janvier, 2011

Mariage inattendu : Dell vient d’annoncer son intention de racheter SecureWorks, entreprise d’Atlanta spécialisée dans les services de sécurité managés. Le montant de la transaction n’a pas été divulgué (on estime le C.A. de SecureWorks aux environs de 120 M$).

SecureWorks fait partie de ces entreprises aussi discrètes qu’élitistes. La société, longtemps restée dans l’ombre, s’était faite remarquer lors de son rapprochement avec le Lurhq, une équipe de chercheurs en sécurité tout aussi « sudistes ». Le Lurqh était réputé pour la qualité et la technicité de ses analyses et reverse engineering de code viral… une tradition que SecureWorkds a su entretenir. L’intégration de ce laboratoire de recherches à une entreprise de production très « brick and mortar » pourrait bien sonner le glas de ces publications et des nombreuses conférences que l’équipe donnait à l’occasion des Defcon et autres réunions techniques.

Pour Dell,cette acquisition est un ticket d’entrée dans le monde de la sécurité, secteur jusqu’à présent totalement ignoré par l’entreprise. En achetant une « intelligence » et un savoir-faire certain, à la fois destiné aux entreprises et techniquement adapté au « cloud computing », le constructeur laisse clairement entendre que ce ne sera certainement pas là la seule « opération de croissance externe » qu’il compte faire en ce domaine.

Dans le domaine de la recherche de preuve et du pentesting, un véritable ordinateur camouflé en faux adaptateur secteur : PlugBot. Une petite merveille d’espionnage miniaturisée

Michael Zalewski, un des gourous de l’équipe sécurité de Google, annonce, via la liste « full disclo », la disponibilité d’un outil de fuzzing visant tous les navigateurs Web

Les bonnes pratiques de l’écriture de code Web par l’Owasp, seconde édition : le vadémécum de 17 pages (il s’agit d’un ouvrage de référence résumé) est disponible sur le site de l’association, toujours gratuit, toujours aussi nécessaire

Un pas de plus dans la simplification : Karsten Nohl et Sylvain Munaut ont cette année encore, tenu une conférence sur l’écoute des conversations téléphoniques sur réseau GSM (protégé A5/1). Ce rendez-vous presque traditionnel du congrès Berlinois du Chaos Computer Club avait, l’an passé, expliqué comment, à l’aide de radio à définition logicielle, il était possible de balayer une grande partie du spectre utilisé par les cellules GSM pour ensuite en extraire l’émission d’un seul terminal puis enfin déchiffrer le contenu de ladite communication. Cette année, la prouesse technique est encore plus impressionnante, puisqu’au lieu d’utiliser un couple d’USRP (qui coûte tout de même, selon le modèle employé, entre 1000 et 2000 dollars pièce), les deux chercheurs se sont contentés d’exploiter quatre terminaux Motorola relativement basiques et peu coûteux… mais légèrement modifiés et reflashés. Le reste de l’opération est un peu plus classique : un ordinateur un peu puissant, 2 To de disque contenant les « rainbow table » nécessaires au cassage du A5/1… on n’est pas encore au stade d’un espionnage temps réel des communications, mais le budget de hacking a considérablement été réduit, et ne dépasse pas 650 $.

L’alerte de sécurité porte l’immatriculation 2490606, et concernerait tous les systèmes d’exploitation de Windows XP à 2008 (noyaux 32 et 64 bits donc) à l’exception des « server core » et des nouvelles générations de noyau, Windows 7 et 2008 R2 : le ZDE affecte le moteur graphique de Windows. La faille pourrait être exploitable à distance et encore non exploitée dans la nature. Le trou a fait l’objet d’une annonce lors de la conférence sécurité Poc 2010 à Séoul, par MM Moti et Xu Hao. Si l’on ajoute le défaut « I.E. CSS » signalé peu de temps avant noël, cela promet un mardi des rustines aussi intéressant que délicat.

Le Sans ajoute son grain de sel et le MSRC, le « response team » de Microsoft, publie un court article sur le blog de l’équipe. Secunia, pour sa part, qualifie le problème de « critique ».

En voulant trop embrasser, écrit Stefan Krempl de H-Online, Adobe et son célèbre PDF pourraient bien ne jamais être sécurisés. Une réflexion faite à la suite d’une conférence tenue lors de la dernière 27C3 de Berlin par Julia Wolf de FireEye. Un fichier PDF, donne-t-elle comme exemple, pourrait très bien contenir un scanner de bases de données qui pourrait être activé lorsque ce « document-piège » serait expédié sur une imprimante réseau. Les méthodes d’interprétation d’un même document peuvent afficher des contenus différents selon le système d’exploitation hôte. En résumé, c’est la vision même d’un format pdf « conteneur » d’un peu tout ce que l’on veut qui fait de ce format quelque chose d’impossible à protéger. Car le contenu peut être vulnérable posséder ses propres failles, ou plus simplement, intégrer des fonctions dangereuses pour le système. JavaScript, XML, DRM etc. sont autant de contenus interprétés qui ont un pouvoir destructeur potentiel. Une grande partie de ces menaces devraient être écartées grâce à la sandbox récemment intégrée par l’éditeur. Un bac à sable qui devrait circonscrire le périmètre d’exécution des scripts dangereux. Mais tout comme des DEP et ASLR pourtant réputés inviolables, la zone d’exécution restreinte d’Adobe pourrait bien, elle aussi, s’avérer imparfaite.

Quel beau conte –et comptes- de noël que celui rapporté par le quotidien Seattle Pi . Daniel Balsam déteste le spam, presqu’autant que Madame Buns. Il n’habite pas à Bromley mais à San Francisco, et ne déjeune pas au Green Midget Café au milieu de guerriers vikings… il se repaît de l’argent de ses victimes, les polluposteurs.

Pourtant, il y a huit ans, Daniel Balsam avait embrassé une carrière commerciale. Mais excédé de recevoir quotidiennement des courriels lui vantant des pilules miracles destinées à affermir et développer sa poitrine, il décide de partir en guerre. Dan déteste le spam et il le fait savoir. Mais un site de protestation peut-il briser le ressac des courriels non désirés ? Il abandonne alors le cadre confortable de son bureau, son salaire, ses prévisions de ventes et ses commissions pour étudier le droit… et s’en servir. L’Amérique est la Terre Promise des avocats et des plaideurs, et la Californie tout particulièrement, dont une loi interdit toute accroche par courriel si le champ sujet contient le mot « gratuit » de manière indue ou qui n’est pas clairement présenté comme une proposition commerciale.

Bien peu donnait cher de cette peau Balsamique. Les prétoires, sur la côte Ouest, retentissent encore des échos des procès gagnés… par les « rois du spam », qui pourchassent sans pitié journalistes et blogueurs osant qualifier de « pollupostage » ce qui n’est que « démarche marketing volontariste et business par correspondance ». Et pourtant, Dan Balsam s’accroche, ferraille avec le droit commercial, cherche la petite bête dans les formulations, et apprécie particulièrement ces offres prétendument « gratuites » qui cachent des contrats léonins. En 8 ans, il gagne plus de 42 procès, et a totalement cessé de travailler. Il faut dire que son full time job de chevalier blanc lui a tout de même rapporté plus d’un million de dollars jusqu’à présent, somme provenant soit des victoires remportées et des « dommages & intérêts » infligés à la partie adverse, soit des accords à l’amiable conclus pour que l’affaire ne dégénère pas. C’est d’ailleurs ce que lui reprochent les partisans du marketing sauvage : la majorité des actions en justice ne sont pas conduites devant la « haute cour » mais par une sorte de tribunal de simple police, la « small claim court », plus expéditive, plus factuelle, et surtout plus « populaire » donc peu encline à témoigner la moindre sympathie envers les spammeurs.

Balsam n’est pas un Ralf Nader du spam ni le chef de file d’une croisade pour un Internet Propre au pays de la loi Can Spam. C’est un professionnel du procès qui parvient à vivre grâce à la formulation particulière d’un texte de loi d’Etat. Un animal spécialisé, un peu comme ces stakhanovistes du dépôt de brevet générique qui passent leur temps à éplucher des archives et découvrir des failles dans les arcanes de la protection de propriété intellectuelle. Mais l’action de Balsam est auréolée de gloire, supportée par l’homme de la rue, ou plutôt le netizen de l’autoroute de l’information. Il rend la vie impossible à ceux qui nous rendent la vie impossible. Hélas, son action n’a aucune chance de dépasser les frontières de la côte Ouest. Jamais Dan Balsam ne fera taire les « Canadian Pharmacy » de Bombay. Et un jour ou l’autre, les textes de loi Californiens évolueront, supprimant ainsi sa niche écologique et économique. Sur Internet, le Père Noël et le Chevalier Blanc n’existent que pour vendre des boissons et des lessives.

Le coût de l’insécurité, un poster à imprimer , truffé de chiffres astronomiques. A imprimer voir à glisser dans les dossiers du Directeur Financier le jour des votes budgétaires …

Vladimir Poutine milite en faveur de l’Open Source dans l’administration Russe nous apprend le blog Open. Une annonce faite dans le même pays que celle de la sentence du procès Khodorkovski …