:: Actualité ::

Un vent mauvais souffle sur les téléphones un peu trop intelligents. Avec un coup de noroit glacial qui vient refroidir les ardents défenseurs de l’iPhone d’Apple. Un développeur, cherchant à effectuer un changement dynamique d’image de fond d’écran, est tombé sur une faille assez intéressante : la non vérification de la signature d’un lien symbolique, avec les conséquences que l’on peut imaginer. Toutes les grandes lignes sont expliquées sur le blog de l’Avert, qui précise que l’exploitation d’un tel défaut n’est que très peu probable, puisque l’on en retrouverait aisément son auteur. Jimmy Shah, l’auteur, semble pudiquement passer sous silence que si l’auteur n’est autre que le service développement d’une « agence à trois lettres », il y a très peu de chances qu’Apple porte l’affaire devant les tribunaux. Les plus curieux se reporteront sur le blog de l’inventeur de la faille... ou de la « feature ».

Chez Symantec, on s’intéresse aux concurrents de l’iPhone, autrement dit aux téléphones sous Windows CE, qui semblent frappés par un virus-ver d’un genre nouveau. Non seulement l’infection ne « voyage » plus par liaison Bluetooth mais par le biais des cartes flash d’extension mémoire, mais en outre elle se camoufle d’une multitude de manières. Polymorphe, sa signature est perpétuellement changeante. Les emplacements dans lesquels elle se multiplie sont aléatoire, les dossiers dans lesquels elle se cache sont invisibles, son icône même est celle d’un répertoire… autant d’astuce révélant là un important travail de développement. Travail en pure perte, car, à en juger ses actions, tout cela ne sert qu’à empoisonner la vie de l’usager et alourdir sa facture avec de multiples appels aux services de renseignements téléphonés. Ces numéros surtaxés ne reversent pas un seul centime aux auteurs du malware.

Tout semble donc indiquer une fois de plus que les virus téléphoniques en sont encore au stade artisanal de l’infection, une phase purement nuisible et dénuée de visées financières. Leur taux de diffusion demeure, pour l’instant, assez faible, malgré un parc toujours croissant de Smartphones de moins en moins cher, de plus en plus identiques sur le plan des systèmes embarqués.

Le CEO de Symantec,John Thompson, abandonne ses fonctions après 10 ans passés à la tête d’une des plus grandes entreprises du monde de la sécurité. Son départ ne sera effectif qu’à partir d’avril prochain et, précise le communiqué officiel, c’est Enrique Salem qui lui succèdera.

Patron plus qu’énergique, Thompson a transformé Symantec en l’arrachant de son domaine « vertical », celui des antivirus et des utilitaires pour PC (famille des outils de Peter Norton notamment). Il rachète successivement l’antispam BrightMail, Veritas, entreprise spécialisée dans le stockage, puis @stake, les héritiers du L0pht Heavy Industries, experts en hacking, en tests de pénétration, en analyse de malwares… et catalyseur de talents –Matasano en est une preuve toujours vivante-. Sa dernière acquisition, Message Lab, fournisseur de services de messagerie, pour la somme étonnamment élevée de près de 700 M$, avait suscité des commentaires étonnés de la part des analystes financiers.

Thompson quitte donc la scène au sommet de sa gloire. Il abandonne une entreprise florissante, au moment même où les budgets sécurité commencent à se restreindre et les marchés s’étioler. L’un de ses derniers actes de CEO aura été, à la fin du mois dernier, de signer la mise à pied préventive de près d’un millier de personnes (sur un effectif total de 17800 employés).

Plutôt que recourir aux ficelles –désormais éventées- utilisées par les scarewares, les diffuseurs de VirusResponse lab 2009 font leur réclame par le biais de fausses pages 404, statiques en diable, nous apprend le blog de F-Secure. Bien sûr, le VirusResponse est faux comme un jeton et truffé d’infections… mais il se pare de la vertu des messages système, celle garantie par la pureté de son origine « serveur » et drapée dans une respectable fonte non proportionnelle, illisible, frappant une page d’une infinie tristesse digne d’un 1er novembre. C’est donc certainement fiable. Bel exemple d’adaptation des diffuseurs de crimewares.

Toujours sur le blog de F-Secure, cet appel aux beta-testeurs volontaires, qui seraient intéressés par l’évaluation de Web Trail. Là encore, les systèmes parlent aux humains. Il s’agit d’une sorte de « visual traceroute », qui amusera les enfants. A noter toutefois que cet utilitaire peut afficher visuellement les liens géographiques en fonction d’une échelle temporelle. Utile pour qui ne s’intéresse ni aux commandes en ligne, ni à la lecture des logs.

Des failles entrant dans la catégorie « exploitable à distance » : le web de NetDev en serait presque rouge de confusion. Il s’agit là du tout dernier lot trimestriel de correctifs en date du 14 novembre, bouchons logiciels dont l’origine est en grande partie située du côté de AppSecInc, alias Shatter.

Rappelons aux administrateurs de SGBD qu’une surveillance régulière dudit site est plus que conseillée, car l’on y trouve autant, si ce n’est parfois plus, d’informations sur les bases Oracle, Sybase, Microsoft, MySQL, Notes, Exchange et DB2 que sur les sites des frères Litchfield ou sur celui d’ Alexander Kornbrust.

Après la France, l’Allemagne, l’Italie, c’est au tour le la Grande Bretagne d’adopter une série de lois visant à réprimer sévèrement tout possesseur « d’outils de hacking » signale Out Law. Sont ainsi confondus dans un melting-pot fort pratique, à la fois les programmes de test de pénétration et les logiciels capables de provoquer des attaques en déni de service. Les textes, renforçant le Computer Misuse Act, portent à 10 années d’emprisonnement toute attaque d’un système d’information « sans autorisation ».

De prime abord, il s’agit bien là d’une loi salvatrice visant à renforcer la protection des honnêtes internautes, particuliers comme professionnels. Il reste que tout viol d’un S.I. faisait déjà l’objet de mesures répressives relativement sévères. Mais, précisent nos confrères Britanniques, les nouveaux textes visent quiconque « fabrique, adapte, fournit ou offre de fournir (sic) quelque article que ce soit qui pourrait être susceptible de commettre ou de concourir un méfait [du genre hacking, modification non autorisée de données ou attaque en déni de service]. » Une fois de plus, la loi établit une confusion entre l’outil et l’usage de l’outil, et étend la culpabilité au diffuseur de l’outil. En osant une parabole fort inexacte, et si l’on étendait l’esprit des lois au secteur automobile, les constructeurs de voiture et équipementiers seraient tous fichés au grand banditisme pour meurtre aggravé, les concessionnaires automobiles auraient un casier digne de Mesrine, et les derniers cascadeurs finiraient leurs jours dans les geôles de Guantanamo. Dans toute démocratie, c’est la nature de l’acte qui définit l’accusation, et non l’intention de l’acte ou l’information relative à l’acte. Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’une loi légèrement liberticide (mais pas trop), entravant légèrement (mais pas trop) le travail des spécialistes et chercheurs en sécurité, et dont l’application la plus rigoureuses est laissée à la seule appréciation des juges. Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’une loi strictement nationale, dont les rodomontades et les moulinets n’inquiètent pas particulièrement les industriels de la fabrication de malwares établis en Chine, en Russie, au Brésil. Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’un texte qui favorisera grandement le travail des cyber-délinquants. En dissuadant, par excès de paperasseries et arguties juridiques, la pratique saine des tests de pénétration réguliers et des audits intrusifs. En opacifiant un peu plus les marchés « underground » sur lesquels l’on trouve kits de malwares et plateformes de « Piracy as a Service ».

A l’heure où nous rédigeons ces lignes, il n’existe pratiquement plus qu’un seul pays en Europe où la liberté de conduire et de publier des recherches n’attire pas systématiquement les foudres de la justice. Ce pays, défenderesse de la liberté d’expression depuis le Siècle des Lumières, terre d’accueil du THC, c’est la Hollande. Une contrée qui, depuis ces 5 dernières années, est l’un des centres de communication scientifique les plus prolifique qui soit dans le domaine de la recherche sécurité. Tant en termes de fuzzing appliqué au « safe programming », que de préservation de la vie privée ou de dénonciations des mauvaises pratiques institutionnelles (dans le secteur des RFID notamment). Peu étonnant donc que les principales entreprises de « managed services » et d’audits à distance y installent systématiquement leurs NOC.

Une mise à jour importante de Safari –une édition 3.2 pour Mac OS X 10.4.x (Tiger) et Mac OS X 10.5 (Leopard)-, une nouvelle édition truffée de rouge avec Firefox 3.0.4 qui traîne un impressionnant cortège d’alertes CVE : cette fois, le passage aux différentes moutures « N+1 » est plus que conseillé. S’il fallait, pour les utilisateurs de Macintosh, un argument supplémentaire pour passer à l’acte, l’intégration d’un filtre anti-phishing dans la 3.2 devrait amplement suffire aux plus dubitatifs.

Profitons de l’occasion pour rappeler aux usagers de Firefox que la version 2.x ne devrait pas « passer l’hiver », et que l’adoption de l’édition 3.0 devient obligatoire.

Les meilleurs crus, parfois, ne sont pas les plus abondants. La correction de faille « hors calendrier » MS08-067 et la vulnérabilité MS08-068 publiée à l’occasion d’un « Patch Tuesday » étique mériteraient qu’on leur dresse une stèle : une origine antédiluvienne, une exploitation garantie à toute épreuve, une médiatisation inégalée… le tonnerre de leur annonce risque de résonner durant quelques mois encore. Il faut lire l’article de Cédric Blancher sur le trou SMB Relay pour en comprendre à la fois la gravité et les dangers de la compatibilité ascendante qui compromet régulièrement la sécurité des noyaux Microsoft. Il faut également se plonger dans les preuves de faisabilité et commentaires qui fleurissent çà et là, certains plus compréhensibles que d’autres, ainsi celui d’Andres Tarasco. Il faut, peut-être, même si la méthode est un peu discutable, s’intéresser à Squirtle, outil d’évangélisation destiné à tous ceux qui partent en croisade contre la conservation de NTLM. Comme l’explique si bien son auteur, Squirtle sert à prouver « à votre patron, vos clients, votre meilleur ami, votre chien ou Dieu que NTLM est mort et enterré ».

Et MS08-067 dans tout çà ? Elle succombe, une fois de plus, sous les coups d’un Python Constrictor signé par Debasis Mohanti, chercheur en sécurité réputé et très « présent » dans les fils de discussion du Full Disclosure. Son code reptilien se trouve un peu de partout : sur Milw0rm, sur HackingSpirit... 067, pour les intimes, est devenu un grand classique. A tel point, nous apprend aussi l’Avert Lab de McAfee, qu’on le retrouve dans les « kits de fabrication de malware » commerciaux diffusés sur les marchés orientaux.

… et certains de ses convives risquent de se retrouver « chocolat ». Ceci concerne surtout l’ambassade Indienne du Brésil, pays renommé pour ses batucadas et ses pirates informatiques, plus fins et plus inventifs que leurs homologues Russes ou Chinois. Une ambassade qui, nous apprend Websense, était devenue un véritable nid d’infections JavaScript. Le but premier de cette attaque était notamment de détourner les visiteurs-victimes vers d’autres sites, moins reluisants et un peu plus moscovites : vendeurs de faux antivirus, injecteurs d’exploits Adobe… rien là que de très classique pourrait-on dire.

La compromission des sites officiels est un sport qu’apprécient fortement tant les espions que les vendeurs de viagra frelaté. En janvier dernier, nos confrères du « Reg » nous apprenaient que l’ambassade de Hollande en Russie attirait ses visiteurs dans l’esclavage d’un botnet. En septembre de l’an passé, c’était le consulat des Etats-Unis à Saint-Pétersbourg qui, après une attaque en règle, propageait des maladies binaires contextuellement transmissibles. Maladies locales d’ailleurs, la balance du commerce extérieur des pays de l’Est étant fortement excédentaire en matière de malwares. En septembre 2007, l’ambassade de Syrie à Londres était contaminée, tandis que celle de France en Lybie se faisait circonvenir par… des pirates Ukrainiens. Dans l’ensemble, les taux d’infection des sites officiels se situent très en deçà des moyennes statistiques constatées dans l’industrie. Constatation à prendre avec prudence, compte-tenu du culte du secret qui sévit généralement dans les sphères de la haute diplomatie. Un culte qui favorise très probablement la dangerosité de ce genre d’injection, les victimes ayant à priori une totale confiance dans le modèle de sécurité de leur administration.

Ce n’est pas d’hier que datent les injections de malware par le biais des messageries instantanées. Les virii Messenger, les vers Yahoo, les pollupostages et exploits Skype font déjà partie de l’histoire presque quotidienne. Pourquoi un tel intérêt des filières mafieuses envers ces systèmes de communication personnels ?

Tout simplement, explique Dancho Danchev, parce que c’est le plus sûr moyen de dresser des listes de correspondants, de cibles privilégiées qui serviront aux exploitants secondaires, pharmaciens véreux, vendeurs de faux antivirus et autres produits frelatés.

Le progrès aidant, l’on commence même à trouver des promesses de « programmes de fabrication automatique de malwares Skype ». Les premiers éléments de preuve ne sont pas encore totalement opérationnels et efficaces, mais si l’on en juge par la rapidité avec laquelle un Storm a été conçu et amélioré, cela ne devrait plus prendre tellement de temps.

Passionnante étude que celle de ces chercheurs de l’UCSD et de Berkeley. Durant des mois, ces universitaires ont étudié, disséqué, reconstruit, adapté toute une chaîne de spams destinée à attaquer trois fronts : acheteurs de pseudo-viagra, amateurs de cartes de vœux en ligne et canulars du premier avril. Et attaquer non pas de manière livresque, mais réelle, avec une véritable charge et un authentique –mais limité et contrôlé- serveur et ses calamiteuses émissions de pourriel.

Dire que le rendement est bas est un doux euphémisme : la plus rentable des campagnes –le fortifiant pharmaceutique- ne draine que 0,0000081% de la population d’un fichier comptant 347590389 adresses smtp. « Après une campagne de 26 jours et 350 millions d’emails envoyés dans la nature, nous n’avons conclu que 28 ventes effectives » constatent les chercheurs. Un taux de rentabilité inférieur à 0,00001%, un taux de pollution inimaginable dont les effets dévastateurs sont le dernier des soucis de ceux qui vivent de cette industrie.

26 jours, 28 victimes, 100 $ d’achat en moyenne par victime, un gain net de 2731,88 dollars. Dans les conditions réelles d’exploitation d’un « Storm Worm » vecteur de spam Viagreste, les chiffres seraient, pensent les scientifiques, plus proches de 7000 $. Un bon Storm élevé en batterie peut créer à lui seul 3500 à 8500 nouveaux Bots par jour. Dans ces conditions, il n’est pas impensable de tabler sur un revenu annuel gravitant aux environs de 3,5 millions de dollars. Et l’on ne parle alors que d’une seule campagne… Les multirécidivistes pouvant alors amasser bien plus en considérablement moins de temps.

Quant au retour sur investissement, il semble tout aussi pharamineux. « L’on peut estimer comme proche de la vérité l’estimation situant la mise de fond aux environs de 80 $ par million ». Dans ce milieu là, on ne pratique pas franchement les mêmes tarifs au « mille d’emails expédiés » que dans le monde civilisé.

Non, Robert Graham ne revient pas, une fois de plus, sur les subtilités du cassage de tkip. Il s’intéresse plus précisément aux véritables benchmark, aux différences de performances des processeurs dans la course au cassage de clef. Sans surprise, les cartes graphiques « 112 core » à 600 MHz écrasent de leur puissance les extensions vidéo plus modestes… mais cette débauche de dollars et de processeurs a bien du mal à atteindre le « rapport 100 » clamé par Elcomsoft. Graham l’admet lui-même, l’usage des GPU les plus pointues n’améliore que de dix fois la vitesse de traitement des outils de cassage de clef. La performance est belle, mais peut difficilement être qualifiée de « révolutionnaire ».

J’ai dix s’condes pour vous dire qu’InsomniHack, c’est d’la dynamite ! La nuit la plus longue du hack blanc Helvétique tiendra sa seconde édition le vendredi 6 février 2009 prochain, quelque part dans la région Lémanique (le lieu sera choisi en fonction du nombre d’inscrits).

Cette manifestation, organisée par SCRT, spécialiste Lausannois du « hacking éthique », a remporté l’an passé « un succès dépassant toutes les espérances » (dixit Bruno Kerouanton, CSO renommé du Canton du Jura). Emulation (saine), pentes neigeuses et double crème : le concours est ouvert à tous, le gagnant aura son portrait publié dans les colonnes Web de CNIS-Mag… ou pas, comme il est d’usage de préciser.

EstDomains, le registrar douteux, sera définitivement mort le 24 novembre prochain, la décision de l’Icann étant désormais sans appel. Le motif invoqué demeure le passé douteux du patron de l’entreprise, Vladimir Tsatsin, et non l’activité plus que néfaste de la grande majorité des possesseurs de sites hébergés. Les 281 000 noms de domaines –spécialistes du spamming, du phishing, de la culture intensive « d’adwares-qui-ne-sont-pas-des-spywares » y compris- auront leurs adresses relogées aux bons soins de l’Icann, qui se charge de trouver des DNS compatissants parmi ses membres. Il faut dire que les plus dangereux clients d’EstDomains ont, depuis plusieurs mois, changé cent fois de nom et utilisé de nouvelles filières d’enregistrement.

Le vendeur –car le métier de registrar est avant tout une opération commerciale- est donc reconnu comme étant non responsable de l’usage que font les clients des domaines déposés. Ce « coupe-feu juridique » ne semble, en revanche, plus franchement fonctionner du côté des hébergeurs et fournisseurs de services, puisque cette même semaine, McColo, hosteur américain, s’est fait couper la totalité de ses routes IP par ses propres fournisseurs d’accès. McColo était l’un des principaux portails américains par qui se déversait des cataractes de spam, des centaines de sites vendant des « scarewares », des milliards d’emails de phishing, sans oublier, précise Brian Krebs dans un long article de 3 pages, quelques filières d’images pédo-pornographiques et plusieurs vecteurs d’infection genre rootkits et virus-vers.

Dans les quelques heures qui ont suivi la coupure, des lignes dudit McColo, le niveau de spam général a chuté de près de 60 %. Les statistiques de Spamcop sur la semaine sont sans appel : morte la bête, mort le venin.

A l’origine de ce règlement de compte, l’on retrouve une fois de plus Hostexploit, entreprise de sécurité qui contribua activement, grâce à un rapport d’analyse édifiant, au démantèlement d’Atrivo/Intercage, le « hosteur félon » Californien et, par le plus grand des hasards, fortement lié au dit McColo. Une fois de plus, Hostexploit publie un état des lieux atterrant, décrivant par le menu les méfaits de McColo (enregistrement obligatoire avant téléchargement du rapport). McColo en chiffres ? c’est 172 vendeurs de viagra, 24 botnets et centres de commande et de contrôle, un peu moins d’un millier de liens hébergés pointant sur des malwares, 64 « rogues » et malwares locaux, 62 sites infectés –soit un taux anormalement élevé de 2%- et 40 sites illégaux, notamment pédophiles, avec leurs infrastructure de payement associées.

Si la fermeture d’une industrie aussi nauséabonde est et sera toujours une bonne chose, il est à déplorer que cette décision soit le fait d’initiatives privées, ou plus exactement d’initiatives d’entreprises privées. Il ne semble pas, dans l’état actuel de l’affaire, que le FBI y ait joué un rôle déterminant. Ce n’est, de toute manière, pas un acte décidé ni par un juge Fédéral ou d’Etat, ni par un arrêté de la FCC, souveraine en ce secteur. Et c’est sur la musique de « Règlement de compte à OK Corral » que semble se clore ce nouvel épisode de la vie des ISP.

NdlC Note de la Correctrice : Est-ce un effet de mon charme naturel ou de l’estime que me portent les distingués abonnés de notre Confrère-et-néanmoins-Concurrent ? Toujours est-il que, contrairement à ce qui avait été écrit dans l’article du 31 octobre, un lecteur ME signale (à Moi, la Correctrice, et non à l’Auteur) que l’édito du numéro 40 de Misc, rédigé par « Papy » Raynal peut être lu dans son intégralité et au format html par la même occasion. Un édito qui, outre une exhortation à la jeunesse hackeuse et porteuse d’avenir, nous signale que les appels à communications des prochaines journées SSTIC de Rennes sont ouverts.

Je me demande si, à l’occasion des Rump Sessions, je ne vais pas me lancer dans une démonstration de Social Engineering masculin… une de mes spécialités. D’ailleurs, à ce sujet, je précise à toutes mes lectrices que derrière le surnom de « Papy » se cache non pas un vieux barbon mais un jeune homme bien fait de sa personne. Potentiellement spoofable et très probablement sensible à nos exploits.

Toujours à propos de Misc, on ne doit pas oublier la sortie, ce jour, du numéro spécial d’automne. Consacré aussi bien à vous, messieurs, qu’à nous, mesdames. Surtout à nous. Car les fêtes de fin d’année, puis le 3 janvier approchent à grands pas –je m’y vois déjà- et avec eux, la période des cadeaux, des soirées, des soldes ! A peine le temps de comprendre tout se qui se raconte dans ce hors-série consacré aux cartes à puce, leurs fonctionnalités, leurs limitations. Peut-être un jour saisirais-je la raison pour laquelle le trou de mon budget (difficilement rustinable) est provoqué par une si petite chose. Et je ne parle pas des sommes astronomiques englouties par mon ado de fille et son téléphone portable, à puce, lui aussi, bien sûr…

Vous savez, vous, où on peut trouver un protocole snmp « sms très limités » ou une console d’administration OpenView avec blocage des trames « ma mère me saoule » ? Ecrire au journal qui transmettra.

Après les « IT Managers » qui détournent des centaines de milliers de dollars en équipements, ou celui-ci qui chiffra par dépit les disques de la municipalité de San Francisco, voici, nous apprend ComputerWorld, l’administrateur-pirate qui tente de détourner argent et informations des disques de son ancien employeur. A croire qu’Outre-Atlantique, la douceur des méthodes des chefs du personnel est inversement proportionnelle au niveau de sensibilité de l’entreprise concernée. Dans le cas présent, il s’agissait des données appartenant à un fond de pensions, établissement dont le caractère spéculatif a provoqué la crise financière que l’on sait.

Un homme, cependant, s’interdit de tirer sur le pianiste. La « culpabilité évidente de l’insider » est un cas trop souvent agité, une thèse bien pratique pour les gagne-petit de la sécurité. Car c’est là, explique Richard Bejtlich, une façon bien pratique de focaliser les attentions sur une personne que l’on peut contraindre, accuser, condamner. Il faut en finir avec le mythe du « 80 % de la cyber-délinquance provient de l’intérieur » », dit-il. C’est un prétexte pour mieux masquer les milliers d’attaques qui nous viennent de l’extérieur, et contre lesquelles il est bien difficile de trouver l’origine. Pas de visage, pas de nom, pas même parfois d’indice, nul mobile personnel autre que le profit, aucun lien avec la victime –si ce n’est un intérêt commun pour la préservation des failles connues-, l’attaquant extérieur met d’autant plus mal à l’aise qu’il est insaisissable. C’est une autre façon de considérer l’un des « principes de Schneier » : l’on aime à surestimer les dangers que l’on connaît et sous-estimer ceux que l’on ignore. Corolaire de cet axiome douteux : l’on aime à légiférer et encadrer les dangers potentiels que l’on se sent capable de toucher du doigt, et laisser dans un vide abyssal les crimes que l’on sait ne pouvoir punir. C’est avec ce genre de syllogisme que l’on risque d’entraver chaque jour un peu plus les RSSI, admins, CSO et autres responsables IT, qui, submergés de « politiques, règles de fonctionnement, principes de précaution et mesures de prudence conservatoires », passent plus de temps à éviter de faire ce qui est interdit que de pratiquer leur propre métier.

C’est là, bien entendu, une vision très exagérée, très caricaturale du problème. Mais guère plus caricaturale que celle qui consiste à dire « encore un admin corrompu ».

Spam, déni de service distribué, DNS spoofing/pharming, fast flux … tout çà demande à la fois une âme d’une profonde noirceur et une bande passante d’une blancheur immaculée. Les plus importantes attaques de 2008, nous apprend le quatrième rapport sur la sécurité d’Internet publié par Arbor Network, ont atteint 44Gbs. A titre de comparaison, le plus violent des « flood » de 2001 plafonnait péniblement à 400 mégabits par seconde.

Mais ce qui, dans cette étude, semble le plus intéressant à lire, c’est le fait que les fournisseurs d’accès commencent à être conscients de cet état de fait. Les ISP admettent « enfin », estime les chercheurs d’Arbor, leur vulnérabilité. Notamment autour de deux points névralgiques importants : BGP et DNS, ces deux éternels tonneaux des Danaïdes que les experts colmatent sans fin et que les pirates exploitent tant et plus.

Cette prise de conscience des ISP sera-t-elle suivie des faits ? Rien n’est moins sûr. Jusqu’à présent, les fournisseurs de services Internet ont joué, consciemment ou non, le rôle d’allié objectif des grandes organisations mafieuses. En refusant de filtrer les netblocs réputés spammeurs, en rétro-facturant la bande passante consommée à des clients qui n’y prêtaient guère d’attention… après tout, Internet est gratuit, n’est-ce pas ?

L’étude détaille les attaques « préférées » des hackers (voir illustration) et les cibles privilégiées. L’on apprend par exemple que, si les applications (Web, SQL, DSN) sont un met de choix dans 17 % des cyberbatailles, ce sont tout de même les charges « avalanches » (les flood udp, icmp etc) qui représentent le gros des assauts : 48 % très exactement. Les attaques Syn (très fréquentes dans le cadre des dénis de service il y a 10 ans), RST et à fragmentation représentent, quant à elles, 24% des méfaits. Ce ne sont là que quelques instantanés tirés du « worldwide infrastructure security report ». Le reste est à l’avenant. L’on se doute, bien sûr, que les premiers visés sont les possesseurs de structures commerciales. L’on comprend bien que la plus forte majorité des victimes refuse de porter plainte, voir de simplement mentionner l’attaque aux forces de l’ordre. La cyber-délinquance se nourrit au sein du non-dit …

Microsoft vient de perdre un marché Education Nationale au Nigéria… une petite défaite marketing face son éternel adversaire Linux qui n’aurait provoqué aucun entrefilet si ComputerWorld n’avait entendu parler d’une ténébreuse affaire de « commission ». Entre les ristournes par quantité, les efforts marketing consentis au monde de l’éducation, les fonds de développement et autres variations sur le thème du mécénat, il est très facile de voir souffler le grand air du soupçon : Et si Microsoft avait offert des pots de vin à ses clients potentiels pour mieux contrer l’envolée de Linux dans les pays en voie de développement ? Situation d’autant plus ironique que l’histoire se déroule sur les bords de l’Océan Atlantique, bien loin du fleuve Limpopo grand qui est comme de l´huile, gris vert et tout bordé d´arbres à fièvre.

Que Nenni ! répondent promptement les défenseurs de la cause Microsoftienne. Le contrat n’a pas été conclu, aucune aide n’a été consentie… De l’argent que l’on promet et qui n’arrive jamais, un décor tout Nigérian, une promesse de contrat, une enveloppe de 400 000 dollars… tout çà ne semble pas plus sérieux ou réel que ces lettres de veuves éplorées enterrant d’un seul coup un époux aimant et un héritage sous séquestre.

Après une période de quasi inactivité, qui a notamment été caractérisée par une période de plus de 200 jours sans la moindre éruption visible, le soleil semble reprendre du poil de la bête : quelques facules ont été observées dans le courant de la journée du 6 novembre. C’est, espère-t-on, le signe du début du 24ème cycle dit « cycle deWolf », une activité s’étalant en moyenne sur une période de 11 ans.

Quel rapport, dira-t-on, avec la sécurité en générale et l’informatique en particulier ? Plus d’un en fait. En premier lieu, ces périodes d’éruption, qui ont pour première conséquence une augmentation de l’ionisation des couches hautes de l’atmosphère (tropo E et H notamment). Et cette ionisation influence parfois ce qui touche à la propagation des ondes électromagnétiques, transmissions sans fil y comprises. En second lieu, il est arrivé, en de très rares occasions, que des orages solaires très violents aient provoqué des pannes temporaires d’appareils électroniques, routeurs ou commutateurs. Pas de quoi, généralement, justifier la non-réception d’un email important. L’une des ionisations les plus violentes provoqua, en 1945, un blackout qui fit croire à l’armée américaine l’utilisation d’une arme secrète par les forces japonaises. Cruelle ironie, ce furent les américains qui, quelques mois plus tard, les 6 et 9 août, provoquèrent l’attaque ionisant la plus violente de toute cette période de conflit.

Depuis la publication de la dernière alerte à rallonge émise par Adobe, les attaques exploitant l’une des failles en question s’intensifient. Le vecteur est détecté sous l’appellation Trojan.Pidief.D chez Symantec, mais, une fois n’est pas coutume, il semblerait que les éditeurs d’A.V. traînent des pieds pour mettre à jour leur base de désinfection. Fait d’autant plus désolant que, sur 3 machines de la rédaction, le mécanisme de correction automatique s’est soldé par un échec, obligeant les membres de l’équipe à appliquer la mise à jour « à la main »… autant dire que le trou risque de faire parler de lui durant encore un certain temps.

Contre les injections SQL et les dépenses somptuaires Cela faisait longtemps, bien longtemps que la rédaction n’avait pas écrit de bien à l’attention de l’Ossir. Et c’est un tort, car son « groupe Windows » est probablement l’un des plus actifs qui soit en France, sous la tutelle de Messieurs Michel Miqueu, Olivier Revenu et Nicolas Ruff. Profitons-en donc pour signaler cette suite de transparents rédigée par Slavik Markovitch à l’occasion d’un exposé sur les injections SQL. Un discours destiné aux membres de l’Observatoire de la Sécurité des Systèmes d´Information et des Réseaux. Mais plus appétissant que ces transparents, qui, sans les explications de l’orateur, ne représentent que très peu de chose, l’on peut déguster sans modération Hedgehog, programme de monitoring et d’audit offert (oui, offert) par Sentrigo.