décembre, 2010

… et plus de la moitié (68%) des citoyens de la sacrément perfide Albion envisagent sérieusement d’acquérir des programmes contrefaits pour des raisons d’économie. Mais (ceci compenserait peut-être cela) plus de 30 % des possesseurs de logiciels piratés ignoreraient tout de l’origine suspecte de leur acquisition*.

Des chiffres rapportés par nos confrères de Network World et révélés par Microsoft. Un Microsoft qui reprend toujours ce genre d’antienne à l’approche des fêtes de fin d’année, surtout depuis que l’inévitable « ordinateur cadeau » a remplacé le robot Moulinex ou la machine à laver dans la préséance des présents familiaux. Et le ban et arrière-ban de Microsoft UK de répéter « People are opening themselves up to a host of problems such as identity theft and data loss. These are serious issues and it’s absolutely vital that consumers are on the look-out and checking before they buy »

Microsoft cherche légitimement à défendre son gagne-pain. Et il serait hypocrite de le lui reprocher. En revanche, il est tout à fait discutable d’utiliser des arguments sécuritaires pour étayer ces faits. « Dupliquer c’est voler » est un slogan qui se défend dans le domaine du commerce des biens immatériels. Mais associer l’idée de « c’est dupliqué, donc c’est nécessairement risqué » utilise les vieilles ficelles du « FUD », « peur, incertitude et doute », ce qui ôte toute crédibilité à l’argument.

* Ndlr, Note de la rédaction : probablement d’origine Espagnole. « Nobody’s expect Spanish aquisition » dit un proverbe Londonien

Que serait la profession d’homme sécurité si elle n’avait, à période régulière, ses averses de décalogue ? Certaines sont parfois insipides et banales, d’autres amusantes ou utiles… celle-ci tient un peu des deux : évidences « évidentes » et approches nécessaires. Les 10 astuces sécurité de l’année 2010 seront-elles encore valables passées la nuit de la saint Sylvestre ? Très probablement. Les voici en résumé :

Utilisez les GPO pour bloquer le panneau de configuration

Bloquez les accès USB de tous vos postes de travail

Méfiez-vous de la réputation d’inviolabilité de Windows 7

MS Security Essentials n’est pas toujours une « bonne économie »

Chassez les fichiers temporaires indiscrets de Windows

Usez et abusez des outils de diagnostic gratuits

Eliminez les mots de passe complexes : vive les token

XP, Vista, Seven : le plus sûr n’est pas celui qu’on croit

Apprenez par cœur les 5 clefs magiques de la Ruche

Apprenez à mieux casser les mots de passe Windows

Certains conseils sont légèrement utopiques dans le cadre de petites entreprises, d’autres sont tout à fait judicieux, d’autres enfin méritent que l’on y réfléchisse avant de plonger… notamment en ce qui concerne l’enfer des GPO ou la désactivation des UAC via la base de registre. Cette lecture achevée, il ne restera plus aux RSSI que de demander au Père Noël d’apporter les dix règles d’or de celui qui doit écrire des règles d’or en sécurité.

Le rootkit TDL4 serait, nous explique notre confrère Ron Condon de Security News une copie de Stuxnet visant les utilisateurs de Windows. Pour preuve, ce successeur d’Alureon utiliserait pour fonctionner un même exploit la faille CVE: 2010-3888. A l’origine de ce « scoop », une analyse bien plus mesurée écrite par Sergey Golovanov du laboratoire Kaspersky.

Le fait d’utiliser une (et une seule) pièce détachée du premier virus « militarisé » recensé à ce jour n’en fait toutefois pas le char d’assaut qu’était Stuxnet. Pas plus que les usagers de Windows ne se trouvent soudainement considérés comme aussi importants que des utilisateurs de centrifugeuses ou alors du calibre de celles communément appelées « essoreuse à salade ». D’ailleurs, la description ultérieure qu’en fait Golovanov montre bien qu’il ne s’agit là que d’un rootkit de plus, bien rédigé et protégé, mais sans plus.

Si une certaine forme d’inspiration peut faire de Stuxnet une référence dans le secteur de l’écriture de codes aussi malicieux que maléfiques, la stuxnetisation des malwares est en revanche une illusion. Elle exigerait trop de travail, trop d’investissements, trop de développements, trop peu de retour sur investissement pour que les factions mafieuses du vol de crédences bancaires fassent plus qu’y jeter un coup d’œil. S’il doit exister une école Stuxnet, ce sera plus dans les domaines plus pointus du « spear spying » civil ou militaire qu’elle se développera.

La toute dernière édition de Mehari est disponible en téléchargement (gratuit) sur le site du Clusif (Club de la Sécurité de l’Information Français). Il s’agit là d’une méthode et d’outils destinés à aider les RSSI et DSI en matière de définition des buts, d’étude des vulnérabilités, d’évaluation des risques, de pilotage et de validation de la sécurité et des politiques à mettre en œuvre au sein des entreprises. Une édition en langue anglaise est même disponible sur le site.

40 CVE, 17 bulletins et correctifs,2 trous considérés comme critiques par les équipes du MSRC, 5 selon le Sans . Sans oublier le désormais traditionnel indice d’exploitation (toutes sévérités confondues) relativement élevé ce mois-ci. Comme prévu, le quatrième et dernier ZDE (MS10-092) utilisé par le ver Stuxnet est corrigé. Le bulletin détaillé des correctifs, disponible dans les colonnes du Technet, prend des petits airs balzaciens tant sa longueur est impressionnante. L’on notera au passage les correctifs MS10-093, 94, 95, 96 et 97 qui résolvent partiellement le fameux problème du « DLL Preloading » qui permet à un attaquant de lancer un code d’attaque dans une bibliothèque dynamique sans que celle-ci soit nécessairement située sous le répertoire system32. Solution partielle donc, puisque cette faille affecte également un nombre important de logiciels tiers. Secunia tient à jour une liste des programmes connus souffrant de ce défaut, ainsi que leurs divers stades de correction. Nous attirons l’attention de nos lecteurs sur les risques de syndrome métacarpien que peut provoquer la consultation de cette page, le nombre de « scroll down » nécessaire pour atteindre le bas de la liste étant réellement astronomique… et déprimant. Achevons la tournée des trous critiques avec la faille « OpenType Font Driver » (MS10-091) qui permettrait une attaque sans que la moindre action de la part de l’utilisateur soit nécessaire (un simple browse de répertoire suffit, les fonctions de prévisualisation de Vista, Seven et 2008 font le reste), et près de 7 vulnérabilités dont une au moins est exploitée « dans la nature ».

Enfin, pour rester dans la série des grands travaux de nettoyage de l’aventure Trustworthy computing, signalons l’annonce de portage des fonctions de validation de fichiers bureautiques (doc, .xls, .ppt et .pub) sur les anciennes éditions d’Office 2003 et 2007. Le bulletin explicatif du MSRC revient en détail sur cette fonction de sécurité propre jusqu’à présent à Office 2010, fonction destinée à détecter la présence de code dangereux au sein même des fichiers de travail générés par la suite Office. Le bulletin ne précise pas à quelle date ce portage sera achevé et disponible en téléchargement (dans le cours du premier trimestre 2011).

Qu’un mot de passe par défaut soit aussi transparent que le trop répandu Admin/Admin, passe encore. Mais que le sésame en question soit « buriné dans le silicium » et impossible à changer, voilà qui fait tiquer nos confrères de Security Week. Le coupable ? Un rack de stockage fabriqué par HP, le MSA2000 G3. Certes, avant de parvenir aux portes de cette ressource, il aura fallu passer par d’autres niveaux de contrôles, d’autres systèmes, d’autres filtres de protection réseau. Mais l’histoire de l’informatique est une succession d’anecdotes qui prouvent que les défenses à la Montalembert ne sont pas toujours invulnérables, surtout si l’attaquant parvient à découvrir un chemin (VM, routeur imparfaitement sécurisé, attaque en « evil maid » sur un poste proche….) le conduisant au plus près du rack vulnérable.

Un Nmap pour plateforme Android : il s’appelle DroidMap et peut être téléchargé sur GoogleCode

…sur Ha.ckers.org vient d’être publié. Conformément à sa promesse, le père du XSS (cross site scripting) conservera le blog dans son état actuel à des fins d’archivage, mais bloquera les commentaires. La perpétuation de la charge par un « faux RSnake » avait été provisoirement envisagée, puis écartée. Il faudra désormais farfouiller un peu de partout pour découvrir les écrits phylosophico-hackers du patron de l’équipe « anti-XSS de Google ».

L’antépénultième article de Robert « RSnake » Hansen est à mi-chemin entre un testament et une feuille de route : « Je crois que les navigateurs mobiles sont aussi troués qu’un morceau d’Emmenthal , que les listes noires de ports à bloquer des navigateurs est une stupidité , que remplacer SSL/TLS par SSL/TLS sur Dnssec va demander beaucoup de réflexion , que l’on sous-estime la nécessité de réécrire le firmware des routeurs DSL grand public , qu’il faut hacker les fournisseurs de Cloud pour prouver combien sont fragilisés ceux qui s’appuient dessus… » et la liste continue, visant les revendeurs de PKI ou prônant la généralisation de sites ou d’outils de pentesting « prêts à l’emploi » à utiliser chaque fois qu’un client se fait remettre la recette d’un développement touchant à Internet.

ShadowServer publie une analyse technique absolument passionnante sur Darkness, un botnet Russe particulièrement adapté aux attaques en déni de service distribuées. Il serait, explique André M. DiMino, co-fondateur de ShadowServer, capable d’abattre une large infrastructure avec moins de 1000 machines zombies. « Nous vous offrons un service DDos de qualité » clame la page d’accueil « avec des prix démarrant à 50 dollars par tranche de 24 H ». Les C&C de Darkness sont répartis sur 3 domaines différents, et près d’une centaine de sites auraient essuyé ses attaques au cours du dernier mois… ce qui donne une certaine idée du « succès commercial » de ce botnet.

« Cette fois, ce sont nos machines qui ont eu des vapeurs… rien à voir avec les dénis de service des « anonymes » cherchant à venger Wikileaks » : chez Amazon Europe, c’est une question de principe et d’image de marque, on ne « tombe » pas sous les coups de méchants pirates. Seule la fatalité peut venir à bout de la permanence de service. L’information est relayée par le Reg ou Clubic, scénario confirmé avec une prudente réserve par Netcraft. Un Netcraft qui avait notamment signalé l’échec de cette campagne de déni de service lorsque celle-ci avait visé les serveurs d’hébergement d’Amazon EC2 aux Etats-Unis.

Le communiqué d’Amazon n’est rien d’autre qu’un contre-feu médiatique, un « même pas mal » qui remet le débat à sa place. D’un côté, le clan Wikileaks qui fait de l’agitprop, de l’autre, le parti Amazon qui rend coup pour coup à l’aide de communiqués. Attitude bien plus intelligente que celle qui consiste à chercher tous les moyens légaux d’interdire l’hébergement de Wikileaks en France, ce qui aurait pour seule et unique conséquence de le diaboliser… et donc paradoxalement d’en renforcer la position politique.

Pendant ce temps, quelques coups d’épée dans l’eau sont donnés çà et là. Ainsi, l’estocade de la police Hollandaise qui a procédé à l’arrestation d’un gamin de 16 ans, coupable d’avoir participé à l’une de ces attaques en déni de service. L’âge de la victime est assez représentatif de l’identité des fameux « anonymes », en grande majorité des adolescents sensibles aux idées simplistes et manichéennes instillées par quelques manipulateurs d’opinion. Cette intolérance face à l’adversité… au nom de la pluralité des opinions et de la liberté de parole est probablement l’aspect le plus discutable de Wikileaks.