août, 2015

Deux chercheurs de l’Inria (Grenoble) et deux universitaires Belges (Leuven) révèlent qu’il est possible, en utilisant une API HTML5, de récupérer la signature d’un mobile en particulier et par conséquent de tracer les activités, voire de géolocaliser son possesseur. L’exploitation de cette API n’est possible qu’avec les navigateurs Firefox, Chrome et Opera… une fois n’est pas coutume, Internet Explorer n’est pas coupable… faute de capacité technique.

Cette API, baptisée « Batterie Status », peut être utilisée par un serveur Web pour mieux interagir avec le navigateur distant. Si la réserve d’énergie est faible, le trafic pourrait être allégé, certains scripts désactivés afin de ne pas précipiter la « panne sèche » du terminal, et, au contraire, des applications plus gourmandes en ressources (séquences vidéo par exemple) seraient accessibles pour peu que le téléphone ou la tablette déclare avoir fait le plein depuis peu.

Or, aucun accumulateur ne ressemble à un autre. Sa capacité en milliampère/heure constitue déjà un élément de distinction. Mais même au sein d’équipements utilisant strictement le même type de batteries, les temps de décharge montrent des différences significatives, différences liées aux disparités chimiques des éléments, à la température ambiante, à l’âge de l’accumulateur lui-même, voir à la consommation résiduelle propre à chaque appareil.

Et c’est là que la « Battery Status API » se montre très indiscrète, car elle fournit trois données importantes : charging level, chargingTime et dischargingTime (niveau de charge, temps de charge, temps de décharge), informations obtenues via la méthode navigator.getBattery(). Et lesdites informations sont tellement précises qu’il est tout à fait possible de distinguer deux appareils en leur faisant exécuter une même et unique tâche. De là à imaginer un réseau de serveurs Web compromis capables de suivre à la trace une série de téléphones en se basant uniquement sur la consommation instantanée des accumulateurs et leur niveau de charge, puis à y associer l’adresse IP utilisée, il n’y a qu’un pas.

La parade à une telle fingerprinting attack est simple, expliquent les quatre chercheurs : arrondir les résultats, diminuer le degré de finesse avec lequel l’API fournit des renseignements au serveur. Cela n’affecte en rien l’efficacité de l’API. Du coup, il devient impossible de distinguer différents mobiles retournant un « batterie à 15%, décharge à 35 mA/h » alors que, dans l’état actuel des choses, la réponse serait plutôt « batterie à 15,683%, décharge à 32,695mA/h » (ces indications chiffrées n’ayant qu’une valeur de vulgarisation et non une réalité scientifique reflétant les travaux en question).

Selon le Wall Street Journal, Github vient de réaliser une levée de fonds de 250 millions de dollars . Cette même semaine, le groupe concurrent DHI décidait de revendre Sourceforge , dont l’activité est en perte de vitesse depuis plus de 5 ans

Paradis fiscal,havre de paix pour les entreprises-boîte-à-lettres, thébaïde dans laquelle personne ne sourcille lorsqu’un homme politique reçoit des jetons de présence d’un conseil d’administration, le canton de Zug est également la terre natale de la célèbre société Crypto AG. Cette Allgemeine Gesellschaft, spécialisée dans les solutions de chiffrement légèrement poreux, avait déjà défrayé la chronique en 1991 lorsque des documents « chiffrés crypto AG » et émis par le gouvernement Iranien s’étaient retrouvés sur la place publique, prouvant certaines implications dans l’assassinat de l’ex-Premier Ministre Chapour Bakhtiar. Déjà, à l’époque, le fait que la NSA ait possédé une sorte de « clef de séquestre » capable d’ouvrir des fichiers protégés par des outils Helvétiques avait soulevé quelques remarques.

En 2010, le quotidien Suisse Le Temps, sous la plume de François Pilet, révèle qu’en fait, tous les clients de Crypto AG étaient potentiellement surveillés par la NSA et le BND (Bundesnacrichtendienst), les services de renseignement Allemands depuis 1956. Il faut dire que le pot aux roses dévoilé par le magazine Der Spiegel avait quasiment failli coûter la vie à l’entreprise. Mais quelques communiqués plus tard, la société se redressait, jurant ses grands dieux qu’on ne l’y prendrait plus. Pourtant, les articles de presse se succèdent, montrant à quel point Crypto AG est impliquée dans plusieurs affaires d’espionnage et comment s’est formée une sorte « d’amicale des industriels du barbouze-business » avec des membres tels que Siemens ou Gretag Data Systems AG (donc également le repreneur de Gretag, IRE, Information Resources Engineering, entreprise US). A l’aube des années 2000, une enquête très fouillée de Wayne Madsen explique comment la société Zougoise est peu à peu devenue le cheval de Troie officiel des « 8 yeux ».

Mais voilà que la BBC reprend l’affaire, en pleine période de « Wassenaarisation » des professionnels de la SSI, et publie des documents jusque-là inconnus du public, repris par Cryptome et notamment des lettres laissant clairement entendre que le patron de Crypto AG avait conclu un accord avec les services Britanniques et Américains aux termes duquel « certains clients » se verraient proposer « certains modèles de machines de chiffrement » générant un code plus facile à casser. Et bien entendu s’engageait également de ne pas commercialiser dans ces « certains pays » des modèles plus évolués. Tout cela gratuitement, sans la moindre contrepartie financière, par pur idéalisme… ou par pure compréhension de la notion d’alliance objective.

Les conséquences de ces séries de scandales liés au marché noir des produits de sécurité et à l’implication directe de beaucoup de vendeurs dans des affaires d’espionnage risque fort de provoquer des conséquences plus importantes qu’une simple inscription sur une « liste Wassenaar » dont en fait personne n’a cure. Et à commencer par une défiance « by design » de tout ce qui n’est pas d’origine locale. « La question n’est pas de savoir « Si » nous sommes espionnés, « si » les outils de protection périmétrique ou de chiffrement sont vulnérables… ils le sont, cela ne fait presque aucun doute. Reste à choisir par « qui » l’on risque d’être surveillé. L’achat d’une solution de chiffrement ou d’analyse réseau est donc en partie liée à la question : quel service de renseignement dois-je préférer » expliquait en substance un RSSI Toulousain peu de temps après les premières révélations Snowden. Il risque donc de se développer un marché des outils « certifiés sans espion étranger » (c’est ce que promettent plus ou moins les labels de l’Anssi), des outils « interdits à l’exportation à destination d’Etats-Nation inscrits sur une liste noire » si un cyber-Wassenaar parvient à être établi, et un espace de contrebande SSI dans lequel ne séviront que les quelques entreprises ayant perdu la confiance de leurs clients traditionnels à l’export et qui n’espèrent plus le moindre débouché au sein de leurs propres frontières. La survie dans l’illégalité ou la mort ? L’épuration du « security business » ne dépend plus désormais que d’une série d’articles dans Wikileaks ou la communication de fichiers au Spiegel, au Monde ou au Guardian.

Durant toutes les « fifties », et ce jusqu’au milieu des années 90, Les 18 membres de l’Otan (dont la France) avaient dressé une liste de produits interdits à l’exportation en direction des pays communistes. Cette liste s’appelait le « plan Cocom », pour Coordinating Committee for Multilateral Export Controls. Au titre des choses inscrites sur cette liste rouge les ordinateurs, mini et mainframes qui, pour parvenir de l’autre côté du rideau de fer, devaient transiter par plusieurs pays intermédiaires afin de supprimer toute espérance de traçabilité. Moscou récupéra notamment plusieurs systèmes Bull Mini6 pour soi-disant chronométrer les nageurs lors des J.O. de Moscou en 1980. Il fallait bien ça pour retenir les chronos de Mark Spitz.

Réponse du berger à la bergère, la Chine, nous apprend l’agence Chine Nouvelle, compte à son tour imposer un contrôle des exports concernant certains composants nécessaires à la fabrication de calculateurs de plus de 8 petaflops, et interdira l’export de drones s’ils remplissent l’une des conditions suivantes : voler à plus de 15 000 mètres, décoller sous un vent de plus de 46 km/h ou offrir une autonomie de plus d’une heure de vol. Ce retournement de situation montre à quel point l’Empire du Milieu est passé du stade « d’usine du monde » à celui de « leader technologique planétaire ».

Blue Coat,spécialise de la sécurité des réseaux et de l’interception de malwares, annonce via les réseaux sociaux et par communiqué de presse l’acquisition de Perspecsys, un spécialiste de la sécurité des données client dans le cloud. De cette manière, Blue Coat espère détenir une part du marché des « intermédiaires de sécurité dans le Cloud » (les Cloud Access Security Broker -CASB). Rappelons que la société est détenue depuis peu par un fond d’investissement privé, Bain Capital, qui lui-même l’a racheté à Toma Bravo, autre fond d’investissement qui possédait l’entreprise depuis 2011.

Blue Coat a su se développer avec efficacité à l’international, notamment en Syrie et en Birmanie, où leur solutions DPI ont connu un succès incontestable. L’entreprise a même, pour ses résultats commerciaux florissants, reçue une distinction de la part de Reporters Sans Frontières. Devant un tel honneur, la direction de l’entreprise a publié un billet de blog expliquant que parfois, hélas, leurs produits pouvaient être mal utilisés par des clients peu scrupuleux, et qu’en aucun cas ils ne pouvaient être tenus pour responsables. L’important, c’est la sécurité conclut l’article de David Murphy, le strategic advisor de Blue Coat. Le capitalisme est-il moral ? Demandait Comte-Sponville. Pas tant que ça semble-t-il, puisque certains voient un élément de réponse en une extension des accords de Wassenaar, tandis que d’autres doutent fortement de l’efficacité réelle de ce genre de disposition.

3SysAdmin Day mémorable dans les bureaux de Shinzo Abe, actuel Premier Ministre du Japon. Selon Wikileaks, depuis 2006, tout le gotha politique en place à Tokyo et notamment le cabinet du Premier Ministre ainsi que plusieurs établissements bancaires, les ministères des finances, de l’économie, et les branches Energie de Mitsubishi et de Mitsui ont vu leurs conversations téléphoniques enregistrées par la NSA et diffusées aux pays membres des « five eyes ».

Ces écoutes portent essentiellement sur les postes clefs en matière de commerce extérieur au Japon, prouvant à quel point les services de renseignement US passent la majeur partie de leur temps à conduire une guerre économique à l’encontre de leurs « alliés ».

L’on peut avancer, sans être devin, que l’Administration Obama publiera un communiqué dans le courant de la semaine expliquant que plus jamais de tels agissements ne pourront être commis. Les « mouchards » seront ôtés des centraux téléphoniques ce qui n’empêchera pas le déploiement d’autres systèmes d’interception sur les systèmes informatiques et les réseaux radio… si ce n’est déjà fait.

La FDA, Food and Drug Administration US, émet une alerte recommandant aux hôpitaux de ne plus utiliser des pompes à médicaments de marque Symbiq dotées d’un firmware antérieur à l’édition 3.13. Ces appareils médicaux sont vulnérables à une attaque distante via le réseau local de l’établissement hospitalier.

Déjà, par le passé, la FDA et le Cert US avaient tiré la sonnette d’alarme et mis à l’index plus de 400 appareils médicaux d’une quarantaine de marques laissant à désirer sur le plan de la sécurité numérique. Plus récemment, le chercheur Billy Rios, lequel avait déjà publié des recherches sur des équipements similaires en 2013 et 2014 et provoqué l’alerte Cert susmentionnée, a dénoncé à nouveau les faiblesses des pompes conçues par plusieurs fabricants, dont notamment la société Symbiq. Au lendemain de ces révélations, les constructeurs incriminés avaient tenté de minimiser l’affaire en précisant que les interfaces de ces appareils n’étaient connectées que durant les quelques minutes nécessaires à leur réglage. L’alerte du FDA laisse entendre que ce n’est peut-être pas toujours le cas.