novembre, 2011

Il y a deux mois environ, Eric Filiol déclarait avoir découvert un moyen de pouvoir espionner partiellement le contenu de certains messages véhiculés par Tor, l’onion router. Déclaration qui a immédiatement déclenché une polémique d’une rare virulence sur le bienfait ou non d’une divulgation « non contrôlée ». Du jour au lendemain, des centaines de militants du « libre », qui jamais n’ont élevé la voix (sinon pour ironiser) lorsque s’organisait un « month of Windows Bug », ont crié Haro et ont fait preuve d’une attitude d’un rigorisme et d’une pruderie assez inattendue. Le premier hack de l’équipe Filiol a surtout été celui de la très relative tolérance autour de la question du Full Disclosure dans le milieu du hacking.

Sur le plan technique, la dernière conférence PacSec a permis d’obtenir un peu plus d’informations sur la manière dont l’équipe de l’Esiea est parvenue à compromettre des nœuds Tor et à forcer le routage via lesdits nœuds fragilisés. Les transparents de la conférence sont disponibles via GoogleDoc.

Les histoires d’automatisme se suivent et se ressemblent. Après les centrifugeuses folles d’Iran et les portes de prison réellement aimables , c’est au tour des réseaux d’alimentation en eau nord-Américains d’essuyer les feux des attaques « multi-environnement ». Il faut dire que depuis Stuxnet, l’art de concevoir des « intrusions qui intrusent » sur des automates programmables de la série Simatic de Siemens commence à prendre des petits airs de déjà-vu. A ce rythme-là, il sera bientôt plus facile de faire sauter une centrale pétrochimique que de découvrir la milliardième faille flash.

L’un des derniers rebondissements dans le landernau de l’attaque Scada a été révélé par nos confrères du Reg. Le réseau d’eau de Springfield, une bourgade de l’Illinois, aurait été piraté, et la malice de l’intrus aurait même provoqué la destruction d’une pompe. Outre ce petit incident mécanique, le visiteur en aurait profité pour récupérer au passage quelques noms et mots de passe d’utilisateurs du système. L’intrusion, précise l’un des experts, remonterait à 2 ou 3 mois avant que ne survienne la panne et la mise en évidence du hack. Une fois n’est pas coutume, le traceback IP du cyber-pirate remonterait non pas vers la Chine mais vers la Russie.

A peine une semaine plus tard, un autre passionné de la sécurité des grandes infrastructures stratégiques publiait sur Pastebin un billet fort documenté montrant que les régies des eaux de l’Illinois n’étaient pas les seules dans lesquelles l’on pouvait rentrer comme dans un moulin. Inspiré par les initiatives Russes, cet amoureux de la sécurité des réseaux a répété l’opération, mais en visant la ville de Houston Sud. Les captures d’écran qui accompagnent ses dires ne laissent planer que très peu de doute sur la véracité de ses affirmations. Cette fois, le hack ne s’est soldé par aucun dommage, le « gentil pirate » se contentant de signaler, sans trop d’insistance d’ailleurs, un genre de vulnérabilité qui semble très répandu.

Hasard du calendrier, ces deux affaires surviennent très peu de temps après la publication du « Cyberspace policy report » rédigé par le Département de la Défense des USA. Un rapport qui insiste notamment sur la nécessité de renforcer les défenses infrastructurelles nationales, tout en considérant comme tout à fait naturel de considérer le cyberespace comme un champ de bataille comme un autre, sur lequel l’armée des Etats Unis aurait un droit légitime d’action en cas de menace des intérêts Américains. Bien que demeurant particulièrement flou sur ce qui pourrait être considéré sur Internet comme un « act of war » (cassus belli en Français), les rédacteurs de ce rapport n’ont laissé aucun doute sur la nécessité d’une militarisation de l’espace numérique.

Il va sans dire qu’en France, strictement aucune régie des eaux ne risque la moindre attaque du genre. D’ailleurs, Siemens ne leur a vendu aucun Simatic, et jamais les systèmes chargés du pilotage de ces installations ne sont connectés à Internet de manière directe ou indirecte …

et … Cachez ce sein que je ne saurais voir : une attaque massive a visé le réseau social Facebook et remplacé nombre de photos de famille par des clichés un peu plus représentatifs des Œuvres Complètes (et non censurées) de Russ Meyer illustrant les contes de Boccace. Information qui aurait très bien pu couler dans le niveau et le caniveau de bruit ambiant du réseau en question si son exploitation n’était pas un peu sortie de l’ordinaire. Pour être « victime », l’utilisateur de Facebook devait, explique l’équipe sécurité du site via Mashable, copier et coller lui-même un Javascript dans la barre d’adresse de son propre navigateur.

Cette invitation au suicide (prenez cette bombe et déclenchez-la vous-même) est une première en matière d’ingénierie sociale. Car elle consiste à persuader une personne de créer elle-même les conditions du cross-site scripting qui permettra de compromettre sa machines puis son compte Facebook. Cette démonstration de hack, tant technique que psychologique, prouve une fois de plus que le premier facteur d’erreur ne se situe pas entre la chaise et le clavier, mais dans la confiance (totalement injustifiée) que certains éditeurs d’outils (tel Java) et gestionnaires de sites Internet ont su inspirer au grand public. Il n’y a guère de différences entre un message du genre « pour voir si vous avez remporté le gros lot, coupez-collez le texte ci-dessous dans la barre d’adresse de votre navigateur » et « si ce courrier ne s’affiche pas correctement, cliquez sur le lien ci-après » que l’on rencontre quasi systématiquement dans les courriers commerciaux.

Las, dans cette débauche d’image de débauche ont également été glissées des photographies de scènes de violence ou excessivement morbides, qui ont choqué bon nombre d’abonnés au réseau en question. Sans cette déplorable dérive, ce « hackening » aurait pu passer pour un remake des exploits sexuels publics d’un certain Diogène de Sinope sur l’Agora d’ Athènes. Les « defacers » n’ont rien inventé.

Hasard du calendrier, cette même semaine, le W3C publie le premier brouillon d’un futur RFC baptisé « do not track » (DNT), auquel collaborent les principaux éditeurs de navigateurs… dont Google. Ce RFC devrait définir des standards de codification et de blocage des outils de « suivi à la trace d’internautes », cookies indiscrets et autres accessoires. Chaque éditeur tente de camoufler ses usagers à sa manière, certains avec des plugins d’isolation, d’autres avec des listes opt-out (Google notamment), tandis que Microsoft dresse une liste blanche de sites à bannir, car réputés abuser en matière de flicage d’usagers. Chez Mozilla, la fonction est offerte aux usagers depuis le début de l’année.

Cette divergence d’opinions techniques montre à quel point il est difficile pour certains, selon leur degré d’implication dans le business de la publicité en ligne, de combiner le métier de prospection du consommateur et de gardien des libertés individuelles.

Dire que Google ait fait preuve de bonne volonté est un peu difficile à dire. Pressé (beaucoup) par l’opinion publique et (un peu) par la CNIL, le géant de la recherche sur Internet a trouvé un moyen très pratique pour permettre aux possesseurs de routeur WiFi de ne plus figurer sur les cartographies Google : Il suffit de modifier (avec l’extension _nomap) le SSID du routeur à faire disparaître. Ainsi, l’identifiant « WiFi-Maison » s’évapore dès qu’il prend le nom de « WiFi-Maison_nomap ». Enfin une réponse technique à destination des défenseurs des libertés individuelles ? Voilà qui est peu probable.

Tout d’abord parce qu’un rapide wardriving dans n’importe quelle grande ville prouve que tout le monde ne sait pas changer un SSID. Entre les « Tsunami », les Fast04xxx, les Linksys et autre Livebox, il ne faut pas être un gourou des réseaux pour se rendre compte que plus de 60 % des paramètres utilisés par les abonnés à ADSL restent ceux inscrits par défaut par le fournisseur d’accès… des paramètres qui resteront ainsi longtemps encore.

S’ajoute à ceci le fait que l’annonce a été publiée via un blog technique totalement inconnu du grand public. Si le souci de préservation de la vie privée des internautes étaient aussi prégnant chez Google, un message clair et documenté aurait été plus à sa place sur la « home page » de son moteur de recherche.

L’on pourrait également ajouter que cette mesure est un pied de nez à la Cnil, puisqu’elle oblige les utilisateurs à adopter une démarche « opt-out », qui est contraire aux recommandations Européennes et qui est condamnée en France, notamment pour ce qui concerne les emails d’« offres commerciales non sollicitées ».
Google donne donc l’illusion d’une certaine liberté de choix et de respect de la vie privée tout en verrouillant un peu plus ses pratiques de géolocalisation et en s’offrant une campagne d’image de marque à peu de frais.

Un groupe d’Universitaires de Varsovie a mis au point une technique d’injection d’information entre les paquets d’une conversation VoIP. Baptisée TranSteg, cette technique est une forme de stéganographie qui utilise un flux numérique plutôt qu’une image pour camoufler une information aux yeux d’un éventuel système de censure. Pour passer inaperçu, le message secret ne doit représenter qu’une faible partie du contenant. Pour acheminer discrètement 2,2 Mo de fichier, il faut tenir une conversation de 9 minutes avec son correspondant, soit 2862 minutes (47 heures) de blabla pour faire passer les 700 Mo d’un fichier AVI en basse définition. Pirates taciturnes s’abstenir.

La technique consiste à exploiter non pas les flux audio, mais le protocole RTP chargé du transport VoIP. Les données RTP sont compressées pour offrir le plus d’espace possible au message à faire passer, la principale difficulté étant d’utiliser un codec qui, sans dégrader la qualité du signal sonore, puisse fournir un flux vocal moins lourd sur le plan binaire.

Jusqu’à présent, les tentatives de stéganophonie avaient plutôt tenté de fondre l’information binaire dans le nuage des données audio.

Marc Rees, de PCInpact nous apprend qu’un amendement a été adopté par les députés, visant à ce que l’enveloppe consacrée à la « carte musique jeune » soit diminuée de moitié.

Cette Carte Musique Jeune, dont l’éventail de choix était bien faible, peu en rapport avec la richesse culturelle promise par son Ministère de Tutelle, la Carte Jeune donc n’a connu qu’un succès très mitigé, atteignant à peine le tiers des objectifs d’achats prévus.

Rappelons que la carte en question donnait droit à de très fortes réductions de prix sur certains titres de musique téléchargeables, carotte s’opposant au bâton Hadopi. Après un an d’existence, pas plus de 50 000 cartes vendues, des dépenses qui n’atteignent qu’à peine le tiers d’un budget de 25 Millions d’Euros destiné à aider l’industrie éternellement moribonde de l’édition de musiquettes de variété.

Les impératifs de réduction de la dette publique ont donc sonné le glas de ce cadeau fait aux Majors et aux canaux de distribution.

Trois chercheurs Américains, Tiffany Rad, Teague Newman et John Strauchs, se sont penchés sur les serrures IP de certaines prisons qui pouvaient être ouvertes depuis Internet. Ars Technica fourni des détails sur ce nouveau moyen de se faire la belle digne d’un épisode de Prison Break. L’attaque en question serait capable d’ouvrir les serrures à distance tout en laissant croire aux consoles de supervision que les cellules sont verrouillées à triple tour, explique l’article de nos confrères. En fait, il s’agit là d’une variation sur le thème « Stuxnet », puisque les serrures en question sont pilotées par des automates programmables (Siemens par le plus grand des hasards), lesquels sont à leur tour supervisés par des ordinateurs tout à fait conventionnels.

Ces recherches ont été publiées sous le titre « SCADA And PLC Vulnerabilities In Correctional Facilities », et dévoilées à l’occasion de la conférence de sécurité Hacker Halted de Miami, en octobre dernier.

En France, quelques personnes travaillant dans l’environnement du Clusif, avaient déjà évoqué une telle possibilité technique depuis déjà plus d’un an.

Mardi des rustines intéressant, que celui de ce mois (impair) de novembre. Si la vulnérabilité Duqu* n’a pas été bouchée, comme il était prévu d’ailleurs, Microsoft nous a tout de même offert, parmi les rustines mensuelles, le CVE qui a le plus généré de Tweets et de remarques fielleuses depuis l’intégration de WinSock première édition et ses centaines de bugs de conception. Car ms11-083 est une faille UDP qui permettrait d’utiliser un port même lorsque celui-ci est fermé. Un coup de pied à défoncer un huis pareil relève soit de l’art martial le plus consommé… soit d’une fâcheuse distraction momentanée lors de l’écriture du code en question. Gageons que le nombre de billets de blog débutant par « Microsoft security Fail » va rapidement grimper dans les jours qui suivent et qu’évolue l’analyse de cette faille par les experts du monde entier.

Pour se racheter du défaut Duqu , Microsoft a tout de même publié un bulletin et un « fixit tool ».

Mais une faille épique n’arrive jamais seule. Apple, ne souhaitant pas être en reste, se lance dans une publication-marathon de CVE ( 17 d’un coup) , mais paradoxalement ne s’attire pas les attentions de la presse pour cette raison. La firme de Steve-le-Visionnaire (Woz, pas l’Autre) se fait pourtant épingler par Gizmodo pour l’interaction pour le moins douteuse de l’enveloppe de l’iPad, le fameux « smart cover » qui, s’il est refermé puis ré-ouvert au cours d’une procédure d’extinction interrompue, donne à nouveau accès au contenu de la tablette même si celle-ci était sécurisé par un mot de passe. Fort heureusement, nos confrères accompagnent cette « trouvaille » (qui semble relever plus de l’Easter egg que du bug) d’une petite vidéo de démonstration bien plus explicite que le texte qui suit.

Mais le plus gros « bug » d’Apple de la semaine, celui contre lequel aucun correctif ne peut rien, c’est celui qui a frappé Charly Miller, chercheur plutôt réputé et respecté dans le domaine de la sécurité en générale et de l’insécurité d’IOS en particulier. Miller, après avoir découvert une possibilité d’exécution de binaire non signé sous IOS, s’est amusé à diffuser sur l’AppStore une application baptisée InstaStock… en fait un exploit pour le bug en question.

Miller a donc mis en évidence deux failles, dont une était soupçonnée depuis fort longtemps. L’une purement technique, qui relève presque du train-train de la vie des systèmes d’exploitation, l’autre, strictement humaine et structurelle, qui prouve que le filtrage des applications avant approbation et commercialisation via l’AppStore est aussi invulnérable que les noyaux Apple. Une assurance d’invulnérabilité qui n’engage que ceux qui y croient.

Pour remercier le chercheur de ce travail remarquable, Apple a donc banni Miller de Sa Communauté de Chercheurs et lui a retiré ses accès au réseau « développeur » … Le dogme de l’antivirus inutile sur plateforme Apple doit survivre coute que coûte.

NdlC Note de la correctrice : bien entendu, l’auteur, cédant à la facilité, n’a pas utilisé ce terme. Heureusement, je veille au grain. Moi vivante, on ne parlera pas du DuQu hole.

Détection de vulnérabilités via le code des projets open source de Vmware . Pari gagné pour un chercheur …