Spécial Sécurité : Wifi à Paris, +543%

Depuis le début du mois d’août, LeMagIT vous propose de découvrir en avant-première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira prochainement. Dans cette édition, un point sur les hot-spot à Paris, Azure, le cloud de Microsoft et l'affaire EstDomain.com.

Sommaire

1 - Wifi à Paris : +543%
2 - Loué soit le temps machine chez Microsoft
3 - Microsoft, Yahoo, Western Union et African Development Bank : front anti-scam
4 - L’Icann débranche EstDomain.com

1 - Wifi à Paris : +543%
Londres, RSA Conference :La traditionnelle triple campagne de Wardriving que conduit RSA toutes les années à Londres, New York et Paris passionnera certainement les amoureux de aircrack habitant sur un axe Porte de Bagnolet/Pont de Levallois. Car, sur l’année écoulée, le taux de progression des points d’accès détectés a augmenté de plus de 540 %, chiffre à comparer aux + 72% de Londres (160% l’an passé) et aux 45% de NYC (49% en 2007. Précisons que cette étude se limite à Paris intra-muros, banlieue non comprise).

Cette croissance est le fruit à la fois d’une envolée des AP privées, en milieu professionnel ou utilisés par les particuliers, et d’une véritable explosion des infrastructures « hot spot » gratuits ou payants… l’on se souvient du tollé des opérateurs, dont les revenus ont été « fortement menacés » par le déploiement de bornes wifi publiques dans les jardins de la capitale. Des hot spots donc dont le nombre a progressé de plus de 300 %, contre 34 % à Londres et 44 % à New York. Il faut dire que la France ne fait jamais que combler un retard important. La part des points d’accès publics ne constitue encore que 6 % de l’ensemble des points WiFi de Paris, chiffre fort proche de ce qui est constaté à Londres (5%) mais très en deçà de l’état du sans-fil public à New York (15% du total). Il faut dire qu’à Gotham City, l’état des infrastructures téléphoniques d’une part, l’antériorité du merchandising du sans fil d’autre part (hot spots McDonald, Starbuck Cafés etc) est une vieille histoire.

Progression toute proportionnelle également des réseaux « hackables ». Car, sur l’ensemble des têtes de réseau, l’on peut considérer que plus du quart des installations est soit non protégé (mais il peut s’agir de hot spots qui, payants ou non, n’utilisent généralement pas de chiffrement client-routeur) soit défendu avec un mécanisme WEP. Ce qui, somme toute, est une bonne nouvelle qui sous-entend que les trois quart des points d’accès sont abrités sous une épaisse couche de WPA d’un genre ou d’un autre. La situation était bien plus inquiétante il y a 4 ou 5 ans. Ces observations sont valables pour ce qui concerne, une fois de plus, notre ville capitale. Car de l’autre côté de la manche ou de l’Atlantique, Wep règne en maître sur au moins 48 à 49 % des réseaux sans fil.

2 - Loué soit le temps machine chez Microsoft
Azure : ce sera le nom de la future branche « cloud computing » de Microsoft présentée par Ray Ozzie (créateur de Notes et Architecte en Chef de MS). Et comme à l’accoutumée, tout commence par des SDK, des outils Visual Studio, une extension du SDK « dot Net » et une trousse à outils SQL Data Services. C’est donc, dans un premier temps, une série de solutions d’externalisation reposant sur des Data Centers Microsoft répartis dans le monde (dont un prévu à Dublin) et spécifiquement destinés au milieu professionnel. Il sera ainsi possible de louer des tranches de « temps de traitement », du noyau système, du stockage, de la base de données, de la puissance CRM, grâce à des moteurs certes situés chez l’éditeur-fournisseur de services, mais capables de tourner avec des applications métier qu’auront développé les techniciens des entreprises clientes.

Des ressources plus légères, orientées bureautique, sont également prévues avec un service Sharepoint, voir même des solutions quasi grand-public avec les « live services », pour le stockage/partage de documents, photos, fichiers etc.

L’avantage du cloud computing réside, sans conteste, dans une réduction des coûts par achat du « juste temps » et de la « juste capacité » de traitement nécessaire, il ne doit pas masquer le fait que les biens immatériels de l’entreprise sortent effectivement de ses murs et des frontières du pays. Le problème n’est pas rédhibitoire, mais exige une sérieuse analyse du bien fondé de la « cloudification » des données et des risques qui lui sont liés.

Note du remplaçant de la correctrice qui a toujours la grippe : Stéphane Mallarmé, l’un des pères du symbolisme, avait de son vivant proposé à la division Marketing de Microsoft un message publicitaire vantant la plateforme de services : « Je suis hanté. L'Azur! L'Azur! L'Azur! I'Azur! ». Mais comme à l’époque les messageries électroniques n’existaient pas, personne ne reçut le slogan de l’autre côté de l’Atlantique. Il mourra en 1898, sans Stock Option, avec pour seul viatique une retraite de professeur.

 

3 - Microsoft, Yahoo, Western Union et African Development Bank : front anti-scam
«  Saviez-vous que 1 personne sur 44 avoue avoir perdu de l’argent à la suite d’une escroquerie à la loterie sur Internet ? » Roger Halbheer, Chief Security Advisor chez Microsoft, joue les évangélistes anti-scam. Est-ce là encore l’une de ces actions plus « marketing » qu’efficace que tente de lancer Microsoft, telle cette campagne contre les « scarewares », ces faux antivirus ? «  Dans un premier temps, nous cherchons avant tout à obtenir des métriques et à sensibiliser. Obtenir des métriques, car, quelques sondages mis à part, personne n’a une idée très précise de l’ampleur de ce genre d’escroquerie. On est très loin des grandes affaires genre « scam Nigérian »… ce sont, dans le cadre des escroqueries à la loterie, des vols de petites sommes, des opérations affectant plus l’amour-propre de la victime que son porte-monnaie. Et il n’est pas toujours agréable de porter plainte auprès de la police en avouant s’être fait « repassé » de 200 euros sous prétexte que l’on a naïvement cru gagner le gros lot d’un sweepstake auquel on n’a jamais participé… le ridicule fait peur, et l’on peut soupçonner que des sommes fantastiques sont ainsi récoltées par les filières mafieuses sans que les autorités aient une réelle idée de l’ampleur du phénomène ». Reste que l’alliance avec Western Union, la banque la moins regardante quant au contenu des transferts réalisés (e-gold ou Webmoney mis à part), ne donne pas à cette campagne la couleur blanc-bleu qu’elle prétend avoir. Mais revenons aux résultats de l’étude préliminaire publiée par Microsoft et conduite par l’Ipsos

27 % des internautes interrogés pensent qu’ils pourraient être victimes d’une escroquerie à la loterie qui leur coûterait de l’argent.
51 % des internautes interrogés déclarent que ces courriels d’escroquerie à la loterie les rendent réticents à acheter des biens sur Internet.
36 % déclarent qu’ils sont devenus davantage réticents à utiliser Internet suite à ces escroqueries à la loterie.
Pour ¼ des internautes français, les mails d’escroquerie à la loterie ne sont pas forcément des escroqueries et ils sont 18% à les ouvrir

Beaucoup de « ressenti » dans cette étude, mais encore très peu de faits vérifiables. L’étude, par exemple, n’a absolument pas pris en compte la législation sur les jeux dans les différents pays européens couverts par l’enquête… Or, la différence de perception entre ce qui est légalement « permis » dans un pays et ce qui est « possible » sur Internet –un milieu dénué de frontières- est précisément un levier activement exploité par les scammers. La non prise en compte de ce levier peut biaiser la pertinence des résultats collectés.

4 - L’Icann débranche EstDomain.com
C’est probablement l’un des épisodes les plus marquants de la guerre qui oppose depuis quelque mois le milieu cyber-mafieux et le monde de la sécurité. EstDomain. Ce registrar véreux était réputé pour délivrer des noms de domaines et gérer les blocs IP des plus grands spammeurs et de centres de contrôle de botnets. Il servait de repère, via des hébergeurs genre Atrivo/Intercage, à des armadas de spécialistes du détournement d’URL, à des orchestrateurs d’infection de serveurs à des fins de drive by download, à bon nombre –si ce n’est à la grande majorité- des prétendus éditeurs de faux antivirus et autres « scareware ». Bref, c’était l’enregistreur officiel d’une bonne partie du Russian Business Network et de ses satellites. De Profundis.

Le blog de F-Secure consacre donc à EstDomain un éloge funèbre à l’image de sa splendeur passée. La lettre de radiation de l’Icann, un organigramme de la « galaxie noire » qui gravitait autour du noyau qu’était ce registrar, une mention très brève de l’existence de son propriétaire, Vladimir Tšaštšin, et le poids que pesait EstDomain dans la sphère Internet. Tšaštšin, avait révélé Krebs du Washington Post, avait été poursuivi et condamné pour diverses activités frauduleuses, faux en cartes bancaires, blanchiment d’argent sale. Ce sérieux curriculum vitae lui a valu l’honneur de servir de bras administratif au RBN. Et un bras musclé. Car, rappelle un tableau de l’Icann, c’était là le 53ème service d’enregistrement de nom de domaine au monde, avec 246 000 clients. A titre de comparaison, NSI en compte près de 6,6 millions, et le premier Français, OVH, 25ème, affiche 604 000 inscrits.

Brian Krebs, du Washington Post, qui fut l’un de ceux qui ont le plus violemment dénoncé les activités douteuses de ce regitrar, dresse une dernière biographie de ce saigneur du monde IP. Son article, pourtant, n’a rien de triomphant. Sur nos têtes, dit-il, plane un spectre bien plus inquiétant. Il y a fort à parier que les coups de semonce que la presse et l’opinion publique ont tiré contre ces bâtiments officiels du RBN, aient averti, puis préparé ledit RBN à imaginer le plus vite possible une parade. Il est presque certain que nous n’aurons plus, comme par le passé, des cibles aussi visibles que celles qu’offrait un Atrivo ou un EstDomain, et que la force de frappe de la cyberdélinquance se dilue dans la masse d’une multitude de petits registrars, aussi faisandés mais bien moins faciles à situer que ne l’était leur prédécesseur.

Dans les jours qui vont suivre, l’attitude de l’Icann sera intéressante à noter. D’une part, il va falloir à cet organisme de statufier sur le sort des 246 000 inscrits laissés en souffrance. Les légitimes… et les truands. Et c’est bien là que résidera le principal problème. L’Icann retire à Tšaštšin son titre de registrar en raison de son passé et non en raison de son activité notoire de prince d’une cour des miracles Internetienne. Passé qui a fait l’objet d’un jugement et d’une peine purgée (le coupable a été libéré sur parole). Cet aveuglement dogmatique ira-t-il jusqu’à ce que les IP des clients douteux d’EstDomain soient « relogés » légalement dans le DNS d’un autre registrar ? Et quand bien même une telle décision ne serait prise que l’on peut se demander, compte tenu de la très relative rapidité de réaction de l’Icann dans cette affaire, si les futurs « petits » registrars successeurs pilotés par le RBN ou ses héritiers, auront quelque chose à craindre de ce roi-soliveau

Pour approfondir sur Backup