Une situation de compétition (race condition) a été trouvée le 14 octobre dans les fonctions pipe_read_open(), pipe_write_open() et pipe_rdwr_open() du noyau Linux par Earl Chew, bug vieux de plus de dix ans. Deux jours plus tard, Earl a écrit un patch corrigeant le bug (commité le 21 octobre, il fait partie de la version 2.6.32-rc6).

L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.

Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.

Harald Welte a publié ce matin sur son blog un rapport sur le déploiement d'OpenBSC lors de Hacking-at-random 2009. Pour rappeler les faits, OpenBSC est un logiciel sous GPL permettant d'utiliser une station GSM Siemens BS11 microBTS, et donc de simuler un véritable réseau GSM (2G pour le moment). Le but est d'avoir un outil pour pouvoir tester la sécurité et le fonctionnement des protocoles de téléphonie mobile.

L'utilisation des fréquences étant soumise à autorisation, une demande a été formulée et accordée afin de valider le système avec une charge suffisante et un jeu de terminaux mobiles diversifié. Une expérimentation similaire pour le système OpenBTS (similaire à OpenBSC, mais basé sur GnuRadio et USRP) avait été réalisée lors des festivals Burning Man 2008 et 2009 au Nevada.

Le rapport d'Harald est relativement précis sur le système mis en place et les conditions de tests, mais le point le plus important est la fin du rapport, où il explique qu'ils ont cherché à vérifier si certains smartphones implémentent RRLP, Radio Resource LCS (Location) Protocol. Le protocole permet à un opérateur de demander la localisation d'un terminal sans authentification aucune, ce dernier utilisant les signaux GPS pour connaître sa position (s'il y a un récepteur, bien sûr). Sur le marché, les téléphones équipés d'un récepteur GPS sont assez nombreux, notamment la gamme basé sur Android de HTC, l'iPhone et les téléphones Nokia N95 ou équivalents. Le rapport ne précise pas beaucoup plus d'informations à ce sujet, car la fonctionnalité n'a été testée que le dernier jour, mais il semble qu'un certain nombre de ces appareils suivent à la lettre les spécifications, permettant une localisation GPS sans que cela soit signalé à l'utilisateur.

On se souvient du scandale du Palm pré découvert par Joey Hess, Palm ayant ajouté un logiciel dans webOS envoyant via internet les coordonnées GPS ainsi que le temps d'utilisation de chaque application sur le téléphone.

Encore plus récemment, c'est l'iPhone qui a fait parler de lui suite à la découverte d'une application récoltant les numéros de téléphones des utilisateurs afin d'alimenter une base de client. La boite à l'origine de MogoRoad, le logiciel en question, a dû retirer son logiciel de l'AppStore, mais il semble que d'autres applications du même tonneau existent encore.

Cette nouvelle découverte jette une fois de plus le discrédit sur le respect de la vie privé par le monde de la téléphonie mobile.

Brad Spengler a décidé de faire parler de lui cette année :-) Il a écrit le 16 septembre dernier un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 septembre). Il a d'abord posté des vidéos sur Youtube puis, le 18 septembre, le code de son exploit.

La faille se situe dans perf_counter, fonctionnalité introduite dans Linux 2.6.31. Elle n'impacte donc que cette version. La faille a été corrigée le 15 septembre (perf_counter: Fix buffer overflow in perf_copy_attr()), la veille de la première vidéo.

Malgré les corrections apportées à SELinux (ex: Security/SELinux: seperate lsm specific mmap_min_addr), cet exploit arrive à contourner SELinux en utilisant, encore une fois, le mode unconfined_t. Ce mode est utilisé pour les applications ne pouvant pas être confinées dans SELinux, comme par exemple WINE.

Dans le cadre du colloque FRHack, Richard M. Stallman (RMS) animera une conférence en anglais : "Free Software in Ethics and in Practice", lundi 7 septembre à 17h30. Contrairement aux autres conférences du colloque celle-ci sera accessible gratuitement à cette adresse : http://mediatux.com/webtvstream.php

FRHack est un colloque international sur la sécurité informatique et les NTIC en France (au Grand Kursaal de Besançon), programmée du 7 au 11 Septembre 2009.

Bruno Michel et Benoît Sibaud ont donné une conférence lors des Rencontres Mondiales du Logiciel Libre 2009, intitulée « LinuxFr.org : retour d’expérience sécurité d’un site Web à fort trafic ».

Il s'agissait d’une part de faire un retour sur une expérience riche et variée sur le sujet (divulgation involontaire d'informations confidentielles, failles XSS, failles CSRF, erreurs de générateur aléatoire, ingénierie sociale sur les utilisateurs, audit de sécurité non demandé effectué sur notre serveur, etc. sans compter les bugs exotiques genre horloge cyclant sur une période de 4s…) sur un site à fort trafic et stockant des données personnelles.

D’autre part les webmestres LinuxFr.org sont prêts à parler des problèmes de sécurité rencontrés et des solutions apportées, parce qu’il s’agit d’un site fait par et pour les communautés du logiciel libre, qui peut jouer la transparence et n’a pas à cacher les problèmes sous le tapis comme d’autres sites commerciaux ou gouvernementaux.

L'angle retenu (retour d'expérience et typologie variée de problèmes pour illustrer) a trouvé son public, la conférence ayant été faite dans une salle comble.

Au premier juillet 2009 et conformément à une directive du 19 Mai 2009 émise par le Ministère de l'industrie, de l'information et des technologies (MIIT), tout ordinateur vendu en Chine devra être livré avec 绿坝·花季护航 (la muraille verte, l'escorteur de mineurs) un logiciel de contrôle d'accès dont l'objectif officiel est de protéger les mineurs de la pornographie toujours réprimée en Chine. Il pourra être pré-installé ou livré sur CD-ROM. Les fabricants devront rapporter aux autorités le nombre de machines distribuées avec le logiciel.

Le 11 juin 2009, trois chercheurs de l'université du Michigan (Scott Wolchok, Randy Yao et J. Alex Halderman) ont révélé deux failles importantes (dépassement de tampon) affectant 绿坝·花季护航. Une simple page Web fait ainsi planter un navigateur (ou un onglet). Des shellcodes plus raffinés sont déjà disponibles : exploit .NET pour Internet Explorer (contourne les contre-mesures DEP et ASLR de Windows).

绿坝·花季护航 (prononcez Lubà·Huajì Hùháng) utilise OpenCV (bibliothèque de traitement d'image libre, développée à la base par Intel, spécialisée dans le traitement d'image temps réel) en violation de sa licence BSD puisque sans mention du copyright. Il utilise en outre des données issues de CyberSitter un concurrent développé par la société Solid Oak.

Ce projet formalisé officiellement en décembre 2008 sous l'impulsion des dirigeants chinois est financé par le MIIT pour environ six millions d'euros (41,7 millions de yuan). Testé depuis octobre 2008 dans plusieurs grandes métropoles chinoises, il a été réalisé par la société Jinhui en collaboration avec une université pékinoise qui a déjà développé des produits similaires pour l'armée populaire de libération.

NdM : Selon l'article Wikipédia anglophone, 绿坝·花季护航 (Green Dam) est inefficace. Utiliser Mac OS X et Linux suffit pour contourner le filtrage par exemple. Green Dam n'est pas non plus capable de détecter un contenu pornographique pour des peaux de couleur rouge ou noire. De plus, plusieurs failles de sécurité peuvent mener à une attaque massive (botnet ou attaque ciblée) des ordinateurs équipés de Green Dam.

Le site Herdict.org propose de centraliser en temps réel les informations relatives à l'accessibilité (ici disponibilité sur le réseau) des sites web de manière à déterminer la portée des éventuels problèmes.

L'idée du professeur Jonathan Zittrain se situe dans la progression naturelle de l'OpenNet Initiative (ONI) dont le projet vise à étudier le filtrage d'internet et les pratiques de sa surveillance par les différents états. Ce projet emploie de nombreux moyens techniques, ainsi qu'un réseau international, afin de déterminer l'étendue et la nature des programmes gouvernementaux de filtrage d'internet.

À l'heure d'autres projets tels que le projet loi Hadopi, peut-être est-il temps de nous sentir tous concernés ?

La version 2 d'OpenVAS, le principal fork de Nessus, vient de sortir un peu plus d’un an après la première version stable.

À mon sens le changement de version ne se justifiait pas, aucune fonctionnalité substantielle n’ayant été ajoutée dans l’intervalle. En effet, OpenVAS utilise encore largement le code originel de Nessus et une partie importante du travail consiste à auditer les sources.

Cette nouvelle version intègre néanmoins pas mal de nouveautés intéressantes :

• Amélioration du client graphique ;
  
• Support partiel d'OVAL (Open Vulnerability Assessment Language). OVAL est un langage -indépendant du projet OpenVAS malgré les similitudes de consonance- de création de tests de vulnérabilités. Un test développé en OVAL est utilisable par tous les outils supportant ce langage, contrairement par exemple à un plugin NASL (Nessus Attack Scripting Language) qui est “propriétaire” Nessus ;
  
• Création du protocole OTP (OpenVAS transfert protocol) en remplacement du protocole originel NVT (Nessus transfert protocol). Ces protocoles sont utilisés pour les communications entre les clients et le serveur ;
  
• Nouveau format d'identifiants pour les tests de vulnérabilités (OID) ;
  
• Support des architectures 64 bits ;
  
• Sans compter pas mal de corrections de bogues.

Bref, le projet avance, lentement, mais il avance :-)

Après les éditions 2005 à Séville et 2007 à Karlsruhe, la convention Netfilter se déroule cette année à Paris, du 29 septembre au 3 octobre 2008. La convention Netfilter est l'événement annuel mondial de rencontre de tous les développeurs Netfilter, et l'occasion pour les auteurs et contributeurs du projet de travailler sur les prochaines orientations.

Cette année, la convention se déroulera en deux étapes :

• Une journée Utilisateurs, ouverte au public. L'appel à soumission est d'ores et déjà publié sur le site officiel de l'événement, les soumissions seront particulièrement appréciées si elles correspondent à des utilisations intensives ou originales de Netfilter ;
  
• Quatre journées Développeurs (l'atelier), auxquelles participent les membres de l'équipe de développement officielle (la core team) ainsi que quelques invités. Les personnes intéressées peuvent répondre à l'appel à participation qui a été lancé.
  

En qualité d'organisateur de l'événement cette année, INL profite de cette annonce pour réaliser l'appel à sponsors pour l'événement. Les entreprises sponsors retenues par la core team disposeront d'une visibilité sur le site web de la convention Netfilter et lors de la journée Utilisateurs.

Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant "corriger" des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n'est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).

Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...

Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...

Que faire ?

1. Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
   
2. Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl
   Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
   
3. lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.

Reste à savoir quelles seront les conséquences de cette affaire : depuis 2 ans, un bug introduit par un contributeur et impactant un système critique est resté indétecté dans une des distributions les plus utilisées au monde...

NdM : lire également les articles sur Planet Debian-Fr.

OLPC : One Laptop Per Child (un portable par enfant) est un projet lancé par des professeurs du MIT aux États-Unis qui a pour but de promouvoir un ordinateur portable à 100 dollars US pour permettre à chaque enfant dans le monde l'accès à la connaissance et aux formes modernes d'éducation. Déjà commandé à plus de 600 000 exemplaires, il est principalement destiné aux pays où les moyens financiers, l'infrastructure électrique et l'accès à Internet ne permettent pas d'utiliser du matériel classique.

L'ordinateur en lui même s'appelle le XO, et il implémente un modèle de sécurité appelé BitFrost qui impose un certain nombre de principes adaptés aux utilisateurs et aux infrastructures dans lesquelles le XO est censé être utilisé.

À l'occasion de la conférence UPSEC (USENIX Usability, Psychology and Security), trois personnes ont publié un document qui analyse de façon pertinente les effets pervers de certaines des mesures de sécurité de BitFrost. Le document ne propose pas de solution magique, mais invite à réfléchir sur les implications et sur les manques du modèle BitFrost afin de le compléter ou de le faire évoluer en prenant en compte les différents sujets évoqués.