Spécial sécurité : lynchage de registrars

Depuis le début du mois d’août, LeMagIT vous propose de découvrir des extraits de CNIS Mag. Ce magazine sur la sécurité des systèmes d’information a ouvert ses portes le 16 septembre à l'occasion des Assises de la sécurité. Dans cet article, nos confrères reviennent sur l'affaire EstDomain, un registrar supendu par l'Icann.

cnis logosnoir

Sommaire

- 1 - Le lynchage des registrars

- 2 - VMWare ESX, quelques fuites

- 3 - SaaS : Spam as a Service, une branche d’avenir

- 4 - Misc, les réseaux, IPv6 et l’infowar

- 5 - GPS : le bogue de l’an 2020

- 6 - Symantec envisage un dégraissage d’effectifs

- 7 - Compte en banque présidentiel : la police avance à grands pas

- 8 - Comment gagner 1 M$ avec une imprimante N&B

1) Le lynchage des registrars

Après le soupir de soulagement poussé par l’ensemble des internautes, voilà que la suspension du registrar EstDomain par l’Icann éveille quelques instincts de vengeance. « Et si l’on passait aux autres », demande Chris Barton, de l’Avert Lab. Et de commencer à balancer quelques noms : Moniker, havre pour les polluposteurs, Xin Net et Tech & OnlineNic, réputés pour leur richesse pharmaceutique et leur amour du jeu en ligne, Planet Online, spécialiste du snowshoe spamming (pollupostage émis par un très grand nombre d’adresses IP afin d’en noyer l’origine réelle), Dynamic Dolphin, détenu par un certain Scott Ricter, qui eut, lui aussi, des démêlés avec la justice, ou directNIC, chez qui le typosquatting n’est qu’un péché véniel.

Mais il est peut-être trop tard, craint Barton. Déjà, les principaux cybertruands avaient rapidement quitté le navire EstDomain lorsque la situation a commencé à sentir le roussi* dans le courant du mois d’août. Une manière comme une autre de demander à l’Icann d’agir avec un peu plus de courage et de détermination. Un signal qui s’adresse également aux autres registrars qui seraient coupables de négligence dans le choix de leurs clients : l’épée de Damoclès est suspendue au dessus de leur gestion de netblocs, et l’Icann vient de se souvenir de la façon dont on utilise une paire de ciseaux.

Enfin presque. Car, dans le courant de la nuit, et après la réception d’un fac-simile émis par l’équipe dirigeante d’EstDomain, l’Icann a suspendu… sa suspension. Par un jeu subtil d’écriture, le dénommé Vladimir Tšaštšin ne serait plus patron de l’entreprise depuis juin dernier… ce qui, d’un point de vue strictement organique, rend caduque le fondement même de la radiation tel qu’invoqué par l’Icann. Plus de repris de justice à la tête d’un registrar, plus de raison d’en faire cesser l’activité. Si l’Icann, après ce coup d’éclat salué par l’ensemble du monde Internet, revient définitivement sur sa décision, c’en sera fini de sa réputation. En refusant de se prononcer sur le fond réel du problème – l’enregistrement de spammeurs notoires et de sites manifestement liés à la mafia du RBN -, le gendarme de l’immatriculation Internet pourrait bien confirmer son rôle de roi-soliveau.

*Note : plutôt que « sentir le roussi », Chris Barton utilise une périphrase aussi américaine qu’odorante, exprimant la manifestation d’une situation paroxystique : « defecation meets the rotary oscillator ». Cette formule très répandue est la forme châtiée du populaire « The shit hit the fan », dont on peut voir une illustration dans le film Airplane (Y a-t-il un pilote dans l’avion). Si l’on en croit le site Urban Dictionnary, l’expression originale s’énonce ainsi : « The excrement made physical contact with a hydro-electric powered oscillating air current distribution device ». Les sémanticiens savoureront cette délicieuse palette de nuances exprimant l’inéluctabilité du principe de Murphy.

2) VMWare ESX, quelques fuites

Des défauts dans la gestion du protocole snmp, des problèmes dans une bibliothèque de « compactage » Lempel Ziv, une mise à jour des paquetages Samba et vmnix : ces quelques défauts de sécurité sont, pour la plupart, susceptibles de provoquer un déni de service. L’éventualité d’une exploitation de code à distance est faible, mais pas à écarter.

3) SaaS : Spam as a Service, une branche d’avenir

spam200 000 mails par jour, serveur de messagerie intégré, support des smtp-relay, cache DNS automatique accélérant le processus, gestion des champs TO, CC, BCC et PersonalCopy, émulation totale de la signature Outlook Express, support de la distribution via proxy, gestion des adresses erronées sans « faux positifs », création automatique de listes d’adresses valides en fonction des réponses des serveurs de réception, éditeur Wysiwyg intégré pour des phising de qualité, paramétrage du calendrier d’envoi. Le tout sans risque, grâce à nos services à la demande de « spam outsourcé » : une qualité professionnelle garantie, des résultats sans le moindre risque qui sonne le glas de l’artisanat du pollupostage.

Dancho Danchev, une fois de plus, nous apprend avec un exemple concret comment les malwares sont passés du stade de la guerilla quasi artisanale à celui de l’« infection as a service ». Il ne faudra pas longtemps avant que l’on puisse constater que les premières grandes mises en œuvre dans le domaine du Cloud Computing soit le fait des clients du RBN plutôt que de l’industrie traditionnelle du Net.

4) Misc, les réseaux, IPv6 et l’infowar

Le quarantième numéro de Misc vient de paraître avec, au sommaire, un point sur la cyber-guerre Russo-Géorgienne, et surtout un dossier complet de 41 pages sur la sécurité des réseaux et la perspective de l’arrivée d’IPv6. A noter également un cahier d’un peu plus d’une dizaine de pages consacré à la biométrie, sous le titre de « La biométrie : solution ou illusion ? ». Le traditionnel éditorial de Fred « papy » Raynal n’est hélas plus disponible en ligne, du moins dans un format lisible.

5) GPS : le bogue de l’an 2020

Eric Gakstatter, dans les colonnes de GPS World, nous apprend que les « déjà » antiques gps bi-fréquence seront inutilisables en 2020. Certes, à 100 euros en « promo » le navigateur routier, ça laisse aux chauffeurs de taxi parisien le temps d’amortir ce précieux aide-mémoire. Mais pour les utilisateurs professionnels ayant investi entre 30 et 60 000 euros dans des ensembles de positionnement cinématique temps réel (RTK), la pilule est un peu plus dure à passer. L’avenir est au « triple fréquence », et qu’importe les investissements que viennent de faire certains géomètres-arpenteurs, architectes, spécialistes de la déformation de structure, en bref, toutes les personnes qui utilisent les flottilles de satellites à des fins de haute précision.

6) Symantec envisage un dégraissage d’effectifs

Anticipant une période de crise économique profonde, Symantec serait l’un des premiers industriels du secteur de la sécurité à envisager une campagne de licenciement préventive dans les prochains mois. Selon nos confrères de Network World, l’ampleur de cette charrette, bien qu’encore non précisée, devrait permettre d’économiser 4,5 % de la masse salariale. Les licenciements devraient toucher toutes les régions du monde. Ces mesures seront accompagnées, affirment nos confrères américains, d’un accroissement de la sous-traitance des infrastructures administratives de l’entreprise (finance et informatique). Le mois dernier, Symantec se portait acquéreur de Message Lab, dans une opération s’élevant à 695 M$ en cash, somme jugée par les observateurs du monde de la finance comme étant très nettement surévaluée par rapport à la marge brute dégagée par l’entreprise rachetée.

7) Compte en banque présidentiel : la police avance à grands pas

Après deux dangereux acheteurs de téléphones cellulaires sénégalais, c’est au tour d’un boutiquier spécialisé également dans la téléphonie portable d’être arrêté, nous apprend une dépêche de l’AFP relayée sur Yahoo. Une dépêche qui précise qu’on est véritablement face à une attaque en « spear phishing » longuement mûrie, puisque plusieurs membres de l’entourage familial du chef de l’Etat ont également été victimes d’un semblable vol d’identité bancaire. Ainsi s’additionnent peu à peu les preuves indiscutables qu’il s’agit là bien d’une opération très concertée, dirigée par un « cerveau » de haute volée. La police est sur les dents et, compte-tenu de la célérité avec laquelle ces arrestations se succèdent, on peut aisément imaginer l’importance des effectifs affectés à cette mission.

Fort heureusement, puisque l’on est en France, aucune fuite, aucune défaillance du système bancaire n’est à déplorer. Fort heureusement également, il semblerait que, derrière cette histoire, ne plane aucune main d’origine russe, chinoise ou brésilienne, ce qui aurait, admettons-le, fortement compromis l’évolution médiatique des comptes-rendus d’enquête.

8) Comment gagner 1 M$ avec une imprimante N&B

Etonnant culot que celui de Tommy Joe Tidwell et de sa bande. Sa « combine » était pourtant simple : il imprimait des étiquettes UPC (Universal Product Code, équivalent américain de notre code à barres EAN) avec son propre matériel informatique, pour ensuite les coller discrètement sur des produits disposés sur les linéaires de grands magasins. Des étiquettes qui, l’on s’en doute, affichaient un prix très inférieur à la valeur réelle de l’objet. Il suffisait ensuite de proposer ces mêmes objets sur eBay, à des tarifs légèrement surévalués. Las, l’arnaque, qui s’étendait sur plusieurs états - Ohio, Illinois, Indiana, Pennsylvanie et Texas - a fini par être éventée, et le FBI s’est empressé de mettre Tidwell et quatre de ses complices sous les verrous. Au total, la fraude aurait porté sur plus d’un million de dollars de matériel, et se serait étalée sur plus d’un an.

Tidwell, hélas, n’était qu’un précurseur malheureux. S’il avait su patienter quelques années de plus, il aurait avantageusement appris comment modifier à distance les étiquettes du XXIème siècle.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)