octobre, 2011

Ross Anderson, professeur connu (et reconnu dans le domaine de la sécurité) enseignant à Cambridge, vient de publier un billet incendiaire à propos du futur bios Uefi supporté par Windows 8. Uefi est un successeur du bios traditionnel conçu par le TCG, le Trusted Computing Group, un conglomérat d’industriels regroupant Microsoft, Intel IBM, HP et AMD. Uefi est un outil de lancement et surtout de vérification d’extensions au système de base, qui n’appellera et n’acceptera que des codes signés et réputés sûrs. Ce super-bios étendu et à géométrie variable avait déjà été accusé de n’être qu’un moyen détourné pour interdire l’exécution de noyaux alternatifs (linux notamment). Cette fois, Ross Anderson laisse entendre qu’Uefi pourrait également constituer un moyen détourné pour exécuter lors du boot des applications et des éléments de systèmes non désirés par l’usager. Un antivirus qui n’accepterait pas la présence de ses concurrents, par exemple, ou un environnement « Metro » qui forcerait quasiment l’utilisateur à se connecter à l’AppStore Microsoft. Et quand bien même il existerait des réglages de type « opt out » qui permettraient d’éliminer certains de ces « choix obligés » que cette fonction devrait quand même être considérée comme abusive, car rares seraient les personnes qui désactiveraient ces caractéristiques « par défaut ».

Plus grave encore, continue Anderson, cette exécution de programmes au niveau Bios pourrait bien servir certains états peu regardants sur les libertés individuelles. Et de citer l’hypothétique exemple d’un gouvernement Turque demandant à Microsoft d’authentifier comme « acceptable » son keylogger gouvernemental.
Techniquement parlant, Ross Anderson raconte des choses plausibles. Politiquement parlant, cet universitaire a toujours fait preuve d’une certaine vivacité chaque fois que Microsoft envisageait d’intégrer des outils proches du boot ou du bios. Une véritable tempête avait notamment été déclenchée lors du lancement des fameux TPM supportés par Windows Vista, un autre développement du TCG. Les TPM n’ont pas, jusqu’à présent et de manière officielle, été utilisés pour installer des rootkits gouvernementaux ou pour interdire l’installation d’une Debian sur une carte « tépéhemisée ». Bien au contraire même, puisque le TPM est parfaitement pris en compte de nos jours par la majorité des parfums unixiens.

Alors, Ross Anderson est-il un Universitaire passéiste, ennemi des nouvelles techniques de protection ? Ou ses cris sont-ils des signaux d’alarme qui, par le passé, ont contraint les membres du TCG à adopter une attitude plus conciliante. Les partenaires du TCG, de leur côté, jurent que leur invention est bourrée de bonnes intentions. Mais souvent, le diable se cache dans les détails, et Anderson pourrait bien avoir mis le doigt sur l’un d’eux : la complexité pour certains développeurs n’ayant pas pignon sur rue d’obtenir cette « agrémentation à la signature Uefi », au bénéfice des entreprises de taille plus respectable. Un risque non négligeable de maintien de situations quasi monopolistiques dans le domaine de la sécurité notamment.

Le THC a publié la semaine passée un outil répondant au nom transparent de THC SSL DOS, en téléchargement gratuit sur le site du groupe. Son utilisation (bien entendu réservée aux seuls webmestres à des fins de test) peut très simplement écrouler un site Web par surconsommation de ressources CPU en exploitant une faiblesse SSL connue et décrite par le THC. La principale élégance de cette attaque est qu’elle ne nécessite aucun botnet important (une seule machine peut conduire l’attaque). Une grande ferme de serveurs, précise le communiqué, n’exige la mobilisation que d’une vingtaine d’ordinateurs portables tout à fait conventionnels et une bande passante de 120 Kb/s. Le but de cette publication est de dénoncer la confiance aveugle des administrateurs de sites envers ce que le THC considère comme un « modèle de sécurité dépassé et inadéquat ». L’outil d’attaque exploite un défaut de conception dit « de renégociation SSL » (fonction qui n’est pas systématiquement utilisée par tous les serveurs). Cette renégociation sert à générer une nouvelle clef immédiatement après l’établissement de la communication chiffrée entre le poste client et le serveur. Cette opération consomme, précise le THC, 15 fois plus de ressources CPU sur le serveur que sur le poste client.

… mais d’histoires de pirates ! Imperva vient de publier une analyse portant sur les conversations et échanges de plus de 220 000 « black hats » tenues sur des forums underground. Etude d’autant plus passionnante que c’est probablement la première du genre à avoir été rendue publique et portant sur un échantillonnage aussi élevé et une période aussi longue (de 2007 à fin 2010). Les chiffres révèlent ainsi les sujets d’intérêt du moment et les évolutions des demandes techniques des « apprentis cyber-truands » et des réponses données par les contributeurs expérimentés. Une sorte de cyber-cour des miracles où l’on parle d’attaques en déni de service (20%), d’injections SQL (19 %) de spam (16%), de brute force et de shell code (12% pour chacun). Dans 25% des échanges, les propos portent sur des techniques d’initiation (beginner hacking dit la classification), tandis que 22 % des « threads » (fils de discussion) traitent d’outils et programmes de hacking et de la manière de les utiliser, et 21% du hack spécifique de sites web et de forums. Mais l’on cause également de cryptographie, d’ingénierie sociale, de phreaking (détournement de factures téléphoniques), de piratage de messageries instantanées ou de routeurs WiFi mais là, dans des proportions nettement plus faibles. Au fil des trois dernières années, les techniques de hacking « à la portée de tous » se sont singulièrement développées. Tant en volume (400 sujets par jour en 2007, plus de 5000 par jour en moyenne fin 2010) qu’en variétés. Si, il y a trois ans, l’on ne discutait pratiquement que d’exploitation de BoF (BufferOverFlow) et d’attaques par injection SQL, on a vu apparaître plein de mots nouveaux depuis : CSRF, XSS, shell code, DDoS, ZDE, injection HTML… les sujets considérés comme longtemps réservés à des « ÜberHackerz » sont largement vulgarisés dans ces écoles du hack noir.

Lorsqu’une attaque d’envergure frappe une entreprise aussi importante que RSA, il est rare qu’elle soit la seule à essuyer un cyber-feu nourri. Lorsqu’une méthode d’attaque est efficace, il serait effectivement assez incompréhensible que l’attaquant se limite à une seule cible. Non seulement parce qu’une fois l’attaque détectée, des contre-mesures sont immédiatement mises sur pied, rendant tout exploitation ultérieure vaine, mais également parce que seul le développement de la première munition coûte cher. Plus elle sera utilisée, mieux elle sera rentabilisée.

Et c’est ce qui est arrivé lors de l’attaque RSA : Brian Krebs rapporte que plus de 760 autres sociétés (dont beaucoup appartiennent au « Fortune 100 » US), ont fait les frais de cette même vague d’attaques … dont plus de 80 % ayant pour origine apparente des C&C situés en Chine. Yahoo, Worldnet, Orange, Verizon, Proxad, OVH, NTT… pratiquement tous les opérateurs importants sont cités, liste qui masque en fait l’identité véritable des victimes, puisqu’il y a de fortes chances que ce ne soit pas les opérateurs eux-mêmes qui aient fait les frais de ce cyberblitz, mais certains de leurs clients hébergés. Beaucoup de banques et organismes financiers également, ainsi que des sous-traitants travaillant pour le compte des armées, de l’Administration Fédérale US ou des entreprises représentant un poids certain dans l’économie nord-américaine : Novell, Northrop, Cisco, eBay, IBM, Intel, RIM, le MIT, Verisign, VMWare, Wachovia, Wells Fargo… un écheveau de victimes qui se déroule d’un coup alors que l’omerta de la respectabilité était jusqu’à présent parvenue à passer ces faiblesses sous silence.

Il s’agira, promet le gendarme des télécoms US, d’une application capable de définir, pour une PME, les grandes lignes d’une politique de sécurité définies par les réponses à quelques questions simples : utilisez-vous des réseaux sans fil, possédez-vous un site Web marchand… Le questionnaire en question, baptisé « small biz cyberplanner », a été présenté la semaine passée par le patron de la Federal Communications Commission. Un travail de sensibilisation et une application effectués en collaboration avec le DHS, le NCSA, la Chambre de Commerce US, le Chertoff Group, Symantec, Sophos, Visa, l’Identity Theft Council… pour ne citer que les plus connus.

C’est un peu comme si l’Arcep Française, de pair avec les Ministères de l’Intérieur et du Commerce, du Cert Ist, de l’Anssi, de quelques « thinktanks » Européens et d’un conglomérat d’entreprises privées genre NetAsq, Arkoon, HSC et similaires, commençait à développer des logiciels de conseil à la consolidation des défenses périmétriques. Le tout destiné, une fois n’est pas coutume, non pas aux seigneurs du CAC 40, mais aux PME de toutes tailles, autrement dit à plus de 80 % du tissu industriel national.

Les questions posées par l’application étant a priori génériques et les conseils « de bon sens », rien ne devrait interdire les entreprises de notre pays d’utiliser cet outil dès sa mise à disposition gratuite mi-novembre.

Kostya Kortchinsky vient de publier une collection d’URLs consacrée au virus Duqu et aux points communs avec Stuxnet

Une faille Flash (une de plus) est en attente de correction de la part d’Adobe. Révélée par Feross Aboukhadijeh, de l’Université de Standford, elle a servi à l’écriture d’un exploit permettant de détourner les données d’une Webcam (http://www.feross.org/webcam-spy/)

20 trous dans le JDK et JRE 5, 6, 7 et 1.4.2_33 d’Oracle. A noter que ce lot de rustines colmate la faille SSL TLS qui fit tant couler d’encre début septembre …

La clebs du problème, pour l’administration chargée du respect des fréquences en France, c’est qu’il faut se donner un mal de chien pour faire respecter les règles d’importation liées à certains matériels de communication. C’est notamment le cas des colliers canins avec gps intégré, qui seraient susceptibles de (sic) « perturber des fréquences exploitées en France par la Défense, l’Intérieur ou le Conseil supérieur de l’audiovisuel ».Là où Médor passe, les régiments de transmission trépassent.

Car ces colliers-traceurs ne visent pas un marché de niche. Depuis que les circuits GPS de génération Sirf III sont vendus quelques centimes pièce, la meute des marchands de gadgets de géolocalisation a pris du poil de la bête. Après tout, il ne faut pas être un cador en électronique pour en concevoir : le récepteur gps égrène un flux de coordonnées au format NMEA (généralement en mode sériel 4800, n, 8, 1), flux qui est retransmis soit par un GSM, soit par un émetteur VHF. Les données sont ensuite interprétées sur le terminal récepteur et affichées sur une carte indiquant la position du cabot fugueur. La solution a du chien et séduit les chasseurs ne sachant plus chasser sans… etc. Les produits d’importation achetés sur Internet peuvent provenir de pays fort éloignés, dans lesquels les attributions de fréquences ISM ne sont pas les mêmes qu’en Région 1… raison de l’humeur de dogue des fonctionnaires de l’ANFR et des aboiements des fins limiers des services d’écoute ainsi brouillés.

Une récente étude publiée par le British Medical Journal laisse entendre que l’usage des téléphones mobiles ne semblerait pas accroître les risques de tumeurs cancérigènes du système nerveux central chez les usagers. L’étude en question a été conduite par l’Institut d’épidémiologie du cancer de Copenhague, entre 1990 et 2007, et portant sur un peu moins de 360 000 abonnés. Durant cette période, un peu moins de 11 000 tumeurs ont été détectées, soit un taux sensiblement identique à celui des personnes n’utilisant pas de téléphone mobile. Et ce y compris pour les « early adopters » qui utilisent des terminaux mobiles depuis les années 90 et n’ont jamais cessé de les utiliser.

Certaines précautions d’interprétation doivent cependant être prises, insistent les auteurs de ce rapport, puisque les usagers professionnels « intensifs » n’ont pas été particulièrement pris en compte. En France, le principe de précaution contraint les possesseurs de systèmes d’émission, toutes fréquences et toutes puissances confondues, à faire une déclaration de puissance apparente rayonnée de leurs installations. Pourtant, par le plus grand des hasards, certains émetteurs institutionnels ou d’opérateurs n’y figurent pas… probablement le fruit de la surcharge de travail de l’administration.

Il n’existe toujours pas d’étude épidémiologique prouvant ou non si le téléphone pouvait provoquer d’autres conséquences cérébrales, d’ordre psychologique et névrotique notamment. Les réactions de certaines populations observées face à la gadgetophilie (lors du lancement d’un nouvel iPhone ou la mise sur le marché d’un modèle Android) laisseraient peut-être supposer le contraire … Pourtant un téléphone intelligent, ça ne peut pas rendre idiot.