juillet, 2011

Mikko Hyppönen s’est lancé dans un intéressant travail de compilation d’articles de presse relatant les récentes attaques « APT » visant les grands sous-traitants Américains travaillant dans le domaine de la défense. Le « coup de Bercy » (le pdf empoisonné utilisé comme vecteur d’intrusion) semble très apprécié des amateurs de fric-frac documentaire, ce qui laisserait penser à une sorte de « signature ». Hypothèse à prendre avec des pincettes, car les failles pdf anciennes et modernes sont si nombreuses qu’y voir un « style » d’attaque serait comme assimiler à une personne précise l’usage de l’arbalète, du canon, de la pertuisane et autres miséricordes.

C’est un petit pas, mais un pas quand même. Google affiche, en cas d’infection du poste de l’internaute, une bannière d’un genre nouveau recommandant au passant d’aller se faire désinfecter. Qu’est-ce qui déclenche l’affichage de cet écran particulier ? Une signature. Celle d’un scareware en particulier, à qui l’on ne connaît pas de nom générique.

L’initiative est saluée par nos confrères du Reg ainsi que par Brian Krebs. Reste que jouer aux chasseurs d’infection de manière ostentatoire avec une seule signature, cela s’apparente plus à une campagne marketing qu’à une véritable opération d’assainissement numérique. Le modèle d’ailleurs est techniquement peu viable. Si Google envisageait sérieusement de se lancer dans l’analyse de signature chaque fois qu’un usager pointerait le bout de son navigateur sur le moteur de recherche, on pourrait craindre un certain accroissement des temps de latence lors de chaque requête. Sans parler du fait que le procédé doit certainement déjà inspirer quelques auteurs de malwares. Une redirection ayant le goût, l’aspect, la couleur de Google et expédiant l’internaute précisément vers un site de diffusion de scareware, voilà qui ne devrait pas poser de gros problème à un spécialiste du drive by download et de l’ingénierie sociale. Ceci sans évoquer les risques accessoires que pourrait représenter l’appliquette de détection elle-même. On a vu par le passé des prétendus codes inviolables qui auraient pu se transformer en redoutables usines à botnet. Dur métier que celui de Google.

Les articles de presse se multiplient pour chanter les louanges des polices de différents pays (dont les services Britanniques), suite aux arrestations des « meneurs présumés » du mouvement LulzSec. Le « méchant » que Scotland Yard a arrêté est âgé de 16 ans, ceux interpellés Outre Atlantique par le FBI sont beaucoup plus vieux : 21 ans pour deux d’entre eux, un troisième comparse ayant 42 ans mais faisant figure d’ancêtre dans la pyramide des âges du hacking. En tout, 16 personnes ont été interpelées sur le territoire US et 5 aux Pays-Bas, sans oublier l’opération Britannique. Toutes sont soupçonnées d’avoir participé aux attaques en déni de service visant Paypal, Visa et d’autres intermédiaires bancaires.

Outre toutes considérations de présomption d’innocence qui sont de mise tant que les affaires n’ont pas été portées en jugement, il est important de rappeler que tous les « cerveaux » de LulzSec ou des Anonymous mis sous les verrous jusqu’à présent n’étaient généralement que des sympathisants ou de petits acteurs, et que cela n’a en rien affecté l’activité des mouvements en question.

Il est très sérieux, Fabio Assolini des laboratoires Kaspersky, lorsqu’il écrit le billet Flying phishers: cybercriminals targeting frequent flyer miles.

Pour les heureux mortels qui ne quittent jamais leurs pénates autrement que par voie de surface, il leur faut savoir que les compagnies aériennes proposent, à l’instar des pompistes et des vendeurs de pizza, des cartes de fidélité offrant, selon des barèmes très précis, quelques trajets gratuits pour leurs plus gros consommateurs. Ces programmes sont généralement désignés par le terme frequent flyers (littéralement « voleur récidiviste ») et leurs plus gros bénéficiaires ne sont pas nécessairement leurs usagers les plus attentifs. Lorsque l’on parcourt plus de 70 000 miles par mois, on aspire généralement à passer ses vacances en un lieu éloigné de tout aéroport et des joies des red eye special.

Mais ce n’est pas le cas des phishers, carders, mules, spammers, scammers et autres chapeaux noirs de l’informatique compromise, qui doivent parfois se déplacer. Et qui, pour ce faire, ont étendu aux-dits programmes de voleurs récidivistes l’emprise de leurs logiciels de vol… d’information. Ces aigrefins numériques kidnappent donc des voyages gratuits au nez et à la barbe de personnes qui généralement préfèrent s’adonner à des transports autres qu’aériens. Mieux encore, par le truchement de mules et de faux papiers d’identité, ces voleurs de vols parviennent à convertir ces billets généralement nominatifs en véritable billets négociables.

Quelques clients voleurs récidivistes , continue Fabio Assolini, estiment des pertes s’élevant à plus de 7000 $. Peut-être n’ont-ils pas tort. L’on pourrait, en suivant ce raisonnement, s’enrichir d’un argent virtuel fait de ces milles et un cadeaux promotionnels, de ces lots d’assiettes et de verres à bière offerts pour tout plein de super sans plomb, de ces bouteilles de sauce piquante livrées pour tout achat de plus de trois pizzas, de ces heures de conversations téléphoniques sur mobiles gagnées à grands renforts de messages SMS. Tout le monde pourrait ainsi se constituer des fortunes virtuelles capables de renverser totalement les tables de valeur formées par les monnaies fiduciaires ou l’étalon-or. Après tout, nombreuses sont les corporations qui savent déjà estimer au centime près un « manque à gagner » provenant de transactions qui n’auraient de toute manière jamais existé.

Ne surtout pas tuer la poule aux œufs d’or : deux articles, publiés par nos confrères de Numérama et Tom’s Guide, laissent entendre que l’Hadopi ne serait pas « favorable à un filtrage des contenus au niveau des routeurs ADSL sans un encadrement». Un filtrage systématique, s’il est efficace, signerait sans le moindre doute l’arrêt de mort de l’Hadopi pour cause d’inutilité.

A aucun instant, l’usage antidémocratique à moyen ou long terme d’un tel mécanisme n’a été invoqué. Les intérêts politiques et privés tentent peu à peu d’imposer le filtrage de contenu pour un prétexte aussi artificiel que la préservation de la « propriété intellectuelle ». Si un tel motif est accepté par la société civile, il ne restera plus beaucoup de chemin à parcourir avant que ne soit banalisée l’écoute de tout trafic sur Internet (mot clef, conversations, messageries privées, VoIP etc.) en dehors de l’encadrement d’un juge.

Microsoft Bounty : le goût du pacifique ? « Nous avons quasiment réduit le botnet Rustock au silence, maintenant nous voulons faire tomber ses têtes » écrit en substance Richard Boscovich, avocat de la Microsoft Digital Crimes Unit. Son appel à la délation s’accompagne d’un chèque de 250 000 dollars, soit légèrement plus que ce que rapporte la dénonciation d’un adolescent téléchargeur. Mais les risques sont légèrement plus importants aussi. Car ce n’est pas un audit de sécurité que l’on craint si l’on se fait prendre. Les morts violentes et les règlements de comptes vis-à-vis des « balances » sont monnaie courante dans les milieux mafieux du botnet. L’offre de Microsoft risque en outre de ne pas remporter beaucoup de succès sur le vieux continent, la justice privée ne faisant pas tellement partie des habitudes culturelles. Même si parfois l’on constate une certaine augmentation du nombre d’officines privées supplétives de la justice, où si l’on voit des milices tenter de remplacer les services de police.

D’ailleurs, si frapper à la tête peut sembler une bonne idée, les expériences passées tendent à prouver que l’élimination d’un ancien parrain fait naître une multitude de prétendants au trône laissé vacant. De pacifique, la proposition peut engendrer une guerre de succession sanglante au sens non virtuel du terme. Et c’est déjà le cas. A peine le cadavre de Rustock est-il en train de refroidir que déjà la communauté des chasseurs de botnets s’inquiète de la taille et surtout de la résistance de TDL-4, un autre botnet qui a pris sa place. Difficile à détecter, quasiment impossible à éradiquer, et dont les mécanismes d’échange P2P et les canaux de communication chiffrés rendent toute opération de traçage complexe et incertaine. Ce sont deux chercheurs des labs Kaspersky, Sergey Golovanov et Igor Soumenkov qui, les premiers, l’ont baptisé The ‘indestructible’ botnet. Pour l’heure, le nombre de postes Windows infectés avoisine les 4,5 millions. Combien de temps résistera-t-il aux assauts du MSRC ? Les paris sont ouverts, les montants des enjeux peuvent être envoyés aux bons soins de Maître Boscovich.

*NdlC Note de la Correctrice : Ce titre ténébreux, aux dires de l’auteur, est le résultat d’une devinette à tiroir. « Comment un avocat américain comblé d’aise salut-il un confrère après que ses efforts aient fait taire les derniers échos d’un botnet ? » Il a ensuite maugréé quelque chose à propos de « Ki est sur la première base » auquel je n’ai strictement rien compris.

Ce n’est pour l’heure qu’un projet de loi proposé au Congrès, mais un projet fort intéressant pour le devenir de l’industrie des télécoms. Gigaom rapporte que des représentants républicains ont suggéré que désormais, lorsqu’une partie du spectre radioélectrique serait libérée, les partisans de son usage « sans licence » devraient, à l’instar des autres intéressés, enchérir pour décrocher ladite fréquence.

Rappelons qu’Outre Atlantique, la FCC, équivalent de notre Haute Autorité des Télécoms, « vend » aux enchères les pans de fréquence pour des durées déterminées, alors qu’en France, ces attributions sont généralement gratuites, mais l’usage des bandes est soumis au payement d’une licence, soit d’opérateur, soit d’exploitant. Le système Français favoriserait non pas le plus riche, mais celui offrant les garanties de « mieux disant infrastructurel ».

Jusqu’à présent, aux USA, certaines de ces fréquences étaient littéralement « offertes », soit à des organismes généralement sans but lucratif, soit à un usage en particulier (sécurité civile, réseaux personnels WiFi etc.). C’est ce que l’on appelle les « bande citoyennes », alias « Citizen Bands » d’où est dérivé le terme « CiBi ». Nul licence n’y est exigée, mais en contrepartie, la FCC impose des règles assez strictes concernant l’homologation des appareils utilisés sur ces fréquences, limite les niveaux de puissance, et peut même contingenter les importations de transmetteurs provenant de l’étranger sous divers prétextes techniques. Les portions du spectre WiFi/Bluetooth ou CPL font partie de ces fameuses bandes citoyennes « sans licence » qui n’ont pas rapporté un centime à l’administration Fédérale, mais qui ont permis à l’industrie de gagner des sommes considérables en imposant une « norme de fait » technologique. C’est ainsi que Hiperlan2, le réseau sophistiqué MAN/Wan de la très européenne ETSI s’est fait laminer par le consortium WiFi etWimax.

Si le projet républicain « passe », cela signifierait que les partisans d’un usage libre desdites fréquences se réunissent, participent comme n’importe quel enchérisseur à la vente organisée par la FCC (qui alors rayerait de ses attributions la gestion des bandes « licence free ») et emportent l’enchère en offrant à l’Administration une somme supérieure aux autres offres.

Voilà qui, paradoxalement, ferait le bonheur de l’Europe. Car aucun association, aussi riche soit-elle, ne peut lutter contre les milliards que peuvent aligner des groupes industriels tels que Microsoft ou AT&T. Ce qui transformerait la bataille industrielle opposant les USA et l’Europe. Actuellement, les équipementiers s’affrontent sur les fréquences UHF laissées libres par l’arrivée de la TNT en Europe et par la suppression du PBS network et des stations TV locales aux USA. Espace rêvé pour développer une « super radio FM de haute qualité » pour certains Ministres Français (utopie d’une radio numérique terrestre qui va de capotages en catastrophes depuis plus de 30 ans), tandis que les nord-Américains y voyaient là la portion de fréquence idéale pour en faire un super-WiFi longue distance et moyen débit.

L’obligation d’enchère (donc la suppression d’une ouverture de marché pour les équipementiers réseau) a de fortes chances de faire réagir les Cisco, Atheros et consorts. Le « libéralisme » du projet et ses gains à court terme pourraient se retourner contre l’économie libérale du pays. Gageons que, du côté des équipementiers et de quelques politiques Européens, l’idée des Républicains est soutenue avec passion.

Plus de 100 personnes arrêtées par les polices US et Roumaines. Les suspects auraient, relate Network World, constitué un réseau d’escroquerie à la vente par correspondance sur Internet

Apple vient de combler la vulnérabilité « fichier .pdf » utilisé par Jailbreakme, donnant la priorité aux développements favorisant le verrouillage de son parc d’appareils avant toute considération de sécurité

Anonymous 2.0. Bannis du tout nouveau réseau social Google+, les Anons’ ont décidé de fonder le leur propre, AnonPlus.