samedi 19 septembre 2009

L'échec de Microsoft

Dans Windows, il n'y a que 3 points d'entrée à défendre:

  • La pile TCP/IP
  • L'implémentation SMB (sur les ports TCP/139 et/ou TCP/445)
  • L'implémentation du RPC endpoint mapper (port TCP/135)
En effet, ces 3 points d'entrée sont toujours accessibles quels que soient la version et le mode d'utilisation de Windows (machine personnelle, poste de travail, serveur, etc.).

Il est possible de n'avoir aucun port ouvert sur l'extérieur (moyennenant quelques astuces telles que la configuration de la clé de base de registre "ListenOnInternet"), mais en pratique je n'ai jamais vu une machine configurée de la sorte ailleurs que dans les labos de recherche.

Avec Windows Vista (sorti en novembre 2006, pour mémoire), Microsoft a modifié deux composants fondamentaux:
  • La pile TCP/IP, entièrement réécrite pour supporter nativement IPv6.
  • L'implémentation SMB, passée en version 2. Cette version est supposée plus simple (donc plus sûre) avec seulement 16 commandes au lieu de 80.
Bien sûr, avec tout le tremblement autour du Secure Development Lifecycle, on aurait pu penser que le remplacement de 2 composants critiques sur 3 se ferait avec toutes les précautions possibles.

Ca sentait pourtant mauvais, puisque la pile IP s'est d'abord avérée partiellement vulnérable à la Land Attack (avant la sortie de la RTM), puis une faille conceptuelle dans l'implémentation de la signature SMB a obligé Microsoft à mettre à jour le protocole en version 2.1 (bulletin de sécurité MS07-063).

Mais ce mois-ci, c'est le drame.
Non seulement la pile IP s'avère vulnérable à une faille d'exécution de code à distance (pas triviale, je l'avoue) - CVE-2009-1925, à ne pas confondre avec la faille SockStress qui a été patchée dans le même bulletin (MS09-048) - mais surtout il n'a échappé à personne qu'une faille d'exécution de code à distance (confirmée par Microsoft) non patchée affecte la pile SMBv2.
Quelles leçons tirer de tout cela ?
  1. On ne peut avoir confiance en personne. Malgré un budget de 4 milliards de dollars pour le développement de Vista, le recrutement de toutes les pointures en sécurité disponibles sur le marché, et des objectifs affichés en matière de sécurité, Microsoft a raté[*] une faille assez triviale (à détecter, pas à exploiter :) et catastrophique en terme d'impact.
  2. Il n'y a eu aucune analyse correcte de la faille sur Internet. Je n'ai vu que SourceFire et ReverseMode aborder le sujet sous un angle vaguement technique, sans toutefois rentrer dans les détails. Ca ne veut pas dire que personne ne comprend rien - ça veut dire que les gens qui travaillent sérieusement sur cette faille ne sont pas payés pour faire fuir les détails sur leur blog ...
  3. Par contre des gens pour réécrire le code d'exploitation en Java et s'accorder tous les crédits, il y en a eu. J'attends la version PHPCLI ...
  4. Les loups sont lâchés. Je prédis d'autres failles sur SMBv2 (bon là je triche un peu ;).
  5. Et vive la France, puisque tous les acteurs de la chaine sont francophones ! Laurent Gaffié (on m'a dit qu'il était québecois, mais je ne le connais pas personnellement), Kostya Kortchinsky et Nicolas Pouvesle.
[*] Est-ce que Microsoft a vraiment "raté" cette faille ? Pas tout à fait sûr, puisque la faille a été corrigée dans Windows Seven entre la RC et la RTM. Reste à savoir si cette correction a été apportée sans comprendre l'impact de la faille ("à la Linux"), ou si Microsoft a tout à fait compris l'enjeu ... et décidé de passer la faille sous le tapis, ce qui serait vraiment malhonnête de la part d'une société qui prétend donner des leçons de sécurité à tout le monde !
PS. Bienvenue aux lecteurs de la newsletter XMCO n°23 :)

mardi 15 septembre 2009

Je suis fâché contre Dell

Ces derniers temps, mes collègues et moi avons eu plusieurs expériences malheureuses avec Dell: délais de livraison allongés de manière incompréhensible, supports technique et commercial totalement inutiles, disponibilité des pilotes Vista plusieurs mois après la sortie du matériel (alors que la machine est livrée par défaut sous Vista), conception matérielle douteuse (ex. connecteurs trop fragiles), etc.

Mais sur le site de Dell, franchement, on est à la limite de l'escroquerie:





Ecrire le tarif de la hotline en noir sur fond noir, ça ne doit pas être très légal, surtout à 0,15€/mn.

Edit: pour les gens qui ne veulent pas installer Flash (excellente idée au demeurant) ou qui ne peuvent pas installer Flash, voici les screenshots.


vendredi 4 septembre 2009

Message aux lecteurs de DC

Désolé pour ceux qui ne connaissent pas "DC", cela ne devrait toutefois pas les arrêter de lire la suite (j'essaie d'éviter les private jokes autant que possible).

"DC" est de la génération W: il blogue par email. Il a toutefois la courtoisie de ne pas mettre tous ses destinataires en copie ouverte, contrairement à d'autres (ce qui me vaut au passage l'insigne honneur d'avoir mon email publié dans ZF05).

A la lecture de sa dernière lettre, il m'a semblé opportun de dissiper ici les malentendus qu'ont pu engendrer un billet antérieur, interprêté comme une tentative de troll, voire une résurrection de l'analogie éculée entre industrie informatique et industrie automobile (cf. commentaires du susdit billet).

Pourtant mon propos initial était brûlant d'actualité (c'est d'ailleurs le propre d'un blog): il s'agit de l'irruption des Etats dans le domaine de la Sécurité des Systèmes d'Information (Obama en étant le champion).

En effet, jusqu'à présent, on ne peut pas dire que le pouvoir politique ait beaucoup contribué au domaine de la SSI. Aucun homme public n'a signalé (à ma connaissance) s'il était pour ou contre le full disclosure, un sujet qui a pourtant fait circuler beaucoup d'électrons ...

Quant au pouvoir judiciaire, il s'intéresse essentiellement aux crimes et délits "de la vraie vie" ayant parfois un support informatique (vol, chantage, racket, pornographie, etc.). Si vous souhaitez porter plainte pour négligence contre Debian, allez expliquer au juge que vous avez été compromis à cause d'une défaillance dans le générateur d'entropie d'OpenSSL !

L'essentiel de l'action publique visible dans le domaine de la SSI se limite à la certification Critères Communs de quelques systèmes cryptographiques, essentiellement matériels.

Mais l'informatique a un problème de fond, qui s'appelle le COTS.

Car dans tous les domaines numériques, c'est désormais le marché "grand public" qui dicte les choix technologiques. Et les Etats (ce qui inclut l'administration, la police, l'armée, etc.) ne font pas mieux: ils utilisent Windows (ou Linux). Ils ont confiance dans leurs antivirus. Ils utilisent du WiFi, du BlueTooth et du GSM. Ils utilisent BlackBerry. Ils utilisent Internet (voire des Livebox) comme réseau de transport pour les liaisons point à point. Ils ont des sites Web publics (qui ne sont plus éteints la nuit). Même la Chine, qui prétend utiliser son propre système d'exploitation, n'a fait que repackager un FreeBSD.

Bien sûr, il n'y a pas que les Etats qui sont dans cette situation. Toutes les industries, y compris les plus critiques, reposent sur des réseaux Windows (plus ou moins) connectés à Internet. Je ne suis pas spécialiste SCADA, mais je connais un peu le réseau inter-aéroportuaire SITA. Ainsi que le grand usage d'Excel (et de ses macros) dans les banques.

Compte-tenu du coût, de la pauvreté de l'offre de solutions (sérieuses), et de la technicité requise pour assurer un bon niveau de sécurité dans un réseau de technologies COTS, il n'y aucune raison pour que "ce soit mieux ailleurs".

Après tous, un botnet de quelques milliers de machines arrive à éteindre Facebook (on notera là encore l'effet de levier du grand public sur l'informatique professionnelle). Or c'est à la portée de n'importe quel lycéen. Et il n'y a aucune raison pour que impots.gouv.fr soit mieux protégé contre les DDoS que Facebook.

Dans ces conditions, il est évident que la SSI est devenue un enjeu majeur pour les Etats. Mais là, plutôt que de légiférer (intelligement) sur le sujet (une fonction régalienne assez pratique), il semble que la politique actuelle soit plutôt ... de commencer à jouer sur le terrain technique de la SSI !

Il est vrai que voter des lois nationales pour les appliquer à un réseau international (et de fait contrôlé par les acteurs américains du domaine: Microsoft, Cisco, Google, VeriSign, etc.) semble voué à l'échec, sauf à construire un Internet français. Malheureusement, la Chine a été trop critiquée sur le sujet pour qu'on puisse ouvertement mettre en place les mêmes solutions chez nous.

Mais de là à espérer résoudre le problème par une contre-attaque technique ... cela suppose que l'Etat soit le plus fort dans le domaine, ce qui est loin d'être prouvé compte-tenu de la nature asymétrique des menaces numériques: les COTS sont tellement fragiles qu'un petit groupe organisé peut causer des dégâts considérables.

Quelques exemples d'actualité, dans lesquels l'Etat assume la responsabilité de logiciels COTS oeuvrant dans le domaine de la sécurité:
  • Les "mouchards numériques" imaginés dans LOPPSI 2. Si le mouchard est logiciel, une confrontation inévitable va s'en suivre avec les éditeurs antivirus (et assimilés). Il n'est pas sûr que l'Etat arrive à développer des backdoors indétectables sur le long terme par tous les outils de contrôle d'intégrité du marché.
  • La détection des téléchargements illégaux dans le cadre de la loi HADOPI. La collecte et le traitement des données ont été confiés à une société privée. Quelles conséquences si cette base de données (voire le système en amont chez les FAI) est compromise ?
  • La CSPN. Ce qui au départ devait être une certification administrative de type Critères Communs (tous ceux qui se présentent finissent par l'avoir ... tôt ou tard !) se transforme ni plus ni moins en une collecte de failles d'implémentation dans des produits COTS (un ZDI-like français ? Mais que va faire VUPEN !). Je ne peux pas croire que seuls 3 produits se soient présentés depuis la création de cette certification: l'Etat doit donc disposer d'un sacré stock de "0day" :) Car par expérience: "tout produit qui n'est pas un produit de sécurité, et qui n'a pas été conçu par des gens de la sécurité, est truffé de failles de sécurité" ...
  • L'ANR SEC&SI. Ou comment essayer de régler le problème des malwares sur Internet en proposant à Mme Michu un système ultra-sécurisé, permettant de lire son mail, d'ouvrir des documents (Open)Office et de surfer sur Internet en toute confiance. C'est une lourde responsabilité pour l'éditeur d'une telle solution, comme en ont fait les frais les Chinois avec leur logiciel de filtrage Green Dam. La mission n'est pas totalement impossible, si on oublie tout critère d'ergonomie et de convivialité (laissez tomber Flash) ... mais Windows Seven n'est-il pas déjà assez sécurisé pour ce qu'on fait sur Internet ? ;)
Tous ces projets ont en commun d'impliquer l'Etat à très bas niveau (technique) dans le domaine des technologies "grand public". Imagine-t-on un jour un produit antivirus certifié CSPN et recommandé sur le site de l'ANSSI ? Même si l'objet de la CSPN est différent, on sait ce qui est arrivé à tous les gens qui ont annoncé être unbreakable.

Je ne parlerai pas des projets de cyber-guerre, qui impliquent de doter les services de l'Etat de capacités offensives. Un gradé américain avait quand même proposé que tout bon patriote installe le bot officiel du gouvernement américain sur son poste, pour donner à son pays la capacité de lancer des DDoS ! La sécurité des COTS est dans un état tellement lamentable que l'attaque est plusieurs ordres de magnitude plus facile que la défense, la cyber-guerre devrait donc réussir.

Le vrai problème, et ce sera ma conclusion pour aujourd'hui, ne sont pas les mérites respectifs de l'industrie automobile et de l'industrie informatique. Le vrai problème, c'est que l'Etat semble désormais décidé à vouloir faire régner l'ordre numérique, et choisit pour cela d'oeuvrer dans les domaines techniques de la SSI. Mais s'il est possible de rentrer dans la police sans aucun diplôme, il n'est pas 1% des élèves issus des écoles d'informatique qui n'aient le hacker mind (les autres voulant pour la plupart devenir chef de projet Java ou PHP).

Il reste donc à savoir si l'Etat a les moyens de ses ambitions. Or si le peu de gens brillants et motivés qui restent quittent le pays pour trouver beaucoup mieux ailleurs, comme mon précédent billet s'en faisait l'écho, cela ne me semble pas de bon augure.

On m'objecte souvent que la majorité des excellents professionnels qui oeuvrent en France sont totalement invisibles. Ce qui est probablement exact, car j'ai déjà rencontré des gens dont le nom n'apparait pas une seule fois dans Google et dont les compétences ne peuvent pas être mises en doute. Mais alors, à quoi sont utilisées ces compétences ?

PS. Je ne rentrerai pas dans le débat sur les causes de l'échec de Multics, dont il est aussi question dans le message de "DC" :)