avril, 2011

Cette poussée de paranoïa-là nous vient d’un billet amusé rédigé par François Paget de l’Avert. Un billet sur la multiplication des fameux « drop box » ou boîtes à lettres mortes, ces clefs USB noyées dans le ciment des murs et qui offrent au passant tantôt un programme utile, tantôt l’œuvre complète de Balzac, tantôt un morceau de musique en Creative Commons… Ces boîtes d’échanges utopistes, estiment quelques experts anxieux (anxiété qui n’affecte pas particulièrement François Paget), pourraient servir de dépôt de fichiers pour le compte d’organisations terroristes. On ne prête qu’aux riches. Dans le meilleur des cas, ces USB bétonnées se transformeraient en vecteurs d’infection après compromission, touchant telle une peste rouge tous les ordinateurs coupables de connexion vagabonde.
Monsieur Paget possède une grande âme et fait preuve d’une gentillesse infinie… car d’autres ne se seraient pas gênés pour « balancer » les noms et titres de ces cassandres d’opérette. Un terroriste même particulièrement obtus et peu instruit n’a pas besoin de lire les avis de ces « experts » pour comprendre qu’il est préférable pour lui d’utiliser ses propres clefs USB et de les coller avec une simple bande adhésive sous le banc d’un parc, de les camoufler dans une poubelle publique au milieu de détritus divers, bref, de la transmettre de manière toute rationnelle comme l’aurait fait un Burguess, un Philby, un Hansen, un Ames ou la famille Walker. Car quel terroriste ayant plus de deux neurones en état de se connecter utiliserait un moyen de communication dont chaque « drop box » se trouve cartographiée sur Google Maps ? Quant à utiliser une « boîte à lettres » pour propager un virus, c’est là une idée tellement inefficace qu’elle n’a pu sortir que de l’esprit d’un éditeur d’antivirus en quête de nouveaux marchés.

La BBC nous apprend une chose horrible, une chose absolument abominable, une chose… comment la décrire avec objectivité sans en éprouver une terreur irrépressible ? En bref, le métro Londonien déploie des bornes d’accès WiFi gratuites. Que les âmes sensibles nous pardonnent, mais il faillait que les lecteurs de CNIS soient prévenus de cette incroyable nouvelle. Bien sûr, de brillants experts ont immédiatement réagi, en signalant que grâce à ces bornes d’accès, les terroristes pourront établir des communications avec leur base à l’aide de logiciels VoIP, que lesdites bornes d’accès pourraient également être utilisées pour déclencher à distance une bombe à fragmentation thermonucléaire et double arbre à came en tête. Ce que n’aurait certainement pas pu faire un simple téléphone GSM, car les « experts » londoniens en savent toujours plus. Pis encore, cette technologie permettra aux terroristes « d’utiliser leurs ordinateurs portables en guise de téléphone cellulaire » et ainsi faciliter le travail d’un « groupe terroriste du métropolitain ». Ça, c’est de l’Insider Underground New Wave comme on n’en a jamais connu. Et ceci sans tenir compte de la délinquance quotidienne que faciliterait un tel réseau : ce réseau WiFi, affirment les experts es-paranoïa, encouragerait les mécréants épandeurs de chevaux de Troie et utilisateurs intensifs de logiciels d’interception des communications, leur facilitant le travail et leur offrant chaque jour une manne de données à voler sur les ordinateurs portables des usagers réguliers, allant, jusque dans leurs bras, voler leurs données bancaires. Après l’APT, pour Advanced Persistant Threat, voilà l’APT, pour Abnormal Paranoïa in the Tube.

Enfer et damnation : Apple enregistre le moindre des déplacements de ses clients sous IOS. La preuve en image et en code grâce à iPhone Tracker, le logiciel open source (et non béni par Jobs) capable d’extraire cette accumulation de données de manière lisible. Car les coordonnées des gadgets Apple seraient enregistrées en permanence grâce à une application discrètement glissée dans le noyau, et les données collectées seraient même sauvegardées avec les données… Histoire probablement de faciliter le retour de l’appareil au bercail en cas de vol. Apple pense toujours à nous. La presse anglo-saxonne en général et Londonienne en particulier s’en émeut. Diable, un flicage de plus en ce pays qui compte presque autant de caméras de surveillance que d’habitants, voilà qui fait déborder la coupe de sauce à la menthe. Quelles sont les raisons purement marketing qui ont poussé Apple à se montrer encore plus indiscret qu’une GoogleCar WiFi ? Et surtout combien encore « d’easter Eggs » d’un tel calibre reste-t-il à découvrir dans les iPhones, iPads, Apple TV et autres appareils passés, présents et futurs ? Enfin, cet ennemi juré de l’empire Microsoft, qui, des décennies durant, a observé les travers et les techniques de son adversaire, semble avoir oublié la virulence avec laquelle l’ennemi en question a été conspué chaque fois qu’il tentait d’ajouter une routine de « traçage », un accessoire « antipiratage » ou un prétendu accessoire de sécurité un peu trop intrusif. Tant qu’Apple était soutenu par une secte d’adorateurs inconditionnels, ce genre d’indélicatesses pouvait encore être accepté. Mais depuis que la maison des « deux Steeve » s’est engagée dans la vente de biens de consommation grand public, elle ne peut plus compter sur l’adoration béate de sa clientèle et doit « faire avec » le regard critique des consommateurs normaux.

Annoncé en grandes pompes sur le blog de l’opérateur/fournisseur de services, le « databreach investigation report 2011 » de Verizon vient de sortir. De tous les rapports du genre édités par les éditeurs, c’est probablement l’un des plus mesurés et des plus sérieux. Cette année, outre les statistiques des Services Secrets US particulièrement riches dans le domaine des fraudes financières, le rapport 2011 intègre les données fournies par la brigade anti cybercrime Hollandaise. Ce rééquilibrage des données criminalistiques ne fait toutefois pas disparaître un certain éclairage américano-américain.

Première et principale constatation, les statistiques de ces fameux US Secret Services font apparaître une baisse drastique des « pertes de données » au cours de l’année 2006 : de 144 millions d’enregistrements volatilisés en 2009 à 4 millions « seulement » en 2010. Les conjectures vont bon train. Certains y voient un meilleur renforcement progressif des défenses des entreprises et surtout des grandes organisations gouvernementales et financières. D’autres expliquent ce phénomène par le fait que les attaques les plus fructueuses deviennent de plus en plus ciblées, se concentrant sur des données à très haute valeur ajoutée (ce serait donc l’une des origines de ces fameuses « APT », Advanced Persistant Threats). Bien sûr, lorsque des données ciblées échappent au contrôle d’une entreprise, l’on peut se demander à qui profite le crime. Et l’on est bien obligé de se rendre compte que ce ne sont pas toujours les Chinois qui sont derrière ces « APT ». De là à dire qu’il commence à se développer une forme de criminalité du monde du business qui ne serait que la traduction NTIC de l’espionnage industriel de papa, il n’y a pas loin à parcourir. Cette impression est d’ailleurs renforcée par les chiffres liés à l’analyse « qualitative » vs « quantitative » des vols : le « gros » des disparitions d’information (89%) est du fait d’un volume d’attaque très faible (27% des intrusions). Les 70% des attaques restantes ne sont responsables que de 11% des pertes de données. Il se dégage donc bien deux types de « datacrime », l’un très « old school », relativement extensif, ratissant large et rapportant peu, l’autre plus consciencieux et offrant un retour sur investissement appréciable.

A noter que si le volume des pertes de données a fortement diminué, le nombre des brèches de sécurité constatées n’a jamais été aussi élevé. Probablement en raison d’une systématisation des méthodes de tentative d’intrusion et de vol et au recours à des outils peu sophistiqués. Côté cibles, 94% des victimes faisaient partie des services financiers et 85% des attaques émanent de groupes criminels connus. Les techniques d’exploitation n’appellent que très peu de commentaires, tant elles sont classiques : infection du poste ciblé par une attaque genre « drive by download », puis installation d’un logiciels espion (backdoor, keylogger etc.) chargé de fouiller et récupérer des donnés financièrement intéressantes. Là encore, deux « vérités éternelles » sont napalmisées par le rapport Verizon. En premier lieu, 92% des pertes de données ont été provoquées par des « outsiders », les fuites internes ne représentant que 16% des vols d’information. Et tant pis pour les vendeurs de logiciels de flicage. Côté techniques d’extraction, 97% des fuites l’ont été par le biais de virus (portes dérobées, keyloggers etc. encore) « bidouillés », soit développés pour les besoins de la cause, soit modifiés par l’initiateur de l’attaque. Or, contre un malware original, point de signature, donc aucune chance pour que le programme voleur de données soit découvert par un antivirus. Et tant pis pour les vendeurs d’A.V. . Dernier détail relativement déprimant : la complexité des attaques ne risque pas de provoquer un nervous brèkedonne ou une commotion cérébrale aux cybertruands. Le rapport Verizon précise que 13% d’entre elles ne nécessitaient aucune connaissance technique, 28% plafonnaient au niveau « script kiddie » et 44% n’exigeaient qu’un niveau de connaissances minimum.

L’interprétation de ces chiffres peut donner naissance à des théories assez amusantes. Les pertes de données dans le secteur bancaire (France exceptée, cela va sans dire) a fait que la valeur du numéro de carte de crédit sur les places de marché mafieuses s’est fortement écroulée. La carte gold ne vaut presque plus un kopek, provoquant une sorte de dévaluation des cyber-butins, tout comme l’afflux massif de métaux précieux au début du XVIème siècle avait entrainé une crise économique mondiale sans précédent. Le recentrement des vols de données vers des cibles à haute valeur ajoutée et sur une plus faible envergure pourrait donc également résulter d’un réajustement socio-économique dans le monde de la cybertruanderie. Car les grands délinquants ont en commun avec les banquiers un formidable instinct de survie et un flair inné pour tout ce qui touche les flux monétaires et les moyens de les capter.

Pour Itzik Kotler, le cadeau le plus empoisonné que nous ait offert l’attaque Stuxnet, c’est le discret retour du « virus matériel ». Une thèse autour de laquelle s’étayait sa présentation, tranchant ainsi avec le Kotler de HES 2010, celui qui avait modélisé le premier « botnet sans C&C » (Centre de Commande et Contrôle). Alors, le virus qui détruit le « hard », fantasme technoïde ou nouvelle génération de malware ?

« Je ne dis pas que tous les virus cibleront un jour les équipements informatiques ou graviteront autour de l’informatique. Mais le précédent Stuxnet nous le fait bien comprendre : le code malfaisant capable de détruire ou de dérégler un périphérique ou un système existe. Et ce précédent risque d’en inspirer beaucoup. »

Examinons tout d’abord la « faisabilité » de ces virus matériel, continue Kotler. Dès que sont apparus sur le marché les premiers ordinateurs personnels, et ce bien avant que l’on puisse imaginer l’invasion des infections logicielles, il s’est trouvé des hackers, des chercheurs qui ont rédigé des codes potentiellement destructeurs. Des routines capables de persuader un lecteur de disquettes ou le bras d’un disque dur d’aller chercher des données sur des secteurs situés « au-delà » de la piste zéro, par exemple. Des bouts de code persuadant un registre que l’affichage d’un écran monochrome IBM devait s’effectuer en 800×600 (ndlr contre 640×480) : cette commande avait rapidement raison des amplis de déviation ligne, et le moniteur finissait rapidement par rendre l’âme. Par essence, ces programmes méritaient plus le qualificatif de bombes que de virus, leur déclenchement entraînait de facto leur propre mort. De nos jours, on ne compte plus les amateurs d’overclocking qui jouent tantôt avec les tensions d’alimentation, tantôt avec les fréquences des mémoires, des processeurs, des cartes graphiques… Bon nombre de ces paramètres nécessite une simple modification des variables Bios, lesquelles bien entendu peuvent être modifiées par un programme. Mal utilisés, ces paramètres peuvent irrémédiablement griller un ordinateur ou un composant vital. Parallèlement, les mécanismes de propagation d’une charge létale se sont singulièrement améliorés. Le malware peut « survivre » à la destruction de la machine porteuse s’il est véhiculé par une attaque en drive by download, un botnet ou un virus « USB+SMB » genre Stuxnet.

Voilà pour la partie la plus évidente. Mais l’on comprend vite les implications d’une telle évolution des menaces. Dans le secteur industriel notamment. Si, dans les années 70 à 90, les chaînes de contrôle de processus industriel étaient pilotées par des mini-ordinateurs contrôlant des automates programmables, les contraintes économiques et les obligations de rentabilité ont peu à peu fait remplacer ces minis par des micros… Des micros que l’on préfère changer lorsqu’ils sont fatigués plutôt que d’acquérir des modèles « durcis », des micros qui sont plus souvent que l’on ne le croit raccordés à Internet, des micros (Stuxnet nous l’a prouvé) qui ne sont guère plus protégés contre des attaques extérieures que n’importe quelle autre machine bureautique.

D’un point de vue technique, les logiciels de défense périmétrique classiques sont souvent impuissants face à ce genre de danger. Si le vecteur de propagation de Stuxnet pouvait être effectivement détecté et analysé, ce n’était pas le cas de la partie chargée de modifier les points de consigne de l’automate programmable visé : autre noyau, autre langage, autre protocole… rien qui ne puisse paraître suspect voir simplement connu par un antivirus moderne, un IPS ou un firewall classique. Cette attaque « par la bande » totalement hétérogène montre les limites des principes de défense utilisés en microinformatique.

CNIS : L’exception ne fait pas la règle et Stuxnet est pour l’instant un fait unique, dont on se demande encore s’il relève de l’échec, du vecteur de « guerre psychologique » ou de l’opération d’intoxication. Qui donc aurait intérêt à utiliser un virus « casseur de hard » ?
Itzik Kotler :On l’a supposé lors des attaques Stuxnet : des organismes gouvernementaux. Mais ce ne sont pas les seuls. Que l’on considère les statistiques des éditeurs ou ceux d’institutions officielles ou des multiples organisations policières occidentales, les attaques « ciblées » ont tendance à prendre le pas sur les invasions virales massives et aveugles. Pour les bandes mafieuses, c’est une manière d’optimiser les attaques et accroître des gains, ou plus exactement de « retour sur investissement » d’une location de botnet ou d’un développement de virus spécialisé dans le vol d’informations. Pour les Etats misant sur les actes de « cyberguerre » ou « cyberespionnage » (et tout ce que cela englobe) c’est le seul moyen de ne pas être noyé par un bruit de fond constitué de données sans importance. Pour certaines entreprises peu scrupuleuses, c’est un moyen de frapper un concurrent précis à un moment stratégique.

CNIS : … Malgré le risque d’une fuite « sur le tard » qui pourrait révéler leur implication et ainsi ternir leur image de marque et la confiance de leurs clients ?
I.K. : Sans le moindre doute. Ce qui était prudence jusqu’à présent s’efface aujourd’hui face à des politiques plus expéditives, plus radicales. Peut-être la conséquence de l’actuelle récession économique occidentale, qui force certains à durcir leurs actions. Imaginez, dans la course opposant deux entreprises concurrentes, que l’une d’entre elle voit la majorité de son système informatique rendu inutilisable à la suite d’une série de pannes matérielles ? Là, aucune possibilité de recours au backup salvateur.

CNIS : Le risque pourrait être mitigé en imaginant un partage équilibré des ressources de traitement chez un sous-traitant « cloud computing » ?
I.K. C’est une possibilité. Mais elle n’est pas nécessairement la plus fiable. Imaginez que je développe un outil capable de stresser un disque dur par des cycles de lecture-écriture incessants. Dans le cadre d’une informatique « cloudifiée », ce petit jeu affectera également tous les clients partageant la ressource matérielle commune. L’attaque a été conduite sans même avoir à pénétrer le S.I. de l’entreprise concurrente. Certes, c’est là une vision très schématique de ce que l’on peut faire dans le registre des attaques matérielles, et les résultats dépendent d’un nombre de facteurs assez important (type de disques, organisation au sein des grappes RAID, répartition et architecture du SAN de l’hébergeur…), mais je ne puis vous donner que cet exemple, souhaitant demeurer le plus imprécis possible pour ne pas inspirer trop de vocations chez les blackhats.

Itzik Kotler, ancien chercheur en sécurité au sein de l’entreprise Israélienne Radware, est depuis peu Chief Technical Officer et co-fondateur de Security Art, dont le slogan est « Going above and beyond traditional security ». L’an passé, lors de la précédente édition de Hackito Ergo Sum, sa présentation portait sur la conception d’un botnet ne nécessitant aucun C&C. Sa manière de penser « en dehors des sentiers battus » fait de lui l’un des principaux empêcheurs de penser en rond de la scène sécurité internationale.

Aperçu rapidement sur la liste DailyDave, cet appel signé Abhijeet Patil, appelant à télécharger le magazine Indien CHMag. Il s’agit d’une publication en langue anglaise, orientée « sécurité », et ratissant très large, comme l’explique son éditeur : du geek au newbie, du passionné à l’usager. Le numéro le plus récent aborde Firefox v4.x sous pratiquement toutes ses coutures. Tout çà est rédigé dans un anglais très clair, avec un style soigné, une érudition certaine et un constant souci de compréhension. A ne manquer sous aucun prétexte les rubriques « Mom’s Guide », qui sont de petits bijoux de vulgarisation intelligente, et la photo de Bruce Schneier enturbanné qui fait encore plus « gourou » que d’habitude.

Vif émoi, dans la soirée du 11 au 12 avril, au sein de la communauté d’utilisateurs d’Avast : rares étaient les sites Web accessibles, et manifestement l’antivirus gratuit semblait ne plus tellement apprécier les iFrames émis par les Oueb de France, de Navarre et d’ailleurs. Trois heures durant, les forums ont bruissé de pleurs et de grincements de dents, le temps que l’éditeur « pousse » une mise à jour un peu moins susceptible qui supprime ce « faux positif ». Ce matin encore, une requête Google comprenant les chaines « Avast » et « html:script-inf » (le nom du vecteur soi-disant détecté) affichait plus de 12 000 résultats.

Cette cécité partielle du Web provoquée par la détection d’une simple chaine de caractères ouvre des perspectives insoupçonnées en matière de politique économique et d’indice de « bonheur national brut ». Car la chose, c’est certain, pourrait être largement exploitée par les Sages qui nous gouvernent. Un nouveau fichier de signatures, et hop, plus de chaine de caractères comportant le mot « carburant » et « 2 Euros le litre ». Voilà bien des soucis en moins, car sans mot sur la chose, comment éprouver les maux de la chose ? Une mise à jour et l’on raye de la carte tous les sites qui mentionnent les termes « Elections », « 2012 », « centristes », « UMP », « PS », « FN » « Ecologiste » (rayer la requête inutile). Et ainsi de suite, au rythme des mots qui fâchent selon les tendances du moment et les visées d’un super Ministre des Antivirus et du Confort Publique. « Tiers provisionnel », « débat sur la laïcité », « indice du chômage », « Hadopiratage » (en deux mots, le placement de la césure est laissé à l’appréciation de la clientèle), « décret d’application de la LCEN », « Espionnage/Renault »… le bonheur serait simple comme un grep. Et puis, pensons aux éditeurs eux-mêmes. Disparus, les « rogue antivirus » et autres scarewares émis par des entreprises mafieuses, et donc incapable d’avoir en leur conseil d’administration, entre un CEO et un CTO, un RDG et un DGCCCS (Responsable du Dialogue Gouvernemental et un Directeur à la Gestion des Chaines de Caractères à Caractère Stratégique).

Hélas, nous ne sommes pas dans un monde parfait.

Le fait devient aussi banal qu’un trou I.E. : Flash Player 10.2.153.1* est encore affecté par une faille jugée critique par l’éditeur lui-même, commenté par Brian Krebs qui soupçonne fortement une exploitation du défaut, ce que confirme le billet du Sans : les mécréant de l’Internet utiliseraient comme véhicule un fichier Word intégrant du Flash, lequel, via son exploit, installerait une porte dérobée connue par certains sous le nom de Zolpiq.

Etrange, que tout çà. Il n’y a pas deux semaines, le coupable était une feuille Excel injectant, également à l’aide d’un contenu Flash, une backdoor « Poison Ivy ». S’agirait-il des mêmes méthodes utilisées par les mêmes fabricants de malwares ? Chi lo sa. Ce qui est certain, c’est que l’on ne pratique pas le fuzzing seulement dans les laboratoires de contrôle-qualité des éditeurs de logiciels. Demain, l’on entendra peut-être parler d’une attaque Flash sous PowerPoint, Groove, Outlook, Access, Publisher, Infopath, Picture Manager etc. Mais il faudra probablement attendre la version d’Office 2056 SP1 pour que l’on puisse voir apparaître une interface de gestion des « add-in » autorisés dans les programmes bureautiques en général et ceux de Microsoft en particulier.

Nul ne sait quand ce défaut Flash Player 10.2.153.1 sera corrigé. Il ne semble pas qu’Adobe envisage de publier un bouchon hors calendrier pour l’instant. Après tout, il ne s’agit que de la seconde faille « critique » (extrêmement critique même, estime Secunia) du genre.

Ndlc Note de la correctrice : croiseur touché. A moi, maintenant : Acrobat 12.9.5.7.314159… coup dans l’eau ?

Il vient à peine de rentrer au MSRC, et voilà qu’on lui confie les corvées les plus pénibles, à Pete Voss. A commencer par devoir rédiger le billet signalant la publication du « bulletin avancé » des correctifs Microsoft pour le mois d’avril. 17 bulletins, 64 correctifs. Dans le lot, l’on y trouvera un bouchon attendu depuis fin janvier, celui qui colmatera la fameuse et très médiatique faille MHTML signalée par l’alerte 2501696 et provisoirement isolée par un « fix-it ».

Sur l’ensemble, 42 correctifs sont qualifiés de « critiques », à appliquer le plus tôt possible. Le spectre des patches vise large : Windows, Office, Internet Explorer, Visual Studio, .NET Framework etl le GDI+.

L’Asic (Association Française des services Internet communautaires), regroupe non pas des citoyens inquiets de leurs libertés individuelles, mais des éditeurs (Microsoft, Google, FaceBook, PriceMinister, eBay) qui se sentent menacés par l’application de certaines lois Françaises visant l’usage d’Internet. Déjà, Hadopi avait essuyé les feux roulants des avocats de cette association, cette fois, c’est au tour du décret d’application de la LCEN et de l’obligation faite aux fournisseurs de services de conserver les logs de connexion et « marques » d’identification des visiteurs. La chose avait fait grand bruit début avril (voir l’article de notre confrère Marc Rees sur PC-INpact ou le rapport publié par le quotidien 20 minutes. Des arguments choc, parfois un peu trop globalisants ou inexacts (telle l’obligation de stocker les mots de passe des usagers « en clair » qui n’est qu’une « option » du texte de loi publié). Cette semaine, c’est au tour des médias étrangers et notamment la BBC Online de s’emparer du sujet. L’on est visiblement témoin d’une campagne de lobbying adroitement lancée par les équipe de Benoît Tabaka, secrétaire général de l’Asic et également conseiller juridique d’une des entreprises-membres de l’association en question. A noter, les réactions d’experts américains et français sur le blog de Bruce Schneier, qui recadrent le débat et reprennent les arguments déjà avancés le mois dernier au fil des « mailing list » sécurité d’expression Française.

Dans cette bataille qui oppose d’un côté des politiques défendant des avalanches de lois sécuritaires visant à « civiliser le far-west Internet », et de l’autre des entreprises cherchant à préserver à tous prix leur pré-carré libéral, il semble que l’on oublie un peu trop celui qui est directement concerné par ces dispositions et leurs applications : l’internaute, à la fois client, usager et citoyen.