janvier, 2011

Peut-on tout résumer à une question de « sécurité » et de « préservation de l’image de marque » au sens large du terme ? Eric Schmidt ne sera plus CEO de Google à partir d’avril prochain, date à laquelle son poste sera occupé par Larry Page, co-fondateur de l’entreprise, nous apprend IT World. L’ex-patron de Novell assurera la charge de Chairman et s’occupera de « deals, partnerships, customers and broader business relationships, government outreach and technology thought leadership ». En gros, un travail de « super commercial institutionnel », éloigné du devant de la scène médiatique.

Page et l’équipe fondatrice de Google avaient été écartés du pouvoir en raison du « manque de maturité » de la direction. Schmidt avait été appelé pour apporter une stabilité de gestionnaire et cette vision stratégique nécessaire aux grandes entreprises multinationales. Mais depuis quelques temps, les déclarations parfois orwéliennes du patron de Google avait fortement écorné le côté « Liberté 2.0 » du bon docteur et de Google. De porte-drapeau d’un modèle situé à l’opposé de l’omniprésence Microsoftienne, Google est peu à peu devenu « l’autre géant monopolistique » des nouvelles technologies en général et de l’Internet en particulier. En rappelant un fondateur qui a toujours montré une image empreinte d’une certaine geekitude, le comité directeur espère probablement inverser cette tendance. Schmidt sur la « touche médiatique » sera moins tenté de faire des déclarations fracassantes sur l’illusion de préservation de la vie privée dans notre monde moderne, et Page rendra à la société son aura de vecteur d’innovation.

C’est une stratégie comparable qu’avait suivi Apple, en rappelant Steve Jobs et en écartant une direction formée à l’école du business PepsiCo. L’illusion a fonctionné, du moins durant quelques années, et malgré le fait que le véritable « geek » et visionnaire d’Apple s’appelait bien Steeve, mais avait pour patronyme Wozniak.

600 hackers sur un bateau * l’an passé : la Nuit du Hack, organisée par Sysdream et le HZV commençait à se sentir à l’étroit. Cette année, le concours/cycle de conférences changera de nom pour « Hack In Paris » et se tiendra dans le Centre de Conférences de DisneyLand Paris, du 16 au 17 juin prochain.

L’appel aux publications est ouvert et concerne le cadre suivant :

Evolutions dans le domaine du reverse engineering

Vulnérabilités : recherché et exploitation

Pentesting et inventaires de sécurité

Analyse des malwares et nouvelles tendances

Recherche de preuves, cyber-délinquance et recours légaux

Hacking bas niveau (terminaux mobiles, consoles)

Gestion des risques et Iso 27001

Parallèlement à ces conférences, des ateliers techniques sont généralement ouverts pour exposer les réalisations et projets de quelques chercheurs.

*NDLC Note de la Correctrice : Je salue au passage l’effort inouï prodigué par notre rédacteur, qui a su avec la délicatesse qui le caractérise, éviter les lourdes allusions aux « galères », « e la Nave Va », « hack-mi et pince-moi » et autres « menées en bateau » qu’un tel sujet aurait pu inspirer.

Petit rebondissement dans le roman Stuxnet. Selon nos confrères du New York Times, l’on apprend au fil d’un très long article de 4 pages que Stuxnet serait le fruit des amours techniques entre Israël et les Etats-Unis, et que l’infection aurait encore assez de ressources pour se réveiller une nouvelle fois. Mieux encore, les dégâts provoqués sur les centrifugeuses Iraniennes seraient largement sous-estimés.

L’origine de Stuxnet remonte, nous explique le NYT, à 2008, date à laquelle l’Idaho National Laboratory et Siemens auraient effectué des travaux de recherche en commun précisément sur les vulnérabilités des logiciels et matériels de contrôle de processus du constructeur Allemand. Travaux ayant débouché notamment sur une publication et une conférence tenue à Chicago lors du « 2008 Automation Summit » (La présentation s’étend sur 62 pages). La suite n’est qu’affaire d’écriture de programme.

Et c’est un certain monsieur Langner, patron d’une petite entreprise de sécurité Allemande, qui sera le premier à analyser le code de Stuxnet et à remarquer que ledit code ne visait qu’une configuration très particulière d’infrastructure, comptant très exactement 984 machines reliées entre elles… configuration identique à celle du centre Iranien de Natanz. Faut-il voir dans l’exercice de numérologie de monsieur Langner un indice sérieux ou l’interprétation d’un verset de Michel de Notre Dame ?

Et l’analyse du quotidien New-Yorkais continue, expliquant comme la partie active de Stuxnet aurait été développée. Il aura fallu, explique l’auteur de l’article, qu’Israël et les Etats Unis (en collaboration avec la Grande Bretagne à un moment donné) mettent tout d’abord la main sur quelques modèles de centrifugeuses de type P1 (celles utilisées à Natanz), puis parviennent à les faire fonctionner, ce qui ne semble pas être franchement évident. Tout çà pour enfin réussir à tester l’efficacité du virus en grandeur réelle. Travail insurmontable presque, compte tenu de l’instabilité naturelle et des défauts de conception endémiques de ce type de centrifugeuse. En tout, un seul modèle aurait pu « tomber en marche » assez longtemps pour permettre le bon déroulement des essais. Et c’est probablement là le point qui soulève le plus de question : le taux d’efficacité réel de Stuxnet comparé au MTBF des centrifugeuses en temps normal. Certes, une action de cyber-guerre vise avant tout les éléments les moins fiables installés dans une infrastructure adverse. Mais fallait-il autant de sueur, de recherches, d’opérations militaires, de collaborations internationales pour provoquer une panne sur un matériel que les experts eux-mêmes considèrent comme passant son temps en maintenance ?

Chaque chapitre de la série Stuxnet Saison 1 apporte à ses spectateurs son lot de réponses aux épisodes précédents, sa dose de suspens, et quantité de nouvelles interrogations, de nouveaux doutes. A ce rythme-là, les producteurs (CIA, Mossad, MI6 etc.) ainsi que leurs sponsors et attachés de presse (éditeurs d’antivirus notamment) devraient pouvoir espérer tenir aussi longtemps qu’une saga du calibre de Lost, 24H ou House,M.D.. En une ligne, Bruce Schneier rappelle que toutes ces théories n’invalident pas l’hypothèse d’une filière Chinoise.

Mieux encore que le « buzz » de Linda Bendali et Mathieu Lere, le TSA, autorité suprême en matière de transport aérien aux Etats-Unis, reconnaît avoir laissé passer un homme armé sur un vol en partance de Houston. Farid Seif, businessman Américano-Iranien, aurait « oublié » de retirer son Glock chargé de la mallette qu’il comptait emporter en cabine. La présence de l’artillerie n’aurait pas éveillé le moindre soupçon de la part du personnel chargé de la surveillance des bagages à main. Le DHS, département de la sécurité intérieur des USA, effectuerait régulièrement des tests de ce type, mais refuse, précisent nos confrères d’ABC News, d’en donner les résultats.

L’histoire ne dit pas si les vaillants cerbères de l’aéroport de Houston, Texas, pays réputé pour ses cowboys et ses représentants de la NRA, ont demandé à monsieur Farid Seif d’ôter ses chaussures et de jeter ses bouteilles d’eau. Il y a des limites aux manquements de sécurité que même un journaliste d’ABC News doit savoir passer sous silence.

Un résumé de la CPU Oracle de janvier vient d’être publiée. Parmi les nombreux trous colmatés, l’on remarque un « Oracle Audit Vault » qui décroche un score CVSS de 10.0, qui dénote un degré de dangerosité et de probabilité d’exploitation très élevé. Idem pour la suite Open Office Oracle qui affiche un indice de vulnérabilité CVSS de 9.3.

« Nous sommes sans nouvelle de Dancho Danchev depuis août dernier » écrivait Ryan Naraine sur le blog « ZeroDay » de nos confrères ZDNet. Le dernier billet du chercheur en sécurité Hongrois, publié le 11 septembre, dressait la liste des articles traitant depuis plus de trois ans des articles faisant état des activités cyber-jihadistes. Plus rien depuis… fait d’autant plus inquiétant que le blog personnel de Dancho Danchev s’enrichissait de deux ou trois articles par semaine en moyenne.

Pour avoir dénoncé et pourchassé sans le moindre soupçon de xylolangage les réseaux mafieux d’Europe de l’Est, l’on pouvait craindre le pire. Mais, semble indiquer une source indirecte relayant une lettre soi-disant de Danchev lui-même, ce ne serait pas les caïds du RBN et leurs héritiers qui auraient contraint l’auteur au silence, mais la police de son pays, en raison de ses prises de position éditoriale plutôt pro-américaines. Lettre accompagnée de photos montrant un prétendu système d’écoute qui ressemble à tout… sauf à un système d’écoute.

Mais quelques jours plus tard, l’appel de Naraine semble avoir produit quelques effets. En début de semaine, Paul Roberts révèle que Dancho Danchev serait (le conditionnel est important) hospitalisé dans un établissement psychiatrique depuis ce fameux 11 septembre, et pourrait même sortir prochainement. Information immédiatement répercutée par Bill Brenner notamment. Ce « scoop », révélé par le quotidien Dnevnik, est également truffé de conditionnel. Quelles sont les raisons de cette hospitalisation ? Cet internement est-il réel ? Notre chasseur de botnet est-il l’auteur de la lettre reçue par Naraine ? Les pressions policières sont-elles plausibles ? Dans quelle mesure tout cela ne serait pas une opération d’intoxication organisée par les pègres des pays de l’Est, compte tenu des nombreux brûlots que Danchev a lancé contre les vendeurs de viagra, les marchands de scarewares, les chefs d’orchestre de SEO, les gardiens de botnets et les hébergeurs véreux ? Ou est-ce là le fruit d’un accès de paranoïa provoquée par la pression psychologique importante et le travail incessant que s’imposait Danchev ? Il est peu probable que l’on puisse un jour obtenir de véritables réponses à toutes ces questions. Souhaitons simplement un rapide retour «en ligne » du plus célèbre chasseur de malwares Hongrois.

L’ISP Review consacre toute une page au rejet formulé par l’European Internet Services Providers Association (EuroISPA), à propos du filtrage de contenu que voudrait voir institué le Parlement Européen. Un filtrage qui, explique l’EuroISPA, ne serait qu’une mesure cosmétique inefficace.

L’on pourrait ajouter que, plus que les sources d’images, il serait bien plus souhaitable que ce soient les générateurs de contenus qui fassent l’objet d’une réelle attention du Parlement. Mais il est rare que les victimes soient mentionnées dans ce dossier. Tout se passe comme s’il était plus important d’assurer un véritable contrôle des outils de censure à l’intérieur des frontières de la Vieille Europe que de sauver des enfants, même si ces victimes sont souvent exploitées en dehors de nos frontières. Dans ces conditions, il est difficile de discerner, dans les décisions du Parlement, la part dévolue à la volonté de contrôle de l’outil Internet, et la part d’échec ou d’inefficacité dans les procédures judiciaires et échanges d’informations policières internationales. Tout comme il est tout aussi difficile de faire la différence entre le rôle de défenseur de la liberté d’expression que les FAI Européen veulent donner d’eux, et la crainte qu’ils peuvent ressentir quant aux éventuelles contraintes financières et juridiques qu’un tel système de « censure au tuyau » pourrait leur imposer.

Un article de Reuter fait la part belle aux recherches de Thomas Roth, l’homme qui attaque WPA-PSK en « brute force » à coup d’ordinateur « dans le cloud », et plus particulièrement de ceux loués par Amazon. L’emploi de EC2 aurait permis de pénétrer sur un réseau wifi ainsi protégé après moins de 20 minutes de temps de calcul, déclare Roth. Temps qui pourrait être ramené à 6 minutes après optimisation du programme distribué utilisé. Le tout pour moins de 28 cents la minute rapporte Reuter.

L’usage de machines mutualisées dans le cadre d’attaques massives est une vieille marotte du monde de la sécurité en général et des chercheurs en particulier. Les protestations d’un Amazon, qui psalmodie « c’est pas bien, vous n’avez pas le droit, cela viole notre politique d’entreprise et les engagements contractuels » ressemblent peu ou prou à celles des hébergeurs de sites. Ceux-là mêmes qui espèrent qu’une clause de bas de page suffira à policer les contenus que diffusent leurs clients. Mais rien n’est plus anonyme qu’un acheteur de temps de calcul dans une architecture cloud publique. Surtout si celui-ci paye à l’aide de crédences bancaires volées et fournit une fausse adresse. Car si la force du cloud est précisément de ne pas avoir à se préoccuper du pays sur lequel sont situées ses machines, sa faiblesse est également de ne pas pouvoir localiser précisément le pays dans lequel vivent ses clients réels. A côté de ce problème, la question des temps de hacking de WPA-PSK ressemble une bluette pour collège de jeunes filles.

Reste que, techniquement parlant, EC2 et ses confrères peuvent être désormais reconnus comme des outils pouvant servir à compromettre l’intégrité d’un système d’information. Comme la possession, l’usage ou la distribution de tels programmes est strictement interdit par la LCEN, il serait très intéressant que le Ministère Public du Limousin ou du bas-Poitou engage des poursuites envers ces dangereux terroristes binaires, à côté desquels les possesseurs de Snort, de Nmap, de Wireshark ou de Metasploit sont à la guerre numérique ce que les fabricants de cocktails molotov sont aux constructeurs de la bombe H.

Régulièrement,Richard Bejtlich, blogueur renommé et consultant œuvrant souvent pour le compte de l’USAF, nous offre un éventail de ses outils préférés. Cette année, l’homme du « Tao de la Sécurité » nous parle d’IDS, d’outils de monitoring open source, de consoles Snort et d’outils de captures de trames. L’on pourrait donc résumer la pensée Bejtlichienne par «pas de discours, mais 8 ou 9 téléchargements indispensables pour bien commencer 2011 ».

Lorsque le docte Collège de France envisage, en collaboration avec l’Inria, de traiter de sécurité informatique, il ne le fait pas avec des moyens d’école communale. Du 16 mars au 18 mai, dans l’amphithéâtre Marguerite de Navarre, se succèderont des intervenants aux noms prestigieux : Jon Mitchel, Ron Rivest, Andrew Myers, Adi Shamir… et ce ne sera pas pour y énoncer des lieux communs ou y dérouler un discours de « keynote » au contenu fumeux. Le programme débutera avec les politiques de sécurité, abordera les rivages agités du contrôle des flux d’informations, s’engagera dans les mystères du chiffrement et de la cryptographie ou dans les terres inhospitalières des protocoles. Tous ces cours seront donnés par le Professeur Martin Abadi et suivis de conférences animées par les têtes d’affiches mentionnées.

Les cours magistraux du Collège de France sont gratuits et accessibles à tous (dans la limite des places disponibles) et généralement récupérables sous forme de « podcasts » dans la semaine qui suit leur tenue.