octobre, 2010

Tout comme Snort donna naissance à Sourcefire, Metasploit vient de franchir le pas et devient logiciel commercial. Un concurrent de plus sur le marché, déjà occupé par des programmes comme Canvas et Core Impact. La branche « open » du projet continuera à évoluer sous le nom de Metasploit Express.

Cette transition était aisément prévisible, surtout depuis que le projet originel de H.D Moore a été racheté par Rapid7. La communauté des utilisateurs de Metasploit s’inquiétait de voir disparaître ce qui est sans le moindre doute l’outil de pentesting le plus populaire et le plus utilisé dans le monde… tout comme la communauté Snort avait à un moment craint que Sourcefire fasse disparaître son presque jumeau gratuit.

La version « pro » devrait notamment supporter des attaques (ou tests) du niveau 7 (applications Web) aux couches les plus basses (niveau 2), le tout associé à des outils de reporting évolués et de travail « collaboratif » permettant à plusieurs testeurs de coordonner leurs attaques dans le cadre d’un contrat d’audit. Une fonction de décentralisation du moteur d’attaque via VPN devrait même autoriser le lancement d’exploit depuis l’intérieur du réseau « hacké ».

Le dernier ATM Crime Report rédigé par l’EAST (European ATM Security Team) fait état d’une croissance plus qu’importante avec un +24% du volume de « skimming » de cartes de crédit (fabrication de fausses « devantures » de DAB destinées à voler les identifiants contenus sur la carte, son code pin, et parfois même la carte elle-même). De janvier à juin de cette année, 5743 attaques de ce type ont été recensées dans toute l’Europe, contre 4629 durant la même période 2009. Paradoxalement, les pertes provoquées par ces attaques ont été moins élevées (156 à 144 M€). En 2007, ces pertes ont culminé à 315 M€.

Selon les rumeurs circulant sur les forums utilisateurs, les serveurs de Kaspersky USA auraient servi de plateforme de diffusion virale durant une brève période du dimanche 17 octobre. Quis custodiet custodiem ?

Nos confrères de Network World relatent un récent exercice de sécurité mis en œuvre par le DHS, dans le but d’étudier la propagation des virus… et gaz contaminants dans le métro de Boston. Virus biologique bien sûr. Pour ce faire, l’équipe de scientifiques chargée de l’enquête a diffusé des gaz inoffensifs dans les couloirs du réseau de transport, et en a contrôlé la diffusion en fonction de l’heure, de la température, du mouvement des rames qui agissent tel des pistons pneumatiques et des configurations architecturales. Ceci dans le cadre de deux campagnes qui se sont déroulées en décembre de l’an passé et août de cette année, donc à des températures et taux hygrométriques différents. Deux paramètres importants lorsque l’on tente d’utiliser des vecteurs d’attaque bactériologiques.

Il semble que les résultats effectifs de cette étude soient tenus relativement secrets, puisque pas une ligne n’a été rédigée par nos confrères sur l’impact possible d’une telle attaque ou sur l’efficacité du procédé. Tout au plus les différentes titres abordant ce sujet se sont contentés faire un amalgame et de rappeler le hack de la carte d’accès à base de RFID (Myfare) qui défraya la chronique lors de la Defcon 16, plus en raison de la réaction brutale et irréfléchie du MBTA (métro de Boston) que de la difficulté technique de la faille de sécurité. L’on est très loin des considérations chimico-botuliennes de cet exercice du DHS… à moins que l’on puisse considérer l’art de sauter par-dessus un portillon ou resquiller le prix d’un ticket de métro comme les préliminaires d’une attaque terroriste.

Il reste cependant que cette simulation doit être classée dans la catégorie des attaques Scada, visant non pas à porter atteinte à l’intégrité du système de transport, mais utilisant le réseau de transport en question pour propager la menace. Les « bombes bactériologiques », aussi incontrôlables qu’un lâcher de virus informatiques, ont depuis toujours fasciné les armées du monde entier, qui ne cessent de tenter de les utiliser dans des milieux plus ou moins confinés afin d’en maîtriser la portée. On attribue la première guerre bactériologique aux Mongols qui, durant le siège de Caffa en Crimée, catapultèrent les cadavres de leurs soldats morts de la peste pour la propager à toute la population assiégée. Cette tentative fut, pense-t-on, à l’origine de la Grande Peste qui fit 20 millions de morts en Europe (tuant un habitant sur deux) entre 1348 et 1350. Plus près de nous, l’on peut se rappeler de l’attentat au gaz moutarde perpétré par la secte Aum dans le métro de Tokyo en 1995 avait fait 12 morts et 50 blessés graves, alors que l’attaque avait été circonscrite à une seule station et ne reposait pas sur l’utilisation de virus organiques.

Selon l’Economic India Times, la Défense du pays devrait un jour disposer de son propre système d’exploitation. Un noyau conçu par des ingénieurs du pays, reposant sur une structure précise et maîtrisée « closed source » et, l’on imagine, dépourvu de tout soupçon de « backdoor », de « clef de séquestre étrangère » ou plus simplement de failles de sécurité connues par tout le monde. Pour l’heure, l’équipe de développement ne compterait qu’une cinquantaine d’ingénieurs.

Si le projet arrive à terme, il est très probable que ce pays, probablement l’un des plus productifs en termes de développements logiciels, sera capable de déployer son « OS national » aussi bien sur l’intégralité de ses réseaux d’administration, de défense et d’infrastructures sensibles Scada, mais également, sous forme de noyau embarqué, sur la plupart des équipements de commutation, sans oublier les passerelles de protection périmétrique.

En France, pays pionnier dans la création et enterrement de noyaux à des fins non-agricoles, l’on a vu ainsi passer des Pick, des Mos, des Prologues, des Mercures qui furent toujours plus grands morts que vivants.

Le blog F-Secure est tombé sur une nouvelle technique d’attaque d’un genre inattendu : la fausse page d’alerte Firefox. De l’onglet au contenu du message, en passant par l’apparence générale, tout laisse à penser que l’internaute visé a sous les yeux un message d’alerte généré localement par son propre navigateur alors qu’il s’agit en fait d’une véritable page HTML distante imitant le goût, l’odeur et la couleur de ladite page d’alerte. Ce n’est là techniquement qu’une attaque en « ingénierie sociale », mais qui se distingue par son originalité. Le seul indice pouvant éveiller les soupçons de l’éventuelle victime est cet inhabituel bouton « Download Updates » qui n’apparaît jamais dans les véritables pages de blocage intégrées au navigateur. Lequel bouton déclenche illico la réception d’un faux antivirus.

Si, d’un point de vue technique, les chasseurs de virus y verront peu de différence avec les attaques en « pseudo codec » si fréquentes depuis ces deux ou trois dernières années, les spécialistes sécurité remarqueront sans la moindre hésitation une adaptation du milieu du malware à une contre-attaque destinée à accroître la sécurité du poste de travail.

A ce petit jeu, on peut se demander si la partie n’est pas perdue d’avance pour le camp des « blancs ». Effectuons un petit voyage dans le temps. Plus précisément à l’époque où les navigateurs ne possédaient aucun mécanisme de sécurité. Les premières usurpations et tentatives d’injection par le port 80 ont eu pour première conséquence l’intégration de vpn/ssl dans les navigateurs. Puis les attaques iframe, les certificats « autosignés », ou plus récemment les vrais certificats Verisign ont fait du « petit cadenas » ou de la barre d’URL verte des signes extérieurs d’inutilité. Sont ensuite apparues les tentatives de déclanchement de saturation de buffer via la barre d’adresse, puis les attaques en injection, à leur tour corrigées illico avec de meilleurs contrôles des champs de saisie, les filtrages de chaînes, la suppression d’erreurs de conceptions diverses notamment en matière de lancement d’applets ou de code Java. Contre-mesures rapidement contournées par le recours à d’autres astuces telle que l’utilisation de caractères expédiés en hexa, l’exploitation de caractères d’échappement (quand donc est morte la possibilité de glisser un 0a0d ?) etc. Les outils de filtrage intégrés sont les derniers de cette génération d’add-in de riposte. Ils sont plus intelligents, certains d’entre eux reposant d’ailleurs sur un service permanent assuré par l’éditeur du navigateur même. Mais à peine ces détecteurs d’attaques en drive by download et ces avertisseurs de sites douteux font-ils leur apparition, qu’ils sont immédiatement victimes d’une sorte de « html spoofing » tel que celui relevé par l’équipe de F-Secure.

Entre les cadenas fermés qui ne prouvent plus rien, les certificats dont la provenance est douteuse, les barres d’adresses colorées que l’on peut truquer à façon, les pages d’avertissement qui servent à compromettre l’usager, quel niveau de confiance peut encore avoir le fameux « utilisateur final et finaud » envers son client d’affichage html ? Si cette course à la contre-contre-mesure se poursuit, combien d’indicateurs prétendument infalsifiables les éditeurs seront-ils capables de faire s’allumer en vain, rendant la lecture des signaux de sécurité totalement incompréhensible ? Car les navigateurs modernes ressemblent de plus en plus à ces autobus qui croisent entre Lahore et Bombay, surchargés de lumières et de guirlandes, mais dont l’emprunt se fait au péril du voyageur.
La faute, bien sûr, n’en incombe pas aux éditeurs, qui tentent par tous les moyens de parer une attaque dès qu’elle est signalée. Encore moins des concepteurs, dont le rôle est avant tout de concevoir un programme aussi génial et séduisant possible pour que les usagers l’adoptent sans discussion. C’est d’ailleurs là que se situe le hiatus principal attaché à la notion de SDL. On ne peut associer à la fois la créativité d’un auteur de roman, de logiciel, de musique ou de toute autre discipline avec le rigorisme d’une méthode SDL en matière de programmation, école de romancier dans la veine « écrire comme … » ou filière de composition formatée pour fabriquer du « hit ». Si Internet avait été pensé, conçu, inventé pour être sûr et bien écrit, il se serait appelé X400. On ne peut non plus porter atteinte au « génie » des auteurs de malwares, d’une toute autre nature, certes, mais qui est bien réel.

Tant que la notion de sécurité d’un logiciel ne relèvera pas d’une idée géniale qui remplacera le principe d’action-réaction (ou attaque puis défense a posteriori), il sera bien difficile de penser et d’agir autrement. La faute, s’il y en a une, serait du fait de deux professions qui n’existent pas, ou pas encore. Celle de « nettoyeur de code et de bonnes idées qui ont fait long feu », et celle de « temporisateur de contre-mesures géniales » chargé de l’élimination malthusienne des projets dont l’espérance d’efficacité ne dépasse pas 6 mois. Deux corps de métier qui devront tôt ou tard travailler avec d’une part les grand-maîtres du Software Lifecycle Development et autres approches de « safe coding », et d’autre part avec les ninjas du filtrage de niveau 7 qui semblent toujours connaître des déboires avec ce sacré port 80.

On entre dans le catalogue VMware un peu comme on entre en religion : en tentant d’apprendre le catéchisme des appellations contrôlées, en tenant de comprendre si la désignation v-Quelquechose correspond à un logiciel, à un service ou à un ensemble de programmes encapsulés dans un conteneur plus grand. Dans ce flou entretenu par des successions de changement de noms au rythme des annonces-produits, les commerciaux de l’entreprise parlent d’écosystème, de solutions, une dialectique parfois nébuleuse (sinon fumeuse) avec laquelle un routeur ne s’appellera jamais un routeur, un serveur jamais un serveur et un réseau jamais un réseau. Mais les utilisateurs d’hyperviseurs sont des gens particulièrement doués, qui jonglent sans coup férir avec cette sémantique de la virtualisation. Pour preuve, le nombre de clients augmente et l’on a assisté au franchissement de cap des 7, 5 millions de serveurs virtuels courant 2009, soit le même volume que celui des serveurs physiques traditionnels en opération dans le monde. Le phénomène ne semble pas ralentir, puisque le taux de croissance avancé par Paul Maritz, CEO de VMware, lors de la conférence plénière de VMworld Copenhague, devrait se maintenir aux environs de 28%, et le nombre de VM installées pourrait dépasser les 10 millions au saut de l’an pour un effectif de 190 000 clients VMware.

Un mot nouveau a été récemment ajouté au vocabulaire VMware : vCloud Director, à la fois un outil de provisionning, d’administration des Clouds privés, publics ou « hybrides » (mi- internes, mi- externes) et d’automatisation. C’est là probablement l’une des pièces les plus importantes de la gamme, puisque cette super-console sert avant tout à fabriquer des blocs de groupes de serveurs d’applications (vApps), à les installer et les administrer dans l’infrastructure internet de l’entreprise puis, si les conditions de rentabilité sont réunies, de migrer le tout sur un Cloud public, adressage IP y compris, sans y changer quoi que ce soit ni surtout employer un autre outil d’administration. C’est une réponse partielle aux problèmes épineux de migration des applications, de reprise d’activité, de rapatriement de traitement externalisé et de changement de prestataire d’hébergement. C’est surtout, avec l’optique VMware, un moyen bien plus simple pour constituer des segmentations fonctionnelles ou architecturales sur mesure, regroupant par exemple des catalogues d’applications métier à temps de réponse rapide, puis, au sein d’un autre bloc, des pools d’applications bureautiques ou généralistes ne nécessitant pas particulièrement les mêmes contraintes techniques. et ainsi de suite. Pour un opérateur, cela revient à pouvoir fabriquer des îlots de services à la demande, de « l’infrastructure as a service » avec des paliers de facturation adaptés, des contrats SLA à géométrie variable.

A peine VMworld Copenhague vient-elle de fermer ses portes que Wall Street Journal laisserait entendre que VMware serait intéressé par le département Suse Linux de Novell. Un Novell qui serait à vendre « par appartement » selon des rumeurs persistantes. Toujours selon le WSJ, le reste de l’entreprise pourrait tomber dans le catalogue d’Attachmate, une entreprise de Seattle qui orbite dans la périphérie de Microsoft et qui fut l’un des pionniers de l’accès distant, bien avant le boum Internet.

Il y a deux semaines, une autre rumeur de fusion avait un peu agité le monde de la finance IT : celui de la reprise d’Adobe par Microsoft. Si l’affaire se conclus, l’on risque de lire çà et là des articles amusants sur le résultat d’une telle union, notamment en termes de « consolidation » des CVE émis tous les mois par ces deux entreprises. Voilà qui nous promettrait des « Patch Tuesday » homériques et une bagarre intéressante sur le terrain des livres électroniques, sur lequel Microsoft n’était présent que grâce à son format .LIT.

VMworld Copenhague : Côté sécurité, ces bureaux virtualisés sont protégés par plusieurs outils qui, depuis peu, ont été rebaptisés vShield : vShield Edge, qui assure les fonctions NAT/VPN/Firewall/équilibrage de charge à l’échelle de tout un datacenter vSphère. Vient ensuite vShield App, firewall applicatif (VPN/NAT/Firewall) plutôt destiné à la protection et à la segmentation des zones logiques définies au sein d’une architecture vSphère. Alors que Edge peut être considérée comme une coquille enveloppant une infrastructure virtualisée complexe (l’ensemble des machines vSphère d’un opérateur par exemple), App représente plus la partie sur laquelle vont reposer les définitions de politiques de groupe, la séparation des groupes de VM par centre d’applications (DMZ, services bureautiques, bases de données…) ou niveaux de qualité de service. Ajoutons à cet inventaire vShield Zone, qui tiendrait à la fois du NIDS, du firewall et de l’outil de filtrage reposant sur les ACL. Le dernier de la liste, vShield Endpoint, est le moins conventionnel des trois. Il s’agit d’un outil de protection des « stations » VDI, dont le code exécutable (l’agent) fonctionne au niveau du système hôte, et non plus dans chaque machine virtuelle. Cette technique évite de dégrader les performances CPU et mémoire de chaque station virtuelle sans risquer son intégrité, et élimine les problèmes d’administration, de déploiement et de mise à jour desdits agents en concentrant en un point unique les opérations de maintenance. Techniquement parlant, la partie active du logiciel de sécurité (assimilé à un appliance virtuel) est intégrée dans sa propre VM située dans la partie serveur (vSphere) de l’architecture virtualisée. Le dialogue entre la partie endpoint et le code actif s’effectue via des API ouverte à tout éditeur souhaitant adapter sa suite, et les outils de réglages d’administration sont réunis dans vCenter/vCloud Director. Pour l’heure, le premier et le plus connu de ces partenaires s’appelle Trend Micro. Gageons qu’avec la généralisation des services Cloud, cette forme d’externalisation des défenses périmétriques devrait remporter un certain succès.

Reste que cette segmentation complexe peu perdre un administrateur, dans un monde où les frontières entre Datacenter et découpage logique par fonction n’est pas toujours, lui non plus, marqué par des frontières précises. Se pose également la question de la cohabitation avec les outils de protection périmétriques tiers qui s’intègrent dans la stratégie vShield. F5, Checkpoint, Juniper etc ne deviendront-ils pas un jour des concurrents plus que des partenaires, des entreprises « opéables » plus que des compagnons de route ? L’on garde à l’esprit la fusion entre VMware et Bluelane, le spécialiste du patch vituel. L’intégration de la technologie et des hommes s’est opérée sans anicroche, au plus grand bonheur des utilisateurs de vShield… mais au détriment des clients traditionnels « non virtualisé » de BlueLane qui ont perdu un outil très apprécié des gestionnaires de grosses bases de données Oracle par exemple.

Ajoutons également que derrière les affirmations convaincues des différents acteurs (tant du côté VMware que de celui des « équipementiers virtuels »), l’on est étonné de l’assourdissant silence à propos des défauts et des risques de cette nouvelle approche de la sécurité. Le mantra« c’est virtuel, donc c’est plus sûr par construction et par définition » masque un peu trop souvent le fait que même virtuels, les logiciels de protection sont eux aussi fabriqués de main d’homme, donc imparfaits, et généralement issus d’une transposition du monde matériel vers un monde virtuel… donc doublement imparfait compte tenu des problèmes de traduction que cela peut parfois comporter.

Aucune de ces réserves ne doit cependant occulter le fait qu’une nouvelle forme de sécurité périmétrique est en train de prendre forme… et peut-être de se standardiser, un espoir formulé par plusieurs clients VMware rencontré à Copenhague.

VMworld Copenhague : Compte tenu de la proximité de son pendant nord-américain, l’on pouvait s’attendre à une édition « US réchauffée sauce Hollandaise ». Il n’en fut rien. VMworld Europe a offert, à ses quelques 5000 visiteurs, son lot d’annonces, tant de la part de VMware que des nombreux éditeurs vivant dans la sphère ESX.

L’annonce la plus remarquée fut probablement celle de la «console » VMware View 4.5, la révélation de VMworld San Francisco. Les changements par rapport aux versions précédentes sont radicaux, longuement décrits par Scott Davis sur son blog « View Point ». De façon lapidaire, précisons que la 4.5 n’est plus une simple VDI, mais peut continuer à fonctionner en mode déconnecté, supporte Windows 7, l’assignation d’application à partir de la console d’administration VMware View, et tourne sur une multitude de plateforme dont –modernité oblige- les iPad et iPhone d’Apple, les terminaux Android et bien sûr les clients fins et hosts traditionnels.

4.5 n’est pas, conceptuellement parlant, une nouveauté absolue. Citrix prépare de son côté un contre-feu baptisé Xen-Client, l’hyperviseur « on the go ». C’était, dans le cadre d’une architecture radicalement différente, une vision de la virtualisation également partagée par Softgrid, racheté depuis par Microsoft. Dans un tout autre domaine, l’on peut également se rappeler de la genèse de la suite Open Office version Java et « téléchargée » en mémoire sur des clients-fins. Dans tous les cas, le mode de fonctionnement est le même : il s’agit d’installer dans la mémoire du terminal « endpoint » la totalité d’une application et de la synchroniser à périodes régulières avec le serveur d’application central. Si le lien disparaît, la session « locale » se transforme en session autonome, attendant simplement que réapparaisse le brin réseau. Un mode qui n’est pas nécessairement plus sécurisé qu’une redirection de machine virtuelle, mais qui évite tout risque de chômage technique en cas d’accident ou de coupure (in)volontaire de réseau. Le monde virtuel/connecté doit s’adapter aux impératifs de la mobilité ou, plus simplement, aux probabilités d’accident. Car plus une informatique se « cloudifie », plus elle est dépendante des couches de transport qui elles-mêmes échappent aux Directions Informatiques, plus elle exige la mise en place de parachutes fonctionnels. A quand, chez Microsoft, un hyper-V- RDPclient autonome ?