février, 2011

Cette semaine est placée sous le double signe astrologique du Bug ascendant CVE et du Hack à poil dur. Cela commence avec une révélation d’une incommensurable portée : Apple invente le Beta-test sérieux. L’éditeur-fabriquant-éditeur et directeur de conscience (amateur), nous apprend Edible Apple, a contacté un « pool » de spécialistes en sécurité réputés pour leurs compétences en matière de découverte de failles, et leur a octroyé le droit d’examiner les préversions du futur noyau « Lion » qui succèdera à Snow Leopard.

Double paradoxe amusant, l’un des heureux récipiendaires n’est autre que Dino Dai Zovi, grand chasseur de trous Apple, et militant de la première heure pour que les éditeurs rétribuent les chercheurs en sécurité. Pour l’instant, l’annonce étonne autant qu’elle provoque des remarques narquoises dans le milieu. L’opération, manifestement un pur produit des équipes marketing, pourrait être également interprétée comme une tentative maladroite et mesquine de profiter du talent desdits spécialistes sans avoir à lâcher un liard.

Puisque l’on est sur le dos d’Apple, restons-y, avec ce billet un rien polémique de Robert Graham, lequel nous prédit des gouffres sans fond et des failles gargantuesques avec l’arrivée du nouveau bus œcuménique Thunderbolt. Et de nous remettre en mémoire les trous béants du bus USB, les voies royales offertes par Firewire, les petits sentiers de traverse des lecteurs de carte mémoire intégrés… pas de raison que Thunderbolt échappe à la règle. D’autant plus que les mécanismes de protection déjà prévus ne sont pas gérés par l’actuelle version d’OS/X et que le jeu de composants de certaines machines, dont le Macbook, ne peuvent assurer le fonctionnement du protocole sécurité en question.

D’un côté, des accusations sans fondement réel, sans« proof of concept », à propos d’une technique qui est à peine sortie des bureaux d’étude, de l’autre, la certitude quasi fataliste que Graham a raison « malgré tout » et que ce nouveau bus pourrait nous promettre quelques réveils pénibles. Graham ne fait pourtant que rappeler une « vérité vraie et éternelle » : toute nouvelle technologie contient en elle un inépuisable lot de bugs, et ce quel que soit le niveau d’attention que l’on porte à son développement. A lire avec amusement, et à classer dans la catégorie « portes ouvertes à enfoncer ».

Depuis qu’ont été révélées les différentes attaques perpétrées par des « governement sponsored hackers » (pirates commandités par un gouvernement), notamment dans le cadre des attaques présumées Chinoises Aurora et Dragon Nocturne, les sociétés d’analyse de marché commencent à mettre en équation les risques « d’attaques d’origine gouvernementale ». Auparavant, il n’était pas très politiquement correct d’affirmer que les Etats pouvaient avoir recours à la violence et à des méthodes de truand. Il était inapproprié d’appeler « cybergerre » des actes de « simple délinquance »… un peu comme certaines guerres réelles prenaient pour nom « opération de simple police ». Depuis, il y a eu Stuxnet et les différentes opérations de vol d’informations touchant les industriels du bloc de l’Ouest ou les administrations occidentales.

L’un des premiers à établir froidement ce constat, c’est Deloitte qui, dans un récent rapport intitulé The future of Security : Evolve or Die fait la liste des 6 tendances à prendre en compte

– Les cibles sont désormais choisies, et non tirées au hasard

– Le « crime organisé » s’investit de plus en plus dans une activité à faibles risques et qui peut rapporter gros

– Les menaces des « Etats hackers » deviennent de plus en plus concrètes, accroissant les risques politiques, financiers et stratégiques

– Le risque de l’ennemi intérieur augmente, dû à une autre augmentation, celle des conditions économiques actuelles, et à l’élargissement des autorisations d’accès à des tierces parties extérieures

– L’alourdissement du cadre légal, qui peut entraîner de lourde amendes, donc des pertes, en cas de non-conformité

– Les risques liés à la globalisation, qui exposent les entreprises entrainées dans ce processus à des attaques de type Aurora

Il s’agit là d’une vision relativement parcellaire des « nouveaux risques », mais qui confirme sans détour ces nouvelles défiances dont il avait déjà été question au cours de la dernière RSA Conference par exemple. Bien entendu, pour l’heure, l’Etat-Voyou, c’est toujours l’Autre. Dans notre monde d’amour et de respect réciproque, aucune armée occidentale ne se compromettrait à entretenir des botnets ou infester d’autres nations à l’aide de Spywares. Question d’Honneur et de Probité.

Il est assez étonnant de constater comment les différents Ministères et Députés d’Europe cherchant officiellement à combattre le « sentiment d’insécurité » sont eux-mêmes vecteurs de cette propagande anxiogène. Outre-Manche, par exemple, Graham Clueley (Sophos) est surpris des chiffres communiqués par l’actuel gouvernement de Sa Gracieuse Majesté : le cybercrime serait, sur les falaises d’Albion, aussi grand que le sont les Bretons qui y résident et coûterait 27 milliards de livres sterling chaque année. 27 milliards de livres… 32 milliards d’Euros. Pour sûr, on a dû y ajouter les pertes hypothétiques de l’Industrie du disque et les coûts des droits voisins de l’industrie cinématographique londonienne, qui, depuis quelques années, connaît un formidable essor grâce à l’augmentation des caméras de vidéosurveillance (et non vidéo-protection, car la Bretagne Grande n’est pas soumise à la relecture sémantique imposée en France).

En se penchant quelque peu sur les chiffres de l’étude, l’on s’aperçoit que les plus touchés sont les organisations « sans but lucratif » (le paradoxe est savoureux), ainsi que les sociétés de service et de support. On imagine qu’il s’agit là de spam, scam, phishing, scarewares … viagra non compris, puisque la catégorie « pharmaceutical & biotech » n’est presque pas impactée. Autre grande victime du cybercrime, le secteur de la construction. Les « online thiefs » d’Outre Manche seraient-ils parvenus à développer un protocole capable de faire passer des sacs de ciment et des panneaux de BA13 sur une fibre optique ? Plus logiques sont les secteurs statistiquement les plus touchés par le cyberespionnage : aéronautique et défense, services financiers et mines. Il peut sembler surprenant que le secteur minier soit touché, mais l’on doit garder à l’esprit que la prospection des gisements fait l’objet, depuis toujours, d’une lutte acharnée opposant les pays et les industriels entre eux.

Cette fantaisie des chiffres et cette inflation anxiogène se portent également très bien en France, nous rappelle nos confrères de PC-Inpact, qui rapportaient, le 16 novembre dernier, une question du député Jacques Remiller, supporter de la Loppsi et de ses paragraphes concernant le filtrage des sites. Il s’indignait, alors, du manque d’efficacité apparent des mesures de blocage d’un « Internet, qui est un moyen de communication incroyable est aussi, malheureusement, le lieu de toutes les dérives dont une en particulier: la pédopornographie ». Et de rappeler qu’il existerait « plus de 1 million d’images et plus de 40 millions de sites à caractère pédopornographique». Glissons sur le fait que l’on recense plus de sites que de contenu (1 image pour 40 sites, on friserait le réseau à haut degré de résilience). Reste que ça fait peur, 40 millions de sites pédopornographiques. Surtout lorsque ce chiffre (d’origine incontrôlée bien que rapporté par le Garde des Sceaux) est sorti de tout contexte, de toute appréciation volumique, et notamment du nombre de sites de tous types recensés sur Internet… Si l’on se base sur de vieilles statistiques, 234 millions de sites web dans le monde fin 2009, ou 129 millions aujourd’hui selon Whois, cela ferait dans le meilleur des cas au moins un site pédopornographique sur 9… franchement, oui, ça fait peur. Mais peut-être doit-on y ajouter les 200 ou 300 millions de blogs ? Même dans ces conditions, ce taux serait tel qu’il serait impossible de lancer une recherche Google sur la culture des artichauts en Bretagne sans tomber sur une bonne dizaine de sites pédopornographiques. Utiliser l’insupportable pour justifier la propagation de l’angoisse et de l’indignation, est-ce vraiment là le meilleur moyen de lutter pour un Internet ouvert, responsable et sécurisé ?

Le titre de l’alerte résume toute la dimension dramatique de l’information : « Vulnerability in Microsoft Malware Protection Engine Could Allow Elevation of Privilege ». En d’autres termes, le fait même d’utiliser ce moteur donnait à l’attaquant des armes facilitant l’intrusion sur un ordinateur distant. L’alerte CVE précise que le moteur vulnérable est utilisé dans plusieurs produits antiviraux de la marque, à savoir Defender, Security Essentials, Forefront client et endpoint et « live OneCare » qui est relégué depuis longtemps aux oubliettes et ne fait plus partie du catalogue MS. La rustine colmatant cette faille est diffusée via le mécanisme de mise à jour des antivirus Microsoft.

Tim Green, de Network World, vient de publier un article intitulé « 7 façons d’éviter d’être attaqué par les Anonymes ». Il y reprend les principales erreurs et mauvaises pratiques qui ont permis la mise à sac du cabinet HB Gary Federal. L’on y apprend comment observer à la lettre une bonne politique de création et d’usage de mots de passe et l’on se fait sermonner sur le manque de préparation des employés envers les tentatives de récupération d’information par ingénierie sociale.

Si ces conseils sont bels et bons, il y a peu de chances qu’ils soient un jour appliqués à la lettre (car bien souvent trop complexes à suivre), ou qu’ils puissent constituer une garantie absolue d’invulnérabilité… il existe tellement de défauts ou d’imperfection dans un système d’information.

L’affaire HBGary est essentiellement politique et tactique. Cette longue succession d’erreurs de jugement et de poussées de testostérones n’a prouvé qu’une chose : l’agressivité aveugle répond à l’agressivité aveugle, l’infantilisme à l’infantilisme et la fanfaronnade à la fanfaronnade. Et contre ce genre d’attitude, il n’existe ni norme iso, ni patch de sécurité. Seule l’éducation et l’intelligence auraient pu mettre un terme à cette situation, et elles ont fait défaut d’un côté comme de l’autre. Ce qui est inexcusable de la part de collaborateurs responsables occupant des postes clef au sein d’une entreprise de sécurité.

A noter, dans la masse de documents HBGary « fuités » sur Pirate Bay et autres médias, quelques analyses de botnet dignes des papiers du Luhrq haute époque et sélectionnés amoureusement par Cryptome.

Mark Gibbs de Network World revient une dernière fois sur les « trois leçons à tirer de Wikileaks ». Des leçons inégales, parfois très justes (une fois divulguée, il est impossible de stopper une révélation, aucun organisme n’est à l’abri d’une fuite), parfois plus discutables (« les gens veulent absolument tout savoir des secrets des gens qui nous gouvernent, leurs raisons d’imposer le secret sur certaines choses, la personne à l’origine de cette mise au secret et le temps durant lequel ce secret a été maintenu »). Sans secret, il n’y aurait plus de diplomatie… et c’est précisément ce point en particulier qui a fait réagir les politiques de tous les pays, concernés ou non. Certes, le côté « scandale à la une » a pu amuser, intéresser, révéler quelques affaires et passionner le public. Mais l’absence de secret, l’espoir d’une politique régie par une honnêteté absolue, l’utopie d’une transparence gouvernementale exposée à tous les habitants de la planète frise l’angélisme (bisounoursing en leet speak) le plus béat et irréfléchi. L’on attribue à Napoléon Bonaparte le conseil suivant : si l’on souhaite prendre un bon repas, il ne faut pas passer par la cuisine. En d’autres termes, si l’on désigne des « commis » par voie électorale, c’est aussi et en partie pour éviter d’avoir à contempler les recettes parfois écœurantes et les pratiques douteuses de la realpolitik.

Gibbs aurait pu tout de même ajouter un dernier point à la liste des leçons Wikileaks, et pas l’une des moindres : les entreprises et structures gouvernementales vont commencer à comprendre les affres des éditeurs de musique de variétés et autres industriels du divertissement qui voient le fruit de leur labeur exposé sur les index de Pirate Bay ou de IsoHunt. Tant que le risque n’impactait que les fins de mois de Britney ou le compte en banque de Justin, l’on pouvait encore s’illusionner sur l’efficacité d’une Hadopi et l’espérance de peur instillée par quarteron de supplétifs de la justice sans juge et sans tribunal. Mais depuis que l’on peut y piocher les détails des contrats et courriels d’un HBGary, les notes diplomatiques d’un Etat ou les écarts de conduite d’une armée sur le terrain, il faudra peut-être trouver un peu plus dissuasif qu’un envoi de lettres recommandées ou qu’un « kill switch » Internet.

Partie I

Scada, environnements industriels et Protection

Intervention de Hervé Schauer, HSC

Environnements industriels, Points sensibles et Expérience terrain

Télécharger les slides : présentation Hervé Schauer

Intervention de Yann Le Borgne, Sourcefire Europe du sud

Sécurisation des Environnements Industriels et Scada …

Télécharger les slides : présentation Yann Le Borgne

Panel « Sécurité dans les environnements industriels et scada » animé par Jérôme Saiz, SecurityVibes,

Entouré de Laurent Levasseur, association LESISS, Président de la Commission Sécurité; Mylène Jarossay, RSSI de l’Institut Curie; Edouard Jeanson, Responsable du centre compétences Sécurité de Sogeti; Et Matthieu Suiche, fondateur de Moonsols expliquant Stuxnet

Partie II

Cloud et Sécurité 

Intervention de François Vergès, Deloitte

Détails d’une étude sur la sécurité et le Cloud Computing – Analyse

Télécharger les slides : présentation François Vergès

Intervention de Luis Delabarre, Trend Micro,

Cloud, Risques ou Opportunités ?

Télécharger les slides : présentation de Luis Delabarre

Intervention de François Stephan, Thalès et VP du CRIP

Cloud Computing, quelle réalité aujourd’hui ? Vue par les responsables d’infrastructure et de production IT

Télécharger les slides : présentation de François Stephan

Intervention de Benoît Grunemwald, DeviceLock (Athena Global Services)

Des nuages à la terre ferme …

Télécharger les slides : présentation de Benoît Grunemwald

Intervention de Luc Leysen, Expert en sécurité Unisys

Cas client Secure Cloud, fiduciaire de placements immobiliers

Télécharger les slides : présentation de Luc Leysen

Intervention de Bernard Montel, Directeur Technique RSA France

Solution for Cloud Security and Compliance

Télécharger les slides : présentation de Bernard Montel

Panel « Conseils pour passer en toute sécurité au Cloud Computing » animé par Valery Marchive, Le MagIT,

Entouré de Jean-Jacques Cockx, expert pour la sécurité des transactions (Unisys), Olivier Itéanu du cabinet Itéanu qui viendra répondre aux questions sur les parties obligations légales de l’entreprise dans le Cloud, Philippe Bramaud-Grattau, gestionnaire du risque pour la préparation en amont du contrat qui unira entreprise et fournisseur de Cloud, un représentant de CIL, Caroline Doulcet, avocate au cabinet Gelly

KALEIDOSCOPE DE PHOTOS DE L’EVENEMENT … 

Photos réalisées par KIZ Photoshoping, photoshoping@me.com

(un simple clic sur une photo pour la déployer et utiliser les flèches de direction pour voir toutes les photos sur ce mode !!!)

Il est enfin là, le premier service pack de la génération Windows 7, après une phase de « pré-version » relativement longue. Les usagers et administrateurs effectuant leur mise à jour via Windows Update ou WSUS Server doivent préalablement installer le SSU. Ce SSU, alias Service Stack Update, alias KB 976902, alias le « trou noir Microsoft d’octobre 2010 » chargé de la gestion des suppressions de code, les mises à jours, gestion des « language pack » etc, avais singulièrement défrayé la chronique à la fin de l’an passé. Il s’agit d’un « correctif d’application de correctif ». Cette phase est indispensable pour prévoir une désinstallation ultérieure du SP1 en cas de problème.br>

Mais ce n’est pas tout. L’installation demande quelques autres précautions supplémentaires. Trois précédents correctifs (983534, 979350 et 2406705), notamment, exigent une procédure spéciale ou peuvent provoquer une erreur d’installation, fort heureusement documentée par un article de la base de connaissance.

Le guide de déploiement du SP, notablement utile pour les serveurs 2008 R2, compte 20 pages. Kilométrique également est la liste de rustines intégrées dans ledit SP (tout comme kilométrique est le nom du fichier XLS qui les répertorie… à tel point qu’il est parfois prudent de renommer ledit fichier avant que de l’ouvrir). Outre le récapitulatif des corrections passées, l’on y trouve quelques perfectionnement dans les mécanismes de gestion mémoire et de l’infrastructure supportant les « bureaux virtuels distant ». Mentionnons également l’ajout de DirectAccess (gestion automatique des connexions distante avec un réseau d’entreprise), les MSA (managed services account étendus au zones « externes » telles que DMZ et extranets), une amélioration des performances des mécanismes d’authentification du coté des contrôleurs de domaine, et quelques perfectionnement sur W7 Station des performances des ports HDMI… mais toujours pas, hélas, la moindre gestion du mode UAC2 (USB Audio Class 2) des ports USB, alors que OS/X et le plus limité des Linux de nouvelle génération gèrent sans l’ombre d’un problème les périphériques sonores haut de gamme. Windows, contrairement à ce que tente de faire croire les services marketing de Redmond, n’est toujours pas prêt à attaquer le marché du multimédia sérieux et du traitement de signal professionnel.

Le programme détaillé des communications retenues pour le prochain Sstic de Rennes (8 au 10 juin prochain) est disponible sur le site du symposium. On y retrouvera les orateurs habituels (N.Ruff, L. Duflot, V. Nicomette, A. Gazet, G. Valadon) et d’autres, aux interventions moins récurrentes mais qui sont loin d’être des inconnus : S. Bortzmeyer, N. Gregoire, L . Montalvo ou J. Lancia. Les sujets traités vont de l’analyse de programmes applicatifs au fuzzing des cartes à puce, en passant par l’examen de mécanismes de chiffrement propriétaire ou l’évaluation globale de la sécurité des noyaux « mobiles ». Et, comme chaque année, des Rump Sessions débridées et un débogage analytique de la Rue de la Soif. Les réjouissances étant désormais connues, il ne reste plus qu’à attendre l’ouverture des inscriptions. Attention : lesdites inscriptions sont traditionnellement prises d’assaut et closes généralement en moins de 12 heures.

Selon le quotidien Israélien Haaretz, l’origine de Stuxnet pourrait effectivement être issue de gamètes du Mossad. L’élément de preuve se trouverait dans la séquence vidéo d’une fête donnée à l’occasion du départ à la retraite du général Gabi Ashkenazi, Chef d’état major de Tsahal. C’est lors du panégyrique de ce militaire qu’aurait été porté le crédit d’une opération informatique couronnée de succès ayant entrainé la destruction des centrifugeuses d’une centrale nucléaire iranienne. Le général Ashkenazi avait été placé sous les feux de la rampe à l’occasion de l’abordage de la flottille pour Gaza en mai 2010. Comme aucune armée au monde ne peut avouer officiellement la paternité de Stuxnet, ce « fait d’arme » et ses conséquences hypothétiques peuvent bien servir à redorer les étoiles d’un quarteron de généraux en retraite… ou moins.