novembre, 2010

18 minutes durant, en avril dernier, près de 15 % du trafic Internet US aurait été détourné par China Telecom, nous apprend Fox News. Une information qui ne devait être révélée qu’à la fin de cette année par un rapport destiné aux membres du Congrès Américain et rédigé par une commission chargée d’examiner la sécurité et les échanges économiques Chine-USA.

Ce détournement était-il voulu ? la chose est loin d’être établie. Mais Fox News, groupe de presse traditionnellement conservateur, insiste sur les risques encourus et les dangers d’un tel accident : les sites du gouvernement, des armées, du Secrétaire de la Défense, du Noaa, ou d’entreprises de première importance comme Dell, Yahoo, IBM ou Microsoft ont fait les frais de ce routage pour le moins étrange. Comme on ne prête qu’aux riches, et que depuis ces dernières années, les cyber-attaques semblant provenir de Chine se succèdent avec une régularité certaine, cette techno-péripétie alourdit le climat de suspicion qui teinte relativement souvent les articles de Fox traitant des relations internationales. Et d’utiliser, en guise de conclusion, une quasi-lapalissade émise par un gourou technique de McAfee « Ce type d’attaque (sic) montre qu’il existe une vulnérabilité dans le système d’Internet, même si la période durant laquelle une personne peut détourner est très brève ».

Cette question relative à la véritable « neutralité » du Net et à la mainmise, tant administrative que technique des Etats-Unis sur le réseau de réseaux, revient régulièrement dans les discussions des experts Français, discussion qui remonte probablement aux premiers balbutiements de Renater à l’aube des années 80. En ce temps-là, elles étaient courantes, les disparitions d’Internet durant plusieurs heures, sous prétexte qu’une mauvaise bande avait été utilisée par Network Solutions lors de la maintenance d’un tld « .com ». Ce détournement (accidentel ou non) de l’Internet nord-américain par la Chine prouve que, durant quelques minutes, les USA ont perdu un peu plus que le contrôle de leurs tables de routage. Ils ont également perdu l’illusion d’un contrôle total et absolu sur leur royaume IP, les plaçant soudainement et pendant près de 18 minutes, au même niveau que tous les « autres ».

Le dernier lot de rustines émis par Apple colmate près de 130 vulnérabilités répertoriées CVE, dont 55 failles, pour la plupart déjà connues, spécifiques à Flash Player. Au total, près de 240 Mo de bouchons s’appliquant aux éditions 10.5 et 10.6 du noyau, version station ou serveur. Quelques forums d’utilisateurs témoignent de difficultés techniques à propos d’une mise à jour de PGP qui aurait pour conséquence un blocage de l’ordinateur lorsque la totalité du disque est chiffrée.

Sunbelt, au fil de son blog, signale que cette avalanche de failles Flash a eu pour conséquence une recrudescence de faux correctifs.

Sur le blog de Sophos, un billet de Graham Clueley sur les quelques dangers potentiels que peut apporter la nouvelle messagerie intégrée à Facebook.

Acta : copie finale ? Le département du Commerce US vient de publier ce qui semble être une édition quasi finale d’Acta Anti Counterfeiting Trade Agreement) ne nécessitant plus que d’éventuels ajustements pour que le texte soit conforme aux canons de la loi

Le Cert Lexsi et Caloga se sont associés pour publier un « décalogue abrégé » du phishing , rappelant (en français dans le texte) ce qu’il faut savoir sur ce genre d’attaque et combattant un certain nombre d’idées reçues. Des idées telles que personne ne peut succomber à des pièges aussi grossiers (hélas si !), que les fraudeurs finissent leurs jours en prison (si l’on se base sur des lois telles que LCEN ou Loppsi …). Et pourtant, « Depuis 2005, aucun commanditaire d’une campagne de phishing ciblant la France n’a jamais été arrêté suite à la plainte de victimes françaises »… Les mules, prévient également l’étude, ne sont pas nécessairement des criminels aguerris. Les crédules, les victimes du chômage croissant, les troisièmes couteaux de la délinquance ordinaire : on trouve de tout dans le profil psychologique des porteurs de valises virtuelles. Quand à la provenance de l’attaque, elle n’est pas systématiquement d’origine Russe. Ce serait plutôt vers le Maroc, l’Algérie et la Tunisie qu’il faudrait rechercher avant tout les plus gros requins du phishing. Les autres « contre-vérités » énoncées par l’étude sont plus classiques. Notamment pour ce qui concerne le fait qu’il n’existe pas de véritable « empire du mal » d’une cyber-mafia collectant des sommes folles, mais plutôt des associations temporaires d’intérêts communs dans le cadre d’opérations de petite envergure. Ou que la sensibilisation de « fait pas tout » et que « le client paye toujours l’addition » puisqu’en Europe en général, ce sont les banques qui sont responsables des pertes causées par de telles exactions.

En attendant, le phishing visant la communauté francophone s’améliore de jour en jour. Les « charset » exotiques tendent à disparaître, les fautes d’orthographe ou de style sont de plus en plus rares : les « phishers » appartiennent de plus en plus à des communautés d’expression française. Il serait possible, continue l’étude Lexsi-Caloga, de limiter sensiblement les dégâts avec l’adoption généralisée des mécanismes et protocoles Dkim et SPF, dont le rôle est de garantir l’authenticité de l’adresse de chaque expéditeur d’email et d’assurer l’intégrité des courriels.

Mais si ces outils sont souvent adoptés par les grands fournisseurs de messagerie « cloudifiée » (Gmail, Hotmail…), c’est plus rarement le cas pour les messageries d’entreprise « hostées » au sein des services informatiques internes. Particulièrement pour ce qui concerne Dkim. Enfin, l’on pourrait ajouter que le phishing s’attaque essentiellement à la personne, personne qui généralement possède 3 ou 4 sources de messageries différentes, tant à titre professionnel que personnel, systèmes de messagerie qui ne sont pas tous sécurisés. Ce qui laisse encore de beaux jours et des rentes de situation confortables pour les artistes du « compte suspendu » et de la « tombola qui offre des iPhones ».

Cette fois, le hack ne sera pas jalousement gardé par son auteur : les secrets du capteur optique Kinect de Microsoft ont été percés et un pilote « open source » existe. C’est ce que clame Adafruit, qui verse du coup la somme rondelette de 3000 $ à son inventeur et 2000 $ supplémentaires à l’EFF. Cette opération de « recherche commanditée » devrait ouvrir la voie à des développements inattendus dans le domaine des jeux et applications Open Source. A commencer par tout ce qui touche à la robotique et aux automates, aux drones terrestres, alarmes volumétriques intelligentes en DIY, aide aux handicapés visuels (amblyopie, cécité) et autres projets de hacking matériel.

Les inepties des contrôles aéroportuaires dénoncées par un article ubuesque publié dans Salon et un papier du Mirror. Blocage du chef de l’anti-terrorisme Britannique par les chasseurs de bouteilles d’eau …

Exploit java, pas chiffré, codé : Daniel Wesemann propose sur le quotidien du Sans, une analyse d’un exploit de la famille « bpac ». A la clef, une table de translation aussi amusante et simple qu’efficace

L’éditeur d’antivirus AVG annonce la reprise d’un petit concurrent Israélien, DroidSecurity, spécialisé dans l’édition de logiciels de protection sur plateforme mobile Google Android. Tout comme AVG, DroidSecurity offre une version gratuite de son antivirus spécifique, version qui aurait été téléchargée plus de 4,5 millions de fois précise le communiqué

Le montant de la transaction s’élèverait à 4,1 M$, avec une indexation sur les bénéfices pouvant augmenter l’enveloppe de 5,3 M$, portant ainsi le rachat à près de 9,4M$. DroidSecurity est une entreprise détenue par ses dirigeants et employés, ainsi que par un capital-risqueur local, Maayan Venture et un groupe d’investisseurs privés réunis sous la bannière de Quantumwave Capital.

Le plus surprenant, concernant le tout dernier « mardi des rustines » du mois de novembre publié par Microsoft, c’est qu’il ne comportait aucune surprise… pas même celle que l’on espérait. Comme prévu, la MS10-087 colmate le « remote » visant Outlook, et les 11 trous prévus par le bulletin anticipé sont bien là, tous là, sans plus.

Mais de correctif Internet Explorer, point. Fait d’autant plus inquiétant que depuis le début de ce mois l’éditeur a publié le bulletin d’alerte 2458511, et que le ban et l’arrière ban des chasseurs de virus clament que la faille est activement exploitée dans la nature. Et plus exactement par le « pack d’exploits » baptisé Eleonore ( attention, certains liens donnés sur ce site sont indiscutablement dangereux). Selon AVG, Eleonore serait responsable de plus de 1,2 million d’infections. Certes, toutes n’ont pas pour origine ce fâcheux bug Internet Explorer, mais le danger est indiscutablement présent. Les mesures de contournement conseillées par le bulletin d’alerte susmentionné sont donc à respecter, tout en gardant à l’esprit que leur mise en œuvre provoque parfois des dysfonctionnements de navigation.

Il faut donc s’attendre à ce que Microsoft publie une rustine « out of band » dans les jours qui suivent. Il faut également s’attendre à ce que cet « out of band » ne soit pas appliqué rapidement, notamment à l’intérieur des réseaux d’entreprise, comme ce fut le cas pour la « faille Conficker ».

A noter également que les bouchons pour Office 2004 et 2008 pour Macintosh ne sont pas disponibles, comme le précise le bulletin d’alerte. Seule la version Office 2011, récemment mise sur le marché, peut recevoir un correctif.