septembre, 2012

Lorsqu’il est difficile de décrocher une augmentation d’enveloppe pour boucler un budget sécurité, il peut toujours être utile d’exhumer un rapport alarmiste sur les coûts estimés des sinistres informatiques en entreprise. Le dernier rapport Forrester (inscription préalable nécessaire) est anxiogène en diable, et propice à une écoute attentive de la part de la Direction.

Selon le Forrester donc, depuis début 2011, plus de 51% des entreprises auraient subi entre une et dix compromissions ou un et dix accidents touchant une application Web. 18% des services ayant déclaré avoir supporté ce genre de mésaventure chiffrent les pertes engendrées à plus de 500 000 $. 8% situent le dol au-delà de 1 million de dollar, et deux estiment avoir perdu plus de 10 millions de dollars.

71% des personnes interrogées pensent que les processus de validation du code sont soit inadaptés, soit insuffisants pour que soient considérées comme fiables les applications développées en interne, et que les moyens financiers mis en œuvre sont nettement insuffisants. 41% déclarent que ces carences en termes de validation des programmes sont provoquées par une pression croissante visant à atteindre le « time to market » le plus court possible. Moins de la moitié des services contactés par le Forrester (42%) déclarent mettre en œuvre des pratiques de type SDL ou équivalentes. Sur cette proportion, 28% seulement affirment utiliser des listes et des bibliothèques recensant les fonctions approuvées et interdites.

« Nous vous concoctons un correctif « out of band », soyez patients. De toute manière, les tentatives d’exploitation ne semblent pas être nombreuses » : le communiqué de Microsoft daté du 19 septembre se veut rassurant. Plus rassurant que le bulletin d’alertes du 17, qui prévenait de l’existence d’une faille-mère touchant toutes les versions les plus courantes d’Internet Explorer sur tous les noyaux de XP à Windows 7.

En attendant que ne soit diffusée la rustine, Microsoft conseille d’utiliser Emet 2.0, le « Enhanced Mitigation Experience Toolkit » qui permet d’administrer les mécanismes DEP et ASLR de certains programmes. Lequel Emet risque fort de n’apporter plus d’inquiétudes que de bien. Emet, précise sa documentation, « provides users with the ability to deploy security mitigation technologies to arbitrary applications ». Offrir la possibilité de déployer des technologies de mesures de contournement à destination d’applications arbitraires … un tel sabir mériterait une médaille avec palmes pour le moins académique dans la catégorie « volapuk et xylolangage conçus par un équivalent-énarque ayant témoigné de grosses difficultés à assimiler la méthode Boscher durant sa petite enfance ». Le reste du texte de présentation est à l’aune de son chapitre introductif. Emet est donc un outil dont l’usage public est fortement découragé par Microsoft.

Reste que la faille est aisément exploitable sur toutes les plateformes XP dotées de IE 7 ou IE8. Sous Vista/Windows 7 et Internet Explorer 9, la présence de Java est nécessaire pour que l’exploit très récemment intégré à la panoplie Metasploit puisse fonctionner, précise le blog de Rapid7. Une désinfection visant à éliminer les outils Java (rarement utiles dans le domaine professionnel) pourrait donc constituer un premier pas vers une informatique plus sûre.

Comme on pouvait s’y attendre, beaucoup de doctes conseillers en sécurité recommandent d’utiliser « des navigateurs alternatifs », du moins tant que le correctif salvateur ne sera pas émis par Microsoft.

C’est le premier pas avant une utilisation générique des portage de aircrack-ng, tcpdump et iwconfig sur téléphones mobiles à la Google : trois chercheurs viennent de développer le premier outil de monitoring Wifi sur plateforme Android. Les appareils reposant sur cette plateforme sont la plupart du temps équipés des jeux de composants Broadcom bcm4329 ou bcm4330. Il ne « restait plus qu’à » se lancer dans le reverse du firmware pilotant ces périphériques. Dans l’état actuel du code, les auteurs garantissent que le moniteur fonctionne directement sur les Nexus One et les Galaxy SII… et qu’une version générique diffusée sous forme d’APK devrait prochainement voir le jour. Ca va wardriver dans les chaumières.

Laissez passer les p’tits papiers, entend-on chantonner du côté de Rennes. L’appel à communications des SSTIC 2013 est ouvert. Les propositions doivent être rédigées dans un document de 7 pages au moins et déposées sur le site de la manifestation. La clôture des soumissions est fixée au 21 janvier 2013, les notifications aux auteurs devraient être envoyées le 25 février, et la date butoir des versions finales ne pourra dépasser le 15 avril 2013. Rappelons que les SSTIC se dérouleront l’an prochain les 5, 6 et 7 juin.

Les versions finales doivent utiliser le modèle LaTeX. Le format Word est toléré mais un calendrier plus serré sera imposé aux auteurs pour la livraison de leur version finale, en raison du délai supplémentaire lié à la conversion LaTeX.

C’est G-Data, le chasseur de virus Allemand, qui vient de publier un article sur la Tor-éfaction des botnets. Il ne s’agit pas là d’un PoC, d’une étude de possibilité, mais bel et bien d’une application « in the wild » du réseau à routage segmenté et chiffré dans le cadre d’un pilotage de Botnet. Le réseau Tor sert alors de médium entre les ordinateurs zombies et le C&C, le centre de commande, ce qui offre deux avantages majeurs pour le gardien de troupeau de machines compromises : une isolation quasi certaine entre C&C et terminal d’attaque (il devient impossible de remonter jusqu’à l’organisateur du réseau), une quasi assurance de permanence de service (puisque le protocole Tor ne peut être filtré par les opérateurs ou les FAI en raison de son importance stratégique) et une simplicité d’utilisation, laquelle permet au gardien de Bot de n’avoir pas à développer de protocole chiffré, camouflé et fragmenté pour diriger son troupeau : Tor se charge de toutes ces fonctions à la fois. L’éditeur fait également remarquer qu’étant chiffré, le contenu du trafic Tor ne peut être analysé et bloqué par les firewalls.

En revanche, les temps de latence imposés par le réseau lui-même impactent fortement l’efficacité du Botnet, ce qui explique probablement le fait que, jusqu’à présent, G-Data et ses confrères ne soient tombés que sur une seule souche de genre de virus.

La constitution de réseaux de Bot reposant sur des médias impossibles à bloquer ne date pas d’aujourd’hui. Déjà, à l’occasion de la conférence Hackito Ergo Sum de 2011, Itzik Kostler et Zif Gadot (à l’époque chercheurs pour le compte de Radware), avaient imaginé un Botnet utilisant une page de journal en ligne ou un site de petites annonces (Craigslist ou bbc online par exemple) pour expédier les commandes entre C&C et machines distantes.

Les dépenses mondiales en termes de produits de sécurité informatique et réseau atteindront, nous promet le cabinet Gartner, 86 milliards de dollars en 2016, et devraient franchir le cap des 60 milliards de dollars à la fin de cette année, en progression de 8, 4% par rapport à l’an passé (55 milliards en 2011).

Parmi les grands gagnants, les vendeurs de SIEM (security information and event management), les appliances (surtout pour ce qui concerne les marché d’entrée et de milieu de gamme) et le secteur des services de sécurité managés, cloudifiés… bref, externalisés. 45 % des personnes interrogées pensent que, dans les années à venir, leur budget sécurité va rester le même, 50% estiment même qu’il augmentera.. ce qui ne laisse que 5 % de responsable IT ou sécurité qui envisagent une diminution des enveloppes sécurité au sein des S.I. . Ce qui, en temps de crise, semble une bien faible proportion tout de même. Ceci étant, précise le rapport du Gartner, ces estimations sont effectuées au niveau mondial. La croissance de la demande dans les pays émergeants, notamment les Brics (Brésil, Inde, Chine) compense une baisse prévisible des dépenses en Europe et aux USA.

« 50% des appareils sous Android sont vulnérables » écrit Jon Oberheide sur son blog Duo Security. Un constat effectué grâce à un outil d’inventaire de failles développé précisément par Duo Security et baptisé X-Ray. Cette affirmation serait le résultat d’une estimation statistique effectuée sur le retour de plus de 20 000 appareils jusqu’à présent. 50% d’un marché qui compterait près de 500 millions de noyaux en service ou ayant été en service, cela fait tout de même 250 millions de trous dans la nature. Bien plus qu’à Blackburn, Lancashire*.

Le balayage s’achève bien sûr avec un diagnostic guère reluisant, puisque les correctifs poussés par les éditeurs sont généralement d’une lenteur très sénatoriale, voir totalement absents. Ce qui permet aux développeurs de Duo Security de conseiller aux usagers de changer de ROM… à tout hasard la très répandue et très célèbre CyanogenMod. 250 millions de téléphones portables et de tablettes tactiles rootées, en voilà un beau marché pour les vendeurs d’antivirus, firewalls et autres outils de « protection ».

Reste que X-Ray n’est pas un véritable outil « d’assessement », avec mise à jour dynamique de ses bases de détection. C’est un programme figé qui ne vérifie la présence que d’une poignée de failles exploitables connues. Celles-là même, d’ailleurs, qui sont nécessaires pour « rooter » une tablette ou un téléphone Android dans le but d’y installer le Cyanogen recommandé. Il y a là un hiatus qui semble avoir échappé aux auteurs… a moins qu’il s’agisse tout simplement d’humour geek. Les véritables attaques que subissent les usagers Android (ou IOS d’ailleurs) sont plus des attaques en vol d’information qui sont possibles « by design » et ne nécessitent aucune exploitation.

* Ndlc Note de la correctrice : … qui n’en compte que 4000 si l’on en croit les Scarabées. Mais il faut avouer qu’à l’époque où les Fantastic Four chantaient ça, les ordinateurs étaient un peu moins nombreux qu’aujourd’hui. Et peut-être ne parlaient-ils pas d’informatique…

Mois discret, pour Microsoft, qui ne corrige aucune faille à proprement parler sur les noyaux station de travail : 4 mises à jour, (dont 2 jugées « importantes »), avec au passage une série de « kill bits » s’appliquant à ActiveX , le reste étant destiné au noyau Windows.
Trois autres alerte suivent ce mini-patch Tuesday, s’adressant essentiellement aux professionnels. L’une concerne une recommandation visant à éviter l’usage de clefs de certificats d’une longueur inférieure à 1024 bits, les deux autres sont liées aux failles CVE- 2012-2536 et 2012-1892 s’appliquant respectivement à System Center Configuration Manager et à Visual Studio Team Foundation Server.

Les trous sont un peu plus béants et dangereux du côté d’Oracle, qui, quelques jours auparavant, a publié une nouvelle version de Java 7 ainsi que de Java 6. Certaines des failles colmatées par ces rustines étaient activement exploitées (notamment la CVE-2012-4681).

Soyons rassuré, jusqu’à présent, et depuis les tous premiers balbutiements du Plan Calcul initié par Mon Général, seuls ceux de l’Elysée (les plans bien sûr) ont jusqu’à présent exceptionnellement « fuités » des services de l’administration Française. Ce n’est pas comme si nous étions dans un pays à peine capable de maîtriser le B.A.Ba de la technologie informatique, comme les Etats-Unis par exemple. Car, nous apprend une récente compilation éditée par Rapid7, durant la période s’étendant entre le premier janvier 2009 au 31 mai 2012, l’administration US a perdu, soit directement, soit par le biais de sociétés sous-traitantes sous contrat, la bagatelle de 94 millions d’enregistrements intégrant des données pouvant être considérées comme privées ou personnelles.

Sur ce total, la moitié des évaporations serait la conséquence de pertes ou de vols d’appareils portables notamment. En France aussi, les automobiles stationnées près des gares parisiennes se font fracturer et leur contenu dérober. Mais retournons Outre Atlantique. Sur cette période de plus de trois ans et demi, c’est 2010 qui fait figure d’annus horribilis, avec 102 affaires déclarées (82 en 2011 et 53 en 2009). En termes de volumes de données exposées, en revanche, l’éclairage devient plus sombre. De 2011 à mai 2012, l’augmentation des pertes a dépassé les 138 %, et de 2010 à 2011, la progression des évaporations binaires surpassait les 168%. Rappelons que bon nombre de ces affaires sont consciencieusement répertoriées sur les serveurs de Dalaloss.db, à côté des pertes abyssales de disques ou de bandes magnétiques d’origine bancaire et des fuites titanesques (comme dans Titanic) des informations détenues sans trop de protection par quelques grandes chaînes de magasins.

En France, ou jamais affaire de fuite d’information importante ne vient assombrir nos horizons binaires (ou alors seulement ceux des entrepreneurs en BTP travaillant au 55 rue du Faubourg-Saint-Honoré à Paris), un tel serveur n’aurait aucune chance d’exister, faute de matière première. Si par malheur cela devenait le cas, il faudrait bien qu’un jour soit créée une instance sérieuse chargée d’informer le public des risques réels qu’encourent leurs données privées. On pourrait l’appeler… voyons… Commission Nationale Fichiers et Libertés. CNFL. Dommage que cela ne se prononce pas.

La chasse est ouverte, vous avez une « licence to kill » précise la décision de la cour d’Alexandria, Virginie, à l’attention de Microsoft. Le droit d’abattre le botnet Nitol et de poursuivre ses pilotes et auteurs présumés, un certain Peng Yong président aux destinées de Bei Te Kang Mu Software Technology, et de trois autres personnes à l’identité inconnue et résidant également dans l’empire du Milieu.

Cela fait déjà quelques années que Microsoft est en guerre ouverte contre les gardiens de botnets, et a activement pris part au blocage des réseaux de machines zombies infectées par Waledac, Rustock et Kelihos notamment. Cette fois, c’est le domaine 3322.org qui a été visé par un cybercomando Microsoftien au cours de l’ « operation b70 ». On notera au passage que 3322.org et ses multiples sous-domaines avaient, depuis plusieurs années et au moins depuis 2004, été remarqués par l’infatigable chasseur de botnets et de réseaux mafieux Dancho Danchev.

La prise ne mérite pas franchement la première page des journaux. 4000 postes infectés, la plupart situés en Chine, c’est du virus de petite, très petite envergure. Selon les explications de Microsoft, le malware responsable des infections Nitol aurait pour origine des PC également fabriqués en Chine, et livrés « tous équipés, options comprises », c’est-à-dire non seulement avec des copies illégales de la suite Microsoft Office (ce qui a déclenché semble-t-il le désir d’action de l’éditeur) mais encore avec des souches dudit rootkit. Et Microsoft de mettre l’accent sur la notion de « supply chain sécurisée » (les supply-chain sont les chaînes de sous-traitance et de sous-sous-traitance participant à l’élaboration d’un produit fini, en l’occurrence ici un ordinateur). « Comment pouvez-vous être certain de la fiabilité de la chaîne logistique de fabrication de votre ordinateur ? » demande l’éditeur.

La réponse est évidente : personne n’en est capable. Comment, même en admettant que le monde entier se mette à acheter des machines de marque, savoir si tel ou tel fournisseur de fournisseur ne cache pas un black-hat en son sein ? Des disques durs ou des écrans fabriqués dans des usines Thaïlandaises employant des personnes dont le salaire les maintient à peine au-dessus du seuil de pauvreté, des cartes mères (et donc des Bios) assemblés sur des chaînes de production Chinoises pour le compte d’entreprises US ayant pignon sur rue et qui ne se soucient guère du taux de suicide et des conditions de travail chez leurs partenaires… La tentation est grande d’améliorer sa propre condition en faisant fi de considérations morales. Il n’est même pas nécessaire d’envisager la main gauche d’un éventuel service secret anti-impérialiste ennemi du Tigre de Papier et du Social-révisionniste-laquais de la morale petit-bourgeoise (ou quelque chose comme ça).

D’ailleurs, la seule réponse inquiète à la question posée par Microsoft, le Sénat US l’avait déjà apportée, en émettant une recommandation anti-Lenovo le jour où un docte sénateur s’est rendu compte que son portable ne portait plus le logo IBM et arborait un fier « made in China ». IBM qui, avant cette cession d’activité, sous-traitait déjà la fabrication de ses portables en Chine. Le fait d’acheter Américain ou Français ou Nippon ou Moldo-Valaque ne résoudra jamais la question anxiogène et sans-réponse de la fiabilité tout au long des supply chain.

Une autre question se pose à la lecture du court rapport Nitol : l’hypothèse d’une filière de diffusion de botnet par le biais d’un constructeur de machines est-elle sérieuse et efficace ? Dans certains cas de « spear phishing », et lorsque l’on connaît les rouages d’un service d’achat d’une grande entreprise ou administration, certes, la chose est envisageable. Mais ce schéma est-il applicable dans le cadre de botnets à usage général, ceux-là même qui servent à récupérer des crédences Paypal et des numéros de carte de crédit ? Un Bot-herder qui espère gérer un troupeau de zombies lié à la progression des ventes d’un fabricant de machines à bas coût, même sur un marché comptant 500 millions de petits Chinois (quel émoi), devra faire preuve de patience. Le « supply chain » vecteur d’infection est une hypothèse trop rocambolesque pour être prise au sérieux.

Il y a, derrière cette enquête Microsoft, un aspect franchement positif, celui de la disparition d’un domaine douteux et connu comme tel depuis longtemps. Mais on peut aussi y détecter des interprétations et des motivations tendant à promouvoir l’idée du « buy American » à l’aide d’arguments parfois spécieux. Ce ne serait pas la première fois qu’une menace-prétexte serve à justifier une politique isolationniste commerciale.