Spécial sécurité : cyber-escarmouches visant les USA et la Corée
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères reviennent sur la cyber-attaque dont ont été victimes des sites officiels sud-coréens et américains. Avant de se réjouir de la sortie de Chrome OS, qui ne fait qu'accentuer la multiplication des plates-formes pour netbooks... et éloigner d'autant les auteurs de virus.
1 - Cyber-escarmouches visant les USA et la Corée
2 - Chrome OS : un noyau de plus dans l’ultraportable
1) Cyber-escarmouches visant les USA et la Corée
Depuis plus de 5 jours, les USA et la Corée du Sud sont la cible d’une série d’attaques en déni de service. La FTC (Federal Trade Commission) et Usauctionslive en ont notamment fait les frais. Ce jeudi matin, Usauctionslive n’avait toujours pas repris une activité normale et demeurait inaccessible. Une dépêche de l’Associated Press précise que d’autres administrations fédérales ont essuyé des attaques assez violentes pour bloquer 100 % des ressources des serveurs. Ainsi l’administration des Transports, des Finances, les Services Secrets, le DHS, le Département d’Etat, la Maison Blanche, le DoD, le Nyse, le Nasdaq et… le Washington Post. Les premiers signes d’activité auraient été détectés dès le 4 juillet, date de la fête nationale US. Bob McMillan, de CSO online USA dresse un bilan des dégâts mais n’indique aucune source probable de cette cyber-guerre. A lire également l’article d’une « victime » de renom, Brian Krebs du Washington Post, qui, lui aussi, se perd en conjectures. Les seules traces, pourtant ténues, laissent penser que ces assauts sont d’origine asiatique (sans autre précision… nord coréennes, chinoises… ou se faisant passer pour). Les chercheurs de Tistory.com dressent, de leur côté, une liste plus exhaustive des sites coréens touchés par ce blitz. On y retrouve sans surprise le Web de la Présidence, l’équivalent de USauctionLive, quelques banques et instituts financiers…
Selon AhnLab, un éditeur d’antivirus Coréen, le botnet d’attaques compterait près de 18 000 machines. D’autres professionnels de la sécurité, tant américains que français, auraient jusqu’à présent constaté deux choses : un accroissement des infections MyDoom, et une très nette augmentation des attaques en « persistance TCP » très proches – voire strictement identiques - à l’exploit décrit dans le tout dernier numéro 66 du magazine Phrack accompagné du PoC Nkiller2. Nkiller, tout comme Slowloris de Rsnake, utilise un mécanisme d’attaque visant à maintenir « ouverte » une connexion tcp. Avec très peu de moyens, et en multipliant des requêtes simples, une machine zombie de faible puissance peut générer assez de demandes de trafic pour faire « tomber » n’importe quel serveur par saturation mémoire.
2) Chrome OS : un noyau de plus dans l’ultraportable
Il y avait déjà des versions de XP/Vista/Seven régime sylphide pour tablettes Origami, concurrencés par une foultitude de projets Open : Ubuntu Netbook Remix, Moblin d’Intel et même Android, système embarqué que Google commençait timidement à porter sur quelques ultra-portables. Une solution probablement trop bancale, puisque ce même Google vient d’annoncer le lancement de Chrome OS, dont les premières versions ne seront pas disponibles avant la seconde moitié de l’an 2010. Ce noyau économe en ressources et mémoire fonctionnera, nous promet Google, sur processeurs x86 et ARM. Il ne manque plus qu’une version spécifique d’OS/X – plus confortable que le noyau de l’iPhone, plus compacte que celles installées sur les machines de bureau - pour que le tableau soit complet.
Tout semble donc se passer comme si le marché des ultraportables pouvait échapper à l’emprise de Microsoft. Une situation qui n’est pas sans rappeler celle de la téléphonie mobile, qui a connu – et connaît encore - une profusion de systèmes d’exploitation, interpréteurs et firmwares, qui s’affrontent dans une lutte frénétique avec l’espérance de faire un jour partie des « survivants » qui se partageront le gâteau. Qui remportera cette bataille ? Le clan Microsoft ou Linux ? Google ou Apple ? Nul ne sait. Les quelques points dont on peut être sûr, c’est que le « noyau gagnant » aura très peu de chances de tourner demain sur des machines que l’on achète aujourd’hui. Il est également rassurant de savoir que, plateforme Windows mise à part, le capharnaüm ambiant n’incitera pas les auteurs de malware à concevoir des vecteurs d’attaques visant les netbooks, au moins durant les deux prochaines années. L’écriture d’un code « portable multiplateforme » n’est pas assez rentable.
Triste nouvelle pour le monde de la sécurité : Milw0rm, le principal site d’information publiant PoC et exploits « connus », vient de fermer. Le gestionnaire du site, /str0ke, avoue ne plus avoir assez de temps pour accomplir ce travail de titan. Il reste à espérer qu’une équipe motivée saura prendre la relève.
Le travail d’information de Milw0rm était capital. Ses annonces, ses codes, les « preuves de faisabilité » n’étaient généralement publiés que lorsqu’il était avéré que l’exploit en question était activement utilisé « dans la nature ». Autrement dit qu’il avait fait l’objet d’une présentation publique à l’occasion d’une conférence sécurité ou, fait plus courant, que la faille en question était exploitée par des personnes peu recommandables. La moindre annonce sur Milw0rm avait valeur d’avertissement et fournissait un sérieux indice de criticité : un exploit actif et rendu public impliquait une mise à jour des outils de protection périmétrique et un déploiement de correctifs à effectuer d’urgence. La disparition de cet observatoire joue un peu plus en faveur d’une mainmise des éditeurs sur les informations de sécurité, et par conséquent d’une occultation de toute nouvelle pouvant porter ombrage à l’image de marque desdits industriels.
