Spécial sécurité : faux et usage de faux
Tout au long du mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. En vedette de cette édition : les faux nez employés par les concepteurs de malwares pour mieux tromper leurs victimes. Et une lecture rafraîchissante des changements de politique de licence chez Microsoft.
Sommaire :
- Faux sans défaut foisonnent follement
- Microsoft légalise le « piratage » de ses applications
- Un HIPS gratuit : serveur touché, serveur pas coulé
- Petit trou Cisco ne deviendra pas grand
- Faux sans défaut foisonnent follement
Faux colis… piégés bien entendu. « Bon matin… nous avons manque de livrer le pli (le colis postal), que vous avez envoy le 29 juillet, ». Ce prétendu courrier émis par un certain « Consultant Mohamed Law de La Poste France » est, sans surprise, aussi truffé de virus. Rien de très nouveau, rapporte le Cert-Lexsi, si ce n’est que ce piège a été traduit en Français… du moins à ce qui ressemble à du Français aux yeux des polluposteurs-vecteurs d’infection. Le jour où Babelfish traduira correctement les textes qui lui sont proposés, les responsables sécurité auront du souci à se faire.
Fausse barre d’outils, détectée par un lecteur du blog de l’Avert Lab de McAfee. Un clone de toolbar Google qui, en douce, ouvre une cession Terminal Serveur à l’insu du plein gré de l’informatisé "moteurderecherchophile". Cette forme d’intrusion est un petit bijou d’ingéniosité, car c’est la victime qui installe elle-même le piège qui causera sa perte. A classer dans les malwares spécialisés dans l’espionnage ciblé, catégorie « trucs vicieux ».
Faux antivirus, un palmarès régulièrement mis à jour par Dancho Danchev. Il s’agit là de ces outils qui, spontanément, détectent sur le poste de la victime un « dangereux virus accompagné d’une probabilité de compromission redoutable ». Mais, n’écoutant que son courage et son altruisme, le bienveillant Antivirus2008Pro (voire son cousin SystemScanner 2009 ou son beau-frère virus-onlinescanner) propose de s’installer et de bouter l’envahisseur hors des frontières du poste infecté. Certains des sites promotionnels ont parfois l’air plus vrai que nature. Mais méfiance : tous ces Snarks sont des Bojums.
Faux clients en maraude. Mikko Hyppönen de F-Secure, se penche sur le business trouble des « drops », version Cyber des fourgues d’autrefois. Ces Drop sont des intermédiaires qui, au service des utilisateurs de numéros de cartes de crédit volées (les Carders), reçoivent la marchandise achetée généralement sur des sites de vente en ligne. Leur travail consiste soit à réceptionner puis réexpédier les biens à l’acheteur, soit à revendre les produits puis à en reverser une partie de la valeur au cybervoleur situé en bout de chaîne. Est-il nécessaire de préciser que le fourgue en question récupère du même coup une commission confortable ? On apprend au passage quelques termes de L33tSpea4 et acronymes spécifiques à cette activité
Faux pas ! Un juge Fédéral vient d’annuler l’ordre de non-divulgation imposé par le juge d’Etat du Massachusetts, décision qui censurait la publication des travaux d’étudiants du MIT à propos de failles dans les systèmes de billetterie du métro de Boston. Le Register, l’EFF, le Focus, Slashdot, Cryptome : tout Internet bruisse de ce revirement de situation. La décision initiale vient d’être jugée anticonstitutionnelle (mot on ne peut plus difficile à placer dans un article traitant d’informatique, soit dit en passant).
Ce n’est pas la première fois que des plaignants cherchent à exploiter le conservatisme d’un juge attaché à un « US District Court » du Massachusetts. Les magistrats de la côte Nord-Est sont réputés pour leurs verdicts systématiquement en faveur des institutions et du monde des affaires, ainsi que pour leur hermétisme aux arguments techniques. Il faut rappeler que c’est grâce à ce même tribunal de Boston que Lotus a longtemps pu combattre toute concurrence sur le marché des tableurs en vertu du principe du « look and feel » (ressemblance troublante ne pouvant pas tout à fait être qualifiée de « faux »). En demandant que l’affaire soit portée devant une instance Fédérale, l’EFF, qui s’était rangée du côté des étudiants poursuivis, a permis de débouter la régie des transports de Boston de leur demande, à savoir un moratoire des publications du MIT pour une durée de 5 mois, laps de temps nécessaire à une remise à niveau des installations.
- Microsoft légalise le « piratage » de ses applications
Jusqu’à présent, copier un SQL Server d’une machine vers une autre était, en vertu des mécanismes de licence Microsoft, considéré comme un acte de piratage. Une vision peut-être légitime sous l’éclairage d’une informatique respectant le très classique modèle client-serveur, mais qui se révèle totalement inappropriée à une informatique virtualisée. Qu’un ordinateur – physique - vienne à manquer de ressources, et il paraît légitime que l’administrateur puisse copier la machine virtuelle hébergeant une application gourmande sur un autre ordinateur un peu plus disponible. Une manière comme une autre d’appliquer aux applications serveur la logique de « gratuité de mouvement » que connaissent les couches HyperV ou Virtual Server.
Sont donc « piratables » (sous réserve de possession d’une licence) les services tels que SQL Server 2008 Entreprise, Exchange Server 2007 SP1 (éditions Standard et Entreprise), Dynamics CRM 4.0 (versions Entreprise et Pro), Office SharePoint Server 2007 et System Center. Cette liste n’est pas exhaustive et devrait évoluer avec le temps.
Rappelons que la possession d’un HyperV autorise la cohabitation de 5 instances de noyaux (système d’exploitation serveur) sur une même plateforme. Comme les applications susnommées nécessitent d’être « encapsulées » dans une VM associée à un noyau serveur, cela impliquerait que cette autorisation de copie à des fins de « load balancing » manuel s’étende également aux systèmes d’exploitation. Autrement dit qu’il soit envisageable de lancer, sur un parc de deux machines, 8 VM sur un système particulièrement musclé et une seule instance de Server 2008 sur le second ordinateur.
Mais il serait bon que la chose soit clairement précisée par les gourous de cette science qu’est le déchiffrement des EULA Microsoftiennes…. Une discipline ardue à côté de laquelle le C++ passe pour un vague passe-temps pour enfants en bas-âge.
- Un HIPS gratuit : serveur touché, serveur pas coulé
Whentrust, un HIPS (host base intrusion prevention system) issu des développements linuxien du Pax Team*, est désormais placé sous l’étoile Open Source. Le programme était, dans ses anciennes versions, commercialisé dans sa version professionnelle et diffusé gratuitement pour les particuliers
*les membres du Pax Team sont les pères putatifs d’ASLR, ce système d’adressage mémoire flottant qui complique l’exploitation des attaques par débordement de tampon (BoF). ASLR est, depuis Vista, un procédé adopté par Microsoft. Par le plus grand des hasards, Microsoft est également, et depuis peu, l’employeur de Skape, le papa de Whentrust.
- Petit trou Cisco ne deviendra pas grand
Il passerait presque inaperçu, ce défaut d’un contrôle ActiveX utilisé par le Meeting Manager de Webex (société appartenant à la galaxie Cisco). Il vient de faire l’objet d’une alerte de l’équipementier, d’une publication de son inventeur sur la liste FD et même d’un cri d’alarme poussé par le Cert US.