février, 2011

Quelques heures durant, révèle le blog de Websense, la très respectable BBC (ou plus exactement le site web de la radio musicale BBC Radio 6 ) a hébergé un vecteur d’attaque en « drive by download », susceptible d’infecter les postes de chaque internaute visiteur sans que celui-ci n’ait à interagir de quelque manière que ce soit.

Ce genre d’attaque est techniquement très banale. Ce qui l’est moins, c’est qu’elle utilise comme support un média d’envergure nationale, équivalent à un France Inter ou un RTL.

Après avoir mis en place (suite au rachat d’Archer) une plate-forme de gestion de la sécurité et conformité des environnements (virtuels et physiques) RSA étend désormais son offre au Cloud avec une nouvelle offre de services regroupés sous l’appellation Cloud Trust Authority.

C’est là une idée business qui repose avant tout sur deux services. Le premier orienté fédération d’identités au bénéfice de tous les fournisseurs de services (Service Provider, SP) qui travaillent avec l’éditeur. Le second service permet à ces mêmes fournisseurs de services de prouver à leurs clients leur mise en conformité aux règlementations en vigueur dans le secteur d’activités concerné. En outre, ce service offrira aux entreprises clientes la possibilité d’auditer quand elles le désirent la réelle mise en conformité de leur fournisseur.

Comment cela fonctionne ? D’un point de vue technique, le contrôle d’authentification est orchestré par RSA qui propose un SSO, Single Sign On. La technologie de fédération d’identités choisie provient des laboratoires VmWare utilisée dans son projet Horizon. Un projet de gestion des accès utilisateurs au cloud. L’équipement RSA conforme à tous les standards du marché, peut donc récupérer l’existant en termes d’identités utilisé par l’entreprise, SAML, Ldap, Active Directory … A partir de là, il fera le lien avec le système d’authentification du fournisseur de services lui-même basé sur des standards. Tout cela sera transparent pour les deux parties à chaque extrémité. Le système de RSA sera situé en front end chez le fournisseur de services. Tout cela amène à dissocier l’utilisateur du matériel qu’il utilise pour se connecter.

Service d’audit à la demande …

Comment prouver à tous ses clients qu’on est conforme sans dépenser une somme phénoménale dans des audits personnalisés car chaque client obéit à ses propres réglementations métier ? Là est la question pour le fournisseur de services. Si l’on prend le problème sous l’angle, cette fois de l’entreprise, comment se lancer dans l’aventure du cloud public quand on est responsable de tout et que l’on n’a accès à rien même pas à la vérification de ce qu’avance son fournisseur de services quand à sa conformité aux réglementations ? Pour résoudre cette problématique, l’idée de RSA est de s’appuyer sur les « standards » publiés par le CSA, Cloud Security Alliance. Ce dernier fournit des questionnaires aux entreprises afin qu’elles puissent mener à bien des interrogatoires afin de savoir si un fournisseur de services peut leur convenir (liste des réglementations obligatoires dans leur cas, entre autres). RSA intègre le questionnaire sur sa plate-forme et récolte les informations en provenance du fournisseur de services. Un rapport est fourni à ce dernier afin qu’il prouve ou corrige s’il n’est pas conforme et un autre au client, ce qui lui a permis d’évaluer son prestataire potentiel. Pour l’instant, ces services ne verront pas le jour avant six mois et c’est à ce moment-là que l’éditeur mettra en place une tarification appropriée …

Pour Eric P. Baize, Senior Director, Cloud Security Strategy and EMC Product Security Office, « Les entreprises adhèrent de plus en plus au principe du Cloud, à l’idée de « l’IT comme un service ». Mais le problème est qu’elles ne contrôlent plus rien tant au niveau de la gestion que de la sécurité dans ces environnements virtualisés. Cela a donné naissance chez nous dans un premier temps à une plate-forme (celle d’Archer combinée à des contrôles VmWare entre autres) offrant la visibilité recherchée et le contrôle des infrastructures virtuelles ainsi qu’à la maîtrise des risques de ces nouveaux environnements notamment dans des clouds privés. Mais en ce qui concerne les Clouds publics comment offrir de nouveau cette possibilité ? Chaque entreprise doit construire avec son fournisseur de cloud ou de services cloud une relation qui leur permette d’avoir à distance de nouveau ce contrôle et cette visibilité. Derrière une telle relation, c’est l’établissement de contrats, la mise en application de toutes sortes de technologie, de l’authentification forte … mais on imagine très bien les freins induits dus à une forte complexité des solutions envisagées pour ces contrôles. D’où l’idée des services Cloud Trust Authority ».

San Francisco, RSA Conference : Toute escalade technologique accroît donc notre vulnérabilité et justifie l’institution de lois destinées à encadrer, à protéger les acteurs des NTIC argumentent donc les défenseurs d’un interventionnisme politique. C’est du moins l’opinion qu’exprimait Michael McConnell, ancien Directeur de la National Intelligence US lors d’un « keynote ». Sophisme, pense Bruce Schneier, « Les débuts d’internet ont connu eux aussi leur part de cyberdélinquance, à une époque où la notion de défense et les moyens mis en œuvre étaient considérablement moins développés qu’aujourd’hui. Puis les « bad guys » ont pris du muscle, tout comme les vendeurs d’outils de protection, parallèlement à une élévation du niveau de connaissance et de prudence des usagers du Net. Et, l’un dans l’autre, on ne s’en est pas trop mal sorti, constate Schneier. Les apocalypses numériques que prévoient les Cassandres conservateurs ont toujours été évitées ou se sont avérés des baudruches rapidement dégonflées. La véritable cyberguerre n’existe pas, ou du moins elle est si localisée dans le temps et dans l’espace qu’elle ne nécessite pas d’encadrement légal de ce type. »

Un constat que McConnell balaye d’un revers de manche en expliquant que cette escalade classique reposant sur des successions d’attaques et de contre-mesures est en train d’atteindre un point de rupture à partir duquel les « méchants » ont acquis une telle avance que les contre-mesures ne suffiront plus. Argument lui-même régulièrement utilisé par les partisans d’une « ligne dure » du cybercontôle qui voient leur rôle et leur position largement confortées grâce à l’action d’un Julian Assange est des « xxLeaks » de tous crins, ainsi que par les récentes attaques perpétrées par les « anonymes ». D’autant plus que la cyberguerre existe réellement, insiste McConnell. Nous en avons attentivement observé l’évolution durant le conflit Géorgien.

Entre les faucons conservateurs et les modérés démocrates, le Sénat n’hésite pas. S’il coupe court au développement d’un nouveau réacteur destiné à équiper les forces aériennes pour les décennies à venir, il voit d’un bon œil l’augmentation de 35% du budget national attribué à la « cybersecurity » : 548 M$ prévus pour l’année 2012. L’affaire Stuxnet et la création d’un Cybercommand (les hauts commandements militaires de cyberdéfense) y sont certainement pour quelque chose. Cette pluie de crédit profitera-t-elle à la création d’un super-Internet sécurisé national ? se demande Gary McGraw. Peu probable, répond Dorothy Denning. Totalement irréaliste, renchérit Cheswick. Car tous les experts en infrastructure de réseau sécurisé tombent d’accord sur un point : la meilleure méthode pour protéger une infrastructure est de la segmenter en bastions durcis… Or, l’efficacité d’un réseau est proportionnelle au nombre de personnes qui s’y connectent. En segmentant le « net » gouvernemental, on en élimine son efficacité. D’un côté la machine est ralentie au point de ne plus être utile, de l’autre elle demeure vulnérable à une fuite Wikileaks. Le tout est de savoir quel est le coût réel du risque. Jusqu’à présent, le « hack du siècle » subi par l’Administration Fédérale est important en termes de volume… pour ce qui concerne la valeur réelle des informations rendues publiques, on est encore loin de la Dépêche d’Ems.

Reste un argument purement stratégique qui ne peut être contesté : c’est la volonté de la plupart des gouvernements actuels de se doter d’une force stratégique présentée tantôt comme un corps défensif, tantôt comme un vecteur offensif. C’est là une attitude politique et militaire purement réactive, provoquée d’une part par l’examen des événements en Estonie ou Géorgie, et d’autre part à la suite des batailles de cyber-espionnage numérique telle que l’opération « Aurora » ou « dragon nocturne ». Pour l’heure, admettent les experts quelque soit leur bord politique ou technique, imaginer une « ligne Maginot » numérique relève un peu de la science-fiction. La nature d’Internet l’interdit plus ou moins dans l’état actuel des choses. Tout au plus cette « force défensive » peut-elle contribuer à limiter les fuites d’information en offrant son expertise informatique aux entreprises et autres secteurs sensibles susceptibles d’être piratés. Il est parfois plus simple d’attaquer : « the best defence is sometimes a good offense ». Ce qui fait dire aux plus pacifistes « dans cette perspective, les « gentils » doivent nécessairement posséder leur botnet ». Si l’on ne peut compter sur un vaste élan patriotique de grand-mères prêtes à offrir les ressources de calcul de leur ordinateur personnel, il faut donc nécessairement que ces machines zombies mobilisables en cas de conflit numérique soient prêtes à tout instant. Où sont-elles ? Qui sont-elles ? Peut-on imaginer que ce réseau de machines soit « offert » par les éditeurs de logiciels qui possèderaient les commandes de leurs automates de mise à jour ? L’hypothèse, bien que politiquement incorrecte, est diablement réaliste.

San Francisco, RSA Conference : L’exposant/conférencier le plus remarqué de cette édition 2011 de la RSA Conference ne fut ni présent, ni entendu. Le stand HBGary, saccagé dès samedi par des militants se réclamant du mouvement Anonymous, déserté par ses principaux représentants encore sous le choc du pillage de leurs ressources informatiques, résumait l’état d’esprit du landernau cybersécuritaire américain : un mélange de désillusion et de craintes, d’incompréhension et de défiance. Car elles étaient nombreuses les conférences traitant de cyberguerre et de cyberattaques qui, à la lumière des événements récents, ont rapidement tourné au commentaire d’actualité et à la critique raisonnée. « Cyberguerre, ou comment j’ai cessé de m’inquiéter et appris a aimer la cyberbombe » a ouvert le bal : table ronde animée par Dorothy Denning, Distinguished Professor of Defense Analysis à la Naval Postgraduate School, Thomas Herlea, Consultant chez Verizon, Anup Ghosh CTO d’Invincea et surtout William Cheswick geek et blogueur travaillant chez AT&T.

C’est Gary McGraw, le modérateur, qui ouvre le feu en évoquant l’acte de «cyberguerre » perpétré contre HBGary, demandant si c’était là la conclusion logique des différentes attaques en déni de service lancées par les anonymes durant les campagnes « pro-Assange ». Absolument pas, rétorque Denning, « La mise à sac de HBGary, comme une partie des attaques en déni de service, étaient totalement infantiles. Il serait totalement inexact de parler de « cyberguerre » et d’accoler des qualificatifs martiaux à une forme de protestation ». Chaque intervenant convient en revanche que les « anonymes »ont franchi une ligne qui séparait les mondes de la protestation active et de la délinquance.

C’est cette même attention aux distinguos sémiologiques que témoigne Bruce Schneier, lors d’une confrontation l’opposant avec Michael Chertoff, ancien Secrétaire du Homeland Security. Les mots de cyberguerre, de cyberespionnage ont une force, une puissance évocatrice anxiogène telle qu’ils sont utilisés à foison par tous les partis pouvant tirer avantages, financiers ou politiques, d’une telle situation. A l’heure où les principaux pays du bloc occidental se dotent de « cyber-command », il est logique que ce vocabulaire soit de plus en plus employé à tort et à travers dans les hautes sphères du pouvoir.

« Cet emploi insistant de superlatifs est renforcé, explique William Cheswick, par le sentiment de crainte que nous inspire notre propre dépendance aux nouvelles technologies. La crainte du cyberespionnage est d’autant plus importante qu’est grand notre sentiment d’impuissance et de vulnérabilité provoqué par l’adoption aveugle (ou précipitée, donc souvent irréfléchi)- des technologies internet. Et cela ne risque pas de disparaître, continue Cheswick,car malgré l’assurance d’un renforcement formidable des mesures de protection et de sauvegarde que nous promettent les « nouvelles nouvelles technologies », notamment le Cloud computing, nous sommes tous conscients que ce risque augmente proportionnellement à l’accroissement de la concentration des ressources ».

San Francisco, RSA Conference : Longtemps, Scott Charney, VP du Trustworthy computing chez Microsoft, a milité en faveur d’une stérilisation des postes de travail infectés par un malware. Forme d’eugénisme binaire ou de malthusianisme du réseau qui aurait pu être assurée par les fournisseurs d’accès, point de passage et de contrôle idéal situé entre Internet et l’usager. Mais, reconnaît-il cette année, il peut survenir certaines situations d’urgence qui ne peuvent souffrir le temps nécessaire à l’installation de quatre rustines et d’une mise à jour d’antivirus. « Si une personne doit appeler le 911 (numéro d’urgence aux USA) pour prévenir d’une attaque cardiaque, un filtrage ou une mise en quarantaine peut avoir des conséquences dramatiques » admet Charney. En outre, le fait d’imposer, sur chaque poste de travail, la présence d’un agent ou d’un mécanisme de surveillance, même sous prétexte de sécurité, est perçu comme une atteinte à la vie privée par bon nombre d’internautes.

Il faudrait, espère-t-il, que la sécurité de tous soit prise en compte par les différents acteurs du monde IP, et que le message « passe » grâce à une valorisation de l’idée de sécurité. Une forme de sécurité communautaire impulsée par les principaux acteurs du marché. Et de citer, outre la suite d’outils maison de tests de salubrité, l’exemple d’un banquier qui proposerait à ses clients des programmes de protection spécifiques, lesquels seraient davantage perçus comme un service supplémentaire bénéficiant directement à l’usager que comme une contrainte flicarde contraignante.

Ce changement de méthode ne modifie en rien la vision de Charney concernant les postes infectés : ils sont aussi dangereux pour la communauté des autres machines connectées à Internet que ne l’est un fumeur vis-à-vis de ses voisins. La propagation virale est l’équivalent numérique du tabagisme indirect répète-t-il. Il s’agit là d’une image qui a l’avantage d’être simple à comprendre et l’inconvénient de simplifier la question de fond. En considérant l’usager comme incapable d’être responsabilisé et en cherchant à lui imposer des tuteurs techniques pouvant « légitimement » agir sur sa machine, Charney persiste dans sa vision paternaliste d’un Internet affairiste et libéral. Si cette approche peut résoudre aisément des problèmes courants de « salubrité publique », elle peut soulever de sérieuses questions d’indépendance et de libre arbitre pour des responsables de petites structures, les professions libérales et autres travailleurs indépendants.

Gavin Thomas, du Microsoft Response Team (MSRC) semble être un admirateur inconditionnel d’Ignace de Loyola. Et c’est avec un art consommé des circonvolutions jésuitiques qu’il nous explique pourquoi, y compris dans les rustines ne corrigeant officiellement qu’une seule faille référencée au CVE, il puisse se trouver un ou plusieurs autres correctifs non documentés. Ce sont des « silent fixes », comme il existe déjà depuis longtemps des « silent releases » de Windows et des « silent features » glissées au détour d’un Service Pack.

Car, nous explique Thomas dans son Introduction à la Vie des Bugs, il y a des trous officiels et des défauts inconnus. Inconnus du public plus exactement, mais découverts notamment par les équipes internes de Microsoft. Or, un bug « maison » reste « maison ». Pour des raisons assez ténébreuses d’ailleurs, très probablement liées à un vieux réflex propre à tous les éditeurs et qui consiste à ne pas alourdir les statistiques des problèmes de fabrication. Peut-être également parce que, dans la collection de failles exploitables que chaque éditeur découvre et met de côté pour diverses raisons (y compris les plus patriotiques visant à l’éradication des dangereux cyber pédophiles poseurs de bombes), il s’en découvre d’autres dont l’indice d’exploitation ne dépasse pas la moyenne. De la faille bas de gamme qui ne connaîtra jamais le « remote », du trou sur console locale nécessitant une lourde « interaction utilisateur » ou pire encore, pas d’exploitation du tout. Des « mauvais trous » de cinquième catégorie qu’il est préférable de combler discrètement, pour ne pas trop attirer l’attention des amoureux du reverse. Voilà pourquoi ces bugs silencieux succombent sans la moindre oraison, sans la plus petite mention au panthéon des trous, sans le moindre titre de gloire ou la plus infime évocation au détour d’un bulletin d’alerte. Ayons donc, chaque second mardi du mois, une pensée émue pour ces petits, ces obscurs, ces sans-grade qui trépassent dans le plus sordide des anonymats pour la plus grande gloire du sacro-saint ost du Trustworthy computing. Amen

Beaucoup de bruit autour d’une faille publiée via le Full Disclosure par un dénommé Cupidon 3005. Faille pouvant autoriser un heap overflow à distance sous Windows, et considéré comme critique par Vupen ou moyennement critique par Secunia. Généralement, les administrateurs épanouis protègent leur accès smb (couche réseau directement concernée par ladite faille) derrière un solide firewall. En l’absence d’exploitation « dans la nature », il est peu probable que Microsoft envisage la publication d’un correctif « out of band ».

Les habitués du monde de la sécurité retiendront de cette histoire que la liste Full Disclosure donne encore quelques rares signes de vie.

San Francisco, RSA Conference : Le petit monde de la défense périmétrique est entrain de vivre ses derniers instants. Demain, aujourd’hui déjà dans certains cas, la sécurité elle aussi va se virtualiser, se vendre sous forme de services et quitter sa dépouille logicielle ou matérielle. Si la chose ne surprend personne dans le domaine des grandes entreprises, elle reste encore difficilement concevable dans la sphère PME/Soho. Et pourtant, la virtualisation des protections du poste de travail isolé est une certitude pour tous les éditeurs et équipementiers présents.
Les premières avancées sont timides, et se focalisent essentiellement autour de la protection des transactions financières (e-commerce, consultation bancaire…), la gestion d’identité ou l’échange de documents (où commence le dlp, où s’achève le périmétrique virtuel ?).
Les premiers à parier sur la virtualisation orientée « endpoint » sont les jeunes pousses traditionnellement réunies dans l’espace « innovation sandbox » de la RSA Conference.

Sandbox 1 : Entersec, transaction bancaire sans « token »
Nom : Entersec.

Nationalité : US (Alpharetta, GA)

Site : Entersecmobile.com (http://www.entersectmobile.com/)

Métier : Entersec a développé une « solution de PKI » utilisant un téléphone (terminal mobile GSM) en guise de générateur de code d’identification. L’échange entre le site consulté et le terminal utilise une liaison IP chiffrée et non un SMS qui pourrait être intercepté ou détourné dans le cadre d’une attaque MIM. Le logiciel embarqué utilise, affirment les ingénieurs d’Entersec, 4 couches différentes de chiffrement et un générateur de clef aléatoire. Les mécanismes de chiffrement sont constamment échangés. La clef à usage unique ainsi obtenue est utilisée en « second facteur » d’authentification.

Sandbox 2 : Pawaa, le format Zip du chiffrement
Nom : Pawaa software

Nationalité : Inde (Bangalore)

Site : www.pawaa.com

Métier : Pawaa est avant tout un format de fichier pivot dans lequel est chiffré tout document destiné à être transmis ou exposé sur le réseau public via un service Cloud par exemple. Outre le chiffrement, le format intègre un certain nombre de règles de politique de sécurité (interdiction de copie, de couper-coller, de modification etc.), qui seront interprétées à leur tour par le « client » Pawaa installé sur le poste du destinataire ou du poste consultant. Le procédé peut séduire tous ceux qui souhaitent utiliser une messagerie publique type Hotmail ou Gmail sans compromettre leurs politiques de sécurité. Pour l’heure, les clients de chiffrement/déchiffrement sont prévus pour les plateformes Windows. Une version Android est à l’étude. Le principal reproche que l’on pourrait adresser à ce programme est son orientation très « poste de travail » et ses carences en termes d’administration centralisée. C’est en revanche une approche « légère » et orientée poste de travail qui pourra convenir à des architecture comptant essentiellement des postes mobiles connectés épisodiquement à un serveur d’entreprise.

Sandbox 3 : Quaresso : chiffrement de session web
Nom : Quaresso

Nationalité : US (Austin TX)

Site : www.quaresso.com

Métier : Protect On Q est un ensemble logiciel (serveur, agent de session sur le poste client, console d’administration) chargé de protéger une session Web contre toute tentative de détournement d’information. Les attaques de type MIM sont évitées grâce à un chiffrement de la session en cours, elle-même déchiffrée par un agent éphémère ne fonctionnant que dans le cadre de la session concernée (lequel agent est téléchargé du serveur à chaque début de session). L’agent se charge également des menaces locales, puisqu’il intègre un détecteur de keylogger et de capture d’écran. La fin de la session s’achève avec le suicide de l’agent. Les zones d’échange, cookies etc. sont également chiffrés. La partie serveur s’installe sous Tomca 6, l’agent nécessite ActiveX ou JRE 1.4.2 et une version d’I.E. 6 à 8. A noter que cette architecture de protection par session peut fonctionner avec le front-end web d’un serveur Citrix Netscaler. L’atout principal de Protect On Q est probablement sa console d’administration et, par le biais d’ycelle, la possibilité de définir des groupes possédant chacun des contraintes de sécurité qui leur est propre.

Sandbox 4 : Invicea, le navigateur solitaire
Nom : Invincea

Nationalité : US Fairfax, (VA)

Site : www.invincea.com

Métier : Encore une protection utilisant un navigateur web en guise de couche d’isolation. L’on en comptait déjà 3 différentes lors de l’Innovation Sandbox de la RSA Conference de 2009. Mais là s’arrête la comparaison. Invincea utilise effectivement un Internet Explorer conventionnel, mais qui est installé à l’intérieur d’une VM et non pas seulement d’une version « sandboxée » par une segmentation mémoire particulière. Du coup, même en admettant que les mécanismes internes de protection par analyse comportementale arrivent à défaillir, l’attaque est circonscrite à la VM. Laquelle peut aisément être détruite, puis remplacée par une version « fraîche » et intacte. Le comportement d’un code agressif est systématiquement enregistré par un syslog situé soit sur le serveur d’administration, soit, en cas de coupure réseau ou d’utilisation en mode déconnecté, dans un fichier situé dans un espace protégé. La VM est également utilisée pour exécuter les lecteurs de fichiers PDF, fort appréciés ces temps-ci par les amateurs d’exploits. Seule ombre au tableau, le lancement du navigateur (I.E. pour l’instant, une version adaptée à Firefox est en préparation) prend un temps non négligeable lors de la première session.

San Francisco, RSA Conference : l’étude semestrielle de M86 est franchement teintée de pessimisme. Un pessimisme reposant sur des constats techniques. A commencer par la récupération du code du Troyen Zeus par le père du Troyen SpyEye. Séparément y sont déjà pas drôles, j’suis pas pressé de connaître leur numéro de siamois pourrait-on paraphraser. Le spam s’écoule à une vitesse vertigineuse ? C’est pour mieux cibler ses victimes et déployer des trésors d’inventivité dans le domaine du phishing. Notons que cette remarque est parfaitement vérifiée en France, pays très largement épargné par le hameçonnage durant ces dernières années (comparativement aux pays anglo-saxons et hispanophones), et qui, depuis bientôt un an, voit ces tentatives d’escroquerie se raffiner de plus en plus : les fautes d’orthographe, les erreurs de syntaxe, les jeux de caractères ésotériques ont pratiquement disparu des campagnes sévissant sur notre territoire.

Les «kits d’exploits » deviennent de plus en plus « pro », de plus en plus robustes, continuent les chercheurs de M86. Les techniques de compromission également. Si, début 2010, les cocktails d’attaque les plus efficaces utilisaient une combinaison Flash/javascript, la composition a évolué en un mélange Flash/Adobe Reader lors des 6 derniers mois de l’année. Une partie de l’étude s’attache également à une nouvelle forme de compromission des identités employées sur les réseaux sociaux, vols généralement commis à l’aide de grossières (mais efficaces) ficelles tressées avec de véritables fibres d’ingénierie sociale. Dans l’ensemble, l’analyse de M86 est très factuelle, et ne nous promet pas une éternelle et encore très virtuelle vague d’infection des appareils mobiles ou une cyberguerre aussi dévastatrice que les bombardements d’Hiroshima et de Nagasaki réunis.

Le tout dernier « livrable » du Clusif est consacré aux changements apportés par PCI 2.0. A noter quelques assouplissements concernant la conservation de certaines identités, certaines incertitudes en matière de virtualisation …