Spécial sécurité : Un ZDE Adobe ouvre une porte dérobée
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se sont intéressés à Adobe, aux hackers de RFID et aux défauts des mots de passe.
Sommaire
1 - Un ZDE Adobe ouvre une porte dérobée
2 - Joanna et Intel, le Nevada et les hackers de RFID, les barbouzes et Skype
3 - Chômeur, vilain chômeur… et voleur en plus !
4 - Mots de passe qui ne passent pas
Un ZDE Adobe ouvre une porte dérobée
Elle est « critique » nous affirme l’éditeur, et touche indifféremment Adobe Reader et Acrobat. Et en plus, elle ouvre une backdoor qui servira à asservir la machine victime, nous certifie l’Avert Lab. C’est par le biais d’un document PDF forgé que des black hats peuvent parvenir à injecter un Troyen relativement néfaste. Shadowserver, pour sa part, préfère insister sur la seule parade applicable pour l’instant – la désactivation de JavaScript (air connu). Le Cert US en fait de même, en détaillant par le menu la nécessaire modification de la Ruche. Sur le blog SourceFire, l’on offre une rustine provisoire à la mode ZERT, qui « fonctionne contre l’attaque en cours, mais qui n’est pas nécessairement opérationnelle contre d’autres variantes qui pourraient bientôt voir le jour ». Tant qu’Adobe n’a pas publié de mise à jour, ce patch peut éventuellement servir en cas d’urgence. Mais précisons avant toute action irréfléchie que, malgré la « bonne renommée » de l’équipe Snort, toute rustine exogène mérite de passer par une batterie de tests de non-régression avant tout déploiement. En outre, cette attaque semble pour l’instant très ciblée, et ne chercherait à toucher que certaines institutions et administrations Américaines. Ce n’est pourtant là qu’un constat à moitié rassurant, compte-tenu de la rapidité avec laquelle certains vers sont adoptés et intégrés dans les « kits de malwares » à la mode.
Joanna et Intel, le Nevada et les hackers de RFID, les barbouzes et Skype
Suites de différentes affaires ayant secoué la blogosphère sécurité ces derniers jours :
Joanna Rutkowska signale la mise à disposition du rapport et des « transparents » de sa toute dernière causerie traitant du hack de l’Intel TXT (Trusted Execution Technology) mentionné vendredi dernier à l’occasion de la Black Hat 2009 de Washington. Le rapport de recherche porte le titre de Attacking Intel Trusted Execution Technology, les « slides », quant à eux, sont de « belles images sans le son ». Le mélange des deux devrait faire comprendre à de rares experts la substantifique moelle du discours Joannien.
Egalement mentionné vendredi dernier, dans le cadre de Schmoocon, les travaux de Chris Paget sur le clonage des passeports à RFID « UHF » destinés aux frontaliers des USA. A force de malmener les « étiquettes intelligentes» et de prouver que leur usage est parfois –souvent même- mal adapté aux capacités dudit composant, un sénateur du Nevada a décidé d’interdire toute communication ou action spécifique au hack des RFID. Ce n’est, pour l’heure, qu’un projet de loi. Mais un projet fort gênant, si l’on considère que c’est au Nevada que se déroulent la BH d’été et la Defcon, principaux théâtres d’opérations où sévissent les spécialistes du genre. Loi prouvant une fois de plus que la « sécurité par l’obscurantisme » et la censure demeurent trop souvent l’unique réaction des politiques par rapport à un sujet qui les dépassent. Rappelons qu’en France, des textes semblables condamnent la publicité, la distribution, la détention et l’usage des principaux outils de tests de pénétration à partir du moment où l’usager n’est pas un expert patenté, reconnu et agissant dans le cadre précis d’une campagne de tests définis par contrat. Ceci probablement pour coller au plus près à la « réalité du terrain », celle des pirates… les vrais.
Après les barbouzes de la NSA, c’est au tour des Euroflics de s’inquiéter de l’imperméabilité de Skype. Paul Meller, de Network World, indique que la question des « écoutes VoIP » constituera l’un des principaux débats à l’occasion de la prochaine réunion EuroJust. EuroJust est un comité Européen de coordination des enquêtes et des poursuites judiciaires, chargé d’améliorer les communications entre autorités judiciaires des différents pays de l’Union. Ce serait l’Italie qui aurait le plus violemment attiré l’attention sur ce problème en particulier. Depuis un certain temps, les portes-flingues de la Mafia auraient pratiquement délaissé les lignes téléphoniques terrestres et les cellulaires de tous crins au profit de Skype, de sa fiabilité et de son chiffrement. Bien sûr, le « coupable » est montré du doigt, qui refuse de communiquer de quelque manière que ce soit l’art et la manière de poser des « bretelles » sur son réseau pour écouter les communications de ses abonnés.
Info ou intox ? Nul ne sait réellement –forces de polices mises à part- dans quelle mesure et surtout avec quelle rapidité il est possible de piéger un ordinateur tentant d’anonymiser ses communications, que ce soit à l’aide d’un programme VoIP propriétaire ou sous le couvert d’un tunnel tel que Tor, l’Onion Router. Nul ne sait non plus –faute de prise de position claire à ce sujet- quelle sera l’attitude d’eBay sur ce point : il est peu probable que la « récompense » promise il y a peu par la NSA ou que les pressions amicales des autorités d’Outre Atlantique ne l’incitent à garder le silence trop longtemps.
Ch ômeur, vilain chômeur… et voleur en plus !
Encore une étude catastrophiste publiée par le Ponemon et commanditée par Symantec. Cette étude se penche cette fois sur un panel d’un petit millier de personnes licenciées ou ayant quitté une entreprise durant les 12 derniers mois écoulés. 59 % des personnes interrogées admettent avoir quitté leur poste avec des données appartenant à l’entreprise, et 67% affirment avoir utilisé des informations obtenues dans le cadre de leur ancien emploi dans le but d’acquérir un poste plus important. Une forme de « prime à l’expérience professionnelle » en quelques sortes, car dans près de 40% des cas, les données « empruntées » sont des fichiers de clientèle. Dans près de 64%, en revanche, ces données sont des sauvegardes des échanges email, dont le contenu n’est pas précisé.
Plus de 24 % des personnes précisent que leurs accès au système informatique étaient encore possibles après que leur départ fut officiellement prononcé, 20% d’entre eux précisant que ces accès avaient perduré au-delà d’une semaine après leur départ. 82 % des sondés affirmaient même que l’entreprise n’avait jamais entamé le moindre audit concernant les fichiers informatiques ou dossiers papier consultés avant le départ de l’intéressé.
Le commanditaire de l’étude - spécialisé notamment dans la commercialisation de logiciels DLP - fait ressortir quelques chiffres impressionnants sur les supports utilisés pour faciliter les fuites de données en question. Dans 53 % des cas, les informations partent sur un DVD ou CD-ROM, dans 42% sur une clef USB et dans 38% via un attachement email.
Cette étude est probablement à conserver précieusement car elle se situe encore dans le contexte économique de l’année écoulée. Les causes de départ sont diverses : 37 % de mise à pied, 38% de départs volontaires suite à une proposition d’emploi, 21% de démissions « par anticipation » avant le commencement d’une charrette… L’accroissement des mises à pied et la diminution des offres d’emploi, tendance déjà constatée par l’ensemble de l’industrie occidentale, pourrait bien totalement modifier la prochaine édition de cette même analyse.
Mots de passe qui ne passent pas
Bob Graham –qui sévit cette fois non pas sur le Security Focus, mais dans les colonnes de Dark Reading- s’est penché sur la collection de 20 000 mots de passe diffusés lors du hack de PHPBB. Les résultats sont sans la moindre surprise : les mots de passe sont absolument « évidents » et à 94% récupérables dans le cadre d’une attaque par dictionnaire. 16% de l’échantillonnage est constitué de prénoms, 14% sont des suites de dactylogrammes genre 12345 ou azerty, 4 % sont des variations du mot « password », 5% sont des références populaires qui vont de Pokemon à Star Wars, 4% sont inspirés du matériel utilisé ou d’un objet périphérique –Presario, Apple, Dell etc-, ceci pour ne pas nommer les héros de séries TV ou les noms de grands footballeurs. Par ordre de popularité, les mots de passe les plus utilisés étaient 123456, password et phpbb, suivis de près par qwerty.
A remarquer que la longueur moyenne des mots de passe est de 6 lettres, soit une lettre de plus que la longueur moyenne des mots usuels de la langue anglaise.
Dans l’ensemble, cette analyse reflète très exactement toutes les études précédentes déjà rédigées sur ce sujet. L’application de politiques de mots de passe plus strictes ne change généralement pas ces comportements. L’obligation de mélanger lettres et chiffres se solde souvent par un choix identique à ceux susmentionnés, achevé généralement par le chiffre « 1 ». Les politiques contraignant de fréquents changements de mots de passe se sont toutes soldées par une désaffection notable du service en ligne qui tentait d’appliquer une telle pratique de sécurité.