janvier, 2013

« Certes, dit le Cert , la toute dernière faille Java a été colmatée par la version « 7u11 », mais cette mise à jour ne fait que résoudre le problème posé par l’alerte CVE-2013-0422, mais le colmatage de la CVE-2012-3174 demeure en suspens ». Et d’ajouter en substance « A moins que ce soit absolument nécessaire, et ce même si vous avez déployé la dernière version de Java, nous vous recommandons de le désactiver afin d’écarter les risques de nouvelles vulnérabilités qui pourraient être découvertes dans le futur ». C’est la première fois que le Cert US conseille d’éviter l’usage d’un programme sine die. Par le passé, des avis comparables, concernant notamment Internet Explorer, avaient été émis pour des périodes indéterminées mais limitées dans le temps.

La faille CVE-2012-4792 qui frappait Internet Explorer a été corrigée grâce à une rustine « out of band » immatriculée MS13-008. Cette faille avait fait l’objet d’une mesure de contournement par « fix-it » qui s’était révélée elle-même contournable.

Messenger vivrait ses derniers jours. Certains usagers de MSN Messenger, logiciel d’IM conçu par Microsoft, ont été encouragés par l’éditeur à adopter Skype, qui deviendrait l’unique outil de messagerie instantané de la Windows Company

Gizomodo publie un court article sur une forme d’attaque de compte Facebook relativement inhabituelle : l’attaquant qui cherche à bloquer le compte d’une victime se contente de la déclarer décédée en se réclamant de sa famille. Les seules preuves demandées par les administrateurs du réseau social peuvent être, précise l’auteur du papier, aisément forgées.

Cette utilisation pernicieuse du « droit à l’oubli » pourrait a priori s’appliquer à n’importe quel outil Cloud ou de réseau social et pourrait être utilisée pour fermer pratiquement n’importe quel compte donnant accès à un service en ligne… services professionnels y compris. Que voilà une belle amorce de sujet pour auteur de roman noir…

Des cyber-morts, il s’en est compté quelques millions lorsqu’une faille de Ruby on Rail a été découverte. Faille ouvrant la porte à de possibles attaques en injection SQL, explique une analyse publiée par Insinuator. Du coup, certains administrateurs de sites ont préféré clore les accès à leurs services pour éviter le pire, et, parmi ces administrateurs prudents, le service public des Pays Bas DigiD chargé de la gestion des identités numériques des citoyens Hollandais. Du coup, une grande partie des habitants du plat pays sont numériquement dans le coma en attendant que le trou de sécurité soit colmaté.

Un récent rapport d’Europol précise que, malgré un montant des pertes estimé de 1,5 milliard d’Euros, les fraudes à la carte de crédit sont en baisse sensible sur les 12 derniers mois. Et ce malgré un accroissement des cartes émises, puisqu’actuellement plus de 726 millions d’entre elles sont en service dans la zone européenne.

Cette baisse des malversations aurait pour principale cause l’usage de plus en plus fréquent de cartes à puce. Cette protection physique ne fonctionne hélas que lorsque la carte est utilisée conjointement avec un DAB ou un TPV équipé de l’électronique adéquate. Lorsque ces dispositifs sont absents (notamment dans le cadre d’achats à l’étranger hors Europe et sur Internet), le taux de fraude est en nette progression. Les pays dans lesquels les fraudes sont les plus fréquentes (en raison de l’absence de ces mécanisme de protection) sont les USA, la République Dominicaine (pourtant un tout petit état mais brassant une importante masse touristique), la Colombie, la Fédération de Russie, le Brésil et le Mexique.

Les transactions sans présentation physique de la carte (achats par correspondance ou Internet) représentent à elles seules 60% des fraudes à la carte, totalisant un montant estimé des pertes de 900 millions d’Euros. Plus étonnant, le vol d’identité bancaire frappant des usagers Européens provient de fuites de données et de hacks perpétrés aux USA.

Le Bangkok Post annonce l’arrestation du botmaster présumé d’un des réseaux Zeus. Hamza Bendelladj, ressortissant Algérien qui faisait l’objet d’un mandat d’arrêt international émis par le FBI.

L’Agence Reuter (reprise par une multitude de médias) fait état du procès d’un homme d’affaires Chinois poursuivi pour avoir commercialisé illégalement des copies de logiciels principalement d’origine US. 200 éditeurs auraient été lésés. Le réseau de distribution de ces programmes piratés s’étendait sur plus de 61 pays et aurait perduré de 2008 à 2011. La dépêche précise que, parmi les « victimes », l’on retrouve de grands noms tels que Microsoft ou Oracle. Le montant estimé des pertes s’élèverait à plus de 100 millions de dollars.

On peut ajouter, à la décharge du « pirate », que le montant des pertes est une estimation d’avocats, qui se base généralement sur les prix catalogue et non sur les tarifs réellement constatés. A titre d’exemple, les deltas de tarification constatés entre les versions « boîte » et les éditions « OEM » de Windows… alors qu’il s’agit du même produit. Un procédé qui permet de crier au meurtre économique en cas de copie illégale, et de rembourser une misère les utilisateurs qui ne souhaitent pas accepter la vente liée machine-système d’exploitation.

L’on peut également préciser que Microsoft a longtemps proposé l’édition de deux versions « Cantonese » et « Traditional Chinese » au sein de son MSDN, et ce depuis les toutes premières éditions de Windows 95 et de Windows NT 3.10, alors même que l’éditeur ne possédait strictement aucun réseau commercial en Chine Populaire. Un acte que l’on pourrait relier sans peine à la naissance d’un marché pirate en Chine …
Il est à noter qu’il existe une technique visant à provoquer une « accoutumance d’usage par le piratage », une technique qui avait été théorisée et mise en pratique notamment par Georges Tate et Wayne Ratliff dans les années 80, lors du lancement de leur outil de base de données dBase II. Un procédé qui a même été associé aux pratiques des « vendeurs de cocaïne » par plusieurs médias US : diffusion gratuite, instauration d’un régime d’accoutumance, puis durcissement des pratiques tarifaires…
Le méchant de l’histoire ne pourrait être pas seulement l’unique coupable.

Hotmail « dans les choux » entre la soirée de mardi (temps français) et la matinée du mercredi 9 janvier : Les services d’accès POP ainsi que l’accès Web étaient inaccessibles. C’est ça aussi, le Cloud public.

Le traditionnel mardi des rustines s’est déroulé sans trop de problèmes chez Microsoft. Il faut dire que ce premier « patch Tuesday » de l’année 2013 est amputé du correctif le plus attendu qui soit, et qui porte sur une faille Internet Explorer CVE-2012-4792. Une mesure de contournement «fix-it » avait été proposé en urgence, qui s’était avérée peu efficace et facile à contrer. Un code Metasploit est même venu s’ajouter à cette déjà longue théorie d’alertes… mais il est une tradition à laquelle on ne déroge que très rarement, chez Microsoft : les « cumulatifs I.E. » sont émis durant les mois pairs. Or, janvier est un mois impair, et la découverte de la faille ne date que du tout début du mois.

Le mardi des rustines s’est donc passé avec deux correctifs qualifiés de « critique », l’un destiné aux services XML « core », l’autre concernant un problème dans le spooler d’impression de Windows. La criticité de l’alerte ne concerne que les serveurs. Les 5 autres alertes ne sont qualifiées que d’« importantes ». On notera au passage que le bulletin ms13-004 élimine d’un coup la bagatelle de 4 CVE.

Chez Adobe, le désormais traditionnel black tuesday se solde par la fermeture d’une seule faille sur Flash Player, de 26 CVE dans son Reader et Acrobat et d’une nouvelle version de Air, à télécharger assez rapidement.

Reuter rapporte que les laboratoires US de Los Alamos (ceux du projet Manhattan et de « Gadget ») ont pris la décision de bannir de leurs réseaux informatiques les équipements de l’entreprise Chinoise H3C Technologies Co, ex Huawei-3Com et filiale de Hewlett Packard depuis 2010.

Sensibilisation par l’image : le Sans publie (en Anglais dans un premier temps, une version Française est en cours de réalisation) un poster d’information décrivant en termes simples les différentes menaces informatiques qui peuvent frapper les usagers d’ordinateurs : phishing, vol de comptes d’accès, vol d’identité ou de données bancaires, pillage d’annuaires de messagerie, trafic de biens virtuels, compromission de sites Web… l’affichette est à télécharger sur le serveur « securing the human » du Sans Institute. Ce poster d’avertissement est accompagné d’une autre affichette, légèrement plus indigeste celle-là, qui décrit les différentes étapes à parcourir pour bâtir une véritable « politique de sécurité humaine » au sein des entreprises. Une approche qui tourne le dos au « tout technique » et qui part du principe que le plus perfectionné des firewall-antivirus-IPS ne parviendra jamais à écarter les conséquences d’une erreur ou d’une malversation humaine.

Sensibilisation par le texte : le NIST vient de rendre public un document intitulé Guideline on Security and Privacy in Public Cloud Computing (Bonnes pratiques de sécurité et conseils concernant la protection de la vie privée dans les environnements informatiques Cloud). Un document de 70 pages, très détaillé, abordant chapitre après chapitre les politiques d’usage et de sécurité à déployer, les risques encourus, le partage des responsabilités, les modèles de déploiement, les questions de gouvernance et de conformité en cas de « passage au Cloud ». C’est là un document à la fois clair, complet, rédigé en décembre 2011 et rendu public via Cryptome depuis quelques semaines.