novembre, 2013

«Les barbouzes Britanniques seraient « pires que la NSA » en matière d’écoute des réseaux privés » estiment certains ingénieurs de Google interviewés par Le Guardian. L’un des intéressés a d’ailleurs publié un tonitruant « fuck you NSA » sur son blog.

Cryptolog, spécialiste Français dans le domaine de la signature électronique, vient de boucler un appel de fond de 1,7 million d’Euros. Deux nouveaux capital risqueurs entrent ainsi dans le capital de Cryptolog, CM-CIC Capital Innovation et Sudinnova, aux côtés des actionnaires historiques Script Capital et Beaubourg Capital.

Peut-on faire confiance à Truecrypt, le logiciel de chiffrement open source et multiplateforme ? Pour le savoir, il n’existe qu’un moyen : l’audit du code effectué par des experts, Matthew Green, cryptanalyste et professeur-chercheur à l’Université Johns Hopkins, et Kenneth White, du Social & Scientific Systems. Tous deux ont pris l’initiative de lancer une double opération de « crowdfunding », ou demande de subvention collective, l’une sur Indiegogo, l’autre par l’intermédiaire de FundFill.

Si la méthode fonctionne, l’on pourrait imaginer étendre le procédé à d’autres secteurs d’activité ou d’autres logiciels. Certains systèmes d’exploitation, quelques hommes politiques, plusieurs Services de Renseignements… voir, plus simplement, la comptabilité d’un chevalier d’industrie ou les méthodes de fonctionnement de certaines Banques. Chiche ?

A court d’argument, les juristes du Ministère de l’Intérieur Britannique clament à qui veut bien le croire que les fuites Snowden pourraient faciliter le trafic des cyberpédophiles. Par quel miracle technologique ou transfert de culpabilité, nul ne sait, certainement pas nos confrères du Telegraph (http://www.telegraph.co.uk/news/uknews/terrorism-in-the-uk/10431337/Edward-Snowden-leaks-could-help-paedophiles-escape-police-says-government.html) qui ont tenté d’obtenir des explications. Mais lorsqu’il s’agit de police et d’internet, il se trouve toujours un docte savant capable d’invoquer les cyberpédophiles poseurs de bombes et pirates de contenus audiovisuels. Personnage qu’il faut croire sur parole, cela va sans dire.
L’article de nos confrères Britanniques sous-entend que cette tentative terroriste désespérée (car comment qualifier l’attitude d’une personne qui tente d’instiller la terreur dans l’esprit du public autrement que par le qualificatif de terroriste), cette tentative donc n’aurait pour but que de masquer la collaboration coupable des services secrets de Sa Majesté, à la botte de la NSA depuis le début de cette histoire. Et de revenir sur l’arrestation de David Miranda, compagnon d’Edward Snowden, dans l’enceinte de l’aéroport d’Heathrow en mars dernier, en raison d’un principe simple : « the police should take action when an individual is suspected of couriering highly sensitive material that is of use to terrorists and other actors who seek to undermine our freedoms ». Tout ce qui “undermine” la “freedom” de la Grande Bretagne undermine également la sécurité de l’Europe. Ce qui implique que la sécurité de l’Europe undermine sérieusement la freedom d’Albion. A commencer par l’entente et l’intelligence avec des puissances étrangères.

Silk Road était une sorte d’épicier en ligne, spécialiste de la livraison à domicile et du règlement en bitcoin : envois sous pli discret, magasin ouvert 24H sur 24. Ses spécialités maison allaient de la Meth (en capsules) au gâteau de hash, en passant par les pilules de méthadone, quelques timbres à l’effigie et à l’assaisonnement de Thimothy Leary, en passant par les stéroides (en ampoule), les trucs et astuces en matière de braquage de distributeurs automatiques de billets, les rails non homologués par la SNCF, des pièces de mécanique estampillées Smith, Glock et Wesson ou les services d’un spécialiste du nettoyage méthode Léon. Forcément, la chose a chagriné certains, et une ribambelle d’agences à trois ou quatre lettres (du FBI au DEA) ont mis fin aux activités de ce cyber-détaillant en mettant à l’ombre son patron et fondateur Ross Ulbricht.

Mais la grande truanderie, à l’instar de la nature, a horreur du vide. Après une période de flottement, durant laquelle quelques concurrents et escrocs ont tenté de récupérer une clientèle fidèle et franchement accro, notre épicier spécialisé dans la semaine du blanchiment et de la blanche affiche « back to business ». Nos confrères de Vice.com (des spécialistes du genre humain, nos semblables, nos frères) révèlent tout sur la réouverture de Silk Road.

Les conclusions de nos confrères sont peut-être discutables, mais une chose est sûre : Silk Road pourrait préfigurer la fin des dealers de quartier, le début d’un âge littéralement Amazonien de la vente de substances et objets illégaux. C’est également la marque d’une époque à laquelle les structures policières doivent s’adapter. En attendant que l’on assiste à des cyber-poursuites et des techno-arrestations émaillées de cascades virtuelles et de fusillades binaires, le seul moyen de faire cesser ce trafic reste la fermeture des serveurs… lorsque ceux-ci ne sont pas hébergés dans des paradis juridiques. Et comme l’exemple de leurs grands frères du secteur de l’électroménager et du livre ne pouvait être que source d’inspiration en matière d’évasion fiscale, optimisation du même métal et exploitation des paradis et no-man’s-land informatique, il y a peu de chance que le nouveau Silk Road subisse le même sort que sa version 1.0. Souvenons-nous de la prétendue « disparition » du Russian Business Network et de sa métempsychose atomes de serveurs insaisissables et infiniment mobiles.

Le bulletin d’alerte 2896666 prévient d’une vulnérabilité dans l’un des composants graphiques de Windows (http://technet.microsoft.com/en-us/security/advisory/2896666). Une mesure ce contournement automatisée grâce à un « fix it » (https://support.microsoft.com/kb/2896666), permet de désactiver le codec Tiff. Plus d’informations sur le blog du MSRC (http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx).

No more free bug … le message est passé. Facebook et Microsoft lancent une opération conjointe de « prime à la faille ». Selon la cible choisie, les stacks IP, OpenSSL, Python ou Ruby, Perl ou Rails, les primes s’échelonnent de 1500 à 5000 $ le trou. Tous les détails (ou presque) sur le site HackerOne

Il fait des bonds, il fait des bonds, c’est le virus qui danse d’une machine à l’autre dans les laboratoires de Dragos Ruiu. Le « scoop » vient de nos confrères d’Ars Technica et une grande partie de cet article fleure bon le battage avant une communication fracassante de CanSec ou de HITB.

De manière lapidaire, Badbios est un virus de science-fiction : multiplateforme, il vise aussi bien les systèmes sous OS/X que Windows, et même ceux sous BSD administrés par quelques happy few. Les mécanismes de propagation de cette infection reposeraient sur des canaux peu communs : IPv6 (y compris lorsque ce protocole est désactivé), mais également les échanges de clefs USB (procédé plus classique) voir même les liens Bluetooth ou Wifi. Pis encore, lorsque tous les câbles sont débranchés (cordon secteur et brin Ethernet), que les modules radio sont éteints, l’engeance semblerait se propager d’une machine à l’autre en utilisant les micros et haut-parleurs des ordinateurs.

Dernière adresse connue : le Bios de la machine, ce qui explique en partie son nom. D’un point de vue technique, la chose n’est pas impossible, puisque des chercheurs Français, Jonathan Brossard et Florentin Demetrescu, étaient, avec Rakshasa, parvenus à infecter à distance une machine en injection une version modifiée d’un bios Open Source Coreboot.

Sur un plan pratique, il est également possible qu’un virus se propage par le truchement d’une clef USB (Stuxnet est l’un des plus célèbres du genre), d’un lien Bluetooth (les vendeurs d’antivirus pour terminaux mobiles tentent désespérément de nous le faire croire), Wifi… et même audio ou optique. De la « diode led qui bat au rythme des touches clavier activées » aux perturbations radioélectriques du scan clavier, en passant par les spectres rayonnés par une carte contrôleur de disque dur, tout est exploitable, avec plus ou moins de difficultés. Une carte son d’ordinateur est, de nos jours, capable d’émettre un spectre situé bien au-delà de ce que l’humain peut entendre : 192 kHz en général, à comparer aux quelques malheureux 20 kHz de l’oreille humaine. Qui donc serait capable de déceler un tel dialogue ?

Manifestement au moins un homme, Dragos Ruiu en personne, qui n’a pu bloquer une propagation de Badbios qu’en débranchant toutes les extensions possible de ses ordinateurs, haut-parleurs et micros y compris.

Donc tout est possible si l’on prend chaque attaque à part et que l’on tente l’exploit dans un cadre particulier. Mais combiner le tout en un unique vecteur d’attaque pluridisciplinaire, multimédia et polymorphe, voilà qui relève du malware mythologique, de l’attaque improbable. Emettre le virus est chose simple, puisque par définition, le propagateur est déjà « infecté ». Mais faire en sorte que la machine-cible passe en état d’écoute, quel que soit le médium utilisé (Ethernet, audio, wifi, Bluetooth, USB…), voilà qui est un peu plus complexe. Il faut (souvenons-nous de certaines attaques Wifi du Month of Apple Bug) avoir connaissance d’une faille « kernel driver ». Et pas qu’une seule, et pas sur un seul noyau. Bref, un vecteur d’attaque qui saurait exploiter faire passer une clef de stockage pour un HID tant sous BSD que sous Windows ou OS/X, qui pourrait télécommander « l’écoute» d’une carte son (une voie ignorée des antivirus) Wifi (là, les antivirus sont efficaces… s’ils possèdent une signature) ou Bluetooth, ce serait encore plus fort que Stuxnet et Oudini réunis.
L’annonce de Dragos Ruiu aura eu au moins l’avantage de faire rêver les journalistes et améliorer les ventes de billet des organisateurs des quelques prochaines « hacking conferences ».

Séquence émotion dans la cité de Calvin, à l’ombre des banques et des horlogers qui vendent le temps au prix du platine en barre : la NSA aurait installé un centre d’écoute au cœur de la majorité des ambassades, Consulats, délégations commerciales et autres bâtiments Etats-Uniens situés en dehors des frontières de l’Etat Fédéral. Un autre Etat Fédéral (déjà pointé du doigt lors du scandale Echelon) commence à s’en offusquer. La Suisse, ou plus exactement le Canton de Genève et sa proche banlieue, héberge en son sein les oreilles de la NSA, accrochées sur le toit de la Mission permanente des Etats-Unis d’Amériques auprès de l’ONU‎, 11 route de Pregny. Des oreilles pointées sur les principales organisations internationales telles que l’OMS, l’UIT ou le siège des Nation Unies, à moins de 600 mètres de la « mission permanente ». Permanente à n’en pas douter, secrète et indiscrète tout autant. Ce centre d’espionnage du spectre électromagnétique ferait partie, révèlent nos confrères du Spiegel Allemand , d’un groupe de quelques 80 morceaux de territoire US répartis dans le monde sur un total de près de 1000 centres d’écoute. Le Spiegel fait d’ailleurs remarquer que le maillon Berlinois de ce réseau , à l’angle de la Behrenstrasse et de la Ebertstrasse, se trouve à un jet de pierre d’un autre angle, celui de la Ebertstrasse et de Scheidemannstrasse… autrement dit le Bundestag, siège du Gouvernement Allemand. La chose passe d’autant plus mal Outre Rhin que l’Ambassade US jouxte la Brandenburger Tor, un lieu symbolique à plus d’un titre. C’est en voyant défiler les troupes Napoléoniennes sur l’avenue Unterdenlinden que s’est cristallisé pour la première fois le sentiment d’identité nationale germanique, c’est au milieu de cet arc de triomphe Berlinois que passait le fameux Mur de Berlin.

La photographie prise par Google Street (un autre allié objectif des sémillants fonctionnaires de l’Agence) montre bien, sur le toit de l’Ambassade, la « verrue » de la salle des antennes. C’est une image très proche de celle-ci qui sert de « première de couv » au Spiegel de cette semaine, avec comme unique légende « Das Nest », le nid, d’espions bien entendu.

Abriter un centre d’écoute dans les locaux des ambassades et consulats (pièce généralement placée sous l’autorité d’un attaché militaire) est une tradition vieille comme la diplomatie. Avant même l’invention de la radio, les représentants des Etats à l’étranger ont su entretenir la flamme de l’espionnite aigüe et même glorifier les exploits de ces soldats de l’ombre, tel le Chevalier d’Eon*. Une ambassade sans matériel radio, c’est un peu comme un homme politique sans promesses électorales : ce ne peut exister. De même qu’il est impensable qu’une ambassade ne soit pas elle-même l’objet de toutes les attentions des espions du pays d’accueil. On se souvient des expériences catastrophiques que le KGB mena contre l’Ambassade des USA à Moscou dans les années 70, en bombardant le bâtiment de faisceaux hyperfréquences. Deux ambassadeurs en périrent dit-on. Puis ce fut au tour des faisceaux laser pointés sur les fenêtres, pour en capter l’effet microphonique et ainsi entendre ce qui se racontait dans les salons des plénipotentiaires. Du matériel d’espionnage dans et autour d’une ambassade, personne ne s’en étonne dans un roman de John le Carré. Pourquoi cela devrait-il être différent dans la vie quotidienne ?

Emois également chez les utilisateurs de Cloud et autres datacenters après l’article publié par le Washington Post et révélant une autre facette du programme Prism baptisé Muscular. Tout autant que les ambassades, la NSA contrôle, avec la participation active des services de renseignements Britanniques, les flux du Cloud Google et des services Yahoo. Une surveillance reposant sur des « bretelles » posées directement sur les fibres optiques reliant ces centres de traitement au reste du monde. Cette fois, on ne parle plus d’espionnage soumis à l’approbation d’un juge, mais bel et bien d’un pillage systématique des contenus à fins d’analyse. Ceci en vertu de l’Executive Order 12333, nettement plus permissif que le Foreign Intelligence Surveillance Act qui régit Prism.

Ce qui, du point de vue de la sécurité des systèmes d’information, pose un énorme problème. Car comment les gouvernements Européens ont-ils pu ignorer totalement ce genre d’agissements ? Comment, quand que les services de renseignement Français déclarent ouvertement travailler en collaboration avec les espions Américains ( ainsi en témoignent nos confrères du Monde), comment donc l’Anssi, a priori au courant de l’existence de ces accords, de ces infrastructures, de ces pratiques, n’a proféré que des conseils stériles, des « back to basic » purement techniques et structurels ? Le simple fait de révéler ne serait-ce qu’une partie de ces vérités aurait un peu mieux convaincu les RSSI de tomber amoureux des procédures de chiffrement les plus élaborées (et néanmoins Françaises).

A moins que personne, à l’Anssi, n’ait eu connaissance desdits agissements. Mais qui donc pourrait croire à l’existence d’une Agence de Sécurité qui ne serait au courant de rien ? La conclusion du syllogisme est hélas transparente : pour des raisons de simple diplomatie, il a été préférable, jusqu’à présent, de faire courir des risques à l’industrie Française, et, en parfaite connaissance de cause, de laisser signer des contrats de services incluant, par défaut, des options gratuites de backdooring, de captures de flux et d’écoute permanente.

*ndlc Note de la Correctrice : ah, ça, je connais. Livret de Sylvestre et Cain, musique de Rodolphe Berger, opérette en 4 actes de 1908. Un superbe aria « elle est tellement innocennnnnnnteuuuu » (https://archive.org/details/lechevalierdeono00berg)… Ce qui n’est pas le cas des barbouzes de la NSA

Guerric Poncet, du Point, signe un article de sensibilisation très orienté grand public et traitant de la facilité avec laquelle il est possible de récupérer des données stockées sur un terminal mobile. Il est parfois salutaire de faire peur pour inciter à l’usage des bonnes pratiques, surtout lorsque la « source » interviewée par le journaliste est un commissaire de la DCRI. Certes, rooter un iPhone ou casser un code PIN est à la portée de bien des hackers. Mais là où notre porteurs de postiche met les pieds dans le plat, c’est lorsqu’il affirme que ses services sont capables de lire une carte NFC à plus de 15 mètres.

Lire un NFC à une telle distance est certain, expérience confirmée par les recherches conduites à l’EPFL de Lausanne. Mais entre une preuve de faisabilité en labo et un hack «in vivo », il existe une certaine marge. Surtout si l’exploit est effectué en milieu urbain. Même si l’on ne peut douter de la compétence des services techniques de nos super-espions, le métro ou la rue sont avant tout des concentrations de NFC de natures très diverses, et la discrimination des signaux renvoyés (tout comme l’influence du mobilier métallique omniprésent) rend cette assertion fortement douteuse. Sans parler de la puissance du champ à générer, qui rend le passage à l’acte concrètement improbable.

Il est, en revanche, bien plus facile de lancer une attaque en déni de service contre les lecteurs de NFC eux-mêmes. Là, une simple source HF un peu puissante rend tout dialogue entre le lecteur et la carte pratiquement impossible. Et dans ce cas précis, on ne parle plus de 15 mètres, mais de distances pouvant se compter en centaines de mètres. Car si toutes les précautions peuvent être prises pour que le dialogue et le contenu des NFC soit protégé (chiffrement, vérifications protocolaires etc.), il est physiquement impossible de sécuriser la couche de transport. En outre, les protections ont été déployées en priorité sur les cartes, mais il semblerait que les lecteurs n’aient pas bénéficié du même niveau d’attention de la part de leurs concepteurs. Du moins pour ce qui concerne les quelques exemplaires qui sont passés entre les mains de l’équipe de CNIS Mag. Une série de portillons automatiques qui refuse de fonctionner, que ce soit dans le métro Parisien ou aux portiques d’un remonte-pente d’une riante station de sports d’hivers, c’est la garantie soit d’une émeute de clients mécontents, soit d’une ouverture des vannes dans les minutes qui suivent la panne provoquée. Parfois, l’efficacité se moque du binaire et des savantes opérations de reversing.