novembre, 2010

Fonctionnant toujours sur l’antique mode « menace-réaction », le TSA, Transportation Security Administration, nous apprend Bruce Schneier, pourrait bien interdire l’usage des liaisons WiFi dans les avions.. Le Wifi, c’est de la transmission sans fil, laquelle (l’imagination du TSA est sans limite) pourrait servir de système de détonation à une bombe cachée en soute. Une crainte née de la récente découverte de plusieurs colis postaux contenant des engins explosifs artisanaux logés dans des cartouches d’imprimantes et reliées à un dispositif de déclanchement à base de téléphone portable sans carte SIM. Du coup, les cartouches d’imprimantes de plus de 16 onces de contenance sont déclarées tricardes auprès des compagnies aériennes. Le fait que le détonateur utilise un téléphone portable plonge certains de nos confrères dans une folle course aux conjectures. Car si le vibreur d’un Nokia ou d’un Sagem d’entrée de gamme peut fort bien servir à établir un contact électrique dès qu’est reçu un appel, la chose est plus compliquée lorsque le dispositif est :
– Quelque part sur un trajet postal ou de fret difficilement traçable
– Enfermé dans un container faisant office de cage de Faraday
– Rarement à portée d’une cellule lorsque l’avion transporteur est en vol et à son altitude de croisière
– Potentiellement à cours de batterie compte tenu des températures de soute relativement basses relevées sur certains aéronefs (certes, pas tous)
De toute manière, l’absence de carte SIM prouve que les fonctions de communication n’ont jamais été envisagées comme une option exploitable par les poseurs de bombes. La détonation devait plus probablement utiliser la fonction « réveil » qui équipe tout cellulaire, y compris le plus bas de gamme. Ce qui, au passage, marque une très nette évolution sociologique des concepteurs de colis piégés. Il n’y a pas si longtemps, ils auraient utilisé une montre (électronique ou non), voir un réveille-matin traditionnel. Le passage au téléphone portable montre à quel point la « souplesse d’utilisation » et l’adaptabilité des GSM de tous poils est appréciée par ces électroniciens aussi amateurs que mortifères.

Ces considérations techniques mises à part, l’attitude du TSA fait dire à Schneier « n’allez surtout pas apprendre aux gens du TSA qu’il existe des machins appelés altimètre ou chronomètre »… L’on pourrait étendre cette liste à l’infini. De l’hygromètre de Tante Adèle au baromètre de Tonton Georges, en passant par la montre de plongée, les PDA, la quasi-totalité des accessoires Bluetooth, les bouteilles d’eau de plus de 5 centicubes (qui pourraient être dangereusement bricolées et transformées en clepsydres, donc en « timer » pour détonateur), les vêtements en coton (aisément transformables en fulmicoton après un cycle de rinçage dans de l’acide nitrique), les élastiques de sous-vêtements modifiables en percuteurs lents, les ampoules de lampe de poche bien sûr, sans oublier tout générateur d’électricité, telle la pile de 1,5V sournoisement camouflée dans un baladeur. Idem pour les rasoirs électriques autonomes, les lecteurs de CD (car les contacteurs fin de course de la tête optique peut également servir de déclencheur) et autres gadgets de geek. Qui donc a d’autres idées ?
Côté emballage, et pour compléter la liste déjà longue dans laquelle entre les cartouches-d’imprimante-laser-de-plus-de-16-onces-de-capacité, nous aimerions attirer l’attention du TSA sur l’aspect sournois de certains appareils, quasiment conçus pour abriter des pains d’explosifs et leurs téléphones siamois. A savoir : les pèse-personnes, les valises de plus de 16 onces de contenu, les chaines HiFi (horrible vision que celle d’une Claymore artisanale camouflée dans un Denon 7.1), les enceintes associées auxdites chaines HiFi, les étuis de violon, violoncelles, flutes traversières et trompettes, les faux rouleaux de papier hygiénique, les bottes de poireaux comptant plus de 8 légumes, les emballages de camemberts, les moulins électriques et autres appareils culinaires de plus de 1,2 dm² ou un raton laveur (empaillé).
« Il est inutile de vouloir colmater la faille que représente les transmetteurs WiFi tant qu’il est possible d’utiliser un quelconque minuteur » conclut Bruce Schneier. C’est là une course stérile. Lorsque l’on sera parvenu (si jamais cela était possible) à éliminer tout ce qui pourrait servir de système de déclanchement temporel, il se trouvera toujours un poseur de bombe capable d’imaginer un système aussi fruste qu’ingénieux pour établir un contact électrique ou chimique.

Quelques jours à peine après l’augmentation de la « prime au hacking » offert par Adafruit et visant l’interface de jeu Kinect de Microsoft, un hacker serait parvenu à percer le secret du boîtier, nous apprend Gizmodo. Kinect est un contrôleur de mouvements constitué d’une caméra télémétrique et cinémométrique destinée à remplacer les poignées de jeu de la console Xbox 360 de Microsoft. L’auteur de ce reverse engineering est parvenu à récupérer les informations chroma et profondeur délivrées par la caméra, et prouve qu’il est également capable de commander les mouvements de tête du capteur et récupérer les données de l’accéléromètre intégré. Contre toute attente, le hack ne sera pas rendu public et la prime promise par Adafruit pour l’écriture d’un Open Kinect n’est pas réclamée : l’auteur du hack envisage d’exploiter cette trouvaille pour son propre compte.

Microsoft, depuis les toutes premières versions de sa Xbox, n’a cessé de perfectionner les mécanismes de protection matériels et logiciels de ses appareils. Certaines de ces protections ont résisté très longtemps, voir n’ont jamais été totalement abattues. Cette attitude très protectionniste serait justifiée par la crainte de voir s’accroître le piratage des contenus (les jeux) et s’échapper des pans entiers relevant de sa propriété intellectuelle. Le passé a pourtant prouvé que si, effectivement, certains hack de ce genre avaient entraîné une recrudescence des contrefaçons, la majorité des personnes tirant parti de ces exploits recherchaient avant tout la possibilité d’étendre les fonctions de la console et accéder à de nouvelles applications que ne souhaitaient pas développer les éditeurs officiellement partenaires de Microsoft. En ce sens, l’attitude de Microsoft dans le domaine des jeux est à l’opposé du Microsoft acteur du monde du développement, plus prompt sinon à ouvrir, du moins à documenter les points d’accès à ses plateformes logicielles et matérielles (API notamment) quitte à racheter un peu plus tard un concurrent si son chiffre d’affaires devient trop important.

La Computer & Communications Industry Association (CCIA), nous apprennent nos confrères de Numérama, vient d’envoyer une lettre relativement « fraîche » à l’Hadopi, lui reprochant trois points techniques qui entraîneraient une dérive autoritariste et liberticide et constitueraient une entrave à l’exercice du métier d’éditeur de logiciels notamment.

Ces trois points sont respectivement :

La quasi obligation pour l’usager d’installer des moyens de sécurisation par le biais de menaces pénales. « While the proposal is set out as voluntary, it is likely to act as a de facto mandate » déclare la lettre de la CCIA, accusant ouvertement de tartufferie l’attitude de l’Hadopi. « Users may perceive that they are presumed guilty of piracy » continue la missive. Un sentiment qui ne semble pas effleurer le Secrétaire Général de l’Hadopi, puisque qu’au fil d’un « chat » sur le Monde.fr, l’on pouvait lire l’échange suivant :

ChristineA : Etant donné qu’il n’y a encore aucun logiciel labellisé Hadopi pour l’instant, quel est notre moyen de défense, puisqu’il y a, dans le cas de votre loi, présomption de culpabilité ?
Eric Walter : Il n’y a pas présomption de culpabilité, donc comment voulez-vous que je vous réponde puisque votre question est faussée ?

Démonstration de dialectique remarquable, puisque le sentiment de l’usager est par défaut considéré comme « biaisant » la question, et donc la rendant caduque. Art de jouer sur les mots en général, sur les mot-clef en particulier, la CCIA dénonce les méthodes de flicage mentionnées dans le « module 3 » du « Projet de spécifications fonctionnelles des moyens de sécurisation ». « Si l’on peut légitimement estimer qu’il est légitime de surveiller une requête comprenant les mots « site de piratage », d’autres autorités sont intéressées par des sujets très différents. L’on peut prendre comme exemple le fameux « grand barrage vert » de la République Populaire de Chine, censé lutter non pas contre des activités politiques subversives, mais contre les contenus pédo-pornographiques. L’installation de tels logiciels « par défaut », sans condamnation préalable pour activité criminelle, n’est pas franchement une attitude très démocratique » dit en substance la lettre des industriels de l’informatique. A ces considérations s’ajoute que ces programmes de surveillance « labellisés » sont contraires à l’idée que les industriels de l’informatique se font d’un « libre marché ».

Le second point qui heurte la sensibilité des membres de la CCIA concerne le principe de blocage de certains sites sur la demande de tiers, via une autorité judiciaire, sans que l’usager puisse avoir connaissance des sites ainsi censurés. Le filtrage doit relever de la décision de l’administrateur réseau ou d’un partenaire commercial et non pas d’une autorité administrative. C’est là encore une question de liberté et de neutralité du Net.

Le troisième point discutable soulève une fois de plus la confusion créée entre le protocole utilisé et sa légalité. En d’autres termes, l’équation P2P=piratage est une erreur fondamentale, et le fait que de tels protocoles soient utilisés à des fins discutables ne doit pas pour autant faire perdre de vue qu’ils sont également employés dans le cadre d’échanges tout à fait légaux. Sachant que les échanges P2P relèvent, à de très rares exceptions, de développements Open Source et non commerciaux, qu’est-ce qui fait que soudain, des Microsoft, des Google, des Yahoo s’inquiètent de l’avenir du peer to peer ? Parce que quelques programmes commerciaux utilisent ce genre d’architecture (Skype, Microsoft Groove…). Mais également parce que ce genre d’interdit peut, comme le prévoit le « projet de spécifications » « compromettre toute autre innovation de manière générale ». Ce n’est pas le type de plateforme, par définition « ouverte » à tous types d’usages –du forum au serveur d’échange vidéo- qui fait le crime, c’est ce que l’on en fait. « Si le logiciel hadopi venait à catégoriser de tels programmes dans une « liste grise », cela impacterait immanquablement les usages « légitimes » de ces plateformes.

Les trois points soulevés s’appuient donc dans l’ensemble sur les mêmes arguments que ceux avancés par les « anti-hadopi » regroupés sous la bannière des défenseurs des libertés individuelles. Mais avec une optique radicalement différente. Il ne s’agit pas là de préserver un Internet neutre et ouvert, mais d’éviter de voir imposées des contraintes techniques ou juridiques qui pourraient avoir des conséquences néfastes sur le business des membres de la CCIA. L’on se retrouve là dans une logique très proche des opérateurs et FAI qui s’opposent aux politiques de filtrage ou de délation des internautes « coupables de piratage », non pas par excès de zèle libertaire, mais tout simplement parce que tout ceci coûte cher et qu’il serait nécessaire que l’Etat participe financièrement à l’établissement de ces outils de surveillance et de répression.

La lettre du CCIA soulève cependant un aspect important du problème, rarement mis en avant par les associations de défense : l’usage à long terme de ces dispositions restrictives dans une perspective historique. Ce qui peut être considéré aujourd’hui comme une légère gêne d’usage, une petite contrainte nécessaire pour sauver de la famine les professionnels de la variété et du divertissement, pourrait, sous la férule d’un gouvernement totalitariste, se transformer en une formidable arme de répression politique. Hors, depuis 1789, le balancier de l’histoire a constamment oscillé entre des périodes de liberté relative et des années de dictature parfois sanglantes. Terreur, premier Empire, Restauration, second Empire, gouvernements Thiers, parenthèse Vichyssoise… la véritable question n’est hélas pas de savoir si de telles périodes sombres risquent d’arriver à nouveau, mais quand elles arriveront.

Non, ce n’est pas Graham Clueley, pour une fois, mais Chester Wisniewski de Sophos, qui vient de publier une note critique à l’égard des points d’accès WiFi gratuits. Pourquoi, se demande-t-il, les mots « Hotspot gratuit » sont-ils toujours associés aux vocables « Hotspot non chiffré » ? Bien sûr, à l’usager de savoir ce qu’il fait… et l’inciter à employer forces protocoles dédiés, qui sur une liaison Imap sécurisée, qui sur une connexion ftp « tunnellée ». Mais ces conseils sont une bonne réponse à une mauvaise question. Il pourrait être, pour éviter de voir s’envoler des mots de passe par simple sniffing de la liaison station/point d’accès, opportun de forcer les usagers à employer un protocole de chiffrement unique du tuyau d’accès… Et Wep dans le pire des cas (ndlr : c’est toujours mieux que rien, et il est peu probable qu’un « black hat » se fatigue ou même parvienne à récupérer assez d’« iv »(initialization vector) au cours d’une session de quelques secondes de récupération d’email). Il serait plus subtil, estime Wisniewski, de généraliser l’usage de WPA2. Comment ? Mais de manière très simple, en forçant ce protocole au niveau de tous les points d’accès gratuits, et d’accueillir chaque nouveau venu avec une page indiquant clairement le mot de passe du jour. Par exemple « free » pour chaque hotspot gratuit, suggère l’auteur. Sous WPA2, le « mot de passe » n’est pas la clef. La clef, pour sa part, est unique et aléatoire pour chaque ouverture de session. Et l’auteur d’imaginer une sorte d’Internationale du Chiffrement WiFi qui unirait dans un même élan de solidarité et de sécurité les Starbuck, McDonald et autres temples de la haute gastronomie industrielle. Une initiative intéressante, même si elle ne correspond pas exactement aux critères fixés par une hadopi, le Great Firewall of China ou les lois Iraniennes.

Le site de la Navy britannique est « tagué » depuis 24 heures par un pirate Roumain répondant au nom de Timkode. Son arme favorite , utilisée de nombreuses fois, semble être l’injection SQL et le XSS

La prochaine et très attendue conférence parisienne Hackito Ergo Sum se tiendra du 7 au 9 avril 2011. L’appel à communications est lancé et s’achèvera le premier mars prochain. Les articles seront visés par un comité de lecture impressionnant, parmi lequel on remarque les noms de Tavis Ormandy, Barnaby Jack, Dino A. Dai Zovi, Raoul Chiesa, David Litchfield, Jonathan Brossard, Nicolas Ruff et bien sûr Matthieu Suiche et Philippe Langlois.

HES n’est pas seulement un cycle de conférences orientées sécurité. C’est aussi un lieu de rencontres et de partages techniques, de vulgarisation des techniques parallèles aux mondes du développement et de l’informatique, un observatoire technologique et sociologique de l’évolution du hacking (au sens « maîtrise technique » du terme). La première édition, qui s’était déroulée l’an passé au cœur du quartier des antiquaires, à Saint Ouen, avait fait salle comble.

Les thèmes abordés iront du monde des réseaux aux vulnérabilités des architectures Scada, sans oublier les traditionnelles conférences sur les failles conceptuelles liées à la programmation, les nouveaux outils d’écoute des réseaux sans fil (dont les évolutions de GnuRadio) etc. Bien sûr, un HES sans concours « capture the flag » ne serait pas un HES… un ctf « réseau » et un concours de crochetage de serrures sont à prévoir.

l’Union des annonceurs (UDA), l’Union des fabricants (UNIFAB), le Syndicat de la presse quotidienne nationale (SPQN), et le Syndicat de la presse magazine (SPM) viennent « à nouveau » précise le communiqué, de protester contre l’ouverture d’un nouveau service Google « qui permet à quiconque d’acheter des marques, en tant que mots-clefs, pour déclencher ses liens commerciaux ».

L’achat de mots capables de déclencher l’affichage d’une publicité ou placer en tête de tri un « lien sponsorisé » est l’une des techniques les plus controversées parmi les mille et une astuces mises en place par Google. Elle permet notamment de s’approprier, pour une période donnée, un terme qui provoquera l’affichage en tête de requête d’un lien conduisant l’internaute vers … n’importe quel site, y compris celui conçu par une marque concurrente ou un site tendancieux. Les partis politiques sont friands de ce genre de choses, et l’on se souvient encore des mots «violence», «émeutes», «banlieue» ou «racaille» achetés en 2005 par l’UMP et incitant l’internaute à consulter (et éventuellement participer à) une pétition soutenant la politique de fermeté du gouvernement. Les autres partis politiques en ont probablement tout autant à leur actif d’ailleurs.

Un achat de mot qui peut également être contourné afin d’obtenir des résultats équivalents, puisque les professionnels du phishing et du scareware (ainsi que certains groupuscules extrémistes) se lancent régulièrement dans des campagnes de SEO (Search Engine Optimisation) visant à faire prendre de faux antivirus pour d’authentiques outils de protection périmétrique, de véritables contrefaçons de montres asiatiques pour des chronographes Helvétiques et des vessies garanties sur facture pour des lanternes grand teint.

… ce qui ne rassure pas franchement les possesseurs de marques, et notamment les signataires de cette lettre ouverte à Eric Schmidt, qui espèrent d’une part montrer leur unité face à cette sorte de « machine à détourner les marques », et d’autre part, inciter le patron de Google à réfléchir à des solutions techniques capables d’assurer un meilleur contrôle quant à la légitimité des « acheteurs de mots ». Revendication d’autant plus justifiée que de telles pratiques n’ont pas cours en Australie ou au Brésil par exemple. Alors, pourquoi inféoder le marché Européen aux pratiques en usage aux Etats-Unis ? Voilà pour la partie purement politique et stratégique de l’affaire.

La partie tactique, de son côté, est déjà bien engagée, puisque plusieurs actions auprès d’instances nationales ont été lancées à l’encontre de Google, nous apprend Gérard Noel, Vice-Président Directeur Général de l’UDA, l’un des signataires de ladite lettre. Il est probable que le verdict des différentes chambres conditionnera la suite à donner à cette lettre. Google est une entreprise qui a tendance à se montrer plus attentive aux demandes de ses clients à partir du moment où celles-ci sont accompagnées de gens de robe.

Reste qu’en attendant Google a tout intérêt à jouer les prolongations, car tant que le business des «adwords » fonctionne, tant que règne en Europe une confusion entre la notion de marque déposée et celle de mots génériques, le business des mots déclencheurs de liens continuera à rapporter.

11 CVE et… trois bouchons seulement. Le prochain « mardi des rustines » sera concentré et légèrement atypique, puisque –une fois n’est pas coutume- ne comprenant pas le moindre « cumulatif I.E. ».

Le bulletin prévisionnel précise qu’une rustine Office est qualifiée de critique, fait relativement rare. Chez Microsoft, il faut généralement deux conditions pour mériter un tel grade : il faut tout d’abord que le trou soit techniquement exploitable, qu’il le soit « à distance » et non seulement depuis la console, et qu’enfin il n’exige pas d’interaction avec l’utilisateur du programme en question. Ce dernier point est assez rare dans la gamme Office. Etaient qualifiées de critique dans le catalogue des produits bureautiques les failles permettant par exemple l’exécution d’une applet depuis l’interpréteur html de Outlook. Cette faille affecte toute la gamme, de Office XP SP3 à 2010 64 bits, et s’avère paradoxalement « importante » sur les anciennes éditions et « critique » sur les versions les plus récentes. A noter que la faille est également présente sur les versions Macintosh d’Office 2011, avec le qualificatif d’important.

Un second bulletin signale l’existence d’un trou de sécurité dans l’outil de développement marketing de 4ème génération, Powerpoint, éditions 2002 et 2003 SP3. La troisième faille affecte Forefront Unified Access Gateway 2010 quel que soit le niveau de mise à jour.

Comme il est de tradition, ce lot de rustines est accompagné d’une mise à jour du Windows Malicious Software Removal Tool.

Rappelons que jeudi dernier, Adobe bouchait 18 CVE et recommandait à ses usagers d’adopter la version 10.1.102.64 de Flash Player

Alerte rouge : La faille CVE-2010-3962 affectant Internet Explorer 6.x à 8.x serait exploitée par au moins un « malware toolkit » nous apprend un billet du blog AVG

Trou Apple=trou Android : Une belle démonstration de fuzzing bien tempéré vient d’être publiée par M.J. Keith d’Alert Logic. Faille inhérente au webkit également utilisé pour Safari