février 28th, 2011

Pentesting, hack, Mac et micmacs (horoscope 1)

Posté on 28 Fév 2011 at 2:25

Cette semaine est placée sous le double signe astrologique du Bug ascendant CVE et du Hack à poil dur. Cela commence avec une révélation d’une incommensurable portée : Apple invente le Beta-test sérieux. L’éditeur-fabriquant-éditeur et directeur de conscience (amateur), nous apprend Edible Apple, a contacté un « pool » de spécialistes en sécurité réputés pour leurs compétences en matière de découverte de failles, et leur a octroyé le droit d’examiner les préversions du futur noyau « Lion » qui succèdera à Snow Leopard.

Double paradoxe amusant, l’un des heureux récipiendaires n’est autre que Dino Dai Zovi, grand chasseur de trous Apple, et militant de la première heure pour que les éditeurs rétribuent les chercheurs en sécurité. Pour l’instant, l’annonce étonne autant qu’elle provoque des remarques narquoises dans le milieu. L’opération, manifestement un pur produit des équipes marketing, pourrait être également interprétée comme une tentative maladroite et mesquine de profiter du talent desdits spécialistes sans avoir à lâcher un liard.

Puisque l’on est sur le dos d’Apple, restons-y, avec ce billet un rien polémique de Robert Graham, lequel nous prédit des gouffres sans fond et des failles gargantuesques avec l’arrivée du nouveau bus œcuménique Thunderbolt. Et de nous remettre en mémoire les trous béants du bus USB, les voies royales offertes par Firewire, les petits sentiers de traverse des lecteurs de carte mémoire intégrés… pas de raison que Thunderbolt échappe à la règle. D’autant plus que les mécanismes de protection déjà prévus ne sont pas gérés par l’actuelle version d’OS/X et que le jeu de composants de certaines machines, dont le Macbook, ne peuvent assurer le fonctionnement du protocole sécurité en question.

D’un côté, des accusations sans fondement réel, sans« proof of concept », à propos d’une technique qui est à peine sortie des bureaux d’étude, de l’autre, la certitude quasi fataliste que Graham a raison « malgré tout » et que ce nouveau bus pourrait nous promettre quelques réveils pénibles. Graham ne fait pourtant que rappeler une « vérité vraie et éternelle » : toute nouvelle technologie contient en elle un inépuisable lot de bugs, et ce quel que soit le niveau d’attention que l’on porte à son développement. A lire avec amusement, et à classer dans la catégorie « portes ouvertes à enfoncer ».

Gouvernements à ranger dans les statistiques de la cyberdélinquance

Posté on 28 Fév 2011 at 1:08

Depuis qu’ont été révélées les différentes attaques perpétrées par des « governement sponsored hackers » (pirates commandités par un gouvernement), notamment dans le cadre des attaques présumées Chinoises Aurora et Dragon Nocturne, les sociétés d’analyse de marché commencent à mettre en équation les risques « d’attaques d’origine gouvernementale ». Auparavant, il n’était pas très politiquement correct d’affirmer que les Etats pouvaient avoir recours à la violence et à des méthodes de truand. Il était inapproprié d’appeler « cybergerre » des actes de « simple délinquance »… un peu comme certaines guerres réelles prenaient pour nom « opération de simple police ». Depuis, il y a eu Stuxnet et les différentes opérations de vol d’informations touchant les industriels du bloc de l’Ouest ou les administrations occidentales.

L’un des premiers à établir froidement ce constat, c’est Deloitte qui, dans un récent rapport intitulé The future of Security : Evolve or Die fait la liste des 6 tendances à prendre en compte

– Les cibles sont désormais choisies, et non tirées au hasard

– Le « crime organisé » s’investit de plus en plus dans une activité à faibles risques et qui peut rapporter gros

– Les menaces des « Etats hackers » deviennent de plus en plus concrètes, accroissant les risques politiques, financiers et stratégiques

– Le risque de l’ennemi intérieur augmente, dû à une autre augmentation, celle des conditions économiques actuelles, et à l’élargissement des autorisations d’accès à des tierces parties extérieures

– L’alourdissement du cadre légal, qui peut entraîner de lourde amendes, donc des pertes, en cas de non-conformité

– Les risques liés à la globalisation, qui exposent les entreprises entrainées dans ce processus à des attaques de type Aurora

Il s’agit là d’une vision relativement parcellaire des « nouveaux risques », mais qui confirme sans détour ces nouvelles défiances dont il avait déjà été question au cours de la dernière RSA Conference par exemple. Bien entendu, pour l’heure, l’Etat-Voyou, c’est toujours l’Autre. Dans notre monde d’amour et de respect réciproque, aucune armée occidentale ne se compromettrait à entretenir des botnets ou infester d’autres nations à l’aide de Spywares. Question d’Honneur et de Probité.

Publicité

MORE_POSTS

Archives

février 2011
lun mar mer jeu ven sam dim
« Jan   Mar »
 123456
78910111213
14151617181920
21222324252627
28