Spécial sécurité : autopsie post-mortem d'un bug et de ses enfants

Depuis le début du mois d’août, LeMagIT vous propose de découvrir des extraits de CNIS Mag. Ce magazine sur la sécurité des systèmes d’information a ouvert ses portes le 16 septembre à l'occasion des Assises de la sécurité. Dans cet article, nos confrères reviennent sur l'écoute des rayonnements électromagnétiques émis par claviers. Un classique indémodable.

- 1 - Autopsie post-mortem d’un bug et de ses enfants

- 2 - Introduction à la vie des votes électroniques

- 3 - Twitter, arme de destruction massive

1) Autopsie post-mortem d’un bug et de ses enfants

A lire les papiers publiés ces dernières 72 heures à propos de la faille MS08-067, l’on comprend aisément les raisons qui poussent Microsoft à ne publier qu’un lot d’alertes par mois. Car, une fois enfermé dans l’illogisme de cette routine, toute parution hors calendrier prend des proportions médiatiques dantesques.

Mais voilà : 08-067 existe bel et bien, a fait l’objet au moins d’un exploit de laboratoire et d’une utilisation plus dangereuse. Côté labo, le fil de discussion Daily Dave a bruissé sur la qualité de l’écriture du Troyen Gimmiv.A ainsi que sur l’analyse de Kostya. Lequel, avec la grâce et la délicatesse qu’on lui connaît, revient sur l’aspect technique du défaut en question. L’explication du « Buffer underflow » étant quelque peu lapidaire sur ces liens, il peut être utile de se reporter à l’explication de Threatexpert.com pour entrevoir la manière dont fonctionne Gimmiv. Kostya Korchinsky explique que c’est là une nouvelle race d’exploits, qui pourrait bien prendre la relève des BoF, race en voie de quasi-extinction. Précisons en passant que Gimmiv n’est pas une innocente preuve de faisabilité : c’est un voleur de crédences locales, MSN, Outlook Express qui, par la même occasion, vérifie la présence de certains antivirus et le type de noyau (pour immédiatement en informer sa « base » par le biais d’une liaison IP située sur une adresse fixe). Le tout est accompagné de données secondaires, telles que le nom de la machine, quelques URLs, le niveau de correctifs installés, des informations sur les stockages protégés ou le type de navigateur employé. Signalons également les travaux de l’Avert Lab sur le sujet, tout ceci noyé dans les cris d’alarme des éditeurs d’antivirus, qui, eux, apportent plus de bruit de fond que de véritable information complémentaire. Cris qui ont tout de même l’avantage, tel celui de F-Secure d’insister sur le fait que l’application rapide de la rustine est impérative. Rien de très neuf non plus dans la mise à jour du bulletin du MSRC signé par Chris Budd. Plus riche d’enseignements que les bulletins des marchands de boucliers périmétriques, plus accessible que les considérations binaires des gourous, la Foire Aux Questions de Juha-Matti Laurio du Securiteam est à lire absolument.

image001

Par CEA

2) Introduction à la vie des votes électroniques

S’il n’y avait qu’un seul blog à lire cette semaine, ce devrait-être celui de Cédric « Sid » Blancher. Non pas parce qu’il y conspue l’attitude sensationnaliste des médias et des experts de salons –c’est là une saine habitude de cet auteur- mais parce qu’il nous offre une sorte de bibliothèque de références techniques sur le manque de fiabilité manifeste des machines à voter. Y’a du Danton dans ce Blancher-là. Y’a de la Patrie et de la Démocratie que l’on emmène à la semelle de ses souliers dans ces machines-là. Car le principal danger de ces nouvelles techniques, tout comme il peut en être des RFID, des réseaux sans fil et autres composants de notre modernitude, c’est le chamanisme qui s’en dégage, l’omnipotence qu’on leur accorde sans réfléchir. Une magie scientiste qui fait qu’un non-technicien, pour peu qu’il possède une once de pouvoir, accorderait une confiance aveugle envers toute « chose » technologique. C’est compliqué, complexe, ça dépasse l’entendement, c’est donc forcément plus fort, plus beau, plus grand.

Tellement grand que l’on en oublie sa fonction fondamentale : déterminer un choix démocratique dans le cas des urnes électroniques, établir l’authenticité d’un document dans le cas d’un passeport à RFID… après vérification de la présence physique du porteur et contrôle de la photo « papier » collée dans ledit document. Las, les Députés, tout comme les officiers de la PAF ou les fonctionnaires des polices d’état … sont humains, trop humains. Ils penchent à priori en faveur de la donnée numérique. Un crédo qui repose plus souvent d’ailleurs sur des arguments marketing que sur l’avis réel des ingénieurs concepteurs ou des personnes possédant le bagage scientifique capable d’évaluer, avec prudence et objectivité, le degré de fiabilité d’une technologie et –surtout- du bien fondé de son utilisation dans un contexte particulier.

NdrdlCqaugcjl Note du remplaçant de la Correctrice qui avait une grippe ce jour-là : Je profite de cette occasion pour offrir mes services à Monsieur Blancher. Ses dithyrambes sont passionnants, mais parfois sémantiquement inexactes. Ainsi l’usage du mot « patacaisse » qui, dans le contexte, laisserait entendre que c’est là un synonyme de « en faire toute une histoire ». Que nenni ! Le patacaisse, qui s’orthographie « pataquès », est une « liaison mal-t-à propos ». Scénette se déroulant dans un théâtre : « Mademoiselle, est-ce votre gant que je viens de ramasser ?
- Non Monsieur, ce gant n’est pas-t-a moi
- Est-il à vous Madame ?
- Il n’est pas-z-à moi non-plus
- Mais s’il n’est pas-t-à vous et s’il n’est pas-z-à vous, alors il est pas-t-à qu’est-ce ? »

image003

François de Sales, auteur de l’Introduction à la vie dévote

3) Twitter, arme de destruction massive

Slashdoté dans la journée de lundi, ce rapport de l’Armée US qui classe Twitter, ce réseau social d’informations « instantanées », comme potentiellement utilisable à des fins terroristes. Et de prendre comme preuve la rapidité avec laquelle se sont répandues des nouvelles lors du tremblement de terre de Los Angeles en juillet dernier. Ou, à l’occasion de la Convention Républicaine de Minneapolis, comment les militants diffusaient les mouvements des forces de l’ordre. Ce genre de « découverte » relève de la même fantaisie que la chasse à la bouteille d’eau dans les aéroports actuellement. Ou la peur des talky walkies et de RTL* par les Compagnies Républicaines de Sécurité durant les événements de Mai 68 : les outils de communication rapide sont… rapides. On pourrait en dire autant des talky walkies PMR* (mais pourquoi de tels outils de morts sont-ils encore en vente libre ?), des téléphones portables, des signaux de fumée, du code morse, des canaux IRC, des messageries électroniques, des coursiers à mobylette, des estafettes à cheval, des pigeons voyageurs, des signaux lumineux émis avec des « stylos laser », des…

* NdlC Note de la Correctrice : RTL, Radio Télé Luxembourg fit, en 68, un « tabac » en signalant, durant les heures de « direct », la position des compagnies de CRS durant les affrontements rue Gay-Lussac. Les PMR, Private Radio Mobile, sont les héritiers UHF des talky walkies de notre enfance qui, eux, étaient sur 27 MHz. Ces appareils, lit-on sur certains quotidiens, ont été de nombreuses fois utilisés dans le cadre de guérillas urbaines et autres affrontements de banlieue, notamment aux Etats-Unis.

image005

Par Nebarnix

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close