Aucun détail technique n’est pour l’heure communiqué au public (seuls les « clients gouvernementaux » ont droit à ce genre d’information), mais la démonstration vidéo diffusée par Vupen ne laisse planer aucun doute : les chercheurs français de l’équipe Bekrar sont parvenus à contourner à la fois ASLR, DEP et la sandbox. Le hack permet d’exécuter, sans que l’usager puisse remarquer quoi que ce soit, n’importe quel exécutable à distance en tirant parti d’une faille jusqu’alors inconnue du navigateur de Google. Bel exploit –aux deux sens du terme- pour l’équipe Montpelliéraine.

Une seule faille critique cette fois-ci, la ms11-035 : une vulnérabilité affectant Wins sur les serveurs 2003, 2008 et 2008 R2 tous SP installés. La faille est exploitable et peut conduire à un accès distant… c’est hélas souvent le cas pour ce qui concerne les défauts découverts dans un composant réseau.

Les deux autres vulnérabilités sont moindres explique le bulletin du MSRC, puisqu’elles concernent deux pailles découvertes dans PowerPoint. Mois impair, mai offre aux responsables de déploiement un peu de répit après l’avalanche de 64 rustines d’avril dernier.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe . A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense … ) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

DETAIL DU PROGRAMME

Mobilité, Consumérisation des équipements (PDAs et Tablettes), réseaux sociaux : nouveaux dangers, nouvelles politiques  de sécurité et évolution des protections

CNIS Event fait le point sur le Système d’Information moderne et les nouveaux risques générés en termes de sécurité : pouvoir travailler de partout, quel que soit l’endroit où on se trouve, maison y compris, ce sont les nouvelles habitudes de l’employé moderne. Et depuis n’importe quel support, qu’il soit professionnel ou personnel, du PC au portable en passant par les tablettes et PDAs. Parmi les nouveaux outils préconisés, l’on trouve également dans la liste, les réseaux sociaux … Et la sécurité dans tout ça ? Tour d’horizon des nouveaux dangers potentiels. Quelles nouvelles politiques de sécurité appliquer pour tenir de compte de ces nouveaux us et coutumes pour quelles protections ? Les experts seront là pour expliquer la réalité terrain, donner des conseils et répondre à toutes ces interrogations. Autour d’une table ronde, ils viendront également débattre et répondre aux questions des patrons, DSI, RSSI, personnel IT présents dans la salle

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes de l’entreprise. Tous sont concernés par la question du système d’information moderne car il change la donne en termes d’organisation, de sécurité et de protection. Il faut connaître et comprendre à qui et à quoi on a à faire pour pouvoir envisager et organiser sa défense. Un discours d’expertise comme de sensibilisation qui concerne tout le monde.

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Nouvelles technologies, nouvelles habitudes : nouveaux dangers ? Panorama des nouvelles vulnérabilités et risques, présentation par Pierre Polette, Président du Diretoire Lexsi
• 9H20 – Expert terrain et solution, point de vue de Sophos
• 9H40 – Quelles modifications des politiques et protections doit-on envisager ? par Chadi HANTOUCHE, expert sécurité chez Solucom
• 10H00 –  Expert terrain et solution, point de vue d’un acteur sécurité
• 10H20 – PAUSE Networking
• 10H40 – Minute Juridique : mobilité et consumérisation des équipements, web 2.0 … Quelles responsabilités pour l’entreprise ? Maîtres Garance Mathias et Olivier Itéanu, deux avocats débattent et répondent aux questions des entreprises.
• 11H00 – Démonstration pour expliquer pourquoi il est indispensable de penser sécurité : exemple de hack de PDA. Edouard Jeanson, Directeur du Centre de recherche et sécurité Sogeti
• 11H30 – Panel sur les nouveaux dangers et solutions du SI moderne : (1)Eric Caprioli, avocat pour les aspects légaux, (2) Louis Jouanny, PDG Endeavor, présentation d’une vision du marché et du business effectif en entreprise notamment avec les Tablettes, initiateur de TiE, (3) point de vue d’un spécialiste Sécurité qui s’est penché sur les risques et donnera ses solutions de contournement, (4) une entreprise qui a mis en œuvre une  politique adaptée pour tenir compte des nouveaux paramètres et sécuriser son SI, (5) Philippe CONCHONNET, Orange Business Services qui expliquera comment rester sécuriser dans un tel contexte, (6) Chadi HANTOUCHE, expert sécurité chez Solucom. Animé par Bertrand Garé, Analyste
• 12H15 – Clôture de la conférence

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Skype serait sur le point d’être absorbé par Microsoft pour 8,5 milliards de dollars nous apprend le Wall Street Journal. Somme qui dépasse l’entendement, et permet à certains anciens actionnaires de remporter 3 fois la mise : 1,2 milliard de $ pour les deux fondateurs Estoniens, 4,8 milliards de $ pour les différents co-actionnaires tels que Silver Lake, Andreessen Horowitz et un fond de pension Canadien, sans oublier 2,5 milliards de dollars qui vont directement dans la poche d’eBay, qui détenait 30 % du capital de l’entreprise. La hauteur de l’enchère ne surprend qu’à moitié. Certes, des rumeurs courraient sur la rentabilité réelle de Skype, qui aurait perdu près de 7 M$ au cours du précédent exercice et dont le bilan est plombé par une dette de près de 680 M$. Un trou négligeable en regard de la valeur que la société représente en termes de R&D (notamment sur le marché de la diffusion vidéo) et surtout en matière de stratégie d’entreprise. En annonçant une mise à prix aussi élevée, Microsoft tente de couper court aux pourparlers entamés occultement par Google (un ennemi juré de MS) et Facebook (un allié objectif et partenaire de MS).

En récupérant Skype, Microsoft tourne le dos à ses multiples tentatives plus ou moins heureuses de capture du marché de la messagerie instantanée et de la téléphonie sur IP (notamment de la VoIP sur équipements mobiles). Un virage qui l’éloigne définitivement des volontés de « normalisation » autour de Sip, H.323 et autres protocoles officiels que Skype ne respecte absolument pas et qui forment pourtant la pierre angulaire des outils Microsoft plus ou moins concurrents. Pour une fois, le non respect des normes ne sera pas de la faute au « géant hégémoniste qui veut conquérir la planète ». Comment s’intègrera ce programme dans l’entrée de gamme des architectures de téléphonie d’entreprise « microsoftisées » ? Comment évoluera la branche « live » dont faisait partie MSN Messenger et ses outils périphériques ? Nulle réponse.

Côté sécurité, cette absorption ne va pas se faire sans mal. Skype et ses « supernodes », son routage intrusif, ses failles impromptues (la dernière touchant les clients Mac), son absence totale de transparence technique et sa structure P2P donnera sans le moindre doute quelques aigreurs d’estomac au MSRC. Mais depuis que Microsoft pratique la religion de la croissance externe, ces « petits désagréments » font partie de la routine.

14H32, mardi 10 mai 2011 : information qui vient d’être confirmée par Reuters

Préalable à toute campagne de pentesting, la définition du périmètre du personnel et la récolte de donnés facilitant une attaque en social engineering demande parfois bien du temps et de la patience. The Harvester, la « moissonneuse-batteuse » de l’identité numérique, est un tout nouveau logiciel de sécurité de Edge-security qui collecte les noms, les emails, sous-domaines internet à grand renfort de googlehacking. Cette « moiss’bat » génère un rapport en XML, n’utilise qu’un peu de code python pour fonctionner, et utilise les ficelles classiques pour aller farfouiller sur Google, Bing, les serveurs PGP, linkedin et Exalead. Les premiers tests peuvent se faire sans crainte en tentant de dresser le profil du bon docteur Eric Schmidt (Novell, Google…), lequel a maintes fois déclaré que la notion de vie privée sur Internet était une vue de l’esprit. Après tout, c’est un peu grâce à lui que The Harvester fonctionne si bien.

J – 3 pour Backtrack 5, la boîte à outil forensique et outil de pentesting open source à géométrie variable. Tout d’abord diffusé via les canaux P2P pour ne pas surcharger les serveurs, puis disponible en ftp, cette nouvelle version supporte les modes 32 et 64 bits. Une édition « spécial Android », allégée et compilée pour processeurs ARM, devrait également sortir aujourd’hui. Le moindre téléphone portable pourrait donc se transformer en redoutable arme de guerre. Une véritable provocation donc, qui survient quelques jours à peine après le dépôt du projet de loi de Madame le Député Muriel Marland-Militello qui prévoit 10 ans d’emprisonnement, 75000 euros d’amende pour toute attaque contre un système informatique d’Etat… les « chinois » coupables des attaques de Bercy sont littéralement terrorisés… A ce tarif-là, cette édition de Backtrack, qui intègre Metasploit 3.7.0, mériterait au moins perpétuité à Guantanamo.

Le Response Team de Microsoft publie un long message aux responsables sécurité expliquant pourquoi et comment « l’index de probabilité d’exploitation » a été modifié. Index qui devrait donc simplifier la vie des RSSI puisque désormais, il faudra interpréter 2 index d’exploitation différents (sic) par vulnérabilité. Le premier qualifiant la probabilité et dangerosité de l’exploit sur une plateforme récente, le second index étant une moyenne des index de toutes les anciennes versions. L’éditeur ne cache absolument pas que ce distinguo aura pour conséquence un « amoindrissement » de la criticité des index sur les versions modernes des logiciels et notamment des noyaux récents dont les niveaux de sécurité par défaut ont été sensiblement renforcés. L’héritage du « vieux » ne viendra donc plus ternir l’image des productions plus modernes. Est-ce là une réelle amélioration du système ou une simple mesure cosmétique et marketing ? Il faudra attendre quelques « patch Tuesday » pour se faire une idée.

Lorsque le méchant du film, inspiré par un esprit d’une perversion sans nom, veut ternir l’image de marque du justicier masqué, il se pare des atours dudit justicier. Masque noir, chapeau noir, veste noire, cheval noir, lunettes noires*… et pensées noires comme l’encre. Bien malin qui saura deviner si, derrière cet anonymat, se cache le véritable ou la copie. Zorro, Batman, Spiderman, Ironman, tous les porteurs de masque redresseurs de torts ont dû, à un moment donné, lutter contre un usurpateur, généralement l’alter ego de leur propre névrose, l’incarnation de leur double schizophrénique.

Serait-ce ce qui est en train d’arriver aux justiciers autoproclamés dits « Anonymous », qui viennent d’être désignés comme des acteurs probables de l’attaque du réseau Playstation Network puis de tout (ou presque) l’intranet de Sony. Fort heureusement, le porte-parole du groupe Anonymous (qui, rappelons-le, n’est pas un groupe organisé avec hiérarchie, chef, sous-chef, porte-parole et webmestre) avait quelques jours auparavant affirmé « pour une fois, ce n’est pas nous ».

Ce qui pose alors la question de la nature des anonymes. Groupe constitué (qui assume donc officiellement ses actes comme n’importe quel autre mouvement revendicatif) ou entité polymorphe ou plus exactement amorphe au premier sens du terme, acceptant par définition les actions contradictoires de ses sympathisants au principe d’une totale absence de « ligne du parti » édictée par un comité directeur quelconque. Conscients de cette situation syllogistique, les auteurs du communiqué précisent « it could be the case that other anons have acted by themselves ». Ergo, il arrive donc qu’en temps normal les Anons « n’actent pas by themselves » et viennent quérir leurs ordres d’un centre de décision. Si les Anonymes continuent de réfuter la présence d’un tel centre de décision, ils sont contraints d’accepter logiquement qu’ils adoubent toute action de ceux qui se réclament de leur bannière et signent au nom du mouvement. En d’autres termes, le méchant qui endosse la cape de Zorro engage la responsabilité morale de Zorro. Car sans « comité d’éthique du club des redresseur de torts » capable de légiférer officiellement sur ce qui est moral et ce qui ne l’est pas, toute nouvelle définition émise par celui qui se réclame de l’IDJM (Internationale Des Justiciers Masqués) aura valeur de règle. Ceci en vertu du fait qu’un cheval bon marché est rare, que ce qui est rare est cher, donc qu’un cheval bon marché est cher. Personne ne suit ? C’est normal, c’est ce que l’on appelle la « contradiction du syllogisme », çà remonte à la plus haute antiquité, et les responsables sécurité de Sony misent là-dessus. Un prêté pour un rendu, en quelques sortes, après les attaques en déni de service provoquées par les anonymes et qui avaient défrayé la chronique il y a quelques semaines.

En l’absence de toute autre déclaration politique sérieuse et étayée desdits anonymes : Sony 1, Anons 0… et ceci quand bien même aucun anonyme ou sympathisant d’anonyme ne se serait rendu coupable de méfaits condamnés par l’article 323-3-1 du code pénal.

Si l’on considère le problème sous l’éclairage qu’en donne SecureWorks, Sony ne marque strictement aucun point, particulièrement pour ce qui concerne sa politique de mots de passe. L’entreprise ne brille pas non plus pour la clarté de sa communication et sa transparence, ce qui lui vaut un énergique coup de pied de l’âne de la part des anciens du Luhrq : « It will be interesting to learn more details and understand how the PlayStation Network was breached as Sony discloses additional information ». Elégante manière d’attirer l’attention du public sur ces pratiques de « sécurité par l’obscurantisme ».

Selon Erica Ogg, de C-Net, quelques bruissements du côté des canaux IRC laisseraient entendre qu’une troisième attaque serait sur le point de se produire. Le suspense est à son comble. C’est généralement à ce moment précis que le Justicier Masqué en profite pour retourner la situation et vaincre, delapointedesonépée, le méchant qui tentait de le discréditer. Mais la vie n’est pas un roman.

*NDLC Note de la correctrice : ah non ! Ca, c’est John Belushi dans les Blues Brothers !

Du simple exploit de browser aux missiles à têtes multiples contrôlés par une interface ergonomique et capable de reconfiguration « au fil de l’eau », l’on constate de sérieux écarts techniques… fruit de 7 ans d’efforts de développement et d’améliorations technologiques prodigués par les filières logicielles mafieuses. L’équipe Cymru (qui publie beaucoup ces jours-ci) s’est lancée dans l’étude comparative de près de 40 « Exploit packs » (BEP en langage cybertruand). Et comme le but du jeu était non pas de protéger les machines contre une telle attaque mais d’analyser le comportement et les perfectionnements de ces vecteurs d’attaque en « drive by download », l’équipe a utilisé des plateformes volontairement vulnérables : XP SP2 et navigateurs anciens, le tout sans oser y ajouter le plus petit correctif.

Côté package d’exploits, en revanche, les principales mises à jours ont été installées « nous avons testé,expliquent les décortiqueurs du Team Cymru, 5 versions de 0x88, 3 versions d’Eleonore, 4 versions d’El Fiesta, 5 versions d’Icepack, 3 versions de Fragus, 2 versions de NeoSploit, 6 versions de Mpack etc. » Autant de programmes dont les centres de commandes se simplifient au fil du temps, pour se concentrer sur le protocole http, laissant à leurs chères études les prototypes alambiqués transitant par les canaux IRC, outils de messagerie instantanée ou autres méthodes complexes.

Si les niveaux d’ergonomie sont parfois très variables (notamment en termes d’aide contextuelle ou de navigation au sein du programme de gestion) les fonctions vitales sont toujours simples à utiliser : sgbd local, cahiers de statistiques, gestion des IP à bannir… voire automatiques, telles les fonctions de protection du code lui-même. Le reste de l’étude compare le comportement des différents packs d’exploit sur le poste de la victime. Une lecture rafraîchissante qui change quelque peu des « comparatifs logiciels » de certains magazines ou tout le monde il est bon, tout le monde il est gentil.

L’éditeur d’antivirus Britannique Sophos est sur le point d’absorber Astaro, entreprise Germanique spécialisée dans le développement de firewall et UTM utilisant un noyau Open Source. Le communiqué de presse ne fournit strictement aucune autre information, si ce n’est qu’Astaro pèse 56M$ de net avec une croissance de 30 points en 2010