novembre, 2010

Les cybercriminels sont intouchables, s’exaspère Brian Krebs, qui nous raconte la vie mouvementée de Sergey Kozerev, étudiant de l’Université de Technologie de Saint Petersburg, reconverti en cyber-parrain spécialisé dans le trafic d’informations bancaires volées. Zo0mer (ainsi se fait-il appeler désormais), est devenu le roi de l’identité bancaire en gros. Sa marchandise est commercialisée à grand renfort de publicités flash affichées en bandeau de certains sites Web spécialisés et propulsée par un site de vente (une « place de marché » sur Internet) où se retrouvent régulièrement les chefs de réseaux de mules qui viennent ici acquérir à peu de frais de quoi alimenter leurs pompes à phynance. Tout ceci sous l’œil impavide de la police de Saint Petersburg, pourtant vaguement formée à la lutte contre les cybertrafiquants depuis le démantèlement du RBN, le Russian Business Network.

Même indolence de la part de la police Russe et des magistrats, qui, rappelle Krebs, condamne à 6 ans de prison avec sursis l’un des cerveaux de la bande à l’origine du cyber-casse de 9 millions de dollars perpétré sur les comptes de RBSWordpay. C’était mal, ne recommencez pas… et fermez la porte en sortant s’il vous plaît. Le film des évènements est rapporté par nos confrères de Wired.

Plus proches de nous, le cas de Torpig, alias Sinowal ou Anserin, un redoutable cheval de Troie qui parvint à dérober près de 500 000 identités bancaires, en Europe comme aux Etats-Unis. C’est l’Oclctic qui remonte à la source, découvre l’identité de l’auteur du malware et la communique aux services de police de Moscou. Lesquels ne feront rien, strictement rien.

L’on pourrait ajouter également l’absence totale d’action dans l’affaire McColo ou énumérer l’interminable liste de sites mafieux parfaitement connus et localisés par des chercheurs indépendants, tel Dancho Danchev. Plus qu’un problème d’extraterritorialité et de constitution d’un réseau EuroJuges ou InterPol, la lutte contre la cyberdélinquance est un problème militaro-politique. Pour l’heure, les armées du monde entier ne possèdent pas encore ni le contingent, ni la maîtrise technique, ni même le recul nécessaire pour estimer l’efficacité d’une cyberarmée. Il est donc logique qu’elle cherche à employer des mercenaires… L’Affreux, qu’il soit « cyber » ou utilisant des armes conventionnelles, a l’avantage de coûter nettement moins cher qu’une armée entretenue en permanence. S’il tombe sous les coups de l’ennemi, il ne représente aucune perte. S’il se fait prendre, il ne porte ni uniforme, ni élément pouvant le relier avec certitude avec un quelconque Haut Commandement. Il est donc intéressant d’en protéger les meilleurs éléments, même si ce ne sont pas des modèles de rectitude morale. Tant que durera cette situation, tant que les militaires du monde entier n’auront pas soit assimilé, soit rejeté l’idée d’un cyber-contingent doté d’armes techniques « maison », la cyberdélinquance organisée continuera de couler de longs et paisibles jours.

Canon Original Data Security est un système de vérification et de garantie d’intégrité des photographies numériques prises par un appareil de la marque. C’était un système réputé fiable… jusqu’à ce jour où, fin novembre, l’équipe d’Elcomsoft soit parvenue à extraire la signature d’un appareil Canon et à l’appliquer à une image modifiée, la rendant parfaitement authentifiable par le Canon Original Data Security Kit (OSK-E3).

Ce hack apparemment abstrus risque pourtant de chambouler pas mal de choses en matière d’expertise et de recevabilité des preuves en images devant un tribunal. En prouvant que la signature anti-modification de Canon pouvait être détournée, Elcomsoft remet en cause l’authenticité de toutes les clichés numériques utilisés au cours d’affaires jugées sur de tels éléments durant ces dernières années. Pour prouver la véracité de ses dires, la société moscovite diffuse deux photo capables de passer le test OSK-E3, montrant, l’une, une soucoupe volante survolant le mont Fuji (l’allusion à l’industrie de la photographie argentique est à peine voilée), l’autre, l’astronaute Buzz Aldrin sur la lune en train de saluer le Drapeau Rouge. L’autre hypothèse consisterait à douter des prétentions d’Elcomsoft et de considérer que depuis plusieurs années les tribunaux envoient dans de profonds cachots tous ceux qui ont pu trinquer avec un extraterrestre.

Cryptome stocke la dernière édition de la revue islamiste Inspire, qui apporte quelques explications techniques sur la série d’attentats utilisant des cartouches de toner piégées. Répondant au nom de code « opération hémorragie », cette série de bombes camouflées, activées ou non, a pour principal objectif d’entraîner les gouvernements et compagnies aériennes dans une course sans fin aux moyens techniques de fouille et de contrôle du fret. Combat, il faut le reconnaître, perdu d’avance par le Iata, qui coûte fort cher hormis peut-être pour les vendeurs de scanners corporels et mercantis du rayon X spécial-chaussure … Côté terroristes, l’investissement ne dépasse pas officiellement 4200 $… et pourrait être encore réduit.

C’est là une nouvelle preuve de la dissymétrie des moyens qui caractérisent les actions des groupuscules politico-religieux utilisant des techniques de guérilla, et les différencient de la sophistication des armements utilisés par les armées régulières, char, missile ou virus à la mode Stuxnet.

Un tel combat contre ces groupuscules ne se gagne que par un travail d’enquête et de renseignements glanés sur le terrain. Certainement pas en tentant de contrecarrer après coup une menace précise qui, dès qu’elle est connue, n’est généralement plus utilisée par celui qui l’a mise au point. Car les changements de tactiques ne coûtent pratiquement rien (4000 $ dans le cas présent) à celui qui utilise ces moyens offensifs. Depuis que la TSA a décidé d’interdire les bouteilles à bord, de faire déchausser les passagers et de déployer les scanners corporels, les biberons explosifs, les Adidas à retardement et les petits bateaux parfumés à la pentrite ont brutalement disparu.

Si UberTooth peut faire s’agiter quelques cabinets d’avocats et sourciller un ou deux Ministres anxieux, les personnes souffrant d’espionnite aigüe vont frémir en entendant parler de la souris « sans fil » de Destocknet. Il s’agit d’un périphérique USB ressemblant à s’y méprendre à un mulot d’origine Lenovo, en parfait état de fonctionnement, mais cachant sous son capot l’électronique d’un GSM au grand complet, lecteur de carte SIM compris. Un téléphone masqué capable « d’écouter ce qui se passe dans les 5 à 10 mètres à la ronde » nous assure la publicité. Le mode d’emploi est simple, et se résume à« composez le numéro de téléphone de votre souris-espion ». Les codeurs optiques de la souris peuvent même déclencher l’envoi d’un SMS en cas d’activité. Le tout pour 42 euros TTC ou 32 $ auprès d’autres fournisseurs asiatiques tels que PandaWill. A noter que ce même PandaWill commercialise les fameux stylos enregistreurs audio et vidéo pouvant servir à fabriquer les skimmers découverts par Brian Krebs en ce début de semaine (voir « Le fer à souder est-il passible de LCEN ?» ).

Si l’on excepte le fait que la société Lenovo (ex IBM) n’est probablement pas à l’origine de cette production et que la vente de ces gadgets à la James Bond n’est pas interdite en Europe, il est utile de rappeler que l’usage de ce genre d’appareil à l’insu de son usager expose son « administrateur » aux foudres de la loi. D’un point de vue purement technique, la contremesure est assez simple : il suffit d’approcher le cyber-rongeur que l’on soupçonne d’indiscrétion devant la grille de n’importe quelle enceinte sonore amplifiée, si possible de très mauvaise qualité. Le bruit caractéristique émis par le téléphone cellulaire se fera nettement entendre.

Vous reprendrez bien deux doigts de sniffing ? propose Michael Ossmann, père du projet UberTooth. La plateforme matérielle est pratiquement achevée et le microcode donne franchement envie de plonger dedans. Qu’est-ce qu’Ubertooth ? Un environnement et une clef USB destinée aux chercheurs et développeurs gravitant dans la sphère Bluetooth. Ce n’est pas là l’outil idéal pour les espions en herbe, l’usage de l’ensemble nécessitant un investissement personnel important. Mais c’est tout de même à classer dans la catégorie « outils de hack dédiés ».

Toujours sur le thème de la sécurité,des cartes magnétiques et de l’art de faire prendre des vessies pour des lanternes, voilà que Craig, du blog Flashing Led, nous apprend comment émuler les informations magnétiques d’une carte, à l’aide d’une lame de canif (du fer doux devrait faire l’affaire), un bobinage de fil de cuivre émaillé et un arduino. Le but de la manœuvre est de stocker le contenu de plusieurs « plastic ID » en un appareil unique. Les monte-en-l’air modernes trouveront là une source d’inspiration relativement lucrative, tout comme les plombiers qui, à périodes régulières, visitent les rédactions des grands quotidiens nationaux. Le procédé est moins bruyant que de tenter de passer au travers des portes.

Le hacker moderne, contrairement à ses aînés des années 80 et 90, s’intéresse autant au logiciel qu’au « hardware ». Evolution logique, surtout depuis que la matière grise et l’approche algorithmique devient un des ingrédients de base à bon nombre de composants actuels… à commencer par les FPGA. Mais ce que pratique le chercheur ou le curieux est également exploité par des utilisateurs nettement moins bien intentionnés.

Ainsi, cette reconversion d’un lecteur-enregistreur audio du genre magnétophone numérique en skimmer de distributeur automatique de billets. L’article de Brian Krebs reste assez évasif sur les techniques utilisées, mais un étudiant en toute première année de BTS d’électronique –ou un bricoleur un tant soit peu observateur- comprend immédiatement comment tout cela peut fonctionner ainsi que ce qu’il est nécessaire d’acquérir pour récupérer des informations bancaires à peu de frais. Précisons que le principe de fonctionnement décrit par Krebs ne s’attaque pas aux cartes à puce.

Si, il n’y a pas si longtemps, la fabrication des skimmers comportait une part certaine d’ingénierie électronique, il semblerait que ce soit de moins en moins souvent le cas. Les photos publiées par Brian Krebs montrent plus une sorte d’assemblage à la Dubout que le résultat d’une véritable étude. Le procédé retenu est assez frustre (quoiqu’efficace) et le seul mérite d’une telle réalisation revient au constructeur de « mémo-dictaphone » fort bien miniaturisé.

Phrack N° 67 vient de paraître. Ce « zine » quasi historique fête avec ce numéro ses 25 ans d’existence. On y retrouve l’inimitable mise en page au format pica « US Ascii » et les rubriques habituelles. Les amateurs de sensation forte se pencheront en priorité sur le papier phare de ce numéro, intitulé « ProFTPD with mod_sql pre-authentication, remote root », tandis que les adeptes du « social engineering » se délecteront à la lecture de « Hacking the mind for fun and profit ». On y trouve même un papier nostalgique sur une attaque du Fortran sous VMS… lecteurs de moins de 40 ans s’abstenir. La partie hack matériel est, en revanche, totalement absente, brisant ainsi une longue tradition qui remontait aux premiers exploits du 2600 américain. L’on regrette également l’absence de nouvelles de la scène Française dans la section « internationale ».

Vivement le numéro 68 !

Georges Ou, de Digital Society, s’est livré à un petit test sécurité des différents services « Web 2.0 » les plus en vogue. De Flicker à Yahoo en passant par eBay, Amazon ou WordPress, Ou s’est notamment intéressé aux possibilités de détournement de session comme à celles d’usurpation totale de crédence. Et le résultat n’est pas franchement encourageant. Dans bien des cas, le « Sidejacking » (détournement de session par vol de cookies) est possible, alors que ce genre d’attaque est connu depuis des lustres et laissé à la portée d’un enfant de 10 ans. Rares sont les services, tels Gmail, eBay ou WordPress sous SSL, qui décrochent une bonne note. WordPress utilisé sans SSL, Twitter, Facebook arrivent, quant à eux, bons derniers du classement et doivent donc être considérés comme dangereux à utiliser. En ce qui concerne Yahoo Mail et Microsoft Hotmail, ils doivent être employés avec prudence (voire pas du tout), certains défauts d’architecture remontant pourtant à plus de trois ans.

Pour compléter le tableau, à fins de référence, l’auteur a effectué un rapide survol des protocoles d’échange les plus utilisés : Pop3, smtp, imap avec ou sans tunnel, ainsi que FTP en version originale ou améliorée SSL/TLS, le tout associé à une note de « fragilité » d’autant plus mauvaise que le protocole est « vintage ». Un rappel nécessaire car beaucoup oublie que c’est souvent dans ces vieux pots que se mitonnent les meilleurs soupes de propagation virale.

Cet article est à mettre entre toutes les mains. Si son entrée en matière peut paraître réservée aux habitués des techniques de protection, Sa suite explique en termes simples ce qu’est un détournement de session, une usurpation de compte, une authentification SSL etc. Article à imprimer, à traduire et à encadrer, en ces temps de louanges extatiques chantées à la plus grande gloire du Web 2.0, des services externalisés et des applications cloudifiées.

En février 1934, Eugène Aisberg, père fondateur de la presse technique Française, lançait une revue qui s’intitulait Toute la Radio, titre qui devint par la suite Toute l’Electronique, alias « TLE » pour les intimes. Premier numéro précieusement conservé par Monsieur Pascal Chour.

A la page 1 (en chiffres arabes, premier tiers de la publication), l’on trouve un éditorial signé Paul Dermé, titré « Pas un sou ! ». Edito qui vitupère contre les demandes insistantes de l’industrie du divertissement, des variétés et du spectacle, laquelle exigeait le versement d’une partie de la « taxe radio » (redevance) en dédommagement de la concurrence déloyale causée par les nouvelles technologies (la TSF). « La radio porte aux théâtres dans les provinces un coup des plus dangereux, du fait que les spectacles entiers radiodiffusés retiennent inévitablement chez eux les quelques amateurs encore fidèles de l’Art Lyrique » peut-on lire page 2. Déjà, la dématérialisation de l’œuvre et sa duplication auprès de plusieurs milliers d’usagers (fortunés) était un argument fort des « majors » du moment.

Outre la subvention de « préservation concurrentielle » prélevée sur les deniers des usagers, les défenseurs du spectacle traditionnel avaient également inventé Le « filtrage géolocalisé » que n’aurait pas du tout renié certains conseillers ministériels : « Un sénateur, ancien Ministre de l’Education Nationale, M.Mario Roustan, a promis, lui, au Directeur du Grand Théâtre de Bordeaux de demander au gouvernement d’empêcher que les transmissions de l’Opéra soient diffusées par Bordeaux-Lafayette ». Quelques hommes politiques et conseillers clairvoyants s’opposent toutefois à cette forme de lobbying : « M. Mistler, vient déclarer M. Georges Monnet à Excelsior, a raison de penser que le public de la radio doit être satisfait pour lui-même, et non en fonction des services qu’il peut rendre aux théâtres en difficulté… Les 1 500 000 auditeurs (sic) de la TSF ne méritent pas d’être sacrifiés aux abonnés de l’Opéra ou de l’Opéra-Comique ».

Et Paul Dermé de conclure « Les sans-filistes sont unanimes sur ce mot d’ordre : « Pas un sou ! » à opposer à tous ceux qui se soucient fort peu de la radio, mais qui s’intéressent beaucoup à ses écus ». Ni licence globale, ni subvention de mutation, ni prélèvement à la source… la radio, puis la télévision, pourtant longtemps accusées d’avoir trucidé le théâtre, le cinéma, les concerts, les auteurs, ont ainsi survécu grâce à l’intégrité d’hommes qui ont immédiatement compris qu’une technologie n’en remplaçait jamais une autre totalement …