septembre, 2010

Le numéro 27 de (In)secure, magazine en ligne de l’équipe du HNS, est disponible depuis le milieu de cette semaine. Au sommaire : bruteforcing, sécurité dans le cloud et sur les mobiles…

Le prochain mardi des rustines sera conséquent sans être pléthorique, nous apprend le blog du MSRC. Une première estimation avait prédit que le colmatage concernerait 13 trous, mais 2CVE ont disparu depuis la première édition du bulletin susmentionné. Secunia dresse une liste exhaustive des noyaux et programmes concernés par le prochain lot de septembre… liste qui occupe près de 4 pages-écran. Ces rustines devraient notamment corriger le « bug CSS » d’Internet Explorer 8. Rappelons que le mois précédent, le « patch Tuesday » avait atteint le chiffre record de 34 vulnérabilités résumées en 11 bulletins et correctifs différents.

Une nouvelle version de noyau –iOS 4.1- pour les iphone et ipod corrige 24 vulnérabilités, dont l’exploit « pdf » qui avait permis à l’équipe de Jailbreakme de connaître une gloire certaine grâce à son « jailbreak en ligne pour noyaux 4.0.1 et antérieurs » d’une simplicité et d’une ergonomie digne d’un produit référencé AppleStore.

Bien entendu, l’installation de la 4.1 n’est pas conseillée aux usagers desdits appareils jailbreakés. Ce détail mis à part, de nombreux usagers font remarquer que cette 4.1, outre le colmatage d’une belle collection de trous, corrige certaines lourdeurs du code qui handicapaient les utilisateurs de « vieux » iphone 3G ayant commis l’erreur d’installer le noyau 4.0.1.

Les possesseurs d’iPhone modifiés peuvent restaurer un noyau non-jailbreaké pas simple application du dernier backup réalisé sous iTune, pour ensuite –et seulement à ce moment-là- accepter la mise à jour vers le nouveau système. Des rumeurs persistantes indiquent qu’un nouvel exploit –visant directement la rom des appareils, donc non liée à une faille applicative- serait en voie de développement. Cette nouvelle génération de Jailbreak serait à l’abri d’attaques distantes puisque sa mise en œuvre exigerait un accès à la console, et ne pourrait à priori pas être « désactivée » par une mise à niveau du noyau.

Secunia vient d’annoncer l’entrée en phase « beta marketing » de son logiciel d’inventaire de failles PSI 2.0 (personnal software inspector). La première édition était déjà une bénédiction pour qui ne souhaite pas passer du temps à chasser la mise à jour ou traquer le correctif sauvage, puisqu’en regard de chaque vulnérabilité détectée et listée, le programme affichait l’URL salvatrice de l’éditeur concerné.

Avec l’édition 2.0, 90% des rustines sont appliquées automatiquement, sans que l’usager n’ait même à donner son aval ou naviguer dans les méandres de la section Download de la section Support de la sous-branche Security de l’alinéa Advisories du site secondaire Response_team dépendant de la page Software elle-même inféodée à la section Products du Web de l’éditeur frappé par une malédiction. Lors de nos essais, seul Adobe (bis repetita placent) exige une opération manuelle, pour des raisons de conflit probable entre les deux mécanismes de mise à jour automatique. Précisons que cet automatisme dans l’application des rustines peut être désactivé. PSI, sorte de « WSUS du pauvre » mériterait de figurer au nombre des logiciels intégrés de manière native au sein de toutes les éditions de Windows, serveurs autonomes y compris. Car PSI, logiciel gratuit théoriquement réservé aux particuliers, ne renâcle pas devant un noyau 2008, qu’il soit professionnel (2008 R2 standard edition) ou familial (Vail, alias Windows Home Server).

PSI 2.0 Beta occupe 19 Mo en mémoire et son impact CPU est indécelable sous Ressource Monitor lorsque qu’aucune opération de mise à niveau n’est exécutée.

Elle a tout pour plaire, cette faille Acrobat /Acrobat Reader : à la fois critique et dans la nature, exploitée « in the wild » par une campagne email ayant pour sujet « David Leadbetter’s One Point Lesson ». Lequel email contient un fichier pdf forgé qui ne fait réagir, à l’heure où nous rédigeons ces lignes, que 30 % des antivirus. La pétanque, le football et l’art de savamment cuisiner une choucroute garnie ou un tournedos Rossini étant, chez les Français, des sujets de passion un peu plus importants que de jouer au golf, ladite attaque aura probablement peu d’impact en dehors des sombres ghettos du triangle Auteuil-Neuilly-Passy. Car le monsieur Leadbetter en question est un spécialiste du jet de balles blanche sur des pelouses trouées. Le fait que cette attaque soit totalement nouvelle et donc pour l’heure non corrigée a justifié l’émission d’un communiqué de la part d’Adobe. Cette alerte sans rustine remercie au passage Mila Parkour du blog Contagio Dump pour la découverte de l’attaque, et assure que ses équipes font leur possible pour colmater cette brèche.

Mais l’art de lancer une balle dans un trou avec un bâton, très à la mode Outre Manche et Outre Atlantique, déclenche donc au-delà des mers une vague d’articles inquiets. Un cri du Sans, un grondement sur Security News, une dépêche télégraphique sur le web du Danois Secunia rappellent que ce trou ne doit pas être pris à la légère. Xiao Chen de l’Avert Lab précise que, à l’instar d’un autre exploit visant une faille de gestion du format Tiff (une fois encore dans un code Adobe), cette attaque utilise une technique ROP pour contourner les mécanismes de protection DEP.

Il existe pourtant deux mesures de contournement totalement passées sous silence par Adobe. La première consiste à ne plus utiliser Acrobat Reader et adopter Foxit ou Nitro. L’autre mesure consiste à craindre comme la peste tout ce qui touche au golf pour mieux s’en tenir éloigné, en se plongeant par exemple dans de saines et édifiantes lectures… celles de Jean Ray notamment pour qui cette histoire de ROP diabolique aurait probablement été source d’inspiration.

Tout Brucon en Video. C’est sur Vimeo. A regarder dans la pénombre, une Gueuse à la main et un portable sur les genoux… on s’y croirait

Wifi gratuit chez Starbuck ? Avec une « replay attack » suggérée par Robert Graham d’Errata Security à propos de la requête secrète « whisper » qu’émettent les iphone, ipod et autres ipad en prolegomènes à tout trafic WiFi.

Toi qui entre ici –semble dire la police des frontières US- abandonnes tes coordonnées bancaires. Une exigence que l’Administration Obama semble partager avec la Mafia Russe.

Il y a quelques années de cela, en mai 2004, et sous prétexte de mesure antiterroriste, les services de contrôle aux frontières Américaines ont exigé la communication des numéros de carte de crédit et autres coordonnées bancaires de tout étranger voyageant ou transitant sur le sol des Etats-Unis. C’est bien connu, un terroriste se reconnaît aux empreintes de sa carte de crédit. La demande est immédiatement satisfaite par Commission et le Conseil de l’Europe, contre l’avis du Parlement et de multiples associations de défense des libertés individuelles. La conservation des informations, à l’époque, n’était que provisoire et de « courte durée ». Mais ce provisoire s’est transformé en un formidable fichier nominatif et bancaire permanent, fichier sur lequel les administrations Européennes n’avaient strictement aucun droit de regard.

Début juin 2006, la Cour de Justice Européenne donne raison au Parlement qui avait fait appel, et recale cette disposition en la déclarant illégale. Une simple « menace » qui va mettre longtemps à être respectée, le Parlement devant composer également avec d’autres dispositions concernant la sécurité des frontières et les échanges d’informations entre services Européens et Nord-Américains.

L’administration US, privée de cette donnée essentielle, cherche alors un moyen efficace pour contourner cette décision… et la trouve : désormais, toute demande de visa temporaire faite auprès de l’ETSA sera facturé 14 dollars… payable « en ligne » par carte de crédit bien sûr. Sur cette somme, 10 dollars seront consacrés à la promotion du tourisme aux Etats-Unis… même les plus honorables et les plus légaux des spécialistes du Phishing d’Etat se doivent de faire croître leur botnet.

Précisons que cette mesure n’est pas encore mise en application, et que le fait de remplir dès à présent ledit formulaire repousse cette échéance de 2 ans. D’ici là, les choses pourraient peut-être changer.

Mais l’ingéniosité des services de renseignement US en a inspiré d’autres. A peine cette création de service payant officialisée, que les spécialistes du phishing à des fins mafieuses se sont évertués à créer de faux sites de l’ETSA. Opération qui débute de manière classique avec une campagne SEO qui consiste à tromper l’objectivité des moteurs de recherche afin que les fausses pages Web soient placées en tête des requêtes. L’Avert de McAfee en publie un billet un peu inquiétant, le blog « grand public » de cette même entreprise en fait une montagne.

Dès qu’un gouvernement associe les mots « taxes » et «online », des nuées d’escrocs tentent d’imiter ces formes légales de collecte d’argent. Les carambouilles au « trop perçu » prenant l’aspect d’un formulaire de l’IRS américaine ou des Caisses d’Assurance Familiales en France, les prétendues poursuites judiciaires d’une CIA à l’affût des amateurs de téléchargement sont monnaie courante dans les boîtes à spam de France et de Navarre. Il sera à ce sujet très intéressant de mesurer le volume de fausses « poursuites Hadopi » et de « sommations de payer » qui suivront la mise en application des œuvres de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet.

Relevé par Bruce Schneier mais rédigé par des universitaires de l’UoVirginia, une étude montre que la prolifération d’équipements sans-fil dans les foyers américains laisse fuir de plus en plus d’informations sur les habitudes des résidents, même si lesdites transmissions sans fil sont chiffrées avec les meilleurs algorithmes du monde. Pour n’importe quel électronicien radio, ce genre de révélation s’appelle « enfoncer une porte ouverte ». Pour le monde de la sécurité, ce n’est jamais que le énième rappel d’une vérité : le manque de maîtrise du « hack hardware » dans la profession fait régulièrement découvrir de « nouvelles » vulnérabilités.

Comment donc ont procédé ces doctes universitaires ? Les annexes du rapport l’indiquent clairement : après une consciencieuse compilation des normes et protocoles domotiques utilisés Outre Atlantique, ils ont mené à une petite opération de « wardriving » large bande à l’aide d’un analyseur de signal (http://www.eu.anritsu.com/products/default.php?p=221&model=ms2781b) à 30 000$ pièce, couvrant des transmissions CPL (une technologie « sans fil » qui ne veut pas le dire) aux téléphones mobiles, en passant par les périphériques WiFi, Bluetooth ou X10. En examinant les enveloppes de chacun de ces appareils, il est très facile de déterminer qui « parle », à quelle heure, à quel rythme et sur quelle fréquence. Ainsi, une maison qui n’égraine que quelques broadcasts de SSID Wifi est probablement un appartement inoccupé, pouvant potentiellement être cambriolé à toute heure. L’ouverture d’une porte de garage télécommandée indique l’arrivée ou le départ d’une personne de la maison, tout comme les trains d’impulsion d’un actuateur X10, l’activation d’une télécommande HiFi « par radio » ou le flux de données d’une souris ou d’un clavier sans fil signalent la présence d’un occupant, son activité présente et par conséquent sa position exacte dans la maison. Même l’activité d’un téléphone cellulaire laisse des traces radio parfaitement localisables.

Verra-t-on un jour les monte-en-l’air s’équiper d’analyseurs de spectre et d’ondemètres à absorption pour répertorier les lieux propices à une visite ? C’est possible, mais il existe des méthodes bien plus simples et plus efficaces que tout cet attirail technique. Du faux représentant de commerce qui fait du porte à porte au coup de fil « Bonjourcépourunsondaj », les vieilles ficelles sont parfois aussi pratiques et bien moins coûteuses qu’un analyseur Anritsu. Tout çà n’est donc pas une raison pour bouder les Zodianet et consorts.

Médiatisée par une alerte Secunia, expliquée plus en détail par son inventeur Ruben Santamarta, la porte dérobée « _Marshaled_pUnk » n’affecte, une fois n’est pas coutume, que les éditions Windows de Quicktime 7.x et 6.x. Conspiration de la NSA ? Que nenni ! Rétorque le chasseur de faille. Plus probablement une fonction de test écrite par les concepteurs du logiciel, et qui n’aurait pas été proprement nettoyée, laissant ouverte sur l’extérieur une porte béante, non documentée et parfaitement exploitable. Laquelle distraction est donc qualifiée de « hautement critique » par l’équipe Secunia. A l’heure où nous rédigeons ces lignes, aucun correctif connu n’est disponible.