Spécial sécurité : non à l'obscurantisme sécuritaire

Tout au long du mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Dans cette édition, la rédaction de CNIS relaie et appuie le message du gourou américain Bruce Schneier, en faveur du "full disclosre", politique de divulgation publique des failles de sécurité et de la façon de les exploiter. Avant de dresser un sombre bilan des vols d'identité en 2008.

cnis logosnoirSommaire :

- 1 - Trop causer nuit ? 

- 2 - Mot de passe Bitlocker : en clair et en mémoire

- 3 - Vol d’identité : 2008 sera un crû exceptionnel 

- 4 - Les banques écossaises fuient sur eBay

- 5 - Microsoft réédite son « black screen of crack »

- 6 - Intel corrige, Joanna cause… 

- 7 - Virus en apesanteur 

1) Trop causer nuit ?

Cela faisait bien longtemps que Bruce Schneier n’avait jeté un pavé dans la mare du «  full disclosure », cette divulgation responsable qui consiste à communiquer publiquement les détails techniques d’une faille ou d’une possibilité d’exploitation. Il aura fallu attendre l’affaire du MBTA, la régie des transports bostoniens dont la vulnérabilité de la billetterie devait faire l’objet d’une conférence à l’occasion de la Black Hat de Las Vegas.

Le père de Twofish déplore que la publication des détails des recherches, conduites par des étudiants du MIT travaillant sous la direction de Ron Rivest, n’ait pu être effectuée à temps : « the damage is done », dit la Voix démocrate de la sécurité américaine.

Schneier semble d’un pessimisme certain. Car si jamais la régie bostonienne n’avait fait preuve de frilosité procédurière, la communication de l’équipe du MIT serait très probablement tombée dans les poubelles de la gloire. Qui se souvient encore du hack des forfaits de ski RFID des stations de sport d’hiver suisses dans les colonnes de RFIdiot ? Et, hormis quelques experts, peut-on jurer que l’attaque Man in the Middle de Melanie Rieback soit encore dans toutes les mémoires ? Désormais, et ce surtout depuis la levée de l’injonction par un juge fédéral, il y a fort à parier que le ban et l’arrière ban du monde sécurité souhaite se ruer sur les détails techniques de la communication en question : le MBTA a plus travaillé pour l’antenne communication du MIT que pour la préservation de sa propre image de marque.

Là où, en revanche, Schneier marque un point important, en rappelant une vérité souvent oubliée, c’est lorsqu’il insiste sur le fait que les recherches de vulnérabilités ne sont pas le seul fait des chercheurs. Les pirates et auteurs de malware n’attendent pas qu’un Maynor, un Litchfield, un Liu Die Yu ou un Rainforest Puppy tiennent salon dans les tribunes d’une Defcon. Contraindre un chercheur au silence, explique-t-il depuis des années, c’est exposer les usagers d’un programme ou d’un équipement à vivre en permanence dans l’ignorance d’un danger. Et par voie de conséquence, de ne pouvoir prévoir de mesure palliative. Ce qui, par un effet d’osmose, se découvre dans les labos des « white hack » connaît peu ou prou des développements similaires dans les officines des pirates… L’imposition d’un secret ne supprime pas la menace et le risque.

Les réactions des éditeurs, continue le fondateur de Counterpane, sont essentiellement viscérales, irréfléchies. On pourrait les comparer à celles des parents dont l’enfant a été pris en otage. Pourquoi la police refuse-t-elle de verser la moindre rançon à un preneur d’otages ? Précisément parce que cela encouragerait le business de la prise d’otage. Ce qui, émotionnellement, ne peut être accepté par la mère d’un enfant kidnappé. Il y aura toujours un MBTA, un fabricant de serrures, un éditeur de navigateur Web qui réagira comme une mère de famille. Est-ce une raison pour que nos sentiments d’empathie l’emportent sur la raison et penchent en faveur d’une censure des recherches ? Certes non. Chaque jour, le « full disclosure », la divulgation autodéterminée et auto-raisonnée des chercheurs, incite les éditeurs et équipementiers à améliorer la qualité de leurs produits. Sans cet aiguillon, bien des failles demeureraient béantes, en vertu du principe de « sécurité par l’obscurantisme » : les défauts de sécurité dont on ne parle pas ne sont pas connus, donc non exploités. Charmante comptine pour enfant qui consiste à dire que les loups n’existent pas. Hélas, les loups existent, introduits dans un monde qui ne sait pas toujours les combattre. Hélas, certaines mesures de protection trop propriétaires ne sont pas toujours très efficaces.

2) Mot de passe Bitlocker : en clair et en mémoire

C’est une communication pleine d’astuce que publie Jonathan Brossard, d’Iviz (Indes), sous le titre évocateur «  Bypassing pre-boot authentication passwords by instrumenting the BIOS keyboard buffer ». Précisons avant toute chose que cette rémanence du mot de passe bitlocker dans le buffer du bios ne peut être mise en évidence que sur les premières éditions de Vista, le défaut ayant été corrigé avec le SP1. A l’heure actuelle, il semblerait que seul le Cert danois ait fait l’effort d’un bulletin d’information suite à la divulgation publique de cette information dans les colonnes du Full Disclosure.

3) Vol d’identité : 2008 sera un crû exceptionnel

Les statistiques des fuites de données – accidentelles ou résultant d’un hack - ont déjà dépassé les résultats 2007. Les 4 mois restants vont, sans le moindre doute, nous réserver bien des surprises, pensent les rapporteurs du tout dernier rapport de l’ITRC. Précisons en outre que le record de l’an passé - 446 affaires déclarées - est probablement très éloigné de la réalité. Combien de pénétrations, combien de disques durs perdus, combien de portables volés débordant de fichiers personnels n’ont fait l’objet d’aucune signalisation aux autorités ? Et quand bien même ces démarches sont effectuées que le nombre exact de victimes potentielles n’est avoué que dans 40 % des cas. Malgré tous ces facteurs minimisant le nombre total d’identités « perdues », l’ITRC arrive tout de même à comptabiliser 22 millions de personnes touchées. Nos confrères de Security News en écrivent un roman sans guère ajouter plus d’informations, nos voisins du Reg émaillent leur rapport de quelques exemples croustillants... Gageons que, dans les deux ou trois jours qui suivront, les rédactions des principaux journaux spécialisés crouleront sous les articles intitulés « avis d’experts » émis par les CTO des principaux vendeurs d’appliances DLP (Data Loss Prevention).

4) Les banques écossaises fuient sur eBay 

Est-ce pour concourir à la confirmation de la tendance détectée par l’ITRC ? Toujours est-il que la vente sur eBay d’un ordinateur déclassé provoque une tempête en Ecosse. Car c’est en achetant une machine d’occasion qu’Andrew Chapman, ingénieur micro de son état, découvre sur le disque dur d’ycelle un monceau de « fichiers clients » appartenant à la Royal Bank of Scotland et à certaines de ses filiales. La BBC, avec son flegme légendaire, relate les faits dans les détails. Le coupable, de son côté, déclare qu’il s’agit là d’un accident absolument regrettable – un qualificatif qui relève moins de l’understatement homéopathique et discret que de l’euphémisme en barquette familiale -.

Ce qui est éminemment regrettable, c’est qu’une machine « reversée » ait échappé aux procédures de sécurité normées, aux « bonnes pratiques » qui elles-mêmes, faut-il le rappeler, sont originaires de Grande-Bretagne (la fameuse BS-7799).

Ce qui est encore plus regrettable, c’est de constater qu’Outre Manche, il ne se passe pas un mois sans que la presse locale ne se régale d’une clef USB perdue par un fonctionnaire du Ministère des Armées, ne se gausse d’une fuite réseau d’une chaîne de magasins internationale ou étale sur cinq colonnes les errements informatiques des routeurs WiFi de la City ou de l’opérateur historique. Pauvres Grands Bretons. Car, durant ce temps, en France, pas le plus petit morceau de hack ou de vermisseau infectieux, pas l’ombre d’une perte de données chez nos banquiers, pas l’once du soupçon d’un quart de poil de scrupule de pouillème de fuite du côté de nos ministères. A croire que nos Elus et nos Grands Argentiers sont des cracks de la messagerie chiffrée, des experts de la base de données inexpugnable, des parangons de la procédure ISO 27001 et suivantes, des océans de sagacité sécuritaire. Et çà, franchement, c’est monstrueusement rassurant. Terriblement apaisant. Abominablement tranquillisant. Et peut-être même épouvantablement calmant.

5) Microsoft réédite son « black screen of crack »

Le nouveau WGA (Windows Genuine Advantage), destiné à détecter les versions de Windows XP qui ne seraient pas « garanties sur facture », ressemblera trait pour trait à celui en vigueur sous Vista. Les copies dont la validation aurait échoué porteront le deuil avec, comme seule tâche de couleur, un cartouche signalant l’aspect douteux de l’origine du noyau qui a un pépin. Il est possible, rassurent les hommes du MSDN, de restaurer le papier-peint d’origine. Mais pour une durée de 60 minutes seulement. Voilà qui va probablement provoquer quelques cris et grincements de dents dans les bureaux de certaines entreprises. Car parfois, et sans que la moindre fraude n’entre en jeu, les déploiements de licences « Select » et autres formes volumineuses connaissent des hiatus inexplicables. Le WGA saura-t-il reconnaître les siens ?


 

6) Intel corrige, Joanna cause… 

Intel publie le bulletin d’alerte par lequel est annoncé la correction du bug « Q35 ». Une fonction relativement cryptique qui serait passée totalement inaperçue si Joanna Rutkowska ne l’avait exploitée dans le cadre de sa présentation sur la compromission d’un hyperviseur Xen. Car, en travaillant en Ring zéro, il est possible sous certaines conditions et sur certains processeurs, de venir modifier directement la mémoire de l’hyperviseur, « sans nécessairement passer par le System Management Mode » précise l’auteur de Blue Pill. En toute logique, les personnes qui assisteront à la prochaine ISF Conference qui se déroulera en Suède bénéficieront donc d’une version « non expurgée » du show «  subverting Xen hypervisor for fun and profit ».


 

7) Virus en apesanteur

BBC Online « scoope » en révélant l’existence, à bord de la station spatiale ISS, d’un passager clandestin : un virus-ver Gammima.AG aurait décidé de suivre une liaison montante par le biais d’une clef USB « qualifiée espace ». Cette mésaventure soulève un véritable problème de fond, celui de la mise en place d’une véritable stratégie de protection périmétrique circumterrestre. A commencer par l’institution d’un trunk d’uplink sur 12 GHz uniquement destiné à Apt-get update et Microsoft Update. Il serait ensuite nécessaire de prévoir une « ligne chaude » par faisceau laser à chiffrement quantique entre ISS et les principaux Response Team des éditeurs d’A.V. bénis par l’ESA, la Nasa et leurs coreligionnaires russes, chinois ou indiens. Avec une ouverture Vsat Kasperky sur Baïkonour, une antenne Symantec sur Cap Canaveral et Vandenberg, un feed spécifique NetAsq émis depuis Kourou…

Un problème de taille reste cependant à résoudre. Les licences des produits de protection périmétrique sont généralement prévues pour couvrir une année calendaire, en d’autres termes la durée de 365,2 rotations terrestres. Le laboratoire ISS se déplaçant à la vitesse moyenne de 27000 Km/h – soit une rotation terrestre toutes les heures et demi -, il apparaît que le montant général des licences exigibles par les différents éditeurs approcherait les 800 milliards de dollars par mission. Selon l’agence Chine Nouvelle, Pékin serait en train d’imaginer une parade reposant sur des supercalculateurs à boulier (enduits de xylophène), tandis qu’au siège de l’Agence Spatiale Européenne, l’on proposerait l’abandon de toute architecture Wintel au profit d’une logique bibinaire, fruit du travail de l’ingénieur français B. Lapointe. Le bibinaire, après fermentation malo-lactique, est un puissant répulsif à toute forme d’attaque virale.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)