juin 28th, 2010

Twitter Kebab: plus de 1000 comptes Twitter, majoritairement Israéliens, auraient été piratés par des hackers « noirs » d’origine Turque (ou se prétendant tels). Info relayée par F-Secure. L’exploit utilisé ne semble pas connu.

Un flic à historique de navigation. Un excellent outil de sensibilisation au message « videz vos caches »…

Le numéro 26 de (In)Secure vient de sortir. De passionnants papiers sur le spam par sms, la sécurité de l’iPhone, l’authentification ADS à partir d’un poste Linux…

« Image microcosmique de la société reflétant ses luttes de pouvoir et ses mariages d’intérêt » pour certains sociologues, instrument politique de manipulation pour d’autres, les rencontres de personnes jouant à la balle dans un champ sont souvent le catalyseur d’idées techniques remarquables. Les statistiques de consommation en eau (effet « chasse d’eau de la mi-temps »), les procédés d’optimisation de la fermentation du houblon, le redressement du déficit endémique de l’industrie du disque… Tout çà, c’est grâce au foot.

Et depuis peu, ce sport réunissant la fine fleur de l’intelligentsia de l’analyse de signal s’est penchée sur un problème fondamental : le filtrage des Vuvuzelas. C’est un vrai problème de sécurité, qui, nous affirme le Figaro, pourrait même être classé au rang de « risque physique majeur » pouvant entraîner des lésions auditives irréversibles. Pensez donc, aussi puissant qu’un avertisseur de pompiers ! Pire que le walkman chez les jeunes. Alors, les geeks ont réagi. La fréquence moyenne de ce genre de trompette se situant aux environs de 220 à 230 Hz, il suffit d’appliquer un « notch » (filtre coupe-bande) sur le signal audio pour faire disparaître le bourdonnement des supporters. Certains possesseurs de mediacenters ou d’installations audio sophistiquées ont immédiatement sorti leurs égaliseurs, logiciels ou matériels. Korben en touche deux mots au fil d’un billet, et fait remarquer qu’il est également nécessaire de couper les harmoniques (l’auteur ne prend en compte que les harmoniques paires).

Mais le nec plus ultra de la solution nerd revient à Simon H., Product Manager chez LabView, l’un des outils d’analyse et de traitement de signal les plus sophistiqués qui soit. LabView est un programme commercial fort cher, mais dont le fonctionnement peut être remplacé par un simple run-time. Il n’en fallait pas plus à notre ingénieur pour développer un filtre complexe anti-trompette , disponible en téléchargement gratuit. Les composantes dudit filtre peuvent être analysées avec la version de démonstration du logiciel. A noter, le filtrage de la presse et des humoristes radiophoniques ne peut être modélisé avec LabView.

Don Jackson, de SecureWorks, se penche sur le problème des machines hautement sécurisées à usage spécifique. Dans les grandes lignes, il s’interroge sur l’utilité et l’efficacité d’un ordinateur particulièrement protégé et qui ne servirait qu’aux transactions en ligne sensibles : opérations bancaires, achats, déclarations administratives, envoi de documents confidentiels (médicaux, comptables..) etc. Une question qui concerne aussi bien les particuliers que les PME.

De nos jours, continue l’auteur, toute machine est vendue avec un noyau proche de la dernière « mise à jour » en date, avec les principaux outils de sécurité installés et configurés dans un mode par défaut relativement paranoïaque. Une telle configuration pourrait constituer une base intéressante, à condition de ne pas être tenté de l’employer dans le cadre d’un usage quotidien ou d’opérations « à risque »… la stérilité de l’objet ayant alors statistiquement de plus fortes chances d’en pâtir.

L’autre solution, prônée par beaucoup d’experts, consiste à utiliser le PC quotidien, mais en le faisant démarrer sur un Live CD incapable d’accepter la moindre écriture disque (et pour cause). Solution, explique l’auteur, qui ne peut satisfaire tout le monde, car si l’idée de Live CD est largement répandue dans le milieu Linuxien, elle est un peu plus compliquée à mettre en œuvre pour un utilisateurs Windows… surtout s’il n’est pas un ninja du Bart’s PE ou de WAIK. Et quand bien même cette opération serait à la portée du premier venu que cela n’interdirait pas les infections en mémoire ou les attaque man in the middle. Le risque est certes minimisé, il n’est pas totalement supprimé, et peut donc créer un sentiment de fausse sécurité.

D’autres possibilités peuvent également améliorer le niveau de sécurité d’une transaction. A commencer par un « thin client » dépourvu de la moindre intelligence. Si le modèle s’apparente à celui du Live CD, il ajoute une couche supplémentaire de « sécurité par différentiation » : le noyau de ces machines est généralement un Linux embarqué ou un Windows CE, deux systèmes pour lesquels le nombre de virus et de vecteurs d’attaque est bien plus faible que sous Windows « normal ».

L’on peut aussi imaginer voir se répandre l’usage de VM spécifiques. Soit des machines virtuelles à usage unique, mode Rutkowska, soit des vm « burinées dans le silicium » tel HyperCore, récemment acquis par HP.

Reste enfin la solution de la « vieille machine reconvertie », le pc-XT de grand-papa que l’on aurait dépoussiéré. Las, si l’on s’en tient à la sphère Windows, plus les configurations matérielles sont vieilles, plus les noyaux que l’on peut y installer sont anciens et perclus de rhumatismes binaires. Les amoureux de Linux peuvent, pour leur part, chercher à installer les versions allégées récentes d’un Damned Small Linux, d’un Ubuntu Netbook Remix ou d’un Antix (dérivé de Debian Mepis), toutes capables de démarrer à partir d’un CD ou d’une clef USB, et plus faciles à sécuriser.