Spécial sécurité : Google et ses paradoxes chinois
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur le récent piratage de Gmail par des hackers chinois. Une mésaventure qui a poussé le géant de la recherche à menacer de se retirer du pourtant très prometteur marché de l'Empire du Milieu. Et qui laisse, aujourd'hui encore, de nombreuses questions en suspens. Egalement au menu : la révélation d'une méthode de piratage des clefs USB "sécurisées".
1 - Google et ses paradoxes chinois
2 - L’art de crocheter les clefs USB
4 - Adobe : Reader et Acrobat vulnérables (air connu)
1) Google et ses paradoxes chinois
La grande Chine sur le pas des pirates ? De l’aveu même de Google, le pape du Cloud Computing serait, depuis la mi-décembre, victime d’une attaque « hautement sophistiquée » visant son infrastructure d’entreprise, attaque ayant résulté dans le « vol de propriété intellectuelle appartenant à Google ». En fait d’attaque hautement sophistiquée, il s’agirait d’une campagne de « spear phishing » (hameçonnage ciblé) dont le résultat aurait permis de détourner notamment des accès à des comptes Gmail. Toujours selon Google, près d’une vingtaine d’autres entreprises importantes du secteur des nouvelles technologies auraient essuyé le feu des hackers d’Asie, tandis que d’autres sources laissent penser que les personnes visées seraient avant tout des activistes Chinois impliqués dans la défense des droits de l’homme.
L’hypothèse de l’attaque visant des vecteurs industriels semble être confirmée par Adobe, qui publie un communiqué dont la structure et le choix des mots semble avoir été grandement inspirés par celui de son voisin technologique et géographique. A la seule différence près que, manifestement, aucune donnée n’aurait été officiellement dérobée au cours de cette opération. Et que bien entendu, tout ceci serait une étonnante coïncidence affirme Wiebke Lips, le DirCom d’Adobe à Brian Krebs. Une dénégation dont le plausible est d’autant plus discutable qu’il est peu probable que ce Monsieur Lips ait connaissance des intensions réelles des hackers de l’Empire du Milieu ainsi que de leur structure organisationnelle.
Si la réaction d’Adobe est modérée, celle de Google est vive. L’on parle même d’une cessation de la censure en Chine (rappel d’une collaboration officielle et active de Google au régime de Pékin), ou même d’une occultation de Google.cn et des bureaux de l’entreprise en Chine. “ We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China”. Cette forme de protestation, qui rappelle un peu les fermetures d’ambassades lorsque deux pays rompent leurs relations diplomatiques, n’est certainement pas une décision prise à la légère… avec près d’un milliard et demi de clients potentiels, le marché chinois éveille des convoitises et fait rêver les moins imaginatifs des technico-commerciaux de Mountain View. Mais si ce même marché chinois est à l’origine d’une fuite de données, cela risque de ne pas plaire aux millions d’utilisateurs des services « cloudifiés », de l’Agenda à Gmail en passant par la foultitude de « solutions d’entreprises » qu’envisagent de développer les équipes d’Eric Schmidt. Cruel dilemme que celui où l’on doit choisir entre l’opinion des clients que l’on possède et celles des clients que l’on convoite.
Mais après réflexion, c’est la seconde option qui est choisie, motivant la publication d’un autre billet qui minimise les pertes de propriété intellectuelle… « we believe our customer cloud-based data remains secure ». Lorsque la sécurité des données hébergées relève de la croyance et que la vulnérabilité des infrastructures est présentée comme une inévitable fatalité, on peut se demander si l’externalisation des processus de traitement est aussi infaillible qu’on le prétend.
Quid des autres victimes du secteur des hautes technologies frappées par cette même attaque ? Pas un bruit du côté de Microsoft, nulle rumeur chez Yahoo ou Amazon, silence radio pour Oracle… Officiellement, personne n’avoue s’être fait épié par la Chine.
Et seuls les mauvais esprits pourraient mettre en relation une toute autre « attaque hautement sophistiquée » que relatent nos confrères du Monde : Baidu, le « Google 100 % Chinois », aurait lui aussi été piraté, mais par des hacktivistes iraniens cette fois. Pas plus que les hauts dignitaires de Pékin n’ont télécommandé la série d’attaques qui a frappé les USA, le gouvernement iranien ou autres conseillers techniques occultes n’ont tenu la main des cyber-gardiens de la Révolution.
2) L’art de crocheter les clefs USB
La semaine dernière, SySS semait le trouble dans la communauté en publiant coup sur coup deux analyses expliquant comment lire le contenu des clefs SanDisk, Verbatim et Kingston prétendument protégées par des mécanismes de chiffrement certifiés et réputés inviolables… pour l’instant. Bob Graham prend un peu de recul et va même plus loin, en affirmant que ce ne sont là que des exemples, et qu’il ne serait pas étonnant que d’autres clefs soient potentiellement victimes d’une attaque similaire. Si l’algorithme de chiffrement est encore inviolable, explique-t-il, les techniques d’intégration dudit algorithme laissent souvent à désirer, et c’est à ce niveau que les hackers chevronnés tentent de contourner les protections. Un avis partagé aussitôt par les gens du Nist, le National Institute of Standards and Technology, celui-là même qui a « recommandé » l’AES 256 utilisé par ces clefs. Notons au passage que l’article traitant de la réaction du Nist, dans les colonnes du Security Focus, se trouve flanquée d’une publicité IronKey on ne peut plus de circonstance.
Les trois intégrateurs ont, entre temps, publiés les correctifs nécessaires au blocage de ce type d’attaque. Reste à savoir par quel moyen les usagers de ce genre de clef pourront être mis au courant et quelle sera la proportion d’utilisateurs qui appliqueront ce bouche-trou salvateur.
Elle ne fera pas couler beaucoup d’encre, cette faille OpenType, certes exploitable à distance, mais qui n’est critique que sur les plateformes finissantes Windows 2000. Elle aurait pourtant mérité mieux, compte tenu de la parfaite symétrie de son matricule, 10-001. Le blog du MSRC parvient toutefois à en tirer un interminable article et une séquence vidéo. Fort heureusement, un trou dans Flash Player 6, un peu plus sérieux, fait la manchette du bulletin d’alerte 979267. Sans Adobe, certains Patchs Tuesday seraient tristes et sans vie.
4) Adobe : Reader et Acrobat vulnérables (air connu)
Le désormais traditionnel bulletin de sécurité mensuel publié par Adobe prévient de l’existence d’une série de failles dans Adobe Reader 9.2 et Acrobat 9.2 pour Windows, Macintosh et Unix, ainsi que dans Adobe Reader 8.1.7 et Acrobat 8.1.7 pour Windows et Macintosh. Comme à l’accoutumée, le détail des vulnérabilités n’est pas fourni. Le communiqué fournit les différents liens pointant vers les correctifs et nouvelles versions mises à jour. Le niveau de sévérité est jugé critique, car un exploit « dans la nature » vise notamment les versions Windows de Reader et d’Acrobat 9.2.