Spécial sécurité : fuites de données, sécurité du code libre et attaques Mac OS X
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'intéressent à une n-ième fuite de données confidentielles, à la sécurité du code libre et aux attaques récentes touchant les plates-formes Apple.
Sommaire
- 1 - L'espion qui venait d'MP3
- 2 - Open Source et espionnage
- 3 - Lorsque la stupidité n'est plus artificielle
Encore une histoire de fichiers nominatifs évaporés –de l’armée US cette fois- et retrouvés sur un composant USB. En achetant un lecteur MP3 d’occasion dans un magasin « vide grenier », un Australien a découvert une soixantaine de fichiers contenant des rapports de mission, des notes sur le déploiement des équipements militaires et des informations sur le personnel de l’armée US. Des fichiers concernant des militaires dont certains étaient en opération en Irak et Afghanistan. Une fuite de plus, a nouveau révélée par un média anglo-saxon.
L’acheteur précise à nos confrères du quotidien The Age que l’appareil semblait n’avoir été utilisé que pour du stockage de fichier, et probablement jamais acheté pour son usage musical. Ce n’est donc pas là le résultat d’une erreur de manipulation. Ce qui explique d’autant moins le fait qu’un instrument sciemment employé comme unité de stockage ait été revendu sans la moindre procédure d’effacement. Le respect méthodique de la formule « à gratter, à repeindre et à reverser* » n’est donc qu’une pratique purement française. C’est très probablement pour cette raison que ce genre d’affaire n’arrive jamais chez nous.
*Ndt Note du Traducteur : formule militaire résumant les opérations de traitement du matériel réformé : à gratter et repeindre pour donner à l’équipement un aspect acceptable, à reverser sous-entend « à envoyer aux services du Domaine », qui se chargera de la vente aux enchères de ces « surplus ».
Existe-t-il une « conspiration du code propriétaire » ? s’interroge Joanna Rutkowska. Et ce, particulièrement dans le domaine de la cryptologie ? Et de soulever à nouveau l’éternelle question de la « solidité » d’un programme de chiffrement, de l’éventualité d’une porte dérobée dans son code ou d’une invérifiable erreur dans sa conception.
L’idée n’est ni nouvelle, ni ne relève du fantasme. Il suffit de lancer une requête Google avec la chaîne « Hans Buehler Crypto AG » pour se rappeler que le chiffrement est avant tout une « arme de guerre », et qu’à la guerre, tous les coups sont permis. Mais est-ce une raison, se demande Rutkowska, d’en conclure par l’absurde que tout ce qui n’est pas propriétaire, tout ce qui relève de l’Open Source est par conséquent dénué de chausse-trappe ? C’est là d’ailleurs une rumeur entretenue par les tenants du Libre, qui ne repose généralement sur aucune preuve tangible (ndlr, Rutkowska ne cite absolument pas l’affaire Crypto AG). Et de rappeler un défaut de conception qui avait frappé l’OpenSSL de Debian. Le bug malheureux est toujours possible en raison de l’origine humaine du code. Et rien de ce qui est humain n’est infaillible. Mais, sous-entend la chercheuse, peut-on pousser le raisonnement plus loin ? Peut-on imaginer, avec des techniques de camouflage, instiller une porte dérobée dans le source d’un des multiples parfums Linux par exemple ? Question qui en soulève une autre, qui donc peut affirmer le contraire, qui donc peut assurer avoir lu –et compris- les milliers de lignes d’un TrueCrypt ou GnuPG ? Les programmes propriétaires ne sont pas « plus sûrs » que les logiciels « ouverts », et vice versa. Car affirmer un niveau de sécurité donné implique nécessairement une analyse fine de l’ensemble du processus de chiffrement, une maîtrise de chaque élément. Et tout ceci ne peut se résumer à une simple analyse du source C/C++. Cela implique également un examen attentif de l’architecture du système, de la manière dont interagissent les différents éléments, et ce jusqu’aux couches basses situées parfois bien en dessous du « kernel land ». Des terres où, généralement, l’on ne rencontre pas souvent de langages autres que propriétaires.
3) Lorsque la stupidité n’est plus artificielle
Votons une motion de félicitation à l’équipe marketing d’Apple et à son consciencieux travail de sensibilisation. En persuadant judicieusement les usagers du Mac qu’un antivirus était une chose strictement inutile, ces sémillants développeurs de slogans ont fait le lit de deux profiteurs intelligents. En premier lieu, celui de l’auteur de OSX.Trojan.iServices.A, un troyen destiné à transformer un Mac en membre de botnet. Un troyen surtout déguisé sous la forme d’une application « piratée » disponible sur un gros réseau d’échange P2P (iWorks en l’occurrence). L’alerte d’Intego révèle également un effet pervers inattendu de l’attitude d’Apple : si le noyau est invulnérable, quelle raison aurait-on de craindre une infection provenant d’un fichier d’origine douteuse ? Ergo, l’invulnérabilité prétendue est perçue par certains comme un blanc-seing autorisant le piratage.
Bien entendu, cette affaire fit les gros titres de biens des journaux en ligne, et il est peu probable qu’un usager d’OS/X cherche désormais à récupérer le programme en question. Mais l’histoire ne s’arrête pas là. Quelques jours après la révélation de ce fameux iWork sauce piquante, avec un opportunisme remarquable, un gang d’escrocs lance une opération marketing vantant les mérites d’un logiciel de protection accompagné d’un abonnement « à vie »… Pour quiconque a un jour approché ce monde totalement altruiste et désintéressé qu’est celui des auteurs d’antivirus, l’idée d’abandonner le principe de la licence annuelle peut paraître surprenante. Mais admettons … Les utilisateurs de Mac, c’est bien connu, ne savent pas ce qu’est un antivirus, puisqu’ils n’en avaient pas besoin jusqu’à présent. L’alerte de Sergey Golovanov, de Kaspersky nous offre donc cette séduisante capture d’écran vantant les mérites de cette protection infaillible… infaillible surtout contre ce qui n’existe pas. A noter également cet autre article traitant de l’accroissement du nombre d’attaques virales visant OS/X.
Loin de nous l’idée d’amalgamer le discours marketing d’une entreprise et la façon de penser des clients de ladite entreprise. Le Macintosh demeure, à l’heure actuelle, l’une des plateformes les plus sûres du marché. Ne serait-ce qu’en vertu des arguments développés par Dan Geer dans son célèbre exposé The cost of monopoly . Mais ressasser inlassablement qu’elle est invulnérable ne peut avoir qu’une seule conséquence, le développement d’un sentiment de fausse sécurité.
Autre exemple avec cette loi stupide par excellence, car dénotant la totale ignorance du législateur : un projet américain obligeant les téléphones dotés d’APN de « cliquer » bruyamment lors de la prise d’un cliché. Après les prédateurs sexuels, voici les Camera Phone Predators .
Stupide car le nombre de moyens de contournement est probablement aussi élevé que le nombre de photos indiscrètes prises avec ces mêmes appareils. A la manière des « fifty ways … » de Fred Cohen, l’on pourrait citer :
-Le débranchement permanent du « bas parleur » du téléphone
- Le branchement d’un « kit piéton » qui redirige vers un inaudible casque –ou vers un connecteur « jack » relié à rien du tout- l’information audio révélatrice
- Le hack du firmware. S’il est si facile à l’heure actuelle de faire « désimlocker » un terminal mobile ou de dénicher l’information qui permettra de transformer un iPhone « Spécialement-conçu-pour-un-modèle-économique-de-vente-liée » en épluche légume ou media-center, pour quelle raison ce même genre de hack ne serait pas disponible pour rendre muet un téléphone-appareil photo ?
- L’achat de l’appareil à l’étranger, que ce soit directement auprès d’un revendeur agréé ou d’un particulier via un site de vente aux enchères
- L’abandon dudit téléphone-appareil photo au profit d’un véritable APN, moins cher, probablement encore plus discret et mieux conçu. Quitte à jouer les paparazzis et spéculer dans les actions du « flou et mal cadré », autant le faire avec un minimum de professionnalisme.
… et ainsi de suite.