juin, 2010

Un total de 28 alertes CVE, 23 rustines : le dernier lot de correctifs émis par Apple, qui concerne essentiellement les services gravitant autour du noyau Leopard (kerberos, les serveurs SMB, Wiki…), fait suite aux quelques 48 défauts récemment rectifiés dans Safari.

L’une des failles concernant Cups, l’interface Windows, avait déjà fait l’objet d’une signalisation de la part de GNU Citizen.

Bizploit est un environnement gratuit de test de pénétration orienté ERP… le premier du genre. Le progiciel principalement visé est SAP, mais est capable de s’adapter à d’autres programmes

Flash Player : à patcher d’urgence ! outre une collection impressionnante de trous (32, pas moins), ce bouchon coupe court à certains « proofs of concept » et exploits publiés

Comme prévu, pourrait-on dire, les indiscrétions du programme de « surveillance » Hadopi commercialisé 2€ par mois par Orange a fait les frais d’un décorticage détaillé. de la part d’une équipe connue sous le nom de « Cult of the dead Hadopi ». Une analyse de l’analyse est aimablement fournie par Cédric Blancher, lequel nous apprend qu’il y a dans ce code-là de la graine de botnet (pas d’authentification du code expédié par le serveur central, possibilité de prise de contrôle à distance via un proxy de « détournement »), botnet lui-même fortement envisageable compte-tenu des faiblesses de l’infrastructure elle-même. Et ce n’est qu’un début, précise le Cult of the Dead Hadopi… il y a encore du potentiel dans ce programme-là.

Un logiciel de protection possédant tout ce qu’il faut pour fabriquer un botnet et compromettre des milliers de machines, le tout payé avec l’argent des victimes consentantes sous le douteux prétexte de veiller à la bonne santé financière d’un quarteron de marchands de musique essentiellement de variétés …. Cela ne rappelle-t-il rien aux habitués de la sphère sécurité ? Mais oui, bien sûr… le « botnet Sony BMG » qui valu à ses auteurs une place méritée sur Wikipedia. Qui donc, après un tel exploit (au sens « sécurité informatique » du terme) osera reprendre le flambeau et envisager de se lancer dans le négoce des hadopiciels sans craindre un « reverse engineering » ravageur ?

Et c’est sans parler de l’atteinte à l’image de marque. Les persifleurs auront beau jeu de demander à Orange (le FAI) si les offres de services « antivirus en ligne » protègent efficacement contre leurs propres productions internes… Les maraîchers de la Rue Saint Denis vanteront la qualité de leurs agrumes « garantis sans pesticides ni virus »… les truands entre eux en plaisanteront : « Si jamais tu te fais serrer, on t’apportera des clémentines… parce que les oranges, par les temps qui courent… ». Nos confrères des hebdos du Mercredi sombreront dans la facilité et titreront « Orange, Oh désespoir ! »… Quand aux journalistes de la presse spécialisée, il s’en trouvera bien un ou deux pour se demander si la LCEN ne pourrait être appliquée dans toute sa rigueur. Car après tout, cette branche de l’Opérateur Historique Français ne s’est-elle pas rendue coupable de « faire publicité », de diffuser, de détenir, de commercialiser un outil pouvant manifestement porter atteinte à des systèmes d’information ? La balle est dans le camp de Maître Eolas.

Cet esprit de sel mis à part, et en faisant abstraction des « dommages collatéraux » qu’auraient pu occasionner ce programme bâclé et dangereux, on peut se demander si la logique d’entreprise et la notion de recherche de profit n’est pas incompatible avec les impératifs de l’appareil d’Etat.

Peut-on conclure que l’application d’une loi sotte ne peut engendrer que des sottises ? Que l’hypothèse que nous soulevions le 15 juin dernier se confirme ?–à savoir que le business model d’un Hadopiciel géré par des entreprises privées fait que ladite entreprise n’a aucun intérêt à voir disparaître les pirates puisqu’ils constituent le terreau d’un fond de commerce profitable. Que toute extension Européenne d’un équivalent d’Hadopi (Acta notamment) aura des conséquences probablement semblables… mais à l’échelle Européenne, donc d’une gravité bien plus grande encore.

Mais ce qui fut le plus riche d’enseignements dans cette triste histoire, c’est la source même de cette révélation, ainsi que le médium qui a permis que l’information circule. C’est grâce à l’activité, à la vigilance de la liste Full Disclosure, que beaucoup voudraient voir disparaître, qu’une telle menace a pu être exposée au grand jour. C’est grâce à cette liberté de parole qui a encore droit de cité dans certains pays étrangers que le danger a pu être écarté. C’est grâce au travail d’un petit groupe qu’un « grand groupe » a dû faire machine arrière et reconsidérer l’opportunisme de son action.

Tiens, voilà du potin, voilà du potin : dans les pages intérieures de notre confrère Security News, ce papier intitulé « Les prochaines manœuvres CyberStorm vont mettre à mal la coopération internationale en matière de sécurité ».

– J’lis pas l’angliche, m’nadjudant.

– Sergent-chef Duclavier, c’est la raison pour laquelle vous n’êtes que Sergent-chef et que je vais prendre du galon. Mais bon : dans les grandes lignes, le gouvernement Américain, ses First, ses Cert, ses grandes entreprises et responsables d’infrastructure (dont 9 sociétés en informatique, 6 fournisseurs d’énergie, 2 compagnies aériennes) effectuent régulièrement un exercice simulant une « cyberattaque ». C’est la troisième du genre, et ça revient comme les radis, comme Satory, comme le 14 juillet, et comme la corvée d’pluches… mais tous les deux ans, en septembre. C’est pas franchement une méga-journée Pentest, rapport au fait que les canons sont chargés à blanc et les attaques franchement virtuelles. De la cyberguerre d’opérette en somme. Mais çà permet de voir tout de même si le piquet d’incendie est encore capable de réagir correctement et dans les temps.

– Mais m’nadjudant, nous sommes une armée moderne… avec des machines à éplucher les patates. Et puis, moi, les virusses et les malouaires, j’les crains pas avec mon Olivetti mécanique. Y’a que vous qui-z-avez un ordinateur Bull BM60.

– Assez de sarcasme, c’est réservé aux-z-officiers et à ceux qui vont le devenir. Mais le point important n’est pas là. Cette année, ces grandes manœuvres seront internationales, avec les cyberdéfenseurs Canadiens, Britanniques, Néo-Zélandais et 9 pays européens invités à participer. C’est confirmé par les Kiwis.

– Mais m’nadjudant, Etats-Uniens, Canadiens, Néo-Zélandais, Australiens, Britanniques… c’est pas nos ennemis numériques ? Ceux de l’Alliance UKUSA ? Les fomenteurs d’Echelon ? Faut dire que j’y comprends plus rien. La semaine dernière, c’était les cyberaccords Salt du désarmement numérique et l’entente cordiale entre le Kremlin et Washington dans une sorte d’Internationale de la Cyberdéfence. Si le Grand Large copine avec les Grandes Steppes, on est comme qui dirait encerclé. R’marquez, chanter l’Internationale, j’ai rien contre… j’ai appris le Drapeau Rouge pendant mon stage commando à la Légion.

– Mais-z-ici, vous êtes à l’Intendance, et c’est interdit. Et puis, on est en pleine reconfiguration géostratégique, d’autant plus épineuse que l’ennemi a oublié Clausewitz et un peu trop lu Mao… il se fond dans le cyberespace comme un poisson dans l’eau. Du fait, nous luttons contre un ennemi intérieur et extérieur insaisissable, voir des groupuscules de technoterroristes eux-mêmes manipulés par d’autres groupuscules politico-religieux évoluant dans un no-mans-land aussi indéfini qu’international. Je doute qu’un jour Jean-Christophe Victor parvienne à nous faire un « dessous des cartes » qui nous aide un jour à comprendre cet imbroglio.
– C’est qui, Jean-Christophe Victor ? un Général ?
– Sergent-chef Duclavier, c’est la raison pour laquelle vous n’êtes que Sergent-chef. En attendant, inspection des disques durs dans 20 minutes. Si je vois un octet pas nettoyé ou une clef USB pas correctement chiffrée avec la grille qui va bien, j’vous colle trois jours. Rompez.

178 personnes arrêtées en Europe et aux USA, principalement en Espagne, dans le cadre d’une enquête internationale visant un réseau de trafic de fausses cartes de crédit. MSNBC rapporte que l’escroquerie porterait sur 20M€, 120 000 cartes volées, 5000 clonées.

Budgets des cyberpoliciers Britanniques, selon le Reg, réduits de 30% par rapport à l’an passé. Précisons que les budgets initiaux étaient élevés et utilisés parfois de singulière façon

L’histoire commence un peu comme un échange sur le court central de Roland Garros : le blogueur Bluetouff dévoile que les premiers logiciels de « sécurisation » Hadopi (celui d’Orange en particulier) provoquent des fuites de données assez étonnantes de la part d’un opérateur (http://bluetouff.com/2010/06/13/orange-vous-securise-ayez-confiance/) qui se veut sérieux. L’Albaniciel échange, entre le poste du « client protégé » et le serveur de supervision, des informations transitant en clair sur Internet.

Renvoi de fond de court de la part de Cédric Blancher, qui, sortant à peine de l’amphithéâtre de l’Université de Rennes, en rajoute une couche en faisant remarquer une seconde et probable vulnérabilité liée à JBoss (car c’est précisément JBoss qu’utilise le logiciel de surveillance Orange).

N’ayant aucune envie de perdre son service, Bluetouff tente et réussit un revers, accompagné d’un superbe néologisme : le « failware de sécurisation Orange ». Et rappelle que, pour voir sa propre machine potentiellement compromise et son numéro IP semé aux quatre vents, les usagers doivent tout de même payer 2 euros par mois ce qui, multiplié par le nombre de personnes « sensibilisées » par les discours anxiogènes des promoteurs d’Hadopi, peut représenter une « opportunité commerciale » avantageuse.

Rappelons au passage que les Albaniciels étaient à l’origine destinés à « protéger » les usagers du Net contre les méfaits des « insiders téléchargeurs compulsifs ». En d’autres termes, il s’agit d’éroder la confiance qui peut régner au sein d’une cellule familiale pour mieux justifier l’installation de programmes de surveillance et de contrôle de contenu.

Une disposition dans l’air du temps

Alors, les hadopiciels sonnent-ils la fin de l’Internet Libre ? C’est là une question trop parcellaire. Il y a près deux ans et demi, Jean Marie Chauvet, éditorialiste-agitateur chez nos confrères d’ITR News, écrivait à propos du Rapport Olivennes

… « Sonia Katyal de la Fordham School of Law appelait très justement les « nouveaux réseaux de surveillance ». Il s’agit d’instaurer progressivement un régime extrajudiciaire de contrôle et de sanction des infractions aux réglementations de la contrefaçon et du copyright, dont l’inspiration rappelle inévitablement la métaphore du Panopticon de Jeremy Bentham »

Si l’on écarte la vision Foucaultienne du panoptique, parcellaire et partiale à tel point qu’elle transformerait en HLM le Familistère Gaudin, on ne peut que reconnaître la justesse de la vision de Katyal/Chauvet sur cette forme de « privatisation » des institutions d’Etats dans notre monde moderne. Avec pour premier justificatif, sous couvert de sécurité, l’économie à court terme induit par cette forme de sous-traitance. Confier à des opérateurs et fournisseurs de services –voir directement aux parties concernées- le droit de rendre justice sans que la Justice n’ait à intervenir, c’est là une logique de désengagement financier de la fonction publique qui rejoint d’autres actions. Ainsi la disparition progressive des antennes de gendarmerie dans les villages, au profit de « police municipale » -euphémisme intéressant pour désigner une milice locale financièrement supportée par les communes-. Ainsi la sous-traitance à des entreprises de droit privé chargées de la gestion à la fois des cinémomètres et de la verbalisation des excès de vitesse. Ainsi –l’exemple américain est là pour prouver cette tendance- la rétrocession à des entreprises privées des centres de détention, voir des centres d’éducation surveillée pour mineurs… ou, pis encore, l’entrée dans la ronde d’entreprises spécialisées dans la « sécurité physique des biens et des personnes sur les terrains d’opération »… en d’autres termes la privatisation de certains pans des forces armées par des Halliburton.

Si cette logique n’a rien de choquant dans des pays où le néolibéralisme confine à la religion, elle est difficilement acceptée en Europe, où les quatre attributs du pouvoir –Police, Justice, Finance et Armée- sont le ciment pour lequel le citoyen accepte de payer des impôts et à s’identifie à une nation. L’on pourrait adjoindre à ces secteurs « sacrés et intouchables » ceux de la santé, des infrastructures routières, des flux indispensables (eaux, gaz-électricité), des télécoms, de l’enseignement… domaines qui, peu à peu, sont « expulsés » du sein de l’Etat-Nation pour des raisons de « réalisme économique ». Sujet du Bac des années 2020 : sans ces institutions, un Etat est-il toujours un Etat ?

Il y a bien plus, derrière Hadopi et les Albaniciels qu’une simple chasse aux pirates de chansonnettes et autre futilités. En « inventant » Hadopi, l’actuel Gouvernement a répondu favorablement à la demande pressante d’un lobby –les éditeurs et industriels du loisir-, sans pour autant s’engager dans la moindre démarche institutionnelle, puisque la concrétisation de ce soutien relève précisément d’initiatives également privées. Et qui dit initiative privée pense immédiatement « logique de rentabilité », indépendamment de tout impératif qualitatif et éducatif.

Orange n’est donc pas coupable, ou du moins pas responsable, mais victime de cette logique du « rendement sécuritaire » et du désengagement institutionnel. Placé dans une situation analogue, un organisme public aurait mis en place probablement les mêmes mécanismes, mais avec une optique différente, visant à la disparition ou la forte diminution du piratage. En confiant ce travail au secteur privé, mu par une logique de bénéfice et de croissance, l’Etat a mis en place un système qui vise à faire perdurer et le piratage par téléchargement, et la victimisation des éditeurs du secteur du loisir. Car quel intérêt aurait une entreprise à développer, diffuser, entretenir une base de logiciels Hadopi si c’était pour voir s’étioler les ventes par excès d’efficacité ?

Dans la droite ligne de ces édifiantes histoires Facebook, l’on imagine fort bien que les flibustiers de la carambouille cherchent à automatiser ces attaques contre l’élément humain plongé dans un bain de Web Deuzéro. Depuis l’aube des premiers logiciels de « stupidité artificielle » aux recherches pointues sur l’art de tromper les tests de Turing, les mafieux du Web cherchent à confier à des machines le soin de récupérer des informations d’ordre personnel avec le même niveau de persuasion qu’un professionnel : vendeur de brosses, homme politique, marchands d’encyclopédies ou fourgues spécialisés dans le Viagra d’opérette ou de la toquante « imitation Helvétique », tous ne poursuivent qu’un but, l’approbation du crédule… Et vite et de façon massive s’il vous plait ! Car le temps, c’est de l’argent, et là où un humain derrière un clavier peut « convaincre » une victime de communiquer un nom, une adresse et un numéro de téléphone, un logiciel devrait pouvoir faire le même travail mais auprès de plusieurs centaines de personnes simultanément.

Hélas, constatent quatre chercheurs d’Eurecom, les outils générateurs de « faux dialogues » sont rapidement éventés par les victimes potentielles. Réponses évasives, répétitions dans les réactions, interactivités douteuses ou décalées… Pour éviter ce genre d’écueil, ces chercheurs ont inventé une nouvelle technique : faire converser des humains avec des humains, histoire de ne plus succomber aux pièges de Turing. Oui, mais alors, où se trouve l’automate malicieux ? Mais entre les deux personnes réelles, bien sûr, dans une sorte de « Botnet in the middle attack ». Le fonctionnement est presque simple. Le Bot initie une conversation avec Bob et avec Alice :

-Bonjour, dit le Bot.

-Salut, répond Alice

-Salut envoie le Bot à destination de Bob

Le quel Bob rétorque avec à-propos

-«Vous habitez chez vos parents ? »

… phrase que retourne le Bot vers Alice

… laquelle Alice rétorque

-« J’en avais entendu parler, mais on ne me l’avait encore jamais faite ! »…

Et la conversation est engagée. Le rôle du Bot in the middle est de choisir le moment le plus approprié pour glisser dans la conversation un « lien intéressant à cliquer » ou un fichier à récupérer (en fait, le « payload » de l’attaque), actes dont les conséquences seront plus que bénéfiques pour le « Bot herder » qui contrôle ainsi la communication.

Avec une telle technique, le taux de fiabilité et d’efficacité dépasse les 76%, affirment les chercheurs de Sophia, qui ont modélisé ce genre d’assaut sur des canaux IRC de conversations estudiantines et sur… Facebook, à tout hasard. 76% : De quoi rendre vert de rage les barons du scareware et les princes du scam Nigérian, qui ne se battent que sur des taux de retour ne dépassant pas 1 à 5 pour 1000 dans le meilleur des cas. Ajoutons que le procédé est indétectable et pratiquement impossible à contrer. Est-ce là une approche purement universitaire du problème qui n’a aucune chance d’être exploitée ? C’est hélas peu probable. Il existe d’ores et déjà des réseaux (notamment des filières chinoises et indiennes de déchiffrement de « Captcha »), qui exploitent une méthode inverse : des réseaux de robots qui emploient un « homme au milieu » pour lire et interpréter le contenu d’un test de Turing et ainsi améliorer les performances d’attaques automatisées. Paradoxe étonnant, l’homme devient robot au sein d’un réseau de machines sensées imiter le comportement humain. Il n’y a donc aucune raison pour qu’un jour des humains collaborent, à leur corps défendant, à des escroqueries d’envergure reposant sur ce principe du « botnet in the middle ».

HITB, Hack in the Box, ce sera en Europe, à Amsterdam très exactement, du 29 juin au 2 juillet prochain. Cette année, beaucoup de « sans fil » du côté des hackerspace…