juin, 2010

Iphone : à quoi servent le chiffrement et le code PIN ? à rien, répond Rick Fergusson, qui explique comment Bernd Marienfeldt est parvenu à contourner simplement ces « protections inexpugnables ».

Dans tout bon roman de SF mouvance cyberpunk new wave * , il arrive toujours un moment où le héro, bardé de « patchs » cybernétiques ou nanotechnologiques, se fait pirater les implants et commence à voir des éléphants roses galoper entre ses neurone et l’interface IHM implantée, comme il se doit, à la base du crâne, tout à côté d’un code à barre EAN tatoué.

« Tout çà est sur le point de se produire » nous apprend un article de la BBC Online, information reprise par un régiment de journaux en ligne. Mark Gasson, de l’Université de Reading, s’est intéressé aux possibilités d’injection de code à partir d’un implant RFID. Des implants généralement utilisés pour identifier le bétail ou renforcer la sécurité de bâtiments sensibles dont l’accès n’est réservé qu’aux porteurs de ces « smart tags sous-cutanés ». L’infection virale d’un tel Rfid peut avoir deux buts, explique le scientifique. En premier lieu, contaminer le système de lecture, pour en contourner le fonctionnement. Mais à terme, rien n’interdit d’imaginer un virus qui serait capable de s’attaquer également à certains implants corporels pilotés par Rfid… et le chercheur d’exhiber un stimulateur chargé de piloter des sondes implantées dans le cerveau d’un patient et d’en sous-entendre les conséquences physiologiques… le LSD logiciel est pour demain. Timothy Leary doit s’en retourner dans sa tombe, les publicitaires et patrons de chaines TV privées rêvent déjà d’un « Direct Memory Access » chez les consommateurs.

Le hack et l’infection d’un RFID, qu’il soit sous-cutané ou non, n’est pas franchement nouveau. L’on se souvient des travaux passionnants de Melanie Rieback et Andrew Tanenbaum, de la « libre Université » d’Amsterdam, et notamment de cet article datant de 2006 intitulé « Malwares Rfid, mythes et réalités ». Il n’y a, conceptuellement et techniquement, que très peu de différences avec le hack d’une carte à puce ou de tout autre composant disposant d’un espace mémoire en lecture-écriture et d’une capacité de traitement locale. C’est l’usage du composant qui donne à ce genre d’information l’importance, fantasmée ou non, que lui donnent les médias.

Pas nouvelle non plus la perception que précisément ces mêmes médias grand public ont de ce problème. Alarmistes et inquiets pour la plupart, mais également ironiques et critiques telle que ce très amusant billet « You Dummy: Foolish Scientist Implants Chip In Hand, Can Now Contract Computer Viruses ». *

Mark Gasson est-il coupable d’alarmisme et de « FUD » ? Probablement autant que sont responsables les industriels qui « bourrent » à zéro 4 bits sur 8 d’une clef de chiffrement de téléphonie mobile, qui intègrent un protocole de chiffrement de clefs USB « sécurisées » à la vas-comme-je-te-pousse, qui « oublient » de griller le fusible de lecture/écriture d’un firmware stratégique, qui font passer un exor sur 15 octets pour un « système de chiffrement inviolable » ou paramètrent par défaut un routeur WiFi avec une clef Wep. C’est là tout le problème des signaux d’alarme. Leur volume doit-il égaler celui des sirènes marketing qui masquent les négligences d’usage ? Ou un chercheur en sécurité doit-il indéfiniment conserver cette retenue, ce vocabulaire précis et nuancé qui caractérise tout scientifique et fait de son discours une soupe incompréhensible et tiède qui n’a aucune chance d’influencer le cours des choses ? Même s’il n’est entendu que d’une minorité, le cri de Mark Gasson nous aura au moins donné l’envie de lire ou relire les œuvres de William Gibson, Neal Stephenson, Greg Bear, Bruce Sterling, Enki Bilal ou Masamune Shirow.

NdlC Note de la Correctrice : A noter dans ce billet comprenant de véritables morceaux « d’understatement so British », une allusion aux Daleks, ces extraterrestres que combat inlassablement et depuis 1963 l’extraordinaire Dr Who, à cheval sur son Tardis.

La semaine passée, Apple a fait deux fois la une d’un grand quotidien US. L’une est reprise en cœur par l’ensemble de la blogosphère et de la presse en ligne, l’autre semble pudiquement oubliée.

Personne n’aura manqué ce scoop du NY Times : la capitalisation boursière de la Job’s Company vient de dépasser d’une courte tête celle de Microsoft. 222 milliards de dollars contre 219. Chiffre sans grande signification ne fait que refléter la « confiance » que la bourse éprouve envers une entreprise. Il s’agit donc d’une valeur virtuelle purement spéculative dont le principal effet est de faire fluctuer le cours de l’action et occasionnellement de provoquer des « éclatements de bulles » à périodes régulières. Les données factuelles (disponibilité du « trésor de guerre », bénéfices nets etc), place toujours Microsoft légèrement devant Apple. Ce qui, en revanche, semble passionner les foules d’investisseurs, c’est l’évolution du marché de la fourniture de contenu et de la prestation de service massive. D’un côté, Microsoft qui vise le secteur de l’industrie et parie sur le développement du « cloud computing », de l’autre Apple qui compte sur le marché de la téléphonie pour principalement vendre de l’information et de l’application grand public.

Toujours sur le NY Times, ce même Apple serait sur le point de subir un procès antitrust, précisément à propos de sa position jugée dominante sur le secteur de la vente de contenus musicaux en ligne. Position qui n’est pas du goût de son concurrent Amazon, lequel cherchait à obtenir des droits de diffusion exclusifs sur les nouveautés musicales des principaux labels. Le DoJ (Department of Justice) Américain enquêterait donc sur les éventuelles pressions qu’Apple aurait fait subir aux éditeurs afin qu’un tel projet capote. S’ajoute également le différent qui oppose Adobe et Apple à propos de l’adoption de Flash sur Iphone, ainsi que les soupçons de pratiques illégales dans la politique de recrutement du personnel d’Apple. Si un tel procès antitrust est jamais intenté par le DoJ, ses conclusions ne seront pas connues avant plusieurs années.

Aza Raskin, designer réputé et gourou (tout comme son père) des interfaces homme-machine, vient de signer un billet aussi redoutable qu’amusant : il y traite de l’art de conduire une attaque en phishing par simple exécution d’un script hébergé, lui-même capable de singer la page de « login » d’un site fréquemment visité. Tous les détails et sa preuve de faisabilité sont disponibles sur le site de l’auteur.

L’attaque se déroule en plusieurs étapes. En premier lieu, l’attaquant peut fouiller dans l’historique des réseaux sociaux (un autre hack de l’auteur) ou s’intéresser aux journaux des navigateurs. Une fois les « pièges » déterminés, il suffit à l’attaquant d’insérer le script malicieux qui « chargera » à son tour une fausse page d’ouverture de crédence et modifiera par la même occasion l’onglet de la page web. Pour peu que la victime ait l’habitude d’ouvrir plusieurs onglets simultanément, le changement s’effectuera dans la plus grande discrétion, sans que l’usager le remarque. Charge à l’attaquant de prévoir les outils de récupération de mot de passe puis, éventuellement, de retransmettre lesdits sésames au site légitime pour ne pas éveiller les soupçons de la victime.

L’auteur donne par ailleurs quelques conseils judicieux aux hameçonneurs débutants. « Préférez plutôt les pages de confirmation de crédence provoquées par les « time out » plutôt que les demandes de login … cela fera plus réaliste si vous optez pour un phishing bancaire »… propos bien entendu plus ironiques que sérieux.

Pour l’heure, l’attaque est difficilement parable, car elle repose essentiellement sur le facteur humain. Si la preuve de faisabilité de l’auteur peut aisément être bloquée avec un simple « noscript » ou toute autre solution équivalente, rien ne permet de dire si des techniques autres qu’un exploit java ne pourraient être également utilisées pour aboutir à un résultat analogue.

Deux articles en « cascade », l’un sur le blog NewClosed, le premier sur TechCrunch, soulève une question fondamentale, tant en termes de sécurité que de liberté d’utilisation : et si « l’ouverture » et la maîtrise d’un système d’information n’étaient qu’une formidable illusion ?

Cette question, le VP of engineering de Google, Vic Gundotra, la pose de manière relativement biaisée, prenant comme contre-exemple un Apple Orwellien, qui souhaite accaparer à la fois la plateforme de lecture et ses applications, les média de transmission et la fourniture de contenu. Et d’opposer à ceci le monde merveilleux d’un Google défenseur des standards ouverts grâce à un Android Open Source et une communauté « Google Code » totalement transparente. Transparente tant que l’on ne touche pas aux composantes techniques sur lesquelles repose le business model de Google, précise le rédacteur de NewClosed. Et ce dernier de dresser une liste comparative opposant les deux géants que sont Microsoft et Google, liste montrant à quel point les mécanismes de conquête du marché sont analogues. Ce qui a marché pour Microsoft dans le domaine des systèmes d’exploitation et des applications est en train de fonctionner également pour Google dans le domaine de la fourniture, du traitement et de l’exploitation d’information. Notons au passage que l’auteur n’a pas intégré la stratégie « cloud » dans ledit tableau, ce qui aurait un peu mieux parachevé le discours initial : la véritable bataille de ce début du XXIème siècle, c’est celle de l’information et du contrôle des tuyaux. Les guerres des applications, des noyaux, des plateformes sont pratiquement déjà dépassées.

Microsoft, Apple, Google sont des entreprises cherchant, chacune à leur manière mais avec des stratégies comparables, à accaparer un pan entier du monde IT, autrement dit du monde économique. Trois noms que l’on a au moins une fois associés au « mal absolu ». Google is evil, Microsoft is evil, et c’est à Apple d’être evil à son tour. Le phénomène n’est pas nouveau, et il n’a presque jamais joué en faveur de l’usager « final ». Chaque fois, les évolutions techniques se sont déroulées de la même manière : innovation, satisfaction de la clientèle, foisonnement des offres, grogne des usagers face à de sérieux problèmes de cohérence ou de compatibilité, massification-réduction autour d’un ou deux acteurs, re-satisfaction des usagers, amplification du mouvement jusqu’à atteindre une situation de monopole paroxysmique, re-grogne des usagers qui trouvent cet état de fait intolérable… et départ d’une nouvelle vague technologique appelée à prendre la relève, et qui se lance en « diabolisant » l’ancienne technologie. La boucle est bouclée.

Et cela remonte à la naissance de « Blanche Neige et les sept nains » : IBM, Burroughs, Honeywell, NCR, Univac, RCA, General Electric et Control Data Corp. (sans oublier DEC, le « huitième nain » du Bunch). Une profusion de constructeurs qui a rapidement entraîné son lot d’incompatibilités, de pratiques concurrentielles douteuses, de chausse-trappes aux conséquences dramatiques. Associer un réseau DecNet à une architecture SNA (IBM), ou marier un centre de calcul Burroughs et un site Honeywell entraînait une foultitude de problèmes, de procès et de menaces diverses liées aux clauses spéciales des contrats de location-bail. C’est cette concurrence anarchique et ces pratiques qui ont littéralement créé, dans les années 50, la notion de « monoculture » informatique que dénoncera Dan Geer en 2003. L’on avait coutume de dire à l’époque « on n’a jamais viré personne parce qu’il a choisi IBM ». C’est dire. Plus tard, la phrase sera reprise au crédit de Microsoft. Google et Apple voudraient bien y voir également figurer leur nom.

Mais revenons au précédent IBM. Rapidement, cette monoculture a développé, chez Big Blue, une croyance en une immunité absolue… époque marquée par de fracassants procès antitrust (IBM vs DEC notamment). IBM n’a pas été vaincu par des juges, mais par son aveugle sentiment de supériorité, son « arrogance » disait-on alors. Microsoft et Apple seront également frappés par ce mal. Une attitude qui a empêché la direction d’IBM de comprendre réellement l’importance de la micro-informatique, technologie née pourtant dans ses propres laboratoires de Boca Raton. Alors que John Socha travaillait sur Visicalc, le premier tableur pour micro-ordinateur, le Grand Bleu axait la totalité de ses efforts sur l’art et la manière de transformer ses IBM PC en terminaux 3270 et en outils compatibles avec les suites logicielles « mini-mainframe ». Perseverare diabolicum

L’histoire recommence bégaye au début des années 80, avec l’apparition d’une multitude de micros aussi nombreux qu’incompatibles. Entre les Léanord, les Golem, les Toutatis, les Kaypro et autres SilZ* 16, bien malin celui qui peut s’y retrouver. Le système le plus fruste, le plus ancien, le plus facile à « pirater » -l’IBM PC- fait la joie des fabricants de Taiwan, tandis qu’Apple déjà tente d’imposer, à grand renfort de procès, la propriété intellectuelle des ROM de son modèle II, II+, IIe etc. Grave erreur… En l’espace de 5 ans, Apple est submergé par la vague des « clones », et le marché se cristallise autour d’une plateforme unique. Même la sortie du Macintosh ne parviendra pas à rétablir l’équilibre. Apple n’a pas compris alors qu’il faut toujours une part d’altruisme pour mieux voler vers le succès. Perdre et donner un peu aujourd’hui pour mieux maîtriser plus tard : des empires se bâtiront sur ce principe. Celui de Microsoft Windows notamment.

Compatibles IBM 1, Apple et CP/M : 0. La « normalisation phase deux » est acceptée d’autant plus facilement qu’elle ne débouche pas sur une phase monopolistique. IBM tentera bien de reprendre le dessus, avec ses bus MCA, mais en vain : les acheteurs veulent des formats universels, publiés, normés… on ne disait pas encore « ouverts »

Mais plateforme unique ne veut pas dire environnement logiciel unique. Entre DOS, CP/M, Prolog, Xenix, Venix, MOS, UCSD, Pick ou OS/2, c’est à nouveau la foire d’empoigne, la grogne des usagers et, surtout, des éditeurs… comment gagner de l’argent avec un tableur ou un traitement de texte que l’on doit soit porter sur une vingtaine de systèmes différents, soit cantonner à un seul noyau, une seule portion du marché ? La recherche d’un standard revient à l’ordre du jour. C’est DOS (celui d’IBM et de Microsoft) qui l’emporte, « pour échapper à l’hégémonie CP/M imposée par Digital Research ». CP/M faisait près de 90 % du marché. C’est l’industrie qui parle. C’est l’industrie qui se tourne à nouveau vers son ancien maître, IBM.

Le socle stabilisé autour de DOS, s’engage alors la « bataille du soft ». Très rapidement, les jeux sont faits : Microsoft, Lotus, Ashton Tate… Ceux qui ont accepté de se « faire pirater » pour mieux se faire connaître. MicroPro, le numéro un du traitement de texte –Wordstar- commettra la même erreur qu’Apple. En médiatisant sa « chasse aux pirates », il accélèrera son trépas. Lotus commet, un peu plus tard, la même erreur (affaire VP Planer), sans comprendre que chaque procès ternit son image de marque. Il ne restera qu’un seul gagnant, Microsoft. Un semblant de concurrence avec quelques outsiders, tel Borland, laisse encore planer l’illusion d’une certaine liberté… d’autant plus que la prochaine bataille technologique se déporte sur le front des réseaux. Le micro isolé disparaît, c’est la naissance de la véritable informatique d’entreprise et du modèle « client-serveur ».

Et l’histoire recommence. Phase 1 : profusion de marques et de solution. 3Com 3+Open (absolument pas open source), Novell (indétrônable croyait-on) , Banyan Vines, 10Net, Starlan… et deux outsiders, encore le couple IBM-Microsoft, avec un protocole non routable, laid à faire peur, mal ficelé mais tellement simple, Lan Manager/Lan Server. C’est lui que les « grands comptes » choisiront, car il faut bien choisir un « plus petit commun dénominateur », un standard un peu faible qui « contrera l’hégémonie et l’arrogance de Novell », en espérant que ses créateurs auront la reconnaissance du ventre. En ne choisissant pas Novell, en misant toujours pour le « plus rentable à court terme », l’industrie vote à nouveau en faveur d’IBM et Microsoft, et dresse elle-même la cage qui la retiendra prisonnière. Elle demandait un standard, elle n’a obtenu qu’un « standard de fait »… un monopole en novlangue.

L’essai est transformé quelques temps plus tard, avec le succès des systèmes d’exploitation « serveur ». En lice Novell, IBM OS/2, et Microsoft Windows New Technology. Une fois encore, c’est la confusion dans la profusion des offres. Une fois encore, les clients grands-compte demandent un vainqueur. IBM OS/2 se fait rapidement distancer, faute d’applications performantes, et surtout faute d’avoir su développer un noyau pour « poste de travail », l’équivalent de Windows 9.x. Novell ne comprendra jamais à quoi aurait pu servir un environnement de développement 32 bits, après 3 générations successives d’AppWares… Microsoft l’emporte haut la main, avec des produits peut-être instables, mais avec un NT « illimité en nombre de licences utilisateurs » (ça ne durera pas) et rapidement accompagné par une gamme d’applications cohérentes. C’est BackOffice, avec les premières versions de SQL Server, de Exchange alias MXS, SMS System Management Server et la passerelle de communication Rras.

Cette fois, la concurrence réelle n’existe plus, ou elle n’est que virtuelle. Situation qui provoque un mouvement de rejet, de recherche d’une évolution technologique. On ressort des cartons un vieux protocole peu fiable mais d’une simplicité et d’une robustesse exemplaire, TCP/IP. Puis un antique noyau explosif, d’une complexité à faire peur… assaisonné à la sauce du gratuiciel, Linux succède aux System V, à Minix et à BSD. Un GNU Linux qui connaîtra lui aussi sa période de profusion anarchique tant technique que financière puis, après l’éclatement de la « bulle » des années 2000, une « normalisation » autours de 4 ou 5 grands noms. Red Hat, Suse, Mandrake… Ubuntu. Il faudra 10 ans au mouvement Open pour conquérir 1% du marché des systèmes d’exploitation. C’est lamentable d’un point de vue volumique, nul en termes de chiffre d’affaires, mais c’est d’une importance considérable sous un angle éducatif. Désormais, même le plus ignare des usagers, le plus perdu des internautes a plus ou moins compris l’importance d’un standard « véritable » et non affirmé par l’absolu supériorité d’un seul fournisseur. Les éditeurs, Microsoft en tête, sont obligés de se mettre au pas, tout en essayant d’injecter un peu de « propriétaire » dès que c’est possible.

Et voilà que le mouvement s’accélère. Quelle sera la prochaine « vague technologique » qui prendra la relève des technologies passées ? Trois fronts sont ouverts.

– Celui des applications « dans le nuage » une fois encore avec des outils incompatibles, une profusion de « vrais » et « faux » clouds et d’offres concurrentielles. Microsoft –encore- Google, Amazon le libraire, SalesForce l’industrieux. Les risques d’utilisation sont tels qu’il se crée même une « Cloud Security Alliance » avant même que l’on puisse réellement acheter du Cloud. D’habitude, on ne parle de sécurité que bien des années après qu’une technologie ait été adoptée.

– Celui des services « Web 2.0 », proche cousin du monde du cloud, tout aussi confus, tout aussi incohérent, où les Facebook s’acharnent contre les géants du Blog et autres machines à « communiquer ». On se croirait revenu à l’époque de la « bulle Internet », où le million d’utilisateurs à la seconde vaut son pesant de dollars.

– Celui de la « péri-téléphonie mobile », qui, fait inattendu, échappe totalement aux opérateurs historiques. Google, Microsoft, Apple s’étripent sur le marché du Smartphone et de ce qui peut se consommer « en ligne et en mobile ». RIM, le « spécialiste » historique du secteur professionnel, risque bien de jouer le rôle que Novell a tenu quelques années auparavant.

Qui remportera le pompon ? Cela n’a que très peu d’importance puisqu’en fin de compte, la situation tournera à l’avantage d’un trust technico-économique et aboutira probablement à une situation de quasi-monopole. Du moins pour un temps. Ce qui est intéressant, en revanche, c’est l’argumentation qui sera développé par ces adversaires, le chant des sirènes qui sera adopté pour que la clientèle et l’industrie finissent par donner raison à l’un ou à l’autre, les armes déployées pour mieux abattre l’adversaire. Des arguments qui donneront aux usagers l’illusion d’avoir pu élire, à un moment donné, le tyran qui les oppressera plus tard, séduits qu’ils seront par des promesses vagues et un angélisme désarmant. C’est l’industrie qui, par réaction, a aidé Microsoft à détrôner IBM et Novell. Ce sont les utilisateurs d’Internet qui ont préféré Google à AltaVista ou Facebook à tel ou tel autre réseau social. Ce sont les consommateurs de produits « high tech » qui ont donné raison à l’iPhone fermé d’Apple sous prétexte de refuser « l’emprisonnement de la sphère Windows Mobile ». C’est également avec des arguments réducteurs et simplistes que, Vic Gundotra nous dépeint un Android « ouvert », afin de mieux masquer l’usine à collecte d’informations qu’est Google. Et s’il n’y avait pas de « bataille importante » et de « virage technologique qu’il ne faut pas manquer ». Car l’utilisateur « final » possède effectivement le pouvoir de faire et défaire des empires industriels, mais sans en avoir une conscience responsable. Il se trouve comme Fabrice à Waterloo, obnubilé par sa propre situation, et étranger à tout ce qui se déroule autour de lui.

Cisco publie probablement le premier bulletin d’alerte Scada de son histoire, en signalant l’existence d’une faille dans NBM, le Cisco Network Building Mediator. Ce NBM est en fait l’évolution d’une gamme de produits provenant du rachat de Richards-Zeta, entreprise spécialisée dans les systèmes de commande et de contrôle des fluides dans un bâtiment (air conditionné, électricité, éclairage, contrôle d’accès et alertes sécurité diverses). La faille offrirait, précise le bulletin, des possibilités d’escalade de privilège et des interceptions d’information. Les équipements seraient en outre coupables d’un péché originel souvent rencontré, celui des « crédences par défaut ». Pis encore, l’alerte Cisco suppute que ce bug pourrait être endémique, et que les anciennes installations effectuées par Richards-Zeta seraient susceptibles d’être frappées du même mal.

Généralement,une simple « panne » de circulation d’air a pour conséquence, dans les immeubles de grande hauteur, l’évacuation du bâtiment. C’est là un automatisme logique de sécurité. Si une telle panne provoquée risque également de débloquer les contrôles d’accès physique au bâtiment, les scénarii les plus fous peuvent être imaginés. Avec un tel défaut, n’importe qui peut… s’inspirer des exploits possibles pour écrire un roman techno-policier. Il ne reste plus qu’à dresser la liste des établissements financiers utilisant un système NMB, puis de vérifier si l’accès à celui-ci est possible via l’interface Web de consultation de compte-client ou par le truchement du réseau VoIP de la banque. *
*NdlC Note de la Correctrice : On devrait peut-être déposer l’idée… avant que Spielberg ou que Quentin Tarentino nous la pique

1 milliard de dollars : c’est, nous apprend Globe & Mail, le montant estimé de la facture « sécurité » du prochain sommet du G20 à Toronto. Démesuré ?

« Fail » de la part d’IBM/ISS qui, à l’occasion d’une conférence sécurité organisée par le CERT Australien, a distribué des clefs USB infectées par deux virus. C’est Sophos qui balance.

Plateforme de fuzzing estampillée Cert US. Elle repose sur une Debian minimaliste interfacée Fluxbox et zzuf de Sam Hocevar.

RSSI, cessez de tenter de prédire les coûts des risques futurs et hypothétiques, cherchez plutôt à chiffrer ceux des accidents passés, selon un billet sur le blog de Securosis