septembre, 2011

Madame Isabelle Falque-Pierrotin vient d’être nommée à la tête de la Commission Nationale Informatique et Libertés, succédant ainsi à Alex Türk. « IFP », précédemment Présidente déléguée et générale du FDI (Forum des Droits sur Internet), avait été notamment critiquée pour avoir imposé sa propre révision des statuts du FDI contre l’avis majoritaire du collège des utilisateurs, ainsi que pour être à l’origine du manquement de toute évaluation des « machines à voter » en 2007. Cette dernière position lui avait valu d’être nominée au Big Brother Awards …

Rustine éclair pour flash : Toutes plateformes, 6 CE le bulletin d’Adobe signalant la dernière édition corrigée de flash. L’alerte considérée comme critique.

Microsoft a republié un correctif pour les usagers de XP à 2003, reprenant la révocation de certificats « compromis » d’origine Diginotar

Nos éminents confrères de PC-INpact viennent de publier deux articles, l’un sur les réactions de Nicolas Seydoux (un tenant de l’industrie du divertissement), l’autre sur les statistiques impressionnantes des procédures administratives d’Hadopi. L’approche des échéances électorales semble frapper la Commission et ses défenseurs d’une frénésie inquiète… des emplois sont en jeu, des budgets pharaoniques, une machine de guerre corporatiste sans précédent, des pressions qui poussent même certains officiels à assimiler les opposants d’Hadopi à des malades mentaux. Propos définitifs sinistres résonant d’échos historiques encore plus sinistres …

Ce « après nous le déluge » promet une fin du monde à toute personne osant prôner une solution différente (la notion de « licence globale » est ici clairement visée) ou plus radicale (imposition des opérateurs selon une péréquation C .A. Adsl/volume de trafic routé) montre à quel point le dialogue entre partisans et opposants a été coupé, à quel point les positions de chacun sont devenues totalement dogmatiques, dénuées de la moindre réflexion ou analyse. L’on en viendrait à souhaiter être transporté après le 7 mai 2012. Ne serait-ce que pour ne plus entendre cette surenchère verbale …

Diginotar, un mois après la découverte d’un trou béant dans ses défenses périmétriques, a fini par fermer ses portes. Le fait est assez remarquable puisque, depuis les toutes premières grandes affaires de fuite d’information (CardSystems en 2005 fut d’ailleurs l’objet d’une étude en ce sens), Diginotar est l’une des très rares entreprises pour qui le manquement à des règles de sécurité ont été fatales. Précisons également que Diginotar, contrairement à TJX, Sony, Heartland, Sears et consorts, n’était pas directement opérateur fiduciaire (même si l’on peut considérer que ses certificats aient pu servir à garantir des opérations financières). Le « consensus protecteur » corporatiste et les techniques de capture de clientèle n’ont donc pas joué : Vae victis, Diginotar a payé, victime expiatoire et alibi d’un long cortège d’erreurs d’administration, de boulettes de déploiement, de bévues d’équipements et de j’menfoutisme sécuritaire. La seule véritable information et amoralité de l’histoire, c’est qu’en cas de faille majeur, le taux de dépôt de bilan résultant desdites erreurs ne dépasse pas le dixième de pourcent en général, et s’approche de l’inverse de l’infini si l’on ne s’intéresse qu’au très opaque secteur des banques et des assurances. L’oraison du plus mort est toujours la meilleure …

« Il » s’appellerait Kweku Adoboli, « il » serait soupçonné d’avoir fait perdre (sans précision aucune) près de 1,7 million de francs à UBS (soit 2 milliards de dollars ou 1,5 milliard d’euros), « il » a immédiatement provoqué une certaine effervescence dans le milieu des attachées de presse chargées de la promotion des entreprises spécialisées dans les surveillances des transactions des organismes financiers et autres gourous des audits de sécurité. « Il » prouve, si besoin était, que le monde des banques reste totalement hors de contrôle tant politique que législatif et technique, malgré le nombre croissant d’affaires semblables.

L’on peut d’ores et déjà saluer un double record remporté par l’UBS. Le premier, et de loin le plus remarquable, est d’avoir su se hisser dans le très élitiste peloton de tête des banques frappées par des opérations de trading hasardeuses d’un montant de pertes supérieur à un milliard de dollar. Avec 2 milliards de pertes, UBS se place un poil devant Barings (l’employeur du célébrissime Nick Leeson) la Metallgesellschaft, la banque Daïwa et le comté d’Orange. Mais il faudra encore prodiguer quelques efforts pour battre la Bawag (2,5 milliards de dollars), Sumimoto Corp (2,6 M), la Long Term Capital Management (4,6 M), le Crédit Lyonnais (affaire Paretti, 5 milliards de dollars), Amaranth Advisors (6,5 M), sans oublier bien sûr la Société Générale avec l’affaire Kerviel, 7,2M$ estimés, record absolu et hors catégorie. Remarquons au passage que toute « blague Suisse » serait fort mal venue compte tenu des scores exceptionnels affichés par les établissements Français (liste à laquelle l’on pourrait presque ajouter la Caisse d’Epargne, affaire Picano-Nacci, qui a péniblement plafonné à 0,97 milliard de dollars).

Autant d’exemples qui prouvent que quel que soit le niveau d’indicateurs, de règlementations, de garde-fous, de métriques truffées de cotes d’alertes, de règles de « gouvernance », de logiciels sophistiqués et de procédures réputées inviolables, il existera toujours un risque lié (inhérent ?) aux entreprises qui font dans le « produit financier ». Risque doublé d’une amnésie (un Alzheimer financier) quant aux « bonnes résolutions » que ces organismes ressassent aux politiques après chaque catastrophe suivie d’un plan de relance.

Le second record remporté par UBS est celui de la « loi des séries » qui semble poursuivre l’établissement avec assiduité. La banque avait largement trempé dans l’affaire des sub-primes, opérations spéculatives qui avaient contraint le gouvernement Helvétique à mettre la main au portefeuille pour renflouer l’entreprise. Ce qui, à l’époque, avait provoqué de vives réactions tant dans les médias que de la part des partis d’opposition. Mais ce n’est pas tout.

Courant 2008/2009, l’UBS avait dû faire face à une fuite importante de capitaux estimée à 250 milliards de dollars. Les clients partaient en rangs serrés depuis que Washington avait désigné cette banque comme l’un des vecteurs d’évasion fiscale de certaines grandes fortunes d’Outre Atlantique. Evasion qui aurait été « lourdement suggérée » par la direction de la branche américaine de l’UBS, dont les CxO ont été limogés depuis. Après un procès retentissant, la Maison Blanche avait exigé une levée partielle du secret bancaire, ce qui avait provoqué un vent de paniquer chez les économiquement pas faibles. Déjà qu’après la « fuite Falciani », une autre banque Suisse, la HSBC, avait vu les listings de bon nombre de ses clients tomber entre les mains des fonctionnaires de Bercy… Il y avait comme un certain « blues du businessman » sur les terrasses de Davos et les ports privés lémaniques. L’article 47 de la loi du 8 novembre 1934 exigeant le mutisme des banques de la Confédération à propos de leurs clients avait du plomb dans l’aile.

Cette loi des séries, aggravée par la conjoncture économique actuelle, avait conduit l’UBS à engager plusieurs plans sociaux ayant débouché sur le départ de près de 3500 employés dans le monde. Selon nos confrères de l’agence Reuter, le montant de cette économie structurelle est évaporé par le mauvais coup en bourse du trader-aventurier.

La semaine passée, le « hacker de Comodo » avait affirmé publiquement avoir compromis, outre les serveurs de Diginotar, quatre autres C.A. dont Globalsign. Cette dernière avait immédiatement cessé toute opération et immédiatement entamé un audit de ses services. « Nous reprenons nos activités » déclarait ce mardi soir le vendeur de certificats, qui précise que la seule intrusion constatée était celle de sa vitrine Web, qui est, nous assure-t-on, totalement isolée de l’infrastructure consacrée à la fabrication et à la délivrance des certificats.

Le Sans, pour sa part, fait remarquer qu’il serait imprudent, pour les clients de Globalsign, d’abandonner leur ancien fournisseur de service tant que l’on ne connaît pas l’identité des trois autres CA compromises. En effet, même si les revendications de DocomoHacker sont un peu exagérées semble-t-il, elles sont confirmées par les constatations nées de l’audit de Globalsign, et tendraient à confirmer la véracité des dires du pirate. Quitter ce fournisseur, explique Swa Frantzen dans le « journal » du Sans, ce serait risquer de tomber entre les mains d’une CA compromise mais dont personne (surtout pas le CA en question) ne soupçonne la vulnérabilité.

5 rustines, 15 vulnérabilités : le mardi des rustines de la rentrée est relativement calme. Calme relatif toutefois, puisque les correctifs MS11-071 et MS11-074 doivent si possible être appliqués avec rapidité, les failles qu’ils corrigent ayant déjà fait l’objet de publications. Il s’agit respectivement d’un risque d’exploitation à distance d’un défaut Windows et d’une possibilité d’élévation de privilège reposant sur un bug Sharepoint. MS11-072 n’est pas triste non plus, puisqu’elle ouvre la voie à une exécution de code arbitraire à l’aide d’un fichier Excel forgé. Toutes les éditions d’Excel sont concernées, versions Mac et Windows, y compris les plus récentes, « 2010 », y compris.

On notera que, sur les 5 rustines, deux d’entre elles colmatent une fois de plus des trous de «détournement de DLL »… un boulet que traîne Microsoft depuis plus d’un an, un tonneau des Danaïdes qui ne semble jamais pouvoir se combler. Détail amusant, la série de bulletins d’alerte a été momentanément disponible durant la nuit de vendredi dernier. Un « loupé » anticipatif qu’a remarqué le Sans.

Au détour d’une note de blog, l’on apprend également que la chasse aux certificats douteux d’origine Diginotar continue, et que de « Patch Tuesday » est complété par l’immolation de 6 nouveaux certificats, comme précisé par un billet rédigé sur le blog du MSRC.

Chez Adobe, qui publie également ses bulletins et rustines le second mardi du mois, la pitance est toute aussi consistante : un seul bulletin d’alerte, mais 13 CVE corrigés d’un coup. Les vulnérabilités corrigées sont considérées comme critiques et peuvent être exploitées via un fichier forgé. Ces failles concernent les versions 10.1 et précédentes du Reader et d’Acrobat pour Windows et Macintosh, et 9.4.2 et antérieures du Reader pour Unix.

C’est dans un peu plus de 5 mois, le 13 mars prochain que se tiendra la prochaine Journée de la Sécurité des Systèmes d’Information (JSSI), organisée chaque année par l’Observatoire de la Sécurité des Systèmes d’Information et des Réseaux (Ossir). Une manifestation qui sera placée cette année sous le thème des tests, des audits, des recherches de preuves… que l’angle soit purement technique ou doctement juridique. Un appel à communication est donc lancé à destination des professionnels souhaitant partager leur savoir ou leur expérience en ces domaines.

Les sujets privilégiés cette année sont arrêtés comme suit :

– Test d’intrusion

– Audit de systèmes ou de produits

– Retours d’expérience sur des cas d’intrusions réelles

– Autopsie (forensics) et reprise après incident

– Analyse de code malveillant (malwares)

– Lutte contre les intrusions (prévention, protection des données, détection)

– Outils intrusifs

– Cadre juridique et réglementaire autour de l’intrusion et du test d’intrusion

Les propositions doivent être envoyées à l’Ossir par courrier électronique (JSSI12 à ossir.org) avant le 5 décembre de cette année. Le choix des communications sera arrêté le 23 janvier 2012.

C’est dans un peu plus de 5 mois, le 13 mars prochain que se tiendra la prochaine Journée de la Sécurité des Systèmes d’Information (JSSI), organisée chaque année par l’Observatoire de la Sécurité des Systèmes d’Information et des Réseaux (Ossir). Une manifestation qui sera placée cette année sous le thème des tests, des audits, des recherches de preuves… que l’angle soit purement technique ou doctement juridique. Un appel à communication est donc lancé à destination des professionnels souhaitant partager leur savoir ou leur expérience en ces domaines.

Les sujets privilégiés cette année sont arrêtés comme suit :

– Test d’intrusion

– Audit de systèmes ou de produits

– Retours d’expérience sur des cas d’intrusions réelles

– Autopsie (forensics) et reprise après incident

– Analyse de code malveillant (malwares)

– Lutte contre les intrusions (prévention, protection des données, détection)

– Outils intrusifs

– Cadre juridique et réglementaire autour de l’intrusion et du test d’intrusion

Les propositions doivent être envoyées à l’Ossir par courrier électronique (JSSI12 à ossir.org) avant le 5 décembre de cette année. Le choix des communications sera arrêté le 23 janvier 2012.