Spécial sécurité : quand les ministres britanniques jouent avec Internet
Depuis le début du mois d’août, LeMagIT vous propose de découvrir en avant-première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Aujourd'hui nos confrères abordent le danger du clic, l’inconséquence à haut niveau et les dangers de Bluetooth.
Sommaire
1 – Attaque distante sans compromission
2 - Quand les ministres britanniques jouent avec Internet
3 - Les dangers de Bluetooth vus par le NIST
Attaque distante sans compromission
"Chaque lien que vous cliquez est dangereux" titre PdP sur GnuCitizen. L’auteur précise qu’un vieux bug déjà signalé en décembre dernier et documenté sur Bugzilla est encore exploitable. Ce bug de navigateur, ou plus exactement cette erreur de conception, sert de base à une attaque en « clic jacking », en « détournement de navigation Web » en quelques sortes. Petko d.Petkov explique pas à pas comment un internaute se connecte à Digg.com, puis se voit demander une confirmation de crédence, portant le même ramage et le même plumage qu’une véritable page Digg. Une fois les crédences volées, l’usager est renvoyé vers le véritable site.
C’était d’ailleurs plus ou moins ce que décrivait Moxie Marlinspike lors de la dernière BH. Aucune intrusion n’est perpétrée contre le poste de la victime, pas le moindre code n’est exécuté « localement », les signes montrant la « légitimité » d’un lien sécurisé peuvent même être singés pour endormir la confiance de l’utilisateur… et mis à part l’affichage d’une fenêtre pop-up ou d’un onglet supplémentaire, il est difficile aux yeux d’un non initié de soupçonner qu’il se déroule à ce moment précis une chose dangereuse. Après coup, même le plus expert des gourous spécialistes de la recherche de preuves ne trouvera pas la plus petite failles par laquelle aurait pu disparaître le « login-mot de passe » ayant entraîné la ruine de la victime. C’est là, une fois de plus, la preuve que la notion de criticité d’un défaut logiciel n’est pas synonyme exclusif « d’exploit exécuté à distance ».
Quand les ministres britanniques jouent avec Internet
C’est le Telegraph qui dévoile les dessous de l’affaire : Jack Straw, Ministre de la Justice de Grande Bretagne, s’est fait pirater son compte email utilisé dans le cadre de sa charge. L’alias de Straw aurait servi à une bande spécialisée dans une escroquerie de type « scam nigérian ». Les Admins de la Couronne auraient-ils un pressant besoin de formation aux règles élémentaires de sécurité ? My Goodness ! Sure Not ! Car le très Britannique Ministre n’utilisait pas l’infrastructure de messagerie du Gouvernement, mais un compte email Hotmail. Certes, l’on sait combien les Services Secrets n’en ont aucun (de secrets) pour leurs confrères Américains de la NSA et de la CIA, mais à ce point, c’est faire preuve d’un certain manque de dignité. Nos confrères d’IT Pro renchérissent en laissant la parole à un docte responsable sécurité travaillant pour le compte de Trend Micro. Lequel Fergusson donne un nombre d’arguments techniques tous aussi incontestables les uns que les autres, en omettant toutefois un tout petit détail : Tout ce qui a pu transiter par le biais de cette messagerie a échappé aux archives de l’Etat. En embrassant une fonction Ministérielle, Monsieur Straw a totalement oublié que sa vie de Ministre appartenait à l’histoire du pays, et non plus à lui-même. Et encore n’aborde-t-on pas les fuites d’information qu’une telle attitude a pu provoquer. Ce serait comme…. Comme si Rachida Dati utilisait une messagerie BlackBerry ou si Frédéric Lefèbvre allait télécharger une partition de Buxtehude sur un site de piratage d’incunables du XVIIeme.
Les dangers de Bluetooth vus par le NIST
Le Nist publie un document passionnant traitant de la manière de bien utiliser les systèmes de transmission Bluetooth. Sur plus de 40 pages, cette « autorité de la sécurité » commente les qualités mais aussi –et surtout- les faiblesses de ces liens sans fil, ce qui conduit les rédacteurs de ce rapport à recommander l’usage des règles de sécurité les plus « extrêmes ». L’usage du moindre mode dégradé, disent en substance les chercheurs du Nist, correspond peu ou prou à divulguer ouvertement et à tout le monde ce qui pourrait utiliser ce canal de transmission. Reste que les modes à sécurité renforcée sont souvent soit ergonomiquement inutilisables soit totalement absents des équipements « bluetoothisés ».
A noter, en milieu de document, une taxonomie des différentes vulnérabilités recensées (tableau 4.1). Du PIN d’accès trop court à l’absence de gestion de ces codes d’accès, sans oublier la réutilisation des clefs de chiffrement, le mauvais stockage des « link keys », les demandes d’authentification répétitives, les clefs « partagées » etc… Le club des fans de Thierry Zoller et de son BTCrack retrouvera là tout ce qui se dit et se répète depuis des années.