Spécial sécurité : fuites de la HSBC ou comment rembourser un redressement fiscal

Sommaire :
- Fuites de la HSBC ou comment rembourser un redressement fiscal
- Cloud computing : plus de risques que de bénéfices
- Le CD vierge qui causait
- Microsoft, 25 bouchons et trois enterrements
- Quand BGP joue à Scadattaque
- Se prendre pour un pen-tester

1 - Fuites de la HSBC ou comment rembourser un redressement fiscal
Si l’affaire des «  fuites de la HSBC » et de ses conséquences politico-fiscales ont remué quelques gros salaires français, un « précédent » survenu en Allemagne pourrait redonner un peu de cœur au ventre à tous ceux pour qui le bouclier fiscal ne suffit pas : un marchand de biens immobiliers du Bad Homburg, épinglé par le fisc germanique il y a plus d’un an pour avoir « oublié » quelques économies dans une banque du Lichtenstein, a décidé de poursuivre l’établissement et de demander la modique somme de 7,3 millions d’euros en dommages et intérêts, soit le montant de l’amende imposée par l’administration fédérale. Demande qu’un juge de ce même Lichtenstein a considéré comme légitime, donnant gain de cause à cette malheureuse victime de l’impéritie des employés voleurs de fichiers.

Mais, loin de se considérer comme dédommagé, nous apprennent le TagesSpiegel, le Zeit ou le HandelsBlatt, voilà que ce noble défenseur du bas de laine décide de porter l’affaire devant une autre instance, en augmentant au passage le mondant de son « dol moral ». Cette fois, ce sont 13,7 millions d’euros qu’exige cette victime des contributions directes, en d’autres termes le montant de l’imposition elle-même… requête qu’avait déjà rejeté le premier jugement. Même avec les honoraires des avocats, le pécule restant demeurera confortable… si et seulement si le jugement est à nouveau prononcé en faveur de ce promoteur prometteur mais pas prêteur.

La morale de cette histoire, c’est qu’il n’y a strictement rien de moral dans les histoires de fuite d’information. Le gouvernement fédéral –l’affaire avait indigné la presse à l’époque- s’est rendu coupable de complicité de recel et de complicité de piratage en acceptant ces fichiers volés et en rétribuant l’auteur de cette fuite d’information, lui-même coupable d’intrusion dans un système… fut-il étranger. L’ Anstalt qui possède la banque de « blanchiment » se montre moins blanche que l’argent qu’elle accepte de cacher. Le propriétaire du compte, quant à lui, ne peut être reconnu innocent, la fraude ayant été prouvée et sanctionnée par l’Autorité financière de son pays. Le juge chargé de statuer sur la plainte, enfin, a purement et simplement légalisé l’évasion fiscale en estimant le fraudeur moins « coupable » que l’ Anstalt.

Cet appel, s’il se conclut en faveur du plaignant, pourrait bien inciter les fonctionnaires de Bercy à envoyer directement la facture de l’affaire Falciani au siège de la HSBC de Genève. Cela aurait au moins l’avantage d’éviter les frais de justice, toujours inutiles à supporter en ces temps de crise et de grande restriction. Cela pourrait également inciter les banques des pays situés légèrement en dehors de la CEE à intensifier leurs politiques de sécurité apparemment déplorables…. Comparées à celles en usage à l’intérieur de l’Hexagone. Car des fuites d’information provenant d’établissements financiers français, est-ce imaginable ?

2 - Cloud computing : plus de risques que de bénéfices
L’Isaca (Information Systems Audit and Control Association ) publie une rapide étude de 4 pages réalisée par IDC, selon laquelle, sur un panel de 1800 entreprises US, 45 % d’entre elles pensent que les risques liés aux technologies Cloud sont plus importants que les économies escomptées (contre 17 % qui pensent le contraire et 38% qui estiment que les deux sont équilibrés). L’engouement est d’ailleurs relativement mitigé, puisque seulement 15 % des personnes interrogées envisagent de « cloudifier » des pans non critiques de leur infrastructure, et 10 % pensent confier aux « nuages » des services d’importance stratégique… proportion à comparer aux 26 % qui n’envisagent pas d’externaliser quoi que ce soit, aux 18 % qui n’ont pas finalisé leurs plans et aux 30 % qui ne connaissent pas les souhaits de la Direction en la matière.

Cette réticence –ou prudence face à un mode de fonctionnement qui n’a pas encore fait ses preuves, selon l’Isaca-, serait notamment provoquée par la crainte de risques de piratage des installations « dans le nuage », risques dressés par le Cloud Security Alliance en mars dernier. S’ajoute à ces peurs les contraintes légales, normatives ou d’agrémentation qui peuvent disparaître en cas de sous-traitance d’une fonction stratégique, ou lorsque le sous-traitant ne peut garantir un niveau de service conforme aux exigences. Le risque, contrairement aux processus métiers, est quelque chose qui ne se divise pas, mais qui s’additionne.

3 - Le CD vierge qui causait
Deux chercheurs de l’Université de Princeton ont mis au point une technique de révélation d’informations optiques noyées dans du bruit. Le « secret » tiendrait dans l’utilisation d’un cristal non linéaire polarisé progressivement, faisant en sorte que le bruit ainsi « ajouté » joue le rôle d’agent de contraste. La netteté des informations s’améliore progressivement, puis se dégrade passé un certain point. En l’absence d’optique spéciale, il est absolument impossible de distinguer quoi que ce soit dans le milieu translucide contenant l’information.

Cette technique, expliquent les deux chercheurs, pourrait déboucher sur une multitude d’applications, dont l’amélioration de la vision dans des milieux liquides turbides –la pêche en eau trouble en d’autres termes-, l’imagerie à faible niveau d’éclairage etc. Celle, bien sûr, qui intéresserait le plus le monde de la sécurité informatique, c’est l’utilisation de cette technique en stéganographie. En développant un polycarbonate semi-transparent et diffusant la lumière, il serait possible de produire des CD-Rom illisibles avec des lecteurs conventionnels mais dont le contenu apparaîtrait avec des périphériques dotés d’une optique à « cristal non linéaire polarisé ». Si le support peut en outre être capable de supporter une gravure traditionnelle chargée de « donner le change » lors d’un contrôle, ces disques à contenu secret pourraient bien connaître un certain succès auprès des amateurs de films d’espionnage.

La technique est également utilisable pour masquer un discret tatouage d’identification qui n’apparaîtrait que sous l’œil lunetté et polarisé d’un inspecteur.

4 - Microsoft, 25 bouchons et trois enterrements
11 bulletins, 5 « critiques », 25 failles au total : Microsoft renoue avec les « patch Tuesday » gras et fournis nous apprend le bulletin du MSRC. L’on remarquera au passage la promesse de « clôture » des bulletins 981169 et surtout 977544, un DoS possible par protocole SMB. Ces « failles SMB » feront d’ailleurs l’objet de multiples correctifs dans les mois à venir, résultat de l’impressionnant travail de fuzzing mené par Laurent Gaffié qui aura permis l’élimination de trous de sécurité datant pour certains de la haute époque OS/2 Lan Manager.

Notons également au passage les faire-part de décès suivant :
XP SP2, qui disparaîtra de la liste des noyaux supportés dès le 13 juillet prochain –le passage au SP3 est donc nécessaire-.
Le support étendu de Windows 2000 s’éteindra doucement ce même jour. Plus le moindre bulletin de sécurité ou de mise à jour ne devra être attendu, la famille aimante du défunt pourra toujours tenter d’embaumer les rares survivants dans l’enceinte protectrice d’une VM isolée.
Le support de Vista RTM rejoindra le Walhalla des patchs Tuesday ce même jour, et son proche héritier, Vista SP1, ne lui survivra pas plus d’un an. Date d’expiration prévue, le 12 juillet 2011. Le passage au SP2 devrait permettre de repousser l’agonie encore quelques temps.

5 - Quand BGP joue à Scadattaque 
Vincent Hinderer raconte brièvement, sur le blog du Cert Lexsi, comment une très probable erreur d’administration de routeur en Chine a provoqué, par le biais de BGP, une avalanche d’erreurs de routage qui a fini par contaminer pratiquement le monde entier. Si le problème n’avait pas rapidement été jugulé grâce à la rapidité de réaction des réseaux d’alerte, le routage de l’Internet aurait pu connaître un sacré… capharnaüm. A été évité également une nouvelle vague de rumeurs sur d’éventuelles « grandes cyber-manœuvres chinoises » destinées à tester « la résistance des réseaux du monde occidental ». Le problème a tout de même duré près d’une vingtaine de minutes et prouvé l’efficacité des canaux de communication d’alertes.

Ce genre de mésaventure n’est pas sans rappeler les « blackout » d’Internet provoqués autrefois lorsqu’une « erreur de bande » de la part d’un employé de NSL réduisait en cendres tout le domaine .com, et autre accidents classés dans la catégorie « çà n’arrive jamais ».

6 - Se prendre pour un pen-tester
Mavituna security vient récemment d’annoncer la sortie d’une version « communautaire et gratuite » de leur scanner Netsparker. Il s’agit d’une version allégée du programme commercial, mais déjà capable de renseigner les webmestres de tous niveaux sur les trous de sécurité les plus évidents relevés notamment après un premier balayage automatique. Le mode « pour les nuls » est déjà capable de repérer les fenêtres de login en mode http non protégé, les XSS potentiels, les inclusions de fichiers probables, les chemins bizarres et autres divulgations d’information souhaitées ou involontaires (adresses email notamment). Quelques séquences vidéo montrent comment mieux utiliser l’outil en question et tirer de plus sérieux enseignements techniques. Même employé par des non-techniciens, ce logiciel peut guider l’usager dans les méandres des recommandations Owasp et dans la hiérarchisation des failles de sécurité les plus courantes.