L'échec de la sécurité française

Ou pourquoi il faut arrêter de me saouler avec les "0day" ...

Les français ne manquent pas de talent dans le domaine de la sécurité informatique. Malheureusement ils ne s'épanouissent pas forcément dans leur pays d'origine. Parmi les gens que j'ai connu personnellement et qui sont partis, on peut citer:

• Kostya Kortchinsky

D'abord CERT Renater, puis EADS, et maintenant Immunity (à Miami). Il s'est illustré par l'exploitation de la faille MS08-001 (qualifiée d'impossible par Microsoft) et l'évasion de VMWare (attaque CloudBurst).

• Nicolas Pouvesle

Anciennement Tenable Network Security (n'oublions pas que Nessus est un produit français à l'origine), cité par H.D. Moore comme "Top Influencer", contributeur du projet Metasploit, auteur du plugin PatchDiff2 pour IDA Pro ... et maintenant chez Immunity également.

• Thomas Garnier

Anciennement SkyRecon (un autre produit français), auteur de failles innombrables dans le composant GDI de Windows, il est parti chez Microsoft Corp. lors de la reprise en main de SkyRecon.

• Julien Tinnès

Anciennement FT R&D, il est parti (comme beaucoup d'autres) chez Google lorsque cette entité a été rattachée au marketing sous le nom d'Orange Labs. Il s'est illustré récemment sur la faille Java util.calendar(), mais tourne en fait dans le milieu depuis longtemps.

• Julien Vanègue

Chef de file du projet ERESI, il a fini par virer sa cuti et rejoindre l'équipe MSEC de Microsoft.

Bien sûr, il existe encore probablement beaucoup de gens de qualité dans l'underground et l'upperground français. Mais quand je lis que la mise en oeuvre de la LOPPSI va peut-être nécessiter des "0day" pour installer les mouchards à distance, je manque de m'étouffer.

Non seulement la plupart des gens ayant démontré publiquement une certaine capacité dans le domaine sont partis, mais de plus tous les programmes publics d'acquisition de "0day" sont étrangers (américains en fait, sauf feu-WabiSabiLabi).

Si c'est pour faire appel à des projets universitaires, et sans mauvais esprit aucun (je ne suis pas connu pour ça :), on aura peut-être un fuzzer pour les syscalls NT4 dans 3 ans après avoir usé 5 thésards ...

Si c'est pour mettre le flingue sur la table ou la tête dans le caniveau, ça ne marche pas: il est impossible pour un magicien de créer un objet magique sous la contrainte.

Alors bien sûr, quelques initiatives sortent du lot, comme la conférence iAWACS: international Alternative Workshop on Aggressive Computing and Security - The No Limit Workshop, selon leurs termes.

On pourrait imaginer un programme particulièrement alléchant, comme:

• Remote Root sur les LiveBox (ne rigolez pas, ça a existé)
• VIGIK: comment ouvrir toutes les serrures avec une clé privée
• Sécurité du pass Navigo (sur le modèle de Mobib Extractor)
• Sécurité du site des impôts (ou comment économiser de l'argent en supprimant les certificats)
• La backdoor dans SecurityBox (pudiquement appelée "clé de recouvrement/séquestre" dans l'étude publiée par HSC)
• Etc.

Mais j'ai vaguement l'impression que le résultat final sera un peu moins sexy ... Espérons que les meilleures soumissions se verront exploitées sans passer par la case "publication" !

Pour finir, je campe sur ma position qui a toujours été claire depuis le début: les "0day" ne servent à rien (dans 99,9% des cas, je mets de côté le cas des systèmes vraiment protégés).

Ainsi le dernier numéro (n° 4/2009) du magazine Hakin9 m'est arrivé en anglais. Erreur de routage ou disparition de la version française ? Peu importe, la version anglaise est finalement comparable à la version française: les articles sont extrêmement inégaux en qualité (sur le fond et sur la forme).

Et là, un certain Carsten Köhler (visiblement très actif par ailleurs) nous délivre ses tricks de pentesteur, et explique par exemple qu'il est possible de créer des fichiers arbitraires sur n'importe quel système Windows qui partage au moins une imprimante.

Je reviendrai plus tard sur les détails techniques, mais voilà exactement le genre d'astuce qui marche "pour de vrai": une faille de conception (donc très difficile à corriger), multi-versions, multi-langues, ne risquant pas de planter le système distant, exploitable via les API Windows. Rien à voir avec un "0day" au sens où on l'entend d'habitude !

IKEArt

Je suis en vacances en ce moment, ce qui explique que je ne blogue pas (et que je ne suis pas à Hacker Space Festival). Mais ne vous inquiétez pas, j'ai toujours des choses à dire !

En attendant, voici un peu d'IKEArt (j'étais assez fier de moi sur le coup :)

Spam fail

Je ne prends plus la peine de commenter la créativité et la diversité des messages commerciaux non sollicités (spam) que je reçois, par manque de temps pour bloguer. Mais c'est souvent un plaisir que de parcourir la boite à spam en début de matinée, tout en sirotant 1L de café lyophilisé (je reçois environ 800 spams par jour).

Pour ceux qui ne connaissent pas le client de messagerie Outlook, sachez que Word est l'éditeur de courier par défaut (s'il est installé). Ce qui offre des possibilités intéressantes, comme une correction orthographique et grammaticale de qualité.

Mais Word dispose de bien d'autres fonctions. C'est ainsi que j'ai récemment reçu un spam dans lequel ... le mode "révision" était activé ! Ce qui permet de connaitre toutes les modifications antérieures du message.

Spam fail.

Allez, pour la route, voici une capture d'écran du message s'affichant sur le Hotspot WiFi de la Cité des Sciences il y a quelques mois (merci Arno pour cette perle).