Le blog techno d'Eric Charton

RATP ne rime pas avec sécurité des données

Côté colonies de vacances, arbre de noël, et comité d'entreprise, croyez moi, la RATP c'est le top (je ne vais pas vous raconter ma vie, mais j'ai sur ce sujet une petite expérience). En revanche, côté sécurité des systèmes d'informations, il faut croire que la RATP (la régie des transports parisiens pour les non-habitants de Paris - le métro quoi) c'est pas encore ça.

Posons un problème dit de "situation de crise" : que ne faut-il surtout pas faire lorsqu'une faille de sécurité est découverte dans un système d'information ?

1. Nier l'existence de la faille
2. Devant la preuve fournie de l'existence de cette faille, faire disparaître la preuve
3. Devant l'insistance du découvreur de la faille, envoyer ce dernier en prison (demandez au GIE Carte Bleu et à Serge Humpich ce qu'ils en pensent...)
4. Devant l'insistance d'organisations de consommateurs - saisies par le découvreur de la faille - faire carrément disparaître le système d'information !

Pour le point 3, il semble que la RATP ne soit pas tombée dans le panneau : le découvreur de la faille dont nous allons parler, n'est - à ma connaissance - pas encore en prison. En revanche, sur les points 1 et 2 on est en plein dedans, et pour ce qui est du point 4, c'est une nouvelle technologie de sécurisation totalement innovante qui voit le jour: "votre système est piratable ? faites le disparaître". Un peu expéditif, comme plan de sécurité, mais assez efficace, reconnaissons le !

Données du problème : tout commence par un usager (Arthur M.) de Navigo curieux et bidouilleur qui aurait pu accéder à plus de 1000 formulaires contenant des données personnelles et privatives d'abonnés à ce système de ticket électronique. Sur chaque formulaire, on pouvait observer notamment la photo de l'usager concerné, son état civil, son adresse postale, son mail et son numéro de téléphone: pas bien méchant, mais quand même ennuyeux. La méthode d'Arthur M, trouvée par hasard en observant une URL de formulaire, est assez classique et archi connue : substituer un numéro d'identifiant à un autre dans une requête. Inquiet de ce qu'il découvre, Arthur signale immédiatement cette faille de sécurité à la RATP et à Comutitres, le groupement d'intérêt économique qui gère les différents de transport en commun pour le la RATP.

Là, ça ce corse. En guise de réponse, la RATP supprime les fiches décrites par l'internaute ! C'est la phase "disparition de preuve" - acte d'ailleurs totalement stupide puisqu'il suffit de mettre d'autres identifiants pour trouver d'autres preuves! Et après ? Chez Microsoft - par exemple, on aurait traité la faille et modifié le service. Pas à la RATP : la régie fait la morte ! Et notre utilisateur bidouilleur bien embêté, qui insiste, ne sait plus que faire de sa faille de sécurité.

A bout d'arguments, il s'est finalement tourné vers l'association des consommateurs Que Choisir. Et c'est sous la pression de ce puissant organisme que la RATP a finalement mis un terme à cette aventure par son action d'éclat : faire purement et simplement disparaître le site. Les abonnés iront se servir chez leur boucher habituel, pour Internet, neni, fini, rideau ! A ce jour, jeudi 31 août, il est toujours indisponible. Conséquence pratique : pour le moment, les usagers ne peuvent plus s'inscrire en ligne pour obtenir un passe Navigo. Ils doivent impérativement le faire auprès des commerçants dont la liste est communiquée en ligne.

On signalera que la carte Navigo avait fait grand bruit à sa sortie, lorsque la RATP fit connaître son intention de faire payer 5 euros, le fait de fournir un Navigo sans fichage (les fameuses données qui viennent - justement - d'être hackées). La Commission nationale de l'informatique et des libertés s’en était émue en décembre, affirmant dans une interview: « chaque fois que l'on met en place un système de carte à puce qui permet de tracer des déplacements, il faut proposer aux gens une alternative, qui est l'alternative de l'anonymat. Cette alternative doit être gratuite ». Signalons que la Cnil avait aussi beaucoup travaillé sur l'utilisation abusive que pouvait être faite du navigo pour "tracer" les déplacements des des usagers.

Techniques de hacking Wi-Fi

Techniques de hacking Wi-Fi [Canard Wi-fi]

Un bon récapitulatif des techniques de hacking sur les réseaux sans fil Wi-Fi est disponible en ligne. Prabhaker Mateti, professeur de l'université de l'état de Wright (Ohio, Etats-Unis) a compilé un grand nombre de techniques bien expliquées dans une petite page HTML. Idéal pour avoir...

Windows et Linux, cibles d'un même virus

Windows et Linux, cibles d'un même virus [ZDNet]

Il ne s'agit que d'un prototype programmé pour s'attaquer indifféremment aux deux systèmes d'exploitation. Pour les experts en sécurité, ce virus relève plus du défi technique et ne devrait pas constituer une réelle menace.

L'éditeur de logiciels antivirus Kaspersky a identifié un virus qui cible à la fois la plate-forme Windows et les OS à base de noyau Linux. Baptisé "Virus.Linux.Bi.a/ Virus.Win32.Bi.a", il s'agit d'un proof of concept, un prototype de virus non destructif dont l'objectif est simplement d'alerter les experts sur sa faisabilité.

Aircrack-ng encore plus stable et performant

Aircrack-ng encore plus stable et performant [Canard Wi-Fi]

Aircrack-ng (ng pour nouvelle génération) est un ensemble de logiciels pour auditer ses réseaux sans fil Wi-Fi. Aircrack était déjà considéré comme l'un des meilleurs outils de son genre. Son grand frère ng est plus stable et encore plus performant.

La version 0.3 fonctionne sous Windows, Zaurus ET Linux.

Le wiki du logiciel est ici .

(NDEC: ce logiciel n'est autorisé que pour l'audit de votre point d'accès, pas pour celui des dizaines de livebox mal sécurisées qui entourent votre appartement ... En un mot comme en cent, si vous avez une vieille Livebox, et que vous n'avez pas encore activé la protection par adresse Mac, vous n'allez pas tarder à fournir de la bande passant à vos voisins grâce à Aircrack NG. C'est dit, vous êtes prévenus ! ).

Oui, utiliser Google Desktop est risqué !

Oui, utiliser Google Desktop est risqué ! [vulnerabilite.com]

Après une confirmation par Google et un avis pour le moins alarmiste du Gartner, Google Desktop 3 beta est clairement montré du doigt. La fonction de recherche croisée de fichiers sur plusieurs PC de la dernière version de Google Desktop représente un « risque de sécurité inacceptable » pour les grands comptes, dénonce un analyste du Gartner.

Le virus Nyxem.E se propage discrètement avant d'attaquer le 3 février

Le virus Nyxem.E se propage discrètement avant d'attaquer le 3 février [Zdnet]

Ce nouveau parasite aurait déjà infecté plus de 8 millions de PC Windows dans le monde. En sommeil dans le système d'exploitation, il est programmé pour supprimer les documents Word, Excel, PowerPoint ou PDF.

Nyxem. E : le virus à retardement

Nyxem. E : le virus à retardement [l'atelier]

Comme la plupart de ses collègues, ce virus se propage par email, via une pièce jointe dans laquelle l'expéditeur vous promet monts et merveilles : célébrités nues, vidéos pornographiques ou nouveautés en matière de Kama Sutra. Mais Nyxem. E va plus loin : selon différents éditeurs de solutions antivirales, ce nouveau venu commettrait ses méfaits de façon épisodique, plus précisément le 3 de chaque mois !

Des experts en sécurité détaillent un piratage de grande ampleur aux États-Unis

Des experts en sécurité détaillent un piratage de grande ampleur aux États-Unis[ZDNEt]

Un groupe de pirates, présumés Chinois, ont perpétré une série d'attaques visant des sites d'information américains sensibles. Différentes centres de l'armée et la NASA ont été en ligne de mire de ce vaste piratage, qui s'est étalé entre 2003 et 2004.

Le cap des 100 virus visant les mobiles est franchi

Le cap des 100 virus visant les mobiles est franchi [L'atelier]

En juin 2004 , nous annoncions le premier virus s'attaquant aux téléphones portables. Répondant au doux nom de Cabir, il n'était guère dangereux. Depuis, la menace virale s'est intensifiée : ils seraient maintenant selon F-Secure 102 virus capables d'infecter les appareils mobiles, allant parfois jusqu'à paralyser complètement leur cible.

Les virus anti-Linux amenés à proliférer

Les virus anti-Linux amenés à proliférer [ZDNet]

Après la découverte d'un virus ciblant les serveurs sous Linux, les éditeurs spécialisés prédisent une augmentation de la menace contre l'OS libre. Elle se traduira surtout par des programmes "rootkits" dirigés contre les serveurs web ou de fichiers.

Comment se positionnent les acteurs de l'antivirus face à Microsoft ?

Comment se positionnent les acteurs de l'antivirus face à Microsoft ? [vulnérabilité.com]

Microsoft dévoile peu à peu sa stratégie et son positionnement dans le domaine de l'antivirus et de la sécurité informatique. Les principaux acteurs de cette discipline regardent Redmond du coin de l'oeil, mais que pensent-ils réellement de l'arrivée du géant américain sur ce marché ? À travers cette interview collective, McAfee, Sophos, Bitdefender, Kaspersky et Symantec répondent aux questions de vulnérabilité.com.

On sait que le futur Antivirus de Microsoft, actuellement en version Alpha, aura un système de détection très novateur. Celui-ci ne se contentera pas de lire les signatures de virus mais aura une fonction que l’on appelle behavior blocker qui analysera le comportement et les différents évènements de l’ordinateur. Si cette méthode s’avère efficace, elle pourrait détecter des virus non répértoriés dans les bases de signatures. C'est le concept du "vaccin universel". (NDEC)

Voir aussi l'interview de Mike Nash (Microsoft) sur 01NET.

Opération Titan RAIN : attaques massives depuis la Chine

Opération Titan RAIN : attaques massives depuis la Chine [vulnerabilite.com]

La défense US est en alerte. Des serveurs chinois sont actuellement utilisés de manière intensive pour mener à bien une attaque massive à l'encontre des systèmes d'information Américains. Plusieurs systèmes non classifiés auraient déjà été compris. L'opération « Titan Rain » est en marche, le Pentagone est sceptique face aux motivations de ces attaques d'envergures.

Un adolescent américain condamné à cinq ans de prison pour piratage

Un adolescent américain condamné à cinq ans de prison pour piratage [ZDNET]

Un Américain de 17 ans vient d'être condamné par la justice de son pays à cinq ans de prison pour piratage.

Il s'est servi d'un virus informatique pour compromettre et prendre le contrôle de milliers de machines lambda dans le monde. Qu'il a ensuite mises en réseau pour inonder de données les serveurs des deux sociétés [de vente en ligne]

Singh a affirmé avoir été embauché par le propriétaire, âgé de 18 ans, d'une société concurrente qui espérait ainsi perturber l'activité des victimes à son profit. Ce dernier, également poursuivi, attend le verdict de la justice.

Le Crédit Lyonnais et le Crédit Mutuel cibles d'une attaque par "phishing"

Le Crédit Lyonnais et le Crédit Mutuel cibles d'une attaque par "phishing"

Les deux banques appellent leurs clients gérant leur compte en ligne à la plus grande vigilance. Des e-mails envoyés en masse les invitent à révéler leur identifiant et mot de passe. Une attaque par "phishing classique", plutôt grossière apparemment.

Le virus Zotob.E transforme les PC en "zombies"

Le virus Zotob.E transforme les PC en "zombies" [ZDNET]

La cinquième variante du ver Zotob inquiète les experts en sécurité, du fait de ses fonctions de "robot". Car tout système infecté peut être contrôlé à distance. Ce virus exploite une faille dans Windows déjà corrigée par Microsoft.

Si les premières versions de Zotob se révélaient peu dangereuses, Zotob.E, apparu le 16 août, change la donne car il intègre des fonctions de robot. «Une fois qu'il a infecté le système, le ver reste en veille et attend les instructions qu'il recevra à distance de son commanditaire», indique pour sa part François Paget, chercheur antivirus pour l'éditeur McAfee France.

Tout est alors possible: le ver peut par exemple télécharger du code malicieux en vue de lancer une attaque massive vers un site (attaque par déni de service distribué ou DDoS). Il peut également être simplement utilisé pour espionner le système.

Windows Vista n'intègrera pas Monad, cible de nouveaux virus

Windows Vista n'intègrera pas Monad, cible de nouveaux virus [ZDnet]

Microsoft renonce à fournir son nouvel interpréteur de commandes complexes, baptisé Monad, avec l'OS Windows Vista. L'utilitaire, déjà ciblé par des virus, devrait être disponible dans le prochain Exchange 12.

Windows Vista inspire déjà les auteurs de virus

Windows Vista inspire déjà les auteurs de virus [ZDNET]

Les premiers programmes malveillants destinés au futur OS de Microsoft sont apparus. Ils ciblent la nouvelle invite de commande choisie par l'éditeur. Aucun risque immédiat toutefois, puisque l'utilitaire n'est pas inclus dans la bêta de Vista.

300.000 serveurs DNS vulnérables à des attaques par "cache poisoning"

300.000 serveurs DNS vulnérables à des attaques par "cache poisoning" [ZDNET]

Dans ce type d'attaques, les pirates modifient le contenu de la mémoire cache des serveurs de noms de domaines pour rediriger les internautes vers des sites piégés. Selon un expert en sécurité, un grand nombre de machines doit être mis à jour.

Le dispositif antipiratage de Windows entre en vigueur en France

Le dispositif antipiratage de Windows entre en vigueur en France [ZDNET]

Microsoft déploie au niveau mondial son programme "Windows Genuine Advantage". Désormais, pour télécharger de mises à jour de Windows XP ou 2000, il faut authentifier sa copie de l'OS. Si elle est illicite, Microsoft propose de dénoncer le fournisseur.

Kevin Mitnick confirme la puissance du "social engineering"

Kevin Mitnick confirme la puissance du "social engineering" [Vu sur ZDNET]

Les équipes de support technique des entreprises sont les cibles privilégiées des pirates, à la recherche d'informations pour préparer leurs attaques. Devenu consultant en sécurité, le hacker leur conseille de prendre quelques précautions téléphoniques. "Les ruses utilisées par Kevin Mitnick pour ses attaques sont intemporelles et totalement indépendantes de la technologie. Toutefois, l'ex-hacker s'y intéresse de près. Selon lui, le hub d'Apple, Airport, peut ainsi instantanément créer un port d'accès sans fil au siège de n'importe quelle entreprise. Simplement en le connectant à un port réseau de l'entreprise concernée."

Pour mémoire, Kevin Mitnick a publié un livre d'ingéniérie sociale traduit en Français, vendu avec le Hackers Guide, sous le label "Hackers Box".

Intrusion sur réseau Wi-Fi: jusqu'à 3 ans d'emprisonnement en France

Intrusion sur réseau Wi-Fi: jusqu'à 3 ans d'emprisonnement en France [ZDNET]

La justice américaine doit juger, pour la première fois, le cas d'une intrusion sur un réseau domestique sans fil. En France, cet acte est passible de trois ans d'emprisonnement et de 45.000 euros d'amende.

Microsoft Claria, l'antispyware ... et le capital risque

Microsoft a publié récemment un communiqué pour se défendre d’avoir offert un traitement de faveur à Claria dans son Anti Spyware. La firme y affirme que « en Janvier, Claria a formulé une demande pour que ses produits soient réévalués (et sortent d’une classification de « Spywares durs » NDEC). Après avoir vérifié ce logiciel selon nos critères, nous avons décidé que poursuivre la détection de produits Claria était inappropriée ». Que penser ?

Nous maintenons que les recommandations de Microsoft en matière de spywares sont parfois vraiment surprenantes (ce qui ne retire rien - intrinsèquement - à la qualité de MSAS, mais doit inciter ses utilisateurs à la vigilance devant certaines suggestions "d'ignorer") . Chaque jour apporte son lot de surprises sur ce sujet. Il est vrai que lorsque l’on suit les évolutions de MSAS (Microsoft Antispyware), on observe un certain nombre d’errances … Exemples choisis :

La définition numéro 5731, de Microsoft Anti Spyware détecte Claria mais propose d'ignorer leur détection (alors que Cydoor est vu comme spyware à éradiquer) . MS antispyware définition numéro 5729 ne détecte pas deux produits Claria : DashBar et GotSmiley. La définition 5731 les détecte. J’ai également longuement développé dans mon prochain ouvrage ma surprise devant la tolérance de MSAS face à la Hotbar, qui, c’est le moins qu’on puisse dire (démonstration et preuve dans le Kit Campus Spyware), est un adware loin de satisfaire à des critères de loyauté envers les utilisateurs.

Selon Sunbelt, MSAS se serait mis à suggérer d’ignorer Claria depuis le 31 Mars. Longtemps avant que la nouvelle d’une possible prochaine acquisition soit diffusée. Mais qui imagine une seule seconde que Microsoft ne soit pas en train de décortiquer les technologies de Claria depuis des semaines pour déterminer le prix de l’acquisition (on parle de 500 millions de dollars, quand même, et Microsoft n’a toujours pas démenti … ) ?

Richard Stiennon de Webroots ajoute que Microsoft a récemment passé une recommandation d’ignorer le Spyware de 180Solutions – un des seuls qui soit à notre avis au moins aussi sauvagement installé que ceux de Claria ! Selon Sunbelt Microsoft ignore également depuis peu Web Hancer et Ezula. De nombreuses études en cours sur les fichiers de définitions de Microsoft Anti Spyware vont rapidement démontrer quelques « recommandations » surprenantes …

Ce sont de ces « errements » dont je parlais lorsque j’affirmais dans mon premier post sur ce sujet que, depuis quelques temps, l’antispyware de MSAS propose des fichiers de définitions très étonnants …

Ajoutons pour éclaircir ces mystères quelques informations complémentaires : depuis plusieurs mois, les capitaux risqueurs investissent en masse dans deux secteurs d’activité. Le blogging … et les entreprises de spywares.

• 180Solutions: 40 millions de dollars reçus de SpectrumEquity pour Metrics Direct (exploitant commercial des spywares de 180solutions)

• Claria: plus de 48 millions de dollars reçus d'un pool d'investisseurs (lire, par exemple, l'article sur http://www.crosslinkcapital.com/software.htm).
• Direct Revenue (qui efface ses concurrents du disque dur !) : 20 millions de dollars de Direct Venture (http://www.insightpartners.com/, voir le portfolio).

En d’autre termes, tout le petit monde de la haute finance nord américaine aimerait bien que l’univers du spyware et de l’adware - très profitable - sorte de l’underground d’internet pour entrer de plein pied dans le secteur des « technologies politiquement correctes ». De là à y voir un lien avec les étranges définitions de quelques antispywares leader ...

L'Américain auteur d'un milliard de spams présenté devant la justice

L'Américain auteur d'un milliard de spams présenté devant la justice [Zdnet]

Le FBI a arrêté l'un des plus importants spammeurs au monde. À son actif, un milliard de courriers indésirables qui assuraient la promotion de son activité de pharmacie illégale en ligne. Il risque jusqu'à cinq de prison.

L'auteur du virus Sasser passe aux aveux

L'auteur du virus Sasser passe aux aveux [clubic]

Sven Jaschan, désigné comme étant l'auteur du ver/virus Sasser qui a infecté plus d'un million d'ordinateurs dans le monde a officiellement reconnu les faits dont on l'accuse lors de son passage devant le tribunal de Verden en Allemagne.

Microsoft passe t-il du côté obscur ?

Selon le New York Times, plusieurs représentants de Microsoft seraient en discussions avec Gator/Claria pour procéder à un éventuel rachat. Microsoft en quête de revenus publicitaires, notamment pour sa section MSN, et pour contrer l'hégémonie de Google, aurait proposé 500 millions de dollars pour racheter la firme spécialisée dans les adwares et les spywares !

Une telle nouvelle, si elle venait à se confirmer, serait un véritable cataclysme dans le monde de la publicité en ligne et ferait l'effet d'une bombe en matière de prise en compte de la sécurité sur PC. Cette information n'est pourtant guère surprenante : il semblait évident - depuis plusieurs mois - que Microsoft explorait l'univers du Spyware. Certains "oublis" de détection de Microsoft Antispyware étaient d'ailleurs plus que suspects. N'empêche, ce rachat poserait un ensemble de problèmes de droits inextricables pour Microsoft : au cours de mon enquête sur les Spywares et les entreprises qui les promeuvent, j’ai pu constater que Claria est LE pollueur numéro 1 par spyware sur Internet.

Il est démontré par de nombreux chercheurs (notamment Benjamin Edelman qui développe d’ailleurs cette nouvelle du rachat par Microsoft ) que Claria a utilisé des méthodes de pirates et des failles de sécurité pour propager ses espions publicitaires. Méthodes qui tomberaient sous le coups de la loi en France, car il s’agit de délits pénaux ! Pas rien … On sait aussi que Claria est ce qui se fait de pire en terme d'Adware, que des millions de PC ont été déstabilisés par Gator, l'un des logiciels espions diffusés par cette entreprise.

Mais il y a pire : des doutes subsistent sur les relations que de grandes entreprises éditrices d'anti spywares (notamment Yahoo qui gagne près de 35 millions de dollars par an avec Claria via Overture) entretiennent avec Claria : on notera par exemple (voir illustration) que Microsoft AntiSpyware ne considère plus Claria comme un Spyware à enlever, et suggère d’ignorer sa présence ! La Yahoo Bar et son Antispyware non plus. Ce mariage douteux pourrait donc aussi avoir des conséquences graves sur la confiance que les utilisateurs ont envers certains logiciels de sécurité.

Pour l’heure, les négociations semblent gelées à cause de désaccords sur la question chez Microsoft (Steve Ballmer serait l'initiateur de ce rachat, et afficherait ouvertement son ambition de vouloir être plus "agressif" sur le web). Au sein de Microsoft, un groupe de collaborateurs opposés à ce contrat se serait même constitué. Ces salariés de Microsoft expriment leur peur que cet accord provoque un sentiment de "Big Brotherisation" de la firme chez les clients.

Il faut dire que Claria propose notamment à Microsoft d'utiliser l'un de ses services appelé Behavior Link, qui observe et enregistre le comportement et les habitudes de plus de 40 millions d'internautes, qui pour majeure partie, ont reçu le spyware Claria à leur insu !

Le rachat de Claria par Microsoft annoncerait clairement une nouvelle ère de l'Internet: celle du "farwest" absolu, ou tous les coups seraient permis, y compris de la part des grands groupes, pour transformer les PC et leurs utilisateurs en esclaves publicitaires, en machine à consommer. L’intrusion, l'espionnage, l’installation sauvage, seraient alors légitimés et érigés au rang de technique de communication. Même la télévision n’aura jamais été aussi loin. Que deviendra Internet dans ces conditions ?