juillet, 2015

Nom, prénom, adresse, sexe, date de naissance, signes particuliers, numéro de téléphone, adresse email, numéro de carte de crédit et détails bancaires, exigences alimentaires (donc religion)… le Comité des libertés civiles du Parlement Européen vient de considérer comme parfaitement légale la collecte et le stockage des PNR (Passenger Name Record) des voyageurs passant les frontières « extérieures » de la Communauté. Proposition adoptée par 32 voix contre 27.

Motif invoqué, l’on s’en doute, la vague de terrorisme qui soi-disant submergerait l’Europe. Cette collecte, qui ferait passer le sinistre fichier Tulard pour une comptine de jardin d’enfant, était déjà mise en pratique Outre Atlantique, toujours avec l’assentiment du Parlement Européen. Initialement limité à 3 ans, la conservation des données avait été prolongée ad vitam aeternam sur décision unilatérale des services d’immigration des USA sans que la CE puisse faire quoi que ce soit, pas même émettre la plus petite protestation. Est-ce par volonté d’imitation ? Toujours est-il que ces mêmes informations seront également collectées en Europe dès lors qu’une personne franchira, dans un sens ou dans un autre, les limites de l’Europe, constituant ce qui sera l’un des plus importants « fichier des gens innocents » du monde. Jan Philipp Albrecht (groupe Les Verts au P.E., spécialiste des questions de liberté civile et de droit numérique) n’a pu que soulever une protestation de pure forme.

Jusqu’à présent, un tel flicage avait été énergiquement repoussé, malgré les multiples tentatives du Parlement pour faire passer de telles décisions en 2004 et 2005 suite aux attentats de Londres, rappelle l’EDRI, à propos de la Directive sur la Rétention des Données. Il avait fallu toutefois l’intervention de la Cour Européenne de Justice pour classer « hors la loi » ce train de mesures. Cette fois-ci, ce sont les évènements de Copenhague et de Paris (la fusillade Charlie Hebdo et Hyper-Cacher) qui dicteraient la nécessité d’une tel bigbrotherisme.

L’absence totale de logique et la confusion mentale (ou un plan sciemment orchestré ?) qui semblent affecter les Parlementaires à l’origine de ces dispositions leur font probablement oublier que, dans la majorité des cas, les personnes ayant perpétré ces attentats étaient des ressortissants des pays visés ou résidants dans le pays en question, et ni eux, ni les instigateurs des faits n’ont pris l’avion pour commettre leurs forfaits… quant aux fichages desdites personnes, il était effectif parfois des années avant que ne surviennent les faits, et l’ajout d’un PNR dans une base de données n’aurait hélas strictement rien changé.

Desmond Ball, Duncan Campbell, Bill Robinson and Richard Tanter, mélange improbable et détonnant de scientifiques et de journalistes d’investigation, se sont penchés sur les « fichiers Snowden » relatifs à un projet d’espionnage systématique des communications par satellite dérivé du réseau d’écoute Echelon. Ce projet repose sur un maillage important de stations terrestres d’interception pilotées soit par la NSA, soit pas sa filiale Britannique le CGHQ. Techniquement, il s’agit d’un réseau d’antennes ressemblant à des rectangles incurvés de 24 mètres par 7 mètres, et équipés de 35 « sources » ou têtes de réception travaillant dans les bandes C et Ku. Chaque source, explique en détail l’étude des enquêteurs est donc capable de cibler un satellite quel que soit la polarisation et la position de son lien descendant. Or, un satellite de communication, c’est parfois plus de 1000 canaux simultanés, soit au maximum 35000 canaux surveillés par antenne… ce qui donne une certaine idée des capacités d’interception des barbouzes des « five eyes ».

Initiées avec le réseau Echelon, ces « grandes oreilles » baptisées  Torus et fabriquées par General Electrics font partie d’un formidable réseau comptant plusieurs centaines d’antennes de ce type (232 identifiées), et sont intégrées dans des programmes d’écoute successivement baptisés SharedVision, SharedQuest, DarkQuest selon la finalité des liaisons écoutées. Ces centres d’écoute sont éparpillés dans le monde entier. USA, Grande Bretagne, Australie, Nouvelle Zélande, mais également Japon, Brésil (dont le gouvernement protestait énergiquement il n’y a pas si longtemps contre les écoutes de la NSA), Chypre, Thaïlande, Emirat d’Oman, Porto Rico, Kenya, Allemagne… on parle même d’opérations semblables sur les territoires Russes et Ukrainiens orchestrées, cette fois, par le GRU et les services de renseignement Ukrainiens. Mais s’agit-il d’antennes Torus fabriquées aux USA comme le laisse supposer la tournure de phrase du rapport ? C’est assez improbable.

La Chine, de son côté, s’est également lancée dans la course à l’écoute généralisée et au SigInt de haut vol depuis les années 90, avec des installations notamment déployées dans la province du Xinjiang. Ce qui explique en partie l’attachement de Pékin pour cette région, agitée ces derniers temps par des révoltes organisées par des mouvements autonomistes.

En France, il ne se passe rien

Toute la presse Infosec parle de la brutale suppression de Proxyham du programme des présentations Defcon. Hackaday estime qu’il s’agit d’un « coup de publicité plus tapageur qu’instructif », Slashdot alimente le buzz, et Robert Graham fournit sa propre recette de Proxyham.

Qu’est-ce que ProxyHam ? Ni plus ni moins qu’un « pont radio » transformant une liaison Wifi en transmission 900 MHz, puis à nouveau en liaison Wifi sur 2,4 GHz. Pourquoi ProxyHam ? Parce que le 900 MHz est plus souple, plus pratique lorsqu’il s’agit d’établir des distances un peu plus longues que celles possibles en 2400 MHz avec des équipements commerciaux. Affirmation discutable d’ailleurs, puisqu’avec un peu de soin, monter un lien de « plus de 4 km » peut se réaliser avec n’importe quel routeur Wifi, sans amplificateur-miracle ou LNA diabolique. 100 milliwatts et deux bonnes antennes permettent de couvrir plus de 20 km sans trop de problème. Et plus si affinité. Mais ça n’est pas assez pour valoir un « talk » à la Defcon.

Qu’est-ce que ProxyHam ? (bis)Une malhonnêteté intellectuelle également. Ham désigne, en Américain, le mouvement Radioamateur, dont la licence (même si elle est assimilée à celle d’un « opérateur tiers » en Région 3) ne permet pas de créer des infrastructures télécom à destination grand public. En région 1, celle où nous vivons, les lois sont encore plus strictes, puisque ni la bande des 900 MHz, ni l’interconnexion avec un réseau d’opérateur ne sont autorisés. L’ouverture du 900 MHz et du 2,4 GHz aux usagers des bandes ISM (autrement dit tout le monde) ne nécessite en rien la moindre appartenance au mouvement Amateur, lequel se concentre sur son seul et unique but : la recherche. ProxyHam, c’est un peu comme Courants porteurs, un non-sens technique caché derrière une appellation totalement inappropriée.

Malhonnêteté intellectuelle également lorsque Ben Caudill, auteur de ce pont radio, prétend anonymiser un réseau Wifi par simple interposition d’une rupture de fréquence et d’une NAT. C’est à la fois inspirer un sentiment de fausse sécurité envers les usagers qui adopteraient un tel système, et faire peu de cas des performances actuelles en matière de radiogoniométrie et écoute large bande du spectre électromagnétique. Le 900 MHz salvateur s’écoute et se surveille avec une simple clef DVB-T et la source d’émission se localise en moins d’une demi-seconde pour une personne bien équipée, en moins de 15 minutes pour un bricoleur devant tout improviser de A à Z. Enfin, si une NAT permettait de protéger et rendre totalement anonyme une liaison, les vendeurs de routeurs seraient les rois de la sécurité et le mot spyware serait rayé du vocabulaire. Même Tor n’est pas infaillible, malgré les années-homme que lui a coûté son développement.

Ce n’est pas parce qu’un hack contient le mot « radio » qu’il devient subitement magique. Et cela fonctionne dans les deux sens : côté usager et côté exploitant. Les nombreux « reverse » du monde IoT sont là pour nous le rappeler chaque jour.

Ajoutons enfin qu’anonymat se conjugue avec discrétion… ce qui n’est pas franchement le cas d’une installation telle que celle nécessitée par ProxyHam. L’article originel publié par le magazine Wired prouve, photo à l’appui, que Caudil, même dans le cadre d’une « preuve de faisabilité », utilise une yagi 16 éléments croisée. Côté discrétion, peut mieux faire. Une bonne parabole avec une source 2400 passerait bien plus inaperçu dans le paysage urbain. Et monter un bridge avec NAT associé à un VPN, sans quitter la norme Wifi, c’est simple comme WRT.

Té, déployer de la rustine à l’heure de l’anisette, avant que tombe la fraîcheur du soir et la partie de pétanque, ça m’escagasse. Les salles informatiques sont climatisées, mais le vacarme des ventilo, c’est pas franchement celui des rouleaux sur les galets ou le « pot-pot » des moteurs de pointu.

Pourtant, du travail, il y en a comme jamais. Les déboires de Hacking Team ont révélé une troisième faille Flash (CVE-2015-5123), bug exploitable et exploité découvert par le Response Team de Trend Micro. Flash, cette dentelle logicielle qui comporte plus de trous que de matière, est désormais déclarée Persona non Grata pour une durée indéterminée par Firefox. Adobe a mis à jour l’un de ses bulletins de sécurité lorsque la France toute entière était en train de fêter, voir et complimenter l’armée Française. Pendant ce temps, le mouvement < i> Occupy Flash enfle et s’amplifie, demandant l’éradication pure et simple de cet accessoire considéré par certains comme plus dangereux qu’utile. « It’s buggy. It crashes a lot. It requires constant security updates »… enlevez-moi ce code de vos navigateurs, on peut très bien vivre sans ! Scandent ces militants anti-flash.

Las, bien des Webmestres (et pas des moindres) restent attaché à leurs antiques développements forçant les visiteurs de leurs sites à installer ce plugin. L’eugénisme binaire ne passe pas.

Idem pour Java, grand pourvoyeur de trous devant l’Eternel Informatique, qui est désormais diffusé sous l’immatriculation 8 Update 51, 51, comme la zone du même métal. Laquelle se débarrasse de près de 25 aliens indésirables. Tout comme Flash, on peut vivre sans Java, mais moins bien en raison de l’obstination de beaucoup de développeurs Web.

Un autre habitué de la collection de faille, Internet Explorer (onzième édition), était également à l’origine d’un ZDE exploité par Hacking Team. Trou découvert puis analysé par Vectra.

Ce qui tombe bien, puisque le 14 juillet au soir, l’ensemble des logiciels Microsoft étaient de la Revue, avec le traditionnel défilé de rustines du premier mardi du mois. I.E. pèse, à lui seul 29 CVE (dont le fameux « Hacking Team exploit »). On se croirait retourner du temps des grandes heures, lorsque http-equiv, Liu-Di-Yu, Tor Larholm et « Paul de Greyhat » inondaient la liste Full Disclosure d’une faille I.E. par jour. On n’a pas arrêté la fabrication, tous les clients sont devenus aveugles. Microsoft Office, pour sa part, est gratifié de 8 bouchons tous considérés comme critiques. Et l’on retrouve même, au fil du rouge publié par le bulletin Microsoft et du résumé synthétique du Sans, un double trou dans OLE, qui permettra aux anciens Microsofties de se payer une bonne tranche de nostalgie.

Cela faisait longtemps qu’un mardi des rustines n’avais pas franchi un tel cap. 59 trous, dont une grande majorité qualifiée de « critique ».

Achevons ce tour des inconséquences de Hacking Team en signalant l’existence d’un rootkit capable de compromettre les bios UEFI, découvert et analysé par l’équipe de Trend Micro. Le hack des Bios et la création de bootkits est très à la mode ces temps-ci. Il faut bien se rendre à l’évidence, leur conception est légèrement sortie du cadre étroit de la recherche et de la publication universitaire ou des « conférences infosec ».

Au cours d’une intervention devant le Sénat US et via plusieurs articles publiés dans les colonnes de différents médias, James Comey, Directeur du FBI, entre en croisade contre les mécanismes de chiffrement évolués en général et ceux ne possédant pas de porte dérobée en particulier. Et de faire apparaître le spectre des terroristes, des départs de hordes d’Américains venant gonfler les rangs d’Isil en Syrie… Ah, que notre travail était plus reposant lorsqu’il suffisait de poser des bretelles sur un standard téléphonique. Mais Internet et ses techniques de protection des communications nous rendent la vie impossible, explique en substance le Premier Flic des USA.

Le Directeur du FBI souhaite le retour aux vieilles pratiques, à l’époque où le moindre algorithme de chiffrement était considéré comme une arme de guerre et était réservé aux trois armées et aux fonctionnaires de l’Administration Fédérale. Un bon logiciel de chiffrement est un logiciel que les autorités peuvent casser rapidement, soit parce qu’il est lié à une clef de séquestre, soit parce qu’il contient une porte dérobée ou un « malheureux bug d’intégration franchement involontaire ». Les vieilles barbes de notre ancienne DCSSI doivent en être encore émues, elles qui avaient imposé en France la fameuse « limitation à 128 bits ». Les barbouzes de la NSA les en remercient d’ailleurs encore de leur avoir tant facilité le travail.

Mais ce n’est pas l’avis de tout le monde. Quelques trublions font remarquer aux Sénateurs que le retour à un système de gestion des clefs de séquestre (une sorte de « passe-partout » du chiffrement garanti par une « autorité ») est à la fois un non-sens technique mais également un frein à l’économie. Un non-sens technique, on s’en doute, car les séquestres peuvent être compromis. Et quand bien même ne le seraient-ils pas qu’ils complexifient les logiciels de chiffrement. Or, plus la complexité d’un logiciel est grande, plus le risque d’y retrouver des erreurs de programmation ou d’intégration s’accroît.
L’on ne peut ignorer également, surtout en ces périodes d’intensives écoutes téléphoniques et de piratages entre « pays amis », l’importance que revêt l’usage d’un outil de chiffrement fiable. C’est là le ciment d’une confiance dans le monde des affaires numériques. Sans cette confiance, point de business. Et l’attitude actuelle du Gouvernement Fédéral ne laisse strictement aucune illusion sur le peu de cas qu’elle fait du secret des affaires, surtout si lesdites affaires sont celles de sociétés étrangères. En revenant sur le principe d’un chiffrement reposant sur le « aie confianssssssse » chantonné par les agences à trois lettres, les USA pourraient bien voir diminuer leur balance du commerce extérieur.

Ainsi parlait Steeve Bellovin, ainsi s’exprimait également Bruce Schneier et quelques autres : Hal Abelson, Ross Anderson, Josh Benaloh, Matt Blaze, Whitfield Diffie, John Gilmore, Matthew Green, Susan Landau, Peter Neumann, Ron Rivest, Jeff Schiller, Michael Specter, et Danny Weitzner. Des noms qui, pour la plupart, sont liés à tel ou tel algorithme : Diffie-Hellman, RSA, TwoFish…

Cette « internationale des spécialistes du Chiffre », même si elle ne parvient pas à convaincre les édiles Etats-Uniennes, pourrait achever de convaincre les mathématiciens des autres contrées du globe qu’il est important, vital même que l’on voit se diversifier l’offre en matière d’outils de chiffrements Open Source. Pour l’heure, le monde « crypto » (du moins dans le domaine des applications civiles) est à plus de 90% made in USA. Ce qui revient à dire que si les arguments de James Comey parviennent à faire mouche, c’est 90% des échanges numériques qui sont potentiellement compromis …

Deux fuites supplémentaires font les grands titres des quotidiens en cette fin de semaine. Celle d’environ un demi-million de télégrammes d’Arabie Saoudite, divulguée par Wikileaks, et celle, orchestrée par le CGHQ, espions « by appointment of her Majesty the Queen » et visant ce qui semble être une très dangereuse organisation, Amnesty International. Mark Wilson de BetaNews a rédigé une parfaite synthèse des évènements et témoigne de la surprise des dirigeants d’Amnesty. Une demande écrite d’explications a été envoyée au Premier Ministre, et d’énergiques protestations se sont vues publier par voie de presse sur de grands quotidiens nationaux, dans le Guardian notamment.

La fuite de données est une sorte de maladie du siècle. Initialement « inventée » par une poignée d’escrocs particulièrement intéressés par le vol d’identité et les casses bancaires sophistiqués. Elle est devenue l’un des principaux passe-temps des agences de renseignement du monde entier (USA en tête, mais l’Europe est loin d’être innocente). Collecte généralement mise sur le marché par des lanceurs d’alertes connus (Manning, Snowden…) ou anonymes, ainsi l’armée des informateurs de Wikileaks. Plus les services d’espionnage intensifient leur pression numérique, plus ces ripostes orchestrées par des éléments généralement incontrôlés se multiplient. Ce que ne semblerait pas avoir remarqué une grande partie de la classe politique occidentale, qui tente, par des lois de plus en plus restrictives, de juguler un problème alors qu’en réalité, ce genre de réactions ne semblerait qu’ajouter de l’huile sur le feu.

Certes, les Manning et autres Snowden sont des arguments de poids pour les partisans d’une surveillance intégrale, pour qui ces prétextes deviennent un moyen simple d’imposer des lois d’exception qui permettent un meilleur contrôle sur la population. Las, entre les pratiques d’une surveillance à la sauce Second Empire et la situation actuelle, il existe une énorme différence : les « surveillés » aujourd’hui peuvent répliquer avec les mêmes armes que ceux qui tentent de les contraindre. Ne pas tenir compte de la possibilité de cette forme de contestation asymétrique, serait donc s’exposer un peu plus à une escalade de la violence numérique, et c’est précisément ce qui arrive. Snowden, Manning ou l’inconnu des fuites Saoudiennes ne sont que les conséquences d’un emballement des pratiques de fichage et de flicage qui frappent les sociétés occidentales ou occidentalisées. Comme aucun des camps ne semble vouloir temporiser, et comme la numérisation absolue de la société continue sa course de manière frénétique, il est peu probable que cette guerre des fuites cesse demain. Ou alors, ce sera lorsque tout aura déjà été divulgué …

Le correctif de mercredi dernier ne suffisait pas, malgré la série de ZDE colmatés dans l’urgence. Dans la soirée de vendredi, Adobe, grand pourvoyeur de trous devant l’éternel transalpin, a taillé un respectable bouchon immatriculé CVE-2015-5122 . Le trou faisant partie de la collection privée des exploits du Hacking Team, lesquels se retrouvent un peu de partout, de Pastebin aux grands sites de streaming, on peut parier que ce CVE sera pris en compte par les principaux « exploit kit » avant la fin du week-end.

Ayons une pensée pour les courageux responsables de déploiement de patch, pour qui le week-end sera chaud et peu ensoleillé.

Après 4 millions, puis 10 millions, ce sont désormais 21 millions d’identités qui auraient été pillées durant le hack des serveur de l’Office of Personnel Management US révèle le Register. Soit un quinzième de la population du pays.

Une nouvelle version d’OpenSSL sort cette semaine, prévient Mark Cox sur la mailing list d’OpenSSL.org . La faille justifiant cette nouvelle publication n’a encore fait l’objet d’aucune divulgation. Pour rappel, la précédente nous a valu Heartbleed.

Ce ne sont pas 4 mais 10 millions d’identités qui pourraient avoir été compromises lors de la mise à sac des serveurs du US Office of Personnel Management (OPM), bureau de gestion des fonctionnaires des Etats Unis. Source le Reg