octobre, 2014

Oui, le bug Packager.dll /OLE/CVE-2014-4114/Sandworm est effectivement corrigé par la rustine MS14-060. Déception. Malgré l’impressionnante campagne médiatique qui a entouré la révélation de cette faille, le défaut n’est qualifié que d’important.

Critique,en revanche et comme d’habitude, le cumulatif Internet Explorer MS14-056 qui étanchéise à lui seul 14 fuites, 14 références CVE. Exécutions à distance, élévations de privilèges, contournement de certains dispositifs de sécurités tel ASLR, la collection de bouchons I.E. est quasi complète.

MS14-057 est un autre grand habitué des correctifs du mardi soir, une faille .Net qui mérite elle aussi le grade de “critique”. Les autres alertes ne dépassent pas le niveau “important”. Le Sans émet une opinion différente et, une fois n’est pas coutume, plus alarmiste que Microsoft. Selon les recensements effectués par l’Institut, la grande majorité des trous bouchés en ce mardi sont soit exploités activement, soit divulgués avec assez de détail pour que leur exploitation ne fasse aucun doute à court terme.

Simultanément, comme à son habitude, Adobe publie également son “mardi des rustines”, avec un correctif Flash relativement modeste (3 CVE)

Chez Oracle enfin, on annonce un CPU gros et gras : 154 CVE, pas un de moins. Le dernier « Critical Patch Advisory », CPU en langage Oracle, affecte aussi bien les produits « base de données » que les outils de développement et logiciels métier. Dans le lot se trouve une nouvelle version de Java corrigé de 24 dont 22 exploitables à distance précise l’éditeur

Le « data management » et la sauvegarde d’un côté, la sécurité de l’autre. Symantec annonce, dans un communiqué kilométrique, son intention de se scinder en deux entités distinctes, toutes deux publiques. Le discours visant à mélanger allègrement les notions de sécurité, de prévention et de gestion des données dans un grand tout informe ne fonctionne plus. Le backup (héritage de la reprise de Veritas) passe mal dans le catalogue purement « infosec ». Tout comme le stockage, ces gammes de produits et solutions ne s’adressent pas aux mêmes personnes ni aux mêmes départements que les produits et services destinés à sécuriser les SI. A cela s’ajoute la lente dégradation du marché des antivirus, socle historique de l’activité sécurité de Symantec, miné par la concurrence des outils gratuits, celui de Microsoft en premier chef. Il fallait donc que les activités liées à la sécurité managée, de la virtualisation, du DLP, du Byod et du marché du cloud, nouveau cap de l’entreprise, soient dégagées de l’aspect « base matérielle-pc-logiciel » dans lequel évolue encore fortement le business de la gestion-traitement de données. En attendant que la vague « software defined » ne vienne redistribuer les cartes.

Le « split », toutefois, ne se fera pas dans les mois à venir. Le communiqué de l’entreprise mentionne décembre 2015…

Un bon roman d’espionnage qui compte déjà des protagonistes estampillés NSA et FSB ne peut s’achever sans un véritable méchant, celui contre lequel les forces finissent finalement par s’unir au nom du genre humain. Nous avons nommé l’Agent Chinois. Aussi difficile à occire que l’Hydre de Lerne (il en repousse un autre dès qu’on lui coupe une tête), tenace comme les 700 millions de citoyens chers à Dutronc, mauvais comme un ZDE multplateforme, la barbouze asiatique fait chanter l’Internationale aux industriels des TIC Etats-Uniens. Au cri de « groupons-nous, et demain… » viennent de se regrouper dans un front commun anti-pirates Chinois Novetta, Cisco, FireEye, F-Secure, iSIGHT Partners (ceux qui ont déjà bouté les Sandworm Russes hors de Windows), Microsoft, Symantec, Tenable, ThreatConnect, ThreatTrack Security, Volexity… et une piétaille de « professionnels de la sécurité qui souhaitent conserver leur anonymat ». Un retour de DdoS, ça peut parfois faire très mal.

Le Chef d’Escouade s’appelle Novetta. Un leader qui, à peine son équipe constituée, annonce trois victoires sur l’ennemi : Derusbi, HiKit et ZoxPNG sont interceptés, capturés et forcés à parler sous la torture des outils de désassemblage. Plus efficace que les scorpions du désert du célèbre « Long Range Desert Group ».

Ce groupe de supplétifs de la police régulière reçoit même les encouragements du FBI, explique notre confrère d’IDG News Australien, Jeremy Kirk. C’est un peu comme si notre Anssi nationale demandait aux professionnels de la sécurité informatique Française de se constituer en corps francs dans le but de chasser les vils espions Britanniques-poseurs-de-mouchards-sur-le-téléphone-d’Angela-Merkel. Ce culte du mercenariat et de l’auto-défense, Microsoft le prône depuis longtemps déjà, en se faisant la main contre quelques gardiens de Botnets qui réapparaissent pourtant à peine leur réseau détruit.

Est-ce aux industriels de faire justice, de créer une « Pax Americana » définie par un quarteron de généraux du logiciel ? L’on serait tenté de s’en émouvoir. Ces mêmes entreprises détiennent déjà un formidable pouvoir de contrôle des outils et des flux d’information. Bien fol serait celui qui verrait en ce groupement ce qu’il semble être au premier regard, une poignée de mercenaires à la sauce des « Magnificent Seven » aux ordres plus ou moins directs de la Maison Blanche. Non, c’est l’affirmation d’une puissance industrielle consciente de sa force, d’un « touche pas à mon royaume » qui va au-delà des nations et ne s’encombre pas de précautions diplomatiques. Internet, le « Wild West » du numérique ne fait que commencer.

Et l’espion Russe dans tout ça ? Ce terrifiant pyrotechnicien confirmé classé par ses supérieurs dans la catégorie des esthètes turbulents* se met, lui aussi aux nouvelles technologies. Il développe désormais des Barbouziciels baptisés « vers des sables » (car ce fin lettré a truffé son code d’allusion au roman « Dune » de Franck Herbert). Lequel asticot virtuel est envoyé en mission dans les mémoires des ordinateurs de l’Otan, des instances Européennes et sur toutes les machines appartenant à des diplomates travaillant, de près ou de loin, sur la crise opposant l’Ukraine à la Russie. Rien que ça. C’est Reuter qui en parle parmi les premiers, citant Isight, inventeur « en collaboration avec Microsoft » de la faille cve-2014-4114 qui affecte Windows et Windows Server 2008 et 2012. Si l’on élague un peu le sensationnalisme de l’annonce, on se retrouve avec une faille presque « old school » (exploitation OLE via le packager qui peut alors interpréter des fichiers forgés), elle-même accompagnée de 4 ou 5 exploits connus depuis fort longtemps. On notera au passage le fait que la révélation de cette faille et de cette exploitation survient la veille du patch Tuesday.

Comme un CVE difficilement exploitable à distance sans un peu de « social engineering » s’avère relativement difficile à vendre à la presse, un tantinet d’espionnage épicera illico l’annonce. Boris Vassiliev, ce vaillant défenseur du salut du Kremlin sert, à son corps défendant, les intérêts économiques de ces vils pourceaux capitalistes que sont les chasseurs de faille. D’ailleurs, s’il ne fallait qu’un seul argument pour prouver que Sandworm est bel et bien un virus majeur digne de figurer au panthéon des infections apocalyptiques, ce serait le suivant : le logo du virus existait avant même que le communiqué officiel d’Isight ne soit publié. Plus fort que Heartbleed, n’est-il pas ?

*ndlc Note de la correctrice : moi, mon préféré, c’est le docteur Müller, car lui, au moins, il offre des fleurs aux dames. Même si celles-ci sont en vénélite compressée, inaltérables à l’eau de mer, antimagnétiques, fluorescentes et ininflammables.

Depuis les premières publications des fichiers Snowden, la presse infosec ne bruisse plus que d’histoires de barbouzes. Le cyber-espion et son Kali-Linux dopé aux chevaux de Troie sous stéroïdes remplace les gros bras des services Action, les crochets du droit et les James-Bond-Girl alanguies. L’efficacité y gagne ce que le romantisme y perd.

Mais parfois, entre deux cyber-spys, l’on trouve une véritable taupe qui travaille à l’ancienne et qui vient « sous-mariner » des entreprises situées dans des pays étrangers. Etrangers à la nationalité de l’homme de l’ombre, l’on s’en doute. C’est du moins ce qu’affirment nos confrères de The Intercept, dans un nouvel article détaillant Sentry, le programme d’espionnage offensif. L’agent sous couverture s’inscrit dans le cadre du programme Sentry Eagle et l’un de ses sous-programmes Sentry Osprey. Sa mission ? Infiltrer des « entités commerciales », participer aux meetings, effectuer des opérations spécifiques, collecter des renseignements sur des technologies bien précises, établir des canaux de transmission discrets, surveiller l’activité des communications numériques (Sigint).

La crainte du stagiaire Chinois se double désormais du doute du Directeur d’Agence surdiplômé par Stanford mais émargeant chez NSA.

Le cyber-braquage est la rançon de la « plastic money », le prix que doive payer les banques pour diminuer les coûts liés à la gestion du papier-monnaie. Si, la semaine passée, le monde de la sécurité numérique s’intéressait aux premiers pas des virus visant les DAB et GAB, ce lundi est, pour Brian Krebs, l’occasion de faire coup double en révélant deux braquages visant la grande distribution Nord Américaine.

Chez Dairy Queen tout d’abord, qui vient de découvrir que près de 400 de ses magasins étaient infectés par le virus Backoff spécialisé dans la récolte d’identifiants bancaires. La chaine de restauration rapide prévient ses clients six semaines après que le premier article publié par Brian Krebs ait signalé la très forte probabilité d’un piratage massif. Selon la Direction, « seuls » les noms, numéros de compte en banque et date d’expiration de la carte ont pu être détourné. Rien de très grave donc, puisqu’avec ce genre d’information, l’on est contraint de ne pouvoir acheter que ce que l’on peut trouver sur Internet, le code PIN étant inutile et la grande majorité des vendeurs ne vérifiant jamais le numéro CVV (même s’ils le demandent parfois). Et tout au plus les clients peuvent-ils également être la cible d’une attaque en phishing… pourquoi s’inquiéter ? Pour l’heure, aucune estimation du nombre de victimes potentielles n’a été publiée. Les 400 magasins infectés sont considérés par le Président de l’entreprise comme « un faible pourcentage du réseau de distribution US ».
Chez Kmart, autre grande chaine de distribution, c’est encore un virus, installé dans les terminaux point de vente, qui s’est mis à collectionner les numéros de carte de payement qui passaient à sa portée. Le bilan risque d’être excessivement lourd, car le problème n’a été décelé que très récemment. Or, les traces analysées laissent entendre que le malware est dans la place depuis le mois de septembre. Là encore, des brassées de numéros de compte ont été récupérées par le malware, mais le nom des possesseurs de cartes et clients a échappé au zèle du virus.

Tant l’affaire des virus DAB que ces deux récentes intrusions montrent une certaine évolution des techniques de piratage bancaire. Longtemps, les vols d’identités étaient la conséquence d’un accès distant (wifi, faille d’interface d’application Web) et d’une exploitation du système informatique du backoffice (faille SQL en règle général). Désormais, ce sont les front end, les équipements dédiés qui sont visés par des charges visant spécifiquement des appareils prétendument « inviolables, juré, craché, parole de banquier ». Si le « virus DAB » relève encore du fantasme de vendeur d’antivirus qui regarde d’un œil concupiscent l’émergence d’un nouveau marché potentiel, l’infection des TPV et des machines de facturation des grandes chaines de distribution est indiscutablement « mainstream ».

Plusieurs bureaux de police aux USA diffusent de prétendus « logiciels de protection des mineurs » qui sont en fait des keyloggers et des outils d’accès à distance (sans le moindre chiffrement des données échangées). L’EFF analyse ce logiciel nommé ComputerCOP plus intrusif et plus répandu qu’une attaque HeartBleed.

La palme du xylo-langage et de l’euphémisme revient, ce mois-ci, à la Banque J.P. Morgan-Chase qui, suite au formidable pillage d’identités du mois dernier, admet dans son dernier rapport financier que ses « comités de direction et de vérification ont régulièrement pris connaissance de problèmes de sécurité importants »

Selon Brian Krebs, outre le fait que la quasi-totalité des magasins Home Dépôt auraient été frappés par ce vol massif d’identités bancaires, le malware utilisé serait une variante de BlackPOS , outil d’interception de lecteurs de cartes bancaires déjà utilisé dans le hack des magasins Target

Epidémie d’attaques en déni de service distribué, prévient Akamai . Une fois n’est pas coutume, le Bot servant à conduire l’attaque repose sur un parc de machines Linux vulnérables supportant d’anciennes version d’Apache, Struts ou Tomcat mal entretenues.