janvier, 2011

La prochaine édition d’InsomniHack, se déroulera le 4 mars prochain et, pour la première fois, débutera dès 14 heure avec une série de conférences : Malware et téléphonie mobile par Axelle Apvrille, profilage et ingénierie sociale par Dominique Clementi, Management de la Sécurité des SI par Sébastien Bombal, un peu de cryptographie avec Pascal Junod, une dose d’ASP.NET servie par Alexandre Herzog, et probablement une intervention non encore inscrite au programme de la part de Bruno Kerouanton. L’inscription à ces conférences est soumise à une participation de 90 CHF (circa 70 euros). Les séries de « capture the flag » multi-niveaux débuteront dès 18 H.

Rappelons que cette manifestation annuelle se déroule traditionnellement dans les locaux de l’HEPIA, haute école du paysage d’ingénierie et d’architecture de Genève.

Le Jurackerfest, Hackerspace festival dans le jura Helvétique, se déroulera les 26 et 27 août prochain. Hackers, démomakers et passionnés de sécurité informatique seront au rendez-vous …A suivre

A télécharger : l’économiseur d’écran Kaspersky qui affiche en temps réel (sic) les activités virales de par le monde. Le tout dans un style « matrix » d’un kitch garanti. Il ne manque que le bruit de l’imprimante matricielle.

Les Anonymes, les gendarmes et les voleurs ? Les gendarmes, tout d’abord, qui cherchent à arrêter les moins prudents de ces gamins idéalistes. 5 en Grande Bretagne dont un d’à peine 15 ans, nous rapporte le WSJ, arrestations suivant de peu celle de deux Anonymes en Hollande (16 et 19 ans). Aux USA, ce sont près de 40 mandats qui sont émis par le FBI révèle Msnbc. Associated Press rapporte les propos d’un fonctionnaire Français souhaitant conserver son anonymat, qui mentionnait l’arrestation puis la libération (après confiscation de son ordinateur) d’un mineur de 15 ans impliqué dans la coordination d’une de ces attaques en déni de service.

Qui sont derrière ces caïds en culotte courte ? Bien sûr, l’on peut croire qu’un enfant peut, à notre époque moderne, tutoyer le paquet IP et le spoofing d’adresse avec autant de facilité qu’il avale une tartine de Nutella. Mais on est en droit de douter que ce même enfant ait une conscience politique telle qu’il souhaite spontanément agir contre toutes les dictatures de la planète… y compris celles en place dans des pays qu’il serait bien en peine de situer sur une carte. Ce genre de pensées et d’actions était concevable à la fin des années 60, elle est franchement improbable en ce début de millénaire.

Outre les possibles manipulations politiques des troupes des anonymes, tout comme derrière Wikileaks, on retrouve les truands. Ceux qui profitent de la situation, voir tentent de se fondre dans le mouvement. François Paget, de l’Avert, s’est plié à un exercice de style que l’on avait plutôt l’habitude de lire sur le blog de Dancho Danchev : le traçage des serveurs ayant participé à une attaque des Anonymes. Traçage dans lequel on retrouve un des hébergeurs Russes « bulletproof », ceux-là même qui ont succédé au RBN et à McCollo. Ces fournisseurs de services mafieux, s’interroge alors François Paget, pourraient-ils être les mêmes qui incitent ces vaillants va-t-en-guerre de 15 ans à bombarder de trames tel ou tel pays ou entreprise du secteur bancaire ? Mafieuse, politique, idéologique, religieuse, il se pourrait bien que l’on découvre une machine à tirer les ficelles (voir plusieurs ensemble) derrière l’idéalisme numérique et hacktiviste des anonymes. Est-il nécessaire de préciser que cette manipulation, si elle est un jour prouvée, ne remettra pas en cause la sincérité profonde de ces jeunes militants. Tout comme il est certain que les coordinateurs plus ou moins officiels qui se regroupent sous la couverture « Anon Ops » n’aient pas prévu une telle possibilité de détournement ou de manipulation. A trop jouer avec une logique manichéenne de western, on oublie qu’il peut exister des adversaires aussi retors qu’insoupçonnés.

Qui sont les anonymes ? Parmi les premiers à s’être posé la question, le Cert Lexsi, qui a publié une suite remarquable d’articles sur le sujet. Notamment au fil d’un billet Operation Zimbabwe : chronique d’une cyber-attaque… qui remonte au début du mois de janvier. Certaines conversations relatées par le Cert sont totalement irréelles. « What will be the next target’m kinda outdated » demande un participant. Et les propositions de fuser… Hongrie, Pologne, Chine, Iran… Au ton des conversations, l’on croirait presque entendre Anna Karina chantonner « qu’est-c’que j’peux faire, ch’sais pas quoi faire… » en shootant du pied dans de petits cailloux. C’est Robert Mugabe qui décroche le pompon, grâce à son épouse qui avait fait pression sur un journal ayant publié des « news » Wikileaks la mettant en cause dans une affaire de corruption. Dans quelle mesure cette désignation de cible n’est pas une habile manipulation ? Ou le résultat d’une sorte de roulette russe ? Plouf plouf Ce se-ra toi qui i-ra au pi-quet !

Le reste se poursuit dans une ambiance bon enfant, un peu comme un jeu de guerre se déroulant dans une cour d’école. L’engagement politique à l’abri derrière un clavier, c’est moins glamour qu’un pavé lancé aux côtés de Rudy Dutschke. Mais le service marketing est là, les icones de personnages masqués, au sourire aussi narquois que leur houppelande est noire, marque probablement plus les esprits que les résultats de cette guerre en dentelle. D’ailleurs, qui se souvient encore du blitzkrieg des Anonymous contre Paypal ou Amazon ?

Une fois la cause de l’Afrique opprimée traitée, il faut passer aux choses sérieuses : l’Hadopi Espagnole grandit (c’est logique) et le Sénat Ibère est désigné comme cible. Une nouvelle analyse du Cert Lexsi explique le déroulement de l’attaque en DDoS qui n’a pas duré plus de 40 minutes. Puis, tel un enfant lassé de son jouet, les anonymous cessent leur bombardement IP et se reportent sur l’ambassade des Etats-Unis. L’on pourrait également citer les raids contre la Tunisie en début de mois, puis les premières actions contre des sites Egyptiens (information rapportée notamment par Netcraft ). Une fois n’est pas coutume, ce dernier assaut n’aura strictement aucune conséquence, puisque le gouvernement Egyptien fermera lui-même les vannes d’Internet. Les statistiques de Renesys sont sans appel. Un blocage des communications qui semble ne pas faire débat sur les canaux IRC utilisés par les anonymes. Et pourtant… à force d’utiliser un outil de censure (les attaques en déni de service), la confrontation à une forme encore plus brutale de censure ne pourrait-elle pas soulever quelques cas de conscience ou une remise en cause du procédé ? La cyberguéguerre se résume à un simple rapport de force, une version post moderne de la bataille navale, totalement déconnectée de la réalité, des émeutes, des violences de la rue.

Confusion, incertitudes, doutes … le tandem Wikileaks-Anonymous, qui semblait tellement symbiotique il n’y a pas deux mois, paraît se déliter et dériver au rythme des nombreuses contradictions qui animent ces mouvements.

Côté Wikileaks, passé les premiers effets de surprise, les médias en reviennent à des attitudes plus raisonnables. L’orientation probable des sources, la possible « intoxication par omission », l’absence réelle de « révélations » fondamentales (si ce n’est la mise au grand jour du cynisme de la realpolitik et le langage « off » de la diplomatie) font retomber les annonces. Certains journalistes ont l’impression de s’être fait flouer, d’avoir subi une pression leur ayant empêché de prendre le recul nécessaire, mais tous ont reçu une leçon magistrale sur la sensibilité du lectorat, prompt à abandonner les médias traditionnels au profit de ceux de la Grande Toile. Il souffle, sur la presse économico-politique, le même vent qui a pratiquement réduit au silence la presse spécialisée informatique et l’a en grande partie transformé en relais passif au service de l’industrie. Jusqu’à présent, l’heure est plutôt à l’approbation générale : Wikileaks n’est peut-être pas un médium idéal, mais c’est un sang neuf dans le landerneau de l’information. Une vision optimiste qui évite de s’interroger sur l’avenir, notamment sur l’affaiblissement d’une presse institutionnelle qui a mis si longtemps à se construire. Et sur des « Leaks » qui ont mis si peu de temps à naître mais qui pourraient bien soit se faire phagocyter par des lobby plus puissants qu’eux, soit disparaître corps et âme. Dans les deux cas, la chose aboutirait à un désert médiatique. Internet est un monde de bulles, de modes et de technologies séculaires qui ne durent que le temps d’une introduction en bourse.

Jusqu’à présent, quelques rares éditorialistes ont pris des positions très critiques, tel Alain-Gérard Slama sur France Culture, pour qui le rapport d’un « fait brut » n’est pas du journalisme ni même de l’information, et qui condamne les moyens douteux (les « vols d’information ») à l’origine de ces révélations. Querelle de méthode et de « cuisine de métier » qui ne pose pas la question fondamentale de l’avenir à long terme de la presse ou de ce qui la remplacera. D’ailleurs, qu’est-ce que le journalisme au XXIème siècle, son rôle dans la démocratie, et quel est le niveau d’influence (de compromission disent certains) de la source sur celui chargé de rapporter ? Un journaliste a-t-il sa place en tant que participant à un « dîner du siècle » ou à une causerie dans les salons de Davos ? Wikileaks doit aussi son succès à une lente dérive oligarchique de la société occidentale moderne, dérive qui associe de plus en plus médias, intérêts industriels, politiques et membres de l’appareil d’Etat pourtant obligés à un devoir d’indépendance lié à leur charge régalienne. Les « fuites » d’Assange pourraient être une conséquence directe de la perte de confiance du public en ses institutions et en ses contre-pouvoirs, dans l’espoir de voir naître un véritable « quatrième pouvoir 2.0 » adapté à notre époque.

Pourtant tout n’est pas si transparent et intègre dans le royaume Assange. Les révélations de Wikileaks sont mises en doute, notamment par une entreprise spécialisée dans la sécurité des contenus, Tiversa, qui affirme qu’une partie des scoop Wikipediesques était disponible sur les réseaux P2P depuis belle lurette. Une affirmation que dément l’équipe d’Assange, rapportent nos confrères d’IDG US. Par ailleurs, l’autocratisme d’Assange et la sécession de son équipe qui a donné naissance au concurrent OpenLeaks (http://openleaks.org/) (site officiellement ouvert le 27 janvier) laisserait à penser qu’il se développe une sorte de Web 3.0. Si le Web 2.0 c’est l’exploitation commerciale par une minorité des contenus fournis gratuitement par une majorité, ce Web 3.0 serait la diffusion non commerciale par une minorité étendue de contenus fournis (gratuitement ou non) par une autre minorité « bien placée » et à destination de la majorité. C’est le règne de ce que les américains désignent sous le terme générique de « disgruntled employee leaks », les cadres aigris par les promesses non tenues d’un siège confortable à la table des seigneurs. Les désabusés du système libéral, engendrés par le système libéral. Les « leaks » reposent sur un désir de vengeance, tout comme l’ont été certains grands « scoops » de la presse traditionnelle, à commencer par l’affaire du Watergate ou certaines révélations de nos confrères du Canard.

Et les truands, dans tout çà ? Ils prennent le train en marche. Car si un « leaks » quelconque bénéficie d’un capital-confiance anormalement élevé, il faut s’attendre à ce que ce capital soit immédiatement exploité par des professionnels de la carambouille. Le nom d’Assange commence à voir le jour dans certains malwares, découvre F-Secure, et John Leyden d’El Reg nous décrit par le menu comment des escrocs utilisent les leviers de l’intimidation pour extorquer quelqu’argent à des victimes faisant l’objet de prétendues « révélations détenues par Wikileaks ». Le montage est d’autant plus plausible que les menaces d’Assange visent désormais le secteur privé, tel que Bank of America.

Il s’appelle Sergey Glazunov, et a reçu jusqu’à présent près de 20 000 $ de « prime au bug » de la part de Google et de son programme 133,7 Prime. Il est surtout le premier chasseur de failles à avoir décroché la prime « El33t » du Chromium Security Award d’un montant de 3133,7 dollars, qui s’additionne à la longue liste de remerciements et de citations décrochées au fil de l’année passée. Une recherche du patronyme « Glazunov » sur le blog Google Chrome provoque une avalanche de dates et de découvertes : 8 juin, 20 août, 17 mars, 2 et 13 décembre, 2 et 15 septembre… et à chaque fois quelques billets verts qui tombent au passage. Cela rapporte plus qu’un peu de gloire et quelques prunes, et l’on se plaît à penser à la fortune qu’aurait pu amasser un Luigi Auriema ou un Thierry Zoller s’ils avaient voulu participer à cette campagne de déverminage. Un chercheur Français très connu a fait tout de même remarquer à notre rédaction que les sommes offertes par Google font presque figure d’obole comparées à ce que rapporte une vulnérabilité « weaponisée » (livrée avec un code d’exploitation fonctionnel) et vendues au Zero Day Initiative ou (dito) « mieux, à un gouvernement ».

Ce palmarès tout de même impressionnant obtenu par Glazunov prouve au moins deux choses : il est possible de vivre en ne faisant pratiquement que de la recherche en sécurité à partir du moment où celle-ci est entièrement vouée à l’amélioration d’un produit commercial ce qui laisse peu d’espoir de survie aux travailleurs du monde du Libre-et-gratuit ou aux chercheurs purs travaillant sur des projets complexes genre Honeynet. La seconde certitude, c’est qu’il existe une logique économiquement viable reposant sur une juste rétribution de l’inventeur sur les deniers de l’éditeur… et qui confirme le fait que si un Google achète 1300 $ un trou de sécurité de première catégorie et en tire de la publicité, il pourrait aussi être capable d’augmenter ladite prime. Une logique qui a encore beaucoup de mal à s’imposer en France, ou un chasseur de faille est, juridiquement parlant, passible des foudres de la LCEN.

Lecture humoristique et distrayante, que celle de Hacker Factor. Neal Krawetz y publie un billet intitulé « Open Source Sucks ». A ne surtout pas prendre au premier degré… enfin, pas complètement.

Qu’est qui est pourri dans le royaume de l’Open ?

– Les développeurs eux-mêmes qui prennent des attitudes de prima dona lorsqu’un quidam a l’impudence de leur annoncer un bug.

– Les noms des produits qui, au lieu d’annoncer clairement leur fonction (Paint, Write, Internet Explorer) tentent de confondre l’éventuel usager avec des noms de code : Lynx, Chrome, Konqueror… Là, Krawetz est assez charitable pour ne pas également épiloguer sur les numéros de version qui prennent rapidement des tournures de suite de Fibonacci : 6.04.314.42…

– Le coût réel lié à la période d’apprentissage (donc de non-productivité) des applicatifs du monde du libre, qui sont, estime l’auteur, moins bien « finis », moins bien documentés, et généralement d’une ergonomie moins travaillée.

– Le code source et la documentation dudit code, dont les noms de variables confinent parfois à l’abstrus et dont les « remarques et commentaires » dans le source rappellent le désert de gobie

– Le mode de fonctionnement de la licence GPL qui, telle un virus, contamine de son obligation d’ouverture tout programme contenant une portion de code GPL.

– La facilité d’utilisation, plus que relative car, pense Neil Krawetz, les programmes Open Source sont plus pensés en termes de performance que de simplicité d’usage. Un programmeur ne peut prétendre assumer seul les décisions concernant l’interface du programme qu’il écrit, sans le secours d’un spécialiste des « interfaces humaines et de l’intégration »

Troll ou éléments de réflexion ? Il faut admettre que Krawetz n’a pas tort sur bien des points. Il faudra attendre la semaine prochaine pour découvrir la seconde partie de l’article consacré aux « 6 points » qui font cette fois l’honneur des programmes Open Source.

C’est avec un humanisme éclairé et une profonde connaissance tant sociologique que technique des droits de la presse et autres organes d’information que 132 députés, conduits par Monsieur Bernard Carayon (UMP) ont déposé une proposition de loi capable de résoudre immédiatement tous les problèmes de fuite d’information. Le principe de fonctionnement en est très simple : il suffit de condamner toute personne ayant tenté (sans même nécessairement y parvenir) de « s’approprier, de conserver, de reproduire ou de porter à la connaissance d’un tiers non autorisé une information à caractère économique protégée ». La condamnation est celle « prévue par l’article 314-1 du code pénal »

.
Le cadre stricte et objectif de ce qui constitue une information à caractère économique protégée -en termes vulgaires, un secret d’entreprise de droit privé- étant défini par celui qui détient ladite information, nos 132 députés ont du même coup réussi à résoudre un autre problème tout aussi dangereux que celui de l’espionnage industriel : celui de l’insupportable liberté de la presse en général et, par la même occasion, de tous les blogs et sites web d’informations technologiques, techniques, économiques, stratégiques ou financiers. Dans le cas où l’auteur de ces fuites se cacherait derrière un pseudonyme et le titre d’une publication, la loi prévoit que « « Les personnes morales peuvent être déclarées pénalement responsables des infractions définies par le présent article, dans les conditions prévues à l’article 121-2. »

Précisons que l’article 314-1 du code pénal est celui qui condamne les personnes responsables d’un abus de confiance et les maître-chanteurs, et coûte la bagatelle de trois ans d’emprisonnement et de 375000 euros d’amende.

C’est là une excellente nouvelle que cette nouvelle-là. Les journalistes devront enfin nécessairement respecter les « embargos » imposés unilatéralement par les directions marketing des sociétés. Fini, les « scoop » de l’iPhone 4 perdu dans un bar par un ingénieur distrait… tant que la chose est déclarée « secrète » par la Haute Direction –qui détient alors de facto les pouvoirs d’un juge-, nul gratte papier ne pourra en parler. Mieux encore, en condamnant de la même peine toute personne ayant « tenté de s’approprier une information à caractère économique protégée », le droit d’enquête de ces folliculaires un peu trop curieux devient lui aussi répréhensible. Qu’un fonctionnaire perde une clef USB, et le civisme, tenu par le bras armé de la Justice, persuadera tout bon citoyen d’en apporter le contenu au commissariat le plus proche sans même en regarder son contenu. Au prix du déploiement des outils DLP, des politiques de sensibilisation, des procédures lourdes d’authentification et de hiérarchisation d’accès aux données stratégiques d’entreprise, on va y gagner, la chose est absolument certaine.

Certains esprits chagrins pourraient objecter que la notion même « d’information économique protégée »( Sont qualifiées d’informations à caractère économique protégées, les informations ne constituant pas des connaissances générales librement accessibles par le public) est un terme bien trop flou pouvant conduire à tous les excès possibles. Ce n’est là qu’un détail qui ne tient pas compte de l’ouverture d’esprit et de la sagesse des dirigeants d’entreprises. Une « bonne » information est une information rédigée par un Service de Presse, donc officiellement publique. Toute autre opinion, information, publication ou tentative de recherche de renseignements sortant de ce qui sort d’un Service de Presse peut nuire au développement économique des entreprises et devient du coup passible de poursuites au titre de l’article 134-1 anti-maîtres-chanteurs, escrocs et aigrefins.

Ah, le bon temps que ce siècle de fer. « Microsoft envisage de développer une nouvelle version de Windows » : 3 ans de prison. « Adobe lancera un nouveau logiciel possédant presque autant de trous de sécurité que de lignes de code » : les galères et 375 000 Euros d’amende. « Wikileaks nous apprend tout sur les ventes d’armes d’une grande entreprise nationale et un pays du Moyen Orient » : le peloton pour les supporters d’Assange. « Un employé de la HSBC vole des données financières confidentielle en Suisse et les remet à la justice Française » : le bagne pour le Garde des Sceaux. Ah… Effectivement, dans certains cas, il faudra prévoir quelques aménagements et quelques clauses d’immunité pour raisons exceptionnelles.

Dès sa naissance (voir probablement avant), le cloud computing a fait la joie des Cagliostro de la Catastrophe Annoncée et le bonheur intellectuel de véritables chercheurs en sécurité. C’est plus ou moins avec le cloud computing que sont apparues les premières communications sur les attaques transversales inter-machines virtuelles, c’est avec lui également qu’ont été modélisées des attaques sur des clefs de chiffrement en « brute force massivement parallèle », et c’est toujours avec le cloud computing que l’on a échafaudé les scénarii les plus hollywoodiens sur des attaques man in the middle situées entre l’usager et le centre de calcul « super-protégé ».

Avec Bohu, on quitte les sphères de la recherche pure et du roman noir pour plonger directement dans le véritable cybercrime. Car ce « dropper » s’attaque… aux antivirus en ligne, aux outils de sécurité « dans le cloud » commercialisés notamment par certains prestataires Chinois. L’analyse qu’en fait le MSRC de Microsoft est édifiante.

Sans entrer dans les détails, Bohu modifie les échanges entre le poste client et le serveur de sécurité cloudifié. Ou plus exactement, « brouille » la remontée d’informations dudit client, qui sert généralement à enrichir automatiquement la base documentaire d’attaque tenue par ces serveurs et qui sert à enrichir la panoplie des parades antivirales. Sans ces données, le cloud ne peut échafauder de contre-attaque, et le vecteur d’attaque protégé par Bohu continue son bonhomme de chemin sans être inquiété. C’est donc, par définition, le premier « virus cloud dans la nature » de l’histoire, et ce n’est très probablement pas le dernier. Sans grande imagination, la diffusion initiale de Bohu et son installation sur le poste client prend la forme d’un faux codec, on en pleurerait presque de dépit.

La technique de Bohu n’est pas sans rappeler un autre type de menace agissant dans « l’autre sens », celle visant à corrompre ou à imiter le dialogue entre un poste client et un serveur de mise à jour. Mise à jour de l’antivirus lui-même, du système d’exploitation ou d’un programme (par attaque MIM ou corruption de la base de l’éditeur), ou plus simplement d’autres programmes passant bien en-deçà de la « ligne de détection du radar ». Parmi eux, les nombreux logiciels tiers insignifiants, tels les BHO ( Browser Helper Objects) et autres gadgets aussi inutiles qu’indispensables.