vendredi 31 décembre 2010

Perspectives ou rétrospectives :)

En ces jours de fin d'année, il est courant de lire différentes prospectives sur des sites et blogs parlant de sécurité informatique.

Mais il arrive parfois que les prospectives se révèlent vraies un peu trop vite, et c'est ce qui m'arrive. Je reprends un ancien brouillon de blog ou je préconisais l'arrivée de botnet spécialisés dans les smartphones. Apparemment, cette perspective devient rétrospective car ce botnet existe, il touche les plateformes Android et il s'appelle Geinimi. Le premier site à l'avoir analysé serait lookout. Pour moi, la sécurité des smartphones deviendra de plus en plus prégnantes.

Dans le domaine de la sécurité des smartphones, le risque qui revient systématiquement, c'est le "vol des informations personnelles", sans plus de précisions. A croire que votre score à bubble blast est ultra confidentiel. Plus sérieusement, ce risque existe, mais n'a rien de neuf puisqu'étant le même sur ordinateur qui lui aussi contient des informations personnelles. Je pense que l'on va vers de nouveaux risques avec ces botnets sur smartphones, nouveaux risques dont on entend peu parler.
  • Le premier est lié au téléphone et au DoS. Depuis wikileaks, on sait que les DoS ne sont plus qu'envois massifs de paquets, mais peuvent aussi être coupure des services du monde réel (banque par exemple). Comment réagir face à un botnet qui passe son temps à appeler par voie téléphonique le siège d'une entreprise?
  • Le second est peu ou prou lié. On observe de plus en plus de jeu ou il faut voter par SMS. Je pense que l'on va bientôt voir apparaître des services vaguement underground qui proposeront des envois massifs de SMS contre rétribution. Retour sur investissement immédiat. 10 euros les 1000 SMS afin que la star machin gagne une place au classement du jeu télé truc.
  • Le dernier va devenir par contre très ennuyeux. Le Near Field Communication va bientôt permettre de payer, énormément de monde montre son intêret en ce domaine.. Et lorsque votre téléphone sera trojanisé, que pourra faire un botmaster? Cela est à mon sens le plus gros risque des vers/virus/troyens et bots sur smartphones. Tous les attaquants ne sont pas uniquement ludique à la 4chan ou terroristes à la Stuxnet, certains sont bien évidemment cupides. Et là, c'est un accès direct au but. Inutile de passer par des mules avec des structures complexes, c'est du profit immédiat.

Espérons que cette perspective ne se réalisera pas, et pour 2011 have fun (and profit!) :-)

mercredi 8 décembre 2010

Papa, il y a la DCRI qui regarde dans mon ordinateur :-(

Le journal "Le canard enchaîné" de la semaine dernière nous gratifie d'une révélation: La DCRI inspecte nos machines à distances.
L'article est bref et n'apporte que peu d'informations techniques. Selon le canard, des personnels de la DCRI demanderaient aux FAI l'adresse (IP, vraisemblablement) d'un abonné et irait faire des cyber-écoutes secrètes dans les flux de l'abonné.

Léger flou dans l'article (qu'on retrouve sur pas mal de sites de presse on-line), le mélange entre la consultation du contenu de la machine de l'abonné et la consultation de ses flux réseaux. Avec le peu d'info de l'article, je pense qu'il s'agit d'écoutes sur les flux de l'abonné et non de cyber-perquisitions du disque dur. Je crois assez peu à ces cyber-intrusions. Beaucoup trop compliqué à mettre en oeuvre, et surtout le risque de se faire détecter est sans doute trop grand en rapport des informations qui peuvent être connues.

Par contre, l'écoute des flux...
La majorité des flux sont encore en clair (HTTP, SMTP, POP, IMAP etc..). Google essaye de forcer le HTTPS, il y a des extensions firefox pour cela, mais le fait est que les gens communiquent à mon avis encore trop en clair. Anecdote, on m'a fourni une analyse tcpdump à faire, le constat est sans appel, si ce n'est google, tout est en clair. Pour cette raison également, Firesheep fait peur :-)
Le chiffré est mieux, mais n'est sans doute pas suffisant. Il y a deux ans déjà, au SSTIC, une conférence indiquait déjà que la seule connaissance des flux chiffrés permettait de retracer les réseaux sociaux de la personne visée.

Pour faire bref, si vous avez connaissance des flux d'une personne, il est en effet inutile de tenter une cyber-intrusion. Et si les FAIs fournissent un accès à ce trafic, alors headshot, comme disent les gamers.

A partir du moment ou l'infrastructure n'est pas de confiance, comment communiquer sereinement sur le réseau?

Une réponse légale? Semble difficile. Un juriste m'a confirmé qu'une écoute réseau n'a rien à voir avec la loi sur les écoutes téléphoniques. Il m'a conseillé de vérifier ce qu'en dit la LOPPSI. Cet aspect serait à creuser: un prochain post de blog?
Néanmoins, il faudrait pouvoir prouver que l'écoute à bien lieu. Et là, techniquement, j'ai du mal à imaginer comment prouver qu'un flux est mis sur écoute. Il est possible de planter des fausses URL ou des faux noms de domaines et d'attendre voir si des connexions sont faites. Est-ce toutefois une preuve recevable?

En défense active, il existe tor. Mais tor lancé de chez soi est exposé au même problème que précedemment, i.e. quelqu'un consultant les émissions/réceptions pourrait reconstruire certains volumes de connexions, à corréler avec la réception chez d'autre personne. Il faut que tor envoie des flux arbitraires d'informations afin que ses propres connexions soient noyées en volume à l'intérieur. Pour se faire, on peut se transformer en exit node ou faire tourner des services qui discutent fréquemment sur le réseau; à ce titre, je laisse des clients IRC ouverts car ils génèrent du trafic sur le réseau.
L'autre solution est d'utiliser tor depuis un cybercafé qui permet ce genre de choses, ou de trouver des spots wifi ouverts en grand.

Il y a peut-être un truc à inventer, à l'image de la plausible deniability sur le chiffrement de disque, qui serait la plausible deniability en réseau; i.e. qu'un attaquant soit incapable de prouver qu'une communication réseau ait eu lieu.