Spécial sécurité : Attaque BGP « spontanée »… quand l’APT est endémique

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur l’épisode fâcheux qui a frappé les routeurs Juniper et paralysé une partie d’Internet. Ils évoquent ensuite la création d’une filiale sécurité chez Nagra, puis rappellent de quoi était fait le Tuesday Patch du mois chez Microsoft, tout en pointant du doigt certains bugs Apple.

Sommaire
1 - Attaque BGP « spontanée »… quand l’APT est endémique
2 - Nagra Kudelski dans la sécurité réseau… « par prudence »
3 - Pansements, attaque Chuck Norris contre Windows, méthode Coué Apple

1 - Attaque BGP « spontanée »… quand l’APT est endémique
La journée du 7 novembre a été marquée par quelques remarquables interruptions de services et divers plantage de connexions. La raison : des requêtes BGP un peu particulières, assez particulières pour ne pas être digérées par certains routeurs Juniper, explique Stéphane Bortzmeyer sur son blog. Une attaque Scada lancée par les phalanges noires de l’Empire du Mal et de l’AntiFrance ? Que nenni ! Manifestement rien de malicieux à l’origine mais les conséquences furent loin d’être négligeables, forçant pas mal d’équipements à effectuer un core dump sauvage.

Stéphane Bortzmeyer rappelle que des accidents comparables sont déjà survenus, affectant surtout le matériel Cisco. L’on pourrait également rappeler les états d’âme de certains DNS ou (le fait devient plus rare heureusement) les salades de restauration des fichiers de domaines des serveurs root ou de top level domains com, org, edu etc. Ces « APT » sans Chinois, ces attaques Scada sans attaquant, ces trames terroristes plus efficaces qu’un bataillon d’Anonymous en culottes courtes, en d’autres termes ces grains de sable dans la machine Internet prouvent à quel point le réseau public est fragile, et surtout que « les ennuis naquirent un jour de l’uniformité ». Lorsqu’un bug Cisco ou Juniper frappe un modèle ou une gamme d’équipements, c’est tout Internet qui tousse. Manque de redondance des infrastructures, manque de diversité des systèmes embarqués, à périodes régulières, les démons d’Internet sont montrés du doigt, puis oubliés… en attendant la « prochaine dernière ».

2 - Nagra Kudelski dans la sécurité réseau… « par prudence »
Il est des noms qui inspirent l’admiration et qui sont devenus synonymes de l’objet fabriqué parfait. Un Lalique, un Steinway, une Bugatti… Nagra, pour les journalistes, c’est LE magnétophone mythique, une mécanique de précision, une électronique de haute volée. Mais le MP3 a laminé le marché (y compris celui réservé aux preneurs de son professionnels) et l’absence de dynamique a formaté les oreilles de bien des internautes. Ce risque de naufrage, l’entreprise Nagra Kudelski l’avait évité depuis longtemps, en se diversifiant et en devenant l’un des acteurs les plus réputés dans le domaine du chiffrement de flux audio et vidéo. Ces « protections nagravision » étaient la hantise des pirates de la télévision par satellite.

Mais la TNT a renvoyé les satellites au fin fond de leurs points de Lagrange, la télévision sur Internet a remplacé, en Europe, une grand partie des paraboles et des antennes râteau. Malmenée par la situation économique générale, Nagra doit dégraisser ses effectifs, économiser 90 millions de F.S., trouver de nouvelles voies, se séparer de son métier historique (l’audio) en créant une « spin off » qui demeure cependant dans le giron familial Kudelski. Et surtout adapter ses activités « protection des flux » aux liaisons Internet en général et au secteur de l’IP-TV en particulier.

Outre cette évolution du métier de Nagra, l’entreprise espère trouver de nouveaux marchés dans la prestation de services purement « sécurité réseau », en créant une « Cybersecurity unit » spécialisée dans la protection de données, nous apprend le communiqué du groupe. Reste que les demandes en sécurité des réseaux d’opérateurs pourraient bien être assez éloignées de celles des réseaux d’entreprise existant dans l’espace public. En outre, les places sont devenues assez chères, ces derniers temps. L’époque des « startups » a fait place à l’ère des « développements par croissance externe » : il faut avoir fait ses preuves pour survivre ou pour valoir quelque chose, ce qui n’est pas encore le cas de Kudelski dans ce domaine précis …

3 - Pansements, attaque Chuck Norris contre Windows, méthode Coué Apple
Mardi des rustines intéressant, que celui de ce mois (impair) de novembre. Si la vulnérabilité Duqu* n’a pas été bouchée, comme il était prévu d’ailleurs, Microsoft nous a tout de même offert, parmi les rustines mensuelles, le CVE qui a le plus généré de Tweets et de remarques fielleuses depuis l’intégration de WinSock première édition et ses centaines de bugs de conception. Car ms11-083 est une faille UDP qui permettrait d’utiliser un port même lorsque celui-ci est fermé. Un coup de pied à défoncer un huis pareil relève soit de l’art martial le plus consommé… soit d’une fâcheuse distraction momentanée lors de l’écriture du code en question. Gageons que le nombre de billets de blog débutant par « Microsoft security Fail » va rapidement grimper dans les jours qui suivent et qu’évolue l’analyse de cette faille par les experts du monde entier.

Pour se racheter du défaut Duqu , Microsoft a tout de même publié un bulletin et un « fixit tool ».

Mais une faille épique n’arrive jamais seule. Apple, ne souhaitant pas être en reste, se lance dans une publication-marathon de CVE ( 17 d’un coup) , mais paradoxalement ne s’attire pas les attentions de la presse pour cette raison. La firme de Steve-le-Visionnaire (Woz, pas l’Autre) se fait pourtant épingler par Gizmodo pour l’interaction pour le moins douteuse de l’enveloppe de l’iPad, le fameux « smart cover » qui, s’il est refermé puis ré-ouvert au cours d’une procédure d’extinction interrompue, donne à nouveau accès au contenu de la tablette même si celle-ci était sécurisé par un mot de passe. Fort heureusement, nos confrères accompagnent cette « trouvaille » (qui semble relever plus de l’Easter egg que du bug) d’une petite vidéo de démonstration bien plus explicite que le texte qui suit.

Mais le plus gros « bug » d’Apple de la semaine, celui contre lequel aucun correctif ne peut rien, c’est celui qui a frappé Charly Miller, chercheur plutôt réputé et respecté dans le domaine de la sécurité en générale et de l’insécurité d’IOS en particulier. Miller, après avoir découvert une possibilité d’exécution de binaire non signé sous IOS, s’est amusé à diffuser sur l’AppStore une application baptisée InstaStock… en fait un exploit pour le bug en question.

Miller a donc mis en évidence deux failles, dont une était soupçonnée depuis fort longtemps. L’une purement technique, qui relève presque du train-train de la vie des systèmes d’exploitation, l’autre, strictement humaine et structurelle, qui prouve que le filtrage des applications avant approbation et commercialisation via l’AppStore est aussi invulnérable que les noyaux Apple. Une assurance d’invulnérabilité qui n’engage que ceux qui y croient.

Pour remercier le chercheur de ce travail remarquable, Apple a donc banni Miller de Sa Communauté de Chercheurs et lui a retiré ses accès au réseau « développeur » ... Le dogme de l’antivirus inutile sur plateforme Apple doit survivre coute que coûte.

NdlC Note de la correctrice : bien entendu, l’auteur, cédant à la facilité, n’a pas utilisé ce terme. Heureusement, je veille au grain. Moi vivante, on ne parlera pas du DuQu hole.

Pour approfondir sur Menaces, Ransomwares, DDoS