septembre, 2010

Parmi les hantises quasi mythiquesdes chasseurs de virus, il en est une qui a toujours fait fureur : la légende de l’infection évasive qui, le temps d’un balayage d’A.V., part se réfugier en zone « nono* ». La planque idéale ? Les buffers d’un routeur ou d’un modem, les tampons du port imprimante (voir dans l’imprimante elle-même, à la haute époque des matricielles dépourvues de mémoire) dans l’EEprom du Bios…. Autant d’espaces mémoire réels ou fantasmés que ne peut bien sûr jamais vérifier le plus perfectionné des antivirus.

Cette fois, ce n’est plus de la science-fiction. Le coup nous vient tout droit des Hellènes (timeo danao !) Giorgos Vasiliadis, Michalis Polychronakis et Sotiris Ioannidis, trois universitaires qui, lors de la prochaine conférence Malware 2010 de Nancy, nous promettent une présentation intitulée « GPU-Assisted Malware ». Le virus ne va pas se cacher dans la carte vidéo de l’ordinateur, mais utilise tout de même les fonctions de celle-ci pour se camoufler. Et en termes de calcul, une carte graphique et son processeur spécialisé battra toujours à plate couture tout ce que pourra aligner une simple CPU. Une caractéristique qui passionne depuis quelques années les pratiquants du bruteforcing. Et notamment les membres du labo d’Elcomsoft, grands spécialistes du cassage de mot de passe à coup de Nvidia.

Polymorphisme, chiffrement complexe, subtilités mathématiques multiples, grâce à cette technique, c’est un peu comme si un virus embarquait son propre processeur lui permettant d’affronter n’importe quel algo de détection qui, lui, ne disposera jamais que de la capacité d’un « pauvre » QuadCore sur lequel doit compter tout antivirus.

Pour contrer une telle attaque, deux solutions : soit l’antivirus doit obligatoirement aller se faire voir par les grecs en question, afin qu’il puisse être recompilé à la sauce ATI ou Nvidia et ainsi disposer de toute la puissance nécessaire pour contrer ce nouvel ennemi, soit l’ensemble de l’industrie exhume ses vieux adaptateurs MDA (monochrome display adapter) dans lequel pas une once d’intelligence, de calcul ou d’interprétation ne pouvait tenir. Ah, le charme du 80×25 et ses deux niveaux d’intensité !…

*ndlc Note de la correctrice : Zone nono, abréviation très à la mode durant la période du Gouvernement de Vichy, et qui désignait la zone « non occupée », placée en dehors de la férule de l’armée d’occupation Allemande.

Microsoft vient de publier un correctif « out of band » référencé MS10-070 et commenté dans la foulée sur le blog du MSRC. 10-070 est un « petit bug ». Il n’est pas exploitable à distance (exploitable dans le sens de « capable d’injecter un exploit »), ne peut provoquer le moindre déni de service… à tel point qu’il n’obtient qu’un petit « jaune » dans l’échelle des couleurs graduant la dangerosité des failles. Mais…

…Mais 10-070 est un enfant vicieux. Il affecte tous les .NET Framework 3.5 Service Pack 1 et au-delà, et pourrait permettre à un attaquant de récupérer tout fichier situé dans une application ASP.Net… y compris les fichiers de configuration Web, précise l’alerte Microsoftienne. En d’autres termes, 01-070 ne fournit pas la dynamite pour faire sauter le coffre, il offre tout simplement les plans de la banque, l’heure des rondes des gardiens, la position des caméras de surveillance et une indication précise de ce que contient le coffre.

La recommandation des principaux gourous est « patchez immédiatement, n’attendez pas le prochain cycle de test de non-régression ». Les amoureux des mécanismes tordus et des tests poussés d’intrusion peuvent se reporter à l’exposé de MM Duong et Rizzo pour comprendre ce que sont ces mystérieuses « padding oracles attacks » que mentionne le bulletin MS.

Didier Stevens est l’auteur d’un petit opuscule de 23 pages consacré à l’analyse des fichiers PDF compromis. A lire notamment par les organisateurs en mal de concours …

Sous prétexte de « lutter pour un monde plus ouvert », nous apprennent nos confrères de Télérama, Stéphane Richard, DG d’Orange, souhaite voir un cartel d’opérateurs européens développer leur propre système d’exploitation pour terminaux mobiles intelligents. Un Eurocopter des noyaux. Ce serait ainsi un triple tour de force : parvenir à persuader les usagers qu’un système à la fois propriétaire et localisé pourrait prétendre à une quelconque ouverture, parvenir à enfanter un projet stable d’un consortium de frères-ennemis commerciaux (ah, le bon temps que celui du mariage Sprint-DT-FT) et enfin convaincre les clients qu’aucun truand ne verra pas là une aubaine extraordinaire : celle d’un kernel nécessairement instable car trop jeune et conçu par un quarteron d’opérateurs sans expérience dans ce domaine. Mais comme le faisait remarquer Guillaume d’Orange (pas l’opérateur, mais l’autre, dit « le taciturne »), il n’est pas nécessaire d’espérer pour entreprendre ni de réussir pour persévérer.

Les ennemis à abattre, on s’en doute, sont les redoutables Google, Apple, Microsoft et RIM, qui ont chacun mis plus de 10 ans, parfois même 20, à développer ou convertir un noyau à peu près stable. Lapsus révélateur et savoureux, le patron d’Orange utilise le terme « cheval de Troie » pour désigner lesdits concurrents. Des concurrents qui, par le truchement de leurs réseaux (iTune/AppleStore, comptes Google…), ont su imposer une infrastructure commerciale efficace et lucrative.

Reste que les opérateurs Européens semblent oublier deux détails. En premier lieu, aucun des « chevaux de Troie » désignés ne s’est lancé dans la téléphonie sans ces fameux réseaux de distribution et de diffusion. Itune préexistait bien avant le lancement de l’iPhone, Windows Mobile n’est arrivé sur le marché de la téléphonie –et encore avec bien du mal- qu’après plus d’une décennie de développements et d’alliances avec des partenaires sur le marché du PDA, et Google n’a osé s’engager dans la bagarre qu’une fois ses services Cloud stabilisés et adoptés par une vaste population. Et chacun de ces réseaux a nécessité près de 10 ans de recherches, de tâtonnements, d’ajustements et de guerre de tranchées marketing. Sans oublier, tant chez Apple que chez Google et Microsoft, des investissements considérables en terme de développement matériel et infrastructurel. Seule exception, RIM, dont le système de messagerie est plus ou moins né parallèlement au développement de son parc de terminaux. Mais à une époque où la mise de fond était moins élevée qu’aujourd’hui pour avoir le droit de s’assoir à la table de jeu.

Las, on ne peut s’improviser « créateur de noyau », même si l’on possède un trésor de guerre considérable. F.T. ne possède pas de compétence interne en matière de développement matériel, ne dispose d’aucun centre spécialisé dans la conception de système d’exploitation qui ait su faire ses preuves sur le secteur grand-public, n’a jamais investi le moindre Euro dans le domaine des réseaux sociaux et ne peut opposer une puissance d’hébergement infime comparée à celle des grands datacenters que possèdent Microsoft ou Google. Ajoutons enfin que l’image de marque consumériste de notre opérateur historique est pratiquement inexistante, comparé à l’Applemania ipode/iphone, la Microsoft Powa qui va de l’ordinateur à MSN, arme ultime des ados « tchateurs », ou la Blackberry Craze qui frappe les complets 3 pièces cravate-veston-cuisine-salle de bain branchés en permanence sur leurs emails. Point de « services gratuits » non plus, chez Orange… ce « don nécessaire » qui attirera le chaland. Les Gmail ou MSN en passant par les appliquettes gratuites de iTune sont à l’opposé d’une culture d’entreprise qui s’accroche désespérément à vendre de la minute de communication. Quand bien même la division «communications mobile » entreprendrait des efforts surhumains que resterait collé à l’image de l’entreprise la réalité d’une entité qui « baisse le prix des communications » d’une main mais augmente les tarifs d’abonnement de l’autre.

Développer un système d’exploitation, c’est un métier à part entière, et non le travail d’un « département spécialisé ». Remember Bull, entreprise pourtant spécialisée dans le domaine informatique, qui a collectionné les échecs les plus retentissants sur ce créneau. Une telle initiative risquerait, en outre, de faire perdre à Orange une grande partie de sa clientèle mobile. Car qui dit « nouveau noyau » pense immanquablement « usine à bugs », essuyage de plâtres et par conséquence, « exploitation mafieuse certaine ». Or, là encore, Orange n’a jamais montré une quelconque maîtrise d’une « culture de la sécurité ». Hormis peut-être pour vendre de l’abonnement antivirus à des utilisateurs ADSL, comme on vend de la minute de communication ou de la location de S63.

Si Orange persiste et signe, ce pourrait être une véritable aubaine pour les professionnels de la sécurité. Mais sur une courte période. Les grandes initiatives technologiques de notre opérateur historique, du visiophone au Bi-Bop ou du Minitel au premier albaniciel n’ont pas laissé le souvenir impérissable d’un succès mondial reconnu.

La presse technique s’extasie devant la performance d’un pigeon voyageur du Yorkshire (pays grand-breton autant que canin) qui (le pigeon, pas le yorkshire), en transportant une clef USB sur 120 km en moins de 2 heures, est parvenu à battre de vitesse un raccordement « bas débit ». Lien bas débit tentant de transmettre ces mêmes informations au même moment et sur la même distance. Nos petits copains du Monde Informatique, nos confrères de Red Orbits, nos éminents collègues d’IT Portal et quelques 4000 autres titres, blogs et web d’information ont repris ce scoop d’une portée techno-sociale considérable, avec le sérieux qui caractérise les « journaux biens ».

Aucun journaliste, en revanche, n’a émis l’idée que ce même comparatif aurait peut-être tourné à l’avantage de la liaison IP s’il s’était agi d’acheminer les deux derniers épisodes de « Lost, Les Disparus » entre ce même Yorkshire cano-aviaire et les serveurs Californiens du spécialiste du streaming Hulu.com. Le pigeon, c’est bien connu, est affecté d’un time to live (TTL) inversement proportionnel au nombre de « metrics » à franchir. Or, les short path transitant par le pôle nord sont, c’est un fait certain, totalement interdits au pigeons voyageurs, lesquels empruntent des chemins plus tempérés et plus longs. En outre, le pigeon est un porteur de paquets qui s’apparente plus à UDP qu’à TCP. En cas d’accident, l’émetteur n’est pas prévenu. Enfin, malgré tous les efforts prodigués par les généticiens pour accroître les facultés de reproduction de ces animaux, il est très difficile d’effectuer des envois en multicast avec cette technologie à plume.

L’on pourrait aussi ergoter sur le fait que le rapport volume de données / temps de transmission aurait été plus spectaculaire avec d’autres technologies. Par exemple un cycliste roulant à 40 Km/h (le Yorkshire, ça n’est pas le Mont Ventoux) pourrait en 3 heures véhiculer sans gros efforts 12 disques durs de 2 To chacun, soit 24 To en 10 800 secondes, 2,2 Go par seconde, ou plus de 17 Gb/s d’un seul bloc, le tout avec un MTU monstrueux, un ping un peu long mais un traceroute aisément déterminé à l’aide d’un GPS. Avec de tels débits, même l’anneau principal de Renater peut aller se rhabiller. L’on comprend d’ailleurs mieux la raison pour laquelle notre opérateur historique travaille d’arrache-pédale pour développer ces nouveaux types de médiaset peut-être rétablir l’image émouvante du « facteur à bicyclette ». Ajoutons que, à quelques injections de fortifiants près, un coureur cycliste n’exige presque rien de son propriétaire, pas même de nettoyer sa cage chaque jour. Certes, pigeons et cyclistes, s’ils sont plus efficaces qu’une liaison DSL « lente », pêchent généralement par manque de redondance, notamment en cas de collision, soit avec un pavé de l’Enfer du Nord dans la typologie vélocipédique, soit avec des plombs de chasse lors des campagnes nationales de défense contre l’invasion des palombes, ces prédateurs sanguinaires dont on ne dira jamais assez les dégâts qu’ils commettent le long de la chaîne Pyrénéenne. Dans les deux cas, l’absence de NACK peut poser problème et nécessiter l’invention d’un équivalent du « sliding window », grâce à des coulombs spécialisés dans les requêtes de « retry ». Remarquons au passage cette analogie étymologique entre le mot « coulomb » désignant, en parler « chti », les messagers à plume, et en langage scientifique, l’unité de charge électrique, à la base de tout échange numérique. On frise le lacanien.

Certes, un RFC 1149 et diverses implémentations avaient bien tenté de résoudre ces problèmes… en vain. Un pigeon ça se mange (hommes, rapaces), un pigeon ça salit, un pigeon ça se fatigue lorsque le Round Trip Time dépasse une dizaine d’heures de vol ou par temps de grand vent (également appelé packet storm ou déni de service aérien), un pigeon enfin, ça nécessite l’obtention d’une licence de colombophilie. Ajoutons que la possession d’un tel système de communication en temps de guerre est passible d’un traitement curatif au plomb pour son propriétaire, sous prétexte de « tentative d’intelligence avec des puissances extérieures ». Hadopi, Loppsi et autres LCEN ne sont à côté que de vagues bluettes pour collégiennes.

Non : la véritable solution, c’est le colis postal. Car nos 12 disques durs de 600 grammes chacun, empaquetés dans une boîte « XL » Colissimo (à 13 euros TTC ), même expédiée sous deux jours, c’est toujours plus rapide qu’une liaison bas débit. Sans parler de l’équation carbone liée à la consommation électrique des routeurs, ordinateurs, centraux téléphoniques etc. Ajoutons que cette méthode échappe totalement aux contrôles des contrôleurs sachant contrôler de manière totalement indépendante et objective de la commission Hadopi, ce qui permet de diffuser en toute impunité l’équivalent de 6000 fichiers ISO de 4 Go chacun contenant diverses versions de Linux… ou pas. Seul un groupe de Députés du CIdsV (Centre Indépendant de sa Volonté) a émis une proposition de loi visant à appliquer une TVA à 19,6% sur les colis postaux et une taxe supplémentaire pour combler le manque à gagner des éditeurs de musique folklorique Savoyarde. Proposition que les députés de l’opposition, de la majorité, du centre historique et des extrêmes ont rejeté en raison du fait que les échanges binaires postaux ne constituaient pas une technologie assez fiable. En effet, la QoS du « last mile » couvert par l’administration tend très nettement à se dégrader avec le temps, particulièrement dans les campagnes qui se vident de leurs bureaux de poste et de leurs gendarmeries, ou dans les grandes villes lorsque 5 étages sans ascenseur se traduisent par un message de service « niveau 1 » sur l’enveloppe des paquets avec la mention « adresse MAC insuffisamment renseignée ». Forcément, tout çà a des conséquences sur le débit moyen constaté. Ce genre de bug est désigné par le nom technique de « Victor » ou « Java »*

La semaine prochaine, nous étudierons les cas particuliers des pigeons quantiques qui arrivent à destination avant même d’être partis, du routage v6 et de l’amour qu’André Malraux vouait à ces petites bêtes.

*ndlc Note de la Correctrice : parce que Victor est facteur, bien sûr. Note à l’attention de ceux qui n’auraient pas encore acheté leur petit Luc Etienne illustré

*ndlc Note de la Correctrice bis : et non, juré, il n’y a pas de moquette à la rédaction. J’avais bien fait attention à ce détail pourtant …

Forcing de la FCC pour clore le dossier des « espaces blancs »  titre Hillicon Valley, qui explique que, c’est juré et quasiment certain, les « canaux inutilisés » du spectre attribué aux broadcasteurs de télévision seront destinés au développement d’un « Wifi dopé aux stéroïdes ».

Jusqu’à présent, ces espaces interstitiels n’étaient exploités que par des équipements professionnels employés précisément par lesdits propriétaires de chaines TV et par quelques accessoires, notamment les « micro HF » dont la portée ne dépasse pas une centaine de mètres. La FCC défendait jalousement à quiconque de venir polluer ces espaces, pour éviter tout risque de perturbation des émissions de télévision analogique terrestre.

En débloquant ce que les américains appelle ces « white space », la FCC (équivalent US de l’Autorité de Régulation Française) a décidé de jouer les catalyseurs industriels et de favoriser le développement d’équipement de transmission réseau « sans licence » dans la bande UHF.

En Europe en général et en France en particulier, ces mêmes fréquences sont réservées à une danseuse technologique, la « Radio Numérique Terrestre » dérivée du DAB (Digital Audio Broadcasting). Rappelons que cette technologie est excessivement coûteuse à mettre en place, exige des radiorécepteurs vendus une fortune (entre 500 à 1000 fois le prix d’un récepteur FM classique), offre une couverture réduite comparativement aux technique analogiques contemporaines, et fait double ou triple usage avec deux autres médias de diffusion numérique ; la DRM (Digital Radio Mondiale, radio onde courte numérique en stéréo AAC3 compressé d’une portée de plusieurs milliers de kilomètres) et du DVB-S, Digital Video Broadcasting-satellite, qui diffuse radio et télévision sur une vaste zone, à l’échelle du continent. Si l’on attend toujours le début du commencement d’une amorce de tentative de diffusion de cette fameuse radio numérique terrestre, il est d’ores et déjà possible d’acheter des récepteurs et d’écouter des émetteurs diffusant actuellement en DRM. Bref, tout laisse à penser que la Radio Numérique Terrestre prenne le pas d’une sorte de « super Secam » avec un avenir politique et commercial aussi… prometteur que le fût notre brillant procédé de codage couleur.

En prenant la décision d’ouvrir ces bandes UHF aux réseaux Wifi, la FCC non seulement donne du sang neuf à l’industrie des télécommunications bureautiques (un sang qui fera défaut aux entreprises clientes et équipementiers européens) et provoquera très probablement l’apparition d’un « marché gris » desdits équipements en nos contrées. Cela s’était déjà produit aux débuts des réseaux 802.11 en Europe, à une époque où une grande partie du spectre 2,4 GHz était encore détenue par l’Armée Française.

Quelles seront les performances de ces futurs équipements ? Nul ne sait tant que la FCC n’a pas précisément délimité les largeurs de spectre qu’elle compte attribuer à ce service. Les fréquences porteuses étant plus basses que celles utilisées en Wifi norme « b/g » ou « a », on peut craindre une plus faible bande passante exploitable. Mais la nature des fréquences utilisées laisse espérer également, à puissance égale, des portées biens plus étendues.

Microsoft vient discrètement mais officiellement d’annoncer à ses clients SBS (small business server, version allégée de Windows Server 2008), qu’il leur sera possible d’utiliser Windows Live Essential, l’antivirus gratuit de l’éditeur. Jusqu’à présent, ces clients « professionnels » devaient se rabattre soit sur un « gratuit comptatible serveur » -il en existe très peu- soit sur une édition payante, telle que le client Forefront pour 2008.

Le prix d’une suite de protection périmétrique professionnelle a toujours été considéré comme anormalement exagéré de la part des utilisateurs de SBS. A mi-chemin entre le monde grand-public (de plus en plus submergé par la vague des « gratuits ») et de l’informatique « grand comptes » (et de ses tarifs confortables) le secteur SBS est souvent mal protégé et à l’origine d’infections relativement virulentes.

Paradoxalement, cette annonce risque de provoquer une certaine discorde dans les rangs des clients grand public de Microsoft, et plus particulièrement de ceux qui ont succombé aux charmes de Home Server, produit familial par excellence, mais reposant sur un véritable noyau serveur dont la seule limitation et de ne pas pouvoir se raccorder à un contrôleur de domaine ni supporter les ADS. Compte tenu de la nature du noyau, les possesseurs de Home Server sont eux aussi interdits de séjour du domaine « live essential ». Une nouvelle édition portant le nom de code « Vail » devrait sortir avant la fin de l’année. Il reste à espérer que le cadeau que Microsoft fait aux petites entreprises sera également accordé aux licences familiales avec le lancement de cette édition.

Rappelons que Home Server Vail utilise un kernel 2008 Server, qu’il est vendu une centaine d’euros pour 10 CAL, et est accompagné de services de backup automatique et de réplication automatique des données. C’est, pour les TPE, une solution très intéressante car très peu coûteuse capable de jouer le rôle de serveur de stockage et de sauvegarder des stations.

Une vulnérabilité dans la table de translation d’adresses, une autre dans SIP, une troisième dans H.323 et une dernière dans le SSL VPN d’IOS : le dernier lot de rustines de Cisco présente statistiquement plus de risques de dénis de service que d’exploitation à distance.

Les 10 applications iPhone incontournables pour Admins : une compilation de SearchWindowsServer qui va du remote netmon au simple traceroute en passant par le gestionnaire de VM. iPhone, une omniconsole ?

C’est le vendredi 24 septembre que devraient être envoyés les premiers avertissements par email de la commission Hadopi