|
| |
|
|
| Sommaire Sécurité |
 |
| La sécurité de Vista mise en question à la conférence
Black Hat |
| La grand-messe de la sécurité informatique vient de refermer ses portes. L'édition de Las Vegas a donné la part belle à Windows Vista, au Web 2.0, à la RFID, au NAC ou encore à RSS.
(08/08/2006) |
|
La Black Hat qui se tenait la semaine passée à Las Vegas, a rassemblé de nombreux participants : chercheurs, professionnels de la sécurité, développeurs, agents fédéraux, éditeurs et bien entendu des hackers.
Et les sujets abordés au cours de cette édition ne manquaient pas de piquant. Les technologies montantes comme RFID, le Web 2.0 (lire l'article du 07/08/2006) ou RSS ont ainsi été traitées et inspectées par ces experts. Quant à Windows Vista, ce fut l'occasion d'un premier baptême du feu.
Avec désormais un pied dans le marché de la sécurité et beaucoup d'annonces autour de la robustesse de son nouvel OS et d'Internet Explorer 7, l'éditeur était attendu au tournant. Il est vrai que la firme de Redmond a très souvent été pointée du doigt - et continue encore de l'être - pour les multiples failles affectant ses logiciels.
Grâce à Vista, Microsoft espérait bien faire la démonstration de la sécurité de son système et recueillir les témoignages d'experts pour combler les brèches subsistant encore. Le sponsor de la Black Hat a finalement été plutôt bien accueilli. De l'avis général, Microsoft aurait notablement accru la sécurité de son système d'exploitation.
Toutefois, Vista n'est pas pour autant exempt de défauts. Comme cela avait été préalablement annoncé, Joanna Rutkowska a fait la démonstration de Blue Pill, un rootkit opérant sous Vista. Cette nouvelle génération de code malveillant furtif use de la technologie de virtualisation Pacifica d'AMD. Mais pour court-circuiter la sécurité de Vista (version 64 bits), il n'exploite aucun bug.
En dépit du processus de Vista interdisant l'installation de pilotes non signés, Joanna Rutkowska a démontré qu'il était possible de passer outre cette protection et de créer des pilotes malveillants. Il faut cependant, pour effectuer cette manipulation, disposer d'un compte administrateur. La fonctionnalité UAC (User Account Control) de Vista, pourrait donc contribuer à réduire les risques.
| Un rootkit contourne les protections de Vista |
Sauf que l'UAC fait lui aussi l'objet de critiques, notamment en raison du grand nombre de messages d'alerte affichés à l'écran. Un excès qui pourrait contribuer à une certaine lassitude de l'utilisateur et le conduire à les négliger ou à valider imprudemment.
Mais la faillibilité de Windows semble presque avoir été reléguée au second plan, derrière un sujet plus brûlant qui est celui des tags RFID et des passeports biométriques. Plusieurs experts se sont en effet penchés sur la question de leur sécurité. Le constat s'avère relativement pessimiste.
La lutte contre l'usurpation d'identité n'aboutira pas grâce au passeport électronique si l'on en croit les travaux de Lukas Grunwald, un chercheur allemand travaillant pour DN-Systems.
L'expert a ainsi démontré, avec une relative facilité, comment cloner le contenu d'une puce RFID pour le copier dans une autre puce. Il lui aura fallu pour cela disposer d'appareils disponibles sur le marché à des prix tout à fait abordables, à savoir un PC équipé d'un lecteur-enregistreur de cartes SmartCard et un lecteur de puces RFID.
Néanmoins, le code de chiffrement protégeant les informations demeure lui exempt de faille, pour le moment. En somme, cela signifie que les données peuvent être dupliquées, mais en aucune façon modifiées.
| La RFID insuffisamment sécurisée |
L'usage des tags RFID est pourtant appelé à se multiplier et pour divers domaines d'application. Ainsi d'autres chercheurs ont également souligné les failles de cette technologie. Melanie Rieback a notamment présenté un ver ciblant spécifiquement la RFID et uniquement construit avec 127 caractères, soit 1 Kbit.
Quant à Cisco, particulièrement égratigné à l'occasion d'une précédente conférence Black Hat, il était cette année encore au rendez-vous. Le constructeur s'était en effet montré contrarié par la présentation de Michael Lynn concernant une faille de son système, IOS (Internetwork Operating System).
Hendrik Scholz de Freenet Cityline a mentionné l'existence d'une faille dans les pare-feu PIX de Cisco. Toutefois, la firme a assuré qu'elle planchait justement sur le sujet. C'est principalement sa passerelle d'accès au réseau, NAC, qui a été critiquée à l'occasion de la Black Hat. Pour Ofir Arkin, un expert réseau, cette dernière comporterait des brèches de sécurité.
De manière globale, Arkin s'interroge sur l'efficacité des architectures de contrôle d'accès. Ainsi, par exemple, les solutions utilisant des serveurs proxy en DHCP (Dynamic Host Configuration Protocol) laisseraient passer les machines munies d'adresses IP fixes.
De plus, les périphériques ne reposant par sur le protocole 802.1x (comme de nombreuses imprimantes) ne seraient pas soumis à la politique d'accès. Plusieurs autres failles ont également été pointées du doigt. Le parangon de la sécurité n'est donc pas non plus dans les technologies NAC.
Enfin, avis aux nombreux amateurs de fils RSS, un spécialiste informatique de SPI Dynamics a présenté ses conclusions sur la sécurité de RSS. Pour Robert Auger, insérer du code malicieux écrit en JavaScript dans le contenu d'un fil RSS serait loin d'être une gageure. Compte tenu de la popularité de la technologie, un grand nombre d'internautes pourraient rapidement être contaminés par un fils vérolé.
|
| |
| |
|
|
|
Dossier 
