La chasse est ouverte, vous avez une « licence to kill » précise la décision de la cour d’Alexandria, Virginie, à l’attention de Microsoft. Le droit d’abattre le botnet Nitol et de poursuivre ses pilotes et auteurs présumés, un certain Peng Yong président aux destinées de Bei Te Kang Mu Software Technology, et de trois autres personnes à l’identité inconnue et résidant également dans l’empire du Milieu.
Cela fait déjà quelques années que Microsoft est en guerre ouverte contre les gardiens de botnets, et a activement pris part au blocage des réseaux de machines zombies infectées par Waledac, Rustock et Kelihos notamment. Cette fois, c’est le domaine 3322.org qui a été visé par un cybercomando Microsoftien au cours de l’ « operation b70 ». On notera au passage que 3322.org et ses multiples sous-domaines avaient, depuis plusieurs années et au moins depuis 2004, été remarqués par l’infatigable chasseur de botnets et de réseaux mafieux Dancho Danchev.
La prise ne mérite pas franchement la première page des journaux. 4000 postes infectés, la plupart situés en Chine, c’est du virus de petite, très petite envergure. Selon les explications de Microsoft, le malware responsable des infections Nitol aurait pour origine des PC également fabriqués en Chine, et livrés « tous équipés, options comprises », c’est-à-dire non seulement avec des copies illégales de la suite Microsoft Office (ce qui a déclenché semble-t-il le désir d’action de l’éditeur) mais encore avec des souches dudit rootkit. Et Microsoft de mettre l’accent sur la notion de « supply chain sécurisée » (les supply-chain sont les chaînes de sous-traitance et de sous-sous-traitance participant à l’élaboration d’un produit fini, en l’occurrence ici un ordinateur). « Comment pouvez-vous être certain de la fiabilité de la chaîne logistique de fabrication de votre ordinateur ? » demande l’éditeur.
La réponse est évidente : personne n’en est capable. Comment, même en admettant que le monde entier se mette à acheter des machines de marque, savoir si tel ou tel fournisseur de fournisseur ne cache pas un black-hat en son sein ? Des disques durs ou des écrans fabriqués dans des usines Thaïlandaises employant des personnes dont le salaire les maintient à peine au-dessus du seuil de pauvreté, des cartes mères (et donc des Bios) assemblés sur des chaînes de production Chinoises pour le compte d’entreprises US ayant pignon sur rue et qui ne se soucient guère du taux de suicide et des conditions de travail chez leurs partenaires… La tentation est grande d’améliorer sa propre condition en faisant fi de considérations morales. Il n’est même pas nécessaire d’envisager la main gauche d’un éventuel service secret anti-impérialiste ennemi du Tigre de Papier et du Social-révisionniste-laquais de la morale petit-bourgeoise (ou quelque chose comme ça).
D’ailleurs, la seule réponse inquiète à la question posée par Microsoft, le Sénat US l’avait déjà apportée, en émettant une recommandation anti-Lenovo le jour où un docte sénateur s’est rendu compte que son portable ne portait plus le logo IBM et arborait un fier « made in China ». IBM qui, avant cette cession d’activité, sous-traitait déjà la fabrication de ses portables en Chine. Le fait d’acheter Américain ou Français ou Nippon ou Moldo-Valaque ne résoudra jamais la question anxiogène et sans-réponse de la fiabilité tout au long des supply chain.
Une autre question se pose à la lecture du court rapport Nitol : l’hypothèse d’une filière de diffusion de botnet par le biais d’un constructeur de machines est-elle sérieuse et efficace ? Dans certains cas de « spear phishing », et lorsque l’on connaît les rouages d’un service d’achat d’une grande entreprise ou administration, certes, la chose est envisageable. Mais ce schéma est-il applicable dans le cadre de botnets à usage général, ceux-là même qui servent à récupérer des crédences Paypal et des numéros de carte de crédit ? Un Bot-herder qui espère gérer un troupeau de zombies lié à la progression des ventes d’un fabricant de machines à bas coût, même sur un marché comptant 500 millions de petits Chinois (quel émoi), devra faire preuve de patience. Le « supply chain » vecteur d’infection est une hypothèse trop rocambolesque pour être prise au sérieux.
Il y a, derrière cette enquête Microsoft, un aspect franchement positif, celui de la disparition d’un domaine douteux et connu comme tel depuis longtemps. Mais on peut aussi y détecter des interprétations et des motivations tendant à promouvoir l’idée du « buy American » à l’aide d’arguments parfois spécieux. Ce ne serait pas la première fois qu’une menace-prétexte serve à justifier une politique isolationniste commerciale.
C’est fait : les principales conférences techniques du premier GreHack de Grenoble ont été arrêtées. Le mélange des genres est agréable : personnalités et chercheurs moins connus, hack purement réservé aux codeurs acharnés, exploits matériel classiques et pourtant ignorés… Il ne faut rater sous aucun prétexte, par exemple, le « talk » de Rahul Sasi (iSight), qui nous parlera de fuzzing DTMF, qui aura un sacré goût de madeleine pour les vieux amateurs de freaking et autres chasseurs de commandes cachées dans les modems Hayes ou USR. Ari Takanen (Codenomicon) parlera une fois de plus (mais le sujet est tellement vaste) du fuzzing de code dans l’électronique embarquée. Jtag et assembleur, security by stupidity, le monde de l’électronique grand-public est un vaste terrain de jeu pour hackers et chercheurs. Le sport devient encore plus intéressant lorsque cette électronique embarquée touche à la sécurité de véhicules, de systèmes de contrôle de processus industriels etc. Mathieu Renard, quant à lui, sera plus classique, et discutera de hack IOS, sujet à la mode, surtout depuis le début de la semaine passée.
Olli-Pekka Niemi et Antti Levomäki (Stonesoft) reviendront sur un classique de l’entreprise et invention purement Finlandaise, les fameux AET et l’art d’échapper aux mécanismes de détection des firewall. On peut s’attendre à un franc moment de détente avec la présentation de « Phil » sur les échecs successifs du cryptage audiovisuel. Nagravision à tous les étages… les nostalgiques des codes « season » et du travail « anti-sky » du Cray de l’université de Dortmund reprendront bien eux aussi un peu de madeleines.
Il ne serait pas juste d’oublier Paul Amar, un local de l’étape, qui va interpréter une variation originale sur le thème indémodable du « mon routeur ADSL en petite tenue sur IP », succédant ainsi à de nombreuses démonstrations analogues (HSF, Defcon, Hackito). David Worth et Justin Collins plongeront dans les « drogues dures » avec un papier intitulé « Leveraging Convention over Configuration for Static Analysis in Dynamic Languages » (si !), tandis que Yann Sephan causera C# et reverse, correctif et anti-correctif…
Nous reviendrons sur les présentations des conférenciers de plénières peu de temps avant sauter dans notre Viva-Sport 37 améliorée 39* histoire d’aller contempler, le mois prochain, le trou de la mère d’Agoult (Marie) et les salles de conférence de GreHack.
*ndlc : Franchement, seuls les dinosaures se souviennent de ce sketch de Fernand Raynaud. Ceci mis à part, je m’insurge contre cette appellation sexiste qui désigne la cluse de Voreppe. Marie aimait les hommes, certes, mais pas n’importe lesquels. Plutôt un abbé talentueux et romantique (Liszt) qu’un lieutenant boutonneux complexé comme l’était Henri Beyle.