit endémique de l’industrie du disque… Tout çà, c’est grâce au foot.

Et depuis peu, ce sport réunissant la fine fleur de l’intelligentsia de l’analyse de signal s’est penchée sur un problème fondamental : le filtrage des Vuvuzelas. C’est un vrai problème de sécurité, qui, nous affirme le Figaro, pourrait même être classé au rang de « risque physique majeur » pouvant entraîner des lésions auditives irréversibles. Pensez donc, aussi puissant qu’un avertisseur de pompiers ! Pire que le walkman chez les jeunes. Alors, les geeks ont réagi. La fréquence moyenne de ce genre de trompette se situant aux environs de 220 à 230 Hz, il suffit d’appliquer un « notch » (filtre coupe-bande) sur le signal audio pour faire disparaître le bourdonnement des supporters. Certains possesseurs de mediacenters ou d’installations audio sophistiquées ont immédiatement sorti leurs égaliseurs, logiciels ou matériels. Korben en touche deux mots au fil d’un billet, et fait remarquer qu’il est également nécessaire de couper les harmoniques (l’auteur ne prend en compte que les harmoniques paires).

Mais le nec plus ultra de la solution nerd revient à Simon H., Product Manager chez LabView, l’un des outils d’analyse et de traitement de signal les plus sophistiqués qui soit. LabView est un programme commercial fort cher, mais dont le fonctionnement peut être remplacé par un simple run-time. Il n’en fallait pas plus à notre ingénieur pour développer un filtre complexe anti-trompette , disponible en téléchargement gratuit. Les composantes dudit filtre peuvent être analysées avec la version de démonstration du logiciel. A noter, le filtrage de la presse et des humoristes radiophoniques ne peut être modélisé avec LabView.

Don Jackson, de SecureWorks, se penche sur le problème des machines hautement sécurisées à usage spécifique. Dans les grandes lignes, il s’interroge sur l’utilité et l’efficacité d’un ordinateur particulièrement protégé et qui ne servirait qu’aux transactions en ligne sensibles : opérations bancaires, achats, déclarations administratives, envoi de documents confidentiels (médicaux, comptables..) etc. Une question qui concerne aussi bien les particuliers que les PME.

De nos jours, continue l’auteur, toute machine est vendue avec un noyau proche de la dernière « mise à jour » en date, avec les principaux outils de sécurité installés et configurés dans un mode par défaut relativement paranoïaque. Une telle configuration pourrait constituer une base intéressante, à condition de ne pas être tenté de l’employer dans le cadre d’un usage quotidien ou d’opérations « à risque »… la stérilité de l’objet ayant alors statistiquement de plus fortes chances d’en pâtir.

L’autre solution, prônée par beaucoup d’experts, consiste à utiliser le PC quotidien, mais en le faisant démarrer sur un Live CD incapable d’accepter la moindre écriture disque (et pour cause). Solution, explique l’auteur, qui ne peut satisfaire tout le monde, car si l’idée de Live CD est largement répandue dans le milieu Linuxien, elle est un peu plus compliquée à mettre en œuvre pour un utilisateurs Windows… surtout s’il n’est pas un ninja du Bart’s PE ou de WAIK. Et quand bien même cette opération serait à la portée du premier venu que cela n’interdirait pas les infections en mémoire ou les attaque man in the middle. Le risque est certes minimisé, il n’est pas totalement supprimé, et peut donc créer un sentiment de fausse sécurité.

D’autres possibilités peuvent également améliorer le niveau de sécurité d’une transaction. A commencer par un « thin client » dépourvu de la moindre intelligence. Si le modèle s’apparente à celui du Live CD, il ajoute une couche supplémentaire de « sécurité par différentiation » : le noyau de ces machines est généralement un Linux embarqué ou un Windows CE, deux systèmes pour lesquels le nombre de virus et de vecteurs d’attaque est bien plus faible que sous Windows « normal ».

L’on peut aussi imaginer voir se répandre l’usage de VM spécifiques. Soit des machines virtuelles à usage unique, mode Rutkowska, soit des vm « burinées dans le silicium » tel HyperCore, récemment acquis par HP.

Reste enfin la solution de la « vieille machine reconvertie », le pc-XT de grand-papa que l’on aurait dépoussiéré. Las, si l’on s’en tient à la sphère Windows, plus les configurations matérielles sont vieilles, plus les noyaux que l’on peut y installer sont anciens et perclus de rhumatismes binaires. Les amoureux de Linux peuvent, pour leur part, chercher à installer les versions allégées récentes d’un Damned Small Linux, d’un Ubuntu Netbook Remix ou d’un Antix (dérivé de Debian Mepis), toutes capables de démarrer à partir d’un CD ou d’une clef USB, et plus faciles à sécuriser.

Bien que se défendant de tout pessimisme, le Clusif (Club de la Sécurité de l’Information Français) publie son traditionnel rapport annuel sur l’état des menaces en France, et le résume en un mot : laborieux. Si les années précédentes ont été marquées par un effort (faible mais certain) dans le domaine des politiques de sécurité et des investissements en équipements et logiciels de protection, force est de constater que le mouvement s’essouffle. La faute à qui ou à quoi ? probablement aux restrictions budgétaires conjoncturelles qui affectent en priorité les postes « non directement productifs », probablement aussi en raison des forts investissements qui ont parfois grevés les budgets durant les années précédentes (SarbOx pour les entreprises internationales, Bales II, PCI-DSS, ISO 27xx…).

Dans le détail, l’étude du Clusif a porté cette année sur 30 entreprises (de plus de 200 personnes), 151 hôpitaux et 1000 internautes. La prise en compte par le Club de « l’homo informaticus » hors entreprise est d’autant plus intéressante qu’elle sert d’étalon à l’efficacité des campagnes de sensibilisation, en dehors de toute « influence » d’entreprise. En outre, le parc « grand public » tend à prendre une importance d’autant plus grande que 21 % des foyers possède désormais plus de 3 ordinateurs, que 80 % d’entre eux sont connectés en permanence, et que 58% accèdent à Internet en dehors de leur domicile. L’on pourrait presque avancer que le secteur grand public est plus « mobile » que celui des entreprises.

Dès que l’on aborde l’aspect sécurité lié à l’usage de l’informatique, il apparaît que le « ressenti » évolue très nettement dans le « bon sens »… ce qui ne veut pas dire que les attitudes et les pratiques suivent ces déclarations. Ainsi, 73% des internautes considèrent qu’internet met en danger leur vie privée. Un chiffre en nette hausse par rapport à l’an dernier. Que craignent ces usagers ? 80% des personnes craignent les virus, 76% les spywares, 71% spam, 68% les phishing et escroqueries… l’on pourrait presque dire que les craintes sont inversement proportionnelles à la fréquence des menaces. Paradoxalement, 68% ont peur des vols d’identité, 60% des intrusions, alors que dans les deux cas, les conséquences sont généralement plus « tangibles » et coûteuses qu’une « simple » attaque virale. Et si 59% des internautes utilisent une liaison wifi, elles font généralement preuve d’un manque de maturité avec risques de connexion à un « faux portail » ou à un « Rogue Access Point ». Paradoxe également cette notable « montée en confiance » des liaisons https. Ils étaient 94% l’an passé à faire attention à la présence du fameux « petit cadenas » lors d’une session sécurisée… 97% cette année. A l’heure où certaines banques américaines décident d’abandonner précisément ces techniques en raison du sentiment de fausse sécurité qu’elle procure et de la facilité avec laquelle une telle liaison peut être « simulée », l’on se rend compte que l’inertie des messages et des réactions du public.

Si, dans le secteur privé,les questions de sensibilisation et d’évaluation des menaces sont en revanche nettement mieux perçues et maîtrisées, cela ne veut pas pour autant dire que toutes les pratiques techniques sont mises en œuvres. Ainsi, après avoir interrogé un panel de 350 entreprises de plus de 200 salariés, le Clusif dégage quelques changements d’attitude par rapport à l’an passé. Notamment une nette croissance (+14%) de la mise en œuvre de politiques de Sécurité des Systèmes d’Information (SSI) dans les entreprises. Paradoxalement, alors que l’on voyait la SSI s’émanciper, l’an passé, des directions Informatiques pour dépendre directement des Directions Générales, la proportion de SSI chapeautés par la DSI est plus importante cette année. Ce n’est pas là un retour en arrière, mais une conséquence directe de l’accroissement du nombre de SSI. Croissance que confirme un autre chiffre, celui de l’augmentation du nombre de RSSI (49%, +12% vs 2008).

Côté outils, les investissements favorisent les « classiques » et les déploiements de certains outils frisent le 100%. Le tiercé gagnant est remporté par les antivirus, les firewall, les antispam (97,95 et 91%), suivis de loin par les IDS/IPS (34/27%, progression de +11% vs 2008), l’accès réseau –NAC- (23%), les outils de chiffrement (17%, +7%), le DLP (9%). Si les outils spécifiquement « fuite d’information » ont encore du mal à décoller, les mécanismes pouvant prévenir ces fuites se portent très bien. Et notamment le SSO (chez 21% des personnes interrogées, en hausse de 14%) et le Web SSO (8%, +5%).

Outre le traditionnel « périmétrique »,les hommes du métier agrandissent leurs panoplies et les outils de mesure. Pour preuve, une très nette diminution (-19%) des personnes annonçant ne pas avoir déclaré d’incident. Ils ne sont plus que 26%, ce qui serait la preuve non pas d’une augmentation des vulnérabilités ou des attaques, mais une meilleure appréhension des problèmes jusqu’à présent passés « sous les radars ».

Efforts également sur le plan des conformités.68% du panel se déclare conforme à la CNIL, 20% « conformes pour leurs traitements sensibles ». Les tableaux de bords de sécurité progressent de 11%, mais ne sont utilisés que dans 34% des entreprises. Même pauvreté de moyen à propos des audits de sécurité : près d’un quart des personnes interrogées avouent n’en avoir jamais fait.

Ce n’est pour l’instant qu’une recommandation faite par un Comité d’Etudes près la Chambre des Représentants d’Australie. Mais un projet tout à fait sérieux : les internautes Australiens n’auront accès à Internet qu’à partir du moment où leur machine sera protégée par un antivirus. Un scoop de nos confrères de News.com.

Encore une « intolérable ingérence de l’Etat » dans les affaires privées ? Peut-être pas. Car cette proposition est accompagnée d’une série de mesures on ne peut plus intéressantes.

– Ainsi, la création d’un centre d’aide et d’information opérationnel 24h sur 24 ; un Cert grand public, tel qu’il en existe un peu de partout en Europe, à l’exception de la France.

– Un amendement rendant illégal toute intention de modifier un système d’information. En d’autres termes, une sorte de LCEN à la mode des antipodes.

– Une proposition d’indemnisation des clients victimes d’éditeurs ayant commercialisé des programmes comportant des vulnérabilités. De quoi faire chauffer la colle des méthodes Owasp et SDL.

Ajoutons que l’offre sur le marché des antivirus gratuits est devenue aussi fiable que celle des programmes commerciaux, ce qui ne devrait donc pas pénaliser les internautes les plus démunis ou les plus économes. En outre, les mécanismes de contrôle d’accès réseau (NAC) sont désormais asses bien maîtrisés et élaborés pour que chaque FAI puisse les mettre en œuvre. Le bilan est donc globalement positif.

Sauf que le diable risque de se cacher dans les détails. Les Français en ont eu un avant-goût avec les effets pervers de la LCEN. S’ajoute également le risque de voir les mécanismes de NAC devenir un peu plus intrusifs que prévus, l’Australie étant en matière de contrôle des flux IP et des contenus un champion presque aussi efficace que le gouvernement Chinois. Vient ensuite le risque de « sentiment de fausse sécurité » qu’apporterait une couverture antivirale totale. Le monde IP n’a pas de frontières, et l’on imagine mal les Australiens ne pas surfer en dehors de leur pays. Et notamment sur des serveurs qui, mal protégés, peuvent à leur tour infecter les postes des visiteurs. L’efficacité des antivirus n’étant pas absolue, loin s’en faut, les résultats seraient catastrophiques, puisque personne ne chercherait à éliminer des malwares qui, par décret et assurance gouvernementale, ne sauraient exister.

Enfin, la proposition de « compensation » en cas d’achat de logiciel bugué montre à quel point certains aspects du projet sont encore utopistes et/ou issus d’esprits politiques ne comprenant peut-être rien à la chose informatique : si Microsoft ou Adobe avaient dû offrir ne serait-ce que 50 cents à chaque internaute, pour chaque faille déclarée, ces entreprises seraient exsangues depuis bien longtemps … Un programme sans « trou » -hormis peut-être le célèbre printf « Hello World »-, est une vue de l’esprit.

En décembre dernier, puis, plus récemment, dans le courant du mois de mai, la police britannique a intercepté de dangereux touristes coupables d’avoir photographié quelques monuments Londoniens. La photographie pouvant être, comme chacun peut aisément le deviner, la phase préliminaire à toute action terroriste ou tout cambriolage.

Aux USA, ce ne sont pas les monuments qui sont interdits de reproduction argentique, mais les policiers eux-mêmes, révèle Gizmodo. Dans 12 Etats des USA, photographier un représentant des forces de l’ordre est puni par la loi… surtout si le photographe fait partie de la presse. Les peines peuvent valoir de 4 à 15 ans d’emprisonnement à leurs auteurs, même et surtout si les actions de la police sont entachées de graves manquements à la procédure. Grace à de tels textes, il est strictement impossible de filmer la moindre brutalité policière : le système est auto-protégé. Plus près de nous, en France, certains précédents présentent de troublantes analogies.

Est-il nécessaire de préciser que les exemples cités –Boston, Londres, Puteaux…- se déroulent dans des villes réputées pour leur densité de caméras de vidéosurveillance installées par les municipalités. Caméras dont l’accès aux images est généralement réservé aux forces de police.