Spécial sécurité - BH 2011/ Defcon : De loin, c’est bien plus beau

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur quelques temps forts de ce début août, comme la mise à jour défectueuse d’Exchange, la légalisation de la copie privée en Grande-Bretagne, la déception d’un développeur à propos du magasin application d’Amazon, l’arrivée de Microsoft sur le marché du petit embarqué (en frontal à Arduino) et de son concours Blue Hat, le rapport McAfee sur la Chine. Ils nous donnent enfin une kyrielle de ressources pour suivre ou revivre la conférence Black Hat/Defcon.

Sommaire
1 - Exchange : rock’n Rollup avec un’ 4 à cheval
2 - La Grande Bretagne sur le point de légaliser la copie privée

3 - Amazon Apps : 20% de rien, c’est moins que rien
4 - Microsoft imite l’Arduino
5 - Microsoft : invente-moi l’après DEP/ASLR
6 - La Chine se soulève devant McAfee
7 - BH 2011/ Defcon : De loin, c’est bien plus beau


1 - Exchange : rock’n Rollup avec un’ 4 à cheval
Peu de temps après l’émission, début juillet, de la mise à jour Update Rollup 4 for Exchange Server 2007 SP3 , voici que des problèmes entachent la « rollup 4 » pour Exchange 2010 (donc l’autre version du serveur de messagerie, celle que précisément certains administrateurs ne veulent pas encore déployer). Voilà qui ne va pas encourager à la migration.

La mise à jour en question avait une fâcheuse tendance à effacer quelques sous-répertoires lors du déplacement d’un dossier publique. La rubrique nécrologique des « sous-rep » tombés au champ d’honneur porte le numéro d’immatriculation 2581545 dans la « K-Base ». Du coup, Microsoft a réémis un correctif corrigé sachant copier sûrement et systématiquement sans sécher si souvent. Durant un bref instant, l’ancien Service Pack a été absent des linéaires du download center, comme expliqué sur le blog de l’équipe Exchange, sous la plume de Kevin Allison, General Manager, Exchange Customer Experience.

Des défauts dans des correctifs, cela n’a rien d’exceptionnel. Et l’on peut saluer la rapidité d’intervention de l’équipe toute entière, qui a su boucher ce trou en un temps record. Ce qui n’est également pas du tout exceptionnel, c’est la constance avec laquelle peut être vérifié le principe de Murphy dans le monde de la sécurité. Principe dont l’application, dans le cas présent, pourrait être résumée de la manière suivante : c’est toujours au moment le plus délicat d’une stratégie de migration que survient un évènement plaidant à l’encontre de ladite stratégie de migration.

2 - La Grande Bretagne sur le point de légaliser la copie privée
Alors qu’en France la copie privée sert de prétexte à développer un marché gris de la taxe et de la redevance sur les supports vierges, allant quasiment à obliger les entreprise à devoir « prouver » qu’elles ne piratent pas des chansonnettes ou des séries B, le gouvernement britannique, rapportent nos confrères de PC Pro, serait sur le point d’adopter une attitude diamétralement opposée. Un scoop initialement diffusé par le Financial Times, lequel rapporte la position de Vince Cable, du Secrétariat des Affaires de Sa Majesté, qui défend l’idée de copie privée et de changement de support.

Il ne s’agit là pour l’heure que du support d’un grand commis de la Couronne, mais un support qui vient en réaction aux dispositions très strictes du Digital Economy Act qui, à l’instar de la position de certains politiques Français, associe le mot « copie » au mot « piratage ».

Que le projet soutenu par Vince Cable devienne un jour une réalité gravée dans les tables de loi, et les dispositifs de type DRM seraient ipso facto considérés comme illégaux, puisqu’entravant le libre transfert d’un support à l’autre. Bien entendu, l’industrie du cinéma tente par tous les moyens de s’opposer à cette proposition. Transférer un film légalement acheté d’un support DVD vers un ordinateur mediacenter ou une tablette est considéré comme « extrêmement dommageable » par le Directeur Général de la British Video Association, rapporte Tim Bradshaw de ft.com. Voilà qui n’est pas sans rappeler la position de certains grands producteurs de semences OGM qui rêvent d’une agriculture dépourvue de tout « droit de reproduction ». Le produit vendu est à usage unique, sur un support unique, pour une durée de vie limitée (celle du support lui-même) et si possible pour une personne unique.

3 - Amazon Apps : 20% de rien, c’est moins que rien
« L’Amazon App Store est pourri jusqu’à la moelle » écrit, indigné, un développeur d’applications Android ayant choisi ce canal de distribution. Et d’expliquer à ses lecteurs qu’à périodes régulières, Amazon lance des campagnes d’autopromotion baptisées « Free App of the Day », opérations que le méga-libraire mondial fait miroiter à ses partenaires comme une opportunité à ne manquer sous aucun prétexte. Las, durant ces opérations, les soi-disant 20% du prix de l’application ne sont absolument pas reversés aux auteurs. Ce qui pourrait être assimilé en France pour de la vente à pertes, et par les esprits chagrins à du piratage, pardon, de la contrefaçon.

Après avoir vécu une courte période d’euphorie à l’annonce des quelques centaines de milliers de commandes passées, l’auteur de l’application a dû déchanter : 20% de 0$ de chiffre d’affaires, cela fait toujours 0$.

Les récriminations suivantes sont plus ou moins du même esprit : retards dans les paiements, informations sur les ventes très en retard par rapport à ce qu’assure le magasin en ligne de Google, formulation et description des appliquettes parfois totalement fantaisistes (pouvant, dans le cas cité, friser la publicité mensongère)… Le miracle Amazon n’a pas souri à l’équipe de ShiftyJelly.

L’auteur du billet aurait également pu ajouter un point qui pourtant est tout aussi important que cette forme de détournement de fond organisé : là encore, un grand diffuseur joue sur la dépréciation du contenu pour créer un besoin. Une pratique qui légitimise le piratage, pardon, la contrefaçon comme on dit dans les milieux autorisés. Car pour quelle raison irait-on payer un centime pour un programme qui, la veille encore, et de l’avis même de son principal diffuseur, ne valait pas un kopek ?

4 - Microsoft imite l’Arduino
Microsoft s’attaque au marché des « petits-embarqués-programmables-à-base-de-microcontrôleur », autrement dit tente de concurrencer les bases Libres que sont l’Arduino, l’USB Bit Whacker (UBW) et autres cartes à prototyper à base de microcontrôleur. Le tout étant prétendument « open », mais reposant sur le framework « .Net » …

Comme à son habitude, l’éditeur confie à des partenaires le soin d’assurer la production des compléments matériels. Dans ce cas précis, c’est GHI qui se charge du travail. Ce constructeur propose un catalogue encore très loin d’arriver à la cheville de ce qui existe dans le monde Arduino. Paris ne s’est pas fait en un jour.

Techniquement parlant, la gamme de Microsoft comporte très schématiquement trois catégories de produits : une petite carte de prototypage autour de laquelle viennent se connecter différents périphériques (afficheurs, caméras, interfaces IHM etc.), dont le prix de départ gravite aux environs de 35 $. Viennent ensuite des « projets » dédiés, baptisés les « gadgeteers », sortes de jeux de mécano mi-électronique, mi-programmation. Le haut de gamme de l’offre dépasse les 300 $ et regroupe toute une collection de périphériques et interfaces de transmission (WiFi, I2C, série etc.), l’ensemble constituant une plateforme de prototypage multi-applications. Le processeur principal est un ARM à 72 MHz, la plateforme de développement « .Net Micro Framework » est à télécharger sur le serveur NetMF.

L’Arduino risque-t-il d’être concurrencé ? C’est peu probable. L’environnement de programmation de MS n’est pas totalement « open », les tarifs des extensions sont plus élevés que ceux des mille et un « Shield » fabriqués en Chine autour de la plateforme italianisante, la bibliothèque de « sketchs » (programmes Arduino) commence à peser un poids considérable qu’il sera difficile d’égaler… bref, le mahousse .Net MF ne risque pas de faire peur au petit miquet de l’univers Atmega. Ce pourrait en revanche constituer une base intéressante pour certains intégrateurs ou passionnés de solutions domotiques, voir inciter quelques OEM à utiliser un socle commun dans le milieu du petit automatisme embarqué.

5 - Microsoft : invente-moi l’après DEP/ASLR
Microsoft organise un grand concours « BlueHat » récompensé par trois primes (respectivement de 200 000$, 50 000 $ et un abonnement MSDN) à qui inventera un nouveau mode de protection et d’usage de l’espace mémoire ( to design a novel runtime mitigation technology designed to prevent the exploitation of memory safety vulnerabilities). Il ne s’agit pas du tout, comme cela a été écrit par certains de nos confrères, d’inventer un « logiciel anti-piratage capable de résister aux attaques informatiques »… si un tel programme pouvait être écrit, bien fol serait celui qui l’offrirait pour une aumône de 200 000 dollars.

6 - La Chine se soulève devant McAfee
Elle était pourtant bien orchestrée, cette campagne marketing basée sur les « APT ». Il y avait tout pour réussir le cocktail : Des chiffres en pagaille, des successions d’attaques visant les infrastructures gouvernementales, des « traceback » d’IP pointant directement du doigt l’Empire du Milieu. Y’avait même des journalistes, et pas des moindres, puisque Reuter (via Yahoo News) et beaucoup d’autres ont repris l’essentiel des chiffres du fameux rapport McAfee sur l’opération Shady Rat (RAT pour Remote Access Tools, n’allons surtout pas voir la moindre connotation péjorative).

72 « organisations » visées, des attaques se succédant les unes après les autres : Night Dragon, Aurora, puis les opérations commando de plus en plus ciblées contre quelques grands sous-traitants travaillant pour le compte de la défense US, Lockeed Martin notamment. Et le rapport de mentionner une fois de plus l’existence de ce « péril jaune » qui vient, jusque dans nos brins Ethernet, piller nos fichiers et nos programmes. Il n’existe que deux catégories de grandes entreprises, expliquait en substance le rapport : celles qui avaient été victimes de ce genre d’attaque, et celles qui ne s’en étaient pas encore rendues compte.

Mais le coup de l’attaque qui arrive par la Chine provoque des remous diplomatiques. Un article publié dans le Quotidien du Peuple renvoie le vendeur d’antivirus à ses chères études en expliquant qu’il est un peu simpliste d’accuser arbitrairement les hackers Chinois de tous les maux, très probablement dans le seul but de tirer à soi la couverture médiatique et vendre encore plus d’équipements et logiciels de protection périmétrique.

Il importe peu que McAfee ait tort ou raison, pas plus qu’il est important de savoir si les attaques proviennent effectivement d’éléments « incontrôlés poussés par un élan patriotique » résidants ou non à l’intérieur des frontières de Chine Populaire. Ce qui est intéressant, dans cette histoire, c’est qu’un organe très proche du Parti et du pouvoir ait réagi de manière quasi officielle face à des accusations (ou plus exactement face à l’expression insistante de soupçons) désignant la Chine. C’est là la première fois que la diplomatie Chinoise réagit à une communication émise par une entreprise de droit privé Américaine. Et ce n’est probablement pas la dernière.

Pour en revenir plus techniquement sur les APT à base de Htran, l’arme utilisée par Shady Dragon, on peut se reporter sur deux analyses qui se lisent presque comme un ro man d’espionnage : « L'outil HTran utilisé pour cibler des entreprises françaises », feuilleton épique en plusieurs dumps et écrans tcpview signé Sylvain Sarmejeanne, et une sorte de poursuite à échelle mondiale engagée par Joe Stewart, patron de Dell-Secureworks. Htran et Shady Dragon ne sont donc pas des vues de l’esprit, des fantasmes de chasseurs-cueilleurs de bugs et de virus. Mais alors, si ce n’est pas la Chine qui nous les envoie, qui donc cela peut-il bien être ?

7 - BH 2011/ Defcon : De loin, c’est bien plus beau
Alors que les hordes de vacanciers contestent aux vaches Abondance le droit de brouter ou aux bigorneaux le plaisir de bigorner en paix, les spécialistes et gourous de la sécurité se pressaient dans les salles de conférence de Las Vegas, pour assister à la Mère de toutes les conférences de sécurité : les manifestations jumelles Black Hat/Defcon. Et à lire certains comptes rendus, l’on se dit que côtoyer les vaches Abondance ou les bigorneaux a quelque fois du bon pour la paix de l’esprit. Faire la moitié du tour de la terre pour des choses déjà entendues ou pressenties lors des précédentes conférences Hackito Ergo Sum, SSTIC ou CanSecWest, on ne m’y reprendra plus, résume en substance Cedric Blancher dans un billet à la Edgar Poe : BH, Never more !

D’ailleurs, le « scoop » de cette année, celui qui a remporté la couverture des tabloïds de la sécurité, a plus des airs de règlement de compte gratuit que de POC tiré par les cheveux. Il est signé par un monsieur réputé et sérieux, Tavis Ormandy, qui a souhaité cette année rhabiller de la tête aux pieds l’antivirus de Sophos. Les journaux américains comptent les points et pour une fois, le bouillant Graham Clueley, pourtant réputé pour ses envolées lyriques et ses excès sémantiques, adresse à Ormandy un billet dont le fiel est tout entier contenu dans l’understatement des tournures utilisées. Ces deux textes résument à eux seuls l’âme de ces deux pays qui partagent une langue commune et ne sont pas séparés que par un océan. Rappelons simplement que les propos de Tavis Ormandy ne sont que la transposition sur un thème particulier de l’air que chante chaque année la réunion annuelle Française iAwacs : les antivirus, commerciaux ou non, ne sont pas mieux conçus que des logiciels bureautiques ou des systèmes d’exploitation, loin s’en faut. Des trous, ils en ont, tout autant que les « autres » logiciels. Et certains d’entre eux sont éminemment dangereux car ils se situent dans les couches basses du noyau. Tout au plus peut-on leur reconnaître que la couche d’ingénierie marketing qui les entoure pourrait à elle seule faire l’objet de tests comparatifs édifiants. De tous les messages de Sophos vs celui de Kasperky vs celui de McAfee (ce ne sont là que des exemples), lequel résiste-t-il le mieux aux attaques verbales et aux propos calomnieux de tel ou tel expert ?

Mais est-il nécessaire de parcourir plusieurs milliers de kilomètres pour écouter s’enfoncer de telles portes ouvertes ? Que Nenni ! affirme Security4All, qui nous explique comment tout savoir de la Defcon et de la BH sans quitter ses charentaises. Et de nous offrir une belle brochette de feed Twitter, de fils RSS, de liens Flicker et autres agrégateurs divers qui nous en apprendront bien plus sur ces deux manifestations que ne pourront en savoir ceux qui y participent. Ah, si Fabrice Del Dongo avait connu Facebook, sa vision de Waterloo en eût peut-être été changée.

Sinon, il y a toujours les bonnes vieilles adresses. Celles des blogueurs professionnels, tels que les membres de l’équipe de Kaspersky qui écrivent billets sur billets à peine une conférence est-elle terminée. Ou nos petits copains de Network World, qui reviennent sur les grands marronniers qui sont du bois dont on fait les keynotes : « La leçon des Anonymous : la sécurité des entreprises coince velu »... Tiens, on aurait pourtant crû que la leçon des Anonymous, c’était que la « professionnalisation » de la cyberdélinquance n’avait pas « remplacé » la petite délinquance, mais l’avait simplement occultée momentanément. Jusqu’à ce que l’on se rende compte qu’elle pouvait frapper fort. A force de se défendre contre des malfrats tâcherons de l’attaque ciblée visant des retours sur investissement rapides, on avait presque oublié l’acte revendicatif et gratuit. Mais çà, on n’en a pas parlé, à la Black Hat. Ou du moins pas durant les Keynotes, car cela aurait peut-être provoqué quelques remises en question.

Encore une URL pour Defconiser et BlackHatiser derrière son écran : celle du toujours excellent Security News, dont les comptes rendus neutres et exhaustifs donnent sinon le ton, du moins le contenu. Et une petite dernière pour la route, la vraie, celle qui se prolonge après le « Strip » de Las Vegas, s’enfonce dans le désert et les verticales des Red Rocks ou les berges du lac Tahoe. Celle-ci nous est offerte par Tristan Nitot, de la Fondation Mozilla Europe, qui a tout ignoré de Vegas mais a tout retenu de ses environs, façon Easy Rider. Un bilan très positif donc : BH et Defcon ne sont plus le centre du monde. Certes, il s’agit là toujours d’une étoile double de grande magnitude, mais qui ne brille pas plus qu’un CCC Camp, qu’un Hackito, qu’un CanSecWest ou qu’un Sstic. Cela ne veut toutefois pas dire « n’y vas pas, j’ai les mêmes à la maison ! ». Car si l’éclat d’une conférence en particulier ternit légèrement, il s&r squo;en trouve d’autres, en Amérique du Sud, en Asie, en Allemagne, au Luxembourg qui sont autant de lieux d’échanges et de confrontations nécessaires à la profession. Le déclin d’une étoile ne donne pas toujours un trou noir.

Pour approfondir sur Menaces, Ransomwares, DDoS