Spécial sécurité : fuites d'informations, la faute à pas de chance ?
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, zoom sur l'étrange indifférence qui entoure les affaires de fuites d'information. Avant de faire un détour vers le prochain mardi des rustines (Patch Tuesday).
Sommaire
- 1 - Fuites d’information : l’orchestration de l’indifférence
- 2 - Identités et authentification, la kerberisation par la pratique
- 3 - Patch Tuesday : les serveurs à la fête
- 4 - Conflicker, mises au point et mises à jour
- 5 - Victoria’s Secret, ou le dur métier de l’analyse forensic des mannequins
1) Fuites d’information : l’orchestration de l’indifférence
Le refus des responsabilités porte un nom. Un nom qui, étrangement, se retrouve dans toutes les cultures. Mektoub dans les pays arabes, Fatalitas chez les Chéribibiens, Fatum pour les victimes des tragédies antiques, Destin dans le langage courant. Cette main du Destin, ce Deus Ex Machina, s’interroge Mari Kirby Nichols du Sans, serait-il en train de banaliser, d’excuser les fuites d’information de plus en plus monstrueuses qui se découvrent chaque jour ? Est-ce la faute aux médias ? Médias qui, après tout, ne font que bénéficier des conséquences des lois américaines sur l’obligation d’information publique. Nichols prend pour exemple une mésaventure qui lui est arrivé : son identité aurait été compromise après le hack du système de réservation des hôtels Wyndham. La lettre circulaire prévenant les victimes potentielles précise que cet acte a été perpétré « par un hacker excessivement sophistiqué ». La faute à pas de chance. Il était trop fort. On ne peut rien contre de telles personnes, savez-vous. Une façon insidieuse d’invoquer la main des trois Moires, une malédiction immanente qui rappelle l’argument avancé il y a quelques jours à peine par les administrateurs de Monster.com, site de petites annonces, dont les fichiers font régulièrement l’objet de « visites » indiscrètes : « As is the case with many companies that maintain large databases of information, Monster is the target of illegal attempts to access and extract information ». Ce n’est plus de l’œuvre de Tychè, c’est inévitable. C’est le côté obscur de l’Amor Fati.
Cédric Blancher en a d’ailleurs pris un coup de sang. Lorsque l’ampleur de l’accident devient incompréhensible, voilà la Fatalité qui reprend du service, le Destin Aveugle qui frappe avec une clairvoyance troublante, une nouvelle saute d’humeur de Fortuna. Pour peu, s’il n’y avait eu avant eux Eschyle, Sophocle et Euripide, les gourous de la Communication Moderne auraient breveté cette idée-là. Après tout, si ça marche avec les morts d’un retour de week-end de Pentecôte, pourquoi ça ne fonctionnerait pas pour une base SQL qui fuit ?
Mais ça ne marche pas à tous les coups. Surtout si l’on tente d’avancer cette excuse auprès de personnes morales ou physiques qui pourraient également recourir à cette ficelle grossière. Pour les « clients », passe encore, mais pour les banquiers… Au cours d’un sondage rapide orchestré par l’Independent Community Bankers of America, un club de grands et petits argentiers américains comptant près de 5 000 membres et 18 000 établissements, il semblerait que le tout dernier hack de Heartland aurait affecté plus de 60 % des établissements ayant émis des cartes de débit, et 21 % des banques offrant à la fois des cartes de débit et de crédit. Ce n’est là que « l’impression à chaud » des membres de ce club ayant accepté de répondre, et en aucun cas une froide analyse comptable. A la lumière des constatations factuelles établies par Dataloss.db, les dégâts sont moins importants. « Seuls », à l’heure actuelle, 97 établissements bancaires seraient concernés par cette évaporation d’identités. Certes, ce chiffre croît de jour en jour. Il était de 79 établissements-victimes le 6 du mois, 17 de plus 24 heures plus tard. On attend avec un plaisir non dissimulé le prochain sondage express à propos de l’affaire RBS Worldplay et les statistiques réelles en termes d’impact sur l’image de marque que de telles affaires peuvent provoquer. Après les cracks en série, les affaires Madoff, les subprimes qui fermentent ou la fermeture des parachutes des patrons servant à mieux masquer les taux d’intérêts actuels, il devient bien difficile de vendre de la « confiance ». Même avec le secours conjugué de Clotho, Lachésis et Atropos. Fort heureusement, en France, de telles fuites d’information n’arrivent jamais.
D’ailleurs, il n’y a pas que les banquiers qui en prennent pour leur grade. Le dernier Torrey-Canion binaire en date serait, à en croire une source étrange venue d’Outre Atlantique, Kaspersky US. Une information qui mérite quelques éclaircissements et confirmations avant d’être prise au sérieux, comme le précise fort prudemment Dan Goodin d’El Reg. Mais, malgré les conditionnels et les tournures prudentes, les « personnes faisant autorité » dans le secteur de la sécurité en débattent allègrement. La concurrence se réjouit. Et notamment le Chief Security Strategist d’IBM/ISS, Gunter Ollmann. Certes, plaie de donnée n’est pas mortelle (proverbe TJXien), surtout du côté de Moscou. Mais cela égratigne un peu plus l’image de marque de l’entreprise. Il y avait eu ce papier du Guardian, immédiatement suivi d’une rétractation à propos du passé d’Eugène Kaspersky, puis cet article un peu acide de Paul Roberts, sur la « kasperisation » de l’entreprise. Ce sont là les risques et les petits heurts auxquels s’expose toute entreprise qui assied son image de marque sur la personnalité de son dirigeant. Tôt ou tard, l’on tente de brûler l’icône. C’est arrivé à Bill Gates, Steve Jobs, Peter Norton, Ray Norda, Larry Ellison… Et c’est là un mouvement de réaction d’autant plus “naturel” et prévisible que le monde de la sécurité repose essentiellement sur des caractères forts. On connaît plus les frères Litchfield que NGSS, Schneier éclipse Counterpane, et même sur l’axe Cherbourg-Marseille, un HSC ne serait rien sans la présence d’Hervé Schauer. Ces tentatives d’attaques de l’image de marque ne doivent cependant pas excuser ou éclipser les conséquences de cette fuite d’information si jamais elle s’avère réelle.
2) Identités et authentification, la kerberisation par la pratique
Quittons – ou tentons de quitter - la toile tissée par Ananké en suivant les 42 pages de conseils prodigués par des spécialistes de la protection d’identité informatique : les membres du Consortium Kerberos. C’est dense, touffu même, parfois technique, mais surtout « universel ». Car, une fois n’est pas coutume, les sectateurs de Carnegie Mellon ne distillent pas une logorrhée bien pensante, qui pèse chaque mot, qui s’inquiète de la moindre déviance par rapport à la pensée orthodoxe universitaire. Non, cette fois, ce sont des spécialistes qui parlent « pratique », qui osent mélanger Internet Explorer, Safari, Firefox et Konqueror, qui associent Apache et IIS, « dot Net » et Ruby. Avec des exemples peut-être un peu trop piochés dans les tld en « edu » (Stanford, Stockholm), mais connus pour leur stabilité. Les puristes vont hurler ! On ose parler de « produits » et « d’implémentations propriétaires ». Bref, de choses utilisables. Les auteurs même insistent sur le fait que leurs travaux et leur éclairage des choses ne « reflètent pas la pensée des initiateurs de Kerberos et n’engagent pas leur responsabilité ». A lire, ou à archiver pour une lecture prochaine.
3) Patch Tuesday : les serveurs à la fête
Ce sera le mois du « lourd » chez Microsoft nous prévient le MSRC. Le prochain Mardi des Rustines, nous promet le bulletin prévisionnel de février, comprendra deux bouchons colmatant des défauts jugés « critiques » et deux autres estimés « importants ». Dans le lot, le premier correctif « critique » concerne le serveur de messagerie Exchange Server. Il est accompagné d’un patch important pour SQL Server. A ceci l’on doit ajouter un défaut Visio et l’incontournable, l’inévitable bouche-trou I.E. – c’est d’ailleurs le second bulletin qualifié de critique. Comme à l’accoutumée, les mises à jour de l’outil d’éradication de programmes dangereux seront également diffusées à cette occasion.
Pour Cisco, c’est dans la catégorie Walter que l’on se bat, avec de « multiples failles » affectant les routeurs sans fil. Des risques d’attaque en déni de service ou d’élévation de privilège peuvent affecter les Wireless LAN Controllers (WLCs), Catalyst 6500 Wireless Services Modules (WiSMs), et les contrôleurs intégrés dans les Catalyst 3750.
4) Conflicker, mises au point et mises à jour
Cette semaine-ci, c’est Thomas Gayet qui prend la relève sur le Blog du Cert Lexsi. Il en profite pour revenir un peu plus en détail sur différentes caractéristiques du ver Conficker/Downadup – notamment sur sa fameuse fonction « autorun » qui sait se « localiser » en fonction de l’ordinateur qu’il infecte. Mais le morceau de bravoure de cet article demeure la liste récapitulative des quelque 250 noms de domaine quotidiens que génèrent chaque jour les occurrences de cette infection. Des noms de domaine qu’il est nécessaire de filtrer.
Chez Microsoft, l’on signale la création de deux nouvelles pages d’information sur ce même sujet. L’une destinée au grand public, avec dessins et capture d’écran à l’appui, l’autre, plus spartiate, s’adressant aux entreprises. Paradoxalement, il y a plus de marketing prônant l’achat de solutions de protection périmétrique estampillées Microsoft dans la page « professionnelle » que dans celle s’adressant à Monsieur Toutlemonde.
5) Victoria’s Secret, ou le dur métier de l’analyse forensic des mannequins
Ils sont toujours passionnants, les billets de Neal Krawetz traitant de la désinformation par l’image. De l’affaire des missiles Iraniens qui se multiplient au décollage sous l’effet de la propagande, en passant par les images idylliques du paradis écologique Chinois ou les trahisons techniques du format Jpeg par rapport à PNG… Mais il faut avouer que, cette fois-ci, Krawetz a fait preuve d’une abnégation sans borne, d’un stoïcisme admirable en se plongeant, probablement des heures durant, sur la plastique des cuisses et du nombril des mannequins de Victoria’s Secret. Car, nous apprend-il, le « shopping » (entendons par là le « traficotage d’images par PhotoShop ») touche également les catalogues de lingerie. Les modèles les plus pulpeux de la section « nuisette et dessous chics » sont parfois aussi retouchés que les sous-secrétaires disgraciés du Kominterm durant les périodes les plus noires de la stalinisation. Et Krawetz donc de nous expliquer comment les mollets moulés et le mignon minois d’une langoureuse Lolita sont littéralement « reconstruits », repeints et repensés sous prétexte qu’une ombre vient assombrir un giron, qu’une côte légèrement saillante montre qu’un 36 est souvent le signe révélateur d’une anorexie commandée, et que l’éclat d’un bikini ne doit pas grand-chose à la couleur « garantie grand teint » d’un fabricant de tissus. La leçon de ce travail technique sur le pixel et la densitométrie numérique ? « Il n’y a pas de « beauté ana » » dit en substance Neil Krawetz. « Les super-mannequins que l’on voit sur les images des magazines ne sont pas tels qu’on les représente. Mesdemoiselles, plutôt que de détruire votre santé à tenter d’imiter ce rêve, achetez-vous plutôt une version de Photoshop ».