Hack : Hop, un chargen, zut un Ddos
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, passent en revue quelques épisodes clés qui ont marqué le segment de la sécurité ces quinze derniers jours.
Hack : Hop, un chargen, zut un Ddos
Echo, discard, daytime, motd, finger et… chargen sont d’antiques services, parfois installés dans des « paquets cadeau » intitulés « services IP complémentaires ». Ces services fossiles ne servent guère qu’à évoquer de nostalgiques souvenirs auprès d’administrateurs de plus de 30 ans de métier. Pourtant, ces vieilleries semblent encore installées sinon par défaut, du moins de manière relativement masquée dans certains routeurs et systèmes.
Et c’est précisément l’un de ces services inutiles et dangereux, chargen, qui a servi lors de l’attaque en déni de service visant quelque service financier (un serveur Bitcoin semble très apprécié des attentions des cybertruands, ces jours-ci). John Bambenek s’interroge sur la survivance de tels protocoles dans les colonnes du Sans. La parade est certes simple : énumérer les services TCP et UDP actifs afin de supprimer tout ce qui n’est pas réellement utile, et filtrer le trafic sortant pour tuer dans l’œuf tout risque lié à un oubli. L’exploitation de ces services vulnérables prouve au moins une chose : la mémoire et la culture IP semblent plus répandues du côté obscur de la force qu’au sein des cellules d’administration du secteur des banques et monnaies virtuelles.
MS13-036, same player shoot again
Microsoft émet à nouveau son alerte 13- 036 accompagnée d’un correctif colmatant une inconsistance dans le noyau de Windows et pouvant donner accès à une élévation de privilège. Une première alerte avait fait l’objet d’une annonce dans la Kbase sous la référence KB2823324, et se voit, pour l’occasion, réémise sous l’immatriculation KB2840149. La criticité serait, estime l’éditeur, très variable selon la génération de noyau utilisée, les systèmes de la génération Windows XP/2003 Server étant les plus exposés.
6 minutes de panique boursière post-hack
Une annonce sur le compte Twitter de l’agence Associated Press informait, durant la soirée du mardi 23 avril, d’un attentat à la bombe visant la Maison Blanche. Parmi les victimes se serait trouvé le Président Obama… il va sans dire que le twitt était bidon et le compte détourné par des cyber-sympathisants au président Bachar el Assad. Immédiatement, les différentes places boursières US ont réagi, faisant légèrement plonger le Dow Jones durant 6 minutes. La chaîne CNBC relate cette brève poussée de fièvre et précise que les flux rapides des échanges sont tels que l’indice SPX aurait « perdu » près de 136 milliards durant cette brève période de panique. La brièveté de l’effet d’annonce fait dire aux frères Graham, d’Errata Security, que ce hack n’a eu aucune conséquence… c’est sans compter l’efficacité des outils de fast trading qui, en quelques secondes, dépensent l’équivalent du PIB d’un état Africain.
On peut s’interroger sur la véritable cause, sur l’origine exacte de la perversion du système qui a pu permettre une telle perte de contrôle. Est-ce la fragilité du réseau Twitter, outil grand public par définition non prévu pour transporter des informations sérieuses et vérifiables, ou serait-ce plutôt l’extraordinaire inconséquence des traders qui prennent pour argent comptant les rumeurs véhiculées par un réseau social spécialisé dans les rumeurs ? La presse financière US évite d’aborder le sujet et cherche les coupables du côté des hackers présumés (l’attaque est revendiquée par une « Syrian Electronic Army »). Poursuivre des traders pour impéritie, cela viendrait remettre en cause le système boursier tout entier …
CNIL & INRIA : Allo ? T’es sans-fil, t’as pas d’champ joint ? Allo ?
Sale temps pour les smartphones : IOS et Android retiennent l’attention des institutions. L’iPhone, tout d’abord, après des années de pratiques douteuses en matière d’atteinte à la vie privée, est parvenu à faire réagir la Cnil qui, en collaboration avec l’Inria, a analysé 189 applications (parmi 1 million recensées fin 2012, soit 2 pour mille). Et de découvrir, nous apprennent nos confrères de PCInpact que 93% des appliquettes accèdent à Internet (un scoop dans le monde de la 3-4 G), que 46% récupèrent les données contenues dans le champ UDID de l’appareil et 8% aux champs du carnet d’adresses. Lors d’un usage normal, la Cnil aurait comptabilisé « près de 41 000 événements de géolocalisation pour 6 personnes en 90 jours, soit une moyenne de 76 événements par volontaire par 24 heures». Chiffres sans véritable signification s’ils ne sont pas accompagnés d’une étude socio-technique d’usage effectuée sur un échantillonnage plus important.
L’étude de la Cnil s’est soldée par quelques avis de prudence, le souhait que les acteurs tiers soient moins intrusifs et plus responsables des données susceptibles d’être collectées, et que les développeurs tiennent un peu mieux compte des règles élémentaires de respect de la vie privée numérique des usagers. Sans le moindre pouvoir de contrainte, financière ou légale, ces conseils ont peu de chances d’être entendus, surtout sachant que la majorité des sociétés éditrices sont étrangères.
Côté Google, la levée de boucliers rappelle un peu les débuts du procès anti-trust visant Microsoft. Toute la presse économique en parle (dont le Point par exemple) : Un consortium de 17 plaignants a adressé une plainte pour pratiques anticoncurrentielles devant la Commission Européenne. Au nombre de ces plaignants, on compte notamment Nokia, Microsoft et Oracle. En ligne de mire, Android. C’est donc bel et bien une nouvelle bataille juridique des systèmes d’exploitation qui est en train de se déclarer. Google, fait remarquer notre confrère du Point, est déjà sous le coup d’une enquête sur son quasi-monopole des moteurs de recherche, position qui verrouille le marché de la publicité en ligne.
Le Vatican succombe au péché de share
Le site TorrenFreak publie très régulièrement de passionnantes statistiques sur les téléchargements de films et de musiques via les réseaux P2P. Au début de ce mois, l’un de ses principaux rédacteurs s’est intéressé à la gente qui porte soutane en général et aux habitudes cinématographiques du Saint Siège en particulier.
Car on apprécie les véhicules numériques, chez les sacerdotaux, du curé de campagne au sous-pape… et peut-être même plus haut. Ainsi ce vidéoclub monastique irlandais qui organise chaque semaine sa séquence du jeûne-spectateur. Mais c’est grâce à une persévérance de jésuite et un travail de bénédictin que l’équipe de TorrentFreak est parvenue à déterrer des « seeders » encore plus discrets, ceux qui piratent du blockbuster à l’ombre de la Cité de Saint Pierre. Etude d’autant plus difficile que l’empreinte numérique de ce micro-état est trop faible pour attirer l’attention des radars habituellement utilisés.
Et que téléchargent donc les pontifiants prélats ? Dialogue de Carmélite d’Agostini, le Jeanne d’Arc de Besson ou le François d’Assise de Cavani ? Que Nenni ! TorrentFreack fait ressortir deux tendances : l’un des plus gros téléchargeurs pontificaux se passionne pour les séries B américaines, peut-être en raison d’une quête œcuménique quasi bouddhiste à la recherche du vide absolu. Les voies valétudinaires des védas vidéo. Son voisin de chambrée, en revanche, apprécie plus particulièrement les productions roses, avec menottes, cordes et lanières de fouet. Genre « seules les voies du Seigneur sont impénétrables », « le share est faible » et le « pour le meilleur et le peer to peer ». On ne dira jamais assez l’influence de l’Inquisition Espagnole sur les héritiers spirituels de Torquemada. A moins que ces consultations purement documentaires ne soient le fruit d’un Garde Suisse ayant trouvé refuge à Rome après l’affaire du Pornogate. Pas de doute, c’est encore un coup des séculiers. Car peut-on réellement soupçonner de trop curieux curés, de calmes camerlingues, des carmes, de futurs saints incarnés, des curies incarnates et des cardinaux coupables d’incurie ou de concupiscents computes* (en un seul mot svp) ? Y’aurait de quoi rester coi.
Faut-il sévir ou fermer les yeux ? Doit-on préférer qu’un amène Amen mène ces pécheurs à imiter les humeurs modérées des pudiques Minimes ? Ou entendra-t-on résonner sous les ors de la Basilique des « Laurent, serrez ma haire avec ma discipline! »
Avant que n’éclate une bulle Papale (De sanctum downloadum) et qu’une Sainte Inquisition Dominus Hadopicum ne vienne remettre dans le droit chemin ces brebis vidéo-intoxiquées, ayons une pensée émue et confraternelle envers le RSSI chargé du tld « .VA ». Car en vérité je vous le dis, celui qui tamise ses trames et préserve par une docte scolastique la pureté morale de ses ouailles, celui-là gagnera sa place à la droite du RIAA, de la Sacem et de ses centaines d’organismes collecteurs. Ite articlum est. NdlC Note de la Correctrice : le compute radical du mot « computer » désigne le calcul des dates religieuses mobiles. Synonyme de calcul, tombé en désuétude.
Routeurs SoHo, des trous de partout
La chasse aux vulnérabilités affectant les routeurs grand-public et SMB est le sport favori de tout chercheur sécurité en quête d’une invitation pour une conférence sécurité. ISE, consultant US situé à Baltimore, a fait les choses en grand en se lançant dans une grande campagne de fuzzing visant plus d’une douzaine d’équipements d’entrée de gamme (Linksys, Belkin, Netgear, Verizon, Dlink etc.). Malgré une annonce présentée sur un ton relativement fracassant, il faut reconnaître que les risques de pénétration à distance sans authentification préalable sont assez faibles. En revanche, une fois un usager logué, il peut se livrer à quelques beaux exploits « for fun and profit », cela va sans dire. 28 CVE ont ainsi été constatés exploitables : Beaucoup de CRSS et XSS, plusieurs de ces attaques étant accompagnées d’un PoC publié par ISE pour au moins 8 des modèles cités.
Badnews, le malware officiel de Google Play
Le nombre de téléchargements d’applications infectées par Badnews oscillerait entre 2 et 9 millions (sic), et il aura fallu un certain temps, sinon un temps certain, avant que Google décide de bloquer la diffusion de ces appliquettes dangereuses. Une lenteur de réaction peut-être, explique Mark Rodgers du blog Lookout, en raison du fait que Badnews restait discret et inactif durant une période assez longue avant de frapper.
Déguisé en application publicitaire, ce malware était en fait un Bot capable à son tour de récupérer d’autres « charges utiles », et notamment un automate d’appel vers des numéros surtaxés. Pour échapper aux risques d’un filtrage sélectif, Badnews a su se faire diffuser caché dans une multitude de logiciels différents : jeux, fonds d’écran, recettes de cuisine, utilitaire de gestion de téléphone, canal d’information en continu, fil de « citations célèbres », appliquette « rose » et autres inutilités. Comment les développeurs de ces applications ont pu, à l’insu de leur plein gré, intégrer un tel virus sans se douter du moindre risque ? Difficile de savoir. Rogers pense que chacun d’entre eux croyait ajouter un module d’application de diffusion publicitaire rémunéré. La collecte des informations et le pilotage des appareils zombifiés étaient assurés par trois centres de commande, l’un en Russie, l’autre en Ukraine, le troisième en Allemagne. Ces trois C&C seraient d’ailleurs toujours en service.
Malwarebyte, mise à jour malheureuse
Encore quelques milliers de victimes frappées par un malencontreux mécanisme de détection par signature : Malwarebyte, éditeur d’antivirus, a diffusé une mise à jour (immatriculée v2013.04.15.12) prenant des portions de code Windows pour un virus Trojan-Downloader-ED. Les systèmes ainsi « protégés » sont soit devenus instables, soit sont incapables de démarrer. Les plates excuses de l’éditeur ainsi que les méthodes de réparation sont à lire sur le site de l’éditeur. Malwarebyte, qui tient un rôle relativement important dans le secteur de l’antivirus gratuit, venait à peine d’amorcer une campagne de commercialisation de sa gamme d’outils destinés aux professionnels et aux entreprises.