septembre, 2012

C’est fait : les principales conférences techniques du premier GreHack de Grenoble ont été arrêtées. Le mélange des genres est agréable : personnalités et chercheurs moins connus, hack purement réservé aux codeurs acharnés, exploits matériel classiques et pourtant ignorés… Il ne faut rater sous aucun prétexte, par exemple, le « talk » de Rahul Sasi (iSight), qui nous parlera de fuzzing DTMF, qui aura un sacré goût de madeleine pour les vieux amateurs de freaking et autres chasseurs de commandes cachées dans les modems Hayes ou USR. Ari Takanen (Codenomicon) parlera une fois de plus (mais le sujet est tellement vaste) du fuzzing de code dans l’électronique embarquée. Jtag et assembleur, security by stupidity, le monde de l’électronique grand-public est un vaste terrain de jeu pour hackers et chercheurs. Le sport devient encore plus intéressant lorsque cette électronique embarquée touche à la sécurité de véhicules, de systèmes de contrôle de processus industriels etc. Mathieu Renard, quant à lui, sera plus classique, et discutera de hack IOS, sujet à la mode, surtout depuis le début de la semaine passée.

Olli-Pekka Niemi et Antti Levomäki (Stonesoft) reviendront sur un classique de l’entreprise et invention purement Finlandaise, les fameux AET et l’art d’échapper aux mécanismes de détection des firewall. On peut s’attendre à un franc moment de détente avec la présentation de « Phil » sur les échecs successifs du cryptage audiovisuel. Nagravision à tous les étages… les nostalgiques des codes « season » et du travail « anti-sky » du Cray de l’université de Dortmund reprendront bien eux aussi un peu de madeleines.

Il ne serait pas juste d’oublier Paul Amar, un local de l’étape, qui va interpréter une variation originale sur le thème indémodable du « mon routeur ADSL en petite tenue sur IP », succédant ainsi à de nombreuses démonstrations analogues (HSF, Defcon, Hackito). David Worth et Justin Collins plongeront dans les « drogues dures » avec un papier intitulé « Leveraging Convention over Configuration for Static Analysis in Dynamic Languages » (si !), tandis que Yann Sephan causera C# et reverse, correctif et anti-correctif…

Nous reviendrons sur les présentations des conférenciers de plénières peu de temps avant sauter dans notre Viva-Sport 37 améliorée 39* histoire d’aller contempler, le mois prochain, le trou de la mère d’Agoult (Marie) et les salles de conférence de GreHack.

*ndlc : Franchement, seuls les dinosaures se souviennent de ce sketch de Fernand Raynaud. Ceci mis à part, je m’insurge contre cette appellation sexiste qui désigne la cluse de Voreppe. Marie aimait les hommes, certes, mais pas n’importe lesquels. Plutôt un abbé talentueux et romantique (Liszt) qu’un lieutenant boutonneux complexé comme l’était Henri Beyle.

Fernando Gont, l’homme des RFC sécurité d’IPV6 et principal ouvrier de la consolidation de ce protocole, vient de publier IPv6Mon, un deamon chargé du monitoring des adresses IP sur un réseau. Outil particulièrement utile lorsque l’assignation des adresses est effectuée sans serveur via les mécanismes du « Stateless Address Auto-Configuration » (qui ne doit pas être confondu avec le système centralisé DHCPv6). Le manuel d’utilisation est très complet, à peine plus long que les notes d’installation qui vont jusqu’à détailler les directives de compilation du code. Et qui dit compilation pense source. Le code du moniteur est disponible sur GitHub.

Si l’on devait résumer en quelques mots la vision que les médias portent sur le rachat de VirusTotal par Google, ce serait par un « bonne nouvelle, Google récupère un acteur de la sécurité pour parfaire la protection de son « market ». VirusTotal est particulièrement apprécié du public pour son outil de scan d’URL ».

Ce sont là deux contre-vérités. En premier lieu, on voit mal comment un antivirus (voire une armée d’antivirus concaténés) pourrait mieux chasser la présence de fonctions natives de certaines appliquettes destinées au marché Android. La géolocalisation, la récupération d’informations personnelles dépendant du terminal, l’émission de ces données à destination d’un service extérieur, tout ça ne définit pas une activité virale, mais d’outils légaux « by design », naturellement destinés au bien du consommateur. Détecter et bloquer de telles fonctions équivaudrait à invalider 80 % des appliquettes actuellement diffusées par Google. VirusTotal n’est doué d’aucune intelligence artificielle capable de distinguer une « bonne » géolocalisation d’une mauvaise, une « bonne » récupération d’historique de navigation d’une mauvaise et ainsi de suite.

… quant au scan d’URL, à part quelques très rares paranoïaques ou chercheurs en sécurité, qui donc l’utilise ? La lourdeur de la procédure cantonne ce genre de service dans la catégorie « gadget à usage exceptionnel ».

Reste un usage de VirusTotal qui semble avoir été occulté par une soudaine amnésie sélective de la part de bon nombre de nos confrères : la vérification systématique des « payload » et vecteurs de diffusion conçus par les auteurs de virus ou de toolkits à malwares eux-mêmes. Ce n’est pourtant pas Google qui a inventé l’accroche « 0/42 VT Score Guaranteed » qui accompagne les documentations publicitaires de BlackHoles et proches cousins. Outil apprécié des filières mafieuses, ce bijou ajouté à la couronne Google a un parfum sulfureux.
VirusTotal, c’est le Janus de la protection, une arme à double tranchant qui peut avoir deux aspects. Le premier, angélique et blanc comme neige, qui affirme que le crible d’un fichier par 42 antivirus différents est une forme d’assurance « ceinture et bretelles » garantissant une absolue innocuité dudit fichier (ce qui est techniquement totalement inexact), le second, diabolique et sombre comme une dette souveraine Hellène, qui offre un label de furtivité et d’invisibilité à tout code d’origine BlackHat. Il y aura donc deux manières de lire, désormais, la phrase « applications Android vérifiée et garantie 0/42 par GoogleVirusTotal ». Assurance de pureté ou de très bonne infection ?… En admettant que Google envisage de rendre ce nouveau service commercial, la firme pourrait bien décrocher ses premiers clients du côté de Saint-Pétersbourg, dans la banlieue de Shenzhen ou dans les faubourgs de Rio …

Cornegidouille, Mère Ubu, que dites-vous de cela ? Moi, Père Ubu, Roi de Pologne et de la Sacem, c’est-à-dire de rien et de nulle part, je suis parvenu à saisir 150 Euros à un quidam… 150 florins qui viendront bien nourrir mon cheval à Phynance.

Mère Ubu

Tu perds la tête, Père Ubu. Tu te crois donc encore en Pologne ? En France, le vol est interdit, et comme nous n’avons plus nos anciens titres et fonctions…

Père Ubu

Madame ma femelle, tu manques de jugement. En quittant la Pologne, j’ai fait tirer par mes palotins, outre mon croc à phynance, mon illustre machine à décerveler. Et je l’ai offerte au bon peuple de France, en lui faisant accroire que c’était de l’art, alors que ce n’était que du cochon. Chaque usage de ma machine à décerveler (nommée dans le Berry et la Champagne, et la Beauce et la Bretagne, « téléchargement ») provoque immédiatement une réaction de mon cheval à Phynance.

Mère Ubu

Hon, je serais étonnée que cela fonctionne. Encore faudrait-il poser un palotin derrière chaque Français pour savoir qui abuse de cette machine à décerveler !

Père Ubu

C’est inutile, j’accuse sans preuve autre qu’un ouï-dire émis par un sous-palotin que je paye fort cher sur la cassette personnelle des Français eux-mêmes, qui payent avec gaieté car je leur explique que c’est pour le bien de mes généraux nécessiteux. J’arrive ainsi à leur soutirer 12 millions de Drachmes par an. Soit, depuis 3 ans, un peu moins de 30 millions de Rixdales.

Herdampot (qui entre côté Jardin)

Père Ubu, Ils finiront par s’en rendre compte ! Vous allez finir comme en Pologne ! Ecoutez la foule en colère, qui finira par vous enfoncer des petits bouts de bois dans les oneilles et vous coupera les cheveux. Et mère Ubu sera obligée à nouveau de quitter le pays, en y laissant votre croc à phynance.

Père Ubu

De par ma chandelle verte, ce serait surprenant ! Nous faisons œuvre pédagogique de sensibilisation. Je leur apprends le droit chemin, la logique de la physique, de la métaphysique, de la pataphysique et autres physiques bien plus abstruses, à commencer par celle qui consiste à appeler Création Artistique tout ce qui se peut écrire sur un disque polycarbonate, un Winchester, une tablette, une machine à Grand ou Petit Comput dès lors qu’il est portable… ou assimilé, et même les routes et autoroutes du savoir, car déjà mes fidèles généraux touchent une dime extraordinaire sur leur commerce et leur usage. Ce qui les rend gras et gros et dociles, eux qui mordraient s’ils n’étaient pas nourris par ces prébendes. J’éduque donc. J’instruis. Je pédagogise.

Herdampot (à mère Ubu)

Ma foi, il nous aura surtout appris qu’il est possible de voler en France comme en Pologne, de mettre l’argent de l’Etat au service d’un quarteron de commerçants, de rouler carrosse et habiter château sans que qui que ce soit ne trouve à redire, et, lorsque de vagues soupçons planent sur Père Ubu, il fait nommer l’un de ses propres anciens Palotin à la retraite à la tête d’une commission d’enquête. Il aura également écarté de leur fonction le rôle des juges et de la Police Républicaine pour imposer le pouvoir de ses Palotins, et parvenu à convaincre l’Etat que la proportionnalité des peines était une habitude passéiste. On condamne pour deux grains de blé, et l’on se garde bien de pourchasser ceux qui volent par sacs entiers.

Père Ubu

Merdre, vas-tu te taire ? N’as-tu point appris comment j’ai éliminé le roi Vancelas et gagné le trône de Pologne en donnant des caisses d’or à ceux qui savaient bien courir ? Je fais pareil ici. Je promets l’ordre et la phynance (sans rien tenir bien entendu) et entretiens en attendant la santé de ma Gidouille. Mais cela faisait longtemps que le Roi de France me demandait de hauts faits d’arme. J’ai donc levé l’impôt sur un manant pris au hasard. D’ailleurs, le prévenu n’était pas personnellement coupable, mais cela est-il important ? Comme je le promettais lorsque j’étais roi*, je vais d’abord réformer la justice, après quoi je procéderais aux phynances. Les juges ne seront plus payés, ils bénéficieront uniquement des dimes qu’ils imposeront… et des biens des condamnés à mort. Comme ça, le rebondi de leur boyasse sera d’autant plus important qu’ils seront sourds aux vieux principes. Mais j’interdis, sous peine de décervelage et d’arrachage des oneilles, de lever impôt sur les admirateurs les plus fervents de l’Art tel que défini par Moi-même et forts téléchargeurs, sans qui ne ne saurait continuer à justifier mon gouvernement vis-à-vis de la populace. Et lorsque qu’à force d’actions palotines mes généraux auront la boudouille rebondie à force de dime sur les goualantes, j’entendrais mes maréchaux, qui, eux, veulent que je réédite mon exploit non plus sur tout ce qui entre par les oneilles, mais sur tout ce qui entre par les yeux et qui s’est écrit.

Ils sortent en chantant

« Ne me chicane

Dans le Dodo »

Un Palotin vient éteindre les bougies de la scène, côté cour, verse une pièce de 2 Rixdales pour les droits du chant Tatane.

* NdlC Note de la Correctrice : Acte III Scène 2.

Déjà, l’an passé, presque jour pour jour, une intrusion dans l’un des intranets d’Areva avait défrayé la chronique. Enfin… le bruit médiatique relevait plus des hiatus de la gestion de crise que du hack lui-même, hack dont personne n’a plus entendu parler par la suite.

Cette année, la révélation d’une tentative d’attaque vient du blog d’un spécialiste de l’analyse malwarophile, Snorre Fagerland travaillant pour le compte de l’éditeur d’antivirus Norman. Il s’agit, une fois de plus, d’une attaque très ciblée, tentant d’injecter un troyen dérivé de Dark Comet, un outil discret d’administration à distance conçu d’ailleurs par un développeur Français, Jean-Pierre Lesueur. Histoire de corser un peu le côté mystérieux de l’affaire, l’outil était accompagné d’un fichier iTunes, d’un lot de 9 photographies montrant deux hommes affalés dans un canapé, et un courrier interne purement administratif et manifestement détourné de la messagerie d’Areva La Hague. Si cette histoire est publiée ces jours-ci, son déroulement s’est étalé entre la seconde et la troisième semaine du mois de juin 2012.

Mais là où l’affaire prend un tournant inattendu, c’est lorsque Snorre Fagerland se rend compte que le troyen ne peut pas se déclencher, qu’il est paramétré sur l’adresse de bouclage IP, et que, photographies y comprises, son poids dépasse les 30 Mo. Pourquoi lancer un virus qui ne fonctionne pas ? Fagerland émet deux hypothèses : soit il s’agit là d’un tir d’essai, destiné à vérifier la vulnérabilité d’un point d’entrée (les photos n’étant alors qu’une charge fictive), soit les auteurs du virus ont commis bévues sur bévues, et les photos, tout comme le fichier iTunes, auraient bel et bien été stockés sur l’ordinateur de l’attaquant. Mais sans cellule de communication de crise dans les rangs des fabricants d’espionniciels, il y a peu de chance que l’on obtienne un jour le fin mot de l’histoire …

Ces péripéties atomiques ne doivent pas pour autant associer le travail de Jean-Pierre Lesueur à celui d’un auteur de virus. Son projet Dark Comet a été occulté depuis la fin juin, et son outil de récupération d’informations Browser Forensic Tools V2 se montre très persuasif lorsqu’il s’agit de faire parler un navigateur Internet Explorer, Chrome, FireFox ou Opera.

C’est la fête pour Android, en ce début septembre. En premier lieu, l’adoption du système par un nombre toujours croissant d’intégrateurs est telle que l’on compte (chiffres communiqués par Google) 1,3 million d’activation de noyaux par jour. Android vient de passer le cap des 500 millions de systèmes diffusés dans le monde, systèmes majoritairement installés sur des smartphones. 2,1% (70 000 par jour) de ces systèmes sont intégrés à des tablettes. A ce rythme, le cap des 600 millions de systèmes pourrait être atteint avant la fin de l’année. Les lendemains de fêtes de fin d’année seront l’occasion pour les pronostiqueurs professionnels de voir comment se comportent les trois noyaux concurrents, puisque d’ici là, Windows RT sera commercialisé.

Mais ce qui passionne le plus le landernau de la sécurité, c’est précisément l’insécurité intrinsèque d’Android. Deux études tendent à dire que les lendemains vont chanter pour les vendeurs de logiciels de défense périmétrique adaptés aux noyaux Google. La première est publiée par Dell/Secureworks, la seconde a été conduite par SearchSecurity auprès de 500 entreprises « byodisées ». Les conclusions sont plus ou moins les mêmes : faiblesses endémiques des applications et des plateformes, grande mobilité des usagers et donc connexion de leurs appareils sur plusieurs ordinateurs (créant ainsi une sorte de réseau virtuel indéfini mais pas franchement sécurisé), carences des politiques de sécurité qui, même si elles sont mises sur pied, ne sont pas régulièrement remises à jour… les motifs d’inquiétude ne manquent pas, et les outils de gestion de flotte mobile (MDM) ne peuvent avoir réponse à tout.