» Altern Securité (http://securite.zeblog.com/)
NooD
Sécurité informatique expliquée
Calendrier
| Lun | Mar | Mer | Jeu | Ven | Sam | Dim |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 | |||||
Blog
Catégories
Derniers billets
Compteurs
Liens
Fils RSS
Sécurité informatique, Linux; *BSD et Hautes technologies
Bonjour tout le monde!
Je viens de tomber sur un nouveau blog particulièrement intéressant qui traite des sujets tel que la programmation, les google API, la sécurité informatique, FreeBSD, et son how to d'installation et enfin des applications indispensables pour iTunes.
Bref que de la bonne lecture !
A bientôt ;)
Le zapping mensuel de la sécurité (janvier 2008) avec un peu de retard !
Chaque mois, les événements marquants du monde de la sécurité. En janvier : une faille à 5 milliards d'euros, la CIA crée la peur, ou l'armée britannique perd un ordinateur sensible.
|
|
|
|
En janvier aussi, des suspicions à l'encontre des autorités russes, un logiciel à disposition de la police allemande pour écouter les messages Skype, une arrestation pour cyber-attaque en Estonie et des performances de détection des rootkits perfectibles. Lire
| Lire |
La défense d'infrastructure, un échec total
Par Marc Olanié
Londres, InfoSec : «
Ce sont les données qu'il faut protéger avant tout
», martèle Phil Dunkelberger, CEO de PGP Corp. «
Toute
les tentatives qui ont consisté à consacrer la totalité des efforts à
sécuriser l'infrastructure se sont soldés par des échecs. Il y a
toujours, quelque part, une faille, une erreur humaine, un problème de
configuration ou de conception qui sera exploité par un malware ou un
intrus, depuis l'intérieur même du périmètre ou à distance. Si les
données sont protégées, quelque soit la faille que l'on découvre dans
les défenses périmétriques, le mal sera moindre ». Plaidoyer
pro
domo, sans doute, mais que confirme la mode des DLP « Data Leak
Prevention », outils « anti-fuite » d'information.
Dunkelberger reconnait que la frontière entre
l'infrastructure
et les données devient de plus en plus floue. Dans une machine
virtuelle, qui elle-même n'est jamais constituée que d'un programme et
d'un fichier disque -rarement chiffré d'ailleurs-, qu'est-ce qui relève
du domaine de la donnée ? Et le mimétisme fonctionnel pousse-t-il les
administrateurs à ne considérer que la partie « machine » au détriment
de l'aspect « fichier », les conduisant à négliger certains aspects
liés à la protection des données ? « Je n'annonce pas un «
nouveau
produit », encore moins une version alpha d'une quelconque solution de
sécurisation du poste de travail, virtuel ou non... mais je dois
préciser que nous travaillons sur cet aspect des choses, sur cette
cartographie complexe des « zones de données ». Ces temps ci,
par exemple, nous étudions tout particulièrement les récentes «
attaques contre la mémoire vive » (voir CSO du 18/04
) et envisageons les différentes manière de chiffrer certaines portions
du processus de traitement ou d'accès... ». Certaines de ces
vulnérabilités d'accès mémoire, de l'avis même des chercheurs ayant
développé ces thèses et méthodes d'attaque, pourraient être évitées à
l'aide d'un chiffrement complet du disque. Chiffrement qui est, depuis
la récente sortie de Vista et de Windows 2008 Server, une fonction
intégrée au noyau.
Cette fonction nouvelle fera -t-elle disparaitre
les dangers de ce type ? « C'est peu probable » reprend Phil
Dunkelberger. « Et
ce, principalement pour des raisons de souplesse d'administration et de
gestion des clefs. Pour l'instant, les responsables de parc n'ont pas
encore assimilé ces techniques... et l'on en revient à une question
d'infrastructure. En outre, il faut admettre que certaines bonnes
pratiques, tel le chiffrement complet des unités de stockage, se heurte
à deux problèmes. L'un lié à l'administration pure. Tout d'abord,
doit-on « tout chiffrer » au risque de ralentir les programmes, ou
chiffrer selon la fonction, au risque de se tromper sur la véritable
sensibilité des données, au risque d'alourdir l'administration de ce
puzzle de permission ? Ensuite, comment persuader les sphères
dirigeantes d'édicter des lois et cadres normatifs rendant obligatoire
la protection de ces données ? cela commence à être le cas dans la
plupart des états des USA. La Grande Bretagne suit plus ou moins. C'est
très loin d'être le cas en Europe, qui, pour l'heure, n'oblige pas les
organismes financiers et commerçants responsables de fuites
d'informations de rendre public les accidents dont elle auraient été
victimes ». Il est parfois plus simple de chiffre un disque
que de décrypter les intensions d'un consortium bancaire.
MWC : Inquiétudes sur la sécurité des services mobiles
Sur les 2.000 personnes interrogées aux Etats-Unis, au Japon et au Royaume-Uni, 63,8 % craignent de recevoir des factures supérieures à leur consommation, 64,8 % de perdre des informations, et 49,9 % d'être espionnées via Bluetooth.
Source JDN
Cartes de crédit : la puce, la banque et ses défaillances
Il y a peu de chances. Car, toujours de l'autre côté de la manche, Tudieu, l'on s'évertue à tuer ce tuyau à phynance. Pirater une carte à puce ? Mais c'est très simple,
nous expliquent trois universitaires de Cambridge, MM Saar Drimer,
Steven J. Murdoch et Ross Anderson. L'on peut, par exemple, se
contenter de la dérober et de l'expédier en des contrées où les
distributeurs ne connaissent pas la puce. Rien n'interdit non plus de
s'attaquer à un distributeur. Et laissons le pied de biche* aux brutes
épaisses : viol du clavier par injection de fluide, analyse de signaux
par attaque « carte in the middle », trépanation de terminal point de
vente (PED en breton langage)... l'équipe de Cambridge a tout essayé,
ou presque. La carte à puce, insiste le document liminaire rédigé par les universitaires,
n'est pas une garantie absolue, qu'elle soit employée pour sécuriser
des transactions bancaires, protéger un vote électronique ou contenir
le bulletin de santé d'une personne. Des vulnérabilités flagrantes
existent dans les processus de certification censés protéger l'usager.
Des processus qui sont tenus secret de tous, et dont la responsabilité
incombe directement aux organismes financiers qui les mettent en place
insistent les trois experts. Lesquels précisent que « malgré nos recherches, aucun des TPV que nous avons examiné ne devraient être retirés du service ». Ce n'est pas la carte à puce ni son lecteur qui sont défaillants. C'est la manière de les employer.
Par Marc Olanié
Attaque par autorité de certification du milieu
Par Marc Olanié
Plan MAM : bavures et piratage à tous les étages
Après un certain temps
d'intégration, les réactions se multiplient suite à l'annonce du
Ministre de l'Intérieur relative au projet de lutte contre la
cyber-délinquance. Le Parti Pirate, tout d'abord, qui jette un brûlot
aussi fougueux que dénué de contre-arguments solides. Certains experts
également, qui, bien que plus nuancés dans leurs propos, craignent
certaines dérives.
Ainsi Guillaume Lovet, responsable de l'équipe anti-menaces chez
Fortinet. Précisons avant toute chose, que Fortinet est un
équipementier spécialisé dans la fabrication d'Appliance de sécurité et
de filtrage. De ce fait, tout gouvernement souhaitant généraliser des
techniques de filtrage de contenu et de rétention d'information sur des
réseaux IP ne peut, en toute logique, que servir les intérêts de cette
entreprise. C'est pourtant un tout autre discours que nous tient le
patron de l'antenne française anti-menaces. Selon G. Lovet, le projet
possède de bons et de mauvais cotés. « Les bons aspects tout d'abord.
Car on ne peut nier qu'une action gouvernementale visant à sensibiliser
la population sur les problèmes de cyberdélinquance soit totalement
négative...
Mais c'est dans les détails que se cache le démon. « Pour ce qui
concerne les écoutes, le projet envisage d'instaurer un appareil de
surveillance encore plus intrusif qu'un autre projet mis en chantier en
Allemagne, et qui a été débouté par l'équivalent des sénateurs d'Outre
Rhin. Et il est question d'en faire une loi européenne, afin de ne pas
être entravé par les arcanes des dispositifs législatifs des différents
pays membre de l'Union. D'autre part, les outils évoqués dans le projet
ne sont ni plus ni moins que des instruments de perquisition à
distance. Dans la vie de tous les jours, un acte semblable ne peut se
faire sans une commission rogatoire délivrée par un juge, et se déroule
en toute connaissance de cause de la part de l'intéressé qui, avant
tout jugement, est présumé innocent. Rien, dans l'actuel projet, ne
laisse entendre que la personne surveillée soit prévenue... tout laisse
même penser le contraire. Même pour son bien, on ne peut exécuter un
programme sur la machine d'une personne sans son consentement.
Sur la question même de l'usage d'outils intrusifs, et indépendamment
du risque non négligeable de « détournement » de ce spyware policier
par des gens mal intentionnés, on ne peut manquer de se poser la
question suivante : qu'en est-il de la recevabilité des preuves
contenues sur le disque dur de l'individu suspecté ? Si, de facto, ce
composant a fait l'objet de modifications volontaire AVANT toute saisie
et inculpation, rien n'interdit d'imaginer que d'autres éléments y
aient été également introduits. La question se pose déjà à l'heure
actuelle : peut-on accuser quelqu'un sur la seule preuve des éléments
contenus sur un disque, sachant que les fichiers et journaux peuvent
avoir été modifiés ou refléter l'activité d'une toute autre personne
ayant utilisé l'ordinateur de manière illégale.
Ouvrons ici une parenthèse pour rappeler une jurisprudence Britannique
qui a relaxé un accusé, la défense ayant argué du fait que les accès
WiFi du présumé coupable étaient aisément piratables, reflétant en fait
l'activité d'une personne inconnue. Il serait dangereux de confondre la
machine et son propriétaire. Il serait également tout aussi dangereux
et considérablement plus injuste de considérer comme responsable un
utilisateur informatisé sous prétexte qu'il « devrait savoir se
protéger » ou qu'il « a été largement averti ». La sensibilisation est
la vache à lait de bien des consultants en informatique, d'autant plus
intarissable qu'elle est réputée ne pas être efficace.
Guillaume Lovet continue : Les statistiques que nous établissons
régulièrement et qui mesurent l'activité des botnet sont la preuve
indiscutable que cette hypothèse du « troisième homme » est très
courante et que la sensibilisation de l'usager est une notion très
fluctuante : les postes zombie sont une réalité du monde internet, et
il semblerait qu'il y ait pratiquement autant de « victimes » dans le
milieu professionnel que dans le parc grand public (ndlr : pour être
recevable, le « spyware MAM » devrait donc paradoxalement être capable,
avant toute chose, de « désinfecter » le disque cible avant de débuter
son travail d'investigation)
Il faut également, pour que ces outils de surveillance et
d'intervention à distance soient efficaces, que les développeurs
travaillant pour le compte des organismes policiers puissent obtenir le
secours des professionnels de la sécurité. En d'autre terme, que le
programme implanté à distance soit rendu invisible et non détecté par
les principales passerelles de sécurité du commerce. Un point qui pose
de sérieux problèmes déontologiques aux spécialistes du milieu. Passons
également sur la technicité de l'opération, sur la compétence du juge
en matière d'outils intrusifs, même sui celui-ci se fait seconder par
des experts.
Sur la question du filtrage du contenu par les fournisseurs d'accès, le
précédent du site négationniste Aaargh prouve combien de telles mesures
sont illusoires. La procédure de banissement s'est avérée longue et
difficile. Et une fois décrétée par jugement, ses effets ont été nuls,
puisqu'il a suffit aux administrateurs de déplacer l'ébergement du site
en dehors de la juridiction Française. Ceci sans présumer du fait que
ces mesures sont contournables par les usagers eux-mêmes (ndlr, en
utilisant des proxy chiffrés notamment). Et puis, peut-on entendre de
telles propositions sans instinctivement penser à ce qui se passe en
Chine ou en Birmanie ? En fin de compte, quel type d'internaute ces
mesures sont-elles censées protéger ? »
Viennent ensuite les exemples de la « vraie vie », celle qui prouve à
quel point il y a loin entre la loi et son application. A commencer par
l'inévitable bévue technique, telle que celle rapportée par
l'Electronic Frontier Foundation et commentée par Steve Bellovin : en
demandant l'aiguillage des emails d'un suspect, le FAI chargé de
l'opération a expédié au FBI la totalité du courrier électronique ayant
transité sur le domaine . Une pierre dans le jardin de tous les
chantres qui psalmodient le mantra « ca n'arrivera jamais ». Bellovin
revient d'ailleurs sur certains problèmes épineux posés par le système
d'espionnage Carnivore. Lorsque l'annonce officielle de cet outil avait
été faite, les principaux éditeurs de logiciels anti-virus américains
avaient officiellement annoncés qu'ils sauraient diplomatiquement
ignorer la présence de cet outil s'il venait à être détecté. Une
déclaration qui, à l'époque, avait provoqué une très nette réaction des
entreprises européennes à l'égard de Symantec notamment. Il semble tout
à fait logique qu'un « spyware MAM » nécessite, pour qu'il soit
efficace, une « collaboration » (au sens sinistrement historique du
terme) des principaux éditeurs et équipementiers du monde de la
sécurité. Est-ce pensable ? Pas sur. Car cela équivaudrait à forer un
trou béant dans l'intégrité des architectures de défense périmétriques.
Qu'un pirate parvienne à retrouver la trace de ce genre de code, et il
disposera d'une arme formidable : un passe-partout donnant accès au
réseau local de toute machine protégée avec un firewall « MAM Aware ».
Le business d'un éditeur d'antivirus, d'un fournisseur d'UTM, c'est
avant tout de vendre de la confiance. En obligeant l'industrie à
collaborer à des opérations de basse police, le Ministre de l'Intérieur
demande implicitement à ces entreprise de se décrédibiliser
elles-mêmes. Est-ce concevable ?
Il n'y a pas de bon code intrusif. En confondant la motivation et les
mécanismes techniques, un « gentil virus » ou un « spyware sympa » peut
provoquer d'importantes dérives. Car, bon ou mauvais, un logiciel
d'espionnage est avant tout un logiciel, une oeuvre humaine,
susceptible d'erreurs, erreurs qui sont potentiellement exploitables.
Par le plus grand des hasards, c'est le New Scientist qui remet ce
sujet sur le tapis en rapportant une hypothèse de travail qui aurait
été émise par un chercheur de Microsoft travaillant à Cambridge : il ne
peut exister de meilleur remplaçant à Microsoft Update ou à SUS Server
qu'une rustine à propagation automatique. Autrement dit, le virus
guérisseur. Security Focus se lance dans l'historique de cette
fausse-bonne idée : Dave Aitel en 2006, les labos de Hewlett Packard en
2004, Vesselin Bontchev, dans le cadre de la chasse aux virus, en 1994,
jusqu'au premier « raté » de l'histoire des correctifs automatiques qui
tournent à la catastrophe, la fameuse mise à jour de pilote commentée
par mm John Shoch et Jon Hupp du Parc, en 1982. Le tableau ne serait
pas complet si l'on oubliait Welchia, l'anti-MS-Blast, qui généra plus
d'encre journalistique et de trafic IP qu'il ne nettoya réellement
Internet, ou le rootkit gratuitement diffusé par Sony, là encore un «
gentil outil d'attaque militant pour le mieux-être sécuritaire » des
éditeurs, un rootkit dont le reverse engineering a mis en évidence de
nombreuses possibilités d'exploitation. Qu'il soit auto-propagé ou
installé « à la demande », un outil intrusif est une faille. Tout comme
est une faille le VPN « secret » installé par une société de
maintenance qui ne souhaite pas s'enquiquiner avec des procédures
complexes. Ce que l'on ne peut accepter d'une SSCI un peu indélicate
sur le respect des règles de sécurité, peut-on l'admettre de la part
d'un gouvernement ?
Et le premier virus.... n'est plus un virus
par Marc Olanié (securite.reseaux-telecoms.net)
XSS pour les nuls, inutilités indispensables
Autre « information utile », ce coup de chapeau que les gens de
l'Avert Lab McAfee adressent à un programme -fonctionnant sous Windows-
qui vient de « passer Open Source »: FAR.
Il s'agit d'un environnement spécialisé dans la gestion et la
manipulation de fichier (on appelait çà un « shell dos » autrefois,
bien que la notion de « shell » en soit un peu éloignée). Far est l'un
des nombreux clones du célèbre Norton Commander, conçu par John Socha,
et possède de célèbres cousins, dont Midnight Commander, Total
Commander ou Krusader.
Encore un utilitaire d'importance : la version 5.0 stable et finale de TrueCrypt, outil de chiffrement de disque dur
sous Windows -Vista et UDF y compris-, Mac OS X et Linux. Il s'agit
d'un programme Open Source, qui protège l'intégralité d'un disque,
zones de swap et de démarrage y comprises. Tout çà gratuitement. Les
versions précédentes 4.x ont été utilisées depuis plus d'un an par la
rédaction de CSO sans la moindre incompatibilité.
Faille XP SP2, PoC épique et french touch
Sans vouloir jouer les cassandres, rappelons simplement que l'alerte Microsoft est estampillée 08-01, autrement dit celle du « patch Tuesday » du mois de janvier, vieille de deux ou trois semaines. Que cette période est située « dans la fenêtre de vulnérabilité » maximale. Donc, après avoir éliminé le parc de machines utilisant la procédure d'application automatique de correctifs, l'on peut considérer que bien des systèmes sont encore vulnérables : ceux dont la mise à jour n'est pas possible de manière automatique (Windows update désactivé ou Microsoft Update « gelé ») et ceux pour lesquels l'application de la rustine est retardée (conformément au calendrier d'analyse de régression de certaines entreprises).
Source : securite.reseaux-telecoms.net -par Marc Olanié
Firefox, les pieds chromés
Source : securite.reseaux-telecoms.net -par Marc Olanié
Vista, la comptabilité des trous
Four thousand holes in Blackburn, Lancashire
And though the holes are rather small
They had to count them all
Car compter les trous, comparer les failles, estimer ce qui relève de l'inventaire des erreurs de conception propres au noyau ou au navigateur Windows
est une coutume chez Microsoft. Une coutume et un travail intéressant
tant que l'on se concentre sur l'analyse et la constatation des
chiffres, pour notamment en tirer des conclusions sur les erreurs les
plus fréquemment commises ou les zones considérées comme régulièrement
vulnérables. Utiliser cette sinistre comptabilité pour en tirer des
conclusions hasardeuses sur la plus grande solidité de tel ou tel noyau
relève de l'interprétation fantaisiste. Dans la catégorie des
comptabilités utiles aux SSI, l'on pourrait demander à Jeff Jones une
étude comparative sur la compatibilité des périphériques et programmes
sur les noyaux 64 bits par exemple.
Source : securite.reseaux-telecoms.net -par Marc Olanié
Qui souhaite embaucher le plus grand hacker de France ?
La lettre du patron berné, en revanche, est nettement moins triomphante. Un volet destiné aux clients, l'autre s'adressant aux actionnaires, nous apprend que « Les failles des procédures de contrôles ont été identifiées et corrigées pour éviter tout nouveau risque de nature comparable ». Une action corrective qui intervient 48 heures après la découverte officielle de la fraude, voilà qui relève de l'exceptionnel. Surtout lorsque l'on apprend que « Les transactions sur lesquelles la fraude a porté étaient [...] dissimulées par des techniques extrêmement sophistiquées et variées ». Soit l'équipe de sécurité de la SG est le digne enfant du Cid et de Rambo réunis, soit ce communiqué à la Pyrrhus n'est qu'un exercice dialectique qui confirme le désarroi de l'équipe dirigeante.
Mais que va-t-on faire de Mr Kerviel, une fois purgée sa peine de prison ? Une question que soulève Bruno Kerouanton. Il y envisage les principaux scénarii qui concerneront l'avenir du Trader indélicat au sortir de prison : expert financier spécialisé dans la fraude aux marchés financiers auprès de deux employeurs potentiels, soit pour le compte d'une mafia européenne, soit pour celui de Bercy, de la Place Beauvau ou de son ancien employeur.
L'hypothèse Bercy est peu probable, puisqu'une telle embauche serait considérée politiquement comme un pas de clerc.
L'ancien employeur -la lettre de Monsieur Daniel Bouton semble clairement le confirmer-respectera jusqu'au bout l'école dogmatique des banques françaises : un Non catégorique à la question « would you hire a hacker ». Une attitude qu'il faudra très probablement assouplir car, à force de souhaiter étouffer les plus petites escroqueries et ignorer les pratiques de basse police dans le but de ne pas entamer la sacro-sainte « confiance », l'image de marque des institutions financières nationales a pris depuis quelques temps un sérieux coup de vieux. Ajoutons enfin qu'une entreprise de sécurité ou une institution financière ne peut, en France, croire un instant à l'idée même de rédemption. C'est probablement là tout ce qui fait la différence entre le système américain et l'école de la vieille Europe. Aux Etats Unis, l'on de pose effectivement la question de savoir s'il est « politiquement correct » d'engager un pirate repenti. Mais l'on accepte aux tables de conférences du CSI-FBI des Abagnales, des Mitnick, des Poulsen, et personne ne s'offusque de voir adulé comme le Messie un Steve Jobs dont la carrière repose sur la commercialisation quasi industrielle de boitiers de piratage de facturation téléphonique. La rédemption est-elle une notion purement calviniste ?
Restent donc la Place Beauvau ou un « cousin russe ». Qui, des deux, sera le premier à exploiter les talents du présumé coupable ? Et, question subsidiaire, peut-on espérer un jour lire le rapport d'analyse des commissions SSI qui sont très probablement en train de se mettre en place aujourd'hui ?
Source : securite.reseaux-telecoms.net - par Marc Olanié
Internet Explorer est plus sûr que Firefox !
Bien
évidemment cette assertion est imputable à un Microsoftien convaincu,
qui avait déjà fait parler de lui lors de la publication d'un rapport
démontrant la prédominance sur le plan sécuritaire de Vista par rapport
aux autres OS. 
Jeff Jones, Directeur Stratégie Sécurité du groupe Trustworthy Computing chez Microsoft, a décidément un goût prononcé pour la polémique. En juin dernier, Jones publiait un rapport
affirmant que Windows Vista était plus sécurisé que son prédécesseur XP
et encore plus que Mac OS X et autres distributions Linux. La
méthodologie de Jones n'avait cependant guère plu, d'aucuns prétextant
que son champ d'étude couvrait une période peu significative de 6 mois.
Peu importe, Jones jouait la provocation et sûr de son fait, mettait à
l'épreuve quiconque de démontrer avec une même rigueur le contraire.
Oups, Jones did it again !
Dans le même esprit, Jones récidive avec une publication mettant en confrontation le navigateur Open Source de Mozilla, Firefox, et celui propriétaire de Microsoft, Internet Explorer, pour une conclusion similaire via l'appui de données collectées depuis trois ans.
Dans son nouveau rapport, Jones explique que Mozilla a corrigé 199 vulnérabilités
de sécurité depuis le lancement de Firefox 1.0 en novembre 2004, parmi
lesquelles 75 relatives à des problèmes critiques, 100 vulnérabilités à
la dangerosité qualifiée de moyenne et enfin 24 de faible importance.
Au cours de la même période, ce total a atteint 87 pour Internet Explorer dont 54 vulnérabilités critiques, 28 moyennes et 5 de faible importance.
Plus que ces simples données brutes, notre expert en sécurité
informatique ne manque pas de souligner qu'actuellement les mises à
jour de sécurité de Mozilla ne s'adressent plus exclusivement qu'à
Firefox 2.0. Et pour cause, le support de la branche 1.5 a pris fin.
Jeff Jones critique ainsi la politique de Mozilla en la matière avec un
support d'une durée moyenne de 6 mois pour une ancienne version suite à
la sortie de son successeur, et d'observer que si Microsoft avait agi
de même, celui de IE6 aurait connu son terme en mai 2007.
Jones ne fait toutefois pas que distribuer des mauvais points à Mozilla
et reconnaît que la sécurité s'est grandement améliorée dans les
dernières versions d'Internet Explorer mais aussi de Firefox. Selon
lui, l'arrivée de Window Snyder en tant que chef de la sécurité pour
Mozilla Corp. y a fortement contribué. Il faut dire que Jones aurait du
mal à critiquer Snyder, elle qui a participé à la finalisation du
Service Pack 2 de Windows XP et Windows Server 2003 avant de " passer
chez l'ennemi ". Se faisant, pour Jones, l'idée reçue selon laquelle
Internet Explorer est affecté par plus de vulnérabilités que Firefox ne
tient plus, et le fureteur au panda rouge n'est pas plus sûr que IE.
Il va s'en dire que la communauté Mozilla ne partage pas du tout cette analyse qualifiée de vide de sens. Mike Schroepfer, vice-président de Mozilla Corp., indique
par exemple que bien plus qu'un décompte de bugs, ce qui est vraiment
important est de savoir s'ils constituent un risque réel pour
l'utilisateur. Par ailleurs, il n'omet pas de rappeler l'affaire
rocambolesque de la faille dite de l'URI,
pour laquelle un discrédit avait été jeté sur Firefox alors que le
coupable était Internet Explorer 7, et il aura fallu trois mois à
Microsoft pour l'admettre.
D'autres tenants de Firefox mettent en avant la transparence de Mozilla
qui communique ouvertement sur les vulnérabilités identifiées
contrairement à Microsoft. Forcément, cela a une influence sur le
décompte final. Mais bien plus encore, la réactivité de la communauté a
fait ses preuves avec en outre un système de mise à jour automatique
réactif et efficace afin de permettre l'application rapide des
correctifs conçus. Face à cela, Microsoft ne peut objecter qu'un cycle
de correction éventuellement mensuel, pas toujours suivi par les
utilisateurs.
Le rapport Browser Vulnerability Analysis of Internet Explorer and Firefox de Jeff Jones
http://blogs.technet.com/security/attac … 94822.ashx
Source : vulnerabilite.com
Ta carte bleue en string sur le Net
Si ces contre-mesures bancaires peuvent assoupir certains lecteurs, Netcraft nous propose un grand roman d'aventure, de riposte et de machiavélisme avec cet « outil de phishing pour phisher les phishers ». La mode étant aux outils de hack prêts à l'emploi, certains auteurs n'hésitent pas à insérer dans leurs « kits de malwares » -vendus fort chers au demeurant- une routine de redirection expédiant discrètement le résultat de la pêche miraculeuse dans une boite email leur appartenant. A l'insu de leurs clients, faut-il le préciser. Dans le pire des cas, ce seront les apprentis phishers qui se feront poursuivre pour pollupostage ou tentative de vol d'identité, tandis que, discrètement, l'auteur du kit gagnera sur les deux fronts.
Par Marc Olanié
Vulnérabilité de type spoofing dans Firefox
Un
chercheur en sécurité israélien a identifié dans la dernière mouture du
navigateur Web de Mozilla, une vulnérabilité de type spoofing
susceptible de mettre en péril les identifiants des utilisateurs.
Le chercheur en sécurité
Aviv Raff, découvreur de failles émérite qui avait révélé l'existence
de la première vulnérabilité affectant le navigateur Safari d'Apple
pour Windows quelques heures seulement après son lancement, fait encore
parler de lui en ce début d'année. Selon Raff, c'est cette fois-ci le
fureteur de Mozilla qui est victime d'une vulnérabilité de type spoofing.
Via l'exploitation de cette dernière, un attaquant peut mener des
attaques par phishing et leurrer un utilisateur afin qu'il saisisse ses
identifiants dans une boîte de dialogue faussement légitime.
Lors d'une consultation, quand un serveur Web retourne un code 401 et
l'en-tête WWW-Authenticate pour préciser le schéma d'authentification
et la zone pour laquelle cette autorisation est nécessaire, Firefox
affiche une boîte dialogue destinée à recueillir le nom d'utilisateur
et le mot de passe. Avec la méthode dite " Basic ", seul le paramètre Realm
de l'entête WWW-Authenticate qui sert à identifier le domaine de
protection, est nécessaire et ce dernier sera affiché dans la boîte de
dialogue. La vulnérabilité de Firefox se situe au niveau de ce paramètre Realm
qui dans certains cas n'est pas correctement traité et toujours d'après
Aviv Raff, cela pourrait permettre à un pirate d'afficher une boîte de
dialogue malicieuse demandant la saisie d'identifiants en se
revendiquant d'un site de confiance.
S'il na pas publié de preuve de concept, Aviv Raff a tout de même mis en ligne une vidéo de démonstration
du problème. Dans le cadre d'un scénario typique d'attaque, un pirate
crée une page Web avec un lien renvoyant vers un site de confiance
comme un site bancaire, un webmail. Lorsque la victime clique sur le
lien, la page sûre est ouverte dans une nouvelle fenêtre et un script
est exécuté pour rediriger cette fenêtre vers le serveur Web de
l'attaquant qui va retourner la boite de dialogue spécialement conçue
évoquée précédemment, et apparemment liée au site pour l'utilisateur.
Cette vulnérabilité critique affecte la dernière version 2.0.0.11
de Firefox et probablement les versions antérieures. D'autres produits
de la Fondation Mozilla sont également susceptibles d'être affectés.
Pour éviter toute déconvenue et dans l'attente d'un correctif de
sécurité, Aviv Raff recommande tout simplement de ne pas fournir son
nom d'utilisateur et son mot de passe sur des sites où une telle boîte de dialogue apparaît.
Source : vulnerabilite.com
Comment espionner du GSM, par le CCC
Les conférences intéressantes,
passionnantes même, il ne fallait pas les attendre dans les salons de
Las Vegas, mais, cette année encore, autour des piquets de tentes et
des sandwichs humides du CCC Camp. Et notamment cet exposé de Steve
Schear et David Hulton qui, cela faisait déjà quelques semaines que
l'affaire transpirait, se sont attaqués à l'espionnage du réseau GSM à
partir d'un poste mobile. Un double problème, puisqu'il s'agit d'une
part d'émuler totalement un système d'écoute compatible avec le type de
modulation du réseau cellulaire, et d'autre part de s'attaquer au
mécanisme de chiffrement A5 qui verrouille le contenu des informations
transportées. Le hacking du A5 est un projet qui, pour sa part, devrait
mettre en oeuvre un « broyeur » de code comptant 27 fpga spécialisés et
des Rainbow Tables utilisant une table de plus de 6 To. Dans un premier
temps, les deux chercheurs ont utilisé un Nokia 3110 en mode Trace,
histoire de s'attaquer au décodage des trames (vidéos et transparents
disponibles dans les archives média de la DefCon )
Coté réception , le projet repose sur la platine bien connue de Matt
Ettus, l'USRP, une tête de réception minimaliste (downconverter DBSRX)
injectant directement le fruit de sa conversion sur un FPGA rapide.
C'est ce FPGA qui devra se charger de tout le travail de démodulation
et de filtrage, par simple application de fonctions mathématiques. Le
reste du travail « n'est que » la compilation de modules logiciels
agissant précisément au niveau de cette sorte de « super carte son ».
Les briques logicielles les plus connues sont celle fournies par la
bibliothèque Gnu Radio, -l'on retrouve également quelques travaux de
l'institut Fraunhofer-. Quant à l'intégration des deux composantes
logicielles et matérielles dans le cadre de ce « hack GSM », on en
trouve les détails sur le Wiki de THC (à consulter vite avant une
descente de police). La platine d'Ettus et son downconverter utilisés
dans le cas présent ont l'avantage de bénéficier d'une bande passante
traitée de 1 à plus de 60 MHz, ce qui lui donne la possibilité de
s'attaquer aux transmissions « spread spectrum », TV HD, réseaux sans
fil divers, émetteurs à saut (ou agilité) de fréquence etc etc. Cette
base matérielle accuse toutefois le poids des années, et l'on peut
sérieusement regarder du coté des travaux de Phil Covington et du
projet HPSDR qui devrait assurer la relève.
Un charabia qui simplifie l'espionnage radio
Les spécialistes nous pardonneront les imprécisions et le simplisme des
explications qui suivent, mais elles sont nécessaires pour saisir
l'importance des travaux mentionnés ci-avant.
Les transmissions radio reposent sur un principe très simple : pour
transporter une information, il suffit de « mélanger » ladite
information avec un signal (la porteuse) capable de voyager d'un point
à un autre en vertu des principes radioélectriques. En d'autres termes,
effectuer une sommation d'un signal basse fréquence (la voix par
exemple, entre 20Hz et 20 kHz) et haute fréquence (à tout hasard, une
dizaine de MHz). Se pose alors un problème : il est impossible, pour
des raisons purement technologiques, d'extraire directement le signal
de modulation -l'information à proprement parler- du « mélange » haute
fréquence ainsi obtenu. A la réception, il est donc nécessaire de «
convertir » ce produit de mélange haute fréquence en une fréquence plus
basse, afin de pouvoir la travailler correctement : l'amplifier tout
d'abord, puis la filtrer des parasites et signaux d'autre nature, puis
la démoduler à l'aide d'un étage spécifique. Ce changement de fréquence
s'opérait jusqu'à présent en deux, voir trois étapes successives
(réceptions superhétérodyne), chaque type de modulation nécessitant la
présence d'une électronique très particulière, dédiée et complexe :
démodulateur de Foster Seeley dans le cas de la FM, détection par diode
en AM, déphaseurs divers ou convertisseurs A/N dans le domaine des
modulations « numériques »...
Depuis 5 ou 6 ans à peine, l'on a commencé à décaper ces habitudes
vieilles de 100 ans. Grâce aux synthétiseurs de fréquence moderne, les
notions de réception superhétérodyne sont remplacées par un unique
changement de fréquence. C'est la « synthèse directe », qui restitue
directement le signal modulé dans une plage de fréquence compatible
avec les convertisseurs analogiques/numériques contemporains (une carte
son moderne peut travailler sur des signaux de 192 kHz, et non plus le
simple spectre audio « HiFi » de 20 à 20 000 Hz).
Il devient alors très tentant d'éliminer l'électronique complexe de «
démodulation », pour la remplacer par un traitement mathématique du
signal . Autrement dit, un ordinateur. Les Processeurs de signaux, les
logiciels de filtrage du son, les CPU dédiées capables de calculer des
Transformées de Fourrier Rapides, l'apparition des processeurs « Dual
Core » débordant de puissance sont autant d'accessoires qui
transforment le moindre PC de bureau en récepteur (et émetteur) capable
de décoder n'importe quel type de modulation. Là où un ingénieur
électronicien devait, des mois durant, travailler sur l'élaboration
d'un prototype délicat, un bon développeur peut, en quelques heures, «
entendre » ce qui est transmit. D'autant plus aisément d'ailleurs que
les informations transmises de nos jours sont de plus en plus d'origine
numérique, et donc directement digérées par les postes de travails
modernes.
En vulgarisant à l'extrême, un récepteur radio de ce type -ce que l'on
appelle une « software defined radio », ou SDR-, c'est un peu comme un
« WinModem » : une électronique de réception très embryonnaire, tout
juste destinée à rendre compatible un signal modulé avec les interfaces
classiques d'un ordinateur. Tout le reste n'est que travail logiciel
situé en aval de cette vulgaire interface.
Le danger se cache dans les détails
Le principe des SDR implique au moins deux idées capitales.
- En premier lieu, plus rien ne distingue le principe de fonctionnement
du « récepteur ondes longues de grand père » et du dernier gadget genre
iPhone : une unique tête de réception universelle -telle celle de Matt
Ettus- et quelques programmes qui tournent en mémoire. Sur un même
écran, l'on reçoit alors les derniers potins de RTL ou de Radio Free
Europe, et l'on surveille le trafic WiFi du voisin et les SMS de la
petite dernière.
- Ensuite, il parait évident -c'est déjà en grande partie le cas dans
le domaine de la téléphonie mobile- que la souplesse des développements
logiciels associés à la monté en puissance des processeurs embarqués
est en train de nous apporter des appareils de plus en plus «
universels ». Rien n'interdit d'imaginer de voir, à partir d'une même
base électronique, des outils multi-protocoles : WiFi, Bluetooth, GSM,
GPRS, GPS, FM, AM, Talky-Walky familiaux sur 430 MHz... non plus, comme
c'est encore le cas de nos jours, par le biais de circuits intégrés
dédiés, mais en utilisant des ajouts de firmware. Vous désirez France
Info sur votre Nokia Quarante-douze ? Cochez la souscription ci-jointe,
une applet va se télécharger.
On entend d'ici les quelques « virus C0d3rZ » se frotter les mains, et
les vendeurs de sécurité périmétrique mobile se réserver la Suite
Princière du Hilton de Hawaï. Le premier problème de sécurité lié à la
« softisation » des terminaux sans fil, mobiles ou non, est avant tout
une question d'intégrité du host, de son patrimoine logiciel.
On entend surtout les grands opérateurs se creuser les méninges pour
tirer quelqu'argent de tout cela. Car un jour prochain, le plus petit
appareil de téléphonie sera capable de détecter et d'exploiter le «
premier réseau accessible », en fonction d'un routage en « least cost
routing ». Une très timide tentative d'Orange permet à ses abonnés «
mobiles » d'utiliser un wormhole VoIP/Wifi pour passer des
communications « gratuites » via les LiveBox de sa branche Internet.
Demain, ce pourrait-être Crétin.fr qui ouvrira le support des
communications relayées par Bluetooth, ou qui sera capable de faire du
« roaming » sur les réseaux Mesh d'un opérateur alternatif. Avec cette
gratuité certaine des communications, il faudra s'attendre à un
renchérissement du prix des « abonnements » et une multiplication des
découpages de services à la carte. Les radios logicielles ont un prix,
même si les applications relèvent en partie de l'Open Source.
Mais il y a plus préoccupant : les porosités de l'infrastructure.
Puisque le principe des SDR est symétrique (en d'autres termes, une
simple électronique de « mélange » peut transformer un ordinateur
portable en émetteur), il n'est pas interdit d'imaginer des réseaux de
transmission auto-adaptés, multiprotocoles et multifréquences. Un bout
de soft, et hop, on monte une radio libre. 2 compilations de libs Gnu,
et voilà une station de télévision sur le même appareil. Qui a besoin
d'un transpondeur WiMax ? Le programme est disponibles sur abonnement à
l'adresse www. Sofmax. Com ! Nos services vous proposent également les
standards GSM, Tetra (options police et pompiers). Pour trois « libs »
achetées, la quatrième est gratuite durant notre grande période de
promotion estivale !.
Science fiction ? Pas franchement. Pas du tout, même, explique Joseph
Mitola, le « père » des réseaux de radios cognitives. Une « vision »
qui notamment retient l'attention des militaires et des principaux OEM,
lesquels dépensent des milliards d'Euros en recherche et développement
pour être les premiers à maitriser ce mélange détonnant. Et l'on
comprend tout à coup pourquoi cette présentation du CCCCamp revêt une
importance particulière. Car le jour où des services commerciaux
proposeront des passerelles entre un réseau et un autre, de WiFi à GSM,
de 3G à Tetra, de Bluetooth à Wimax ou d'un quelconque ATM Wireless
vers un supposé T1/E1 sans fil, il sera nécessaire d'assurer une
sécurité absolu des transmissions, sans manquement ni ajout de « bruit
de fond » lié à la traduction des protocoles . Une quête du Graal
pratiquement impossible à assurer. Non pas parce qu'il sera possible
d'écouter ce qui se dit sur les ondes grâce aux descendants des SDR à
base de GnuRadio, mais plus simplement parce qu'il deviendra de plus en
plus compliqué de maitriser la cohérence des translations successives,
de vérifier les mécanismes de verrouillage interdisant l'exploitation
de fonctions spéciales prévues pour un médium et absentes d'un autre.
Le démon est dans les détails, dans la façon avec laquelle un ACK est
transmis d'un réseau à l'autre, dans la manière de convertir une couche
de chiffrement WPA en A5. Comment une instruction « non-conforme »
(forgée) acceptée par tel protocole sera autorisée ou rejeté par la
prochaine passerelle de traduction ? Et peut-on garantir l'intégrité
des couches de sécurité lorsque l'on sait que l'information risque de
transiter par 5, voir 6 médiums de nature différente ? Et, ce qui est
plus préoccupant, lorsque l'on prend conscience que cette même
information transitera également par 5 ou 6 opérateurs différents, dont
la nationalité, les méthodes de travail, les intérêts financiers et
politiques risquent d'entrer en totale opposition avec certains de
leurs « confrères ».
Les premiers hackers qui se passionnaient pour les arcanes des
passerelles smtp/X400 « haute époque » connaissent fort bien le
principe des bugs provoqués par les ruptures de mécanismes de
transmission. Lorsque l'on utilise tous les jours des « protocoles
normés » soi-disant universels -html, xml, smtp, DNS- dont les
multiples variantes, évolutions et « améliorations » constituent autant
de failles bien réelles, il n'est pas difficile d'imaginer ce que sera
ce monde d'hétérogénéité universelle débridée. Voilà pour la couche «
niveau 3 à 7 ». Pour ce qui concerne les couches 1 à 2, autrement dit
les conflits politico-techniques des entreprises chargées d'assurer le
transport, la récente affaire Blackberry, que résume notamment Sportet,
n'en est qu'un exemple parmi d'autres moins connus.
Ajoutons enfin, toujours en vertu du principe de symétrie des SDR, que
l'attaquant -ou écouteur indiscret-, peut également émettre à son tour
des informations et intoxiquer sa cible. Et contrairement au monde des
réseaux cuivre, un host purement radio n'est caractérisé que par très
peu de choses. Il peut se substituer à un émetteur officiel et légal,
sans que le moindre doute puisse naître dans l'esprit de
l'Administrateur de réseau (classique schéma de l'attaque « man in the
middle »), il peut également injecter des trames étrangères semblant
provenir d'un correspondant authentifié, et dénaturer la donnée
originelle. Signalons tout de même que l'on commence à voir apparaître
des programmes d'analyse de signature du spectre propre à un émetteur
donné (analyse en « time domain ») qui s'avère un peu plus fiable (et
totalement impossible à « spoofer » dans l'état actuel de la technique)
qu'un couple MAC/IP.
La bonne nouvelle, c'est que l'on commence à parler de tout çà. Car
Steve Schear et David Hulton ne sont que l'avant-garde d'une nouvelle
génération de Hackers -au sens noble du terme- qui sauront associer
avec intelligence électronique et développements. Ce travail de
recherche est, paradoxalement, un bien. Car il est indiscutablement
plus prudent de connaître autrement que par des « on dit » et des
craintes infondées, les dangers d'un ensemble de technologies que nous
serons tous amenés à utiliser tôt ou tard. Des technologies qui
risquent de nous être présentées comme « absolument inviolables » par
des marchands de bande passante associant, comme à leur habitude,
profits à court terme et sécurité par l'obscurantisme.
Par Jeremy Amiot - source Reseaux-Telecoms
Le premier virus syllogistique est né
Si le scénario catastrophe est utile et bénéfique, car contribuant à bannir le protocole Wep de toute installation, il mélange allègrement des choux et des navets. La densité du réseau n'implique pas que les noeuds adjacents soient systématiquement fragilisés par une crédence « par défaut » ou un algorithme de chiffrement antédiluvien. En outre, la mode des virii à propagation aveugle est une histoire ancienne. Idée d'autant plus ridicule que le principal avantage d'un réseau WiFi, c'est précisément de ne pas se propager, de cerner avec précision un ou plusieurs postes de travail facilement identifiables... un rêve de pirate une thébaïde pour spécialistes du détournement d'informations ciblées. Ajoutons enfin que les lois de la propagation, pour qui s'est intéressé aux règles de routage dans un milieu aussi capricieux que celui de la radio, rendent quasi nulles l'efficacité d'un tel code destructeur. Sans oublier la complexité du programme de propagation qui devra à lui seul contenir tout ce que doit faire un réseau « mesh » : découverte automatique des « proxy » radio, adaptation aux modes ad-hoc ou infrastructure, aux protocoles 11a, b, g, n etc, aux spoofing d'adresses mac... Il y a beaucoup plus à craindre des écoutes passives effectuées sur tout un spectre de fréquences et pointant un secteur géographique très précis. Le véritable danger du sans-fil est plus là que dans l'abracadabrante possibilité d'une infection complexe cherchant à faire du sans fil pour du sans fil.
Par Marc Olanié (RT)
Banque et très populaire à la fois
Par Marc Olanié (RT)
Cracks sans-fil en images
- réception de la fréquence considérée - c'est pour çà que les platines radios logicielles ont été inventées-
- d'alignement massif de processeurs dédiés
- le tout associé à des dictionnaires d'attaques oscillant entre 2 et 28 To...
Dans le cas présenté, les processeurs massivement parallèles sont constitués par une armée de FPGA. Les lecteurs qui seraient rebutés par les explications mathématiques peuvent se précipiter directement aux pages 91 et 92 du document, ou l'on voit la photographie d'un rack 19 pouces pouvant aligner 77 FPGA orchestrés par 2 Intel Quad Core, 8 Go de ram et 6 To de disque stockant les dictionnaires. Le tout équivaut à la puissance de traitement d'environ 400 000 CPU traditionnelles. Ce que peut imaginer s'offrir un petit groupe de chercheurs passionnés est à la porté des bourses d'un « groupement d'intérêt économique » motivé par un retour sur investissement conséquent. Un jour arrivera ou des opportunités du calibre de TJX seront de plus en plus difficiles à dénicher. Et tant que les gains espérés seront des milliers de fois plus importants que ce que coutera un tel investissement technique, il faudra s'attendre à ce que de telles « usines à gaz » soient utilisées comme moyen offensif. Ajoutons également que le prix des FPGA dégringole chaque jour.
Par Marc Olanié (RT)