Spécial sécurité - UEFI : une nouvelle bataille du TPM ?
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s’interrogent sur les sirènes d’alarme tirées par le professeur Ross Anderson sur le futur bios de Windows 8, Uefi. Ils relaient le fait que près de 760 entreprises et institutions auraient été victimes de la faille RSA, puis s’interessent à la consultation publique lancée par l’Arcep sur le brouillage des micros sans fil. Ils terminent enfin en pointant du doigt une étude publiée par le British Medical Journal pour qui l’usage des téléphones portable n’est pas cancérigène.
Sommaire
1 - UEFI : une nouvelle bataille du TPM ?
2 - Dans l’ombre du hack RSA… les 760 entreprises qui ont aussi écopé
3 - Consultation Arcep & Super-Wifi : brouilles, brouillages et white channels
4 - 3G : c’est pas mauvais pour la tête
1 - UEFI : une nouvelle bataille du TPM ?
Ross Anderson, professeur connu (et reconnu dans le domaine de la sécurité) enseignant à Cambridge, vient de publier un billet incendiaire à propos du futur bios Uefi supporté par Windows 8. Uefi est un successeur du bios traditionnel conçu par le TCG, le Trusted Computing Group, un conglomérat d’industriels regroupant Microsoft, Intel IBM, HP et AMD. Uefi est un outil de lancement et surtout de vérification d’extensions au système de base, qui n’appellera et n’acceptera que des codes signés et réputés sûrs. Ce super-bios étendu et à géométrie variable avait déjà été accusé de n’être qu’un moyen détourné pour interdire l’exécution de noyaux alternatifs (linux notamment). Cette fois, Ross Anderson laisse entendre qu’Uefi pourrait également constituer un moyen détourné pour exécuter lors du boot des applications et des éléments de systèmes non désirés par l’usager. Un antivirus qui n’accepterait pas la présence de ses concurrents, par exemple, ou un environnement « Metro » qui forcerait quasiment l’utilisateur à se connecter à l’AppStore Microsoft. Et quand bien même il existerait des réglages de type « opt out » qui permettraient d’éliminer certains de ces « choix obligés » que cette fonction devrait quand même être considérée comme abusive, car rares seraient les personnes qui désactiveraient ces caractéristiques « par défaut ».
Plus grave encore, continue Anderson, cette exécution de programmes au niveau Bios pourrait bien servir certains états peu regardants sur les libertés individuelles. Et de citer l’hypothétique exemple d’un gouvernement Turque demandant à Microsoft d’authentifier comme « acceptable » son keylogger gouvernemental. Techniquement parlant, Ross Anderson raconte des choses plausibles. Politiquement parlant, cet universitaire a toujours fait preuve d’une certaine vivacité chaque fois que Microsoft envisageait d’intégrer des outils proches du boot ou du bios. Une véritable tempête avait notamment été déclenchée lors du lancement des fameux TPM supportés par Windows Vista, un autre développement du TCG. Les TPM n’ont pas, jusqu’à présent et de manière officielle, été utilisés pour installer des rootkits gouvernementaux ou pour interdire l’installation d’une Debian sur une carte « tépéhemisée ». Bien au contraire même, puisque le TPM est parfaitement pris en compte de nos jours par la majorité des parfums unixiens.
Alors, Ross Anderson est-il un Universitaire passéiste, ennemi des nouvelles techniques de protection ? Ou ses cris sont-ils des signaux d’alarme qui, par le passé, ont contraint les membres du TCG à adopter une attitude plus conciliante. Les partenaires du TCG, de leur côté, jurent que leur invention est bourrée de bonnes intentions. Mais souvent, le diable se cache dans les détails, et Anderson pourrait bien avoir mis le doigt sur l’un d’eux : la complexité pour certains développeurs n’ayant pas pignon sur rue d’obtenir cette « agrémentation à la signature Uefi », au bénéfice des entreprises de taille plus respectable. Un risque non négligeable de maintien de situations quasi monopolistiques dans le domaine de la sécurité notamment.
2 - Dans l’ombre du hack RSA… les 760 entreprises qui ont aussi écopé
Lorsqu’une attaque d’envergure frappe une entreprise aussi importante que RSA, il est rare qu’elle soit la seule à essuyer un cyber-feu nourri. Lorsqu’une méthode d’attaque est efficace, il serait effectivement assez incompréhensible que l’attaquant se limite à une seule cible. Non seulement parce qu’une fois l’attaque détectée, des contre-mesures sont immédiatement mises sur pied, rendant tout exploitation ultérieure vaine, mais également parce que seul le développement de la première munition coûte cher. Plus elle sera utilisée, mieux elle sera rentabilisée.
Et c’est ce qui est arrivé lors de l’attaque RSA : Brian Krebs rapporte que plus de 760 autres sociétés (dont beaucoup appartiennent au « Fortune 100 » US), ont fait les frais de cette même vague d’attaques … dont plus de 80 % ayant pour origine apparente des C&C situés en Chine. Yahoo, Worldnet, Orange, Verizon, Proxad, OVH, NTT… pratiquement tous les opérateurs importants sont cités, liste qui masque en fait l’identité véritable des victimes, puisqu’il y a de fortes chances que ce ne soit pas les opérateurs eux-mêmes qui aient fait les frais de ce cyberblitz, mais certains de leurs clients hébergés. Beaucoup de banques et organismes financiers également, ainsi que des sous-traitants travaillant pour le compte des armées, de l’Administration Fédérale US ou des entreprises représentant un poids certain dans l’économie nord-américaine : Novell, Northrop, Cisco, eBay, IBM, Intel, RIM, le MIT, Verisign, VMWare, Wachovia, Wells Fargo… un écheveau de victimes qui se déroule d’un coup alors que l’omerta de la respectabilité était jusqu’à présent parvenue à passer ces faiblesses sous silence.
3 - Consultation Arcep & Super-Wifi : brouilles, brouillages et white channels
L’Arcep lance une consultation publique sur les « équipements auxiliaires sonores de conception de programmes et de radiodiffusion ». Soit, en termes plus simples, les micros sans fil utilisés notamment dans les studios TV, les salles de bal, les reportages radio-TV « sur le terrain » etc. Des équipements UHF d’une puissance 10 fois inférieure à celle d’une carte WiFi (10 mW).
Cette consultation est la conséquence d&rsquo ;une situation assez… embrouillée. Depuis que les « vieux canaux TV » (white spaces) ont été libérés par l’arrivée de la TNT, un jeu des chaises musicales a légèrement fait bouger les acteurs du domaine.
D’un côté les fabricants de microphones HF qui réclament de nouvelles allocations, une partie du spectre précédemment utilisé ayant « disparu ». De l’autre les professionnels du broadcast TNT qui déplorent le fait que quelques téléspectateurs ne pouvaient recevoir correctement leurs programmes.
Ce couplet du « ôtes-toi d’ma bande » fait d’ailleurs écho à une autre brouille, celle qui oppose les opérateurs 4G (dont un segment de bande tombe précisément dans le spectre UHF des 800 MHz) et les opérateurs TNT : les premiers accusant les seconds de perturber la bonne marche du réseau téléphonique cellulaire nouvelle génération. Le nombre de perturbations est estimé à quelques centaines de milliers à peine. Le découpage chirurgical et les susceptibilités financières de chacun (qui payera les solutions techniques antibrouillages) ne facilitent pas particulièrement le dialogue entre opérateurs, autorité de régulation et gouvernement.
Quel rapport, dira-t-on, avec les réseaux en général et la sécurité en particulier ? Les fameux « white spaces » bien sûr. Car Outre-Atlantique (ainsi qu’en Grande Bretagne), on s’intéresse de plus en plus à utiliser une partie de ces fréquences UHF délaissées par la vieille télévision analogique pour le fameux « super-Wifi », une version bas débit et longue distance des Wlan. Si la sauce prend dans les Amériques (région 3 régie par des recommandations UIT différentes de celles s’appliquant à l’Europe), il se pourrait bien que l’aventure WiFi recommence : importations « grises », montée en puissance de ces émetteurs qualifiés de « pirates » dans un premier temps, puis reconnaissance du « fait acquis ». Généralement, lorsque des appareils de la famille «bande ISM sans licence », à bas coût, sont vendus aux USA, ils finissent un jour ou l’autre par submerger le vieux continent. Cibistes, usagers des réseaux WiFi ont, par le passé, décroché leurs homologations « avec les dents ». Le Super-Wifi pourrait bien suivre un chemin analogue.
Notons que la règlementation imposée par la FCC aux USA oblige les appareils Super-Wifi à changer de bande lorsque la fréquence est déjà occupée par un émetteur plus officiel. C’est une caractéristique propre aux équipements radio utilisant un spectre avec « statut secondaire ». Hélas, les mécanismes semblables installés sur les points d’accès WiFi actuels prouvent que ces « gadgets » ne servent strictement à rien. Pour qu’un point d’accès accepte de changer de fréquence, il faut un niveau d’énergie généralement supérieur à -60dBm, les récepteurs en question étant généralement « sourds comme des pots ».
4 - 3G : c’est pas mauvais pour la tête
Une récente étude publiée par le British Medical Journal laisse entendre que l’usage des téléphones mobiles ne semblerait pas accroître les risques de tumeurs cancérigènes du système nerveux central chez les usagers. L’étude en question a été conduite par l’Institut d’épidémiologie du cancer de Copenhague, entre 1990 et 2007, et portant sur un peu moins de 360 000 abonnés. Durant cette période, un peu moins de 11 000 tumeurs ont été détectées, soit un taux sensiblement identique à celui des personnes n’utilisant pas de téléphone mobile. Et ce y compris pour les « early adopters » qui utilisent des terminaux mobiles depuis les années 90 et n’ont jamais cessé de les utiliser.
Certaines précautions d’interprétation doivent cependant être prises, insistent les auteurs de ce rapport, puisque les usagers professionnels « intensifs » n’ont pas été particulièrement pris en compte. En France, le principe de précaution contraint les possesseurs de systèmes d’émission, toutes fréquences et toutes puissances confondues, à faire une déclaration de puissance apparente rayonnée de leurs installations. Pourtant, par le plus grand des hasards, certains émetteurs institutionnels ou d’opérateurs n’y figurent pas… probablement le fruit de la surcharge de travail de l’administration. Il n’existe toujours pas d’étude épidémiologique prouvant ou non si le téléphone pouvait provoquer d’autres conséquences cérébrales, d’ordre psychologique et névrotique notamment. Les réactions de certaines populations observées face à la gadgetophilie (lors du lancement d’un nouvel iPhone ou la mise sur le marché d’un modèle Android) laisseraient peut-être supposer le contraire ... Pourtant un téléphone intelligent, ça ne peut pas rendre idiot.