Sommaire (suite)

Dossier : La lutte antivirale, une cause perdue ?

• [18] Préambule
• [19-23] Malware : du nouveau sous le capot?
• [24-29] Architectures de protection antivirale : allier défense périmétrique et défense en profondeur
• [30-33] Peut-on faire confiance aux antivirus ?
• [34-45] Méthodologie d’évaluation des antivirus

Société

• [46-52] ISO/IEC 27001 : implémentation d’un SMSI

Réseau

• [53-57] Netflow, protocole de télémétrie réseau

Système

• [58-65] Tâches planifiées et gestion de credentials sous Windows

Code

• [66-72] Mac OS X et les injections de codes

Science & Technologie

• [75-82] Patchwork stéganographie

d’Alain Passard, l’Arpège. Ce fut une révélation, comme il m’arrive d’en avoir parfois le matin sous la douche après une

nuit agitée à cogiter sur mon prochain édito ou les chevaliers paysans de l’an mil au lac de Paladru.
Mais revenons à mon dîner. L’entrée était un céleri-sotto à la truffe blanche, deux nuances de blanc, reposant dans une

émulsion verte. Quand le plat est servi, la truffe embaume. À la première bouchée, le croquant souple du céleri blanc,

utilisé à la place du riz, annonce la dureté de la truffe. Les goûts de ces deux ingrédients s’enchaînent en douceur,

l’émulsion, verte, à base de céleri branche, liant saveurs et textures.
Ensuite, je me suis régalé avec un pigeonneau aux dragées. La viande est parfaitement cuite, tendre et rosée. Elle repose

sur un jus de viande épais. Quand on la mange, elle fond. Le goût un peu sanguin est compensé par le sucre des dragées

concassées.
Quant au dessert, je vous épargnerai la tarte aux pommes, revisitée bien sûr.
Vous l’aurez compris, je me suis régalé. Ce que j’ai trouvé le plus impressionnant :
une gastronomie totale, sans concession où tout doit être parfait. Et ça l’est ! Ce n’est pas un simple assortiment

d’ingrédients. Il y a du travail sur le goût, sur l’odeur, sur la texture, sur la présentation : rien n’est oublié.
Tout le monde est-il capable d’atteindre ce niveau, cet équilibre subtil ?
Prenons un cas concret : la convergence vers le tout IP. Tout le monde est maintenant connecté, chez soi, sur son

téléphone, presque en permanence. Les infrastructures migrent aussi vers le tout IP : réseaux bancaires, trafic aérien, ou

systèmes de santé. Pour le meilleur ? On a bien vu les ravages de Conficker sur les distributeurs de billets, les tours de

contrôle de l’armée de l’air, les scanners des hôpitaux, …
Mais peu importe, tout doit être connecté. Et tout doit disposer de nouvelles fonctionnalités, totalement indispensables

au point qu’on en ignore souvent l’existence. Quid des photocopieurs munis d’émetteurs-récepteurs GSM pour la

télémaintenance ?
Vient alors l’heure – oui, oui, souvent après – d’en évaluer la sécurité. Mais les systèmes sont tellement gros, tellement

complexes, et tellement bordéliques la plupart du temps, que c’est pratiquement impossible, surtout dans les délais

demandés. La difficulté à les évaluer vient non pas du fait qu’ils soient mieux sécurisés, mais juste plus gros, touchant

à plus de domaines en même temps…
Ce qui m’a réellement impressionné lors du dîner évoqué en préambule, c’est cette maîtrise de toutes les dimensions,

preuve d’un talent indéniable du Chef. Quand je regarde les systèmes informatiques d’aujourd’hui, j’ai plus souvent

l’impression de manger à la cantine du Restaurant Universitaire.
Bilan : est-ce que la sécurité a augmenté pendant ces huit ans ? Pas sûr !
Du côté de l’attaque, il y a de moins en moins de monde capable de creuser au cœur du schmilblick pour en exhiber les

faiblesses. Et pour les rares individus encore capables d’y parvenir, se dresse alors l’écueil juridique où un arsenal

prend soin de les dissuader de prendre la parole.
Du côté de la défense, il y a aussi peu de personnes capables d’appréhender cette complexité et de construire une

protection efficace, à plusieurs. N’est pas Alain Passard qui veut. On se contente souvent d’appliquer les mêmes recettes

que les autres, et comme tout le monde fait du crumble aux fruits rouges en ce moment, on fait pareil.
Malheureusement, en informatique, on distingue rarement ce type de talents.
Finalement, en huit ans, je ne suis vraiment pas certain que les choses aient changé, ou alors pas en mieux. Tout le monde

n’a pas les besoins ou les moyens de l’Arpège non plus. Mais bon, on peut toujours souhaiter que ça aille mieux en 2010.
Bonnes année et lecture,

Fred Raynal

Sommaire (suite)

Système

• [50-57] Cold boot attacks sur les clés de chiffrement

Réseau

• [58-61] Sockstress, l’épuisement de TCP

Code

• [62-70] Implémentation de virus K-aires en Python

Application

• [73-82] Emanations électromagnétiques compromettantes des claviers filaires et sans fil

Cela fait déjà pratiquement 7 ans que MISC existe. Tout a commencé en réalité un peu avant, quand j’ai envoyé un mail à un site, linuxfocus.org, à propos d’un article que j’envisageais d’écrire sur automount/autofs. Le responsable me conseilla de contacter un certain Denis Bodor, déjà rédacteur en chef de LinuxMag. De fil en aiguille, j’ai continué à écrire des articles, de plus en plus centrés sur la sécurité.
Puis, émergea de l’ensemble de la rédaction de Diamond une idée de fou. Et si je m’occupais d’un hors-série sur la sécurité : le HS 8 de LinuxMag, aussi appelé MISC 0, était né. Il s’agissait de couvrir différents aspects de la sécurité, qu’on retrouve encore dans MISC aujourd’hui : système, réseau, crypto, etc.
Quelques mois plus tard, en constatant le succès remporté par ce HS 8 / MISC 0, nous nous lançâmes dans une aventure qui dure encore puisque vous lisez ceci.
Tout n’a pas été simple au cours des années passées. Il faut dire que nous partons avec quelques handicaps : ce journal n’est pas très grand public, et un bon nombre de fortes têtes s’en occupent. Cela donne des discussions hautes en couleur, mais un compromis finit généralement par émerger, les vannes fusent, les sangliers rôtissent, et la cervoise coule à flots.
Dernièrement, vous en avez peut-être entendu parler, se tenaient les assises de la presse. Bien que je ne sois pas du tout journaliste, je suivais de loin ce qui se passait, me doutant que les grands groupes de presse allaient se tailler la part du lion. Et effectivement, pour les petits éditeurs indépendants comme nous, les mois qui viennent ne vont pas être faciles.
En conséquence, cela semble être le bon moment pour repenser le journal, en profondeur. L’idée générale est de rendre la revue plus accessible. La sécurité reste un domaine difficile qui demande beaucoup d’efforts pour réussir : nous allons tenter de vous simplifier la tâche. Tout d’abord, on commence un petit lifting pour gagner en clarté et rendre la lecture plus agréable.
Ensuite, nous réduisons la taille du dossier. Il occupait une place trop prépondérante au détriment d’autres sujets. Il sera dorénavant limité à une trentaine de pages, ce qui permet déjà d’aborder très sérieusement de nombreux thèmes, mais aussi de proposer une plus grande diversité d’articles.
De plus, nous ajoutons, dans les articles, des clés de lecture complémentaires : aides pour comprendre les notions élémentaires associées à l’article, critiques de livres, etc.
Enfin, nous instaurons 3 corners avec l’idée de les retrouver systématiquement. Le premier, tenu par Gabriel Campana, encadre le coin sur les vulnérabilités et les exploits. Nicolas Ruff traite de tout ce qui concerne les tests d’intrusion, et les ruses à connaître pour s’en sortir. Enfin, Nicolas Brulez s’occupe des codes malicieux et de leurs dernières tendances à la mode. Merci à vous trois de superviser ces rubriques.
Vous pouvez le constater, pas mal de changements en perspective. N’hésitez surtout pas à nous faire vos retours ! Que cela vous plaise ou pas, rien de tel qu’une bonne engueulade pour déboucher nos oreilles et faire (ahreu) passer le message. D’ailleurs, comme le disent les médecins, quand le coton a compris qui était le boss, c’est que le coton pige. Nous tentons d’apporter un éclairage atypique à la sécurité. Et si la lampe est d’accord, la lampe adhère (comme dirait mon chien).
Bonne découverte,

Fred Raynal

Sommaire (suite)

Réseau :

• [42-50] Mécanismes de sécurité WiMAX

Code :

• [53-65] Analyse en profondeur de Waledac et de son réseau

Système :

• [66-71] La sécurité des clés USB

Application :

• [72-82] Quelle confiance accorder aux Trusted Platforms ?

*P(l)age blanche et cocotiers : tout vient à point à qui sait attendre*

Ah l’été, quelle merveilleuse saison ! Une fois encore, Paris se vide, et nos côtes se remplissent. À lézarder au soleil en dégustant quelques barbecues arrosés de rosé (bien frais, mais pas matinale), les côtes, les autres, se remplissent aussi après les rigueurs d’un régime pré-estival destiné à faire ressortir des abdos imaginaires. Comme disait Rabelais, qui n’avait pas oublié de picoler : « le jus de la vigne clarifie l’esprit et l’entendement ».

Retournons à nos moutons ! Fort de cet entendement, je me pose devant la page blanche à l’heure de rédiger cet édito. Et là, le vide. Pas celui de Bouddha, non, le manque d’inspiration. Je reprendrais bien un peu d’entendement moi, et en plus j’ai un creux… Comme disait Rabelais, qui n’était pas le dernier à table : « le grand Dieu fit les planètes et nous faisons les plats nets ».
C’est alors qu’en pleine dégustation d’entendement, la lumière vint. Ou plutôt « vin ». J’ai bien fait de persévérer, avec modération bien entendu. D’ailleurs, Rabelais, apôtre de la sagesse et de la modération, nous le rappelle : « l’appétit vient en mangeant ; la soif s’en va en buvant ».
Revenons sur les étés précédents. Il y a quelques années, genre au début du 21ème siècle, la mode estivale était au ver à propagation rapide, tendance je vais faire tomber internet en moins de 30 secondes. Force est de supposer que les développeurs de ces codes malicieux ont dû grandir et préfèrent eux aussi partir à la plage maintenant. Ou alors, c’est autre chose qui a changé. À ce propos, Rabelais, scientifique avant l’heure, pose bien tôt les limites des expérimentations : « science sans conscience n’est que ruine de l’âme ».

Finis donc les ver(re)s de la mort qui tue. Ils furent remplacés par des buzz : failles sur les pilotes WiFi d’Apple, failles sur les Cisco avec conférence annulée à la clé, sans parler de la mode des big ones à répétition qui ont eux aussi manqué de faire tomber internet en moins de 30 secondes. La différence avec les vers vient de ce que ces vociférations sont arrangées dans des grandes conférences prestigieuses (no comment) et que, cette fois, ce sont les gentils qui font du bruit. Rabelais, observateur attentif des mœurs de son époque, le notait déjà : « la moitié du monde ne sait comment l’autre vit ».

En effet, que constate-t-on ? L’asymétrie entre les gentils et les méchants (ou la défense et l’attaque) est une évidence si on regarde simplement qui a l’initiative. Mais ce n’est pas le seul aspect. Les méchants ne sont pas méchants juste pour le plaisir de l’être. Très souvent, il y a des intérêts derrière, financiers, et pas petits qui plus est. Bref, les méchants sont méchants pour se faire du blé, facilement, sans effort. Rien de nouveau. Rabelais, avec ses multiples éloges de la paresse, était déjà un précurseur : « les heures sont faites pour l’homme, et non l’homme pour les heures. »

Mais les gentils aussi ont un estomac et de l’appétit : ils doivent se nourrir et gagner de l’argent. Sauf que, bien souvent, pour comprendre les méchants ou imaginer ce qu’ils pourraient faire, ça demande du temps (et le temps, c’est de l’argent), ça demande de l’audace (et l’audace, ça coûte cher sans garantie de retour sur investissement), ça demande de l’innovation (et l’innovation, ça ne rapporte pas dans les deux mois qui suivent). Bref, le modèle économique du gentil est bien plus compliqué. Comme l’expliquait Rabelais : « la tête perdue, ne périt que la personne ; les couilles perdues, périrait toute nature humaine. »

Et cet été alors ?, me direz-vous en tentant de me faire reprendre le fil de ma pensée. Ben rien ! Nada ! Walou ! Néant ! Que dalle ! Le calme plat en somme (et ailleurs aussi). Pas de ver, pas de scandale. À croire que la crise a tout tétanisé sur son passage. Même la faille qui touche le plus de versions du noyau Linux ou la sortie de Windows Seven ne change rien : le calme je vous dis ! Eh bien tant mieux, ça permet à tout un chacun de se plonger sereinement dans son magazine préféré et de faire avancer ses propres travaux. Et comme disait Rabelais, qui s’y connaissait en cassage de système d’exploitation : « rompre l’OS et sucer la substantifique moelle ».

Sur ce, je délaisse l’entendement pour un café, l’addition, et bonne dégustation pour cet édito au rab(el)ais.

Fred Raynal

Sommaire (suite)

Code

• [44-53] Des échanges SOAP propres et sans bavure : signature et chiffrement

Science & technologie

• [54-63] Courbes elliptiques et attaques par canaux auxiliaires
• [64-74] Vulgarisation des aspects formels de la notion de furtivité

Application

• [76-82] La sécurité des wikis

Schtroumpf Grognon :

Parfois, il fait beau, les oiseaux chantent et le ciel est bleu. Et puis parfois, il y a des jours où faut pas
m’ennuyer (je reste poli, merci maman). Et en ce moment, il y a des jours… tous les jours.
En ce moment, les lois autour d’Internet, c’est un peu comme les épisodes d’Amour, gloire et beauté : on
a l’impression de voir tout le temps les mêmes.
Je ne suis pas juriste pour deux sous, mais à quoi ça sert d’empiler les lois, puis de les modifier, et ce,
en permanence, alors que, déjà, les premières ne sont pas appliquées ? Voire que les anciennes sont
suffisantes !
Je repense aux commentaires, sur la décision du Conseil constitutionnel à la suite de « l’acceptation à
90% (1) de la loi HADOPI » (à la différence de Madame le Ministre qui se réjouit de ce score, pour ma
part, c’est de l’ironie), du conseiller spécial de notre président, Henri Guaino, mais surtout à l’analyse
juridique de Maître Eolas [1].
Notre conseiller spécial dit ne pas comprendre qu’un article de la Déclaration des droits de l’Homme
soit un article de Droit (oui, oui, pourtant, c’est écrit dans le titre de ladite déclaration). Il soupçonne
également les révolutionnaires auteurs du texte de ne pas avoir pensé à inclure Internet en rédigeant
l’article 11 (la libre communication des pensées et des opinions est un des droits les plus précieux de
l’Homme). Rendons-lui justice, ils n’ont pas non plus pensé à la radio, à la télé, à la télépathie et aux
autres moyens de communication à venir. Mais, est-ce grave ?
Comme le souligne avec brio Maître Eolas, cette déclaration a un caractère intemporel qui fait qu’elle
traite de la liberté de communication sans tenir compte du canal employé. Et c’est ça, je trouve, qui la
rend belle et puissante : elle s’abstrait du temps qui passe.
Est-ce que cette loi – peu importe la forme qu’elle prendra – sera efficace ? Tout le monde sait déjà que
non, tellement elle est facile à contourner, techniquement et juridiquement. Prenons un ordinateur
sur lequel tourne une machine virtuelle dans laquelle tourne le mouchard chargé de vérifier qu’on ne
télécharge rien d’illégal. Pendant ce temps, à Vera Cruz, sur un autre ordinateur ou sur l’hôte, eMule
voisine avec BitTorrent et quelques serveurs de news. Malheureusement, un mail d’avertissement arrive,
puis une convocation. Pas de souci, ayant suivi scrupuleusement la loi, il suffit de donner les logs de la
machine du mouchard pour être acquitté, car l’infaillible mouchard n’aura rien vu.
Mais pire : LOPPSI 2 (le retour), avec son filtrage du net et ses perquisitions virtuelles. Personne ne
remet en cause la nécessité avancée de lutter contre la pédophilie ou le terrorisme, mais seulement les
moyens de cette lutte.
Imaginons un pays merveilleux où les fournisseurs d’accès (FAI) sont tenus de bloquer l’accès à certains
sites, sites déterminés par les autorités via une liste tenue secrète. Ces FAI ont l’obligation légale de le
faire. En revanche, rien n’interdit d’utiliser ce même moyen de filtrage pour bloquer la VoD de chez son
concurrent, puisqu’il n’y a aucun contrôle sur le filtrage.
Pour la perquisition numérique, le défi est impressionnant. Puisque nous sommes dans de la sciencefiction,
poursuivons. Imaginons ce qui n’arrivera jamais : les méchants découvrent ce trojan gouvernemental.
Quelles conséquences ? Toutes les personnes qui ont cherché à analyser des Torpig et bestioles
similaires le savent bien : on peut reproduire les techniques employées pour construire son propre trojan
qui aura le même risque de détection, c’est-à-dire faible. Plus marrant, on peut remonter parfois sur le
serveur de contrôle ou exploiter des failles pour voir alors des malwares se manger les uns les autres. Et
là, je me contente des risques techniques.
Alors oui, bien sûr qu’il faut lutter contre la pédophilie et permettre aux services de police/renseignement
de nous protéger. La sécurité est toujours vue comme une entrave aux libertés, tous les RSSI vous le
diront. Est-ce pour autant vrai ? Alors qu’il est possible (mais pas facile) de sécuriser correctement nos
réseaux sans restreindre les libertés de nos utilisateurs, pourquoi ne pourrions-nous pas reproduire
cela pour notre société ? Peut-être parce que ceux qui y parviennent sont des spécialistes de la sécurité
et non de l’agitation médiatique.
Au final, on place donc un contrôle chez l’utilisateur (HADOPI), un chez le FAI (LOPPSI2) et, en bonus,
on a des lois jugées sur la quantité, un conseiller spécial qui devrait peut-être prendre des cours de droit,
et un texte en projet sans étude d’impact : en ce moment, il y a des jours tous les jours…
Juste pour rire, j’imagine bien le mouchard gouvernemental, utilisé pour les perquisitions, bloqué par
le logiciel bonne conscience d’HADOPI…
Bonnes vacances quand même, malgré l’avis de TEMPEST.

Fred Raynal

(1) On notera la pertinence du quantitatif dans ce domaine : on juge du succès de l’adoption d’une loi au
poids de ce qui est validé par le Conseil constitutionnel, en faisant fi du qualitatif, c’est-à-dire ce qui
faisait le coeur de la loi en question.

[1] http://www.maitre-eolas.fr/2009/06/16/1451-prix-busiris-a-henri-guaino