mars, 2011

La semaine passée, pas une seule « mailing liste » de sécurité, pas le moindre « twit » francophone n’a manqué de propager la nouvelle : le passage du décret concernant la « conservation des identifiants » sur internet, relatif à la LCEN. L’avis de l’Arcep, publié au J.O. du premier mars, s’étonne de certaines obligations de conservation, telles que les caractéristiques de la ligne de l’abonné, la nature de l’opération, le mot de passe ou données permettant de le vérifier ou de le modifier ou encore certaines données relatives au paiement. L’Autorité fait également remarquer le flou certain entretenu autour de la notion de « création de contenu des services » qui exige du fournisseur de services responsable une estimation toute « personnelle » des données devant être conservées ou non. En outre, l’Autorité fait remarquer que le texte semble couper court à toute possibilité de compensation financière par l’Etat du travail supplémentaire étranger aux activités des personnes mentionnées.

Les professionnels, pour leur part, s’émeuvent de certains passages difficilement interprétables, notamment sur tout ce qui concerne la conservation des « mots de passe » (hachage ou mot de passe en clair) ou des informations en clair permettant l’accès aux données en cas d’enquête (article 1/3). Décryptant ce langage juridique, un intervenant de la Gendarmerie précisait, sur l’un desdits forums, que cette formulation ne changeait rien aux obligations actuelles. En d’autres termes, la conservation du hachage suffit, mais certaines applications mal écrites utilisant un mot de passe « en clair », la conservation dudit mot de passe en l’état est nécessaire… par défaut de construction pourrait-on dire. Et d’ajouter « Cela ne change donc rien pour aucun hébergeur sauf sur les durées de conservation et l’accès à ces données pour les enquêtes liées au terrorisme. » *

*ndlr : ces propos, bien que tenus sur une liste publique, sont publiés sous le couvert de l’anonymat, la rédaction n’ayant pu joindre l’intéressé dans les délais imposés par la publication.

IWeek Gov décrit les grandes lignes de ce qu’est l’actuel « poste de travail du barbouze américain moderne » au sein de la NSA. L’Agence Fédérale de Sécurité Nationale n’utilise plus qu’un poste standard sous VMware, simplifiant ainsi les problèmes de compatibilité logiciels et matériels. Il s’appellera HAP, pour High Assurance Platform. Les tests de qualification concernant les ordinateurs retenus dans les marchés d’Etat en sont ainsi grandement simplifiés.

Mais VMware n’est pas la seule mesure de protection du poste des agents. Ladite machine virtuelle, ainsi que l’accès à celle-ci, est inféodée à une couche de sécurité reposant sur le TMP de l’ordinateur. Un composant qui ne se contente pas de conserver les clefs de chiffrement et les authentifications, mais qui héberge en outre toute une série de profils matériel, firmware et logiciel caractérisant la station. A chaque ouverture de session, ce « portrait-robot numérique » est comparé à un profil stocké sur un « serveur d’attestation » central, qui autorise ou non le lancement de la session. On est bien au-delà d’une simple encapsulation dans une machine virtuelle ou de l’intégration de deux ou trois techniques de sécurité genre VM+NAC+TPM.

Le projet n’est plus tout jeune et a déjà, depuis au moins ces trois dernières années, subi un certain nombre de perfectionnement. L’actuelle version du HAP est essentiellement « durcie » au niveau de l’infrastructure de gestion (provisionning automatisé des machines, gestion des clefs centralisée, administration distante), des communications (VPN) et des configuration locales : prise en compte de VM multiples, chiffrement etc. Les futures évolutions du poste virtualisé-sécurisé devraient permettre de prendre en compte les contenus et documents.

Il en aura fallu du temps, pour pouvoir enfin bénéficier d’un véritable virus sous Androïd, et non un vulgaire Troyen tem Geimini qui n’était connu qu’en Chine. RootCager est un vrai malware, un dur, un tatoué qui peut enfin justifier l’achat d’un logiciel de protection. Des millions de licences renouvelables annuellement… qui donc ne rêverait pas de cette thébaïde pour éditeurs en mal de reconversion ? Mais revenons à Rootcager. Bien qu’également venu de l’Empire du Milieu, il s’est un tantinet plus internationalisé que son cousin. Ainsi semble en témoigner la liste des « appliquettes » contaminées recensées par Symantec dont toutes ne portent pas de titres en Cantonais. Ledit Troyen est un récolteur d’information (numéros IMEI et IMSI nous apprennent les experts) doublé d’un downloader. Une aubaine pour les vendeurs d’antivirus, qui rament depuis des années en tentant de refourguer du périmétrique pour terminal mobile. Chacun y va de son analyse ou de son billet de blog. Kaspersky, F-Secure nous offrent deux articles sur le sujet, et même le Sans émet un bulletin.

Mais le boutiquier du périmétrique qui parvient à la plus paradoxale des conclusions est sans conteste Vanja Svajcer, de Sophos qui, après une brève analyse du malware, en conclut « The openess of the platform and the availability of alternative application markets makes Android-based devices more difficult to secure ». Autrement dit, s’il y a moins de virus sur iPhone, c’est uniquement parce que le système d’exploitation et les kits de développement d’yceluy sont totalement propriétaires et fermés. L’ennemi, c’est l’ouverture, la tare c’est la mise à disposition publique des mécanismes système et surtout la possibilité de laisser entrer n’importe quel développeur en chambre dans le cénacle des Grands du Logiciel. « Un droit d’entrée de 25 $ seulement pour avoir le droit de publier une application pour Android, c’est la porte ouverte à tous les dangers » continue Svajcer. Probablement comme la majorité des applications sous Debian ont représenté un danger potentiel car n’offrant strictement aucune ségrégation par l’argent. Et l’auteur de continuer : « cette situation me rappelle Windows il y a quelques années. On se demande si l’histoire n’est pas en train de se répéter ». Rappelons qu’il y a précisément quelques années, les contraintes d’orthodoxie d’écriture et les interdictions d’injection de code en « ring zéro » par Microsoft, au moment de l’arrivée de Windows Vista, avaient provoqué une levée de boucliers de la part de ces mêmes éditeurs d’antivirus, sous prétexte que ces contraintes les empêchaient de « bien » faire leur travail. Depuis, il a bien fallu faire avec les UAC.

L’adoption d’un smartphone est un choix… et un compromis. Sans ouverture, pas ou peu d’évolution, avec ouverture, l’on s’expose à un certain niveau de risques qui peuvent être en grande partie maîtrisés par l’adoption d’une politique de sécurité sérieuse.

Patchera, patchera pas ? Les hackers du monde entier se posent, amusés, la question. L’on parle ici des véritables hackers, des techniciens confirmés, des chasseurs de failles de haut vol, des inventeurs d’exploits « éthiques » qui assisteront au prochain concours P0wn20wn qui se déroulera durant la prochaine CanSecWest, du 9 au 11 mars prochain à Vancouver. Comme de tradition, ce sont les navigateurs qui serviront de cible.

Côté Microsoft, la chose vient d’être annoncée dans le tout récent « pré-bulletin » d’alerte : il n’y aura pas ce mois-ci de quasi traditionnel cumulatif I.E. le 8 mars, veille du concours et jour du « patch Tuesday ». Le fait est d’ailleurs assez inhabituel pour qu’il mérite d’être signalé.

Google, de son côté, colmatait Chrome il y a moins de 8 jours avec 19 bouchons et Apple émettait des correctifs supprimant 16 failles menaçant Safari. Mais le 3 mars, un nouveau chapelet de bulletins long comme un jour sans pain –une cinquantaine de CVE !- sécurisait à son tour iTune… Lequel iTune utilise des composants communs à Safari, et plus particulièrement le fameux WebKit, qui à lui seul est à l’origine de 30 failles répertoriées. Il y a fort à parier que l’impact médiatique du concours P0wn20wn fasse passer quelques nuits blanches à l’équipe Sécurité d’Apple et qu’un flot de correctifs en découle avant la date fatidique. L’on doit noter qu’un grand nombre des CVE sont revendiqués par la Team Sécurité de Google. Un Google dont le navigateur utilise également WebKit. Ce qui laisserait penser que les 19 failles comblées l’ont été avec l’assurance d’une certaine primeur.

A la Fondation, la mise à niveau de Mozilla s’est également effectuée le 3 mars, fermant ainsi la porte à 11 CVE d’un coup.

En mars, 3 bulletins, pas un de plus, nous promet la « notification préalable » du MSRC Microsoft. Une alerte jugée critique, les deux autres importantes.

Le correctif critique concerne les stations XP à Seven, les serveurs n’étant pas affectés. Les deux autres alertes portent sur la « fuite d’information » MHTML, de fin janvier, et qui n’avait pu être intégrée dans le précédent train de rustines de février. L’autre bulletin s’adresse aux utilisateurs de l’environnement P2P Groove, le bébé de Ray Ozzie, sans autre forme d’information.

En Australie, pays plus réputé pour la qualité technique de ses usines de kangourous que pour la qualité de sa bière, les patrons d’estaminets se prennent de plus en plus pour des Ministres de l’Intérieur (en activité ou chômage récent) : ils imposent à leur clientèle une prise d’empreinte digitale et le scan d’une pièce d’identité à l’entrée de leur établissement, nous apprend le quotidien SMH. Le tout, comme c’est souvent le cas et pas seulement en Australie, accompagné d’un dress code assez strict pour justifier le refus d’un videur sans risque d’encourir la moindre poursuite pour délit de sale gueule ou discrimination. Mais « çà », c’est presque plus « normal »…

Les identités ainsi collectées numériquement sont, dans certains cas, concentrées sur des serveurs, conservées 28 jours durant (es règles PCI-DSS sont plus strictes que cela) voir indéfiniment si l’intéressé « fiché » est répertorié comme trublion notoire. Une qualification qui, on s’en doute, ne dépend que de l’appréciation du personnel de l’établissement, probablement assermenté et réputé pour sa probité morale et son sens élevé du respect de la personne humaine. Tim Pilgrim, le « Federal Privacy Commissioner » du gouvernement, avoue ne pas avoir le pouvoir d’enquêter sur ce genre de pratique, faute de lois appropriées. L’une des entreprises sous-traitante chargée de cette collecte d’informations précise pourtant que ces identités sont « partagées sous forme d’une liste de fauteurs de trouble, que cette liste soit locale, à l’échelon de l’état, voir nationale ». Comment est-on passé du « Paulo, j’t’appelle un sapin, rentre chez toi, ta femme t’attend » à une infrastructure de flicage pesant probablement plusieurs millions de dollars et entretenue par une milice privée ?

Fort heureusement, en France, de telles choses ne peuvent arriver, puisque nous sommes protégés par notre vaillante Cnil. Les récupérations de données biométriques et d’identités effectuées sans demander l’avis des personnes intéressées sont strictement interdites. Ou alors un tout petit peu lorsque l’intéressé passe devant une caméra de vidéosurveillance, pardon, protection. Ou lorsqu’un opérateur exige la copie d’une carte d’identité pour vendre un abonnement téléphonique, sans préciser la période de rétention de ladite information ni ses conditions de stockage et chiffrement. Ou peut-être lorsqu’une compagnie aérienne impose la communication d’un numéro de carte de crédit associé à un numéro de passeport, dans le seul but de le transmettre aux services de renseignements d’une puissance étrangère. Ou lorsque… non, franchement, ce serait médire que de penser à ces détails, lorsque ces petites contraintes qui nous aident chaque jour à lutter contre les pédo-terroristes cybervioleurs récidivistes (et réciproquement).

Un employé du service informatique de British Airways arrêté pour avoir collaboré à l’élaboration d’attaques terroristes fomentées par des extrémistes Yéménites, rapporte le Guardian …

Mars (la guerre) qui entre en conjonction avec le signe de la Faille et du Malware sera bénéfique toute la première partie du mois pour les chasseurs de vulnérabilités et les amateurs de fuzzing. GNU Citizen leur apprend la renaissance du projet BeEF le Browser Exploitation Framework qui, comme son nom ne l’indique pas, a été totalement réécrit en Ruby… ce qui facilite par ailleurs son intégration dans Metasploit. C’est donc là une impressionnante collection d’exploits visant les clients http, sujet on ne peut plus à la mode.

Ludovic Courgnaud, pour sa part, rappelle l’existence de XSSFramework, encore une plateforme, mais destinée celle-ci à montrer les dangers des attaques XSS. Et, ho surprise, XSSF s’intègre dans Metasploit. Le sujet n’est pas très « grand public » et Ludovic Courgnaud parvient à expliquer avec des termes simples, sans jargon, les origines et les dangers des attaques en « cross site scripting ». Dangers grandissants avec la généralisation d’appareils mobiles « intelligents » s’appuyant sur des systèmes d’exploitation vulnérables. Tout çà est sur le blog de Conix, en Français, d’une limpidité remarquable : à imprimer et à utiliser dans le cadre des documents de « sensibilisation »… tant l’article lui-même que l’utilisation de XSSF. A noter que les attaques XSS feront également l’objet d’une communication de la part de Nicolas Grégoire à l’occasion des prochaines SSTIC. On attend du « lourd » en la matière.

Les natifs placés sous le signe du Test de Pénétration, ascendant forensique, vont avoir de la lecture. Security4All signale deux initiatives intéressantes : l’une est un « repository » collectionnant les signets de tout ce qui se fait dans le domaine du test de pénétration Open Source. Après quelques jours à peine, la liste est déjà conséquente. L’autre initiative est celle du Penetration Testing Execution Standard, une tentative d’approche méthodologique des tests de pénétration. Voilà qui nous permet au passage de rappeler la journée du Honeynet projet le 21 mars prochain à Paris, dans les locaux de l’Esiea.

Tempête dans un cube de silicium, après cette communication très discutée sur les différentes listes « sécu » : les logiciels d’effacement de disque dur les plus sophistiqués (ceux-là même qui sont bénis par le DOD et autres agences à trois lettres) laisseraient intacts quelques pourcents de données. Certains aspects de la communication sont ardus, techniques et très argumentés, d’autres font sourire, tel ce passage expliquant que les chercheurs ont tenté de « dégausser » leurs disques silicium avec un électroaimant. A la rigueur, une décharge EMP, mais un champ magnétique… probablement une interprétation des technologies FET ?

Le problème de l’effacement d’une mémoire flash (ssd ou clefs usb) se présente lorsque le matériel est déconditionné et revendu d’occasion (ou récupéré en fin de période de location/leasing), ou lorsque le disque concerné doit être « débriefé » après un retour de mission, afin de ne conserver aucune information essentielle. Si l’on souhaite écarter la solution quelque peu radicale de la destruction physique du support par broyage, atomisation, réduction par l’acide, estrapade, noyade dans du béton ou incinération par aluminothermie, le chiffrement peut constituer un première parade contre le risque de récupération encore que, comme le précise l’étude, tout ne soit pas parfait en ce domaine, surtout si l’on utilise les « integrated cipher tools » dont l’intégration n’est pas toujours parfaite. Chiffrement qui en outre, dans certaines circonstances, peut s’avérer problématique (passage de frontières notamment). N’oublions pas également que cette technique a longtemps été quasiment interdite en France par la DCSSI, sous prétexte que ceux qui avaient quelque chose à cacher avaient également quelque chose à se reprocher, logique fleurant bon le libéralisme éclairé et encore en usage dans bon nombre de pays. C’est là un sujet digne d’entretenir de longues conversations durant les soirées d’hiver, et de nourrir pour les 5 ans à venir les communications forensiques des prochaines BH, SSTIC, CCC et autres HITB.