mars, 2011

Le S.F. Examiner rapporte qu’une nouvelle technique d’escroquerie à la carte de crédit semble se répandre sur la Côte Ouest ; le hack des distributeurs à la colle. Le principe de fonctionnement est simple : les escrocs repèrent un DAB équipé à la fois d’un clavier de commande et d’un écran tactile. Ils bloquent ensuite, avec quelques gouttes de colle cyanoacrylate les touches « entrée » « annuler » « interrompre l’opération » de l’appareil. Après avoir introduit leur carte de crédit dans l’appareil puis, conformément aux instructions, entré le code PIN d’identification de compte, les victimes sont alors incapables de poursuivre leur opération de retrait, ni même de récupérer leur carte. Le temps qu’elles pénètrent dans la banque pour effectuer une réclamation et obtenir la restitution de leur carte, les voleurs ont achevé l’opération à l’aide de l’écran tactile, retiré l’argent et pris la fuite. La situation de stress dans laquelle se trouve le possesseur de carte au moment où l’appareil refuse de répondre est telle qu’il ne pense pas à utiliser l’interface digitale. C’est là une attaque relevant plus de l’ingénierie sociale que du hack technique. Bien entendu, si cette technique était utilisée en France, les services de communication des principales banques ne manqueraient pas d’en informer le public comme elles en ont l’habitude …

Une vulnérabilité du moteur Webkit,également utilisé par RIM, exposerait les utilisateurs de Blackberry à des risques d’attaques distantes. La faille, explique le bulletin d’alerte, possède un indice CVSS de 6.8 (catégorie critique) et a fait l’objet d’une preuve d’exploitation à l’occasion de la dernière CanSecWest, lors du concours P0wn20wn. La seule mesure de mitigation consiste, pour l’instant, à désactiver Javascript sur tous les terminaux, en attendant qu’une rustine soit « poussée » par l’éditeur. Le bulletin d’alerte intègre une série d’URL pointant sur des pages explicatives traitant de la désactivation de ladite fonction javascript selon les différents modèles commercialisés (Torch, Style, Bold, Curve et Perl). Une autre possibilité évoquée consiste à désactiver purement et simplement le navigateur via l’administration BES… mesure efficace mais quelque peu expéditive.

Art Coviello, l’espace d’une lettre ouverte, rédige lui-même le bulletin d’alerte : nos serveurs ont été piratés, et une partie des informations « spécifiquement en rapport avec les produits d’authentification à double facteur Secure ID ». Et de préciser que tel quel, ce vol ne compromet pas directement les usagers mais pourrait être utilisé dans le cadre d’une attaque d’une plus grande envergure. En attendant, les mesures de protection des systèmes d’information de l’entreprise ont été renforcés etc.

Une telle opération ne peut être que le fruit d’une attaque hautement sophistiquée… une de ces fameuses « APT » ; ou Advanced Persistent Threat. RSA ne peut succomber sous les coups d’un petit intrus de quartier. Et puis, comme le fait remarquer un billet de Securosis, APT, ça fait tout de suite penser à la Chine, ce qui permet de jouer les victimes se concentrant sur le pansement de ses plaies et se dédouanant de toute responsabilité. Une concentration qui évite à EMC d’être plus explicite sur la nature de l’attaque, l’étendue, le risque exact encouru pour les utilisateurs de tokens… le moins que l’on puisse dire, c’est qu’Art Coviello a rédigé une lettre « ouverte » aussi fermée et informative qu’un discours d’homme politique en pleine période électorale.

Ce qui ne semble pas du tout déranger une grande partie des médias anglophones, BizSmart joue à Couper-Coller, Network World reste dans le flou, SearchSecurity se garde de tout jugement, et le Sans publie une note journalière quasi-télégraphique comme cela est d’usage. Et ainsi de suite. En revanche, Richard Bejtlich reprend en partie l’argument de Securosis : le terme APT masque un peu trop ce qui s’est réellement passé sur les ordinateurs de RSA. En revanche, l’ancien « gourou sécu » de l’USAF reconnaît qu’il y a là effectivement des indices prouvant que l’attaque pourrait bien relever d’une véritable APT : parvenir à dérober des technologies d’authentification afin de pénétrer plus facilement sur certains serveurs et ainsi avoir accès à la « propriété intellectuelle » de la victime n’est pas une tactique nouvelle (Stuxnet notamment, dans un tout autre registre, utilise aussi des certificats dérobés). Espérons que nous en apprendrons un peu plus lorsque de l’eau aura coulé sous les ponts, conclut Beijtlich. Il n’est pas le seul à attendre un complément d’information.

Cette semaine est placée sous le signe du scorpion ascendant curare pour Adobe et Apple, les erreurs de l’un n’étant pas sans conséquence pour l’autre.

Sept jours à peine après une chaude alerte à la faille Flash (exploitée via des feuilles Excel intégrant une applet Flash et expédiées en pièces attachées), Adobe publiait, 4 jours plus tard, une version revue et corrigée de son logiciel. Réaction suivie par une grande partie des éditeurs ayant intégré ce code et qui ont émis à leur tour des correctifs. Et parmi eux Apple, qui en profite pour émettre son lot de rustines trimestriel, et pas l’un des moindres. Au total, 7 mises à jour cumulant 250 CVE. Certains bouchons de sécurité comptent 62 CVE. Même les plus charnus des « cumulatifs I.E. » de Microsoft n’ont jamais atteint un tel niveau. Certes, très souvent, un même CVE se retrouve dans plusieurs rustines, l’une pour IOS, l’autre pour OS X par exemple. Mais, comme le fait remarquer François Paget sur le blog de l’Avert, cela représente tout de même 123 failles uniques pour une période de 3 mois. Un score plus ou moins comparable à celui d’un Microsoft ou de tout autre éditeur de noyau. Reste que, si l’on se concentre sur le degré de dangerosité des failles, il apparaît qu’à période équivalente, Apple colmatait 123 trous « critiques » contre 8 « critiques » et 20 importantes pour Microsoft. Le niveau de criticité est issu des classifications données par Vupen, Secunia et Microsoft. La dangerosité d’une faille et ses méthodes d’évaluation sont des points de rhétorique souvent discutés par les experts du milieu.

Pour en revenir à l’attaque « Flash exquis, feuille Excel et fichier explosif », l’on peut se pencher sur le papier édité par Broderick sur le blog de F-Secure. Du côté de Microsoft, on attend toujours une solution « FixIt » qui pourrait s’intituler « éliminez-moi donc ces fonctions totalement inutiles ». A moins que l’on parvienne à expliquer l’absolue nécessité d’une intégration Flash dans une feuille de calcul.

A lire, l’interview de Greg Hodlund (la cible des Anonymous dans l’affaire HBGary), rédigée par Robert Lemos. Passions et règlements de compte.

Skybox Security est un éditeur spécialisé dans la gestion et l’administration des firewalls. L’étude que cette entreprise vient de publier est donc partielle, partiale, mais soulève tout de même quelques interrogations.

Les « enquêteurs » de Skybox ont profité de la récente RSA Conference de San Francisco pour interroger une cinquantaine de RSSI participants. 42% d’entre eux ont déployé plus de 100 passerelles de filtrage réseau, 67% déclarent utiliser des équipements hétérogènes, de marques différentes (tant par « héritage » que pour des raisons de sécurité). 54% des sondés avouent que la gestion de ces firewall occupe 5 personnes à temps plein en permanence, et 21 % seulement des personnes interrogées déclarent utiliser des automates de gestion de FW.

Mais le plus intéressant est à venir…. 15% des RSSI questionnés ont déployé des « Firewalls de nouvelle génération »… 27% envisagent de le faire dans le courant de l’année. La granularité plus fine des gestions de droits offerte par ces NGFW pose deux types de problèmes : d’une part un accroissement de la charge de travail pour les personnes déjà chargées de l’administration « manuelle » des firewall, et d’autre part le mariage de ces appareils avec ceux de plus ancienne génération. Les politiques de sécurité et profils définis entre ces deux générations d’équipements posent quelques problèmes épineux de correspondance et de standardisation.

Habituellement, l’inscription aux Sstic relevait un peu du jeu du mouchoir : seuls ceux qui faisaient preuve d’une rapidité de réaction foudroyante et qui surveillaient en permanence le site web de la manifestation pouvaient réserver leur place et avoir une chance d’y participer.

Cette année, pour la première fois, le top départ sera donné façon « 24H du Mans » : tout le monde est prévenu, la billetterie électronique sera ouverte le 23 mars à 9H. La ruée risque d’être encore plus acharnée, et il y a bien des chances, avec ce principe, que toutes les places soient arrachées dans l’heure qui suivra. L’information sera également relayée par Web, agrégateur Atom, compte Twitter (http://twitter.com/sstic#) et mailing list… L’on aura été prévenu.

Les XSS sont sur le point d’être dépassés par les fuites d’information (64 % des sites frappés), loin devant les risques de spoofing de contenu (43%) ou de forgerie de requêtes en cross site (24 %). La majorité des sites Web dans le monde est affectée par au moins une vulnérabilité différente par jour. Constat certes pessimiste, mais qui s’explique par la frénésie de perfectionnements, d’améliorations fonctionnelles et d’enrichissements divers que l’on apporte en permanence aux serveurs Internet. Ce constat est dressé par un récent rapport publié par White Hat (inscription obligatoire), entreprise dirigée par le célèbre Jeremiah Grossman. Cette fièvre d’enrichissements (et les vulnérabilités nouvelles qui l’accompagnent) est souvent plus rapide que ne le sont les campagnes de conception et de déploiement de correctifs. La fenêtre de vulnérabilité qui caractérise chaque site est donc accrue, ce qui permet d’estimer à 9 mois par an (270 jours) la « période de faillibilité moyenne » d’un site. Fenêtre d’autant plus difficile à réduire que certains bugs de conception dépendent d’applications écrites « à façon », donc non standard et ne pouvant bénéficier d’un correctif d’éditeur prêt à consommer. L’Owasp a encore bien du chemin à parcourir.

Les 15 pages du rapport fourmillent de métriques, notamment sur les temps de déploiement de patch par secteur industriel. En volume de failles « sérieuses » (exploitables) , c’est le secteur de la distribution qui est le plus touché, avec une moyenne de 404 « trous » par an, suivi par le secteur de la finance (266 failles) et des télécoms (215). Les secteurs « sensibles » sont plus prompts à balayer devant leur porte. Ainsi, dans le domaine bancaire, cette « moyenne annuelle des trous » tombe à 30, à 33 dans le secteur médical, 111 dans le milieu IT… et 35 seulement dans le domaine de la production industrielle.

A noter également que les risques en fonction de l’activité sectorielle peuvent varier du tout au tout. La proportion d’attaques potentielles en brute force ou en injection SQL est bien plus importante dans les secteurs bancaire, IT, distribution et finance que dans les domaines de l’éducation, de la santé ou des produits manufacturés.

Le Reg rapporte les résultats édifiants d’un sondage réalisé par l’ICO (les anges-gardiens de la vie privée en Grande Bretagne), et se penchant sur la sécurisation des réseaux sans fil familiaux : Deux Britanniques sur cinq n’ont aucune idée des procédures à suivre pour modifier les réglages sécurité de leurs routeur sans fil. Sur un échantillonnage de 2000 adultes, il apparaîtrait même que 16 % d’entre les sondés sont incapables de dire si oui ou non leur réseau WiFi est sécurisé. Manque de clarté des documentations émises par les FAI, absence de règles écr
ites sur les « politiques de mots de passe » déplore l’ICO. On retombe, estiment nos confrères du Reg, dans le syndrome de « l’impossible programmation du magnétoscope ».

En France, où existe fort heureusement le délit d’incompétence informatique et où chaque individu est tenu responsable d’une non-protection de ses routeurs, l’on a pu, depuis l’adoption de la loi Hadopi, constater une très forte augmentation des serveurs RADIUS installés dans les foyers Français, l’enseignement de Wireshark dans les écoles primaires et les maisons de retraite est devenu obligatoire, et chaque Ministre maîtrise désormais parfaitement les arcanes du remplacement du protocole WAP au sein d’un firewall OpenOffice. Pauvres Gibis, qui devraient prendre exemple sur nous …

Une partie de la correspondance échangée entre une société d’assurance-crédit et Bank of America a été volée par des anonymes, puis diffusée sur différents canaux de diffusion public. Les courriels de l’entreprise ciblée, Balboa Insurance, dévoileraient des irrégularités commises par la société afin d’accélérer les procédures de saisie-expulsion. Ces saisies concerneraient des dossiers provenant des affaires anciennement traitées par IndyMac et Aurora Loan Services, deux grands cabinets de prêt hypothécaires ayant fait faillite. IndyMac était un spécialiste des opérations de prêts usuriers dont le dépôt de bilan remonte avant la crise des subprimes. Il avait fait l’objet de différentes accusation pour pratiques frauduleuses, usure, et avait été poursuivi en « class action » par des associations de consommateurs. Aurora était une filiale du défunt Lehman Brothers.

Bank of America, par la voix de la BBC Online notamment, dément toute pratique frauduleuse et considère les accusations des anonymes comme étant « extravagantes ». Du côté des anonymes, l’on sous-entend que cette première fuite d’information pourrait être suivie d’autres vagues de diffusion de données… menace qu’avait déjà proféré Julian Assange, fondateur de Wikileaks peu de temps avant son arrestation, et qui n’a pas été mise à exécution. S’agit-il là des mêmes documents ? Pour l’heure, il y a considérablement moins d’information dans les « révélations » des anonymes que dans un des films de Michael Moore.

Sur le thème de la fuite de données, continuons avec « l’affaire du siècle », la fuite de données qui aurait fait trembler le Quai d’Orsay (0,5 sur l’échelle de Richter : la publication d’un appel d’offre public relativement abstrus). Cedric Blancher revient sur ce ténébreux scandale et décortique… les mécanismes informatiques qui permettent à nos fonctionnaires de transformer un document classé « confidentiel » en un formulaire « public », par simple masquage au noir des parties sensibles. Mais contrairement à ce qui se pratique sur Cryptome (qui numérise des documents « papier » déjà expurgés par un véritable feutre indélébile) nos doctes Serviteurs de l’Etat persistent à effectuer un « raturage informatique », qui ne masque rien si l’on connaît un tant soit peu la structure du format de fichier PDF.

Si les documents publiés aux USA sur Cryptome en vertu du « freedom of information act » sont dévoilés avec une attention soigneuse, ce n’est pas le cas des fichiers de Health Net, un fournisseur de services sous-traités spécialisé dans le traitement de dossiers d’assurance médicale aux Etats-Unis. Cette fois, nous apprend un communiqué de l’entreprise, ce sont 1,9 million d’identités qui auraient disparu. Noms, adresses, informations médicales, peut-être même informations bancaires ou financières… La faute à quelques disques durs baladeurs dont on ne retrouverait pas la trace, et qui, en toute logique, auraient dû se trouver quelque part dans un datacenter géré par IBM. L’alerte a été donnée par les techniciens de Big Blue. Généralement, ce genre de perte accidentelle ne débouche qu’exceptionnellement sur des usurpations d’identité, mais les obligations d’avertissement auprès de chaque victime potentielle et l’impact à l’image de marque coûtent relativement cher à l’entreprise fautive.