MISC N°48 – MARS/AVRIL 2010 – Chez votre marchand de journaux

Le tout nouveau Misc est disponible dès maintenant chez votre marchand de journaux et sur notre site marchand.

Sommaire (suite)

Dossier

[COMMENT SE PROTÉGER CONTRE LA PESTE SPAM ?]

• [18] Préambule
• [19-27] Communication électronique non sollicitée : le spam
• [28-35] Spam & Botnets
• [36-46] protéger son infrastructure du spam
• [47-52] ÉTUDE DE SPAMBOTS AVEC DES HONEYPOTS

Système

• [55-61] BOOT SÉCURISÉ : PREMIER PAS VERS L’INFORMATIQUE DE CONFIANCE ?

Code

• [62-65] FUZZING TOUT EN MÉMOIRE

Application

• [66-73] ÉTUDE DE la FAILLE SMS DE L’IPHONE

Science & Technologie

• [74-82] LIRE SON PASSE NAVIGO EN UN CLIN D’OEIL

Édito :

Aurora humanum est

Petit résumé pour ceux ayant passé les derniers mois en retraite avec le Dalaï Lama : un 0-day sur Internet Explorer a été utilisé pour compromettre Google et quelques autres. Cet événement (anodin ?) m’inspire quelques réflexions...
Je ne m’étendrai pas sur l’aspect 0-day, la faille ayant été rapportée à Microsoft depuis quelques mois : que ce soit celle-ci ou une autre, ça ne change rien.
Des fonctionnalités, encore des fonctionnalités !
Rappelons un principe de base en sécurité : plus un système offre de fonctionnalités (cachées ou non), plus sa surface d’attaque est grande. Dans le cas de Google, les méchants ont compromis les logiciels d’interception mis en place à la demande du gouvernement américain (pour simplifier).
Je ne me permettrais pas de voir ici une sorte de mise en garde pour un État qui voudrait filtrer des contenus ou faciliter les perquisitions numériques et autres prises de contrôle à distance dans un cadre judiciaire. Quoique...
Il faudrait peut-être cesser de sous-estimer les méchants, en les croyant incapables de retourner à leur avantage les outils mis en place par les gentils.
Des intrusions, encore des intrusions !
Un détail amusant dans cette histoire est que peu d’entreprises révèlent avoir été piratées. Le fait que ce soit Google qui prenne les choses en main, en spécialiste de la collecte de données privées se positionnant en redresseur de torts face aux Chinois, grands pourfendeurs de libertés, n’est pas sans ironie.
Non, ce que je voudrais surtout souligner, c’est un phénomène étrange : les entreprises françaises, nos commerces en ligne, nos banques, ne sont JAMAIS piratés ! Enfin, si on en croit la communication officielle puisqu’on en parle que les 29 février (et encore). Pourtant, quand on regarde les USA ou l’Angleterre, il ne se passe pas une semaine sans qu’une entité ne " perde " des données confidentielles. Alors, sommes-nous meilleurs que les autres ?
En fait, les lois ne sont pas les mêmes et obligent les détenteurs de données privées à révéler à leurs clients quand un incident compromet leur vie privée. Il n’est pas vraiment étonnant de constater combien nos décideurs prennent les pays étrangers en exemple, mais juste quand ça les arrange. Bref, chez nous, on préfère se voiler la face (sauf pour les manifs et la burqa où c’est interdit).
Des attaques ciblées, encore des attaques ciblées !
Revenons sur les données privées, détenues par divers sites, usuellement évoquées par nos médias comme cibles d’attaques informatiques. Elles intéressent pas mal de groupes de criminalité organisée : spam, vol d’identité ou autres activités nauséabondes mais néanmoins lucratives. Pourtant, Aurora confirme que ces données ne sont pas les seules cibles.
L’omniprésence d’Internet et des réseaux a diversifié la nature des méchants : fini l’adolescent qui s’amuse ou le type qui veut se venger. De nombreuses personnes, pas toujours bien intentionnées, ont compris les avantages économiques, politiques, concurrentiels, ..., à tirer d’actions menées sur le réseau des réseaux. Il est malheureusement définitivement faux de croire qu’on ne constitue pas la proie de quelqu’un. La question est plutôt de savoir comment tenter de s’en protéger.
Un exploit, encore un exploit !
Le truc qui me fascine le plus dans cette opération, c’est le rapport coût/efficacité. Imaginons que le méchant ait acheté un exploit contre Internet Explorer pour 40000US$ au marché noir, et que derrière, il pénètre dans une vingtaine d’entreprises, dont plusieurs Fortunes 100.
Parallèlement, toutes ces entreprises ont dépensé des sommes astronomiques en firewall, antivirus et autres produits manifestement inefficaces mais chers.
Étonnant ? Pas vraiment ! Nos architectures sont totalement déficientes face à ce type d’attaques. L’exploit est exécuté sur un poste client. À partir de là, il se connecte sur le net pour récupérer d’autres choses en se faisant passer pour le navigateur. Ensuite, il explore le système local et éventuellement accroît ses privilèges avant de poursuivre son exploration du réseau local. Eh oui, un seul exploit suffit...
Bon, et alors ?
" Tant qu’il y a des marmites, il y a de l’espoir ! ", Astérix, le combat des chefs.
Au final, pas grand chose de neuf, sauf pour ceux qui faisaient l’autruche depuis quelques années. J’espère que cet événement ouvrira les yeux de certains. Après tout, l’espoir fait vivre. Et pour conclure, tels Résidus dans les lauriers de César ou Caton l’Ancien : Delenda Carthago !

Fred Raynal