juin 14th, 2010

HITB, Hack in the Box, ce sera en Europe, à Amsterdam très exactement, du 29 juin au 2 juillet prochain. Cette année, beaucoup de « sans fil » du côté des hackerspace…

« SSL, c’est le WEP de la sécurité bancaire : faillible, mais c’est toujours mieux que rien ». Excellent exercice de vulgarisation et de simplification du protocole SSL et de ses défauts, par Neal Krawetz de Hacker’s Factor

Fierce 2.0,l’énumérateur DNS en Perl, a, nous apprend son auteur, totalement été ré-écrit par Jabra, de Rapid7. Version finale attendue dans les jours qui suivent, pré-version téléchargeable

Deux billets à propos de Facebook. Tous deux publiés sur des blogs dépendant d’éditeurs d’antivirus. Et tous deux traitants du pouvoir de crédibilité que les réseaux sociaux apportent aux attaques en social engineering … si c’est sur Facebook, c’est forcément vrai.

Le premier est signé par François Paget, et traite d’une de ces nombreuses escroqueries au « job en or » qui ne demande qu’un léger investissement de 2,97 $… une somme qui, en fait, est une sorte de blanc seing donnant le droit au prétendu apporteur d’affaires de prélever chaque mois 93 $ sur le compte de la victime. Et cette sorte d’abonnement au succès peut être interrompue sur simple appel téléphonique, encore faut-il avoir la chance d’entendre quelqu’un décrocher pour prendre l’appel. Rien là que de très classique, dira-t-on, car de tels chalutiers à gogos écument les océans du Web et de l’email depuis quelques décennies. Mais le Web Deuzéro, nous indique François Paget, offre l’avantage d’afficher haut et clair l’ampleur de chaque buzz, la portée de chaque escroquerie. Dans le cas de ces illusionnistes du travail à domicile, plus de 268 000 « membres » se sont inscrits pour suivre l’actualité de ce Facebookemaker faisandé… 268 000 crédules drainés en moins de deux semaines.

Même histoire du côté de F-Secure. Sean est parti enquêter sur les résultats de fréquentation d’un spam tapageur utilisant les vieilles ficelles de la presse à scandale. En moins d’une demi-journée, 140 000 personnes avaient cliqué sur le lien incitatif. Pis encore, près de la moitié des personnes tombées dans ce piège aussi grossier que vulgaire ont également activé la fonction « Accéder à mes informations publiques, nom, profile, liste d’amis et autres aspects publics de mon profil ».

Ces deux métriques apportent aux responsable sécurité un début de réponse, une estimation aisément vérifiable sur les « taux de retour » des attaques en ingénierie sociale en usage sur Internet. Jusqu’à présent, l’ampleur du phénomène était relativement mal appréciée, puisque dépendante des publications d’éditeurs de logiciels de protection ou d’équipementiers, à la fois juge et partie. C’est ainsi que les « bugs du siècle », « virus mondiaux » et « botnet titanesques » s’avéraient parfois aussi vertigineux qu’une taupinière, aussi dangereux qu’une charge de gastéropodes. Facebook, c’est l’énormité en plus et le « FUD » en moins… du moins pour ce qui concerne les métriques de consultation, et tant que les administrateurs du site n’auront pas compris qu’il est possible de faire de l’argent avec ce genre de données.

Bruce Schneier planche sur cette question digne d’un sujet du bac: « should you hire a hacker ». Et par hacker, l’on entend pour une fois un pratiquant du côté obscur de la force, un mécréant, en bref, un pirate.

Et le « Chuck Norris » de la sécurité de reprendre les arguments des penseurs qui ne pensent pas « embaucheriez-vous un Bernard Madoff pour gérer vos comptes ou un pédophile pour surveiller un jardin d’enfants ? Certes pas »…. « mais, continue-t-il, engageriez-vous un perceur de coffre-forts pour revoir la sécurité de votre banque ? Ou un spécialiste des publicités mensongères pour exploiter de nouvelles ficelles lors de votre prochaine campagne marketing ? Très probablement ». En fait, continue le papa de BlueFish, tout dépend du secteur, tout dépend du « crime ». Et l’amateur de bonne cuisine « à la française » et de poulpes exotiques de pousser le raisonnement plus loin encore : « appointeriez-vous un tueur patenté formé dans les rangs de la CIA pour vous servir de garde du corps ? Feriez-vous confiance à un général victorieux spécialiste des tactiques offensives lors de la conception d’une place fortifiée… sachant que ces deux personnages seraient susceptibles de devoir répondre de meurtres devant une cours de justice ? » Il y a effectivement des considérations morales à prendre en compte, mais qui doivent être balancées par les enseignements que l’on peut tirer de leur expérience.

Schneier aurait pu aller bien plus loin encore. Et demander par exemple « Accepteriez vous de confier à un ancien criminel nazi responsable de centaines de morts par épuisement la responsabilité de l’une des plus grandes administrations américaines spécialisée dans l’exploration spatiale ? » ou bien encore « confieriez-vous le titre de préfet de police à un tortionnaire collaborateur directement responsable de la déportation et de l’exécution de dizaines de compatriotes ? » Cela peut paraître écœurant, mais la réponse est encore « oui ». Plus les enjeux politiques sont élevés, plus grande est l’absolution des crimes, plus profonde est l’amnésie de ceux-là mêmes qui s’érigent en juges intègres et en donneurs de leçons.

Les « petits crimes informatiques » sont d’autant plus pardonnables qu’ils sont moralement plus acceptables que ceux d’un Werner Von Braun ou d’un Maurice Papon. D’autant plus acceptables aussi car ils relèvent la plupart du temps d’une absence de barrière imposée par le « sur-moi » -la conscience morale-, que l’on appelle encore « erreur de jeunesse » ou « emportement fougueux ». C’est là un travers courant de la jeunesse, qui s’atténue ou disparaît généralement passé 22 ou 25 ans. Mais c’est également avant cet âge fatidique, celui de l’assagissement, que s’exprime le plus cette « créativité du hack ».

En vieillissant, Schneier a la sagesse de ne pas sombrer dans la réaction. Son point de vue n’est pas empreint d’angélisme, il ne remet pas en cause la responsabilité du hacker noir. Mais il lui accorde non seulement le droit à la rédemption, mais également la reconnaissance de sa propre valeur.