Spécial sécurité : ta machine virtuelle VMWare en pyjama sur Internet
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur les conclusions d'un évangéliste de VMWare et par ailleurs blogueur s'alarmant de l'exposition de nombreuses machines virtuelles sur Internet. Avant de détailler un nouvel accord, sous l'égide de l'Europe, sur le traitement des données personnelles dans la RFID et de s'amuser d'un article issu d'une très officielle revue du Vatican. Où il apparaît que hacking et catholicisme partagent quelques valeurs.
Sommaire
1 - Ton ESX en pyjama sur Internet
2 - RFID : scientisme et Union Européenne
3 - Habemus hackitam !
1) Ton ESX en pyjama sur Internet
Richard Garsthagen est à la fois blogueur et Senior Evangelist VMware EMEA. Pas franchement le genre à dire du mal de la main qui le nourrit. Mais l’un de ses derniers billets risque de lui faire battre des records de hits. De par son titre déjà, alarmiste en diable : « Scary! Is your VMware server being hacked??? ». Car inspiré par les conférences de la dernière BH de Barcelone, notre évangéliste-blogueur s’est demandé combien de consoles de management VMware seraient visibles sur Internet. Car, rappelle-t-il, une bonne station d’administration est généralement située dans son propre réseau isolé, et à plus forte raison coupée du monde extérieur qu’est le réseau public.
Garsthagen se met donc à appliquer les méthodes de Johnny « I hack Stuff » Long et se met à balayer Internet à la recherche de signatures particulières via les API VMware. Adresse IP, numéro de version et de « build », en moins de 24 heures, le scanner à architectures VM avait amassé une conséquente collection de serveurs « exposés » (ESX, ESXi et vCenter), dont certains, précise l’auteur, étaient de « très vieilles versions dont on pouvait se demander si elles avaient bien reçu leur lot nécessaire de correctifs ».Question aussi rhétorique qu’ironique.
Mais le terme « scary » était-il bien approprié ? Une machine « visible » n’est pas nécessairement une machine « exploitable ». Certes, connaître le numéro de version d’un serveur, c’est déjà offrir sur un plateau une indication guidant un cracker ou un pentester vers telle ou telle collection d’exploits. Mais guère plus que ne peut le faire « l’infamous nMap » de Fyodor, longtemps accusé de faire le jeu des black hats. C’est oublier que le scanner n’est pas la faille, que la carte n’est pas le lieu. En ces temps où « l’advanced persistent threat » fait figure d’épouvantail et où les hordes de crackers aux yeux bridés se tapissent derrière chaque remaniement ministériel, au tournant de chaque communiqué de presse publié par un vendeur de firewall, titrer « Scary » suivi d’un point d’exclamation n’est qu’une adaptation quasi pavlovienne à l’ambiance actuelle. Cela n’atténue en rien l’intérêt d’un tel test.
Il ne faudrait surtout pas résumer le papier de Garsthagen à cette simple et amusante étude. Car l’auteur signale également avoir commis un très intéressant « how to » qui traite de l’installation d’Ossec, un outil gratuit diffusé par Trend Micro et qui joue le rôle de « chien de garde comportemental » dans l’univers VMware. Ossec utilise une base de connaissance issue d’une compilation bien tempérée de log d’ESX et ESXi, base qui permet à cet automate d’émettre une alerte lorsque des actions anormales et répétitives sont commises dans le cadre d’une architecture VMware.
2) RFID : scientisme et Union Européenne
Nos confrères du Monde rapportent une décision de la Commission Européenne visant à protéger les citoyens des dérives d’usage possible des composants RFID. Un communiqué de presse de l’Anec (European Association for the Co-ordination of Consumer Representation in Standardisation), un autre, plus long, de la Commission reviennent sur les problèmes maintes fois rebattus soulevés par ces « spy chips ». Mais la conclusion est très éloignée du ton conquérant des titres. « les entreprises effectueront une évaluation complète des risques liés à la vie privée et prendront des mesures pour déterminer les risques décelés avant qu'une nouvelle application de puce intelligente ne soit mise sur le marché ». Les entreprises, pas une commission indépendante diligentée par l’UE. Pas un groupe de travail du « working party 29 ». Et ceci sans présumer des « meilleurs efforts » prodigués par l’industrie, sous l’impulsion des instances Européennes, pour que cette technologie ne puisse être exploitée pour faciliter des vols d’information. Ce qui, jusqu’à présent, s’est souvent avéré impossible. Les signataires de l’accord réunissant ce conseil d’entreprises vigilantes promettent de « s'assurer que les problèmes de protection des données soient réglées avant que des produits soient mis sur le marché». Des propos qui n’engagent qu’à très peu de choses, les grands utilisateurs de RFID (réseaux de distribution) n’étant pas les concepteurs de ces composants, et les failles desdits composants ou de l’architecture les contrôlant sortant de leurs domaines de compétence. Reste que la Commission a entamé là un processus visant à éviter les « abus d’usage » tels qu’il en a déjà été constaté aux Etats-Unis (découverts notamment grâce aux enquêtes de Katherine Albrecht, de SpyChip.com). L’on peut également rappeler l’existence de l’ouvrage de Michel Alberganti et Patrice Georget intitulé La RFID, quelles menaces, quelles opportunités.
C’est grâce à la vigilance de nos confrères australiens de Techworld que l’on peut apprendre cet intérêt soudain du Vatican pour la gente hackeuse. Le père jésuite Antonio Spadaro, dans les colonnes du numéro 3858 de la revue Civilta Cattolica, explique combien il peut exister de parallèles entre la philosophie hacker et les enseignements du christianisme (Etica "hacker" e visione cristiana). Et d’insister sur l’esprit de découverte de ces aventuriers des arcanes logicielles et matérielles, de leur soif de partage de connaissance, de leur altruisme et leur opposition au profit pour le profit… tout en rappelant que « hacker n’est pas cracker ». Remarquable exercice casuistique qui jette un voile pudique sur le fond solidement libertaire, libertin (voire anarchisant) et agnostique du mouvement (des mouvements devrait-on dire) de hack. Qu’il y ait eu des cas de hackers gnostiques, c’est une certitude. Tout comme il a existé (et il existe toujours) des hackers cyberpunk militants athéistes, des groupes largement inspirés de situationnisme et des clubs ou associations se situant dans une mouvance beaucoup plus « conservatrice ». Le tout baignant parfois dans une joyeuse confusion des genres, un syncrétisme politico-technologique capable de mélanger toutes les tendances, toutes les opinions les plus extrêmes grâce à un esprit de tolérance digne des maisons du même métal. Une tolérance qui, toutefois, s’arrête dès que débute le plus petit soupçon de tentative de récupération. Le hacking est-il soluble dans la gnose ? Oui, mais à une lettre près.