4 avr. 2008 ... En effet, la mémoire vive de l'ordinateur est prévue pour être lue et écrite, cela ...
OS contrôle la mémoire fantôme d'un ordinateur ? Mémoire ...
Désécurisé
[email protected], STI
protection des informations représente une constante dans un système informatique. On doit régulièrement rafraîchir ses connaissances pour offrir des conseils avisés. Au regard de chaque technologie employée, il faut vérifier la présence de failles ou d’attaques qui met en péril l’intégrité ou présente une possibilité d’accès illicite aux données conservées.Trois périmètres sont à étudier: l’accès physique au matériel, l’identification de l’utilisateur et les méthodes de travail des usagers. Seule une compréhension globale de l’interaction entre ces niveaux de sécurité et l’utilisateur permet de définir des règles cohérentes. Dès le départ, deux comportements sont à proscrire: la tentation du secret et l’utilisation de la complexité pour éluder les problèmes. Le véritable enjeu n’est pas de proposer un périmètre de défense infranchissable, mais de déterminer les actions qui peuvent compromettre notre perception de la sécurité.
du vol, il sécurise sa machine. Averti qu’il existe un risque de piratage, il a pris la précaution de crypter une partition de son disque dur avec EFS. Et comme tout un chacun, il utilise un accès sans fil, c’est tellement plus pratique. Ce scénario correspond à un usager très avancé en matière de sécurité avec les trois niveaux de protection: Accès physique 1 avec un câble de sécurité Kensington, l’appareil est sécurisé contre les vols, 2 une protection supplémentaire est assurée par un mécanisme de reconnaissance de l’empreinte digitale, Identification 3 possède un compte local protégé par un mot de passe, Méthode de travail 4 protège ses données sensibles par un cryptage EFS, 5 utilise les bornes d’accès sans fil disponibles, 6 recopie son travail sur le portable. Sur le papier, ce comportement est bon et l’ordinateur portable ainsi configuré peut être considéré comme sûr. En pratique, à la lumière des recherches publiées, cet appareil n’est pas sécurisé, il peut être attaqué. C’est bien plus la qualité et la confidentialité des données conservées dans ce portable qui sont en cause plutôt que la possibilité de l’attaque. Quelle crédibilité un responsable peut-il accorder à ses documents si leur intégrité peut être facilement corrompue? Après avoir décrit 6 attaques possibles, je vais essayer de proposer des solutions alternatives pour tenter de colmater les brèches.
L’ordinateur portable, objet de
Un portable désécurisé
La
toutes les convoitises
Sur le marché du PC, le laptop constitue la majorité des ventes. Il est indéniable que son aspect compact, sa capacité de suivre son propriétaire et son autonomie électrique accompagnée par une ubiquité de connexions représentent des atouts incontestables. À l’aube de l’analyse énergétique, sa faible consommation est également un avantage. Maintenant devenu un outil quasi indispensable, il présente des faiblesses: z intégration élevée des composants, z performances amoindries par la miniaturisation avec une densité énergétique importante, z gestion de l’ordinateur par son utilisateur, z son corollaire, création d’un environnement de travail personnalisé. Par exemple, considérons le cas d’un utilisateur qui possède un portable PC avec Windows XP. Influencé par la série télévisée les experts, il a choisi un appareil qui est capable de reconnaître son empreinte digitale. Comme chaque être humain, il fait plus confiance à son jugement qu’à autrui, il décide de conserver son travail sur son portable, dupliquant ainsi les données. Par habitude, il reprend sur son ordinateur portable son mot de passe du bureau. Conscient du problème
À l’aune des informations disponibles, voici quelques écueils connus.
1 Le câble Kensington, une sécurité apparente
Sur de nombreux appareils, il existe un trou qui permet d’introduire un câble de sécurité. En passant ce câble autour d’un point fixe on sécurise l’engin (évitez les pieds de table, elles sont rarement attachées au sol). La première méthode qui vienne à l’esprit, c’est de sectionner le câble, et malheureusement elle est redoutablement efficace. Cependant, un coupe boulon est un instrument volumineux qui ne passe pas inaperçu. Si l’individu est suffisamment déterminé, vêtu d’une blouse bleue ou blanche, FI 4 – 22 avril 2008 – page 13
Désécurisé il est probable que les spectateurs de cette scène envisageront une intervention pour résoudre un problème de perte de clé. Ce n’est que quand le propriétaire légitime retrouvera son câble coupé que le vol sera évident. La seconde méthode, présenté au congrès O’Reilly EuroFoo 2004 par Barry Wels utilise comme ingrédient: z un morceau de carton (dans la vidéo de démonstration, c’est le reste d’un rouleau de papier de toilette, probablement un hasard), z un morceau de bandes adhésives (que l’auteur considère comme un accessoire indispensable), z un crayon cylindrique. La méthode consiste à utiliser ce morceau de carton, à faire un tube avec celui-ci et à employer la ductilité du carton pour ouvrir la serrure:
http://www.youtube.com/watch?v=3M8D4wWYgsc
le processus en 4 images
Par dérision, le 29 mars 2008, les membres du CCC ont rendu publique l’empreinte du ministre de l’Intérieur allemand, Wolfgang Schäuble:
Cette démonstration réalisée en 2 minutes (www.toool.nl/ kensington623.wmv) encourage à ne pas laisser son portable sans contrôle.
2 Détecteurs d’empreinte digitale
Si l’empreinte digitale dans la police scientifique n’est pas à remettre en cause, c’est le capteur utilisé par de nombreux appareils qui pose problème. Capteur optique ou capacitif, il est probable que ce soit possible de le leurrer par une vraie fausse empreinte. Cette méthode est souvent créditée au Chaos Computer Club de Berlin en 2004, il faut plutôt l’attribuer à son auteur original, Tsutomu Matsumoto1 en 2002. La marche à suivre est simple: z se servir de la vapeur qui s’émane d’une colle ultrarapide (à base de cyanoacrylate) pour révéler l’empreinte latente sur un verre, z photographier cette trace avec un appareil numérique, z retravailler cette image numérique avec votre logiciel préféré, z l’imprimer sur un film transparent avec une imprimante laser (désolé, pas avec une imprimante à jet d’encre), z utiliser de la colle blanche pour créer une copie de l’empreinte (de la même manière qu’une impression en héliogravure, le toner de l’impression laser servant de négatif ), z décoller la pellicule de colle de son film original, z et le coller sur son doigt. 1
base d’une vraie fausse empreinte (www.ccc.de/updates/2008/schaubles-finger?language=de)
3 LM & NTLM
Dans un article écrit en 2004 (Xray ou les faiblesses de la sécurité en pratique…, FI7/04), j’ai décrit les failles propres à NTLM. Sur cette base, j’oblige les usagers du domaine Active Directory de la Faculté STI d’utiliser le mode complexe de sécurité de Microsoft. Cette mesure impopulaire est la méthode la plus simple pour imposer aux usagers de modifier leurs mots de passe, avec comme conséquence la suppression des chaînes de hachage LM conservées dans les contrôleurs de domaine. Je suis heureux de constater que cette logique est maintenant appliquée dans Windows 2008. Dans le cas d’un ordinateur portable, il est probable que l’usager possède le droit d’administration de sa machine. Un bref rappel du processus d’installation de Windows XP: installation du système d’exploitation, début de la phase graphique des paramètres, désignation des usagers locaux de l’ordinateur et fin de la phase graphique.
T. Matsumoto, H. Matsumoto, K. Yamada, S. Hoshino, Impact of Artificial Gummy Fingers on Fingerprint Systems, Proceedings of SPIE Vol. #4677, Optical Security and Counterfeit Deterrence Techniques IV, 2002.
FI 4 – 22 avril 2008 – page 14
Désécurisé Cette apparente simplicité cache deux pièges: z le compte Administrateur ou Administrator qui ne possède pas de mot de passe, z la présence de chaîne de hachage LM pour l’ensemble des comptes locaux. Sans intervention, l’ensemble des comptes locaux possède une chaîne de hachage LAN Manager qui recrée un trou béant de sécurité !
4 Crypter ses données
L’usager constate avec frayeur que son ordinateur n’offre pas les garanties espérées par les protections physique et biométrique. Conscient de la valeur des documents qu’il héberge, il va être tenté d’encrypter ses données. Ainsi, seul* le propriétaire pourra utiliser celles-ci. Seul*; les recommandations de Microsoft partent de l’idée que vous êtes membre d’un domaine Active Directory, dans ce cas vos fichiers peuvent être récupérés, vous n’êtes plus le seul à les posséder: www.microsoft.com/technet/archive/ community/columns/security/5min/5min-401.mspx. Le premier écueil du cryptage consiste par la perte du mot de passe. La proposition, un bon mot de passe ne sert qu’une fois et n’est pas reproductible, n’est pas tirée du dadaïsme, mais de la technique des clés secrètes, utilisée une seule fois (les cartes à gratter de certaines banques). Le second écueil se trouve dans le support physique des données. Il peut être altéré (particulièrement pour les disques durs qui peuvent de leur plein gré réaffecter les blocs défectueux). Le troisième écueil est la localisation de la clé. En effet, la mémoire vive de l’ordinateur est prévue pour être lue et écrite, cela signifie qu’une information secrète ne devrait pas demeurer dans la mémoire. Malheureusement, ce principe de base d’implémentation semble être oublié par les concepteurs, car souvent la clé réside dans la mémoire en clair, ou avec un encodage trop facilement cassable. Pour mémoire, la copie de DVD n’est possible que parce qu’un travail d’ingénierie inverse par un groupe de hackers norvégiens en 1999 a découvert que le lecteur XingDVD n’avait pas encrypté en mémoire la clé de lecture Contents Scrambling System (CSS). Après un jugement désormais célèbre, il apparait qu’un logiciel (XingDVD) peut être protégé par copyright, mais pas le travail qu’il réalise (décryptez un DVD pour être lu), et que le code source d’un logiciel qui décrypte un DVD n’est pas une infraction à la loi Digital Millenium Copyright Act (DMCA). http://www.2600.com/ news/0121-files/0121-trans.txt Skype a compris la leçon et utilise une méthode sophistiquée pour exécuter son code (décodage à la volée des instructions). D’autres ont préféré faire confiance au gestionnaire de mémoire étendu (MMU) intégré dans le processeur qui permet d’éviter qu’un programme puisse accéder à la zone de mémoire qu’il n’a pas lui-même utilisée. Cette option est valide tant que le système d’exploitation d’origine gère le MMU, mais quelle est la situation si un autre OS contrôle la mémoire fantôme d’un ordinateur ?
Mémoire fantôme En général, les ordinateurs emploient deux technologies de mémoire vive: z statique, avec une bascule, l’état reste stable tant qu’une tension est appliquée,
dynamique, utilise un transistor comme capacité, il faut rafraichir la mémoire pour conserver l’information. Pour limiter le coût, la mémoire centrale utilisée dans les ordinateurs portables est dynamique. Un récent travail d’un groupe de chercheurs (Princeton University, Electronic Frontier Foundation, Wind River Systems) a vérifié la rémanence des données. Le résultat est surprenant, l’arrêt de l’alimentation ne détruit pas immédiatement les données, mais celles-ci disparaissent petit à petit (de 30 secondes à 10 min selon les modèles). z
l’image fantôme après extinction de l’ordinateur a température ambiante: 5, 30, 60 secondes et 5 minutes Avec le refroidissement extérieur de la mémoire (utilisation de gaz propulseur de bonbonne d’air comprimé), le taux d’erreur diminue radicalement pour atteindre 0.001 % après une minute.
refroidir à -50 C ° la mémoire
une mémoire lisible Imaginons le scénario suivant: un individu prend possession de votre portable, soulève le clavier pour accéder à la mémoire, refroidit la mémoire, l’extrait et la conserve dans de l’azote liquide, et remplace la mémoire empruntée par un modèle équivalent, z tranquillement, il peut à loisir observer le contenu de la mémoire. z z z z z
FI 4 – 22 avril 2008 – page 15
Désécurisé outil
OS
mode
résultat
BitLocker
Windows Vista
Basic Mode
(pas de demande de mot de succès pour obtenir la clé passe à la réutilisation de l’ordinateur
BitLocker
Windows Vista
Advanced Mode
FileVault
Macintosh 10.4 & 10.5 Intel
succès pour obtenir le mot de passe de l’ordinateur et la clé
TrueCrypt dm-crypt
Linux, Windows et Macintosh Linux Kernel
succès pour obtenir la clé succès pour obtenir la clé
En démarrant un portable avec une clé USB ou avec PXE, puis en recherchant les données à des endroits préférentiels, les auteurs ont obtenu les résultats ci-dessus. Pour BitLocker, l’utilisation de la base matérielle sécurisée Trusted Plateform Module n’améliore pas la qualité de la protection, car la clé réside également en mémoire ! Ce brillant article nous démontre encore une fois qu’il est vain de baser son savoir-faire sur une pratique sans tenir compte des éléments sous-jacents.
succès pour obtenir la clé si l’ordinateur a un écran de veille
5 Réseaux sans fil
Le principal problème des réseaux sans fil ne réside pas dans le protocole utilisé pour se connecter à une borne d’accès, mais bien plus par la possibilité d’une attaque sur le chemin. La sécurité est compromise, car ce n’est ni le destinataire, ni l’expéditeur qui est attaqué, mais le cheminement de l’information à travers un réseau qui peut ne pas être sûr.
Tor
deux des coauteurs, Seth Schœn et Jacob Appelbaum, http://citp.princeton.edu/pub/coldboot.pdf
Firewire ou IEEE-1394 Une autre manière de toucher à la mémoire d’un ordinateur est d’utiliser une interface Firewire ou IEEE-1394. Cette interface inventée par Apple, Sony et Texas Instrument permet d’accéder directement à la mémoire d’un ordinateur par l’intermédiaire d’un accès direct à la mémoire DMA. Cette méthode n’est pas une erreur, mais une fonctionnalité propre a cette interface. Sur cette base technique, on peut facilement envisager une attaque. La majorité des ordinateurs portables (Macintosh et PC) possède cette interface. Ce principe d’intervention n’est pas nouveau, le premier exemple date de 2003, mais il n’était applicable qu’à une frange d’ordinateur (Mac OS et FreeBSD). Depuis 2006, avec le travail d’Adam Boileau, il est possible d’appliquer cette méthode à Windows XP. z OS X (lecture/écriture) z FreeBSD (lecture/écriture) z Linux (écriture) z Windows XP (lecture/écriture) Si on relie cette technique avec le travail précédent, on obtient un outil parfait pour attaquer un ordinateur portable. FI 4 – 22 avril 2008 – page 16
Par nature, Internet utilise une communication entre deux adresses IP. Dans le cas d’un régime totalitaire, deux méthodes permettent de contrôler Internet: assurer une qualité de service déplorable et filtrer les communications. La méthode la plus simple pour contourner un filtrage Internet est d’utiliser un Proxy spécialisé appelé anonymiseur, sous ce terme ce cache un serveur qui est capable de rediriger une requête Internet pour éviter de présenter l’adresse d’origine au destinataire. Ironiquement, le filtrage des communications peut être également réalisé par un Proxy. Cette technique a été utilisée au début du Web dans l’EPFL pour rationaliser l’accès à Internet et limiter le débit utilisé, elle présente dans le cas d’un anonymiseur une faiblesse, le serveur de Proxy utilise lui-même une adresse IP. Ainsi le serveur Proxy de filtrage peut facilement éradiquer le serveur de Proxy anonymiseur. Pour contourner cette limitation, il suffit d’imaginer un réseau distribué où chaque ordinateur peut lui-même servir de Proxy. Avec une couche de sécurité suffisante, ce système existe, son nom est Tor. Développé initialement par un laboratoire de recherche de la marine américaine, Tor est soutenu par l’association Electronic Frontier Foundation (EFF). Si l’anonymiseur rend les communications moins traçables, il ne faut pas croire que les paquets TCP-IP deviennent invisibles, l’information qui circule sur le réseau Tor possède le même degré de protection intrinsèque que dans l’Internet normal. C’est cette incompréhension technique qui est à l’origine d’une interception particulièrement savoureuse de Dan Egerstad en 2006-2007, elle consiste à: z installer Tor sur 5 ordinateurs connectés sur une connexion à haut débit, z dans Tor, filtrer les paquets où l’identification est en clair (de la même manière que les mots de passe dans la mémoire vive d’un portable), z publier le résultat. L’auteur de cette interception n’a rien fait d’illégal, il a juste écouté le trafic qui passe ! Malheureusement, les autorités suédoises n’ont pas apprécié les événements de la même manière, ce qui a valu a l’auteur d’être arrêté en
Désécurisé novembre 2007. Probablement dans une logique d’étouffer l’information, son site Web qui présentait les conclusions de son travail a été désactivé. De nouveau, les personnes qui ont demandé la fermeture du site Web ne connaissaient pas la propriété de cache de Google qui permet de retrouver le document original !
Ceux qui veulent retrouver leurs documents perdus dans le Web peuvent lire mon article: Accélération de l’innovation - baisse de la compréhension - Google Hack (FI-SP/06). Un autre élément intéressant de l’analyse est la situation des gros serveurs Tor, c’est-à-dire les serveurs qui volontairement offrent une bande passante importante pour que le maximum de paquets TCP-IP passe vers eux. TCP-IP utilise un modèle probabiliste, plus important est le débit réel de votre accès à Internet, plus important est le trafic qui passe vers vous.
6 Ingénieries humaines
principe de fonctionnement de Tor
Sous ce vocable se cache l’idée que la première source de manipulation réside dans l’être humain. Il est curieux de constater que la célèbre expérience de la prison de Stanford du professeur Philip G. Zimbardo ne soit pas plus connue: z en 1971, des étudiants sont recrutés pour 15 $ par jour pour une expérimentation psychologique, z ils sont répartis aléatoirement en deux groupes, les prisonniers (11 étudiants) et les gardiens (10 étudiants), z normalement prévue sur 2 semaines, l’expérience fut arrêtée après 6 jours, car le comportement des étudiants gardiens était devenu insoutenable (humiliation physique, torture mentale). Malgré cette expérience, www.prisonexp.org, les ÉtatsUnis ont mis en place le camp de Guatamano et la prison d’Abu Ghraib. Ce travail poursuit la réflexion entamée par Bruno Bettelheim dans son célèbre livre Le cœur conscient, où il décrit l’expérience d’un camp de concentration nazi, situation qu’il a lui-même vécue pendant plus d’une année en 1938-1939. Ce livre admirable montre comment des êtres éduqués peuvent devenir des tortionnaires et des victimes dans un environnement préparé comme une prison ou un camp de concentration. Paru sous une forme abrégée en 1943, le président américain Franklin D. Roosevelt demanda à ses officiers supérieurs de le lire pour expliquer la nature du régime nazi qu’ils devaient combattre. Pour poursuivre la réflexion sur notre humanité, Hannah Arendt suit le procès d’Adolf Eichmann en 1961-1962 ce qui lui permettra d’écrire Eichmann à Jérusalem. Rapport sur la banalité du mal. Dans cet ouvrage, elle ne cherche pas à
Site original caché dans Google FI 4 – 22 avril 2008 – page 17
Désécurisé disculper Eichmann du crime contre l’humanité, mais bien plus de tenter de comprendre comment un haut fonctionnaire peut organiser avec zèle la logistique de l’holocauste. Il faut également citer la célèbre expérience de Milgram de l’université de Yale où trois individus sont respectivement: z expérimentateur, détenteur de l’autorité en blouse blanche, z enseignant, chargé d’éduquer avec l’aide de décharge électrique, z élève, chargé d’acquérir un savoir. Uniquement l’enseignant est le sujet de l’étude, l’expérimentateur se charge de répéter les directives et l’élève est un membre de l’équipe qui mime les conséquences des décharges électriques, heureusement simulées. Costa-Gravas dans son film Z de 1969 expose une reconstitution de l’expérience de Milgram dans le cadre de l’enquête sur l’assassinat en 1963 d’un député grec, Gregoris Lambrakis. Ce film qu’il faut absolument voir a été abondamment primé (2 oscars et 2 prix au Festival de Cannes). Dans l’ensemble de ces réflexions, il est surprenant que la soumission à l’autorité soit si présente dans notre société démocratique. Quand on touche au domaine de l’informatique, souvent perçu et présenté comme mystérieux et complexe, il est facile d’abuser de la crédulité des usagers.
Société Générale et Jérôme Kerviel Un des exemples les plus récents est la perte de plus de 4.9 milliards d’euros par un courtier en bourse, Jérôme Kerviel. Transparence financière oblige, un rapport intermédiaire interne décrit dans le détail les méthodes utilisées par ce courtier pour réaliser des opérations boursières faramineuses en dissimulant ses activités par des ordres inverses. www.socgen.com/sg/file/actualiteig/homeSC_2/comitespecialfevrier08.pdf
avertissements de sécurité ne soient pas pris en comptes, mais c’est méconnaître cinq éléments: z avant de parvenir au Saint des Saints, la salle de marché, l’individu avait travaillé dans le centre de gestion des transactions (back-office) où il a certainement géré le système de contrôle, z les usagers n’ont pas compris qu’un email n’est pas sûr par nature, et que sans un système comme PGP, il est enfantin de créer un vrai faux email, z malgré les meilleures procédures, comme la division d’un mot de passe en 2 parties détenues par deux responsables, il est courant que l’administrateur système connaisse la somme des deux parties, z le mot de passe personnel est connu dans l’équipe, ce qui permet de réaliser des opérations à la place des courtiers légitimes, z et finalement, que les mots de passe des comptes de services ne sont pas systématiquement changés à chaque rotation de personnel. On peut s’étonner que des principes élémentaires de sécurité soient ainsi violés, mais c’est mal connaître l’inertie propre aux structures humaines. Souvent, l’absence d’explication sur la raison d’une mesure de sécurité la rend inopérante, les usagers ne comprenant pas pourquoi il faut l’appliquer ! Comme illustration de ces mécanismes, la complexité élevée des mots de passe mis en place pour le domaine Active Directory en 2004 a suscité la réticence de nombreux utilisateurs: pourquoi mettre en place une procédure différente de l'existante? Quand les attaques se sont fait plus plus menaçantes, la pertinence de ce choix est devenue évidente.
Un portable sécurisé La description de quelques méthodes d’attaque doit nous encourager à développer les contre-mesures. Malheureusement, il n’existe actuellement pas forcément des solutions pratiques à tous les problèmes décrits.
6 Ingénierie humaine et mot de passe
évolution des pertes, gains, et pertes de Jérôme Kerviel Si le montant de la perte finale est vertigineux, il est encore plus impressionnant de constater la variation des activités spéculatives: - 2 G€ mi-juillet 2007 + 1.5 G€ fin décembre 2007 - 4.9 G€ 24 janvier 2008 (perte réelle de 6.4 G€) L’unité de mesure ne nous est pas familière, c’est des Giga €, soit des milliards € ! Dans une lecture au premier degré, on peut s’étonner qu’un homme ait pu déjouer les contrôles internes, que les FI 4 – 22 avril 2008 – page 18
Les mots de passe représentent certainement le défi le plus sérieux dans un système. z un mot de passe est personnel et ne doit jamais être communiqué à un autre individu, z si on vous communique un mot de passe, il faut rapidement le changer ! Par nature, les humains sont sensibles à l’autorité, un administrateur système possède des outils qui lui permettent de créer des mots de passe, en conséquence jamais un administrateur ne doit vous demander votre mot de passe. Pour prendre une similitude bancaire, il est peu probable que vous communiquiez le mot de passe de votre compte bancaire, pourquoi le faire pour un compte informatique ? Je sais que la théorie est difficile, car dès qu’on envoie un avertissement sur la sécurité, en précisant qu’il ne faut pas communiquer les mots de passe, certains usagers vont vous les transmettre (décidément, il existe trop d’adeptes du dadaïsme). Dans ma pratique professionnelle, dès que je vais dépanner un usager sur son lieu de travail, l’usager persuadé que cela va m’aider me propose souvent son mot de passe !
Désécurisé
Abandonner le principe du mot de passe unique Dans ma pratique quotidienne, j’utilise l’outil interne à l’EPFL Gaspar qui permet de synchroniser un mot de passe sur plusieurs services... Bruce Schneider, un expert en sécurité, recommande l’abandon d’un mot de passe unique. Par principe, ce n’est pas l’endroit le plus protégé qui est attaqué, mais bien l’emplacement le plus faible ! Si votre mot de passe est utilisé par plusieurs systèmes, dès qu’un de ces systèmes présente un trou de sécurité, votre mot de passe est en péril. Pour concilier l’utilisation d’un outil de synchronisation avec une politique sécuritaire des mots de passe, voici ma proposition: z synchroniser son mot de passe avec l’ensemble des services, z vérifier que chacun des services fonctionne correctement, z quand c’est possible, modifier le mot de passe de chacun des services. Ainsi, la synchronisation reste un outil pratique, mais sans incidence sur la sécurité intrinsèque de chaque service. Pour ceux qui ne veulent pas se souvenir de plusieurs mots de passe, la synchronisation reste un palliatif.
5 Accès sans-fil
Par nature, il faut limiter son utilisation, car les possibilités d’interceptions sont élevées. Malheureusement, pour Internet, les possibilités d’attaques existent également. La combinaison des deux technologies élargit le spectre des assauts possibles. Il faut privilégier les connexions sécurisées. Les personnes intéressées peuvent lire la description de la procédure administrative du Land de Bavière en Allemagne pour écouter le trafic Skype et SSL. wikileaks.org/wiki/Bavarian_trojan_for_non-germans
4 Mémoires fantômes
Pour la mémoire fantôme, une mémoire avec correction d’erreur ECC évite ce problème. Au démarrage, le code de correction d’erreur détecte des données incohérentes et efface automatiquement toute la mémoire. Autrement, il faut attendre que les auteurs de logiciel modifient leur code pour que des informations sensibles ne soient pas conservées en clair dans la mémoire
4 Firewire ou IEEE-1394
Il existe la possibilité sur un Macintosh de définir un mot de passe dans le firmware: docs.info.apple.com/article. html?artnum=106482. Cette possibilité désactive l’accès direct au bus Firewire. Pour Linux, la commande suivante permet de désactiver le DMA du Firewire modprobe ohci1394 phys_dma=0
Pour les PC, désactiver le pilote OHCI 1394. Autrement, il existe toujours la solution de mettre un peu de colle époxy sur le port (vive l’Araldit).
3 LM & NTLM
Non, ce n’est pas une obsession, mais une fonctionnalité de Microsoft. Après avoir installé votre ordinateur et introduit un mot de passe sur votre compte personnel et le compte Administrateur. Il faut:
activer une stratégie de sécurité locale qui évite de conserver vos chaînes de hachage sur votre ordinateur z réintroduire de nouveaux mots de passe sur les comptes locaux existants (les précédents sont conservés sous la forme de chaîne de hachage). Malheureusement, cette procédure ne résoud pas les attaques par la mémoire fantôme ou par le bus Firewire. z
2 Accès biométriques
le détecteur sans contact. la vision en infrarouge proche de la main, l’extraction du réseau sanguin Pour ceux qui désirent réellement identifier un individu avec un risque faible de fraude, il existe la méthode développée par Fujitsu en 2003 de cartographier le réseau sanguin de la main, méthode qui présente un avantage certain de ne pas être reproductible (pour l’instant). Les amateurs de série B ne peuvent imaginer de couper la main de l’individu, car dans ce cas, le sang cesse rapidement de circuler: Il est probable que vous verrez arriver rapidement cette technologie, car elle présente des taux d’échec (0.01 %) et de fausses acceptations (0.00008 %) particulièrement bons. En général, les autres méthodes biométriques semblent se satisfaire d’un taux d’échec de 1 %. Si on applique ce taux à un aéroport comme celui de Genève (avec plus de 10 millions de passagers en 2007), 1 % d’erreur représente 100’000 passagers mécontents et peut entraîner une émeute. À ce titre, le nouveau terminal 5 du London Heathrow Airport (LHR) est significatif: z prévu pour accueillir 30 millions de passagers par an (plus de 80’000 passagers par jour en moyenne), z pour amortir son coût, une zone commerciale unique accessible par les passagers des vols intérieurs et internationaux, z en conséquence, la mise en place d’un système biométrique basé sur les empreints digitales pour séparer les passagers à l’embarquement, z des tests approfondis réalisés pendant 6 mois avec 16’000 volontaires (en moyenne 90 passagers par jour). Sans être un spécialiste de l’organisation des aéroports, il est probable que la procédure de test n’était pas adaptée à l’envergure du projet ! Ce qui était prévu: www.airport-technology.com/projects/ heathrow5/. Ce qui est arrivé: news.bbc.co.uk/2/hi/uk_news/7318568. stm. Un autre test en vraie grandeur, un magasin avec une reconnaissance biométrique utilisant des empreintes: www. youtube.com/watch?v=aBm-WsJ2U1c. Pour les adeptes des cartes sans contact, la récente découverte d’une équipe de chercheur de l’université Radboud en Hollande a percé le mécanisme d’authentification d’un accès sans fil. La carte existe à plus de 1 milliard d’exemplaires. Le plus impressionnant pour un néophyte est la possibilité FI 4 – 22 avril 2008 – page 19
Désécurisé de capturer l’identifiant d’une carte en passant à côté de la personne. www.youtube.com/watch?v=NW3RGbQTLhE. À ce titre, la technologie bluetooth possède une portée usuelle de 10 m, le record actuel est de 1 Km. blogs.ycon.net/akta/2005/03/27/bluetooth-sniper-gun
1 Disparition d’un ordinateur
Le vol d’un portable est toujours un événement cruel. À la perte matérielle s’ajoute la perte des données. En 2002, un étudiant de l’EPFL en échange académique en Inde a vu son ordinateur portable disparaître au début de son séjour. Il ne lui restait que le chargeur de l’appareil. Dépité, il a averti le vigile et déposé une plainte à la police. Le lendemain, un individu est venu s’enquérir de la manière de recharger l’ordinateur (probablement le voleur ne possédait pas toute sa raison), le voleur fut interrogé et reconnu d’avoir subtilisé l’appareil. Malheureusement pour l’étudiant, il ne peut utiliser son portable rapidement, car l’appareil était maintenant considéré comme une pièce à conviction et mis sous scellé. Ce n’est qu’à la fin de son séjour qu’il récupéra son laptop en signant une décharge précisant qu’il devait le remettre à la justice et que l’objet ne pouvait pas quitter l’Inde. Avec la problématique de la sécurité, peut-être faut-il envisager un modèle de fonctionnement où les données sont conservées dans un espace sécurisé accessible par le réseau. Une partie de cet article a été ainsi écrit sur mon iPhone avec son bloc-notes et Google Document. Dans ce mode de travail, l’absence de données conservée localement est un avantage certain et évite la fastidieuse opération de synchronisation entre les différents supports de données. Peut-être que la téléphonie mobile à la Japonaise va se répandre et que l’ordinateur portable nous paraîtra bientôt aussi archaïque d’un lecteur de cassettes par rapport au lecteur de MP3.
Un ordinateur désécurisé par nature Lors d’une récente conférence sur la sécurité de 3 jours au Canada, trois ordinateurs ont été configurés avec le dernier système d’exploitation. L’ensemble des rustines de sécurité était appliqué. Pour gagner l’appareil, il fallait prendre le contrôle de: z Sony VAIO VGN-TZ37CN avec Ubuntu 7.10, z Fujitsu U810 avec Vista Ultimate SP1, z MacBook Air avec OSX 10.5.2. Malgré certaines croyances que le Macintosh est plus sûr que les autres plates-formes, le MacBook Air fut le premier à succomber (par l’utilisation d’une faille de sécurité non publiée dans Safari qui a permis à l’usager de démarrer une console, puis de prendre la main avec l’exécution d’un programme entraînant un dépassement de mémoire). Le second fut le Windows Vista SP1 avec également une faille de sécurité en Flash qui leur a permis de prendre également la main. Seule la machine configurée avec Ubuntu résiste aux mauvais traitements que lui ont infligés les spécialistes. Que les zélotes du pingouin ne crient pas victoire trop vite, car pour la faille en Flash, la majeure partie du temps départie aux spécialistes fut utilisée pour contourner les nouvelles protections incorporées avec la version stable de SP1 de FI 4 – 22 avril 2008 – page 20
Vista. Probablement que cette faille entraîne la même prise de contrôle sur les autres plates-formes. dvlabs.tippingpoint.com/blog/2008/03/28/pwn-to-ownfinal-day-and-wrap-up.
Faille non documentée
Si vous avez la chance de vous plonger dans l’utilisation de n’importe quel programme écrit par un autre individu, il est probable que vous trouviez des bugs, c’est-à-dire un fonctionnement non conforme aux spécifications. Parfois, ces erreurs de conception permettent de faire exécuter un code arbitraire, sous ce vocable le fabricant vous signifie que votre machine risque de passer sous une influence extérieure. Face à ces erreurs, il existe deux attitudes: z s’enfermer dans sa tour d’ivoire et invoquer les puissances des ténèbres pour ne pas tenter de trouver une explication rationnelle (une autre variante est de proclamer que cette erreur n’existe pas), z étudier le problème et parfois trouver la solution. Confronté à une erreur de facture de 0.75$ en 1990, Clifford Stoll, chercheur du Lawrence Berkeley Laboratory et accessoirement administrateur système, découvrit que cette erreur comptable était due à une intrusion réseau (avec un modem à 1200 bauds). Cette première chasse à l’homme informatique de l’histoire entraîna le chasseur jusqu’à sa proie en Allemagne: en.wikipedia.org/wiki/The_Cuckoo’s_Egg_(book).
Conclusion À la lumière des éléments décrits dans cet article, il est important de ne pas confondre possibilité d’attaque et attaque proprement dite. Le propre de l’espèce humaine est d’avoir pu ajouter au processus de la sélection naturelle l’avancée que représente la culture et sa communication. Pour ceux qui pensent qu’il est possible d’appréhender la complexité du monde par des modèles mathématiques, la démonstration de Gödel pour le problème d’Hilbert rend ironique cette proposition. De la même manière, ceux pour qui que le secret et l’absence d’informations sont un gage de sécurité ignorent la curiosité naturelle de chaque être humain. L’utilisation d’Internet engendre deux constats: z il n’est plus possible de protéger la vie privée des individus, z par là même, la mise à disposition de l’information et sa critique représente une sauvegarde naturelle de la démocratie.
Quelques ouvrages récréatifs sur ce sujet L’amateur de Robert Littel, ISBN 2-290-34994-5 Sur le thème du roman d’espionnage, l’auteur décrit le passage d’un spécialiste de cryptage au statut d’espion actif (Robert Littel est le père de Jonathan Littel, prix Goncourt 2006 avec Les bienveillantes). Complot à Genève, d’Éric Ambler, ISBN 2-02-009825-3 Comment un lieu familier prend une autre dimension en évoquant l’information et sa manipulation. Ora: cle, de Kevin O’Donnell, ISBN 0-425-07260-6 Écrit en 1983, décrit un monde particulièrement ressemblant à l’époque actuelle. n
