Spécial sécurité - McAfee et Oracle, après Verisign et Comodo : loi des séries ou fin d’une époque ?

Sommaire
1 - McAfee et Oracle, après Verisign et Comodo : loi des séries ou fin d’une époque ?
2 - Hack Comodo : le bruit de fond augmente
3 - Comodo incommodé (suite)

1 - McAfee et Oracle, après Verisign et Comodo : loi des séries ou fin d’une époque ?
Franchement, à voir vaciller les principaux piliers du monde commercial de la sécurité, on serait prêt à voir des pirates derrière chaque écran 21 pouces. Le « scoop du jour », c’est la promenade de santé que s’est offert YGN, the Ethical Hacker Group sur les serveurs de McAfee. Le « trou » aurait été découvert le mois dernier. Cette découverte est publiée sur la liste Full Disclosure, savoureuse ironie, la même semaine que l’est un rapport McAfee intitulé « Underground Economies, Intellectual Capital and Sensitive Corporate Data Now the Latest Cybercrime Currency ». Rapport qui déplore notamment le fait que les entreprises de grande et moyenne envergure ne savent pas ou mal protéger leurs « avoirs intellectuels » stockés sur leurs ressources informatiques. La rédaction de CNIS est intimement persuadée qu’un membre de l’Avert se dévouera pour expédier ledit mémorandum à qui de droit. D’ailleurs, le bras droit technique de « qui de droit » n’a pas non plus l’air au courant de l’affaire, puisque son dernier billet de blog remonte à début février et se penche sur le danger des APT qui viennent à pied par la Chine. En attendant, pour nos confrères de Network World, c’est presque la fin du monde : « McAfee's website full of security holes ». Les vendeurs font un peu la tête… difficile de commercialiser des chaussures provenant d’un savetier qui a mal aux pieds.

Morte, la liste Full Disclosure ? Allons donc ! Cette même semaine, l’on y trouve également un message signé jackh4xor, qui décrit par le menu ce que l’on peut trouver sur les disques de MySQL, base de données Open Source, entité entrant dans le giron de Sun, lequel Sun appartient à Oracle. Bien que l’attaque ait utilisé une technique d’attaque par injection SQL « à tâtons » (ou à l’aveuglette), MySQL n’est pas en cause… seulement la structure du site Web.

Puisque l’on est au chapitre « désacralisation des icônes » achevons cette revue de hack par deux articles à caractère statistique. Le premier est publié par Maxiscience, et qui nous raconte comment la Nasa essuie près de 3000 intrusions par an (chiffre à prendre avec beaucoup de prudence). Nos confrères rappellent le hack de Jeremy Parker, en février dernier, mais passent sous silence celui de Gary McKinnon qui y cherchait la preuve de l’existence des petits hommes verts et qui est toujours sous le coup d’une procédure d’extradition vers les USA.

Mais au regard des derniers chiffres sur la sécurité des administrations fédérales des Etats-Unis, il semblerait que l’affaire McKinnon ne soit qu’une goutte d’eau dans un océan de hacks. Entre Iraniens pugnaces, Chinois militants, altermondialistes hacktivistes, conspirationnistes avides et exobiologistes amateurs en mal de zone 51, l’on a frisé les 42 000 attaques dans l’administration américaine l’an passé. Chiffre en hausse comparé aux 30 000 tentatives de hack relevées en 2009 nous apprend Federal Times.

Mais à bien y regarder, tout ça relève de la sinistralité quotidienne des systèmes d’information, qu’ils soient étatiques ou privés. 31% de ces menaces avaient pour origine des « malicious codes », autrement dit de la vulgaire attaque virale. Le reste associant pêle-mêle les dénis de service, les login non autorisés, les usages impropres (accidentels ou non), les tentatives d’accès infructueuses et les sondes de scanners (ports, vulnérabilités, signatures etc.). Somme toute, une sorte d’inventaire à la Prévert uniquement destiné à faire grimper le FUDomètre au-delà des graduations « rouge vif ».

Ces tristes statistiques ne sont pourtant pas nécessaires. Chaque jour nous apporte la preuve que les « institutions honorables », jadis intouchées et intouchables, sont aujourd’hui désacralisées. Le « ils ne respectent plus rien » s’applique également aux crackers de sites, hacktivistes, techno-casseurs politisés, cyber-espions du secteur privé ou d’état.

2 - Hack Comodo : le bruit de fond augmente
Le hack de Comodo a eu pour première conséquence la fermeture d’un certain nombre de sites utilisant et, pour certains, fournissant des services de certification. Et la principale victime semble être précisément la dernière citée de la liste des certificats « volés », le fameux « Global Trustee ». Une entreprise italienne, également fournisseur de certificats, affiliée à Comodo. Netcraft fait un bilan et compte les morts, nombreux de l’autre côté des alpes. Ce serait là la branche la plus touchée par les conséquences du piratage. Ce serait également et indirectement là l’origine qui aurait offert au black hat responsable de cette attaque les moyens pour parvenir à ses fins, à l’aide d’une simple injection SQL pour commencer. Depuis, les sites « interrompus momentanément » ont (presque) tous repris du service. A l’heure où nous rédigeons ces lignes, banksafe.it, comodogroup.it et cybercrimeworkingroup.org (sic) ne sont toujours pas sortis du coma avancé dans lequel leurs chirurgiens-webmestres les ont plon gés pour faciliter l’opération chirurgicale.

Netcraft y fait allusion, Robert Graham y consacre 3 articles : le viol des serveurs Comodo serait l’œuvre d’un individu isolé, n’ayant aucun rapport avec le gouvernement Iranien. Revendication et explications techniques fournies sur Pastebin. L’ego du personnage est à la hauteur du scandale provoqué : « I'm single hacker with experience of 1000 hackers, I'm single programmer with experience of 1000 programmers, I'm single planner/project manager with experience of 1000 project ». Graham qui décroche, peu de temps après, une interview du pirate en question, et qui vérifie techniquement la véracité d’une partie de ses dires. D’une partie seulement, puisque l’aspect psychologique est, dans l’état actuel des choses, totalement invérifiable. Les propos fortement politisés et assez extrémistes émis par ce personnage ne sont en aucun cas la preuve d’une absence de manipulation ou d’opération sur ordre émanant d’une tierce personne ou entité (qu’elle soit Iranienne ou non). C’est là un avantage certain qu’ont les sociétés collectivistes ou théocratiques, qui peuvent invoquer l’action « de patriotes incontrôlés agissant de leur propre chef ». C’est là la conséquence d’une bonne maîtrise de l’agitprop. Encore un mystère qui ne s’éclaircira pas de sitôt.

Histoire de revenir sur une affaire légèrement plus ancienne (mais si, voyons, le hack des serveurs RSA…), le Sans continue son travail de conseiller bienveillant, en prodiguant moult enseignements sur l’art de lire les logs d’audit des serveurs RSA ACE. C’est le Dir Com d’EMC qui doit être content, et remercier chaque jour son concurrent Comodo d’avoir éloigné rapidement les feux des projecteurs médiatiques. Si le Sans pouvait arrêter ce genre de publication, tout le monde l’aurait déjà oublié.

3 - Comodo incommodé (suite)
La nouvelle a été « officiellement » confirmée par le biais d’un groupe de discussion Yahoo : deux autres comptes d’autorité d’enregistrement (RA) auraient été compromis, affirme Robin Alden le CTO de Comodo. Information relayée par Netcraft ou IDGNS entre autres. Jusqu’à présent, seul le revendeur Italien (GlobalTrust.it / InstantSSL.it) semblait à l’origine de la « fuite de certificats » frappant Comodo.

Une fois de plus, l’information parvient au public via des moyens relativement fantaisistes et non officiels (une liste de discussion) sans confirmation de la part de la Direction de la Communication du groupe. Du moins pas à l’heure où nous rédigeons ces lignes. L’identité des deux autorités d’enregistrement est gardée secrète, les éventuelles compromissions desdites autorités sont également laissées dans un brouillard à couper au couteau. Malgré l’affirmation du CTO affirmant que « No further mis-issued certificates have resulted from those compromises », on ne peut, devant l’opacité des méthodes de communication de l’entreprise, que douter du sérieux de ces assertions. En attendant, la direction clame à qui veut l’entendre qu’elle est en train de réorganiser les flux de certification, notamment en limitant les pouvoirs des RA (qui, jusqu’à présent, pouvaient directement émettre des certificats issus de l’autorité racine, sans passer par l’intermédiaire de la maison mère) et en déployant des mécanismes d’authentification à deux facteurs destinés à limiter les risques en cas de nouvelle compromission de ce type (Authentification à deux facteurs : expr. Tech : système d’authentification réputé inviolable. Voir article RSA)