mai, 2011

Vupen serait-il l’oracle qui dérange, le Calchas qui clame tout haut les vérités que personne ne veut entendre ? Depuis que l’entreprise Montpelliéraine a émis un communiqué vantant les mérites d’un exploit visant Chrome, la communauté sécurité s’est transformée en générateur aléatoire de réflexions éthiques profondes. Car les réflexions éthiques sont toujours profondes, surtout lorsqu’un chercheur avoue haut et clair ne pas souhaiter divulguer la nature d’un exploit. Du moins à ceux qui ne l’on pas acheté, le trou étant particulièrement réservé aux « acheteurs de services gouvernementaux » (aka espions, barbouzes et autres agents de renseignements).

Jusqu’à présent, cette pratique était connue, répandue, mais toujours occulte. Pour Brian Krebs, cette forme de divulgation sélective, cette sélection par l’argent interdit un colmatage de la brèche et donc… le risque que d’autres hackers moins scrupuleux (les « services spéciaux » seraient-ils eux-mêmes scrupuleux ?) puissent exploiter ladite faille. Google, de son côté, ne peut officiellement se porter acquéreur de la faille, ce serait admettre que la « l33t Prime » connaît deux poids, deux mesures… et une multitude de tarifs.

Côté Verizon, on parle d’extorsion caractérisée et l’on mélange, dans un joyeux concert, des histoires de brevets, de script kiddies… Verizon, grand opérateur, grand acteur du monde de la sécurité, n’aurait jamais été approché par des services de police ou de renseignements ? Voilà qui serait étrange. Mais peut-être est-ce en raison de la situation géographique de l’inventeur de la faille ? Le commerce des failles ne se limite pas aux seuls producteurs de logiciels de pentesting tels que Canvas et Core Impact. Chaque grande entreprise possédant un laboratoire de recherche travaille étroitement avec les différents services de police… alliance objective qui donne à l’un les renseignements techniques nécessaires à l’exercice de son travail, et à l’autre le coup de main et le muscle indispensable, parfois, pour que cesse l’activité d’un groupe devenu trop gênant pour l’économie numérique. Qu’il s’agisse des bureaux des CTO d’ISS, de Sophos, de F-Secure, de McAfee etc., l’on trouve toujours un diplôme, un certificat, un trophée portant l’estampille de la CIA, du FBI ou d’une autre agence, hochets offerts aux techno-geeks en remerciement des services rendus à la Nation. Quels services ? Sur ce point, les langues se délient rarement.

D’ailleurs, existe-t-il une morale du chasseur de failles lorsque ledit chasseur est lié aux lois du marché ? Inutile de fouiller dans les écrits d’André Comte-Sponville ou de Marx : il n’existe qu’une morale, celle du gain, celle de l’entreprise. Ce n’est pas de l’immoralité, mais de l’amoralité… nuance. Celle-là même qui faisait déclarer aux dirigeants de Symantec que leur devoir citoyen leur interdirait de détecter un « spyware d’Etat » tel que Magic Lantern. Vérité en deçà des Pyrénées, mensonge au-delà.

Propos plus mesurés pour Cédric Blancher, qui critique ouvertement le fait que la chose ait été portée sur la place publique. C’est là effectivement une « faute de goût ». Lorsque l’on fraye avec les services en marge de la légalité, cette attitude fût-elle dictée par la Raison d’Etat, on accepte de ne pas dévoiler les secrets de cuisine. Ils sont par nature et généralement assez peu ragoûtants et font partie du « non-dit » du milieu policier ou militaire. Il s’agit là, ajoute Cédric Blancher, d’un tout autre travail, qui ne mérite pas le qualificatif de « sécurité ». Les professionnels de la sécurité, eux, préviennent l’éditeur concerné, car la nature même du métier consiste à réduire la surface de vulnérabilité des systèmes des usagers et clients. Là, on peut parler de morale, d’éthique. Deux mots qui sont totalement inconnus dès que l’on franchit les territoires ténébreux des services spéciaux.

Pour Chaouki Bekrar, la question est un peu moins intellectuelle et se place sur le terrain de la rémunération du travail de chercheur. Un thème souvent évoqué par Charly Miller, Alex Sotirov et Dino Dai Zovi. Car le monde de la découverte de faille est un monde codifié, truffé de règles non-écrites, de menaces d’avocats, de risques de dérive mafieuse… un décalogue subtil, parfois contradictoire, qui pourrait s’énoncer ainsi

– La faille d’un éditeur jamais ne dévoileras à moins qu’une rustine celui-ci publie

– Les tarifs de ton trou jamais ne marchanderas, ou de maître-chanteur on te qualifiera

– Aux barèmes fixés par l’éditeur même tu te conformeras, car ce juge et partie des avocats aura

– Aux services de polices ton exploit donneras car patriotique toujours te montreras

– Certains sujets surtout tu sauras éviter. Un trou dans FlashPlayer n’est plus à disserter.

Et ainsi de suite…

Un exploit « post Stuxnet »

Une tendance pourtant semble échapper aux principaux observateurs du milieu. A moins qu’ils cherchent sagement à éviter d’aborder ce sujet si polémique : le précédent Stuxnet, la poussée médiatique des « APT », l’attitude des militaires américains au fil des dernières grandes conférences sécurité. Petit à petit, même la presse généraliste prend conscience que les « bugs » sont devenus des armes ouvertement employées par nos chères barbouzes, nos bien aimés flics, nos adorés militaires. Réelles ou fantasmées, les attaques des cyber-militaires en Géorgie, les pénétrations des espions Chinois dans les Ministères Européens ou Etats-Uniens, les discours bellicistes des Keynote-Speakers en uniforme prônant « a good offence as the best defense », certains indicateurs politico-militaires (notamment l’internationalisation des manœuvres CyberStorm, la concentration du CyberCommand US englobant la Navy, l’Usaf et l’Army…), tout çà indique que la militarisation de l’exploit binaire n’est plus un délire de journaliste ou d’auteur de polars. Et qui dit militarisation pense marchand d’armes, prix des munitions, contrats d’Etat. Dans cette optique, Vupen serait la version informatique de la Société Nationale des Poudres et Explosifs. Un métier qui, on s’en doute, ne « fournit pas », sans l’aval de son principal et unique client, de renseignements sur les détails de ses bombes. Reste que la SNPE ne diffuse pas ses vidéos publicitaires sur YouTube et préfère des médias plus discrets. La faute de Vupen se résume donc à un mauvais « faire savoir » plutôt qu’à un « savoir-faire » que personne ne condamne.

Cette position purement marchande est d’ailleurs confirmée par un rapide message de Chaouki Bekrar, patron de Vupen, qui déclarait récemment sur Twitter « We reported a pre-auth 0day we found in a SCADA srv. Yes, we report vulns for free when the affected vendor is not a multi-billion $ company ». La vente des failles est un business, avec ses règles et ses obligations marketing et promotionnelles.

NdlC Note de la Correctrice : Calchas (prononcer Calkass) était le devin très clairvoyant d’Agamemnon. Celui que la Belle Hélène appelait le Confident d’papa et le distinguait des cornichons qui, eux, sont confits dans du vinaigre.

Quelques twitts et reprises de blogs à propos d’un hack WiFi concocté par un étudiant de la Rice University (Houston, TX) : Ryan Guerra, souhaitant accroître le rayon d’action d’une liaison WiFi entre un appartement et un hot spot gratuit, s’est ingénié à construire un « downconverter » (en gaulois un mélangeur infradyne) sensé accroître la portée du système. Quelques détails techniques sont fournis sur le site Ars Technica (http://arstechnica.com/tech-policy/news/2011/04/extending-wifi-to-one-mile-thanks-to-empty-tv-channels.ars). De manière très schématique, le jeune hacker radio a converti le signal WiFi sur les anciennes bandes UHF autrefois réservées à la télévision, et qui ne sont guère plus utilisées que par quelques transmetteurs de caméras portables et autres microphones «HF ». Aux USA, cette bande a obtenu un statut de « bande citoyenne secondaire », ce qui veut dire qu’il n’est pas nécessaire de posséder une licence d’émission pour pouvoir l’utiliser, mais que certaines restrictions sont imposées. Notamment, chaque émetteur « WiFi UHF » doit être capable « d’écouter » la fréquence avant d’émettre et de cesser son trafic (ou changer de fréquence) si un transmetteur de télévision ou le signal d’un micro est entendu. Une détection qui dépasse largement la simple détection de signal radio, puisque le système doit pouvoir distinguer la nature du signal, analogique ou numérique, de l’occupant prioritaire. En cas de surdité caractérisée, il peut même être demandé que chaque transmetteur puisse être équipé d’un équipement GPS doublé d’une liaison Internet afin de connaître la position exact des derniers émetteurs professionnels à statut primaire encore en service et d’agir en conséquence.
Si la bande des 500 MHz offre effectivement des possibilités un peu plus intéressantes en matière de portée, elle est toutefois limitée par les lois de la physique. Le rapport débit/fréquence porteuse limite la bande passante exploitable au quart du débit PHY d’un équipement 2,4 GHz. Le « hack » de notre universitaire étant initialement prévu pour contourner un obstacle physique sur une distance d’un mile (1,6 km), une antenne directive avec un meilleur gain et un calcul d’équation de puissance en Nlos (liaison « non line of sight ») aurait largement pu éviter une suractivité cérébrale et électronique et garantir une exploitation confortable de la bande passante originelle. A cela s’ajoute un autre point en défaveur de la technique utilisée. Comme le montre une photographie de nos confrères américains, le fameux « downconverter » est raccordé sur une antenne « log periodic », système rayonnant réputé pour la largeur de sa bande passante mais affligée d’une redoutable absence de gain par rapport à une antenne accordée (10 dB max contre 30 dB pour une parabole correctement illuminée). L’exercice de style est intéressant, mais cette débauche de science et de technologie aurait pu être remplacée par un peu plus de calcul, de meilleures antennes et un léger travail de gestion des réflexions.
Cet exercice apporte pourtant sujet à réflexion en matière de sécurité, et montre qu’un simple mélangeur peut expédier sur une autre fréquence un signal WiFi susceptible de faire fuir des données à l’insu d’un administrateur. Surveiller le spectre électromagnétique sur la bande des 2,4 et 5 GHz est totalement inutile… le véritable signal pirate peut très bien se trouver sur 3, sur 5 ou sur 10 GHz, et ce pour un investissement parfois inférieur à quelques euros. Seule une surveillance au niveau MAC/IP peut détecter une station « rogue »… et encore cette méthode est-elle aussi entâchée de limitations. Rien n’interdit, par exemple, d’imaginer un ordinateur officiellement déclaré d’être infecté par un programme chargé de re-router son trafic réseau sans fil. La chose existe depuis des lustres sous Linux et a fait officiellement son apparition sous Windows 7 sous l’apparence de services Mesh. Reste donc pour se protéger l’analyse de trafic et les méthodes traditionnelles, l’examen des logs, la surveillance comportementale…

4 outils gratuits pour vérifier « en ligne » des fichiers pdf douteux, à lire sur le blog de Lenny Zeltser, ce papier qui « parle » à tout le monde et ne s’adresse absolument pas aux gourous. Un Zeltser qui publie par ailleurs un autre tétralogue vulgarisateur, celui des « 4 raisons pour lesquelles les utilisateurs d’ordinateurs renâclent à installer des mises à jour de sécurité » (ouf ! titre compte double, scrabble !). A noter que le quatrième point est « Some update mechanisms fail for non-privileged users »… on pourrait ajouter « Some update mechanisms fail for -privileged users »… certaines mises à jour de Chrome turlupinent les utilisateurs de Seven qui se loguent sous Admin pour déployer leurs correctifs… par habitude ou par prudence ? Signe de l’évolution des mœurs en matière de sécurité, tant de la part des usagers que des éditeurs. Les habituels conseils (Utilisez Wsus ou PSI) achèvent ce rapide articulet.

Encore du test de vulnérabilité niveau « production », avec un papier très « survolé » de John Strand sur PaulDotCom, et intitulé « je débute dans le test Web ». Survolé mais certainement pas bâclé, truffé de liens utiles et d’outils génériques… car les failles les plus courantes ne sont pas celles dont on parle généralement dans les conférences et qui font la première page des revues d’informatique.

Les failles Web … un sujet qui pourrait nous transporter en Irlande, à Dublin plus exactement, où se tiendra le 7 juin la prochaine réunion Owasp Appsec Europe 2011. Les journalistes sont les premiers servis… pour une fois.

L’affaire des fuites TMG prend une tournure attendue et comparable à celle de la société Magix. Dans le but probable de renforcer l’image de l’entreprise, la société chargée de la dénonciation automatisée des « téléchargeurs illégaux » sur Internet a décidé de porter plainte. Contre qui, l’histoire ne le dit pas. L’information est confirmée par un article du quotidien régional Nantais Maville.com. Les propos étant entre guillemets, verbatim d’une interview, le lecteur attentif remarquera que Monsieur Alain Guislain, le PDG de l’entreprise, avoue que l’ordinateur en libre accès contenait « un certain nombre d’adresses IP (un numéro qui permet d’identifier un internaute) ». Ergo à des identités réelles, donc en dehors de tout protocole de test. A moins que ladite phrase laisse entendre que la société TMG ait obtenu une dérogation spéciale de la CNIL pour effectuer des tests sur une machine non protégée avec des identités réelles et des adresses IP effectives.

L’usage systématique d’une « contre –plainte » destinée à masquer une grave carence dans la protection d’un S.I. est devenu une presqu’habitude en Europe. En France, l’on se souvient de l’affaire qui avait opposé Kitetoa et Tati. Généralement, que le « contre-plaignant » ait ou non gain de cause, la virulence de sa réaction a pour conséquence une dégradation de son image de marque qui perdure dans le temps. Dans le domaine Informatique, Tati n’est pas une chaîne de distribution spécialisée dans l’habillement, mais le porte-drapeau de la sécurité informatique par l’obscurantisme, le champion de la dénégation… Et ce, malgré les années passées.

Mais que la « victime » tienne la bride haute à sa meute d’avocats et elle peut transformer une déroute cuisante en victoire, grâce à une communication orientée « amélioration des sécurités périmétriques » ou « mise aux normes 270x de l’infrastructure des laboratoires »… bref, transformer la sécurité en un centre de profit. Pour l’heure, les dirigeants de TMG semblent tout faire pour que le nom de l’entreprise rejoigne le panthéon des Tegam, MBTA, HID Global ou Cisco du temps de l’affaire Lynn et puisse rejoindre le tableau d’honneur de la profession

Dans un billet signé Rick Moy, l’on apprend que les chercheurs de NSS seraient tombés sur des failles affectant un logiciel de commande de processus conçu par Siemens et pouvant faire l’objet d’une attaque distante. Le logiciel en question serait largement utilisé dans le cadre d’applications Scada. La divulgation de ladite faille aurait dû faire l’objet d’une conférence par MM Dillon Beresford et Brian Meixell dans le cadre de la conférence TakeDownCon. Las, le problème n’a pas été totalement corrigé par l’éditeur et la grande moralité des chercheurs de NSS n’étant plus à faire, l’annonce en question s’est transformée en non-annonce, annulation de ladite conférence, le tout étant rapidement retransformé en opération marketing ad majorem NSS gloriam, sur l’air du « nous n’avons rien à dire, mais nous le faisons savoir fort et clair ».

D’ailleurs, les logiciels de supervision étant, par nature, déconnectés (en théorie) de tout lien internet, il y a fort à parier que si faille était trouvée par d’autres personnes moins honnêtes (et si par hasard les éditeurs responsables étaient parvenus à corriger ledit défaut), on se demande comment les bouchons auraient pu être déployés simplement. Et par conséquent, il est facile de conclure que la majorité de ces logiciels de ce type et en production sont actuellement vulnérables, rustine ou pas rustine. A décharge, si les administrateurs ont du mal à déployer des correctifs sur ces réseaux isolés et hermétiques, les éventuels pirates ont tout autant de mal (sinon plus) pour diffuser leurs propres œuvres. N’est pas Stuxnet qui veut.

La rédaction de CNIS-Mag profite de ce non-événement pour communiquer un message de la Correctrice des Notes de la correctrice : « De Lille à Marseille et de Strasbourg à Brest, on ne dit pas PLC ou contrôleurs logiques programmables, mais Automates Programmables. On ne parle pas de « process control » mais de « commande de processus industriel ». Fort heureusement une boucle PID reste une boucle PID (proportionnelle-intégrée-dérivée, en Français dans le texte). En revanche une « probe » ne se traduit pas par « sonde » mais par « capteur » ». La rédaction tentera de respecter les recommandations de notre commission-de-la-langue-française-à-nous.

Les adaptateurs CPL peuvent perturber les systèmes du GCHQ (Government Communication Headquarters), le service Britannique d’écoute radio, autrement dit les « grandes oreilles du sans-fil » des services secrets de Sa Gracieuse Majesté. Le document, initialement diffusé par le Register, a dû être retiré sur injonction de la Défense, sous prétexte que le sujet divulguait des informations « qui pourraient compromettre des militaires du Royaume Uni et des méthodes et opérations de renseignement, ou compromettre la sécurité de ceux impliqués dans de telles opérations, ou faciliter des attaques qui endommageraient des infrastructures nationales critiques ou mettraient en danger des vies humaines » ( that would compromise UK military and intelligence operations and methods, or put at risk the safety of those involved in such operations, or lead to attacks that would damage the critical national infrastructure and/or endanger lives).

En d’autres termes, les CPL brouillent les réseaux radio, des ondes courtes aux UHF semble affirmer le document toujours accessible sur Internet, mais le faire savoir peut faciliter le travail de terroristes ou compromettre la sécurité de l’Etat. Les amateurs de réponses ubuesques et d’humour absurde à la Monthy Python apprécieront.

Et le rapport de continuer en faisant remarquer que les équipements en question contournaient la loi en respectant des définitions normatives « elles-mêmes reposant sur des brouillons de normes qui ont depuis été supprimés par le Comité ». « Nous avons déjà constaté une élévation du niveau de bruit dans la bande HF au voisinage de nos stations, avec d’importantes variations selon l’heure du jour ou de la nuit. La propagation de ce bruit et sur ces bandes varie également en fonction des saisons et autres phénomènes naturels ». L’on pourrait ajouter que la proximité ne constitue même pas un argument. Sur les « bandes basses » exploitées par les boutiquiers du CPL, un signal de très faible puissance peut, selon l’état de la couche ionosphérique, être « entendu » à des dizaines de milliers de kilomètres de son point d’émission. Comme, depuis le début de l’industrialisation de ces adaptateurs réseau, l’activité ionosphériques est faible, l’augmentation du niveau de bruit et la perturbation généralisée passent pratiquement inaperçues. Et dans 24 ans*, il sera trop tard pour faire machine arrière.

Pourtant, en 2008, un autre rapport considérablement plus technique et argumenté, rédigé par ERA Technology, concluait que la majorité des équipements CPL disponibles à l’époque sur le marché étaient perturbateurs, qu’ils ne respectaient pas les normes Européennes sur la compatibilité électromagnétique (CEM). Et de conclure en substance que « les émissions des appareils testés excèdent les limites, de 2 à 27 MHz et à l’exception de quelques fréquences épargnées par des filtres de réjection, dans des proportions de 36,7 à 39,4 dB ». Rappelons qu’un rapport de 3 dB correspond à un doublement de la puissance de rayonnement… l’échelle étant logarithmique, un rapport de 10 dB correspond à un facteur multiplicateur de 10 en puissance, 20dB un rapport de 100, 30 dB un rapport de 1000… 39,4 dB, ce n’est plus ce que l’on pourrait appeler un « détail qui ne perturbe qu’une minorité d’écouteurs d’ondes courtes d’un autre âge ».

Qui gagnera ? Les Barbouzes des M.I. 5, 6 etc.? Ou le lobby des marchands d’Ethernet « sans fil mais avec fil » ? Les mesures relevant d’une science exacte effectuées par des professionnels et des spécialistes des phénomènes électromagnétiques ou les gourous marketing qui courbent les réalités de la physique en expliquant qu’un signal HF injecté sur un câble électrique non blindé ne rayonne pas ? Les scientifiques ou les mercantis ? Manifestement, les espions d’Albion se sont rendus compte qu’ils avaient mis les pieds dans le plat en rédigeant cette lettre de protestation allant contre les intérêts d’un lobby. L’invocation d’une prétendue « atteinte potentielle à la sécurité de l’Etat » est une tentative bien maladroite pour faire oublier ce pas de clerc.

Ndlr Note de la rédaction : Chaque cycle solaire, dit « de Wolf », s’étend plus ou moins sur une période de 11 ans. 2013 est au plus fort du cycle actuel, et est l’un des plus faibles jamais observé depuis le XVIIIème siècle. Les spécialistes s’accordent à dire que le prochain cycle sera également faible… ce qui reporte le prochain cycle « faste » d’activité solaire à 24 ans.

Les transparents de HITB 2011 sont disponibles sur le site de la manifestation. Quelques points communs avec HES Paris…

L’affaire a débuté ce samedi par un « twitt » du blogueur Bluetouff, lequel twitt a immédiatement été suivi d’un article au vitriol : la société privée chargée de fliquer les téléchargements « illégaux » sur Internet exposait sur le Wan une foultitude d’informations, programmes internes, mots de passe, hachage des fichiers surveillés, scripts d’analyse de logs et surtout adresses IP de contrevenants coupables de téléchargement.

Des données qu’il est « presque » légitime de trouver sur Internet, nous apprend un article de nos confrères de 01 Net puisque, explique le patron de ladite TMG, la machine accédée en quasi « libre-service » ne faisait pas partie du réseau opérationnel, que les hachages dépendaient de procédures de tests, et qu’aucune donnée personnelle ou confidentielle n’avait été diffusée sur internet. Certains esprits chagrins pourraient trouver à redire, en rappelant précisément qu’une adresse IP, en vertu des textes qui ont « fait » l’Hadopi, correspond à l’identité d’une personne. Exception faite lorsque cette adresse semble venir de Chine et que le pirate vole des documents Ministériels et non le dernier single de Britney. Là, il n’y a pas culpabilité prouvée.

Pour trouver des adresses IP qui ne compromettent pas la vie privée d’un internaute, en ces temps de pénurie d’attribution d’adresse en IPV4, TMG a donc probablement dû recourir à des numéros dégagés de tout « block » et certainement associé lesdits numéros à des kyrielles de Jean Martin et de Jacques Dupont. Le métier de testeur de logiciel est parfois bien difficile.

La commission, de son côté, n’a pas franchement été convaincue par ces histoires de fausses-vraies adresses et de serveurs qui n’en étaient pas, et a décidé de suspendre l’interconnexion avec l’entreprise. Information émanant de nos confrères du Monde.

Ce double loupé survient quelques jours après la publication d’un rapport de la Commission permanente de contrôle des sociétés de perception et de répartition des droits, qui condamnait les dérives budgétaires importantes des Sacem et autres structures de gestion des droits d’auteur-compositeur, lesquelles structures, invoquant un état de faillite du milieu musical, sont à l’origine de la création de l’Hadopi.

L’annonce du e-G8 Forum voulu par Monsieur le Président de la République avait, lors de son annonce, provoqué quelques grincements de dents : réunion destinée à débattre et à promouvoir un Internet purement marchand, il excluait d’emblée tous ceux qui auraient pu défendre le point de vue d’Internet tel qu’il a été conçu et tel qu’il est encore souvent employé : comme un canal de communication et d’échange libre. Un récent message de Monsieur Nicolas Sarkozy sur Facebook (http://www.facebook.com/nicolassarkozy/posts/10150178480711078) vient de confirmer l’orientation de ce G8 réservé aux « businessmen décomplexés » : ce cyber-G8 portera « sur toutes les questions liées à internet viendront échanger les grands acteurs français et européens ainsi que des figures internationales comme Mark Zuckerberg, Eric Schmidt ou Jeff Bezos ». Trois personnalités réputées pour leur sens très élastique du respect des libertés individuelles, des données privées et de ce qu’un terrien a le droit de savoir et de lire.

Tripwire annonce officiellement son rachat par la société Thoma Bravo LLC, fond d’investissement privé qui a déjà, par le passé, absorbé d’autres entreprises évoluant dans le milieu de la sécurité, et notamment Entrust, Landesk et SonicWall. Le montant de la transaction n’a pas été communiqué. Tripwire est une entreprise spécialisée dans le domaine du Siem (gestion du système d’information, gestion des logs).