juin 10th, 2010

Les SSTIC comme si vous y étiez… ou pas. Sur le blog de Cédric « Sid » Blancher, Yvan « Vanhu »Vanhullebus (très humoristique et précis), Erwan (concis) , SecuObs (massif), Jer001 (chirugical) et tous les autres sur Twitter (minimalistes).

Joanna Rutkowska sur les « VM Kleenex » : un article dans la droite ligne des développements de Qubes et qui rappelle le principe des « autonomic computers » ou des systèmes à micronoyau

Bonnes pratiques pour éviter les attaques par PDF forgés : un article signé Michael Cobb, qui insiste sur le fait que 28% des exploits utilisés par les malwares ont pour origine les fichiers Adobe

Après les réseaux WiFi et les programmes en assembleur, l’équipe de la DefCon et Social-Engineering.com organisent (c’est une première) un nouveau genre de concours « Capture the Flag » : une course à la collection d’indices trainant sur Internet. Le règlement est simple. Après inscription, chaque participant se verra recevoir l’URL d’une entreprise. Au « top départ », les concurrents devront utiliser tout ce qui est en leur pouvoir pour collecter sur Internet un maximum d’informations sur l’entreprise en question. Interdiction est faite de « provoquer » les fuites par envoi d’un email, coup de téléphone ou rencontre physique. Durant la conférence, un court moment de parole sera donné à chaque participant pour décrire la technique de récolte d’informations et présenter les découvertes effectuées, puis 20 minutes seront consacrées à chaque participant pour lancer leur attaque et récupérer une information précise. Le règlement est drastique et insiste sur certains points moraux. Notamment ne pas porter atteinte à la cible ou à ses employés, ne rien faire d’illégal, n’attaquer ou ne collecter aucune donnée « sensible » telle que des mots de passe ou des numéros de cartes de crédit, ne jouer sur aucune corde de type FUD, scareware et autres pratiques intimidantes…

Les entreprises « cibles » seront suggérées par les participants eux-mêmes, mais il n’est absolument pas certain que ces mêmes participants se verront attribuer la « victime » de leur choix. Le site des organisateurs foisonne de techniques et de recommandations, et mériterait la création d’un « dépôt » traduit en français.

L’on se souvient de la faille Win32hlp (https://www.cnis-mag.com/pour-pirater-appuyez-sur-f1.html) découverte il y a trois mois par Maurycy Prodeus. Celle dévoilée par le talentueux Tavis Ormandy est tout aussi savoureuse, voire même plus subtile, puisqu’elle repose sur un défaut d’interprétation du protocole hcp, le Help Center Protocol, reconnaissable grâce à l’url « hcp:// ». « Aurais-je signalé qu’il était possible de forger une réponse pour accéder au poste requêteur à distance que l’on ne m’aurait prêté aucune attention » dit en substance Ormandy à la fin de son communiqué. Communiqué qui intègre notamment une preuve de faisabilité.

Certes, cette attaque implique que l’attaquant puisse se substituer au centre d’aide et de support en ligne de Microsoft, et que la victime n’utilise pas un noyau trop récent (l’attaque n’est censée fonctionner pour l’instant que sur les plateformes XP/2003). Le risque est pourtant non nul et repose, une fois de plus, la question de la confiance que l’on doit apporter aux services en ligne des éditeurs possédant une bonne « réputation ».