janvier, 2011

Deux bouchons avec plein de trous autour : Le Patch Tuesday de janvier est famélique . Il ne compte ce mois-ci qu’un MS11-001 qualifié d’« important »… reste qu’il s’agit une fois de plus d’une possible attaque en « pré-chargement de dll », un défaut Windows qui empoisonne Microsoft depuis quelques mois déjà. Cette fois, le problème ne concerne que le Backup Manager de Vista SP1 etSP2, versions 32 et 64 bits (les autres versions de Windows ne sont pas concernées, pas même XP et 2003 Server).

MS11-002, quant à lui, est considéré comme très critique. Il s’agit d’un défaut Mdac qui touche toutes les versions de Windows, de XP à 2008R2. Cette rustine comble en fait deux vulnérabilités, dont un risque d’attaque en saturation de DNS (CVE-2011-0026) et un problème d’allocation mémoire déclenché à l’aide d’une page Web forgée (CVE-2011-0027).

L’on doit également signaler l’ajout de certaines mesures de contournement sensées minimiser les risques de la « faille CSS » qui affecte Internet Explorer, et qui n’a toujours pas été corrigée à ce jour, malgré une nette confirmation de son utilisation « dans la nature ». Le bulletin d’alerte 2488013 le concernant a été revu et augmenté par 3 recettes situées dans le chapitre « workaround » de ladite notification. Un autre défaut, concernant le moteur de rendu graphique, ainsi que deux failles non dévoilées mais revendiquées la semaine passée par des chercheurs de Qualys, seraient également en cours d’évaluation et de traitement par le Response Team de Microsoft.

Même les spammeurs prennent des vacances nous apprennent les statisticiens du Sans. Les « canons à spam » se sont tus durant la trêve des confiseurs, mais reprennent de plus belle depuis …

Sourcefire annonce avoir déboursé près de 21M$ en cash pour l’acquisition d’Immunet, un éditeur» d’antivirus orienté « cloud » ) et disposant d’une offre gratuite. C’est la seconde opération de croissance externe que Sourcefire tente dans le secteur des antivirus. C’est également la confirmation d’un changement de cap vers le monde virtuel amorcé depuis septembre 2008, avec la prise en compte des machines virtuelle par Snort, puis une édition « spéciale VM » de l’IPS.

Notre éminent confrère Jean-Marc Manach, nous détaille comment l’on balayera et l’on distribuera le courrier au sein de la B.A. 110 de Creil, centre nerveux du réseau d’écoute militaire plus connu sous le nom de Frenchelon.

Pour des nerds nourris aux signaux radio et aux protocoles Ethernet que sont certains journalistes de CNIS-Mag, la BA110 est la plus belle cour de récréation qui puisse exister : des VLF aux hyperfréquences, des réseaux de radios logicielles reconfigurables aux uplink satellites les plus chevelus en passant par les « link » laser mobiles, il y a tout pour tout écouter dans ces souterrains-là. Inutile de préciser combien sont classés top secrets les flux qui y transitent ou les équipements qui y sont installés. Et c’est précisément ce qui fait tiquer notre confrère : comment, au sein du saint des saints, peut-on désigner une entreprise sous-traitante civile pour se charger du nettoyage, manne des Mata Hari depuis l’invention de la corbeille à papier. Car si la certification et le niveau de confidentialité de l’entreprise sous-traitante n’est en aucun cas à mettre en doute, on peut toutefois s’interroger sur le fait que chaque représentant du corps de balais de l’entreprise Défense Environnement Services soit assermenté et sélectionné avec autant de rigorisme qu’une session d’embauche pour officier du SDECE… pardon, du Deuxième Bureau… non, de la DGSE… enfin, des moustaches, quoi.

Mais si seulement, s’étonne notre confrère, cette sous-traitance se limitait aux poussières. Car ce n’est pas tout. Le vaguemestre et sa marmotte de la Base Aérienne 110 ont dû aussi « faire l’avion », remplacés par cette même société de sous-traitance qui désormais se chargera de la gestion du courrier. Dit moi qui écrit à qui et je te dirais qui tu es… sans même avoir à ouvrir l’enveloppe d’ailleurs. Même la cuisine est confiée à des civils, plus exactement à la société Avenance, filiale du groupe Elior. Choix délicat au possible, lorsque l’on sait que le moral des troupes et la force d’une armée se mesurent à la qualité de ce qu’elle a dans sa gamelle.

Indiscutablement, la disparition d’une armée républicaine de conscription a enlevé à la Grande Muette des bataillons de pousseurs de balais, des régiments de désignés volontaires pour les nettoyages d’abord, des centaines de commandos spécialisés dans les corvées de peluche. Et au prix de la formation d’un ingénieur télécom spécialisé dans l’eavedroping des signaux faibles et l’analyse des émissions à étalement de spectre, on peut comprendre que la grandeur des servitudes puisse faire grincer quelques dents. Pourtant, derrière chaque soldat opérationnel, il en faut parfois 10, 100, voire 500 auxiliaires qui se chargeront de l’intendance, tant du combattant opérationnel que du système d’arme ou de renseignement dont il s’occupe. Or, un soldat de Frenchelon a besoin de bien plus de soutien logistique qu’un biffin de première ligne. C’est pourquoi toutes les armées du monde comptent un nombre impressionnant de sergents-fourriers, de Pfat dactylographes, de vaguemestres à bicyclette, de cuistots sur leurs roulantes, de tringlots sur leurs camions et de pontonniers du Génie avec leurs clefs de 12 et leur Gillois.

Les considérations économiques et l’exemple américain d’une force combattante entourée d’un essaim de logisticiens aussi haliburtonisés que civils a-t-il inspiré le Haut Commandement Français ? C’est plus que probable. Ce qui est aussi certain, c’est que ces grands penseurs de l’Armée Républicaine en oublient de relire leurs classiques en général (ou en lieutenant-colonel à la rigueur) et la Guerre des Gaules en particulier. Notamment les passages où un certain Jules critiquait les armées de nos ancêtres, trop lentes dans leurs déplacements, empêtrées d’une myriade de villageois et d’enfants, de bœufs et de poules, de chariots et de cuisiniers. Un simple raid conduit par une centurie pouvait mettre cette intendance non-militaire en déroute et ainsi réduire à l’impuissance les plus farouches guerriers ainsi coupés de leurs bases.

BAE Systems, entreprise d’armement Etats-unienne, vient de décrocher un budget de R&D de plus de 8,4 millions de dollars de la part du gouvernement US pour développer un système moderne de brouillage des communications sans-fil, nous apprend Michael Cooney de Network World. Il s’agit là d’un programme particulièrement important en matière de guerre électronique et de sécurité des systèmes d’information.

Cette génération d’outils d’évaluation/contre-mesure/analyse entre dan le cadre du projet Blade ( Behavioral Learning for Adaptive Electronic Warfare) du Darpa. Ce qui est également intéressant, c’est que ces recherches contiennent en leur sein une ébauche de la contre-contre-mesure possible qui permettrait une évasion du système de brouillage. Les infrastructures de communication militaires reposent de plus en plus sur des réseau radio reconfigurables de bout en bout (SDR), dont l’essentiel –du pilotage de la couche Phy (fréquence-puissance) aux niveaux MAC et NET (chiffrement, modulation, sauts de fréquence, synchro des terminaux) – ne reposent que sur des ordinateurs. Lesquels peuvent bien entendu être asservis par un outil d’analyse et de contre-mesure tel que Blade. Cette guerre électronique des communications pourrait bien finir en une sorte de jeu du chat et de la souris d’une rapidité extrême, ou celui qui gagnera sera celui qui restera capable de synchroniser le plus rapidement possible son réseau, transmettre une pièce d’information et immédiatement changer de technique d’émission pour battre de vitesse la machine à perturber. Reste que certaines constantes physiques et électroniques font qu’il sera toujours plus rapide de brouiller un spectre radioélectrique que de mettre au pas ne serait-ce qu’une dizaine de terminaux radio sans reposer sur des mécanismes prédéfinis, donc prédictifs, donc faciles à perturber.

Collin Mulliner et Nico Golde ont donné à l’occasion de la dernière CCC, une conférence sur l’art et la manière d’expédier avec succès des codes d’attaque en binaire via SMS . Une attaque qui ne reposerait pas sur les perfectionnements et les failles des smartphones les plus évolués (lesquels ne représentent que 16% du parc de terminaux précisent les deux chercheurs), mais qui frapperait les appareils d’entrée de gamme des marques Nokia, LG, Samsung, Motorola ou Sony Ericsson. Nos confrères de Tech Review développent quelque peu le sujet sans donner d’indications techniques précises, si ce n’est que le principe de fonctionnement est tout à fait semblable aux procédures utilisées par les opérateurs lors des ajustements de réseau et des télé-configurations massives de terminaux : tout se déroule sans nécessiter la moindre intervention de la part de l’usager. On est donc confronté à un défaut universellement partagé et pouvant bénéficier de l’envieux titre de « faille critique de première catégorie ». Il est vraiment dommage, pour MM Collin Mulliner et Nico Golde, que les équipementiers et opérateurs ne pratiquent pas une politique de « bug bounty ». Cela leur aurait fait de confortables étrennes de fin d’année.

Les deux ZDE Microsoft de « noël et du jour de l’an », autrement dit le bug graphique décrit par l’alerte 2490606 et la « faille CSS » I.E. 2488013 ne feront pas partie du prochain Patch Tuesday, nous apprend le blog du MSRC. La période de vœu durant jusqu’au 31 janvier, l’équipe de CNIS souhaite à l’ensemble des responsables informatique une chance à toute épreuve et aux auteurs de malware une profonde période de stupidité, et ce jusqu’au 8 février 2011.

Vœux pieux, car la 2488013 fait d’ores et déjà, de l’aveu même de l’éditeur, l’objet d’une exploitation active. En revanche, une autre faille, également exploitée « dans la nature », devrait être colmatée par la sortie des deux rustines prévues, destinées à corriger 3 défauts au total.

Les chercheurs de Qualys précisent qu’ils sont également en discussion avec l’équipe de sécurité de Microsoft et attendent que ceux-ci « officialisent » la découverte de deux autres ZDE affectant notamment I.E.

Ce « site de l’indignation citoyenne », qui veut dénoncer les abus de l’administration Marseillaise, est inspiré, explique son auteur, tant par le travail de Julian Assange que par le livre de l’ancien résistant Stéphane Hessel « Indignez-vous ! ». Las, Philip Sion, l’animateur et rédacteur du site, est également un fonctionnaire travaillant au Conseil Général des Bouches du Rhône. Et de ce fait, tenu à un « droit de réserve », dont le manquement a eu pour conséquence sa suspension du poste qu’il occupe. L’Administration accuse également le fonctionnaire d’avoir publié des documents confidentiels, lesquels documents prouveraient notamment, selon les écrits de Philip Sion, le non-respect des règles encadrant les marchés publics.

Cela ne fait pas de ce blog un Wikileaks local pour autant. La fuite de documents n’est pas massive, elle ne provient pas de sources anonymes, et le publiciste ne se prétend pas neutre vis-à-vis du contenu des documents diffusés, pas plus qu’il n’en confie le droit de commenter l’information à une tierce partie indépendante. Dans une entreprise privée, une telle initiative aurait aujourd’hui bien des chances de se conclure par un licenciement pour faute grave, comme l’avait prononcé en novembre dernier le conseil des prud’hommes de Boulogne-Billancourt dans la très médiatique affaire du « club des nuisibles sur Facebook ». Rappelons que la faute invoquée était à l’époque « incitation à la rébellion contre la hiérarchie et dénigrement envers la société ». Cet argument peut-il être également invoqué par l’Administration Marseillaise ?

Pour Philip Sion, le combat se situe sur un tout autre plan, puisque selon lui, ce qui relève du Conseil Général relève de la « chose publique » et doit donc être rendu public.

D’un point de vue politique, le Conseil Général des Bouches du Rhône se trouve pourtant dans une situation délicate. Si son image de marque était peut-être légèrement ternie par cette contestation relativement discrète jusqu’à présent, elle vient de subir une atteinte bien plus importante suite à la médiatisation entraînée par la mise à pied de son fonctionnaire. L’histoire a pris de l’ampleur, faisant les grands titres de la presse audio-visuelle. Car sanctionner un imprécateur, que celui-ci ait raison ou tort, est perçu par le public comme une forme de victimisation, une volonté « d’étouffer l’affaire ». Une leçon qui, si l’on se réfère à nouveau à « l’affaire des nuisibles », a fait connaître le nom de l’entreprise Alten plus rapidement qu’une campagne nationale de publicité, mais peut-être pas nécessairement avec le même effet. La hiérarchie de Philip Sion saura-t-elle faire la différence entre « précédent » et « jurisprudence » ? C’est là une décision nécessitant une finesse toute politique, qui ne semble pas avoir été déployée jusqu’à présent.

A la requête « espionnage Renault voiture électrique », Google retournait, à l’heure où nous rédigions ces lignes, plus de 60 000 résultats. L’information tient en peu de mots : trois « cadres de haut niveau » (dont un membre du comité directeur) ont été mis à pied, soupçonnés d’espionnage industriel pour le compte d’entreprises concurrentes.

Une fois de plus, cette affaire confirme une règle immuable de l’Intelligence Economique : les plus gros forfaits sont commis aux niveaux les plus élevés de la hiérarchie, là où la capacité d’accès à des données sensibles, le niveau de « confiance » octroyé et les leviers de compromission (notamment par l’argent) sont les plus évidents. Ce qui, de manière cynique, pourrait se résumer de la manière suivante : les outils et mécanismes de prévention de fuite d’information devraient, à 90% de leur capacité, ne porter que sur les 10% du personnel considéré théoriquement comme étant le plus fiable. Alors que c’est tout l’inverse dans la majorité des entreprises. Faudra-t-il, pour résoudre ce genre de problème, une loi spécifique punissant gravement l’espionnage industriel, comme le suggèrent nos confrères du Parisien ? Il y a peu de chances que cela serve à grand-chose, si ce n’est à servir les visées électoralistes de quelques députés ou ministres. Car tout espion amateur agissant à un tel niveau connaît de toute manière les risques pénaux qu’il encoure. Et ces risques sont déjà lourds. Les gains espérés doivent nécessairement se montrer aussi conséquents que les risques, nettement plus élevés devrait-on ajouter, car au danger de se faire prendre s’ajoutent les freins psychologiques, ceux que les psychologues appellent le « sur-moi » et les gens de la rue la « morale ». Ces règles sont identiques dans le domaine de la sécurisation des données informatiques ou de toute information estampillée « propriété intellectuelle » et pouvant être récupérée sur un disque dur. Mais surveiller des « patrons » avec plus de rigorisme qu’un employé, voilà qui n’est pas toujours politiquement correct et socialement accepté.

Linda Bendali et Mathieu Lere, deux journalistes de l’émission Envoyé Spécial (France 2) sont parvenus, sans grand effort et à deux reprises, à faire passer une arme à feu sur un vol intérieur Français. Arme démontée et répartie dans les bagages de nos deux confrères, puis remontées à bord sans que ni le personnel de bord, ni les équipes de « filtrage » des deux aéroports aient remarqué quoi que ce soit.

Faut-il en conclure, comme semblent le suggérer les deux journalistes, que le personnel chargé de la fouille des passagers n’est pas formé ? Que les méthodes de sélection et d’embauche sont en contradiction avec la fonction à remplir ? Faut-il, pour être agent de sécurité, nécessairement disposer d’un diplôme d’artificier, être rompu à la manipulation des armes à feu, maîtriser les arcanes de l’électronique afin de différencier d’un premier coup d’œil un système de détonation d’un réveille-matin ?

Ou peut-on surtout se demander à quoi servent ces « fouilles de sécurité » d’une efficacité non prouvée, effectuées par des entreprises sous-traitantes, souvent réduites à des recettes appliquées sans la moindre réflexion, allant de l’obligation de se déchausser « à la tête du client » en passant par l’ouverture d’un ordinateur portable (sans prendre la précaution de constater s’il fonctionne ou non pour des raisons de rapidité) ou le kidnapping des dangereuses bouteilles d’eau. Ce paranoïa-business génère chaque année un chiffre d’affaires trop important pour qu’il ne se crée pas un consensus discret, face auquel l’opinion du passager n’a que peu d’importance.

Mais quels que soient les doutes ou les certitudes que l’on puisse émettre envers des mesures de « sécurité réactive », il semble évident que cette expérience journalistique qui ne prouve presque rien (sinon que les milices privées ne peuvent se substituer au véritable métier de policier) servira les défenseurs d’un renforcement des mesures de surveillance. Nombreux sont nos confrères de la presse quotidienne qui citent à ce sujet les propos du secrétaire général du syndicat policier Synergie-Officiers *(dito) « Cette affaire, si elle est vraie, démontre la perfectibilité du système et la nécessité de la présence de policiers lors de la formation des agents de sécurité, et pendant les fouilles (…) Mais on ne peut pas revenir en arrière, la police ne peut pas se substituer aux sociétés de sécurité privées pour les fouilles dans les aéroports ».

*ndlr note de la rédaction : Syndicat cher au cœur notamment de Maître Eolas, qui trouve souvent dans ses communiqués une source d’inspiration quasiment inépuisable.