septembre, 2014

Un groupe de chercheurs sino-américains chapeautés par l’Université Viterbi (Californie du Sud) a développé un protocole mettant en œuvre ce que l’on pourrait appeler un « multiplexage de polarisations tournantes » capable d’assurer un débit de plus de 30 gigabits par seconde. Le procédé, baptisé orbital angular momentum (OAM), utilise une fréquence millimétrique unique (28 GHz) et joue sur deux antennes polarisées permettant de travailler avec 4 polarisations différentes. Ce procédé fait l’objet de travaux depuis plus de 3 ans, études conduites par des chercheurs d’universités différentes.

Pour l’heure, ces travaux sont purement expérimentaux et ne présument pas d’une exploitation commerciale. Les tests ayant permis la rédaction de cette communication ont été effectués sur une distance de 2 mètres. On est encore loin d’un backbone pour « super 5G ». En outre, le sérieux de certaines études sur la « vorticité des faisceaux hyperfréquences » provoque encore des débats houleux et affecte les recherches de l’ensemble de la communauté scientifique radio.

Le cyberjihadiste, allié objectif du cyberpédophile ? Pour le législateur, qu’importe le « coupable potentiel », pourvu que l’on puisse instaurer un régime visant à le faire taire. C’est là l’esprit général du projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme défendu jeudi 18 septembre par l’actuel Ministre de l’Intérieur Bernard Cazeneuve.

Cette censure sera-t-elle efficace vis-à-vis des cibles prétextées ? La chose est très peu probable. Désormais, même la presse grand public (et en partie l’opinion du même métal) commence à comprendre que ces méthodes n’entravent en rien la diffusion de ces contenus illégaux. Un récent article de l’Express explique comment, de manière artisanale, les apprentis propagandistes islamistes passent d’une page Facebook à une autre après chaque suspension de compte… Que l’on ajoute encore un peu de pression légale, et il y a fort à parier que tout ce qui touche au cyber-jihad, à l’incitation à la haine raciale, à l’apologie du crime adopte rapidement les techniques des « spam king » et autres « bot herders » des réseaux mafieux : hébergement de serveurs à l’étranger, proxys et aiguillage en « round robin » vers de multiples occurrences d’un même site… ce que peut faire un vendeur de pilules bleu, un extrémiste politique ne le pourrait-il pas ?

En accroissant cette pression sur Internet, non seulement l’actuel gouvernement encourage la furtivité de sites que l’on aurait considérablement plus de chances de maîtriser s’ils demeuraient sur le territoire Européen, à portée d’action d’Eurojuge et d’Interpol, mais encore fait le lit répressif qu’utilisera sans hésitation un futur gouvernement totalitariste. Du genre de ceux que connaît la France tous les 70 ou 100 ans, à périodes régulières depuis 1789. Sur ce même thème, notre confrère Jean Marc Manach démonte pièce par pièce la logique de ce projet de loi et dénonce ses effets pervers prévisibles. Le rôle d’un politique est-il de tenter de gérer le présent au jour le jour comme un technicien de salle informatique, ou de conserver une vision historique du pays ?

Ajoutons enfin que, que ce type de loi , pourrait faciliter les actions à l’encontre de blogueurs et organes d’information pour peu que leurs dires ne soient pas conformes à ce que certains aimeraient lire …

Nos confrères du Point, quant à eux, s’étonnent du revirement de Bernard Cazeneuve, ardant défenseur d’un contrôle musclé de la Toile, alors qu’en d’autres temps il luttait vent debout contre la Loppsi, (celle avec deux « p », dite « seconde loi Sarkozy »). C’était il y a moins de 4 ans. Et on a pu le constater, ces lois Loppsi, censées protéger le citoyen des hordes barbares de pirates a engoncé les administrateurs de sites Web, les hébergeurs, des chefs d’entreprises dans un carcan légal d’une incroyable complexité. En chassant le jihadiste numérique, les détails de la loi ont un peu mieux trucidé l’évolution du tissu Internet Français et encouragé l’installation des Google Netflix et consorts en des terres Européennes plus accueillantes. Gouvernements différents, mêmes politiques ? Mêmes erreurs économiques ?

Certains, pourtant, prodiguent de louables efforts. Le mois dernier déjà, les multiples amendements apportés à la Loi Godfrain laissaient présager un brutal comblement du trou de la sécurité sociale. Ce texte antique, qui remonte à la préhistoire de l’informatique mini, mainframe et Minitel (ou presque) visait à pourchasser le pirate tentant « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ». Lorsque le système appartenait aux rouages de l’Etat, il en coûtait 45 000 euros d’amende, somme réévaluée en 2012 à 75 000€ et 5 ans de prison, et plus récemment à 500 000 €. Soit, selon les peines, entre 700 et 900 % d’augmentation en deux ans. Espérons que l’Anssi tient attentivement la liste des intrusions imputées aux fonctionnaires du GCHQ Britannique, de la NSA Etats-Unienne et du Diaochabu Pékinois. Bercy va peut-être enfin pouvoir se faire rembourser les coûts de mise à niveau de son infrastructure réseau infectée par quelques pdf. Il faut dire qu’avec les restrictions budgétaires de l’Administration Fédérale US et le déficit commercial de la Grande Bretagne, cette ferme initiative du député Jean-Jacques Urvoas va mettre fin à ces incessantes intrusions et maintiens frauduleux dans toute ou partie d’un système de traitement automatisé de données.

De mauvaises langues pourraient croire que cette soudaine inflation des amendes, particulièrement celles sanctionnant une intrusion sur un serveur d’Etat, serait justifiée par le « précédent Snowden », et pourrait dissuader d’éventuels lanceurs d’alertes Périgourdins ou Savoyards.

L’opération Harkonnen, ainsi nommée par la société Israélienne Cybertinel, aurait, durant plus de 12 ans, espionné près de 300 entreprises, organismes gouvernementaux et centres de recherches. Conduite par un groupe de pirates opérant dans différents pays germanophone (Allemagne, Autriche, Suisse), elle aurait visé en grande partie des infrastructures informatiques Britanniques. Ces opérations auraient été réalisées sous le couvert de plus de 800 sites dûment enregistrés et apparaissant comme légitimes. Aucune information technique, aucune mention d’une victime connue ne vient étayer ces affirmations.

C’est la Quinzaine du trou dans le Cloud.Et l’on commence avec le moins profond, découvert par B.FL7.DE (prononcer bfl7de) qui a découvert une faille en cross-site scripting via le mécanisme de commande d’ebook Kindle, faille qui pourrait offrir un accès au compte Amazon de la victime. Un code de démonstration est fourni par l’auteur.

Chez Twitter, on a eu chaud. Aboul-Ela, chercheur et blogueur sécu Egyptien, a découvert deux superbes csrf qui permettent de supprimer tous les numéros de cartes de crédit des personnes inscrites sur ads.twitter.com, le serveur de gestion/facturation des messages publicitaires Twitter. En générant de manière brutale un code à 6 chiffres, les créances de tous les annonceurs peuvent être répudiées. Du jour au lendemain le réseau social perd tous ses clients, Jack Dorsey, Evan Williams, Biz Stone et Noah Glass sont réduits à la mendicité et 80% de la presse Française est contrainte de renouer avec le journalisme d’investigation. Franchement, ça fait peur. Le problème a été, reconnait le chercheur, résolu en deux jours.

Chez LinkedIn, ce sont les identités et emails des abonnés au service qui auraient pu faire l’objet d’une fuite massive, nous révèle Brian Krebs. Lors d’une mise en relation par le truchement d’un intermédiaire (un parrain LinkedIn en quelques sortes), et dans le but de préserver la « vie sociale privée » de chacun, tout abonné au service peut demander d’obtenir l’adresse email du solliciteur. Un mécanisme semblable est mis en œuvre lors de l’ouverture d’un nouveau compte LinkedIn. Le moteur du réseau social vérifie, en balayant les adresses de messageries rencontrées sur les comptes mails publics de l’abonné, si certaines personnes ne feraient pas déjà partie de sa sphère sociale. Ce qui a donné l’idée à certain chercheurs de Rhino Security Labs de truffer une fausse boîte mail avec des alias smtp tout à fait probables (genre Britney.spears@hotmail.com ou BarrackO@whitehouse.gov- pour ensuite utiliser LinkedIn à la façon d’un formidable outil de confirmation de validité et de mise en relation.

Dans sa lutte contre le logiciel d’espionnage FinFisher, Wikileaks diffuse quelques exécutables ( Relay 4.3, Proxy 2.1, Master 2.1 et le « client » Windows), une grande partie de la documentation de premier niveau et surtout le « test de détection aux principaux antivirus » qui frise les 90% de taux de réussite.

FinFisher est un logiciel commercial conçu par une société Britannique et commercialisé par Gamma, bras commercial implanté en Grande Bretagne et en Allemagne. La clientèle est essentiellement constituée, affirme l’équipe Wikileaks, par les Ministères de l’Intérieur de pays réputés pour leur politique répressive (171 licences vendues et 64 clients).

Difficilement détectable, particulièrement efficace en Grande Bretagne, mais reposant souvent sur des recettes inusables et inchangées depuis des années. C’est le phishing des temps modernes, celui dont les spécialistes du filtrage « liste blanche-liste noire » nous assurent la prochaine disparition (mais pour cette année, mieux vaut encore acheter une licence)

Difficilement détectable, c’est ce que nous prouve ce billet du quotidien du Sans. Le courriel d’escroquerie revendique son appartenance à une banque connue. L’adresse de réponse semble légitime (et pour cause, le nom de domaine déposé est forgé avec de véritables morceaux d’usurpation de marque) et ledit site bidon se voit attribuer une blancheur virginale grâce à un certificat SSL d’une authenticité indéniable… ce qui affiche illico l’image d’un cadenas sur l’interface du navigateur utilisé. Las, le cadenas seul n’est une garantie de sécurité que dans la bouche d’un banquier… c’est dire le niveau de confiance que l’on peut lui prêter.

L’on notera au passage la charge féroce du Sans contre la rapacité aveugle des vendeurs de TlD aux extensions bizarres. Les .biz, .support, .club et autres nouveaux suffixes ne sont achetés que par les escrocs du net, affirme en substance l’auteur de l’article. Les Registrars sont complices de cet état de fait et participent activement à ce commerce, préférant ignorer à qui et pourquoi un particulier du fin fond de la Russie ou des espaces Nigérians dépose, qui un séejo4ih66ohoaze98ro.com, qui un Credi-tlyonnais.biz.

Efficace en Grande Bretagne … le pays des Gibi doit payer le prix de sa langue véhiculaire. Un bon scam est un scam en Grand Breton dans 80 % des cas. Les insulaires d’Albion reçoivent au bas mot plus de 3,5 fois plus de courriels non sollicités que nous autres Français et près de 12 fois plus que nos voisins Germains. Notons au passage que l’étude de Proofpoint mélange allègrement le spam et le scam… la publicité directe et le hameçonnage. On ne va pas se chamailler pour une lettre de différence, après tout.

Comparé au volume de courriel transitant au sein de chaque pays, les chiffres donnent des résultats radicalement différents. Le taux de spam Allemand est de 1,3%, celui de la France de 0,9%, celui de la Grande Bretagne de 1,2% et celui des USA de 1%. En d’autres termes, les Anglais ont l’épistolaire facile, les Allemands ont la plume taciturne… mais la proportion de courriers douteux est à peu de chose près identique dans tous les pays.

Des recettes inoxydables avec le temps, c’est McAfee qui l’affirme. Les emails de phishing qui « marchent » le mieux sont, par ordre d’entrée en scène, les missives des services de maintenance informatique ( cliquez le lien pour mettre à jour votre compte professionnel), les escroqueries iTunes ( votre compte a été piraté …) et enfin, et surtout les carambouilles Gmail. Le message d’incitation invite à ouvrir un document GoogleDoc (hébergé sur les serveurs Google, portant certificat de l’opérateur de service). Bref, le Canada Dry de l’authenticité.

Dans ces trois cas, les tentatives de vol d’identité sont intimement liées au Cloud Computing. Il y a d’ailleurs fort à parier que le premier exemple, celui du service informatique distant, soit appelé à un avenir radieux, grâce à la multiplication des offres bureautiques dans le nuage. L’on voit déjà passer, timidement, quelques courriels de prétendus administrateurs Office 365 inquiets d’une activité suspecte. Mais lorsque l’on connaît les réels temps de réaction des opérateurs Cloud, ce détail même devrait éveiller des soupçons. Ce florilège de cyberlettres faisandées ne saurait être complet si l’on omettait le tout dernier « rapport » de Verisign/Symantec sur le sujet. Tapageusement intitulé Fraud Alert: Phishing — The Latest Tactics and PotentialBusiness Impact, il fournit quelques chiffres supplémentaires, stigmatise au passage les serveurs d’hameçonnage situés en Chine et donne une vision catastrophiste des risques de ce type.

Cette incongruité a été remarquée par l’équipe de F-Secure  : sous prétexte de renforcer ses « procédures de récupération de mot de passe oublié » (les fameuses questions secrètes), Apple bombarde ses usagers sous un déluge de demandes dignes de l’inquisition Espagnole.
Mais si nul ne s’attend à voir surgir le cardinal Fang, personne, ou presque, n’est étonné par ces demandes totalement déplacées et destinées à profiler les origines sociales de chacun. Quel est votre livre d’enfance favori, le métier dont vous rêviez, votre première voiture, votre groupe musical préféré en primaire ou durant votre cycle secondaire, quel fut votre premier voyage en avion, dans quelle rue avez-vous grandi….
Entre la Rue de la Paix et la place Maurice Thorez, le coupé Midget offert par père et mère et la carcasse de Xantia acquise à force de petits boulots, les albums de Mickey ou les contes de Rudyard Kipling, des montagnes de marqueurs sociaux et de prédestination prouvent à quel point l’on apprécie la lecture de Pierre Bourdieu dans les open-space de Cupertino. Il n’y a guère de différence entre cette façon d’agir et ces politiques qui, il n’y a pas si longtemps, souhaitaient ficher les enfants dès les classes maternelles afin de faciliter la détection des germes de la délinquance.

L’utilisation de l’alibi sécurité est tout aussi choquante. Car conduire, sous prétexte de protection, une véritable attaque en ingénierie sociale est totalement inexcusable. D’autant moins excusable que précisément, ces fameuses « questions secrètes » sont depuis longtemps répertoriées dans la catégorie des « failles majeures » largement exploitées par les spécialistes du vol d’identité. Parfois, ces détournements donnent lieu à d’amusantes découvertes, ainsi la publication des emails de Sarah Palin. Ce prétendu second facteur d’identification est un véritable danger, le mettre en œuvre dénote d’un manque de sérieux sur le sujet de la confidentialité des identités clients.
Aux amoureux d’Apple qui souhaiteraient malgré tout bénéficier de ce second facteur, nous ne saurions trop leur recommander de répondre de manière décalée. A la question « quel fut le premier film que vous avez vu » répondez la Comédie Humaine de Balzac. « Dans quelle ville vos parents se sont rencontrés ? », mais à 14H45 bien évidemment. Notre première automobile était une paire de charentaises, notre surnom d’enfance était Ford Prefect et notre groupe de musique préféré était 42, cela va sans dire.

Encore un « Epic Fail » de l’Internet des objets, affirme Michael Jordon, de l’entreprise Britannique Contextis. La preuve ? l’installation d’une version du jeux vidéo Doom dans le firmware d’une imprimante Canon Pixma. Ce modèle, vendu aux environs d’une cinquantaine d’euros, est un périphérique largement répandu, destiné au marché grand public. Son principal avantage (sa principale faiblesse aussi) est son accès sans fil, si séduisant pour les « filophobes »… et les hackers.

La faille de sécurité peut, après coup, sembler évidente. Une fois le firmware extrait de la machine, l’équipe de Contextis s’est intéressé aux séquences de caractères redondants et en a extrait un graphe… lequel a montré que la fréquence de certains d’entre eux était fortement élevée. Même un débutant en cryptanalyse (ou un lecteur assidu des œuvres d’Ange Albertini) comprend que cette absence de distribution uniforme est le signe d’une mauvaise maîtrise des procédés de chiffrement. Le « codage » du firmware Canon n’est rien d’autre qu’un simple Xor. C’est là la seule protection, la signature du fichier (au format Srec) n’est même pas contrôlée. Son remplacement par un autre programme, Doom en l’occurrence (mais ce pourrait être un vecteur d’espionnage plus inquisiteur), ne provoque strictement aucune alerte.

En règle générale, les mauvaises pratiques font école au sein d’une équipe de développement. Et il n’est pas rare que les micrologiciels destinés à des machines d’entrée de gamme se retrouvent, en partie, sur des équipements professionnels, protégés par les mêmes mécanismes aussi peu résistants. Seule une bonne campagne de fuzzing sur les firmwares de quelques OEM lèvera ce doute.

Jusqu’à présent, les attaques visant les imprimantes relevaient plus du déni de service et de la tentative de destruction matérielle (dérèglement du cycle de chauffage de certaines laser notamment). Longtemps, donc, le « virus imprimante » a été qu’un mythe, qui a débuté dans les années 80 avec l’apparition d’une légende urbaine, celle du code « caché dans le buffer d’impression ». Désormais, ce n’est plus un simple buffer de 4 ko qui est offert aux attaquants potentiels, mais l’espace d’une mémoire flash conséquente (plusieurs Mo au moins, voir plus encore si l’on compte le tampon d’impression qui gère les files de documents). Une mémoire flash qui contient le firmware de la machine et qui n’est qu’exceptionnellement remis à jour par son propriétaire, qui ne fait jamais l’objet d’alertes tonitruantes dans la presse en général, et qui, accessoirement, dispose d’une liaison Ethernet sans fil ou Bluetooth capable d’émettre discrètement, à qui veut bien l’entendre, le contenu de tout ce qui y est imprimé… même lorsque les cartouches d’encre sont vides.

Les réseaux des opérateurs Allemands Deutsche Telekom et Netcologne (opérateur d’infrastructure fibre) sont compromis par les services de renseignement US, avec la collaboration des services Britanniques du GCHQ révèle le magazine Der Spiegel. Et ce ne sont pas les seuls. Cette intrusion n’est qu’une des pièces d’une formidable machine baptisé « Carte au trésor », chargée de cartographier le réseau Internet.

Plusieurs points de routage BGP appartenant aux opérateurs Allemands figurent sur cette carte, comme nous l’apprend ce document issu des « fichiers Snowden », que l’on peut télécharger depuis les ressources de Cryptome.

La découverte de « Carte au trésor » se place dans la droite ligne du piratage des serveurs d’un autre opérateur d’infrastructure Allemand, la société Stellar qui, dans le courant du mois de mars, avait appris que la « No Such Agency » était capable d’intercepter les communications transitant sur son réseau dans le but de localiser précisément la position géographique de chaque abonné utilisant ce service. Un reportage vidéo, accessible via l’article de Der Spiegel, précise que les barbouzes américaines vont jusqu’à surveiller les faits et gestes de plusieurs techniciens Allemands hautement qualifiés, et possèdent même les mots de passe de plusieurs serveurs assurant un rôle vital dans le routage des flux IP de ce prestataire de service.

En survolant très rapidement les pages de ces « fichiers Snowden », l’on apprend que Carte au Trésor peut effectuer (page 10) plus de 16 à 18 millions d’opérations traceroute par jour, d’établir des liens de routeur à routeur pour remonter jusqu’à l’adresse IP cible et d’enregistrer l’empreinte du système d’exploitation et des logiciels installés sur ladite machine-cible (page 11). Deux niveaux de recherche rapide sont actuellement déployés. Le niveau de recherche le plus « détaillé » est obtenu grâce à des serveurs compromis, situés dans des datacenters de pays étrangers, à l’insu de leurs propriétaires (13 covered servers in unwitting data centers around the globe précise la page 12 du document). Ces serveurs piratés sont situés partout dans le monde. En Asie –Malaisie, Singapour, Taïwan, Chine (2 centres piratés précise même l’auteur de la présentation) Indonésie, Thaïlande et Inde.

En Europe, sont compromis par des serveurs zombifiés des opérateurs de Pologne, Russie, Allemagne, Ukraine, Lituanie et Danemark.

La liste mentionne également des centres de collecte d’information en Afrique du Sud, en Argentine et surtout au Brésil, pays déjà désigné par les fichiers Snowden comme très largement sous-mariné par les espions de la NSA, qui visent en premier chef les grandes entreprises d’exploitation pétrolière. Certains autres exemples utilisent des numéros d’AS du réseau Sita situé en Europe et relayant le trafic IP v4 et v6 provenant d’autres opérateurs dont certains opérateurs Français.

Ammyy Admin est un véritable cheval de Troie que d’authentiquement faux techniciens Microsoft tentent de faire installer par leurs victimes. Ces prétendus MS-Hotliner par téléphone sont particulièrement actifs (y compris auprès des usagers Français), et débutent invariablement leur discours par un « Bonjour, ici le Centre de Support Technique de Microsoft, il nous est apparu que votre ordinateur a un problème… ». Comme ce genre d’attaque nécessite une sacrée « user interaction » pour que la charge virale soit installée sur le poste de la victime, Ammyy Admin n’est jamais classée dans la catégorie des attaques critiques. Et pourtant… le nombre des victimes s’accroît chaque jour.

Généralement, lorsque l’un de ces escrocs (peut-on parler de « droper humain » ?) tombe sur un véritable cyber-nerd ou un technicien authentique, il devient à son tour le jouet de l’humour geek de sa prétendue victime. Les rôles sont inversés… mais là s’arrête l’histoire.

Mais sans exploit, la fête est moins folle. Un spécialiste sécurité et analyseur de malwares, Matthew Weeks, a décidé de contre-attaquer en développant un exploit Metasploit visant précisément Ammyy Admin. N’est-ce pas là le comble de la fourberie que de sous-mariner un cheval de Troie et infecter avec un Zero Day le véhicule d’un injecteur de Zero Days ?

Contrairement aux autres velléités de contre-attaque virale déjà évoquées par le passé, un exploit ciblant un malware ne touche que l’usager actif du malware. La morale est sauve, Matthew Weeks ne sera pas renommé pour avoir infligé une myxomatose numérique à l’ensemble du clapier Internet. Seule ombre au tableau, l’efficacité de cet exploit reste encore à prouver… puisqu’aucun escroc du gang Ammyy Admin n’a osé composer le numéro de téléphone de Weeks.