octobre, 2011

Duqu, nous apprend Symantec, serait un virus génétiquement lié à Stuxnet. Duqu ne serait qu’un simple récolteur de données, pas un vecteur d’attaque scada

Les jeunes et les cyberpédophiles, ça ne rapporte plus des masses dans les médias, les ventes d’outils de filtrage … Alors on vise désormais le troisième âge cyberéquipé. Aux USA du moins. Car, nous apprend ce communiqué de Verizon, une alliance s’est créée constituée de l’opérateur susnommé, du DHS, du NCSA et de quelques autres entreprises de droit privé. Tout ce monde-là pour distiller des conseils de prudence aux « 74 ans et plus ». Car dans cette tranche d’âge, nous explique-t-on, tous les Internautes ne s’appellent pas Phil Karn et n’ont pas porté TCP/IP sur les fonts baptismaux.

Initiative louable qui part vite en eau de boudin. Certes, au tout début, on ne se doute de rien. Le premier conseil semble frappé au coin du bon sens et de l’hospice de Beaune ( assurez-vous que votre antivirus et firewall sont actifs ). Mais ça se gâte très rapidement, dès le second conseil : « If you are using a wireless router for your home network, make sure it has adequate security. Verizon recommends the use of a minimum of WPA or WPA2 security encryption on home routers ». WPA2, touché-coulé ? Si l’auteur de ces quelques lignes osait répéter çà à sa chère maman, non seulement il se ferait gronder pour avoir osé sortir tant de gros mots, mais en outre, la portée de ses propos auraient été identiques que s’il avait émis une remarque sur l’art de programmer en style K&R et sur le rigorisme de la programmation structurée dans les années 90.

Quelle est la finalité ultime du message ? Créer une armée de s3ni0r-3l3t3 maîtrisant la discipline du subneting et de l’analyse de trame ? Ou ouvrir un nouveau marché en ressassant la rengaine « Grand-père, grand-mère, faut acheter un antivirus et un firewall », pour que même les retraités contribuent à la sauvegarde de l’industrie de la protection périmétrique lourdement touchée par la crise économique actuelle ?

Chez nous, en France, le délit d’incompétence technique est toujours poursuivi … Un internaute piraté est un internaute coupable, qu’il ait 7 ou 77 ans.

L’Arcep lance une consultation publique sur les « équipements auxiliaires sonores de conception de programmes et de radiodiffusion ». Soit, en termes plus simples, les micros sans fil utilisés notamment dans les studios TV, les salles de bal, les reportages radio-TV « sur le terrain » etc. Des équipements UHF d’une puissance 10 fois inférieure à celle d’une carte WiFi (10 mW).

Cette consultation est la conséquence d’une situation assez… embrouillée. Depuis que les « vieux canaux TV » (white spaces) ont été libérés par l’arrivée de la TNT, un jeu des chaises musicales a légèrement fait bouger les acteurs du domaine.

D’un côté les fabricants de microphones HF qui réclament de nouvelles allocations, une partie du spectre précédemment utilisé ayant « disparu ». De l’autre les professionnels du broadcast TNT qui déplorent le fait que quelques téléspectateurs ne pouvaient recevoir correctement leurs programmes.

Ce couplet du « ôtes-toi d’ma bande » fait d’ailleurs écho à une autre brouille, celle qui oppose les opérateurs 4G (dont un segment de bande tombe précisément dans le spectre UHF des 800 MHz) et les opérateurs TNT : les premiers accusant les seconds de perturber la bonne marche du réseau téléphonique cellulaire nouvelle génération. Le nombre de perturbations est estimé à quelques centaines de milliers à peine. Le découpage chirurgical et les susceptibilités financières de chacun (qui payera les solutions techniques antibrouillages) ne facilitent pas particulièrement le dialogue entre opérateurs, autorité de régulation et gouvernement.

Quel rapport, dira-t-on, avec les réseaux en général et la sécurité en particulier ? Les fameux « white spaces » bien sûr. Car Outre-Atlantique (ainsi qu’en Grande Bretagne), on s’intéresse de plus en plus à utiliser une partie de ces fréquences UHF délaissées par la vieille télévision analogique pour le fameux « super-Wifi », une version bas débit et longue distance des Wlan. Si la sauce prend dans les Amériques (région 3 régie par des recommandations UIT différentes de celles s’appliquant à l’Europe), il se pourrait bien que l’aventure WiFi recommence : importations « grises », montée en puissance de ces émetteurs qualifiés de « pirates » dans un premier temps, puis reconnaissance du « fait acquis ». Généralement, lorsque des appareils de la famille «bande ISM sans licence », à bas coût, sont vendus aux USA, ils finissent un jour ou l’autre par submerger le vieux continent. Cibistes, usagers des réseaux WiFi ont, par le passé, décroché leurs homologations « avec les dents ». Le Super-Wifi pourrait bien suivre un chemin analogue.

Notons que la règlementation imposée par la FCC aux USA oblige les appareils Super-Wifi à changer de bande lorsque la fréquence est déjà occupée par un émetteur plus officiel. C’est une caractéristique propre aux équipements radio utilisant un spectre avec « statut secondaire ». Hélas, les mécanismes semblables installés sur les points d’accès WiFi actuels prouvent que ces « gadgets » ne servent strictement à rien. Pour qu’un point d’accès accepte de changer de fréquence, il faut un niveau d’énergie généralement supérieur à -60dBm, les récepteurs en question étant généralement « sourds comme des pots ».

La Fédération Internationale des Droits de l’Homme (dont la charte est directement inspirée de la déclaration Française de 1789), vient de porter plainte contre une entreprise précisément Française, Amesys, filiale du groupe Bull, pour « complicité d’actes de torture ».

Amesys est spécialisée dans la commercialisation de systèmes d’interception des communications. Depuis un certain temps déjà, nos confrères de Owni, les articles de Jean-Marc Manach, les papiers de Bluetouff et Kitetoa dans Reflet et même certains médias grand public tel le Figaro s’étaient émus de la livraison de tels appareils au régime du colonel Kadhafi.

Au rythme des articles, les positions de l’entreprise ont dû se plier au jeu difficile de la communication de crise et de la préservation de l’image de marque. Comment, s’interrogent les médias, de tels outils de flicage massif aient pu être vendus à un état connu pour ses positions antidémocratiques ? Plusieurs arguments ont été évoqués.

A commencer par le climat de détente entre Paris et Tripoli après l’affaire des « infirmières Bulgares » durant laquelle la Lybie avait joué le rôle de médiateur.

Ensuite, la vente de ce genre d’équipement est plus ou moins perçue comme l’est celle des armes : si nous ne le faisons pas, d’autres le feront à notre place, cela supprimera des emplois et aggravera le déficit de notre balance extérieure. Une logique libérale peu en accord avec une éthique non-interventionniste et respectueuse du droit des peuples à disposer d’eux-mêmes. En outre, contrairement à des livraisons d’armes, destinées généralement à des militaires combattant des militaires, les outils de surveillance des grands réseaux de communication ont pour cible directe et unique la population civile.
Un autre argument est venu compléter ce discours : ces outils ne servent qu’à chasser les terroristes. Réponse qui, comme le font remarquer les enquêteurs de Reflet, ne tient pas franchement debout. Les équipements vendus par Amesys seraient essentiellement étudiés pour surveiller des flots massifs d’information et non mettre sur écoute un quarteron de suspects en retraites*. Il s’agirait là d’une inadéquation de la réponse en regard des possibilités du matériel et des logiciels de pilotage fournis …

Se pose également la question de l’usage de ces mêmes équipements sur « les marchés privilégiés » de l’entreprise. Car en dehors des dictatures, dont le soutien actif demeure moralement discutable, il ne reste guère que d’autres démocraties « avec lesquelles le gouvernement Français a noué des partenariats stratégiques » (dixit le Figaro). Et là, l’installation de systèmes d’écoutes massives est encore plus questionnable, et ne peut s’expliquer par l’unique nécessité de mettre à disposition un armement technique hightech aux fonctionnaires chargés du respect de la loi.

Amesys est une entreprise commerciale dont la fonction première est de produire et vendre. Elle porte cependant la responsabilité morale du choix des produits qu’elle fabrique. Mais Amesys n’est pas seule à intervenir lorsque lesdits outils sont vendus dans le cadre de contrats d’Etat à Etat. Il y aurait donc derrière ces marchés une responsabilité politique évidente que la plainte de la FIDH pourrait faire apparaître.

*NDLR note de la correctrice : retraites au pluriel, car l’auteur invoque semble-t-il le « lieu où l’on se retire », et non la fin d’une carrière de poseur de bombes

Steve Ragan de Security Week se penche sur un rapport publié par Trend Micro signalant l’existence d’un virus sur plateforme Android capable de prendre ses ordres d’un blog situé en Chine.

Très schématiquement, le malware contacte à périodes régulières son « blog C&C », qui, à son tour, se charge d’expédier les commandes de mise à jour sous forme de fichier XML. Cette technique est d’autant plus intéressante qu’elle rend le botnet quasiment invulnérable tant que le malware lui-même est capable de dénicher un blog ou tout autre serveur capable de fournir un service identique.

L’idée avait d’ailleurs été développée il y a plus de 2 ans par MM Itzik Kotler et Ziv Gado, alors chercheurs chez Radware, et avait fait l’objet d’une communication dans le cadre de la conférence parisienne Hackito Ergo Sum 2010. Les deux chercheurs avaient d’ailleurs poussé la logique encore plus loin, puisqu’ils avaient envisagé d’utiliser des « mots clef » anodins qui, une fois traduits par le malware, pouvaient correspondre à des ordres précis : ouverture du bot, déclenchement d’attaque, mise en sommeil, lancement d’une procédure de mise à jour etc. Si ces mots clefs étaient détectés à un endroit précis d’un commentaire de blog, d’une petite annonce Craigslist ou d’un article de journal en ligne (autrement dit des « C&C à l’insu de leur plein gré » impossible à fermer), le bot se mettait immédiatement en branle.

Ce qui prouve que parfois, les scénarii techniques les plus science-fictionnesques entendus lors d’une conférence de sécurité peuvent inspirer des auteurs de malwares.

Sony, le retour : 93000 comptes de jeux en ligne suspendus suite à une nouvelle campagne de hack selon NetworkWorld

Un virus enquiquine les ordinateurs de pilotage des drones de l’armée US. Cloisonnement des réseaux, qu’ils disaient au DoD…

Le volume 11 du SIR, le traditionnel Security Intelligence Report publié par Microsoft pour le premier semestre 2011 est disponible en téléchargement sur le site de l’éditeur. Un résumé en Français peut être téléchargé depuis la page d’accueil

Deux chercheurs de l’Université de Bochum David Oswald et Christof Paar, viennent de publier le fruit de leurs recherches prouvant une fois de plus qu’il était possible d’extraire la clef « secrète » d’une carte RFID de type MyFare DESFire MF3ICD40 (alias Myki, utilisée notamment par la régie des transports de Sydney). Ce n’est là que la continuation des travaux de ces deux chercheurs, en grand partie dévoilés lors de la conférence de Amherst en juin dernier. La toute dernière publication décrit par le détail la manière employée par les deux chercheurs pour extraire la clef de 112 bits intégrée dans une carte, en utilisant la méthode déjà très populaire de mesure de la consommation des circuits lors des dialogues carte/portique. La méthode est toutefois loin d’être triviale, et le monde RFID n’est pas prêt de basculer. Ceci étant, le nombre de cartes RFID réputées faillibles et en circulation dans le monde est assez important pour que quelques hackers amateurs de glisse puissent envisager de choisir la station de sport d’hiver qui conviendra le mieux à leurs talents.

« Nous avons été victime d’une double attaque pilotée par un état nation » a déclaré le patron de RSA, Art Coviello, lors de la RSA Conference Europe qui se déroule actuellement à Londres. Ces propos, rapportés et analysés par Graham Clueley de Sophos, remettent sur le tapis la question de « l’APT » orchestrée par une Chine que tout le monde vise mais que personne ne veut nommer. Une APT surtout pratique d’un point de vue marketing, car s’il est risible qu’une entreprise se fasse « intruder » par un pdf forgé ou une feuille Excel empoisonnée, on ne peut sourire lorsque l’adversaire est dépeint sous les traits redoutables des espions de l’Empire du Milieu.

Véritable espionnage ou faux hacking d’amateur ? Pour Coviello, la marge de manœuvre est étroite. Comme le fait remarquer Clueley, il lui est impossible de nommer précisément la Chine. Symantec, en une autre occasion, l’a fait et a provoqué une riposte frisant l’incident diplomatique. Mais il ne lui est pas plus possible d’avouer une certaine porosité de ses propres défenses… RSA est en théorie une entreprise spécialisée dans la défense des informations et des systèmes d’information, et il est impensable qu’elle succombe sous les coups de truands qu’elle prétend savoir dompter. A cette question d’image de marque s’ajoute une longue série de catastrophes qui ont, en peu de temps, jalonné l’histoire des marchands de certificats. La proximité de la RSA Conference et du dépôt de bilan de Diginotar, lequel a rapidement remis en mémoire ‘l’epic fail’ de Comodo, de RSA, le vol de certificats Verisign destinés à certifier des pilotes Realtek et JMicron (ceux-là même qui ont servi au ver Stuxnet)… autant d’affaires qui ont très fortement terni l’image de marque des « autorités » de certification.

Les mantras d’invulnérabilité remontent à la surface et explosent à la figure de ceux qui les récitaient inlassablement. Petit à petit, les clients du monde de la sécurité apprennent à leur dépend qu’aucun outil de protection est invulnérable. Il aura fallu plus de 20 ans pour que la chose soit admise à propos des outils les moins chers et les plus répandus, les antivirus. La remise en cause des outils de filtrage/coupure (IDS/IPS/FW), légèrement plus coûteux, un peu moins « universels », n’en est qu’à ses débuts. Il faudra encore du temps pour que les systèmes « haut de gamme et très chers » soient à leur tour considérés « naturellement » comme faillibles. Il faudra également un certain temps pour que l’on résiste à l’envie de jeter le bébé avec l’eau du bain, ce que semble pourtant préconiser Moxie Marlinspike interviewé par Helen Messmer, de NetworkWorld. L’outil de protection est un mal nécessaire imparfait toujours préférable à l’absence totale d’outil de protection. Reste que les tentatives des principaux acteurs du milieu, qui tentent par tous les moyens de « refaire une virginité » à leur catalogue, n’a pour conséquence que de reculer la date de cette prise de conscience nécessaire. Que RSA ait été compromis par un perfide espion asiate*, un hacktiviste technoïde ou un gamin de 12 ans armé d’un Netbook d’entrée de gamme n’a strictement aucune importance. Ce qui est primordial, c’est d’attacher à un type de protection un niveau de confiance précis, qui en aucun cas ne peut atteindre 100%, par définition et par construction.

*ndlc Note de la correctrice : un espion asiate est toujours perfide comme une soubrette est toujours accorte et un serpent fourbe …