novembre, 2012

Bruits (de couloir) et chuchotements twittés, il flotte ces derniers jours comme un parfum de fin de règne pour les frères ennemis de la microinformatique. Chez Apple tout d’abord, avec la divulgation de petits-riens qui auraient, en d’autres temps, été fermement muselés… un fléchissement de la bourse après le lancement de l’iPhone 5 en raison de certaines craintes de rupture de stock, une fermeture provisoire de son sous-traitant Chinois Foxconn, des bugs de jeunesse dans le systèmes de cartographie du terminal… autant de vagues rumeurs qui n’auraient pas eu l’ombre d’une chance d’être évoquées il n’y a pas deux ans. Et voilà que le « père fondateur », Woz, le véritable papa de l’Apple II, confie aux participants de TEDx Bruxelles (via TechCrunch ) qu’il trouverait plus d’innovations dans les récents produits vendus par Microsoft que chez Apple tout entier. Et de lancer au fil de l’interview une série de « wooww » admiratifs, gimmick utilisé lors du lancement publicitaire de Seven.

Chez Microsoft, pourtant, les flottements sont tout aussi importants. Le grand public n’adhère pas (encore) à la nouvelle interface de Windows 8/RT et ne s’enthousiasme pas pour Surface comme un Bobo Yupie devant une devanture Apple un jour de lancement. A ceci s’ajoute le récent départ du patron de la division Windows, Steven Sinofsky, homme qui était parfois présenté comme le successeur probable de Ballmer. Un Sinofsky qui avait succédé à un autre personnage de valeur que l’on croyait inamovible à ce poste, Jim Allchin, qui lui-même reprenait les rennes de Brad Silverberg. Il est presque de tradition qu’un patron de division change de poste ou quitte l’entreprise une fois une ligne de produits lancée sur le marché. Mais, font remarquer quelques microsoftophiles, « Corp » compte un peu moins de « personnages » à sa tête. Sinofsky n’était pas, aux dires de ceux qui le côtoyaient, d’un charisme et d’une humanité débordante, et n’imposait pas, dans les médias, une image de « gourou » comme ont pu le faire un Silverberg, un Ray Ozzie ou un Allchin… voire un Bill Gates. Un Gates qui avait le talent de découvrir les talents et savait les mettre en valeur, ce qui n’est peut-être pas exactement un don qu’a su développer Steve Ballmer

Pendant ce temps, Google caracole. Le marché français des mobiles porte le logo Android dans 50% des cas, réalise 75% des nouvelles ventes de mobiles dans le monde et est en train de manger tout cru le marché Chinois en imposant un quasi-monopole. Des chiffres analysés par nos confrères de PCInpact et diffusés par une étude publiée dans Eguan, et que confirme une analyse de marché effectuée par le Gartner. Chiffres d’une portée stratégique incalculable, car ils illustrent ce qui se passe réellement en matière de transition technologique : le passage de la téléphonie mobile traditionnelle vers l’ère du smartphone se résume en deux chiffres : les ventes globales de téléphones mobiles ont chuté de 3% au 3ème trimestre 2012, mais celle des smartphones se sont envolées de 47% (marché lui-même détenu à 46,5% par deux marques seulement : Apple et Samsung). Et de ces deux protagonistes, c’est Samsung (donc Android) qui bénéficie le la plus forte croissance.

Voilà qui va faire les affaires des vendeurs d’outils de sécurité. Android est de plus en plus souvent présenté comme un système vulnérable, bien plus que celui de ses concurrents (iOS ou le tout « nouveau mais éprouvé » noyau de RIM, QNX). Cette perception de la vulnérabilité est d’ailleurs très relative. D’un côté, il y est encore très facile d’y trouver des failles ou des erreurs de conception favorisant des fuites d’information, de l’autre, le succès croissant de la plateforme va probablement provoquer une sorte « d’effet Windows » en attirant l’attention des auteurs de malwares.

Lue, sur la liste Netsec et largement décrite et commentée sur un site d’information Russe, cette faille Skype est exploitable avec une simplicité toute enfantine.

Dans un premier temps, il suffit de suivre la procédure de création de compte Skype en utilisant l’adresse email connue de la victime.

La procédure va immédiatement vitupérer et déclarer que l’adresse de messagerie en question est déjà utilisée… mais il suffit de ne pas tenir compte de l’avertissement et de continuer l’inscription, puis de tenter un login une fois la procédure achevée.

Sans Sésame, point d’accès possible, mais une procédure de demande de récupération de mot de passe est offerte par le programme en cas d’échec. En déclenchant cette procédure, le service Skype expédie un email à l’adresse de la victime…ainsi qu’un lien dans le logiciel client Skype. Ce lien donne accès à une fenêtre de renouvellement de mot de passe, le tour est joué, le compte est détourné. Il est notamment possible de récupérer au passage, outre le carnet d’adresse de la victime, l’historique des conversations « chat » tenues par le possesseur originel du compte.

Une mesure de contournement simple permet d’éviter d’être soi-même victime de ce genre de méfait : créer un compte sur une messagerie publique (Gmail, Hotmail) différent de l’adresse de messagerie généralement utilisée, ajouter cette adresse dans l’écran de gestion du profil Skype, puis, dans un second temps (après avoir sauvegardé la précédente modification), paramétrer ladite adresse comme adresse email par défaut.

L’Amérique du Nord est en émoi : une histoire galante entre le directeur de la CIA et ancien général d’Armée et sa biographe a poussé le patron de l’espionnage US à la démission. A l’origine, une enquête de routine conduite par le FBI suite à l’envoi d’emails d’insultes anonymes émis depuis un compte Gmail. Les policiers remontent la source avec le concours de Google semble-t-il, puis examinent les différentes comptes consultés par l’adresse IP incriminée. C’est là que les agents découvrent un compte de messagerie qui jamais n’émettait de courriel, mais dont la boîte « brouillons » servait de plaque tournante de consultation de messages entre le patron de la CIA, David Petraeus, et Paula Broadwell, auteur de son panégyrique.

LifeHacker décrit dans les grandes lignes le déroulement de l’enquête et les moyens techniques mis en œuvre par les amants terribles. Moyens techniques et erreurs commises, ce qui donne à nos confrères l’occasion de revenir sur les outils d’anonymisation qui auraient garanti une totale discrétion sur ces amours épistolaires.

Robert Graham se penche également sur le sujet, avec un peu plus de détails techniques, au fil d’un article intitulé « Le hacking de la maîtresse d’un général ». Et d’expliquer pas à pas le processus de déchiffrement du mot de passe pouvant donner accès aux correspondances amoureuses, allant même jusqu’à fournir en clair ledit mot de passe du compte de Paula Broadwell. Le condensat du code d’accès en question pouvait être récupéré dans le fichier d’un précédent hack, la fameuse « fuite d’information des emails Stratford » survenue au tout début de cette année. « Pas d’Anonymous dans cette histoire » estime Graham. « Ce que je fais, n’importe quel script kiddy aurait pu le faire ».

La consultation de courriers envoyés à soi-même ou stockés dans une boîte d’instance est une pratique décrite depuis longtemps dans tous les mauvais romans d’espionnage et utilisée semble-t-il par certains membres de Al Quaida peu de temps avant les évènements du 11 septembre. Il est étrange que le chef d’une administration particulièrement spécialisée dans la conservation des secrets et la découverte de ceux de ses adversaires ait pu commettre une telle erreur. Il est tout aussi étrange, pour nous autres, européens, que les épanchements amoureux d’un militaire puissent avoir sa démission pour conséquence. Si cette pratique puritaine avait eu cours en France, que de têtes couronnées, que de chefs de guerre seraient tombés à la simple évocation des noms de Marie Walewska, de la Du Barry, de la Pompadour, d’Agnès Sorel, de Gabrielle d’Estrée ou de la fameuse « connaissance sortie par la porte de derrière* » de Felix Faure.

NdlC Note de la Correctrice : que les journaux de l’époque surnommèrent très élégamment « la Pompe Funèbre »

A une exception près (la MS12-073 ) tous les bulletins d’alerte de ce mois sont considérés comme critiques par le Sans. Toutes, en revanche, sont « cumulatives », colmatant à chaque fois entre deux et 5 CVE. Aucune, en revanche, n’écope du « patch now ! » rouge vif, signifiant par-là que les risques d’exploitation « dans la nature » sont relativement improbables. Tout au plus, le Sans Institute signale l’existence d’une probable preuve de faisabilité (PoC) concernant précisément la 12-073.

Le détail donné par Microsoft précise que sont touchés notamment I.E. 9 (une faille propre à cette version très précise du navigateur affirme l’éditeur), ainsi que deux points névralgiques du système : MS12-072, une faille « shell », et MS12-075, une faille Noyau. Le plus imposant des bouche-trous concerne l’environnement « dot net » avec 5 CVE, dont 4 d’entre eux caractérisés par un index de possibilité d’exploitation élevé.

Encore quelques failles Java, doublement exploitées notamment par la faille CVE-2010-0188.B, résurgence d’un vieux trou datant de l’an passé. Il est conseillé de vérifier la version active à l’aide de la page adéquate (http://www.java.com/en/download/installed.jsp) et d’utilise le bouton de mise à jour vers la « 7U9 » le cas échéant

Une série de failles dans le navigateur Chrome fait l’objet d’un bulletin important et pousse à la mise à jour vers l’édition 23.0.1271.64. A noter que cette mise à jour intègre également le dernier correctif Adobe.

Perfidement, Bit9 en profite pour publier une étude laissant entendre que 25 % (soit près de 100 000) applications Android sur Google Play présenteraient des risques de sécurité. Chiffres à prendre avec des pincettes et sujet à interprétation. La vision optimiste d’un tel chiffre pourrait également dire « 75% des applications disponibles sur Play sont fiables »… sur de telles assertions, aucun responsable de développement n’oserait mettre sa tête sur le billot.

Les « vulnérabilités », ou plus exactement les risques de fuites d’informations et autres indiscrétions, sont celles dénoncées depuis longtemps par les experts sécurité spécialistes du Byod : Permissions trop élevées, géolocalisation quasi systématique dans 42% des programmes téléchargés –mais pourquoi un papier-peint devrait-il récupérer les données GPS du mobile, s’étonne le rapport-, près d’un tiers accèdent au numéro de téléphone voir à l’agenda de l’usager, 26% s’arrogent un accès plus ou moins direct aux données utilisateur personnelles et au courriel notamment.
F-Secure, de son côté, publie son bulletin trimestriel d’analyse des risques et menaces dans le monde de la mobilité, édition Q3 2012. Et sans surprise, c’est Android qui décroche la première place, avec plus de 51 000 menaces uniques, malgré la mise en place par Google, entre temps, d’une politique de filtrage automatique baptisées « Bouncer ». Depuis la mise en place de ce filtre, l’éditeur prétend avoir immédiatement réduit de 40 % le nombre d’appliquettes malsaines de son catalogue.

Si la récente sortie d’Android 4.1 « Jellybean » pourrait améliorer la situation compte tenu du nombre de mécanismes de sécurité ajoutés au noyau, la persistance des menaces n’est pas prête de diminuer. En effet, la proportion de terminaux, téléphones ou tablettes, capable d’être mises à jour sans « rootage » de l’appareil est encore très faible en regard du parc de terminaux en circulation.

Cédric Blancher revient sur la joute oratoire (épistolaires plus exactement) qui oppose Sophos, le Britannique éditeur d’antivirus et Tavis Ormandy. Un chercheur qui travaille au sein de l’équipe sécurité Google faut-il le rappeler, et qui avait, par le passé, déjà pondu quelques mémorables couplets dénonçant les inconsistances de cet outil de protection. Des inconsistances qui pouvaient constituer un point de faiblesse dangereusement exploitable, un comble pour un outil de sécurité informatique.

Une divulgation de faille qui provoque chez Sophos une réaction plutôt conciliante et qui peut se résumer ainsi : on aime nos clients et faisons tout ce qui est en notre possible pour colmater les défauts de nos produits, on aime Tavis Ormandy car son travail nous aide à colmater les défauts de nos produits… une copie conforme et anonyme (car signée au nom de l’équipe) de la réponse rédigée il y a un an par Graham Clueley à l’occasion de la précédente sortie d’Ormandy.

Remarquons au passage que, parmi les « victimes » des papiers d’Ormandy, certains ne le prennent pas toujours avec autant de bonne volonté. Microsoft, par exemple, a longtemps eu un certain « bug du fichier Help » en travers du compilateur. Sans parler d’autres éditeurs bien plus expéditifs qui dégainent leurs avocats et poursuivent les chercheurs en justice avant même de comprendre ce qui justifiait la publication de ladite recherche.

L’attitude est louable sans doute, mais ce n’est pas franchement assez, estime Cédric Blancher. Si Errare humanum est, perseverare est sacrément diabolicum. Bref, les promesses d’efforts de consolidation sont quasiment restées lettres mortes, ou donnent l’apparence de l’être.

Et « Sid » Blancher, prudent et objectif, de préciser que cette mercuriale visant Sophos ne dédouane pas particulièrement les éditeurs concurrents. Rien ne dit que des problèmes au moins aussi graves n’affectent pas ces logiciels. Depuis près de 10 ans, Thierry Zoller attire également l’attention sur des failles abyssales affectant la quasi-totalité des antivirus et sur la fragilité (voir l’absence totale) de mécanismes de contrôles associés aux outils de mise à jour automatique que l’on rencontre sur bien des programmes. Autant de failles, autant de risques de « botnétisation » d’un réseau de mise à jour provoquées généralement par des contrôles imparfaits de certains fichiers, ou la possibilité d’utiliser certains fichiers pour compromettre l’antivirus lui-même (précisément ce que démontre Ormandy ces jours-ci).

Qu’un antivirus soit faillible et laisse passer des vecteurs d’infection dont la signature n’est pas encore connue, passe (sic) encore. Qu’un antivirus constitue lui-même un point vulnérable dans les défenses périmétriques, cela est moins admissible. Qu’une fois ses concepteurs avertis sur des problèmes de conception ou d’architecture, ce même antivirus présente d’autres défauts encore liés à des problèmes de conception ou d’architecture et la pilule devient franchement amère. Mais qui, à part le microcosme geekesque du monde de la sécurité, se plonge avec attention dans les œuvres complètes de Tavis Ormandy ou de Cédric Blancher ? De quoi relativiser l’importance que l’on donne à la divulgation des failles de sécurité, que cette divulgation soit « full », raisonnable, responsable, collaborative ou sauvage.

L’ennui naquit un jour de l’uniformité * : Adobe prévient d’une Player nouvelle version de Flash et d’une mise à jour liée, celle de Air (http://www.adobe.com/support/security/bulletins/apsb12-24.html) . 7 CVE colmatés, les possesseurs d’I.E. 10 verront le navigateur mis à niveau via le canal Microsoft.

A peine cette rustine diffusée qu’Andrey Komarov du groupe IB, signalait l’existence d’un ZDE visant Adobe X, exploit pouvant se propager via des fichiers pdf forgés. Bien qu’encore peu répandu, le Zéro Day serait déjà intégré à la panoplie d’attaques par le kit d’exploitation Blackhole. Une courte (5 minutes) démonstration vidéo de cet exploit est disponible sur YouTube

NdlC Note de la Correctrice : l’on attribue à Montherlant un « l’ennui naquit un jour de l’uniforme ôté »… probablement une réminiscence d’une de ces réparties piquantes très XIXème siècle plus probablement sortie de l’esprit d’une lorette ou d’une courtisane.

HackRF, la radio logicielle très large bande et faible prix de Mike Ossmann (voir article du 16 juillet dernier) vient de passer à l’âge adulte, avec une version enfin unifiée sur un seul et même circuit imprimé. Nom de code : Jawbreaker, nous apprend le blog du concepteur. Le modèle a notamment été présenté à l’occasion de Toorcon 14, ce qui a valu à cet émetteur-récepteur de beaux titres dans les journaux économiques… notamment Forbes, qui nous apprend, en fin d’article, que l’aventure HackRF a bénéficié d’une aide de 200 000 dollars, somme allouée en février dernier.

Rappelons que Jawbreaker est un SDR fonctionnant avec un échantillonnage sur 16 bits (contre 24 bits ou plus pour des SDR d’entrée de gamme plus orientés télécoms que hacking) et qu’il couvre de 100 MHz à 6 GHz sans extension supplémentaire.

Une bonne raison pour ne pas « craquer » pour une liseuse électronique durant les fêtes de Noël ? La possibilité que possède le cyber-libraire de récupérer sans avertissement ni motif les œuvres légalement achetées par ses clients, déplore le blogueur Martin Bekkelund. Et de citer l’exemple d’une de ses amies qui a vu son Kindle totalement vidé des ouvrages qu’elle avait acquis auprès d’Amazon.

La question ne porte pourtant pas tellement sur un problème de DRM, mais à la fois de sécurité informatique au sens large du terme, ainsi que du droit commercial.

En supprimant à distance (cette fois pas seulement par erreur) ce que l’on pourrait considérer comma la bibliothèque privée d’une personne, Amazon a prouvé que la notion de « livre électronique » n’existait pas, ou plus exactement qu’elle ne pouvait être comparée à celle attachée à un livre « papier ». L’un se loue, l’autre se vend. On peut posséder un livre matériel, le prêter à un ami (voir le donner), le transmettre à un héritier, le revendre même. Pas un livre électronique. L’évolution des usages aidant, accompagnée par la suppression progressive des chaines d’impression, de distribution, de coédition etc., le livre électronique est en train de participer à une véritable révolution que l’on n’attendait pas : la dépossession du patrimoine culturel familial. La bibliothèque de famille n’existera bientôt plus, elle se transformera en un droit incessible, intransmissible et payable à échéance.

Ce modèle est strictement identique à celui que tentent d’imposer de plus en plus les principaux éditeurs de logiciels. Fini, le Windows 98 qui agonise à petit feu sur des machines poussives et impossibles à maintenir. Oubliée, l’antédiluvienne version de Word 97 vendue une seule fois et qui continue de générer les textes d’un informatisé passéiste qui refuse énergiquement les avantages du progrès d’office 2013. Le bon client logiciel, c’est celui qui paye peu, mais souvent. Si possible tous les ans. Et dont les productions écrites sont elles-mêmes prises en otage, quelque part sur le Cloud, sous la menace d’un renouvellement obligatoire d’abonnement.

Si, pour l’entreprise, un tel système peut s’avérer rentable (il existe après tout des plans de continuité d’activité et des contrats sérieux pour le garantir), il réserve encore quelques mauvaises surprises pour la majorité silencieuse des utilisateurs « grand public ». Lesquels sont peu à peu poussés vers un modèle de consommation de contenu éphémère. Le nuage supprime au monde civil la notion de possession de bien pour la transformer en usufruit de service. Pour l’instant, d’appliquettes GooglePlay en romans Amazoniens, de courriels virtualisés en musiquettes MP3isées, l’immense majorité semble s’en accommoder, comme c’est toujours le cas durant une période de transition technologique. Après tout, nous avons aussi sur nos étagères la collection complète des œuvres du Dumas, ou de Balzac, de Pierre Dac ou de Montaigne, de Bobby Lapointe ou de Buxtehude… voire peut-être les bonnes feuilles de Beigbeder ou de Notomb. En sera-t-il de même dans 40 ans ? Le « après nous, le déluge » de cette course aux produits culturels ou de divertissements dématérialisés (et immédiatement accessibles) pourrait bien avoir raison de la poussière des bibliothèques, de leurs « temps d’accès » lents et de leur permanence dans le temps …