Spécial Sécurité : Retour aux fondamentaux pour BlackBerry / Petits DoS grands profits ...
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères font le point sur la refonte de l'administration du serveur d'entreprise Blackberry et sur ses incidences sur la sécurité. Ils s'amusent aussi des applications économiques des attaques en déni de service et font le point sur les 11 failles comblées par Mozilla dans son navigateur web Firefox.
Sommaire :
- Blackberry Enterprise Server : retour aux fondamentaux Sécurité
- Hack : petits DoS, grands profits
- Firefox, 11 trous après les autres
1) Blackberry Enterprise Server : retour aux fondamentaux Sécurité
En simplifiant à l’extrême, BES 5.0 (BlackBerry Enterprise Server), RIM réinvente des services qui existent depuis des lustres dans le domaine des serveurs de fichiers. A commencer par une console d’administration Web unifiée, qui envoie au rancart l’ancienne application sous Win32 et ses nécessaires corvées de mise à jour. Ajoutons à cela une gestion des droits et des groupes plus « granulaire » et une architecture redondante permettant à un serveur secondaire d’assurer le rôle de serveur primaire en cas de panne ou d’immobilisation de maintenance. Autant d’améliorations visant à renforcer la sécurité structurelle et administrative des serveurs de téléphonie mobile d’entreprise.
Dans les détails, BES 5, c’est avant tout une console d’administration Web. Une console d’autant plus indispensable qu’elle autorise désormais la création de politiques de groupes ainsi que l’intégration d’un groupe d’utilisateurs dans un autre groupe. Pour qui s’est un peu frotté aux arcanes de la gestion de droit, il est clair que sans outil d’administration performant, les problèmes d’héritage de droit et de manipulation des attributs deviennent rapidement un casse-tête complexe. Outre cette adaptation particulière de ce que l’on pourrait appeler des « GPO » (politiques de groupes chez Microsoft), il est également possible désormais de nommer des administrateurs délégués chargés –sans compromission possible des niveaux hiérarchiques supérieurs- de l’administration d’une branche ou d’un département.
La constitution de ces règles, cette gestion plus évoluée est la conséquence d’une extension technique de taille : la possibilité de déployer des applications –et correctifs- en mode « push » sur l’ensemble du parc de terminaux mobiles. Or, un déploiement nécessite des outils de filtrage impitoyables. Tant pour des raisons de sécurité et de confidentialité d’accès que pour des raisons évidentes de coûts de licences et d’optimisation des ressources. Bien sûr, serait-on tenté de dire, ce filtrage des autorisations fonctionne également dans l’autre sens. Il est tout aussi possible d’interdire l’installation d’applications non autorisées par la DSI ou par le Ciso.
Pourquoi cette brusque mutation ? Principalement en raison de l’évolution du marché des téléphones portables. Longtemps, RIM a surfé sur la vague du relayage des grands serveurs de messagerie, Exchange et Notes. Des applications sérieuses qui inspiraient confiance. Mais la mode, les produits concurrents, la vague Web 2.0 et son lot d’applications participatives, le succès des messageries instantanées etc… ont conduit RIM à offrir plus que de l’échange smtp. BES supporte désormais, par exemple, le partage de fichiers et l’accès aux ressources sur les serveurs d’entreprise, la gestion des dossiers des poste client, ou les API Google Apps (notamment les agendas « cloudifiés », coqueluche des road warriors des temps modernes). De quoi, sans le secours d’une gestion des autorisations et une administration drastique des déploiements, transformer un réseau de mobile en une dangereuse infrastructure échappant à tout contrôle.
Egalement ajoutée à la version 5 –et absente de l’édition 4.1 SP6-, le fonctionnement du serveur en mode « haute disponibilité ». Il s’agit en fait d’un fonctionnement en tandem d’un serveur BES principal et d’un système secondaire, lequel, en temps normal, sert à répartir la charge de traitement et qui, en cas de détection de panne du serveur principal –par mesure d’un « heartbeat »-, prend la place du maître et s’occupe de la gestion de l’annuaire et des tâches de synchronisation. C’est l’adaptation d’une idée antique, celle de Co-standby Server ou de SFTIII. Ajoutons enfin que BlackBerry Enterprise Server 5.0 a obtenu la certification Common Criteria Evaluation Assurance Level 4 (EAL 4+), une certification qui possède au moins le mérite d’ouvrir la porte de certaines administrations.
2) Hack : petits DoS, grands profits
Le DoS, ou déni de service, est une forme d’attaque d’une simplicité brutale qui consiste à interdire l’exécution d’un service ou d’un logiciel. Soit en le noyant sous un déluge d’information (attaques SynAck par exemple), soit en le tuant via une faiblesse de conception. Le Dos, en informatique, c’est le coup de Jarnac, une technique peu élégante, un acte de « script kiddy » ou d’adolescent du code, une pratique de barbare dépourvue de subtilité. Car la « belle » compromission, elle, se fait dans la discrétion absolue, l’invisibilité subtile, genre mousse et pampre, avec deux doigts d’imparfait du subjonctif et le petit doigt en l’air. En d’autres termes, un hack de qualité est un hack qui « injecte » un agent plus ou moins dormant, qui exécute à distance, qui détoure des informations à l’insu du plein gré de sa victime. Pour peu, on lui décernerait un satisfecit, on élèverait cette pratique de truand à la hauteur d’un art.
A tel point que bon nombre de bulletins d’alerte affirme qu’une vulnérabilité capable de conduire à un déni de service ne puisse mériter le qualificatif de « critique ». Seule la faille nécessitant doigté et longues recherches est promue au rang des « über failles ».
Dans la vraie vie, il en va tout autrement, nous explique RSnake, sur le blog Ha.ckers. Le déni de service, c’est la base du cracking, et la prétendue simplicité de sa mise en œuvre n’est pas le corolaire d’une efficacité amoindrie. Et, au fil d’une Ode au DoS, l’auteur nous livre quelques unes de ses idées. Un déni de service à l’encontre d’un service Web peut notamment servir à :
- Gagner du temps en interdisant à d’autres personnes de fournir une information, surenchérir lors d’une vente, répondre à un appel d’offre dans les temps impartis.
- Couper du monde des personnes en mission de toute source d’information leur permettant de prendre une décision –et ainsi de les rendre vulnérables-.
- Créer une diversion, en attirant l’attention des experts sur une attaque très visible, qui cachera d’autant mieux une injection ou une intrusion qui aurait été rapidement détectée en période de grand calme.
A ces quelques idées, les lecteurs de RSnake en ajoutent quelques autres, dont le vice qui s’en dégage mérite, pour certains, un coup de chapeau. Mais le résumé initial donne une assez bonne base de départ pour toute spéculation criminalistique. D’ailleurs, sans déni de service, comment pourrait-on conduire une attaque WiFi en « evil twin » par exemple ? Sans ce prélude, nécessaire à l’isolation des postes clients, il serait impossible de monter un faux point d’accès (Rogue A.P.). Si le déni de service n’était qu’une arme d’amateur, pour quelle raison est-il utilisé –et de façon massive- lors des grandes opérations de cyber-guerre ? En témoignent les événements d’Estonie, Géorgie ou, plus récemment, contre Charter 97, un média de Biélorussie. L’analyse technique qu’en fait Jose Nazario d’Arbor Networks montre combien ces vagues de violence binaire sont orchestrées, réfléchies et efficaces.
Le DoS contre les serveurs, c’est presque du classique. Le DoS contre les clients, voilà qui est plus original. Le Sans signale à ce sujet un article du Reg signé Dan Goodin, et qui raconte comment il serait possible de couper l’électricité à des milliers d’américains en exploitant une petite faille affectant leurs compteurs « télé-opérables ». Oh, trois fois rien… une totale absence de chiffrement et d’authentification, explique Josh Pennell, Président d’IOActive et patron du célèbre Dan Kaminsky. Cette fois, le défaut qui autorise le déni de service est la conséquence d’un déploiement trop hâtif, d’une étude mal achevée, le tout saupoudré de quelques considérations électoraliste. Détenir le pouvoir de supprimer une richesse ou de bloquer son acheminement, c’est détenir la richesse elle-même. Qu’elle se présente sous forme de gaz transporté dans un pipe-line, d’électricité régulée par des milliers de compteurs trop intelligents pour être honnêtes, ou d’informations issues d’un unique serveur ou groupe de serveurs.
3) Firefox, 11 trous après les autres
La nouvelle version du navigateur porte le matricule 3.0.11 et ferme la porte à 11 vulnérabilités. Il faut avouer qu’après le « patch Tuesday » pléthorique que nous ont offert à la fois Microsoft, Apple et Adobe au milieu de la semaine passée, l’on pourrait presque ne pas remarquer cette série de rustines pourtant bien fournie. Bien fournie et nécessitant, précise la Fondation, une mise à niveau si possible rapide, compte tenu de la dangerosité et des possibilités d’exploitation probables. Notamment d’un DoS possible par corruption mémoire, d’une potentielle attaque en « race condition » et d’un risque d’exécution distante de javascript « hors contexte ». Les autres vulnérabilités sont considérées comme moins exploitables.
[Retrouvez nos confrères de CNIS mag' et abonnez-vous au magazine papier sur le site http://www.cnis-mag.com]