octobre, 2011

Il est des lendemains de patch Tuesday qui font mal aux cheveux. C’est le cas de la dernière livraison d’Apple et de Microsoft. Côté Apple, le « cumulatif » ne concerne qu’un seul programme, Itunes pour Windows. 75 trous sont bouchés à cette occasion, dont une belle collection de failles liées à Webkit. On notera au passage le travail d’un chercheur Français, Nicolas Grégoire, qui semble avoir manifestement trouvé le moyen d’exploiter un trou de sécurité dans le cadre d’une attaque Man in the Middle lorsqu’un client visite l’iTunes Store.

Avis aux professionnels de l’exploit discret, les bouchons pour iTunes édition OS X ne seront pas publiés avant la sortie du lot de correctifs 2011-006 ou de la mise à jour du noyau d’OS X Lion.

Chez Microsoft, bien que le mardi des rustines ait été moins prolifique et plus varié, l’on apprécie aussi les bouche-trous multi-failles. Parmi les 23 CVE colmatés, 8 sont concentrés dans le bouchon ms11-081. Il s’agit bien entendu d’une série de failles affectant plusieurs éditions d’Internet Explorer, comme il est de tradition au fil des mois pairs. Le reste concerne quelques défauts du .Net Framework ainsi qu’un trou à forte probabilité d’exploitation dans Windows Media Center. Des exploits visant ce dernier sont aisément trouvables sur Internet.

Les moins chanceux seront, une fois de plus, les administrateurs de serveurs. Un bouchon vise spécifiquement Microsoft Host Integration Server, et la rustine ms11-077 corrige plusieurs failles « noyau » qui concernent aussi bien d’antiques XP SP3 que les plus récents Windows 2008 Server x64 SP2. Et tout correctif système est susceptible de provoquer à son tour des effets de bord qui nécessitent des tests de non-régression préalables.

Amusante découverte que celle que vient de faire le laboratoire de F-Secure : Flashback, un troyen se faisant passer pour une mise à jour Adobe édition Macintosh, se « suiciderait » lorsqu’il serait exécuté à l’intérieur d’une machine virtuelle. La chose est d’un classicisme à faire bailler un régiment de chasseurs de virus dans la sphère Windows, mais elle n’est pas si courante dans le monde Mac. Pourquoi un tel acte désespéré ? Tout simplement pour passer inaperçu aux yeux des spécialistes de l’analyse virale qui, très souvent, utilisent une VM en guise de « sandbox ». Les premiers virus anti-VM surveillaient notamment les adresses MAC ou les signatures processeur par défaut des environnements VMware.

Cette réaction tend à prouver que si la virtualisation grignote chaque jour un peu plus le territoire des serveurs, elle est encore totalement embryonnaire sur le marché des stations de travail et machines personnelles. Les auteurs de malwares sont, sur ce point, des analystes bien plus fins que les gourous du Gartner ou de PWC : derrières les consoles de serveurs, nul acheteur potentiel d’iPad de contrebande ou d’antivirus frelaté. Pas le plus petit morceau de code pin ou d’identité Paypal.VM sur serveur, compte pour du beurre, VM sur station, attention ! Le jour où les machines virtuelles seront réellement employées sur les micros familiaux, les attitudes changeront peut-être.

Il y a quelques temps, explique le site AndroidPolice, HTC a installé sur bon nombre de ses appareils des outils destinés à loguer tout un tas d’informations (identifiant de cellule, position gps, contacts, numéros de téléphones…), dans le but probable d’améliorer à la fois les services de communication et la fiabilité des applications Android. Mais les données ainsi collectées, vient de découvrir Trevor Eckhart, ne seraient pas si difficile que ça à extraire, et le blocage de l’émission de ces informations ne fait en aucune manière cesser la collecte desdites informations. Un PoC a été développé par l’inventeur de la faille, qui semble affecter les appareils de la série Evo et les Thunderbolt.

HTC, peu de temps après, a immédiatement promis la diffusion d’un correctif. Fort heureusement, c’est la première fois que cela se produit et les autres fabricants de téléphones cellulaires ne se sont pas transformés en espions pour autant.

« Il n’a pas tort, mais quand même …». Robert Thollot, cet instituteur poursuivi par le zèle de la commission chargée de la protection des intérêts privés des industriels du divertissement (Hadopi) ne serait pas, tout compte fait, « coupable de négligence » pour n’avoir pas su correctement protéger ses installations informatiques reliées directement à son accès ADSL « câble » ou WiFi d’abonné, mais aurait été victime d’un détournement de compte « FreeWifi ». Ce qui en fait tout de même un coupable. L’article très documenté de notre confrère Marc Rees de PC Inpact donne une foultitude de détails tant techniques que juridiques. La machine à sanctionner pourrait donc être reconfigurée pour frapper même en cas d’attaque en social engineering et vol de crédences.

En d’autres termes, il est préférable d’être un fonctionnaire du Ministère des Finances ayant malencontreusement ouvert un fichier pdf et laissé échapper des informations relevant probablement du secret d’Etat que de s’être fait avoir par un phishing « Votre Compte Free va être suspendu » entraînant l’émission illégale de quelques chansonnettes et un film de série B. Dans un cas, l’affaire revêt le noble manteau d’une APT, dans l’autre, il s’agit d’une marque manifeste d’incompétence informatique entraînant soit le paiement d’une amende, soit la suspension d’un service payant. Malheur aux faibles.

Le Sans, en mars dernier, lançait une sorte de concours humoristique auprès de ses lecteurs : donnez un conseil de sécurité résumé en 140 caractères (ou moins). Cette cyberprotection SMS, cet ISO 27001 façon Reader’s Digest ou Twitter vient d’être remise à jour. L’occasion de découvrir de véritables perles d’humour et de sagesse. On notera au passage :

– If you don’t need it, turn it off (un classique)

– Never trust a host you can’t trust (adage de banquier)

– Product certification does not mean it has been deployed correctly (dicton pour Lead Auditor)

– Sachez protéger les vrais points sensibles : ceinture et bretelles ne servent à rien si vous n’avez pas de pantalon

– A backup is not a backup until you do a restore (Si Gates m’était compté)

– setting up any new system, Step 1: Change default admin password (La raison du DAB)

– Physical access trumps most security measures (deux intellectuels assis vont moins loin qu’une brute qui marche)

– Telnet, FTP, and any other clear-text protocol developed in simpler, more naive times has no business on a modern network (juré, demain, j’arrête Finger et Motd)

– Unencrypted WiFi is never secure. WEP = Unencrypted WiFi (une version Hadopi est en cours de traduction)

Le temps des émois est passé, vient celui des conseils réfléchis : le Sans, revient sur la présentation de MM Duong et Rizzo, qui rappelle le principe de l’attaque contre SSL 1.0 que ces deux chercheurs ont élaboré, et fournit une liste de conseils et d’avis destinés aux administrateurs anxieux. SSL n’est pas techniquement mort, la migration vers TLS 1.1 ou 1.2 doit être effectuée avec prudence, un déploiement hâtif risquant de provoquer plus de mal que de bien.

Sur le site Bugzilla, l’on peut trouver, outre une impressionnante collection de documents informatifs, la quasi-totalité des échanges entre l’équipe Duong-Rizzo et le team sécurité de Mozilla (Daniel Veditz, Adam Langley notamment).

Mais la synthèse la plus complète en la matière est celle de Thierry Zoller, qui a patiemment collecté tous les articles techniques gravitant autour de la naissance de la «bête ». Moins de trois pages-ecran, mais de la lecture pour une bonne journée au moins.

Les faits ont été découverts par nos confrères de l’Express/l’Expansion : Areva (ex Cogema, Compagnie générale des matières nucléaires) a vu son infrastructure informatique piratée pendant plus de deux ans. Le fait aurait été découvert il y a une dizaine de jours, et révélé en interne dans le courant de la journée de jeudi. Intrusion qui toucherait aussi bien des installations situées en France qu’à l’étranger. Depuis plus de trois jours, précisent nos confrères, les équipes informatiques « renforcent les mesures de sécurité ». Etrange réponse… car pour renforcer, il faut au minimum connaître l’ampleur des points de pénétration, ce qui laisserait entendre qu’il faut… 10-3… oui, 7 jours pour réaliser un audit général d’une structure étendue dans le monde entier, touchant aussi bien aux domaines du nucléaire civil que militaire… et immédiatement déployer des solutions de colmatage adéquates. Ce qui impliquerait également que les intrus, deux ans durant, n’auraient jamais pris la peine de se réserver d’autres backdoors que celles qu’ils auraient utilisés pour violer les systèmes d’Areva une première fois.

Même xylolangage envers nos confrères de France Info , qui parviennent à arracher ce qui est probablement la plus remarquable formule d’enfumage de l’histoire de la sécurité informatique. Nous citons : « Des pirates sont parvenus à infiltrer le réseau qui permet l’échange d’informations « non-critiques » entre les différentes entités du groupe, selon le porte-parole d’Areva. » Fin de citation. Le porte-parole ne dit pas formellement que les réseaux compromis ne comportaient que des informations non critiques, mais que le point d’entrée relevait d’une sorte d’intranet destiné aux échanges inter-filiales non importants. Le dernier hack qui a exploité une faiblesse dans un intranet pour ensuite dérouler toute une pelote de faiblesses de cloisonnement interne était celui de Sony, et l’on connaît les conséquences et les réactions en chaîne …

L’on peut également se féliciter de la célérité des analyses forensiques des DirCom de cette entreprise stratégique nationale qui sont, dans le même temps, parvenus à remonter à la source de l’intrusion. Toujours selon nos confrères de l’Expansion, « Une origine « asiatique » est évoquée ». Là, l’équipe de Cnis se perd en conjectures. Asiatique… Serait-ce le Japon en quête d’une solution de remplacement aux réacteurs de Fukushima ? Car depuis quelques mois, il est devenu impossible d’accuser les dangereux hackers Chinois. Car tout d’abord, il leur arrive d’utiliser des exploits antédiluviens utilisant des fichiers pdf forgés, et ça, c’est pas glorieux. Des fois que les Sorciers de l’Atome se seraient fait avoir avec autant de facilité que les ronds de cuir de Bercy… Ensuite, c’est le Quai d’Orsay qui pourrait trouver à y redire. Accuser l’Empire du Milieu, outre les conséquences désastreuses que cela pourrait avoir dans le cadre des échanges commerciaux, ce serait risquer de voir naître une nouvelle campagne de presse et des avalanches d’articles dans le Quotidien du Peuple expliquant que la Chine est le premier pays piraté au monde, et que tout çà est une honteuse accusation, dénuée de preuve de surcroît. Ce qui serait exact d’ailleurs : un « traceback » de numéro IP ne signifie strictement rien dans l’univers informatique …
Il reste, de ce préoccupant fait divers, deux ou trois points relativement graves qui n’ont pas été notés par nos confrères. A commencer par une absence totale de maîtrise de la communication de la part de la cellule de crise mise en place. L’on a échappé à un « les pirates n’ont pu avoir accès aux systèmes de commande de plongée des barres de combustible », mais on en n’était pas loin. Il semble également que le cloisonnement de l’infrastructure n’ait pas été aussi parfait qu’on voudrait le laisser entendre : un hack ne perdure pas deux années durant s’il ne parvient pas à extraire des informations intéressantes. Le dernier point concerne les conséquences de cette découverte. En toute logique, cet accident débouchera sur la nomination d’une équipe chargée d’auditer l’infrastructure touchée. Audit dont les conclusions seront tenues secrètes, tant pour ce qui concerne les mesures à prendre que pour ce qui touche aux points de faiblesse qui auront été mis en évidence. Ce secret est logique, mais doit-il être systématiquement aussi opaque lorsqu’il concerne une infrastructure Scada aussi sensible ?

La Nuit du Hack/Hack in Paris 2012 aura lieu, pour sa part, du 18 au 24 juin, à Disneyland Paris, tout comme la précédente édition qui a réuni plus de 900 participants. A l’occasion de cette dixième édition sera fêté le 10ème anniversaire de la manifestation. Le temps des CTF sur une péniche est bien révolu, le tandem HZV/Sysdream a su transformer une messe pour initiés en une grande réunion où se côtoient passionnés, chercheurs et professionnels de la sécurité. Le communiqué d’appel à communications est également diffusé sur la liste du « full disclo », la liste des thèmes retenus sera publiée sur le site de la NDH. Les soumissions doivent être envoyées par mail à l’adresse cfp (à) hackinparis . com, le 14 février au plus tard. Les sujets retenus seront arrêtés le 1er mars au plus tard, les auteurs prévenus, et le calendrier définitif publié le 5 mars. La partie purement « conférence » (Hack in Paris) se déroulera sur 5 jours, du 18 au 22 juin 2012, suivie par la fameuse « nuit » du 23 au 24.

Le 28ème Chaos Communication Congress (28C3), qui se déroule traditionnellement durant la période des fêtes de fin d’année à Berlin, ouvre son « appel à communication ». Les thèmes sont… ceux du Chaos, et concernent tous les types de hack possibles et imaginables : technologies, sécurité, sciences en général, arts, politique, philosophie, éthique, sociologie… et keylockpicking. Le communiqué a été publié sur la ML du Full Disclosure, du Bugtraq et autres canaux de communication de la gente hackeuse. Les papiers doivent être soumis aux organisateurs via l’interface en ligne prévue à cet effet… Laquelle interface connaît quelques problèmes de certificat. Mais ces temps-ci, une autorité de certification qui défaille, c’est presque banal. La date limite de remise des copies est fixée le 11 octobre à minuit. Les sujets retenus seront connus le 20 novembre au plus tard.