juillet, 2011

Une contribution détaillée du chercheur Moritz Naumann sur la liste Full Disclosure fait état d’une double faille (risques de déni de service et d’attaque en cross-site-scripting) affectant certains routeurs diffusés par la branche Allemande du FAI Alice. La chose n’a strictement rien d’exceptionnel, et ne mériterait aucune remarque en temps normal.

Sauf que cette fois, Alice Allemagne n’a pas jugé utile de colmater le trou de sécurité sous prétexte que « le modèle en question (Alice Modem 1111, firmware 4.19) n’était plus distribué depuis longtemps ».

Ce qui laisse entrevoir deux hypothèses : la première, c’est qu’Alice possède un service de mise à niveau des routeurs d’abonnés d’une efficacité exceptionnelle, et que la moindre évolution côté routeur provoque ipso-facto la mobilisation d’une armée de transporteurs, d’une légion de gestionnaires de stocks, d’une multitude d’agent du SAV afin de garantir à ses clients une connexion à la fois sécurisée, à jour et moderne… le français Free devrait en prendre de la graine, lui qui a plus de facilité à changer ses tarifs que ses Freebox « révolution ». (Rappelons qu’Alice en France a été absorbée par Illiade, maison-mère de Free, en août 2008)

L’autre hypothèse serait qu’il existe un parc de routeurs vulnérables en Allemagne et que le fournisseur ne souhaite pas en entendre parler, probablement pour de sordides raisons budgétaires. Mais franchement, ce serait médire.

Nettement moins « glamour » que le bug Bluetooth, l’« Update Rollup 4 for Exchange Server 2007 SP3 » corrige 20 trous de sécurité. Ces mises à jour typiquement serveur passent généralement inaperçues car elles sont surveillées de très près par les administrateurs, avec d’autant plus d’attention que les serveurs de messagerie sont d’une importance stratégique pour la majorité des entreprises utilisatrices. Mais ce qui distingue ce « patch » des autres, c’est l’ancienneté du logiciel qu’il corrige : Exchange 2007… en 2011, il fait figure d’ancêtre, surtout depuis qu’Exchange 2010 a pris la relève. Mais contrairement au monde mouvant des noyaux grand public, la course à l’inflation fonctionnelle et technologique n’est jamais aussi rapide dans le monde professionnel. Les grands comptes étaient déjà entrés en guerre contre Microsoft à ce sujet après une première décision visant la clôture du support de ce déjà « trop vieux » serveur… et les grands comptes ont fini par avoir gain de cause. La vie d’Exchange Server 2007 a été prolongée. La publication dudit « update rollup » s’accompagne même d’une note de bas de page précisant que le prochain rollup (numéro 5) devrait être rendu public courant août.

Le « patch Tuesday » Microsoft le plus dense jamais publié vient de sortir. Comme annoncé, 22 failles dans 4 rustines dont une purement applicative (une faille dans Visio) , et deux autres menaçant le noyau Windows ( 11-056 et 11-054), toutes deux qualifiées d’importantes. Mais celle qui décroche la première place (avec le titre enviable de « faille critique ») porte l’immatriculation MS11-053 et concerne un défaut de la pile Bluetooth dans Vista et Seven. Pourquoi ces deux systèmes uniquement ? Parce que le stack Bluetooth a été réécrit après la génération des systèmes XP. Pourquoi critique ? Car il permettrait d’injecter un code exécutable à distance… pour peu que l’on soit dans l’immédiate proximité de la victime (entre quelques mètres et environ 1 ou 2 kms à « vue directe »). Mais, comme l’explique un membre du MSRC sur son blog, les possibilités d’exploitation demeurent assez faibles (même si l’on peut émettre quelques doutes quant à l’estimation chiffrée d’un équipement capable de sniffer le trafic radio). Par défaut, le mode « découverte » est occulté sous Vista et Seven. Mais il ne faut pas perdre de vue que bon nombre d’usagers préfèrent se faciliter la vie et supprimer cette fonction de sécurité afin de faciliter l’appairage des périphériques Bluetooth. En outre, le « bruteforcing » d’un code PIN Bluetooth est toujours un exercice d’une difficulté extrême pour les enfants de moins de 12 ans. Enfin, si le stack de Windows est sécurisé grâce à ce correctif, ce n’est pas nécessairement le cas de l’intégration de Bluetooth dans le périphérique connecté.

Encore un coup d’éclat de la campagne AntiSec, désormais pilotée par les Anonymous : un lot de fichiers, dont près de 90 000 emails émis par des militaires US, ont été offerts en téléchargement sur Pirate Bay. La fuite a pour origine les serveurs de Booz Allen Hamilton (BAH), un sous-traitant civil travaillant pour le Ministère Américain de la Défense. La semaine passée, un autre sous-traitant travaillant pour le compte du FGI, IRC Federal, avait fait les frais d’une opération analogue

La presse d’Outre Atlantique reprend dans les grandes lignes le contenu du message des Anonymous publié sur Pirate Bay. Et notamment le mobile du crime : BAH aurait été piraté sous prétexte qu’il collaborerait à un projet visant à infiltrer et espionner les réseaux d’hacktivistes. Cette « atteinte à la vie privée et à l’anonymat » des participants aurait dicté cette contre-offensive.

Une phraséologie idéologique qui cache cependant certains aspects techniques de l’opération. Si l’attaque semble le fruit d’une injection SQL, l’origine de la cible est en revanche laissée secrète. Tout comme le volume réel des documents compromis, BAH n’ayant pas publié d’inventaire ni communiqué ouvertement sur le sujet à l’heure où nous rédigeons ces lignes. Si l’on en croit toujours le mémo de présentation des fichiers à télécharger, le niveau de protection des courriels en question aurait été relativement faible… un simple MD5 sans « salage », alors que les services de sécurité US insistent pour que chaque organisme gouvernemental et chaque contractant utilisent SHA1, puis SHA2. Enfin, un dernier facteur aurait grandement facilité le travail des AntiSec : l’usage fait par les administrateurs de mots de passe communs pour accéder à plusieurs systèmes ou types de ressources. Là encore, une mauvaise pratique difficilement excusable venant d’un contractant dans le domaine de la défense.

Avec un brin d’humour morbide, le clan AntiSec adresse aux responsables de BAH une facture de 310 dollars représentant le montant d’une prestation de service « audit de sécurité ». Gageons que les montants de facturation de BAH sont généralement légèrement plus élevés.

Bref, le billet de Fortinet. Bref, mais éloquent : Zitmo (Zeus In The Mobile), après avoir frappé les smartphones sous Symbian, Blackberry et Windows Mobile, s’attaque à la base Android.

Zeus est la preuve (s’il en fallait une) qu’il est vain de donner une absolue confiance aux systèmes d’authentification à deux facteurs. Ce malware est spécialisé dans l’interception de « codes confidentiels de confirmation » émis par les banques sous forme de SMS. Il agit de manière assez simple. Dans un premier temps, une attaque en ingénierie sociale convainc l’usager de télécharger une appliquette de « sécurité » sur son téléphone. Cette attaque est généralement initiée lors de la visite d’un site web compromis. La phase suivante consiste à infecter l’ordinateur de l’usager pour qu’il serve de proxy. Le malware situé sur le pc pourra ainsi émettre des ordres de virement, lesquels provoqueront l’envoi d’un SMS de « double authentification » qui sera détourné par le malware situé sur le téléphone… pour être transmis au pirate supervisant Zitmo. Lequel peut alors prendre la main sur le transfert, expédier le « bon » code d’activation et récupérer le montant du virement, sur un compte situé quelque part entre la Bosnie-Herzégovine, le bas-Berry et le Kamchatka inférieur.

Ce portage de code prouve à la fois la bonne santé du marché Android (les auteurs de virus ne travaillent que sur des systèmes qui en valent la peine) et la difficulté qu’ont les banques à réagir rapidement lorsque leurs systèmes « inviolables » ont été compromis. L’usage des claviers virtuels à position aléatoire (une autre technique à « double facteur ») a commencé à se généraliser plus de 2 ans après que de nombreuses publications et recherches aient prouvé la fragilité de cette méthode. Les techniques de « call back » par SMS avaient déjà été compromises de très nombreuses fois, notamment il y a plus de 10 ans sur le réseau SFR lorsqu’un procédé analogue avait été mis en place pour authentifier l’accès au réseau WiFi de l’opérateur (accès aux contenus sms via Bluetooth, refus de la part de SFR de considérer la chose comme une « faille de sécurité directement liée à son réseau »).

Protecting moving targets : une étude de 16 pages sur la protection, la gestion des vulnérabilités et le déploiement de correctifs édité par Secunia (éditeur de logiciels d’inventaire de failles).

Encore une faille Bind ouvrant la voie à un déni de service, signalée par l’ISC. L’indice de gravité est de 7,8, niveau relativement élevé dénotant une exploitation distante envisageable.

Les associations de producteurs et autres intermédiaires de payement du monde de la variété (syndicat des éditeurs phonographiques, Sacem, Scam Snep …) sont parvenus à forcer le Ministère de la Culture à créer une Commission d’Enquête chargée de se pencher sur l’usage du Cloud Computing dans les grands réseaux de piratage. Un scoop signé une fois de plus Marc Rees dans les colonnes de PC INpact. Le but non avoué étant de trouver un moyen de financement supplémentaire sous couvert de « manque à gagner ». De nombreuses taxes reposant sur ce prétexte viennent déjà grever les budgets d’achats de disques durs externes, de supports inscriptibles de stockage (CD et DVD inscriptibles), accès Internet…

Cet appel à la fouille systématique des contenus externalisés a logiquement toutes les chances d’aboutir, après quelques remous et adaptations. Trouver à la fois une nouvelle source fiscale et un prétexte à filtrer les contenus ne peut que séduire certains gouvernements. Aux Etats-Unis, des dispositions identiques sont déjà en place, reposant sur le Patriot Act (antiterrorisme) et non pas sur les réclamations de l’industrie du divertissement audio-visuel.

Toute disposition législative Française allant dans le sens des marchands de variétés ne pouvant s’étendre que dans le cadre des frontières nationales, il n’y a strictement aucune chance pour que la lutte contre les grands centres de stockage de contenus douteux (MegaUpload et consorts) se solde par l’émission d’une commission rogatoire internationale. En revanche, l’impact sur le développement d’une industrie Française de l’hébergement sécurisé et confidentiel serait profond, voir fatal pour ce business naissant. Si les boutiquiers de la musique parviennent à avoir gain de cause et tuer dans l’œuf toute tentative de développement d’un Cloud national, les principaux bénéficiaires (Google, Microsoft, Amazon, SalesForce) leur voueront une reconnaissance éternelle.

Tandis que Microsoft joue les chasseurs de prime et les liquidateurs de viagra frelaté, Google, de son côté, travaille à réduire au silence les groupuscules extrémistes. Slate publie un article sur le sujet, qui décrit comment un Think-Tank Google envisage de détecter l’activité des jihadistes, des néo-nazis, des ultranationalistes Irlandais et autres terroristes en puissance lorsqu’ils utilisent le Net. « Nous avons les moyens de rassembler l’information » dit en substance Eric Schmidt, ex CEO et actuel Executive Chairman de Google.

L’auteur de l’article s’étend sur les capacités de recherche, sur les méthodes de financement d’une telle organisation anti-extrémistes violents, sur les intrications avec les polices locales… seule une courte conclusion reconnaît que les idées radicales pourraient se durcir encore plus si un tel flicage bigbrotheriste venait à s’intensifier, et reconnaît également que les grandes aspirations idéalistes sont le fait d’une jeunesse pas toujours réfléchie… vouloir supprimer l’extrémisme, ce serait surtout vouloir supprimer les désirs d’absolu de la jeunesse.

Pas une fois, en revanche, l’auteur ne s’interroge sur le fait qu’une entreprise de droit privé s’arroge le droit d’envisager de se substituer aux pouvoirs régaliens des états. Pas une seule fois non plus il n’est question de définir ce qu’est une idéologie extrémiste. Pas une seule fois encore il n’est fait référence à l’histoire et aux innombrables combats des états contre ce qui était, à un moment donné, une idéologie extrémiste.

Des naissances des principales « religions du livre » aux mouvements ouvriers du XIXème siècle, en passant par les croisades des pastoureaux, les guerres de religions, les épurations ethniques ou coloniales, nombreux ont été les mouvements extrémistes ou anti-extrémistes violents qui ont su réécrire l’histoire à leur avantage. Le pouvoir d’une entreprise lui donne-t-il le droit de s’autoproclamer régent des pensées et des opinions ? Si cette tendance venait à se confirmer, il ne faudrait pas s’étonner d’assister à un durcissement des actes cyber-radicaux … Contre la vision Orwellieno-messianique d’un Google, il risquerait de se développer un contre-contre-extrémisme à côté duquel les actes des Anonymous ou les LulzSec ne seraient que de vagues enfantillages.

Le billet de blog du MSRC signalant la prochaine livraison de rustines est également l’occasion pour l’équipe sécurité de Microsoft de pointer du doigt l’édition d’un nouveau special Security Intelligence Report consacré à l’opération B107, un raid visant à éliminer le botnet Rustock. A télécharger sur la page des SIR.

Déjà, par le passé, Microsoft s’était attaqué à un tel réseau, dans le cadre d’une contre-attaque baptisée B49, et qui visait un botnet de faible importance, Waledac.

Rustock est un plus gros morceau, avec 1,3 million d’adresses IP infectées, 30 milliards de spam émis chaque jour au plus fort de son activité, en août-septembre de l’an passé. En moins d’une demi-heure, expliquent les rédacteurs du rapport, un ordinateur Rustockisé expédie plus de 1400 requêtes DNS visant des stations de travail et plus de 2200 à la recherche d’enregistrements MX, donc de serveurs de messagerie. Durant ce même laps de temps, le virus en profite pour expédier un spam auprès de 1300 serveurs de messagerie devant servir de relais et signale sa présence à près de 22 machines d’infrastructure de bot (C&C, serveurs de stockage, de mise à jour etc.). Achevons ce rapide descriptif pour rappeler que Rustock utilise des adressages par nom de domaine et fait appel à des outils de communication par réseau P2P, contrairement à Waledac qui reposait sur un adressage IP fixe et des liaisons directes. En outre, Rustock pouvait transiter par des serveurs de messagerie tels que Hotmail : force de frappe considérable, chiffrement par SSL, impossibilité de remonter à la source émettrice…

L’aventure de l’opération B107 se lit un peu comme un roman policier. Certains détails fleurent bon la procédure américano-américaine, et donnent à l’aventure un parfum qui rappelle les exploits d’Eliott Ness. La première phase de l’opération, par exemple, a consisté à déposer plainte contre X pour usurpation des marques Microsoft et Pfizer. Plainte pouvant ensuite faciliter les saisies de matériel, et notamment les disques des serveurs et de certaines stations infectées par Rustock.

Car Rustock faisait partie des armes appartenant aux « clans mafieux des cyber-pharmaciens », ceux-là même qui ont récemment connu quelques déboires avec le FSB Russe. L’arrestation récente de Pavel Vrublevsky, cyber-banquier patron de ChronoPay, co-directeur de Rx-Promotion (un des polluposteurs sous bannière Canadian Pharmacy), et la fuite de son associé Igor Gusev, autre « pharmacien Canadien » et spammeur notoire, le tout conjugué avec l’attaque anti-Rustock de Microsoft, ont porté un coup important à l’arsenal cybermafieux. De 230 milliards de spam quotidien durant l’été 2010, l’on est passé à « seulement » 40 milliards en juin de cette année. Chiffres issus d’une récente étude publiée par Symantec. La fuite d’Igor Gusev, alias Spammit, le démantèlement de Rustock, les coups de filet du FSB se « lisent » sur la courbe saisonnière tracée par l’éditeur d’antivirus Américain.

Certes, si les chiffres et les affirmations provenaient d’organismes neutres et officiels, la chose n’en aurait que plus de valeur. Les rapports des polices tant Russes que des Etats-Unis, de France, d’Italie et autres pays d’Europe ayant participé à cette opération sont rares, voir totalement vides de données exploitables. Un détail qui dérange, qui montre les éditeurs sous les dehors flatteurs de redresseurs de torts, de justiciers irréprochables. Trop beau pour être vrai à 100% …