avril, 2011

Après Apple, et son iPhone inquisiteur, après Android avec son logiciel-Torquemada qui renvoie les Google-car au rang des technologies cromagnonesques, voici le flicage Microsoft (cela faisait longtemps). Scoop signé C-Net News. Comme la géolocalisation est propre à Windows Phone 7, le système d’exploitation, la FirmeDeRedmond entraîne dans sa chute Dell, HTC, LG, Nokia et Samsung. La question existentielle du mobilonaute moderne n’est donc plus « qui dois-je éviter pour ne pas me faire tracer », mais « quel acteur du monde des smartphone n’installe pas de mouchard dans ses appareils ? » Chaque jour, le choix se réduit comme peau de chagrin, ce qui fait se demander aux chercheurs du Sans « n’est-il déjà pas trop tard ? »

Nos confrères de C-Net avancent toutefois une excuse, quelque peu bancale, qui justifierait cette habitude bigbrotheriste : il est nécessaire que chaque appareil puisse émettre à périodes régulières les coordonnées exactes (ainsi qu’un identifiant unique) pour anticiper les informations à fournir demandées par des applications « contextuelles ». Afin de fournir à l’abonné, par exemple, une liste exhaustive des restaurants et édifices publiques situés à proximité de l’appareil. Pourtant, de telles applications, relativement économes en mémoire d’ailleurs, existe depuis la genèse de Windows CE (Microsoft Street par exemple). Des programmes qui, il y a plus de 15 ans, disposaient déjà d’impressionnantes bases de données, dont celles du Zagat Survey (les Gault et Millau d’Outre Atlantique). Une mise à jour périodique et générale, totalement anonyme, permettait à ces logiciels « non communiquant » et initialement non prévus pour tourner sur des terminaux 3G, d’offrir lesdits services hors ligne, et ceci, rappelons-le, sur des appareils dont l’espace mémoire se comptait parfois en kilo-octets… et non en dizaines ou centaines de giga-octets. D’autres explications plausibles ?

Le FBI se lancera, dans les semaines à venir, à une vaste opération de désinfection à distance visant les machines touchées par le botnet Coreflood. Pour peu bien sûr que les systèmes en question aient préalablement été identifiés par le Ministère Américain de la Justice et que les victimes aient donné leur accord, nous apprend Network World. Cette action, très discutée dans les milieux de la sécurité, fait suite à la récente prise de contrôle par la police de cinq C&C pilotant le botnet Coreflood. Aux Etats-Unis, toute action des services Fédéraux cherchant à concurrencer la libre entreprise ou grignoter les prérogatives du secteur privé est considéré comme un interventionnisme insupportable et une dérive cryptocommuniste. Des policiers qui se transforment en service antivirus cloudifié… comment diantre vont réagir les Symantec, McAfee et proches cousins d’Amérique ?

Les serial-killers virtuels, les champions de Formule 1 numérique, les Rambo digitaux sont en deuil : Le réseau PlayStation Network a été piraté entre le 16 et le 19 avril dernier, compromettant la bagatelle de 77 millions de comptes et provoquant la fermeture dudit réseau pour inventaire. L’éditeur tente, par le biais d’un FAQ, de jouer la transparence et rassurer ses clients, en répétant qu’il n’y a jusqu’à présent aucune preuve que les données bancaires des usagers aient pu être atteintes. Données, précise l’entreprise, qui seraient de toute manière chiffrées et non accompagnées du code CVV. Ce qui, ajoute Sony, doit inciter les clients du PSN à se montrer très prudent et à redouter des attaques en social engineering ou des opérations de phishing dans les jours à venir.

Cette aventure survient peu de temps après que Sony ait essuyé les feux d’une attaque des « anonymous », cyber-justiciers expéditifs qui entendaient protester suite au procès engagé contre le « hacker de la PS3 », le célèbre GeoHot. L’affaire s’est, depuis, conclue à l’amiable.

L’histoire rappelle également une autre affaire de hack qui n’a jamais été totalement éclaircie, celle du piratage de certains comptes du réseau Microsoft Live, dénoncée par Kevin Finisterre, père du « month of Apple Bug », et l’un des premiers chercheurs en sécurité à s’être intéressé aux attaques Scada.

Cette fuite d’information digne des plus grandes heures de l’époque CardSystems fait sensiblement remonter les statistiques en la matière. Lesquelles statistiques, nous rappelait récemment le rapport Verizon, étaient en chute libre depuis un peu plus d’un an. Ce sont les vendeurs de DLP qui vont être contents.

L’an passé Raoul « Nobody » Chiesa prenait les participants de HES à rebrousse-technologie, en se lançant dans un long descriptif du hacking des réseaux X25. Changement de ton cette année, avec un exposé sur le « profilage des hackers de la scène internationale ». Hackers entendu dans le sens de membres pratiquants de l’intrusion non-autorisée et de l’infection mal tempérée. Des méchants, donc ? Les choses étaient encore claires il n’y a pas si longtemps. Mais depuis quelques temps, tout le monde joue au virus, à l’attaque en déni de servie, au vol d’identité et d’informations. L’image du pirate en T-Shirt opérant depuis un sous-sol obscur est peu à peu remplacée par celle de l’intruder en complet Armani, du saboteur en treillis-rangers et du détourneur de botnet en uniforme bleu. Les attributs et les avatars qui distinguent le grand banditisme sauce cyber, la truanderie financière informatique, les armées des grandes puissances combattant à coups de NTIC et les services de techno-police deviennent indistincts si l’on se limite à la seule analyse des outils et des techniques.

Etude comportemental et profilage d’autant plus intéressant qu’il est le fruit d’un travail effectué par une communauté de chercheurs, services de police, hommes de loi, spécialistes de la finance, tous réunis sous la bannière de l’Unicri, division « anticriminelle » de l’ONU. C’est là l’un des rares organismes dont les métriques peuvent être considérées comme objectives, détachées de toute influence mercantile ou politique, de toute influence économique.

Le principal du travail de recherche à l’Unicri, explique Raoul Chiesa, consiste à replacer la cyberdélinquance dans un contexte criminel général, à côté du trafic de drogue et d’êtres humains, et d’en expliquer les liens étroits. Et de citer en exemple les gangs Nigérian et Roumains qui ont envahi la région Turinoise : Les premiers sont spécialisés dans le trafic de cocaïne, les seconds dans la prostitution et les « skimmers » de distributeurs automatiques de billets. Sous la pression de plusieurs organisations policières, les truands Roumains ont revendu leur activité DAB aux Nigérians, en se faisant payer en cocaïne, laquelle est écoulée auprès de la clientèle des réseaux de prostitution. Les circuits économiques sont toujours interdépendants, continue Chiesa. Ils conduisent parfois à des rebondissements inattendus… Ainsi, toujours dans la région de Turin, toujours en effectuant des écoutes téléphoniques pour surveiller le trafic de cartes de crédit des Nigérians, la police a intercepté une conversation laissant clairement entendre que le réseau en question trempait aussi dans le trafic d’organes. Un marché de la chair humaine plongeant ses racines dans le vol d’identités bancaires et l’industrie de la fausse carte de crédit.

Sur le plan organisationnel, les techno-truands ne sont que le back-end d’une structure, sous les ordres d’un centre de commande mafieux tout à fait traditionnel. Seul, le blackhat n’est rien. Son talent (celui des développeurs d’exploits, d’organisateurs de botnets, des diffuseurs de spywares, des récupérateurs de données collectées par les rootkits ou les attaques en drive by download), ne sert à rien s’il n’est pas parachevé d’une part par un armée de « mules » chargées de récupérer l’argent du monde réel, et d’autre part par une organisation de blanchiment efficace. Des structures telles que celle du RBN (ndlr Russian Business Network, réseau mafieux de la région de St Petersbourg) ne peuvent que progresser, car elles offrent un avantage inégalé pour ses membres : le braquage sans risque physique direct. Un peu comme un militaire pilotant son drone ou aux télécommande d’une action de cyberguerre : impunité garantie. Et gains croissants et assurés, si l’on considère le taux de croissance de l’informatique dans le monde et le nombre croissant également de victimes potentielles. Pour l’heure, le marché du cybecrime tel que chiffré par l’Unicri peut être résumé de la manière suivante : 1 milliard de dollars grâce au vol d’identité, 1,5 milliard sur le créneau des produits pharmaceutiques contrefaits et 250 millions via le business de la pédopornographie. Pour l’heure, une « paille » comparé aux quelques 105 milliards du trafic de drogue –héroïne-cocaïne- entre les différents continents. Mais un chiffre toujours croissant, et une activité dont on ne soupçonne pas toujours l’étendue. La délinquance financière des grandes entreprises (falsification de comptes d’exploitation, les implications politiques, cyberhacktivisme, le vol d’informations technologiques, cyber-espionnage international ou corporatiste), les abus de biens sociaux divers, l’intérêt croissant que portent les armées des grands « blocs » (Chine, USA, Russie, Europe) pour ce qui concerne le développement d’armes logicielles ou de bombes réseau… la typologie est encore loin d’être achevée, le travail de l’Unicri en général, et celui de Raoul « Nobody » Chiesa ne fait que commencer.

Les inscriptions au concours JurackerFest, organisé à Delémont (26-27 août), sont ouvertes aux équipes souhaitant participer à cette « nuit du hack jurassique ». 50 CHF par participant

Le C&esar est, de loin, le plus important des cycles de conférences « sécurité des applications sans fil » Français. L’édition de cette année se déroulera du 28 au 30 novembre prochain, dans la salle du Triangle à Rennes. La montée en puissance de la téléphonie mobile « intelligente » (dont le volume dépasse désormais celui de l’informatique personnelle traditionnelle), l’arrivée des tablettes et autres nouveaux terminaux, la naissance annoncée des futurs réseaux flexibles produisent un mélange détonnant, celui d’un réseau de plus en plus complexe utilisé par une clientèle ne maîtrisant pas toujours ces outils techniques et confondant parfois, souvent même, les frontières d’usage et de sécurité séparant le domaine privé de la vie d’entreprise.

C’est dans cette perspective qu’est ouvert l’appel à communication du C&esar 2011. La date limite de soumission est fixée au 5 juin prochain et la sélection des articles sera annoncée aux auteurs dès le 30 juillet, pour une remise au propre définitive le 15 octobre. Les thèmes retenus sont « classiques et contemporains » :

La problématique des objets communicants (ordinateurs portables, tablettes, assistants personnels, smart phones, etc.), de leurs applicatifs et de leur origine (équipement privé ou professionnel)

La mobilité des données

Le partage d’objets communicants entre usagers

Les menaces liées à la mobilité de ces systèmes (en particulier celles liées à la localisation)

La problématique des systèmes embarqués et mobiles, qu’ils soient dans les véhicules (automobiles, avions, trains, etc.) ou sur les personnes (dispositifs de contrôle de santé, de surveillance, etc.)

Les outils de sécurisation (chiffrement, contrôle d’accès, etc.) spécifiques au nomadisme

La gestion de parcs d’équipements hétérogènes

La gestion des utilisateurs nomades (ainsi que des identités associées)

La problématique des technologies réseaux propres à la mobilité (hétérogénéité, infrastructures de support, réseaux mobiles de terrain, etc.)

Les politiques de sécurité adaptées au contexte de mobilité

La protection de la vie privée

Cisco émet deux bulletins d’alerte, le premier corrigeant 3 risques d’attaques en déni de service du protocole SIP, 2 possibilités d’attaques transverses, et deux injections SQL potentielles. Le second bulletin concerne un scénario d’attaque par avalanche de paquets ICMP dont la conséquence serait le redémarrage intempestif des Wireless Lan Controlers (WLC séries 2100, 526, NME-Air et NM-Air)

Essai transformé : avec sa seconde édition, Hackito Ergo Sum confirme que c’est là LA conférence Parisienne orientée « sécurité TIC » qu’il ne faut manquer à aucun prix. Tant par le niveau des présentations que pas sa coloration internationale. Se sont rencontrés là des chercheurs en provenance des USA, d’Italie, d’Israël, de Russie, du Brésil, d’Allemagne, de Grande Bretagne, de Norvège… patchwork faisant regretter peut-être l’absence de chercheurs Français qui semblent jalousement réserver leur savoir pour les SSTIC Rennaises. Un amour immodéré pour les soumissions en LaTeX ? L’un des rares orateurs Français sur la scène Hackito était Eric Freyssinet, Lieutenant Colonel de la Gendarmerie Nationale, chef de la division de lutte contre la cybercriminalité, qui ouvrait la conférence et venait expliquer dans les grandes lignes le cadre juridique Français en matière de délinquance numérique, ainsi que les moyens humains et techniques apportés par les forces de l’ordre. La présence d’un Eric Freyssinet parlant à un parterre d’experts venus du monde entier est probablement l’une des plus belles reconnaissances de sérieux donné à cette édition d’HES 2011 …

Certaines des conférences données à l’occasion, pour certaines, sont la reprise « revue et augmentée » de causeries déjà tenues à d’autres occasions. Allocution très remarquée donc d’une « légende masquée », Marc « Van Hauser » Heuse, que les amateurs de la chaîne de streaming CCC TV (qui retransmet les Chaos Computer Conferences) ont pu déjà entendre sur le sujet : les vulnérabilités, potentielles et avérées, du protocole IPv6. Cela fait bientôt 5 ans que Mark Heuse traite de ce sujet… 5 ans que des perfectionnements sont apportés au protocole, 5 ans qu’apparaissent aussi de nouvelles vulnérabilités, dont certaines liées à ces fameux perfectionnements.

Aussi amusante qu’intéressante, la démonstration de Mate Soos, de Security Research Lab, qui a pris pour prétexte le cracking des clefs de voitures à RFID (Hitag2) à l’aide de Sat Solver, utilisant en partie les travaux de Karsten Nohl. Au prix de la Bentley, même les démonstrations mathématiques les plus ardues deviennent intéressantes.

Hack matériel encore, avec une passionnante causerie de Kevin Redon et Ravishankar Borgaonkar sur le reversing des femtocell GSM, ces microcellules privées destinées à étendre un réseau d’opérateur dans les zones d’ombre. Les deux chercheurs sont parvenus à r00ter certaines de ces microcellules, dont une de SFR, et ainsi sniffer le trafic non seulement des utilisateurs légitimes et propriétaires de l’appareil, mais également de tout terminal pouvant passer à proximité. Une grande partie des trous de sécurité exploités appartiennent à la catégorie des « erreurs d’implémentation », et sont donc susceptibles d’êtres rapidement corrigées. Il reste qu’à la vitesse où évoluent les techniques et les réseaux d’opérateurs, le nombre de failles au niveau des équipements (transpondeurs, cellules, terminaux, infrastructures, routage, chiffrement et translations de protocoles) laisse aux chercheurs un terrain de jeu encore en friche… et pour longtemps.

Les autres conférences relevaient plus du royaume de l’abstraction mathématique et du secteur logiciel. La musique des sphères a probablement atteint son paroxysme avec l’exposé de Sébastien Tricaud, qui pose, d’entrée de jeu, une question science-fictionnesque : comment détecter une tentative d’attaque (un sondage de port par exemple, donc quelque chose qui relève plus du « risque » que de la « menace ») lorsque l’on doit surveiller le trafic d’une région, voir d’un pays tout entier ? Passons sur les modèles mathématiques abstrus, et attachons-nous à la représentation graphique des flux qui, avec la « méthode Tricaud », permet de distinguer et isoler un comportement anormal d’une montagne d’information consignée dans les « logs ». C’est là une première approche, explique le chercheur, mais elle nous montre la voie vers de nouvelles techniques d’analyse comportementale, explique l’auteur. Dans le flux d’un backbone, une simple interrogation de port passe inaperçue. Mais la même interrogation incrémentée de 1, qui, discrètement, vient frapper à chaque point d’entrée IP réponde à une signature qui peut être mise en équation. C’est le prélude probable d’une attaque qui, en temps normal, ne serait jamais remarquée par un administrateur. Tout l’art est de savoir bien configurer les enregistrements de logs et de modéliser les comportements des flux. Même les personnes les plus hermétiques aux modèles mathématiques peuvent comprendre, peuvent « voir » à quoi pourrait ressembler le tableau de bord d’un administrateur de demain …

Le magazine Der Spiegel nous entraîne dans une fantastique carambouille, celle des « véritables faux Euros Chinois ».

Chaque année, expliquent nos confrères, des tonnes de pièces de monnaie sont retirées de la circulation, trop usées ou trop abîmées pour continuer leur vie fiduciaire. Des pièces qui sont passées au pilon, et dont les déchets sont revendus au poids du métal au « mieux offrant », fût-il non Européen.

Or, il semblerait que ce passage au pilon ne faisait que séparer les parties centrales et périphériques des pièces bimétalliques de 1 et 2 euros… ce qui inspira immédiatement un acheteur de « pièces détachées » de l’Empire du Milieu, lequel se spécialisa dans la reconstitution de ces moins que monnaies (ou sous-sous) en véritable sur-argent sonnant et trébuchant. Encore fallait-il trouver acheteur faisant bon accueil pour ces écus éculés (un ECU étant une European Currency Unit). C’est là qu’entre en scène la Banque Fédérale d’Allemagne, la seule acceptant d’échanger de vieux sequins non pas contre de vieille cuirasse, mais pour une contrevaleur en Euros frais.

Le plus étonnant, c’est que cette pratique durera de 2007 à 2010, période durant laquelle 29 tonnes de ferraille ont été rachetées au prix fort, soit une perte sèche de 6 millions d’Euros pour la Banque Fédérale d’Allemagne. Pour éviter toute possibilité de suspicion, les asiates ferrailleurs employaient des « mules » Teutonnes, généralement des employés de compagnies aériennes telles que Lufthansa, qui jouaient les porteurs de valises entre Pékin et Bonn. Ce qui, au passage, réalisait une certaine économie sur le transport des effets. C’est précisément le poids anormal des valises desdites mules volantes qui a provoqué la suspicion des gabelous Germaniques et conduit à la découverte du pot aux roses… ou du pot à oseille devrait-on dire.

Monnaies ou ordinateurs, l’art de « dé-commissionner » un bien ou un équipement dépend à la fois des techniques de destruction ou de reconditionnement employées ainsi que des acheteurs potentiels du produit neutralisé. L’on a longtemps glosé sur les disques durs et les photocopieuses bradées sur eBay et dont le contenu pouvait s’avérer très indiscret s’il tombait entre de mauvaises mains. Mais personne n’aurait pu imaginer que nos chers, très chers (au moins 6 millions d’Euros pour le coup) Eurocrates et überbankers ne soient jamais allés au cinéma et n’aient vu l’un de ces navets rocambolesques parlant de billets périmés volés puis réinjectés dans le circuit. De telles histoires mettant en scène des Grands Argentiers sûrs de leurs faits et dogmatiques en diable expliquent peut-être un peu mieux des affaires comme celle des « APT de Bercy ».

La quatrième minute de paranoïa ordinaire nous est offerte par nos confrères de Tom’s Guide, qui sont parmi les premiers à annoncer les récentes décisions techniques de la Commission Hadopi : Les « chasseurs de pirates » viennent de faire passer légalement la possibilité d’intégrer dans chaque « box » d’opérateur un logiciel de tenue de log enregistrant les moindres faits et gestes des internautes, fichier pouvant être, sur simple suspicion, consultable à distance par n’importe quelle organisation privée à but lucratif (alias un « ayant droit »). Avec cette nouvelle feuille de route, la Commission Hadopi est parvenu à rendre caduque une vieille idée démocratique qui remonte à 1789, celle de la confidentialité des correspondances privées. Bien sûr, cette mesure n’affectera en aucune manière les pirates « industriels » qui, depuis belle lurette, utilisent des clients P2P externalisés à l’étranger et s’y connectent par le biais de VPN solidement chiffrés. Un détail technique qu’aucun membre de la commission ne peut ignorer, ce qui laisse clairement entendre que ces histoires de piratage ne sont qu’un prétexte futile.

Par le plus grand des hasards, la Haute Court de Justice de Sa Gracieuse Majesté (celle qui marie son petit-fils) vient au même moment de rendre son oukaze obligeant British Telecom et un autre fournisseur d’accès à Internet, TalkTalk, à bloquer eux-mêmes les contenus jugés illégaux. Et ce malgré les nombreux appels et recours effectués par les deux FAI. En Bretagne Grande, le Digital Economy Act soutenu par quelques éditeurs de musique a permis au Ministère de l’Intérieur d’établir un filtrage efficace sans pour autant avoir eu à invoquer des prétextes tels que la lutte anti-terroriste, un peu trop éculé et surexploité de l’autre côté du Channel.