Spécial sécurite : les ondes qui ne brouillent pas seulement l’écoute

1. Les ondes qui ne brouillent pas seulement l’écoute
2. HTTPS, le protocole ne fait pas tout
3. Plein de bots depuis trois mois

La rentrée n’est pas très studieuse en ce jour de fête du travail Outre Atlantique. Les influences de cette zone anticyclonique se ressentent jusqu’en nos contrées, provoquant un certain relâchement dans le flot des communications techniques de certains blogueurs influents. Ainsi Sid, qui nous offre un long article sur le crochetage des serrures des années 30, ou Bruno Kerouanton qui se penche sur un projet d’origine Intel affirmant qu’il est possible de transférer de l’énergie par induction sur des distances de plusieurs mètres, le tout sans danger pour l’être humain : pour recharger votre portable, prenez ce siège et attendez quelques minutes. 

Le transfert d’énergie sans fil -par induction- est un principe vieux comme la radioélectricité. Les transformateurs de tension font appel à ce principe. Les portails antivol au sortir des caisses de supermarché, les commandes de barrière de parking... et les fours à induction bien entendu. Seulement, cette méthode n’est pas parfaite. Elle exige une proximité immédiate entre l’élément émettant l’énergie (inducteur) et son récepteur (induit). Que la distance s’accroisse, et l’on ne récupère plus que des microwatts et des pouillièmes d’ampère aux bornes de l’induit. Une solution consiste, afin de contourner cette difficulté, à employer des fréquences très élevées (car plus « cohérentes » et pouvant être canalisées en direction du récepteur), de l’ordre de la dizaine ou centaine de gigahertz. Malgré quelques pertes, cela fonctionne. Mais tout ce qui se situe dans le faisceau de transfert d’énergie subit une élévation de température brutale et oscille rapidement entre « cuit à point » et « franchement carbonisé ». Ce raté de la science nous a donné les fours microonde. Un principe qui pourrait être formulé de la manière suivante : proximité = transfert correct, grande distance = dispersion d’énergie et transfert catastrophique, grandes distances+fréquences élevées = transfert efficace mais danger pour l’humain.

Si l’on en croie les dires des chercheurs du MIT, il serait théoriquement possible de concevoir des boucles magnétiques capables de transférer des niveaux d’énergie élevés sans transformer les porteurs de téléphones et de PDA en poulets grillés. Mais, comme le fait remarquer Bruno Kerouanton, en faisant baigner l’humain en question dans un champ magnétique que les scientifiques affirment inoffensif et que le principe de précaution estime douteux. Douteux car, à l’instar des rayonnements électromagnétiques UHF des téléphones portables, il est encore impossible de travailler sur des études épidémiologiques sérieuses, capables de prendre en compte les terrains sensibles, les cas exceptionnels, le tout en isolant les sujets test (témoins ou cobayes) de tout facteur extérieur autre que celui mesuré. Bref, le débat n’est pas prêt d’être clos.

Encore un scoop des jours de fête, avec cette « révélation »de Tech Crunch qui nous apprend que le patron de MySpace n’est pas le séduisant geek frisant la trentaine que l’on voit s’afficher, mais un quarantenaire ancien hacker, connu autrefois sous le nom de code de FlateHead. Il fut même impliqué en 1985 dans une sombre affaire d’intrusion à l’intérieur des Vax de la Chase Manhattan Bank. Une affaire qui fit même les manchettes des journaux du soir et valu à l’intéressé toute l’attention du FBI. C’est désormais le patron d’un des serveurs les plus appréciés des ados aux quatre coins du monde. Ce qui prouve à la fois que rédemption n’est pas un vain mot et qu’elle est bien hypocrite, cette question qui demande s’il est sage d’engager un ancien pirate.

Une vague de papiers traitant des limites de HTTPS –et autres effets de bord- vient mourir sur la grève des blogs quasiment désertés. Le ressac des hacks s’entend tout d’abord sur les rivages de GNU Citizen, avec ce papier de PdP intitulé « Réparons le Web ». Et de débuter avec ces recommandations de prudence relatives à l’accès sécurisé d’un site : commençons par marquer les cookies avec les attributs « secure » et « httponly », et vérifier que toutes les url situées dans un contexte sécurisé débutent bien par https://, sans omission possible. Supprimer tous les messages d’erreur susceptibles de fournir des indications (un classique dans le monde SQL), limiter les mises à jour aux formats connus, installer un HIDS… ce n’est pas là un livre de recettes infaillibles, précise l’auteur mais si tout le monde respectait ces quelques principes de précaution, Internet deviendrait plus dur à vivre pour certains pirates.

Mais même les meilleures « bonnes pratiques » et usages abusifs de https ne garantissent pas une absolue invincibilité. Et c’est sur un air tektonico-acoustique que les chercheurs de l’équipe d’Enable Security nous font une démonstration de surfjacking sur Gmail. En fait une opération de vol de cookies fonctionnelle y compris dans le cadre d’un site https. Un article technique, intitulé Surf Jacking, HTTPS will not save you, fournit les détails de l’opération. Surfjack, l’outil central nécessaire à la démonstration, est un code Python pouvant être téléchargé sur, comble de l’ironie, Google Code. Cette information est également à rapprocher d’un billet de Robert Graham –Errata Security- toujours sur ce même sujet.

Encore une nouveauté dans le monde HTTPS. C’est SSL Guardian, offert par l’éditeur Allemand Heise. On ne peut être sûr de la qualité des liaisons https de certaines distributions Debian, en raison d’un défaut dans la génération des certificats. Lesquels seraient un jeu d’enfant à casser, affirment nos confrères. Le programme Win32 SSL Guardian se charge donc de vérifier le niveau de solidité du certificat SSL reçu. L’outil est gratuit… donc indispensable, accompagné d’une URL délivrant un certificat « garanti mauvais ».

Ce ne sont que des statistiques, collectées par ShadowServer. Mais elles sembleraient prouver que le nombre de réseaux de zombies a littéralement explosé durant ce dernier trimestre. Il apparaît que le parc des réseaux de bots ont vu leurs effectifs multiplier par 3 ou 4 durant les 90 derniers jours.

Deux raisons à cela. En premier lieu, un très net accroissement des vecteurs d’attaque polymorphes, de plus en plus discrets. Ensuite, une politique de « désinfection » inefficace s’attachant à chasser essentiellement les « bot herders », gardiens de troupeaux de zombies. Quand un éditeur d’antivirus se vante d’avoir participé à la « destruction d’un réseau de bots » en Teutonie ou au Zimbabwe oriental, il passe pudiquement sous silence un léger détail : les zombies sont toujours infectés, toujours dans la nature, et peuvent être généralement « récupérés » dans la semaine qui suit par un autre gardien de troupeau, plus insaisissable. Contrairement aux virus classiques, dont la rémanence est généralement de courte durée, les agents de bots sont persistants, car étudiés pour pouvoir être mis à niveau. En rassurant une population d’usagers, les campagnes marketing de quelques chasseurs de virus endorment la vigilance des victimes et favorisent en partie ce développement spectaculaire.