Spécial sécurité : Sony…. encore et toujours pentesté gratuitement
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur la énième attaques des services en ligne de Sony, avant de pencher sur le cracking de mot de passe avec GPU. Ils se sont intéressés aux virus (et donc anti-virus) pour MacOS avant de s’arrêter sur les derniers résultats de l’OMS, pour qui les téléphones portables seraient potentiellement cancérigènes.
Sommaire
1 - Sony…. Encore et toujours pentesté gratuitement
2 - Cracking de mots de passe : Jeu de brute, force graphique
3 - Peut-on être à la fois Beta et sous OS X ?
4 - Ton téléphone t’as t’il tué ?
1 - Sony…. Encore et toujours pentesté gratuitement
Le malade serait sous traitement que l’on parlerait d’acharnement thérapeutique. Pour la énième fois, un des sites de Sony (celui de Sony Picture cette fois) s’est retrouvé P0wné et des dizaines de milliers d’adresses emails et mots de passe associés placés en « téléchargement libre et gratuit » sur les principaux réseaux d’échange P2P. L’annonce a tout d’abord été faite par LulzSec (auteur du hack) sur le fil Twitter, puis rapidement confirmé sur le site Lulzsecurity… lequel a rapidement été inaccessible et dont on ne trouve pour l’heure que quelques traces dans les caches de Google.
Sony, affirme la revendication de l’intrus, stockait ainsi près d’un million de mots de passe et seule la faiblesse relative des capacités d’upload du pirate ont limité la fuite à 50 000 crédences. Les motivations de Lulzsec ne sont pas d’une clarté absolue. Ce même groupe de pirates avait, fin mai dernier, hacké les serveurs de PBS, chaîne de télévision éducative d’Amérique du Nord sous le prétexte un peu léger qu’un reportage à charge portant sur les méthodes de Wikileaks avait été diffusé. Cette forme d’intolérance et de censure sous prétexte de défense de la liberté d’expression montre à quel point les revendications « hacktivistes » de tels mouvements ne sont que des façades soit à des coups de mains pilotés par un concurrent engagé dans une guerre économique, soit des actes de vandalisme gratuits et dénotant de personnalités immatures.
2 -Cracking de mots de passe : Jeu de brute, force graphique
Le site Tech Encounters s’est livré à un test comparatif sans prétention : le cassage d’un mot de passe NTLM de plus en plus long à l’aide de Cain et Abel d’une part (méthode quasi préhistorique s’il en fût), puis en faisant appel à ighashgpu associé à une carte graphique Radeon 5770. Résultat sans surprise : lorsque l’attaque en « brute force » utilisant la CPU demande des années de calcul, la GPU, de son côté, n’exige que quelques dizaines d’heures. Et encore ne s’agit-il là que de récupérer des Sésames complexes générés aléatoirement. Dans la « vraie vie », et partant du principe que même les mots de passe complexes comportent des segments intelligibles, les temps de récupération pourraient être raccourcis grâce à un dictionnaire. Ce petit exercice de vulgarisation mériterait d’être réédité par un Cert Français pour sa simple portée pédagogique.
3 -Peut-on être à la fois Beta et sous OS X ?
Tentant de nager à contre-courant des mantras Cupertiniens, l’équipe de développement d’Avast a annoncé, il y a peu, sur son forum la disponibilité d’une préversion marketing de son futur antivirus pour Macintosh. Cette édition intègre notamment des outils d’analyse de fichiers, des emails et des pages web consultées. En outre, il est possible de déclencher un balayage des unités de stockage « à la demande ». La récente vague d’attaque virale propagée par un scareware se prétendant « antivirus pour Mac » tend à prouver qu’il existe une demande pour une offre antivirale sous OS X et qu’il y aurait comme un hiatus entre la position dogmatique de l’éditeur-constructeur-diffuseur-vendeur en ligne-maître à penser et les utilisateurs des systèmes Apple.
Toujours dans la colonne Apple et les antivirus-viraux, l’on peut lire l’amusant billet de blog signé Ed Bott. A peine Apple aurait déployé les contre-mesures destinées à bloquer l’attaque « Mac Defender » (le faux antivirus en question qui fit quelques ravages le mois précédent) que les auteurs du malware ont rédigé une nouvelle version encore plus efficace et totalement invisible aux efforts prodigués par l’éditeur-constructeur-etc. Et ce en moins d’une semaine après diffusion du « correctif anti-faux-antivirus. La sécurité est un métier, l’écriture de malwares également.
4 -Ton téléphone t’as t’il tué ?
Polémique-victoire pour le camp des chasseurs de relais : l’OMS a publié une étude (voir le communiqué) affirmant la « possibilité » (et non la probabilité) cancérigène des téléphones portables. On apprécie au passage l’incertitude toute byzantine de la déclaration. Une « possibilité» qui, explique l’étude, repose sur des analyses statistiques tendant à prouver une augmentation des gliomes (cancer du cerveau) dès lors que l’usage des téléphones deviendrait systématique sur une période de plus de dix ans.
Les échos médiatiques de cette déclaration de l’OMS partent un peu dans tous les sens. L’on distingue très nettement les organes de presse « pro téléphone » (généralement des journaux très liés au monde des affaires et à la vie des opérateurs en particulier) qui mettent en avant la diminution de la DAS des terminaux mais passent pudiquement sous silence les déploiements de relais, l’accroissement des réseaux, l’augmentation des terminaux par foyer. De l’autre, les médias « anti » qui mélangent souvent all ègrement téléphonie, Wifi et autres techniques radio utilisant d’autres types de modulation, d’autres fréquences et des niveaux de rayonnement parfois 500 fois plus faibles que ceux d’un terminal GSM. La première attitude s’apparente aux sophismes cyniques des fabricants d’armes : il y a un business, et le limiter ira à l’encontre des intérêts, de la croissance et de la défense de l’emploi, sans parler du fait qu’on ne « combat pas la marche du progrès ». Et qu’importent les victimes éventuelles, le dieu du commerce y reconnaîtra les siens. La seconde attitude n’est guère meilleure, qui vise à diaboliser et à placer sous le carcan d’une règlementation globalisante tout ce qui rayonne entre 1 MHz et 300 GHz. Si l’OMS avait effectivement souhaité rendre un avis sérieux et exploitable, elle aurait missionné un comité d’experts totalement indépendants, n’ayant strictement aucune accointance avec les opérateurs et concepteurs d’appareils, et disposant d’un budget assez confortable pour relancer une série d’études basées sur un protocole conçu à la fois par des médecins et des spécialistes de la radio-électronique.
D’ailleurs, témoignent nos confrères du Télégramme, la Fédération Française des Télécoms a réagi en déclarant que les ondes électromagnétiques « n’ont pas la même classification que, par exemple, l’alcool, le tabac et l’amiante (catégorie 1) », ni que « le trichloréthylène et les fumées des moteurs diesel (catégorie 2A) ». L’amiante elle-même n’avait pas le même pouvoir destructeur que la pentrite ou que l’acide nitrique absorbé en ampoules… sinistre comparaison, malhabile réplique sur le ton du « je peux tuer, mais moins bien que les autres ». Qui donc, à la direction de la communication, a pu laisser passer cette réaction épidermique qui semble témoigner d’une peur irraisonnée de la « mauvaise publicité » ? La FFT serait sous-marinée par des « anti » que le résultat n’aurait pas été pire.