juin, 2010

Selon une récente étude du Gartner, les budgets consacrés à la sécurité des départements IT pourraient subir un recul de 3 à 6% en 2011. Très prudente, la société d’analyse de marché précise que ces réductions n’affecteront que les sociétés déjà classées dans la catégorie des « efficient & secure enterprises ».

D’une manière générale, les budgets sécurité devraient en moyenne graviter aux alentours de 5% de l’enveloppe de crédit IT en 2011, contre 6% en moyenne cette année. Globalement, les crédits IT seront en croissance de 2%. En valeur, cela représente près de 525$ d’investissement par an et par employé. Certains secteurs se montrent pourtant plus dispendieux, tels les assurances (886 $), les services professionnels (836$), les services gouvernementaux (671$) et le secteur financier (637$ per capita).

Si l’on considère la ventilation des investissements par secteur, les personnes interrogées mettent en avant, dans 40 % des cas, les IPS, la gestion des correctifs, les DLP, les antivirus et la gestion des identité. Sous un angle géographique, les entreprises américaines sont les plus enclines à investir dans la sécurité (5,5% du budget IT). Les autres parties du monde sont plus économes : 4,8% en Amérique latine, 4,3% en EMEA, 5% en Asie.

Certains terroristes (pas cyber), ne reculent devant aucune bassesse, nous explique un article d’ABC. Plutôt que de poser des bombes, ils terrorisent la population américaine et désorganisent les services de déminage en camouflant des colis aussi suspects qu’innocents dans des lieux publics. Une tendance d’autant plus grande qu’à la psychose consciencieusement entretenue par les médias et les hommes politiques s’ajoute les tactiques de déstabilisation des mouvements jihadistes. Lesquels, révèle un spécialiste des bombes et vieux de la vieille du NYPD, incitent leurs militants à multiplier ces «fausses attaques à la fausse bombe ».

Nos confrères d’Outre Atlantique commenceraient-ils à comprendre comment précisément fonctionne le terrorisme ? Un petit tiers de bombes, un gros tiers de pression psychologique, un tiers de propagande et un dernier tiers de démagogie*. C’est précisément cette pression psychologique qui entraîne la partie adverse dans une chasse au danger hypothétique, coûteuse, souvent vaine, et d’autant plus énergivore que ladite partie adverse aura joué sur la corde sensible de l’alarmisme.

Fort heureusement, les bombes dans notre secteur informatique à nous font nettement moins de victimes… ce qui ne veut pas dire qu’elles provoquent moins de psychose. La meilleure preuve qui soit est la facilité avec laquelle certains internautes achètent sans hésitation des « scarewares », ces véritables « faux antivirus ». Dans ce cas précis, c’est une psychose exacerbée, une crainte du danger aiguillonnée par des médias, par de « doctes conseillers », par des experts pas si indépendants que çà qui poussent l’usager à faire preuve d’un réflexe pavlovien.

*NDLC Note de la Correctrice : dans des proportions équivalentes à celles du picon-citron-curaçao bien sûr.

Les SSTIC comme si vous y étiez… ou pas. Sur le blog de Cédric « Sid » Blancher, Yvan « Vanhu »Vanhullebus (très humoristique et précis), Erwan (concis) , SecuObs (massif), Jer001 (chirugical) et tous les autres sur Twitter (minimalistes).

Joanna Rutkowska sur les « VM Kleenex » : un article dans la droite ligne des développements de Qubes et qui rappelle le principe des « autonomic computers » ou des systèmes à micronoyau

Bonnes pratiques pour éviter les attaques par PDF forgés : un article signé Michael Cobb, qui insiste sur le fait que 28% des exploits utilisés par les malwares ont pour origine les fichiers Adobe

Après les réseaux WiFi et les programmes en assembleur, l’équipe de la DefCon et Social-Engineering.com organisent (c’est une première) un nouveau genre de concours « Capture the Flag » : une course à la collection d’indices trainant sur Internet. Le règlement est simple. Après inscription, chaque participant se verra recevoir l’URL d’une entreprise. Au « top départ », les concurrents devront utiliser tout ce qui est en leur pouvoir pour collecter sur Internet un maximum d’informations sur l’entreprise en question. Interdiction est faite de « provoquer » les fuites par envoi d’un email, coup de téléphone ou rencontre physique. Durant la conférence, un court moment de parole sera donné à chaque participant pour décrire la technique de récolte d’informations et présenter les découvertes effectuées, puis 20 minutes seront consacrées à chaque participant pour lancer leur attaque et récupérer une information précise. Le règlement est drastique et insiste sur certains points moraux. Notamment ne pas porter atteinte à la cible ou à ses employés, ne rien faire d’illégal, n’attaquer ou ne collecter aucune donnée « sensible » telle que des mots de passe ou des numéros de cartes de crédit, ne jouer sur aucune corde de type FUD, scareware et autres pratiques intimidantes…

Les entreprises « cibles » seront suggérées par les participants eux-mêmes, mais il n’est absolument pas certain que ces mêmes participants se verront attribuer la « victime » de leur choix. Le site des organisateurs foisonne de techniques et de recommandations, et mériterait la création d’un « dépôt » traduit en français.

L’on se souvient de la faille Win32hlp (https://www.cnis-mag.com/pour-pirater-appuyez-sur-f1.html) découverte il y a trois mois par Maurycy Prodeus. Celle dévoilée par le talentueux Tavis Ormandy est tout aussi savoureuse, voire même plus subtile, puisqu’elle repose sur un défaut d’interprétation du protocole hcp, le Help Center Protocol, reconnaissable grâce à l’url « hcp:// ». « Aurais-je signalé qu’il était possible de forger une réponse pour accéder au poste requêteur à distance que l’on ne m’aurait prêté aucune attention » dit en substance Ormandy à la fin de son communiqué. Communiqué qui intègre notamment une preuve de faisabilité.

Certes, cette attaque implique que l’attaquant puisse se substituer au centre d’aide et de support en ligne de Microsoft, et que la victime n’utilise pas un noyau trop récent (l’attaque n’est censée fonctionner pour l’instant que sur les plateformes XP/2003). Le risque est pourtant non nul et repose, une fois de plus, la question de la confiance que l’on doit apporter aux services en ligne des éditeurs possédant une bonne « réputation ».

La presse américaine peut parfois offrir l’un de ces bijoux que seul l’Administration Fédérale est capable de tailler avec une précision d’orfèvre kafkaïen. Le très sérieux Wall Street Journal titrait, le 4 juin dernier, « Pourparlers US sur la cyberguerre ». Et d’expliquer que le Pentagone entamait de sérieuses discussions avec le Kremlin pour« limit military attacks in cyberspace ». En d’autres termes, les deux superpuissances sont sur le point de nous promettre une sorte d’accords « Salt 5 » ou de Yalta de l’octet malfaisant, aux termes duquel chaque signataire comptabiliserait ses silos à rootkits, ses vecteurs de largage viraux en haute altitude, ses missiles dotés de « payloads » de classe Konficker IV et Storm III, les SNLSQLI (Sous-marins nucléaires lanceurs d’injections sql), le tout accompagné d’un état des lieux des divisions de geeks surentrainés et des commandos de nerds ninjo-furtifs rompus aux techniques du Core à Core et du CCSSC (Close-Cross-Site-Scripting-Combat). Un peu plus, cette escalade de la violence et des stocks de failles non exploitées aurait pu nous exploser à la figure et faire de la Terre Informatique un incommensurable champ de désolation binaire. Que de chefs de projets morts au champ d’honneur, que de jeunes développeurs fauchés dans la fleur du C# vont ainsi être épargnés par cette décision magnanime.

On ne peut qu’espérer un ralliement de la France dans ce grand mouvement atlantiste. Confier aux militaires le soin de chasser le cyberespion, le virtualwarrior et le technoterroriste (ceux qui existent surtout dans les communiqués de presse de certains vendeurs d’antivirus et de firewall), voilà qui est rassurant. Finies, les planques discrètes d’une police civile derrière un angle mort de eMule ou de Pirate Bay. Oubliées les filatures de numéros IP destinées à loger les violeurs-poseurs de bombes-pirates du-dernier-single-de-la-Star-hack. Désormais, on opposera les chars Leclerc aux véritables lanceurs de Virus, et les Généraux 4 étoiles déploieront leurs lignes de proxy sur les lignes Siegfried et Maginot du cyberfront. A peine passé le Baccalauréat*, les sergents recruteurs approcheront nos chères têtes blondes, en leur faisant miroiter une vie d’aventure, des voyages exotiques entre le PC de Rosny sous Bois et les frontières inexplorées des architectures Scada d’EDF-GDF, parleront de la grandeur de la France Qui Se Lève Tôt pour mieux déployer ses rustines et veiller à ce que jamais ne se déclenche une nouvelle escalade de la violence numérique sans que l’on ait le pouvoir de la museler à coup de nettoyeur haute-pression numérique.

Encore faudrait-il que la cyberguerre existe autrement que sous la forme de menaces fantasmées et d’actions aux conséquences plus psychologiques que réelles, et soit effectivement plus du ressort des forces armées que des organisations mafieuses. Mais au salaire (ou solde) d’un Général 4 étoiles, c’est le genre de détail que l’on balaie d’un revers d’épaulette. Si les cybermenaces existent (qui donc pourrait nier le « bug business » aujourd’hui) il n’est pas certain que les meilleures méthodes pour les combattre soient identiques ou comparables à celles utilisées dans la sphère militaire. Il est encore moins certain qu’il soit possible de parler de « cyberdésarmement », de « cyberescadrons », de « cyberarsenal » et de « cyberindustries de l’armement ».

D’ailleurs, les vrais spécialistes de la sécurité le disent franchement : « le véritable terrorisme, c’est celui qui tue. On en a marre des politiciens qui ne s’occupent que du réchauffement climatique » dixit en substance Carly Fiorina, ex grande vendeuse de firewall et de consoles d’administration. Enfin une personne qui préfère les menaces réelles des poseurs de bombes aux dangers virtuels et futurs que sont le réchauffement climatique ou l’éventualité d’un accident de plateforme pétrolière. Aux dernières nouvelles, les amoureux des réactions exothermiques et des bouteilles de gaz en exercice sur le territoire US seraient tous d’ex-paisibles citoyens américains. Le démantèlement d’un tel « axe du mal intérieur » posant quelques problèmes de respect des droits civiques, l’on comprend d’autant mieux la hâte du Haut Commandement Militaire à entamer des pourparlers sur le désarmement virtuel d’armées virtuelles susceptibles de conduire des attaques virtuelles …

NdlC Note de la Correctrice : Léa, Vincent, on pense à vous !

Patch Tuesday en juin, si t’en loupes un, çà fera du foin (proverbe de RSSI). 10 rustines, 34 vulnérabilités, 6 exploitations à distance et 3 élévations de privilèges. Le dernier mardi des rustines signé Microsoft a un côté Omaha Beach assez spectaculaire. Sans faire de sensationnalisme, l’on ne peut qu’inciter les administrateurs à déployer dans l’urgence MS10-032, MS10-033, MS10-034 et MS10-035. MS10-033, une vulnérabilité dans les mécanismes de décompression d’un fichier multimédia, a tout pour fabriquer une belle attaque par MJpeg forgé… un grand classique. MS10-035, l’inévitable « cumulatif I.E. » du mois, bouche à lui seul 6 bulletins CVE, dont certains ouvrent la porte à une exploitation à distance et dont un autre a valu à son inventeur une place d’honneur et une prime de 10 000 $au concours P0wn2Kill de CanSecWest. MS10-038, pour sa part, ne corrige pas une faille Excel… mais 14 (dont une spécifique à l’édition Mac). Notons que la MS10-032 (Windows kernel), est considérée par certains spécialistes -dont eEye- comme étant « critique ». L’avis du Sans est bien plus pessimiste, puisque 9 des bulletins sur 10 sont qualifiés de « critique », soit au niveau des serveurs, soit dans le cadre de l’utilisation des stations de travail. Aucun défaut ne porte pourtant l’estampille « patch now » qui caractérise généralement une faille exploitée «dans la nature ».

Une rustine pouvant en cacher une autre, signalons qu’à l’occasion du Tech’Ed 2010 qui se déroule actuellement, l’on annonce la disponibilité fin juillet de la pré-version des SP1 Windows 2008 R2, de Windows 7 et d’Exchange Server 2010. Le SP de 2008 Server intègrera notamment Remote FX, intégration des technologies Calista dans la gamme « remote desktop » de Microsoft. L’on attend également une version d’HyperV disposant d’une meilleur gestion dynamique de la mémoire. Il ne faudra pas trop des vacances pour effectuer les tests de régression de ces « super bouchons », surtout sur les architectures serveur

Calme plat chez Apple qui, consciencieusement, suit à la lettre l’école Microsoft et diffuse à sa sauce le brouet du « patch cumulatif du navigateur web ». Mais pour se distinguer de son concurrent, le constructeur-éditeur-prestataire de services fait des efforts et colmate d’un coup 48 trous de sécurité. La mise à jour Safari 5.0 concerne aussi bien les utilisateurs de plateformes OS X que Windows.

Chez Adobe, cela fait plusieurs jours qu’une exploitation « dans la nature » s’attaque à une faille de Flash Player. F-Secure en décrit rapidement le principe, et l’éditeur assure qu’il travaille encore sur la rustine et qu’a priori, la préversion de la 10.1 ne serait pas malade de cette peste. A noter également la détection, toujours par F-Secure, d’un « dropper » exploitant un exploit PDF.

L’Owasp publie son rapport d’activité pour l’année 2009. Pour une fois, des statistiques qui portent sur l’association et non l’évolution de la sinistralité.