Spécial sécurité : Petites intrusions chez Microsoft

Depuis le début du mois d’août, LeMagIT vous propose de découvrir en avant-première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre.

cnis logosnoir

Sommaire

- 1 - Qui possède la peau de l’ours RBN

- 2 - La vie, l’univers et tout le reste…

- 3 - Adi Shamir joue au cube

- 4 - Petites intrusions chez Microsoft

- 5 - Le rêve américain : du spam dans toutes les consciences

Qui possède la peau de l’ours RBN

Il en va des grands hébergeurs « noirs » comme des botnets ou des bandes d’apaches : que l’on décapite l’ennemi, et ses richesses sont récupérées par le premier caïd venu prendre la place. Dans le cas des botnets, ces richesses ne sont jamais que les zombis récupérés à l’insu de leur plein gré, comme du bétail, au profit d’un autre bot herder. Dans le cas des hébergeurs marron, la clientèle (polluposteurs, distributeurs de malwares etc) ne peut souffrir une trop longue période d’inactivité. Il semblerait donc, explique Cédric Pernet, que l’on assiste non pas à une résurgence de RBN (Russian Business Network) sous la forme d’Atrivo -un mercenaire de l’hébergement-, mais à un transfert de la clientèle du RBN vers Atrivo… nuance. Et Cédric Pernet de citer l’impressionnante étude de Jart Armin sur la résistible ascension du nouveau saigneur du Web et du courriel, sur le chevalier noir du DNS pharming, du typosquatting et de l’antivirus faisandé.

Il faut dire que la rapide descente aux enfers du RBN et le déplacement de l’épicentre mafieux avaient été constatés par certains observateurs privilégiés, les équipes de Spamhaus notamment. Avec un certain émoi d’ailleurs. Car le successeur est domicilié en Californie, terre de la Silicon Valley, berceau de l’Internet moderne. Une version pour grandes personnes de l’histoire de l’œuf du coucou ?

Jusqu’à présent, RBN représentait tout ce que l’inconscient américain souhaitait voir : une Russie politiquement désorganisée, un pouvoir incapable de faire régner un semblant d’ordre, une mafia tentaculaire et dénuée de scrupules, des fonctionnaires corrompus, des héritiers du monde communiste et autres ennemis jurés de la civilisation occidentale et du paradis capitaliste. Seulement, dans RBN, il y a le B de Business. Et les experts en sécurité américains se rendent brutalement compte que le business peut également –surtout même- croître au soleil du monde libéral, sans que la moindre plainte, le moindre procès ne semble jusqu’à présent gêner les patrons de cette plateforme de lancement de malwares. Bien sûr, souligne Cédric Pernet, sous la pression des reporters, Brian Krebs du Washington Post en tête, le patron d’Atrivo émet des démentis aussi véhéments que ceux que poussait l’ancien responsable du RBN. Et propose très probablement parallèlement des « contrats spéciaux » à ses clients, garantissant une reprise d’activité sous 24H après blocage d’un nom de domaine, tout comme cela figurait dans les contrats Russes.

Est-ce que la médiatisation outrancière visant Atrivo, demande Pernet, parviendra à faire disparaître cette source résurgente d’activités illicites ? La mauvaise publicité faite à ce mercenaire de l’adresse semble commencer à porter ses fruits. « Pourvou qué céla dourre » aurait dit Laetitia. Est-ce bien là, comme l’affirme le chercheur Français, un « concurrent » du RBN et non une sorte de « reconstitution de ligue dissoute » ? Bien difficile à dire. Il est déjà assez compliqué de retracer l’activité des sectes au sein des directions de certaines entreprises informatiques, ou de retrouver le nom de la petite cousine de l’épouse du gérant d’un magasin de meubles, magasin qui aurait subitement pris feu en banlieue et qui, bien entendu, n’aurait aucun rapport avec ce nouveau vendeur de matelas qui vient d’ouvrir boutique en centre-ville… Les circuits complexes des directions fantoches et des filières de blanchiment d’argent ne permettent pas d’affirmer avec certitude à qui profite au mieux le business de l’hébergement noir. Mêmes questions pour l’hébergeur AIH AbdAllah Internet Hizmetleri, l’autre héritier du capital-client RBN. Si l’on se réfère aux constatations d’un autre observateur reconnu de ce genre d’activité, Dancho Danchev, l’on se rend compte que depuis longtemps déjà, les net blocks de RBN passaient occasionnellement sous le contrôle d’Atrivo, tout comme si les deux hébergeurs se faisaient des politesses et des transferts d’adresses courtois. La notion de « reprise d’activité » est nette, mais rien ne vient confirmer ou infirmer si les rennes ont bel et bien changé de main.


La vie, l’univers et tout le reste…

Alors que la presse sérieuse se penche sur des problèmes fondamentaux, tel les DRM qu’Apple pourrait attacher à une paire de baskets ou la nocivité des ondes radio émises par les RFID (sic), quelques vains folliculaires anglo-saxons s’inquiètent des propos de Michael Reiss, Directeur d’Education de l’Institut de Londres, rapportés par nos confrères du Guardian. Propos qui, dans les grandes lignes, militeraient en faveur d’une prise en compte, dans le cadre de l’enseignement, des thèses créationnistes. « afin de mieux situer le discours scientifique par rapport aux croyances de chacun ». Les propos du Révérend Reiss sont d’ailleurs repris en détail dans les colonnes de Science Blog. L’alibi est clair, sous prétexte de pédagogie, l’on insère le coin de la mythologie « gratuite et obligatoire » dans les cursus d’enseignement scientifique. En une période où les grands commis de l’Etat voient en la religion le seul pilier de la morale humaine, rien là que de très normal. James Randerson, chef de rubrique scientifique du Guardian, réplique de manière cinglante dans un article intitulé « De l’origine du spécieux », jouant sur l’assonance du terme speciousness et species, les espèces. Rowan Hooper, du New Scientist, s’indigne tout autant de cette proposition, en rappelant qu’aux Etats Unis (pays dont la devise est « in god we trust »), 1 professeur sur 8 enseigne à ses élèves que le créationnisme est une science « valide » -à défaut d’être exacte- et que 2% des enseignants refusent de faire apprendre les théories évolutionnistes de Darwin.
Entre temps, l’Institut Britannique a désavoué la prise de position de Reiss, et le professeur-évangéliste est revenu sur des propos un peu plus modérés et tous aussi ambigus. La religion, tout comme la libre pensée ou encore l’athéisme, appartiennent au domaine du privé. Science sans conscience n’est que ruine de l’âme, mais conscience n’est pas synonyme de dogmatisme. Aujourd’hui, l’on parlerait d’étique plus que de conscience. Il est également dit de ne jamais confondre les choses de l’état et celles des croyances personnelles, de rendre à César ce qui est à César, et à dieu ce qui est à dieu. De toute manière, la seule véritable réponse est 42.


Adi Shamir joue au cube

Bruce Schneier a probablement été le premier à écrire quelque chose de compréhensible à propos de « l’attaque Cube » d’Adi Shamir. Et notamment de préciser que cette hypothèse mathématique développée par l’un des plus grands experts du chiffrement ne s’appliquait ni aux fonctions de hachage, ni aux mécanismes évolués de chiffrement par bloc (AES, DES… ainsi que les Blowfish et Twofish conçus par Schneier lui-même). Seuls quelques procédés plus simples peuvent succomber à l’attaque. Succomber est le mot car, si l’on se reporte à l’étude récemment publiée du professeur Shamir, l’attaque Cube repose sur une opération considérablement plus rapide que ce qui était possible jusqu’à présent (Shamir et Dinur parlent d’une opération de 2e19 bits, contre 2e55). Les spécialistes et passionnés de mathématiques auront l’occasion de réentendre le Professeur Shamir aborder ce sujet à l’occasion de la prochaine Eurocrypt2009 qui se déroulera à Cologne, du 26 au 30 avril l’an prochain.


Petites intrusions chez Microsoft

Il y a la manière touristique numéro 1, celle de Terry Zink, qui esquisse un pas de dance devant chaque bâtiment du campus Microsoft. Il est bien loin le temps où Microsoft Drive ne drainait qu’une dizaine d’immeubles et où le Burgermeister local décongestionnait la cantine d’entreprise. Si tout a progressé avec la même rapidité, la « boutique » du campus doit être aussi grande que la succursale de Fry’s de Palo Alto.
Il y a la manière touristique numéro 2, celle de Cédric Blancher, qui écrit de Singapour. L’exotisme de l’endroit ne semble pourtant pas influencer l’atmosphère des séminaires de sécurité, puisque l’on y retrouve encore et toujours les mêmes noms, et parfois même des communications déjà entendues sur d’autres continents. Mais ce qui est bon ne lasse pas. Contournement de la protection mémoire de Vista (ASLR-DEP), par Alexander Sotirov, les failles noyau Windows par Kostya, deux doigts de Heap Overflow sous Windows par Brett Moore, le hack du noyau Windows CE 6 par Matousek, on n’y voit que du bleu. Pour peu, on en oublierait qu’Eyal Udassin a également parlé d’attaque des réseaux Scada de distribution d’énergie, une causerie furieusement tendance après le coup d’éclat et l’exploit très médiatisé de Kevin Finisterre, il y a à peine une semaine. Et, comme pour relancer le débat entamé à l’occasion de la DefCon sur le mésusage des RFID dans des endroits où ils n’ont rien à faire, Adam Laurie, du Bunker interprétait une variation sur le thème « hacking des passeports RFID pour s’amuser et s’instruire ».


Le rêve américain : du spam dans toutes les consciences

Brian Krebs du Washington Post voit rouge. Un journaliste pourtant réputé pour sa compétence, son refus du sensationnalisme de bas étage et son acharnement à parfaire les enquêtes sur les grands réseaux cybermafieux. A l’origine de l’affaire, une décision du tribunal d’Etat de Virginie d’abroger une loi antispam locale, sous prétexte qu’elle allait à l’encontre de la liberté d’expression. En quoi cette décision est importante ? Parce qu’elle ouvre une brèche dans le système de protection des internautes, explique Krebs. Aux Etats-Unis, il existe bien une loi antispam Fédérale –assez permissive d’ailleurs-. Mais si, par malheur, le plaignant perd devant les avocats du spammeur poursuivi, il est condamné aux dépends. C’est en vertu de cette disposition que, l’an passé, James Gordon, un pourfendeur de polluposteur, s’était vu condamné à verser 111 000 dollars, alors qu’il avait eu l’imprudence et l’impudence de s’attaquer à Virtumundo. Les lois d’Etat sont financièrement moins contraignantes, ce qui explique que les associations de consommateurs y aient plus souvent recours. Elles choisissent généralement l’un des 38 Etats ayant déjà promulgué de tels arrêtés. On comprend aisément que la brusque décision de la cour Virginienne ait ému les représentants de ces associations.
L’on peu ajouter qu’une telle disposition concerne également les citoyens européens. Car, en garantissant une certaine impunité, voir une permissivité encore plus grande que ce que tolère la loi CanSpam, des Etats tels que celui de la Virginie constituent rapidement des ports francs où se réunissent les principaux polluposteurs américains qui inondent les réseaux d’Europe.

Il reste pourtant un espoir. Celui de l’appel devant la Cour Suprême qu’envisage de faire l’Avocat Général de Virginie (Procureur d’Etat) Bob McDonnell. Lequel cherche à faire instituer un texte antispam visant spécifiquement les entreprises commerciales, afin que politiciens et évangélistes de tous bords puissent continuer à répandre leur « e-bonnes-paroles » sans risquer d’être condamnés.

Pour approfondir sur Menaces, Ransomwares, DDoS