septembre, 2011

Longtemps, les études relatives à la sécurité ont chanté à l’unisson. Les virus venus de l’Est, les botnets fabriqués en Chine, les cyber-hacktivistes venus…de partout, les espionniciels concoctés par l’AntiFrance qui viennent jusque dans nos bras égorger nos pdf et nos emails… A tel point que lire successivement un rapport McAfee, un autre Kasperky, un troisième Matasano, Websense ou Verizon avait tendance à ressembler à la discographie de Britney Spears : on ne peut pas s’endormir à cause du bruit provoqué, mais la répétition des thèmes lasse le moins exigeant des auditeurs.

L’automne 2011, en revanche, nous promet du changement. Damballa, par exemple, un spécialiste de la chasse aux Botnets, nous en annonce jusque sur nos réseaux téléphoniques. Un argument qui prend sa source dans la découverte d’une infection de ce type ayant affecté le monde Android, dans lequel il a fallu lancer une campagne de nettoyage des applications pourries vendues sur les « marketplace » officielles. Le temps n’est plus, nous assure Damballa, où l’attaque des téléphones mobiles s’effectuait par le biais de SMS et applets Java aussi discrets que rares. Tous les éléments sont réunis pour que l’on commence à voir apparaître des « C&C », centres de contrôle et de commandement pour réseaux de bot, capables d’asservir des milliers de smartphones zombifiés.

Bon, d’accord, tout çà a un très léger air de déjà-vu, puisque le rapport annuel Cisco 2010 nous prédisait déjà un Armageddon de la téléphonie mobile. Pour preuve, la lente montée en puissance des lots de correctifs « poussés » sur les appareils. IOS 4, à lui seul, avait corrigé plus de 60 failles en date de publication du rapport Cisco. Y-a-t-il encore du code autour des trous ? Et l’on ne parle pas des téléphones « dangereusement Jailbreakés » (le « mot de passe par défaut » de SSH fait encore parler de lui…trou qui fit plus de bruit que de mal). Bien sûr, les trous de sécurité, voir les « indiscrétions » et « libertés » prises par certains éditeurs d’applications pour la plateforme Android sont utilisés pour confirmer ces prévisions pessimistes. Remarquons au passage que jusqu’à présent, si l’on a parlé du « nombre impressionnant de programmes peu sûrs » vendus aux possesseurs de smartphone, il n’a jamais été publié de statistiques précises sur le nombre d’applications réellement téléchargées et utilisées par les clients. Ce qui aurait donné une indication un peu plus sérieuse sur le risque réel apporté par ces applications. Tout çà ressemble un peu à certains « virus en chambre », très dangereux, très sophistiqués, très médiatisés, mais dont la zone d’impact ne dépasse que très rarement les limites de la banlieue Est de Bratislava.

Chez Norton, on change de ton et l’on préfère l’analyse sociologique à l’expertise binaire. Le tout dernier Cybercrime Report renoue avec la tradition des chiffres qui impressionnent : la cybercriminalité a coûté 872 millions d’Euros aux Français l’an passé, faisant plus de 9,4 millions de victimes. Une goutte d’eau comparée aux quelques 114 milliards de dollars de pertes au niveau mondial. Ce à quoi le communiqué précise « … pertes auxquelles, il faut ajouter 274 milliards de dollars de temps perdu à résoudre les incidents, selon les estimations des victimes. » Une industrie dont les frais de remise en route coûtent en moyenne trois fois plus chers que le sinistre lui-même devrait se poser des questions sur sa viabilité à moyen terme. Soit les personnes chargées de la reprise d’activité sont coupables d’escroquerie, soit l’outil n’est pas maîtrisé.

Et le véritable danger, précise l’étude, ce sont les réseaux sociaux. Une véritable drogue estiment les rapporteurs, puisque 23% des adultes français affirment ne pas pouvoir se passer d’Internet dans leur vie et 25% sont persuadés que sans réseaux sociaux, ils perdraient contact avec leurs amis. Avant que de savoir décrire précisément ce qu’est une « Advanced Persistent Threat », il serait peut-être bon de commencer par définir les mots « amis », « menace », « risque », « terroriste » ou « perte » …

Tel est pris qui télecopie… les Hollandais, nous rapportent nos confrères de Slate, renoueraient avec les vieilles technologies : télécopie, plume sergent-major, encre et papier… des technologies éprouvées qui ne risquent pas de subir les assauts d’un piratage par Internet.

Un retour qui serait par ailleurs plus ou moins suggéré par le gouvernement des Pays-Bas. Mais est-ce un conseil avisé ?

Le fax, pour quiconque sait plus ou moins modifier une date et une heure système, est le système de transmission le plus facile à falsifier qui soit (avec peut-être une mention « peut mieux faire » pour le télex, encore plus simple à truander). Quant à la plume et l’encre, elles ont nourri plus de faussaires depuis l’invention de l’écriture que les cybermafia Russes, Brésiliennes et Chinoises réunies ne peuvent aligner.

Mais il y a pourtant de l’idée derrière tout çà. La possible émergence de vieux métiers oubliés, tel que marchand de plaquettes de bois coupées en deux, ou graveur de sceaux, vendeur de cire, marchand de bougies, fabricant de tampons encreur, représentant en encres sympathiques, libraires spécialisés dans l’éditions de livres de « chiffre » à tirage très limité… Les liaisons Internet seraient rapidement détrônées par le téléphone (à ligne terrestre), voir par la télégraphie ou les signaux de fumée.

Mais la phrase la plus inquiétante de l’article de Slate est bien la dernière : « le gouvernement néerlandais planche sur la conception d’un nouveau système d’identification plus sûr… ». Une technologie « garantie par l’Etat », un système de protection « officiellement réputé inviolable »… autrement dit un système de certification dont la crédibilité ne pourra être mise en doute… le doute, probablement la valeur la plus difficile à entretenir en matière de sécurité informatique.

Pour commémorer les évènements du 11 septembre, Dancho Danchev dresse la liste de quelques 39 articles résumant 3 ans d’analyse sur le thème du Cyber-Jihad. L’hacktivisme politico-religieux ne date pas d’hier.

De l’impact de l’affaire Diginotar sur les autorités de certification et la confiance qu’on leur prête : tel est le titre d’un long article publié sur le quotidien du Sans, et rédigé par Mark Hofman. Hofman qui tique un peu à la lecture d’un communiqué de presse, dans lequel on pouvait lire « Vasco ne pense que pas que l’incident de sécurité de Diginotar aura une incidence significative sur les futures bénéfices ou le business-plan de l’entreprise » (Vasco est un vendeur de certificats qui tente d’appliquer la méthode Coué)

L’affirmation eut été probablement plausible si Diginotar avait connu ces quelques déboires il y a deux ou trois ans. Mais après les cafouillages DoCoMo et RSA, Diginotar ne fait que « confirmer une tendance » et vient, sur le plan de l’image de marque de la profession, de définitivement plomber le peu de renommée qui restait aux derniers boutiquiers de la certification encore en état de faire bonne figure. Car cette profession ne vend strictement rien d’autre que de la confiance, la seule denrée immatérielle qui ne ressemble pas au gruyère de supermarché : la présence du plus petit trou, de la moindre faille fait évaporer la confiance. Une « trust authority » sans trust, c’est exactement ce qui arrive aux banques en général et à certaines banques Françaises en particulier. Car le premier métier d’un banquier, c’est également de vendre de la confiance. Une confiance mise à mal par les agences de notation, qui mettent en doute le niveau de confiance que l’on prête à un état souverain, doute qui s’étend aux argentiers ayant prêté de l’argent (ou acheté les dettes) à ces mêmes Etats souverains. C’est là toute la différence entre l’industrie « brick and mortar » et les mondes virtuels et spéculatifs …

Promenade en unicode avec Adel Khaldi du Cert Lexsi : classique et amusant. Regard sur les « AET », mais sans le marketing qui va autour.

2008 server sur un notebook : un article truffé d’astuces publié par SearchWindowsServer. Article qui en rappelle un autre tout aussi efficace.

S’il est un domaine où l’asymétrie est élevée au rang de religion, c’est bien dans celui des armées. Un cheval de bois contre une forteresse imprenable, un lance-pierre contre un fortiche nommé Goliath, un missile à guidage thermique contre un bombardier à réaction facturé plusieurs milliards de centimes par Dassault Aviation, un communiqué de menace sur Al Jazeera pour entraîner un pays à dépenser des fortunes en troupes d’invasion… ou de maintien de l’ordre.

Mais ce qui est encore plus impressionnant, ce sont les trésors d’ingéniosité humaine consacrés à creuser encore plus l’écart de l’asymétrie. Moins cher qu’un missile guidé, la Corée du Nord vient de perfectionner l’art de brouiller l’écoute des avions occidentaux, nous apprend une dépêche de l’AFP. Un « super EMP » a contraint un avion-espion américain à rentrer à sa base, la totalité de ses instruments de radionavigation étant perturbés. Le « scrambler » était si puissant que des navires, d’autres avions de ligne, des particuliers utilisant un GPS ont également fait les frais de ce super « réseau CPL » de perturbation large bande. L’étendue et la force du champ électromagnétique laissent songeur. Ce jour-là, l’éther autour de la DMZ du 38eme parallèle devait probablement ressembler à celui régnant dans les parages de Duga 3.

Il en est un peu de même avec les attaques informatiques. Le brutal, efficace et pas cher l’emporte généralement sur le subtil et le discret dispendieux. Même si l’on tente d’embellir un vieil exploit légèrement repeint en APT de haut vol, histoire de ne pas paraître aussi ridicule qu’un particulier rappelé à l’ordre par la commission Hadopi. C’est pourtant au nom de la subtilité et de l’élégance que la dangerosité de certaines failles est qualifiée de «dangereuse » ou « d’inoffensive ». Un exploit distant utilisant une corruption mémoire particulièrement retorse aura droit à toute la considération des experts, une vulgaire attaque en déni de service n’attirera que mépris et gagnera difficilement un degré sur l’échelle de Richter des tsunamis numériques. Peut-être précisément parce que dans un cas il est possible d’apporter une riposte commerciale aussi précise et ciblée que l’attaque, et que dans l’autre il n’y a rien à vendre car il n’y a rien à faire au niveau du poste de travail.

T2’11 se tiendra du 27 au 28 octobre (bon anniversaire à Bill Gates) à l’hôtel Radisson Blue d’Helsinki. Les modalités d’inscription sont détaillées sur le site des organisateurs, et le calendrier des conférences est déjà arrêté. A noter, comme par le passé, la possibilité de gagner une place gratuite en résolvant le challenge. La première épreuve est, comme à l’accoutumé, relativement simple à résoudre (on y parle de http://t2.fi/ext/chalenge?level=09d642f60cbed162bh…. stoooop, c’est comme les questions « téléphonez au 36xx » des jeux télévisés, nous ne donnerons pas la réponse). C’est après que çà se corse. Un premier candidat a répondu en un temps record, il reste jusqu’au 18 du mois pour décrocher la seconde place gratuite.

Les sites web de 9 préfectures ont fait les frais, cet été, d’une attaque en « defacement » : Charente, Côtes-d’Armor, Deux-Sèvres, Hauts-de-Seine, Landes, Lot, Lot-et-Garonne, Manche et Pas-de-Calais… ce peinturlurage massif laisse penser qu’il y avait de la collocation dans l’air, et qu’un petit trou a permis l’accès à une série de serveurs protégés manifestement avec les mêmes moyens. Nos confrères de Zataz expliquent par le détail l’origine du hack … il n’y a là aucune revendication hacktiviste, rien de plus que l’activité somme toute classique de « serial defacers » qui s’ennuyaient. Habituellement, ce genre de sport se pratique plutôt en Turquie.

Le porte-parole du Ministère de l’Intérieur, Monsieur Pierre-Henry Brandet (cité notamment par nos confrères de RMC) affirme « qu’aucun élément d’importance stratégique n’avait été piraté » et qu’aucune donnée personnelle concernant les administrés n’avait pu être kidnappée par les pirates. Ce qui prouve manifestement que l’audit et l’analyse forensique qui a suivi ce piratage ont été conduites de main de maître et avec une célérité foudroyante pour réussir à tirer de telles conclusions.

Le Ministère a déposé plusieurs plaintes qui, compte tenu de l’extraterritorialité quasi certaine des defacers, vont rejoindre d’autres plaintes dans une sargasse paperassière et sécuritaire d’une utilité tout à fait discutable. En revanche, pas un mot n’a été prononcé sur les mauvaises pratiques qui auraient permis ces petits hacks sans trop de conséquences …

Peu de gouffres en cette rentrée. Il faut dire que la période estivale a été riche en lièges de tous types. Microsoft, pour sa part, publie un bulletin d’alerte signalant la répudiation de plusieurs certificats Diginotar. Cette action fait suite à la découverte de certificats forgés concernant *.microsoft.com et *.windowsupdate.com et émis par Diginotar, une autorité de certification Hollandaise. Une précédente alerte avait été émise fin août à destination des usagers de Vista, Windows 7 et des noyaux serveurs correspondants. Une méthode d’éradication manuelle des certificats avait même été publiée, toujours sur les pages du Technet.

La compromission serait le résultat du travail d’un hacker déjà connu pour avoir mis à mal une autre autorité de certification, Comodo. Dans un message de revendication, ce cracker affirme avoir également pénétré les secrets de trois autres autorités. Un seul nom sur les trois est dévoilé : GlobalSign, qui a immédiatement cessé tout fonctionnement et s’est lancé dans un audit de ses propres systèmes.

Les premiers résultats d’enquête laisseraient entendre que ce hack aurait été grandement facilité par de très mauvaises pratiques : serveurs de certificats situés dans un seul et même domaine, mots de passe faibles et surtout communs à plusieurs serveurs, machines cohabitant avec des systèmes reliés à Internet, mises à jour des machines approximatives… ceci sans mentionner que le hack aurait eu lieu courant juillet et n’aurait été révélé qu’un mois plus tard.

Il est intéressant (amusant ? inquiétant ?) de noter qu’outre Microsoft, l’une des principales victimes de ce hack d’autorité de certification a été le Gouvernement Hollandais. L’on se souvient des querelles byzantines soulevées à une époque par le fait que le CNRS insistait pour être sa propre autorité, à la fois par souci d’économie et par prudence… afin de ne jamais être tributaire des aléas d’une entreprise privée. Perte d’énergie et d’argent disaient les détracteurs, qui n’avaient probablement jamais entendu parler du « 50 ways to defeat your PKI » de Fred Cohen …

Ce droit au doute, cette réflexion sur la prudence ne semble pas avoir effleuré les politiques du plat pays, ce qui soulève une question : sur l’ensemble des pays de la communauté Européenne (et au sein même de l’organisation de la Communauté et du Parlement) combien de structures gouvernementales reposent sur un CA détenu par une entreprise privée ? Question subsidiaire : parmi les organisations utilisant des certificats « du commerce », combien sont clientes d’entreprises nord-américaines ?

Après les affaires RSA, Comodo et Diginotar, (et peut-être GlobaSign suivi de deux autres CA) la légitimité et surtout la réputation des marchands de certificats est devenue aussi discutable et discutée que celle des vendeurs d’antivirus ou de firewall.