lundi 24 août 2009

L'envers du décor

Quand j'étais petit, je pensais que le problème de la sécurité était résolu (c'était plus facile à l'époque, il faut dire).

Je mettais à jour ma machine dès que possible, je n'avais aucun port ouvert sur Internet, des mots de passe robustes, et un antivirus (déjà !). A l'époque les navigateurs ne posaient pas problème: l'historique de sécurité de NCSA Mosaic est pour ainsi dire vierge :)

Plus grand, je suis sorti d'école sans savoir rien faire et je suis donc devenu consultant en SSII (comme beaucoup de jeunes diplômés). J'ai ainsi pu distribuer des conseils à des gens qui semblaient persuadés que j'en savais plus qu'eux - ce qui était malheureusement probablement vrai (note: j'ai un billet sur le jeunisme dans l'informatique en préparation :).

Plus tard, j'ai pris en charge bénévolement l'administration du réseau informatique dans la TPE de ma femme. Avec de vrais utilisateurs complètement étrangers à l'informatique (sauf le commercial, qui a un Mac). Et là, j'ai commencé à voir l'envers du décor ...

Maintenir en sécurité - et donc à jour - un parc logiciel de taille même modeste relève de la gageure avec les outils logiciels qui nous sont proposés aujourd'hui par les éditeurs.

Microsoft facilite vraiment la tâche des administrateurs avec l'installation automatique des correctifs pour tous leurs logiciels, avec ou sans WSUS, et le déploiement centralisé d'applications.

De mon point de vue, la palme de l'horreur dans le domaine revient sans conteste aux logiciels Adobe (Acrobat Reader et Flash particulièrement, ainsi que ShockWave récemment). Ces logiciels sont victimes de la combinaison des facteurs suivants:
Se protéger nécessite au minimum de mettre à jour et de diminuer la surface d'attaque de ces logiciels.

En ce qui concerne la mise à jour, c'est la croix et la bannière. Le système de mise à jour automatique (intégré) nécessite d'être administrateur local du poste. Et l'utilisateur final doit prendre la décision de mise à jour, au travers d'une boite de dialogue - échec.

En ce qui concerne Flash, un fichier d'installation ".msi" est disponible, ce qui permet d'utiliser les fonctions natives de distribution logicielle dans Windows et de contourner les problèmes précédents.

Ce qu'on sait moins, c'est que la distribution de ce fichier ".msi", même en entreprise, est soumise à accord préalable et discrétionnaire de la part d'Adobe !

En ce qui concerne Acrobat Reader, c'est l'enfer.

Les seules versions téléchargeables en format ".msi" sont les versions 9.1.0 et 8.1.3. Enfin je crois, car l'ergonomie du site Web d'Adobe laisse à désirer ... On peut passer par ici ou par là pour récupérer ces versions mais il existe peut-être des portes dérobées.

Quand je dis ".msi", il faut comprendre une version compressée avec NOSSO dans laquelle il est possible de trouver le ".msi" après quelques manipulations (notez que la documentation d'installation d'Acrobat Reader est elle-même au format PDF :) ... Sans parler de la version anglaise d'Acrobat Reader, qui installe également AIR si l'on n'y prend garde.

Au jour où j'écris ces lignes, les seules versions d'Acrobat Reader sans bogue connu et publié sont les versions 9.1.3 et 8.1.6. Pour arriver à ces versions, il faut télécharger des correctifs au format ".msp". Passons sur le sans-débit (<= 56K) qui a récupéré une version d'Acrobat Reader sur un CD AOL: il ne peut pas être à jour sans télécharger presque 100 Mo de correctifs.
L'organigramme d'application des susdits correctifs ne suit aucune logique. Certains correctifs nécessitent de disposer de la version N-1, d'autres peuvent être appliqués sur les versions N-1, N-2 ou N-3. Ce qui cause visiblement des problèmes.

Après avoir appliqué tous les correctifs et redéployé entièrement l'application, reste le problème de la défense en profondeur: la désactivation de JavaScript dans Acrobat Reader (mesure conservatoire nécessaire mais non suffisante par les temps qui courent).

Cette opération s'effectue dans la base de registre au travers de la clé bEnableJS, dont l'emplacement exact varie d'une version d'Acrobat Reader à l'autre.

Vous trouverez des modèles d'administration (fichiers ".adm) "tout fait" sur Internet vous permettant de régler ce paramètre. Seul problème: une fois le fichier ".adm" chargé dans la console de gestion des stratégies de groupe, aucun paramètre n'est visible ...

Je vous donne les trucs que personne ne documente (applicables au moins à Windows 2003 R2):
  • Le parser de fichiers ".adm" étant ce qu'il est, il faut obligatoirement terminer par un retour à la ligne (sinon le dernier caractère de la dernière ligne est omis).
  • Les clés de base de registre n'étant pas des sous-clés de "Software\Policies" ne sont pas affichées par défaut. Il faut changer le filtre d'affichage dans la GPMC.
Ce dernier comportement s'explique par le fait que les modifications apportées ailleurs que dans "Software\Policies" sont permanentes (ce que Microsoft appelle le "tatouage" de la base de registre). A contrario, les paramètres gérés par une politique sont appliqués dynamiquement.

Tout ça pour qu'à l'ouverture d'un fichier PDF contenant un JavaScript, l'utilisateur se voie proposé de le réactiver "afin de bénéficier de toutes les fonctionnalités du document" ...


Mais au moins, Acrobat Reader a l'avantage sur Flash (et sur FireFox, accessoirement) d'être configurable par la base de registre, et non par une saleté de fichier binaire ".sol" configurable uniquement en passant par le site d'Adobe !

Si j'avais un seul message à faire passer à Adobe, cela serait probablement "with great power comes great responsibility" ...

Quant à moi j'en tire les conclusions suivantes:
  • La sécurité est un échec.
  • Il est impossible d'être un bon auditeur sans être un excellent administrateur.
  • Personnellement, je désinstalle Flash à chaque annonce de faille pour être sûr de toujours récupérer la dernière version au moment où j'en ai vraiment besoin.
  • Et enfin, le réseau de ma femme est probablement plus sûr que celui des entreprises du CAC40 ... la sécurité est un échec, à nouveau !

lundi 17 août 2009

Faut-il passer à Windows Seven ?

Très franchement, je n'en sais rien :) Mais la question se pose, puisque 2 personnes proches, n'ayant jamais acheté de logiciel auparavant, se sont payés un Windows Seven en précommande.


Le système est disponible depuis le 7 août pour les abonnés MSDN/Technet+. Il était même "dans la nature" quelques jours avant suite à une fuite (il ne serait probablement pas illégal vous donner le lien, vu que c'est la clé de licence qui contrôle tout, mais n'étant pas juriste je préfère m'abstenir :).

Il est clair que la première impression est plutôt bonne: pas d'écrans bleus, système fluide sur du matériel d'il y a 2/3 ans, bonne ergonomie (moins de prompts UAC, barre des tâches retravaillée), ... Il faut dire que depuis novembre 2006 (sortie de Vista sur MSDN), les constructeurs ont eu le temps de peaufiner leurs drivers.

L'objectif de ce billet est surtout de mettre l'accent sur un choix: soit vous restez sous Windows XP, soit vous passez à Windows Seven. Pour citer la page Wikipedia consacrée à Vista:"Vista est considérée comme l'une des versions les plus calamiteuses de Windows". Et comme le dit un ami risk manager, donc habitué des formules synthétiques: "le monde se souviendra de Windows Vista comme de Windows ME".

Windows Seven offre le noyau et l'habillage graphique de Vista, les bogues en moins, et certaines features en plus: Direct Access (tunnel IPv6 équivalent à un VPN), mode Windows XP (basé sur Virtual PC), etc.

Bien sûr, tout n'a pas été corrigé. Il reste impossible d'importer une photo individuelle depuis un appareil photo numérique sans synchroniser tout le contenu. Il reste donc nécessaire d'avoir un appareil familial et un appareil porn^H^H^Herso (on peut en conclure que les développeurs Microsoft n'ont pas de famille, ou pas de relations sexuelles, au choix :).

Mais aujourd'hui, démarrer une migration vers Vista ne fait plus aucun sens. D'autant que le dernier Service Pack est prévu pour 2010, et la fin de support mainstream pour 2012.

Reste la question de la migration éventuelle vers Linux, comme certains collègues me le rappellent tous les jours.

Malheureusement, outre les arguments traditionnels en défaveur de Linux [*], ce système prend cher en ce moment [1][2][3][4]. Depuis que Google a décidé de s'en servir comme base pour ChromeOS (à moins que ce ne soit le projet SEC&SI qui ait tout déclenché :), ils se rendent compte que tout reste à faire en matière de sécurité, à commencer par sensibiliser le Chef de Patrouille (a.k.a. Linus). Pour paraphraser l'ineffable Dave Aitel: "Right now, Linux kernel security is 5 years behind Windows".

Bien sûr, Thomas Garnier nous avait démontré que le noyau Windows connait les mêmes problèmes. Mais depuis qu'il a été recruté par Microsoft, tout va mieux !

PS. Avec la sortie de Seven (et 2008R2), Microsoft en a profité pour faire le ménage dans son stock de bogues (certains ont plus de 2 ans !). Alors si vous avez dansé tout l'été, patchez maintenant !

[*] impossibilité de gérer de manière centralisée des parcs étendus, incompatibilité des applications professionnelles dominantes, coût de formation des utilisateurs et des exploitants exhorbitant, absence de socle logiciel stable (ex. pilotes graphiques), etc. Laissons le troll en paix :)

vendredi 7 août 2009

Casser du WPA comme l'élite

Vous avez téléchargé la BackTrack, mais vous n'avez toujours pas réussi à trouver la clé WPA de votre voisin ...

Vous avez appris le CUDA, mais vous n'avez toujours pas réussi à trouver la clé WPA de votre voisin ...

Vous avez appris le VHDL, optimisé le placement/routage de votre Virtex-4 à la main, mais vous n'avez toujours pas réussi à trouver la clé WPA de votre voisin ...

Et pendant ce temps, l'élite du hacking craque une clé WPA en 10 secondes avec 1 seul paquet ... 1 paquet pour trouver l'adresse MAC du client légitime, et une paire de jumelles pour lire la clé du voisin !

(Photo réalisée sans trucage - pour ceux qui n'ont pas l'habitude, il s'agit d'une LiveBox avec son sticker d'origine mentionnant la clé WPA)

Comme quoi HADOPI a du bon: cette loi va opérer une sélection naturelle des gens qui conserveront le droit d'accès à Internet. La qualité globale du réseau ne peut que s'en trouver améliorée !

PS. Pour les esprits chagrins qui lisent ce blog, s'il y en a: je n'utilise pas la connexion WiFi des voisins. D'ailleurs la clé WPA se trouve en dessous de la LiveBox et pas sur le côté :)