Spécial sécurité : la fin du monde IP est encore pour cette semaine
Depuis le début du mois d’août, LeMagIT vous propose de découvrir en avant-première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira prochainement. Dans cette édition, pleins feux sur la nouvelle faille IP qui fait trembler l'Internet.
Sommaire
- 1 - La fin du monde IP est encore pour cette semaine
- 2 - Blackberry d’occasion, mine d’or à données
- 3 - Faux antivirus : la découverte de l’évidence
- 4 - Faux antivirus : le changement dans la continuité
- 5 - Les banques britanniques perdent 300 M£ tous les 6 mois
- 6 - L’admin réseau tapait dans le stock…
- 7 - Les gratuits de Microsoft
- 8 - Sonnette d’alarme anti-fast-flux
1) La fin du monde IP est encore pour cette semaine
Elle fait parler d’elle, cette mystérieuse faille TCP. Mais pour l’heure, aucun détail ne transpire, pas du moins avant la publication officielle des travaux à l’occasion de la prochaine T02’08 d’Helsinki. Les auteurs, Jack C. Louis, et Robert E. Lee, ne racontent rien sur leur blog, le podcast de leur préannonce reste on ne peut plus discret (début de l’intervention en langue anglaise à 5’10’’ après diverses informations en Néerlandais)… la tradition du « buzz pré-conférence de sécurité » est donc parfaitement respectée jusqu’à présent.
Security News, le Reg, Dark Reading (dans un papier signé RSnake), Richard Bejtlich, tout le monde en parle. Il faut dire que l’attaque risque d’effrayer quelques administrateurs, puisqu’elle permettrait d’ouvrir une connexion TCP permanente… autrement dit sans nécessiter le moindre entretien. Une connexion qui ne se ferme pas proprement, ça n’est jamais très grave. Mais plusieurs milliers, et le serveur Web attaqué s’écroule d’inanition, rongé par un véritable cancer dévoreur de ressources. Seul remède envisageable : le redémarrage. Le cri d’alarme des auteurs peut se résumer en ces mots : « Donnez moi un accès modem à 300 bauds et je fais tomber Google ».
Les chances de voir le monde IP être englouti dans un maëlstrom de déni de service sont assez minces. « La police est prévenue, les équipementiers et éditeurs de stacks devraient avoir corrigé ce défaut avant toute publication » affirment en substance les auteurs. Annonce à rapprocher d’un autre Armageddon du code, l’attaque en ClickJacking que nous a promis précisément le susnommé RSnake.
2) Blackberry d’occasion, mine d’or à données
Après les secrets du MI6 sur Internet et les crédences municipales anglaises à 99 pences via eBay, voilà que nos confrères de SC, à la lecture d’une enquête conduite par BT, nous apprennent que 43 % des appareils mobiles vendus d’occasion ne sont pas proprement effacés. Ces terminaux sont susceptibles de contenir des informations dont la fuite pourrait être ennuyeuse pour les entreprises à qui ont appartenu ces appareils. Plus d’un quart des téléphones de seconde main RIM disponibles sur le marché conservent jusqu’à l’identité de leur précédent propriétaire… parole d’opérateur, pourrait-on ajouter.
Une seconde étude britannique se penche sur la perte des téléphones et PDA dans les transports publics… un rapport à rapprocher du travail effectué aux USA par l’Institut Ponemon sur la perte des portables dans les aéroports américains. Et c’est Pete Warren, du Guardian, qui nous apprend que chaque année, dans les taxis londoniens, et eux seuls, il se perd 63 000 téléphones et près de 6 000 PDA. Et les employés de l’aéroport d’Heathrow récupèrent quotidiennement une dizaine de téléphones (soit plus de 3 500 par an), dont plus du quart ne sont protégés par aucun code d’accès.
S’il est statistiquement improbable qu’un téléphone perdu dans un taxi tombe entre les mains d’un concurrent direct et serve de mine d’informations dans le cadre d’une bataille économique, il est plus plausible d’imaginer que le secteur de l’occasion intéresse au plus haut point les espions industriels. Bien que l’identité des vendeurs soit généralement garanti – du moins avant la vente, et tant qu’il s’agit de particuliers -, il est toujours possible d’établir des périmètres géographiques d’intérêts. Le téléphone, le disque dur, le PDA d’un californien, ou mieux, d’un spécialiste des « used gears » officiellement situé à Palo Alto ou Sunnyvale, a plus de chances de porter des fruits juteux que l’ordinateur d’occasion d’un né-natif de Charbonnières-les-vieilles (Puy-de-dôme) ou du Petit Bornand Les Glières (nulle part).
3) Faux antivirus : la découverte de l’évidence
La rédaction de CNIS toute entière présente ses plus plates excuses à Monsieur Ballmer (Steve) pour avoir osé douter de l’efficacité des gesticulations de ses avocats. Car, si le procès intenté par Microsoft et l’Etat de Washington peut, d’un point de vue juridique, s’avérer aussi efficace qu’un coup d’épée dans l’eau, il a eu le mérite de réveiller certaines consciences. A commencer par celles des éditeurs d’antivirus, F-Secure en tête, qui acceptent enfin de reconnaître l’existence et l’activité de ces « moutons noirs » de la profession. Cela se traduit notamment par deux billets sur le blog de F-Secure, l’un sur les maquillages et ressemblances que ces prétendus programmes de protection adoptent, l’autre sur les mentions légales de Windefender 2008 – un scareware parmi tant d’autres. On retrouve chez les uns le parapluie de Kaspersky, une lettre « F » semblant à s’y méprendre au logo de F-Secure, une assonance de nom fleurant certain antivirus espagnol… Rien de nouveau, donc, si ce n’est que la profession en parle. Un peu tard, peut-être. Lesdits éditeurs ont, en général, bien plus l’habitude de contacter les journalistes pour leur faire découvrir les dangers apocalyptiques d’un virus ou d’un spyware nouvellement découvert. Mais rassurons-nous, les principaux programmes de protection périmétrique sont déjà mis à jour. Bref, désormais, il sera plus difficile de faire vibrer la corde marketing de la crainte alors que c’est là, précisément, ce que l’on reproche aux aigrefins du « scareware ».
4) Faux antivirus : le changement dans la continuité
Profitons-en pour aller nous promener sur le site de Dancho Danchev qui, une fois de plus, conserve une longueur d’avance. Avec trois billets percutants. L’un sur la vanité de l’action Microsoft, accompagné d’un dessin humoristique résumant fort à propos la situation et surtout suivi d’une liste kilométrique de sites de « typosquatting » exploitant la filière des antivirus véreux. Le second papier traite également de « disclaimer », de mention légale inscrite à l’écran lors du lancement d’un programme. Mais cette fois, il s’agit de textes « protégeant » l’usage d’une plateforme à fabriquer des malwares. Sans surprise, ce générateur automatique d’infection est commercialisé « à seule fin d’expérimentation, de test et d’éducation ». Il faut se rappeler, précise l’auteur, que le premier outil à malwares qui ait « protégé » sa propriété intellectuelle à l’aide d’une mention légale était Zeus.
Pour chasser un rootkit, rien de tel qu’un malware. C’est le thème du troisième papier de Danchev, qui est tombé sur un kit d’attaque Web, avec console d’administration statistique d’activité de botnet, répartition géographique des machines infectées et… antivirus intégré destiné à éradiquer le concurrent direct, Zeus, de la surface de la planète virtuelle. Le monde des infections est aussi petit qu’impitoyable.
5) Les banques britanniques perdent 300 M£ tous les 6 mois
Les statistiques semestrielles de l’Apacs, union des banques britanniques, viennent de tomber : près de 302 M£ ont été perdus par les institutions financières à la suite d’actions frauduleuses – utilisant Internet ou non. Chiffre à comparer aux quelques 263 M£ du premier semestre 2007. Sur ce total, les pertes d’argent électronique détourné et ne faisant pas physiquement appel à une carte de crédit – conséquence d’escroqueries par téléphone, courrier papier, internet - s’élèvent à 161M£, en hausse de 18 % par rapport au premier semestre de l’an passé. Paradoxalement, le monde « matériel » l’emporte sur le monde virtuel, puisque les vols utilisant de fausses cartes de crédit progressent de 22 % et représentent une perte de 88 M£. Un volume d’affaires certes moins important, mais en très nette croissance. A titre de comparaison, les détournements d’argent effectués à l’aide de cartes perdues ou volées n’ont provoqué la perte « que » de 27 M£, en baisse de 11%.
A noter également que 40 % des fraudes constatées sont orchestrées en dehors des frontières du royaume. L’Apacs prédit que ces chiffres tendraient à suivre cette évolution à la hausse tant que le système bancaire européen tout entier n’aura pas adopté la carte à puce... Une assertion pourtant très nettement contredite par une autre statistique : celle de la fraude « en ligne », purement Internet, qui ne fait appel à aucun contrôle de composant électronique embarqué. En effet, le « online banking fraude », 21 M£ sur les 6 premiers mois de 2008, a progressé de 108 %. Le phishing, pour sa part, est en plein boum, à +186 % l’an. Plus modeste, mais plus inquiétante, la hausse de 33 % du recrutement des « mules », généralement des adolescents appelés à servir d’intermédiaires collecteurs de liquide ou de biens à l’aide de numéros de cartes de crédit volées.
En France, tout va bien.
6) L’admin réseau tapait dans le stock…
Victor Papagno, un ex computer systems administrator du Naval Research Laboratory, aimait collectionner les équipements informatiques de la Navy. Du disque dur à l’imprimante, en passant par les hubs ou des ordinateurs complets, le kleptomane aurait détourné près de 20 000 appareils et accessoires des stocks de la Navy, pour une valeur totale de près de 120 000 $. Nos confrères de NetworkWorld relatent ce détournement à grand renfort de liens pointant sur le NCIS… mais le plus intéressant n’est pas là. Le détail du vol, publié par le Washington Post, est impressionnant : 100 ordinateurs personnels, 167 claviers, 275 souris, 80 écrans, 187 cartouches d’imprimantes et près de 5 000 composants et accessoires divers allant du disque dur au lecteur externe. Une série de larcins effectués sur une période de plus de 10 ans, de 97 à 2007. Le plus curieux, dans cette affaire, c’est que Papagno n’utilisait pas ces pièces pour en tirer profit, mais seulement pour son usage personnel et celui de ses voisins et amis. La grande majorité des appareils a pu, précise le Post, être récupérée, entreposée chez l’intéressé, voire dans les caves des voisins en question. Le vol semble donc plus relever d’une névrose compulsive que d’une réelle malhonnêteté.
L’affaire aurait d’ailleurs très bien pu ne jamais être dévoilée. Il aura fallu, pour que soit découvert le pot-aux-roses, que Papagno soit arrêté pour violences domestiques et que l’épouse de celui-ci demande à son supérieur hiérarchique du Naval Research Lab de « débarrasser son appartement des appareils qui l’encombraient ». Etonnement de ce dernier, enquête du service… personne ne s’était jusqu’à présent aperçu de quoi que ce soit. Rappelons que c’est également une brouille de couple qui avait été à l’origine de la découverte de l’histoire Michael Haephrati, la plus importante affaire d’espionnage industriel qui ait jamais secoué Israël.
Deux programmes gratuits très attendus viennent enfin d’être mis à disposition par Microsoft. En premier lieu, la version « légère, Core et autonome » d’HyperV, déjà annoncée dans les colonnes de CNIS, de Communautech et du MagIT. Certes, l’usage de cette version n’est véritablement pratique qu’à l’aide d’une « remote console », à moins que l’administrateur-usager ne soit un sorcier du shell. Aucune licence n’est à payer – si ce n’est celle du ou des systèmes hébergés. Il est fortement recommandé de se « faire la main » avec une version sous 2008 Server en mode graphique avant que de plonger dans le monde légèrement spartiate de la commande en ligne et du script bien tempéré. Et, accessoirement, de trouver certaines sources d’inspiration auprès de Ben Armstrong.
L’autre cadeau de rentrée, signé cette fois Mark Russinovich. Il s’agit de 2.0 Process Monitor, l’outil qui expédie Filemon et Regmon aux oubliettes. Absolument indispensable, tout comme son frère de lait Process Explorer.
8) Sonnette d’alarme anti-fast-flux
Cet accessoire, tout aussi gratuit que les précédents, fera probablement moins parler de lui dans les média. Mais mérite une certaine attention. Il s’agit d’une bibliothèque Java destinée à détecter et mesurer l’activité des grappes de domaines appartenant à une architecture « fast flux ». Les résultats obtenus sont à comparer à ceux tenus par Harbor Network sur son site Atlas.
.