Un nouveau blog débute pour aborder la sécurité pour le grand public : Sécurité facile à domicile, ou SecuFD.
Son URL est facile à retenir : microsoft.fr/secufd.
Le blog est accompagné d’un Twitter : twitter.com/SecuFD.
Et n’oublions pas la page sécurité grand public “officielle” : www.microsoft.com/france/securite/particuliers/default.aspx
Longue vie à SecuFD !
En juillet dernier, Microsoft annonçait la mise à disposition du code source des drivers pour Linux dans l’environnement de virtualisation Hyper-V. Dans la pratique, la version 2.6.32 du noyau Linux contient maintenant les drivers pour les composants synthétiques d’une machine virtuelle Hyper-V, à savoir le VMBus, le stockage, et le réseau. Dans le détail, il s’agit des modules hv_vmbus, hv_storvsc, hv_blkvsc et hv_netvsc : ces modules sont décrits dans cet article.
Afin de sortir des configurations “supportées officiellement”, j’ai testé l’activation de ces modules dans le nouvel Ubuntu Server 10.4, fourni récemment avec le noyau 2.6.32. Pour cela j’ai trouvé cet article qui explique comment activer ces modules, et dont je m’inspire donc largement.
Dans un premier temps il faut faire en sorte que les modules Hyper-V soient chargés au démarrage. Pour ce faire, modifier le fichier /etc/initramfs-tools/modules et ajouter les 4 lignes suivantes :
hv_vmbus hv_storvsc hv_blkvsc hv_netvsc
Puis, mettre à jour l’image initramfs :
$ sudo update-initramfs –u
Enfin, configurer le réseau en modifiant le fichier /etc/network/interfaces de façon à configurer l’interface réseau nommée seth0. En effet, une carte réseau synthétique s’appellera sethn, au lieu de ethn pour la carte réseau “legacy”.
Par exemple pour une configuration DHCP, ajouter ceci dans /etc/network/interfaces :
auto seth0 iface seth0 inet dhcp
ou, pour une adresse IP statique :
auto seth0 iface seth0 inet static address adresse_ip netmask masque gateway adresse_passerelle
Il ne reste plus qu’à redémarrer, et à vérifier le bon chargement des drivers à l’aide de la commande :
$ lsmod | grep hv_
Pour mon test, j’ai utilisé Hyper-V de Windows Server 2008 R2, et Ubuntu Server 10.4 32 bits (ubuntu-10.04-server-i386.iso).
Etant donné que j’ai configuré la VM avec une carte réseau synthétique, celle-ci n’est pas détectée lors de l’installation. Ce n’est pas grave, elle le sera lorsque l’on aura effectué les étapes décrites précédemment après l’installation.
Sur ce message d’erreur, choisir <Continue>.
Une fois la machine virtuelle installée et démarrée, les étapes décrites ci-dessus sont assez simples à mettre en œuvre :
Après un redémarrage (sudo reboot), nous avons bien le réseau actif sur la carte synthétique seth0, ainsi que les autres drivers chargés :
Voilà de quoi exécuter des serveurs Linux sous Hyper-V avec des performances correctes. Reste à attendre l’intégration dans le noyau Linux des prochaines fonctionnalités (multi processeurs, synchronisation d’horloge et arrêt intégré) –ces fonctionnalités sont pour l’instant disponibles dans la beta des services d’intégration 2.1, pour SUSE Linux Enterprise Server et Red Hat Enterprise Linux.
Comme annoncé hier, un nouveau bulletin de sécurité hors cycle, concernant 10 vulnérabilités d’Internet Explorer, vient d’être publié :
L’avis 981374 Une vulnérabilité dans Internet Explorer pourrait permettre l'exécution de code à distance a été modifié en conséquence : cela concerne la vulnérabilité CVE-2010-0806, qui n’affecte que IE6 et IE7. La mise à jour corrige 9 autres vulnérabilités, et toutes les versions d’IE sont concernées, y compris IE8.
Voir également l’article du MSRC.
Patchez-vous bien !
Un bulletin de sécurité hors cycle concernant Internet Explorer sera publié demain 30 mars vers 19h :
http://www.microsoft.com/technet/security/bulletin/ms10-mar.mspx
La vulnérabilité en question concerne IE 6 et 7, et Internet Explorer 8 n’est pas affecté. Le MSRC a publié l’article suivant :
http://blogs.technet.com/msrc/archive/2010/03/29/internet-explorer-cumulative-update-releasing-out-of-band.aspx
La mise à jour corrigera la vulnérabilité décrite dans l’avis 981374 (en français, en anglais). D’autres vulnérabilités critiques signalées confidentiellement, sans rapport avec l’avis 981374, seront corrigées en même temps : cela concernera également IE8, donc tous les systèmes seront à mettre à jour.
Les vidéos des sessions des Techdays 2010 sont accessibles ici :
http://www.microsoft.com/france/vision/mstechdays10/
Voici celles de mes présentations :
Après un mois de févier quelque peu chargé, voici la livraison de mars, nettement plus légère.
Synthèse :
Détail des bulletins :
Un nouvel avis de sécurité a été publié en même temps :
Par ailleurs, le bulletin MS09-033 et l’avis 973811 ont été mis à jour.
Les composants d’intégration pour Linux ont été récemment mis à jour pour supporter Red Hat Enterprrise Linux. La liste des Linux supportés dans Hyper-V est maintenant la suivante :
Les composants sont à télécharger ici :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=c299d675-bb9f-41cf-b5eb-74d0595ccc5c
Les bonnes choses ont une fin, mais il reste les fichiers PowerPoint. Vous les trouverez ici :
Note : la session SEC108 "Maman j'ai rétréci les virus !" est une collaboration Stanislas Quastana, Cyril Voisin et moi-même.
Comme annoncé jeudi, février 2010 égale le record d'octobre 2009 avec 13 nouveaux bulletins de sécurité, dont 5 critiques.
Le fichier PowerPoint de ma première session “SEC109 Outils et ressources gratuites pour la sécurité” est disponible ici :
La suite à mercredi.
J’animerai et co-animerai 3 sessions cette année aux Techdays.
SEC109 Outils et ressources gratuites pour la sécurité lundi 8 février, 14h30
Découvrez les outils et les ressources sécurité mis à votre disposition gratuitement par Microsoft. Bulletins et avis, gestion des correctifs (WSUS, etc.), suppression des logiciels malveillants (MSRT), protection contre les malwares (Microsoft Security Essentials), prise en compte des risques (MSAT)...
SEC108 Maman j'ai rétréci les virus ! mercredi 10 février, 14h30
La suite de la session de la plus décalée des Techdays 2009 (Le virus est mort. Vive le malware !? voir http://tinyurl.com/ybg4hz9). Chut!! Ne le dites à personne sinon la salle va encore être pleine à craquer ! ;-)
Dans cette session, je ferai de la figuration aux côtés de Stanislas Quastana et Cyril Voisin. Non en fait, j’ai quelques démos aussi. Enfin, si on est prêt à temps.
SEC213 Sécurité des machines virtuelles mercredi 10 février, 16h
Bonnes pratiques pour la gestion des mises à jour pour les machines virtuelles : où l’on verra que les machines virtuelles sont des machines comme les autres.
En attendant, et c’est vraiment d’actualité pour mardi soir : patchez-vous bien !
Le bulletin de sécurité Internet Explorer a été publié aujourd’hui.
Détail du bulletin :
Tout le monde est au courant de la vulnérabilité Internet Explorer divulguée récemment.
Un bulletin de sécurité hors cycle sera publié ce 21 janvier, certainement en fin de journée.
Le préavis du bulletin est disponible à l’adresse :
http://www.microsoft.com/technet/security/bulletin/ms10-jan.mspx
Il va sans dire que l’application de cette mise à jour ne devrait pas poser une seule question.
Qu’est-ce qui fait la sécurité d’un OS ou d’un navigateur ? Je ne sais pas si la question a un sens, mais nous sommes bien placés pour constater que tout le monde a une opinion et que souvent elle se limite à “Windows et la sécurité ? Vous plaisantez ?”, “Vos patches menacent ma prod !” ou “J’ai un Mac, je ne cours aucun risque”.
Certes, je travaille chez Microsoft. Vous avez bien sûr le droit d’en déduire que je ne suis pas objectif ou que l’on me paie pour mentir. Je vois plutôt cela comme une indication que je connais mieux les produits et engagements Microsoft que les autres. Mais je me soigne ! J’utilise régulièrement la concurrence, qu’elle vienne de Cupertino, de Mountain View ou de Londres. Ou de Mountain View encore, mais de l’autre côté de l’autoroute… et je suis un grand partisan du libre choix.
Mon premier point est que je ne pense pas que la sécurité des produits se mesure en nombre de vulnérabilités. Jeff Jones a faits les comparatifs jusqu’à il y a environ un an, avec le résultat que l’on sait : Microsoft n’a pas à rougir, loin de là (n’est-ce pas, Oracle). Le problème est que même les mesures les plus objectives comme celles de Jeff Jones sont remises en cause, ou ignorées, par ceux qui refusent le résultat.
Non, l’important à mon avis est plutôt dans ce que l’éditeur met en place pour diminuer l’impact des bugs, et dans la façon dont il gère les vulnérabilités lorsqu’elles sont découvertes.
Mon second point est donc : étant donné que les bugs sont inévitables, que met-on en place pour que leur impact soit moins néfaste, ou pour qu’ils soient plus difficiles à exploiter ? Sur ce terrain, Windows et IE sont plutôt de très bons élèves, depuis Windows XP SP2, Windows Vista et IE7. Je ne citerai que quelques exemples de méthodes ou fonctionnalités qui me viennent à l’esprit :
Ces fonctionnalités répondent donc à trois objectifs :
Et ce n’est pas tout. Si vous avez des applications mal écrites ou anciennes, incompatibles avec ces mesures, vous pouvez, grâce à Windows Virtual PC et Windows XP Mode, les isoler dans leur propre environnement virtuel Windows XP.
Enfin, et c’est donc mon troisième point, que fait l’éditeur lorsqu’une vulnérabilité est découverte ? Microsoft est exemplaire sur ce sujet, le processus mis en place avec le Microsoft Security Response Center (MSRC) est largement reconnu pour son efficacité : veille, réponse, communication, investigation, les actions du MSRC sont nombreuses et vous pouvez en voir l’aspect le plus visible le deuxième mardi de chaque mois à l’occasion des bulletins de sécurité. Qui a de vraies histoires récentes de correctifs Microsoft ayant causé des problèmes dans sa production ? Quel autre éditeur a un cycle de mise à jour aussi régulier, prévisible et ouvert ?
Par exemple : lorsqu’un “0day” est découvert, le MSRC publie un avis et le met à jour avec des mesures de contournement, jusqu’à la publication d’un bulletin de sécurité et des mises à jour associées.
Je n’ai pas de réponse définitive à la question en titre, il y a sûrement d’autres critères importants, comme par exemple les fonctionnalités antimalware, antiphishing, antispam, la gestion d’identité, la crypto, la protection de la vie privée, ou les notions de simplicité, de standards et d’ouverture, difficiles à définir mais pertinentes… Sans compter l’évolution de toutes ces notions dans un contexte de cloud et de profonde mutation de la notion de poste et de serveur, mais c’est peut-être une autre histoire… Sans doute pour 2010 !
Bonnes fêtes !
[2009-12-18, 17h30 : nombreuses corrections de fautes (!) et quelques précisions]
[2009-12-21 : réécriture du paragraphe 3 ]
Concernant le 0day en cours sur les produits Adobe... L'avis d'Adobe indique quelque chose d'intéressant :
Customers using Microsoft DEP ("Data Execution Prevention") functionality available in certain versions of Microsoft Windows are at reduced risk in the following configurations: All versions of Adobe Reader 9 running on Windows Vista SP1 or Windows 7 Acrobat 9.2 running on Windows Vista SP1 or Windows 7 Acrobat and Adobe Reader 9.2 running on Windows XP SP3 Acrobat and Adobe Reader 8.1.7 running on Windows XP SP3, Windows Vista SP1, or Windows 7 With the DEP mitigation in place, the impact of this exploit has been reduced to a Denial of Service during our testing.
Customers using Microsoft DEP ("Data Execution Prevention") functionality available in certain versions of Microsoft Windows are at reduced risk in the following configurations:
With the DEP mitigation in place, the impact of this exploit has been reduced to a Denial of Service during our testing.
Si ce facteur d’atténuation s’avère vrai, c'est un bel exemple d’une vraie fonctionnalité de sécurité de Windows (DEP) qui diminue l'impact de bugs de sécurité, y compris dans des produits tiers (Adobe Reader utilise DEP par défaut depuis la version 9.0 en juillet 2008).
Pour aller plus loin vous pouvez également tester l’outil EMET (Enhanced Mitigation Evaluation Toolkit).
Lorsque l’on est soucieux de sa vie privée, on évite d’effectuer des recherches (que ce soit sur Bing ou sur Google) en étant authentifié avec le service correspondant, afin que le moteur de recherche ne puisse pas lier vos recherches à votre compte. Par exemple dans Bing, si mon nom apparait en haut à droite de la page comme ceci...
...je clique sur sign out pour me déconnecter avant d’effectuer ma recherche.
Il en était de même sur la page d’accueil de Google. Seulement celle-ci vient d’être remaniée la semaine dernière :
La page, esthétiquement très réussie, est dépouillée à l’extrême : aucun texte n’apparait, seuls le logo, la zone de saisie et les deux boutons sont visibles. Si vous déplacez votre souris par dessus la fenêtre du navigateur, les textes et options apparaissent, et en particulier la ligne en haut de la fenêtre, indiquant si vous êtes authentifié ou non :
Donc si l’on ne bouge pas sa souris sur la fenêtre du navigateur, on ne sait pas si l’on est authentifié ou non ! De là à penser qu’il s’agit d’une manœuvre pour augmenter la part de recherches authentifiées, je ne m’y risquerai pas, mais personnellement je suis gêné de ce procédé.
Vérifiez toujours si vous êtes authentifié avant de faire une recherche !
Les commentaires fusent sur l’attaque de BitLocker présentée par le Fraunhofer Institute for Secure Information Technology (SIT) ici :
2009-12-03 Attacking the BitLocker Boot Process (document PDF)
Quelle est cette attaque ? Il s’agit d’une attaque dite Evil Maid Attack, ou femme de ménage malveillante (ne cherchons pas une traduction littérale pour cette fois). Il faut reconnaître à Joanna Rutkowska l’antériorité sur l’expression Evil Maid Attack, puisqu’elle introduisit cette notion dans un article de janvier 2009 :
2009-01-21 Why do I miss Microsoft BitLocker?
Remarque : dans cet article Joanna Rutkowska écrivait que BitLocker n’était pas vulnérable à cette attaque, ce qui vient d’être infirmé par le papier du Fraunhofer SIT.
En octobre dernier, elle implémente cette attaque contre TrueCrypt :
2009-10-16 Evil Maid goes after TrueCrypt!
Ce qui est commenté par Bruce Schneier une semaine plus tard :
2009-10-23 "Evil Maid" Attacks on Encrypted Hard Drives
Et nous voici aujourd’hui avec cette attaque réussie sur BitLocker. De quoi s’agit-il donc ?
Le principe est assez simple, mais la mise en œuvre l’est moins : lorsque vous utilisez un système de chiffrement de disque, vous devez entrer au démarrage un mot de passe ou un code PIN pour débloquer la clé de chiffrement. L’attaquant, que nous appellerons EMily (EM comme Evil Maid…) doit avoir accès physique à votre PC deux fois.
(1) EMily accède au PC et injecte l’attaque sur la partition active (partition en clair). Le code de l’attaque consiste en un MBR et un fichier sur la partition en clair. Notez déjà que pour ce faire, le PC doit pouvoir démarrer sur la clé USB ou le CD d’EMily, ou EMily doit extraire le disque.
EMily replace le PC à sa place, éteint.
(2) le propriétaire, vous, démarrez le PC normalement. Lorsque BitLocker vous demande votre PIN, vous le saisissez normalement. Le PC redémarre sans prévenir, (tiens, c’est étrange mais bon…), vous entrez à nouveau votre PIN et le PC démarre normalement.
C’est le code d’EMily qui vous a demandé le PIN, en imitant l’écran de saisie de BitLocker (bootmgr). Il l’a ensuite enregistré quelque part sur la partition en clair, puis a rétabli le MBR d’origine, supprimé toute trace de code étranger, et a redémarré le PC. Au redémarrage, BitLocker fonctionne correctement et le code PIN permet de débloquer la clé, puisque rien n’a changé dans le code de boot. Seulement entre temps, le code PIN a été stocké en clair sur le disque.
(3) Enfin, EMily doit à nouveau mettre la main sur votre PC et récupérer le PIN sur le disque.
Que peut faire EMily une fois qu’elle a votre code PIN ? Elle peut démarrer le PC. Mais, comme BitLocker lie la clé de chiffrement au TPM du PC, elle aura besoin d’une autre attaque pour accéder au disque : attaque de la mémoire (cold boot, DMA) pour y trouver la clé FVEK de BitLocker, attaque réseau… L’attaque n’est pas terminée : la protection est simplement revenue au niveau de ce qu’elle est en mode “TPM seul”.
Au final, nous avons là une méthode caractéristique d’une attaque très ciblée : il y a nécessité de deux accès à la machine cible, donc d’une sérieuse préparation. BitLocker est conçu pour protéger les données lors du vol d’un ordinateur portable. Point. Le scénario Evil Maid est efficace quel que soit le système de chiffrement utilisé : il serait certes intéressant et pertinent de le prendre en compte dans Windows, pour couvrir les… 0,001% des cas non couverts par BitLocker (environ :)).
En attendant, je vous conseille vivement la lecture du Data Encryption Toolkit for Mobile PCs –et dormez tranquilles, vos données chiffrées avec BitLocker ne seront pas accessibles en cas de vol.
Pour une réponse “officielle” à ce sujet, voir l’article de Paul Cooke : Windows BitLocker Claims.
Six nouveaux bulletins de sécurité ont été publiés aujourd’hui, dont 3 critiques et 3 importants.
Détail des bulletins de ce mois :
Une lecture a retenu mon attention ce soir, à quelques jours du prochain Patch Tuesday de Microsoft, dernier de la décennie de l’année(1) :
Hackers view the holiday season as the ideal time for hacking business computer systems
Cet article soulève un point intéressant : la période des fêtes de fin d’année est une période d’activité privilégiée des “hackers” à la recherche de proies faciles sur Internet : vos réseaux, vos sites web, vos postes de travail. Malgré une étrange insistance à réduire la sécurité au paramétrage de firewalls, l’article a le mérite de rappeler que cette période est particulièrement critique pour plusieurs raisons.
Les sites de commerce font ce mois-ci une part plus qu’importante de leur chiffre d’affaires annuel. Le trafic et le revenu est tel que tous les efforts de supervision doivent être concentrés sur les quelques systèmes vitaux, au détriment peut-être d’autres points d’entrée plus discrets.
Deuxième point : pour les mêmes raisons, le cybercriminel maître-chanteur au DDOS aura sans aucun doute très peu de mal à convaincre sa victime de payer rapidement... et discrètement.
Enfin, et c’est le plus inquiétant car la solution existe mais n’est pas mise en œuvre : tous les réseaux d’entreprise sont en “freeze” en fin d’année. Que ce soit en raison du pic d’activité commerciale ou des opérations annuelles comme les clôtures de comptes, les serveurs applicatifs ne sont pas patchés pendant au moins un mois. Mardi 8/12, dans 3 jours, Microsoft publiera 6 bulletins de sécurité dont 3 critiques. Que feront les entreprises les plus exposées ? Rien. Comme d’habitude en décembre. Et c’est bien dommage.
(1) Trop pressé d’en finir avec cette décennie, j’oubliais que les périodes comme les décennies, siècles et autres millénaires commencent les années en 1 et se terminent les années en 0. Merci Stéphane pour le rappel.
Par ailleurs les bulletins MS09-045 et MS09-051 ont été mis à jour.
Le 7ème rapport Microsoft sur les données de sécurité a été publié il y a quelques jours :
Parmi les recommandations énoncées (page 166) nous retrouvons notre vieille amie la gestion des mises à jour de sécurité. C’est l’occasion d’indiquer le guide : The Microsoft Security Update Guide, qui sera publié en français d’ici peu. Ce qui me rappelle… Prêts pour demain ?
Depuis que nos politiques s’intéressent à l’informatique et à l’internet, le spectacle est plutôt amusant. Mais lorsque la politique rejoint l’éducation, là, on rigole franchement. Voici donc ce que j’ai découvert aujourd’hui... Je n’en reviens toujours pas.
Dans ma lointaine banlieue, des élèves de Seconde ont reçu dans leur lycée un cadeau de la région Île de France, sous la forme d’une magnifique boîte métallique à leur logo abritant une clé USB de 2 Go et un porte-clés, accompagnés de cette carte :
Cette clé, éditée par la société Mostick, est un “bureau mobile” : elle contient des applications en versions “portables”, exécutables sur place sans installation et sans laisser de trace sur le PC. Principe intéressant : l’utilisateur a ses applications et ses données dans sa poche, et peut y accéder sur tout PC.
Mais la dernière phrase de la carte laisse songeur : “Si vous utilisez VISTA, AUTORISEZ l’exécution des programmes”. On peut craindre le pire, et en effet, un rapide test le démontre :
Le programme start.exe dans la racine de la clé nécessite les privilèges d’administrateur :
Ce programme n’est pas signé : on doit autoriser un programme d’origine inconnue à s’exécuter avec tous les droits sur le système.
Tous les programmes qui seront à leur tour exécutés par start.exe hériteront du même contexte, donc des mêmes privilèges.
Mais ils ne s’arrêtent pas là, puisqu’ils incluent une version vulnérable de Firefox, la version 3.5.1.
Au final, nous avons affaire à un système qui nécessite que les adolescents aillent sur Internet avec tous les privilèges d’administrateur et des applications vulnérables... Bravo ! Je suppose que les auteurs exécutent Firefox 3.5.1 en tant que root sous Linux.
La société Mostick écrit dans son petit texte de présentation, qui ne manque pas d’humour : “un contenu socialement responsable issu de l’informatique éthique”. Puis “des logiciels stables, compatibles, ergonomiques et sécures”. J’en reste coi.
J’étais en train de travailler sur le format des fichiers VHD à partir de la documentation publique, lorsque je suis tombé sur un détail amusant : les nombres dans ce format sont stockés en big-endian. C’est à dire en commençant par le poids fort… C’est à dire qu’un nombre de 4 octets valant 0x12345678 est stocké de cette manière : 12 34 56 78. Alors que sur les plateformes Intel on a plutôt l’habitude de la notation little-endian, c’est à dire 78 56 34 12.
Cette singularité m’est apparue lorsque j’ai décodé la daté de création d’un VHD quelque part en 2011… Une inversion des octets m’a vite donné le bon résultat en 2009.
Ci-dessus, la date de création du VHD est à l’offset 0x0018, en nombre de secondes depuis le 1/1/2000 0:00 GMT. Je vous laisse faire le calcul (merci Excel) :-).
Après vérification, il s’avère que c’est précisé dans la documentation :
All values in the file format, unless otherwise specified, are stored in network byte order (big endian).
Je suppose que la raison de cela est que Connectix, à qui Microsoft a acheté la technologie Virtual PC et Virtual Server en 2003, a commencé par des produits sur Mac, sans doute sur processeur PowerPC.
Etonnant non ?
Aujourd’hui 22 octobre 2009 marque la sortie officielle de Windows 7. Pour la première fois, une version de Windows nécessite moins de capacité matérielle que son prédécesseur pour fonctionner : c’est là son aspect le plus “visible”, outre une interface utilisateur plus aboutie. Mais deux points m’importent le plus :
La sécurité de Windows 7 est bâtie sur les fondamentaux de Windows Vista, qui marquait une évolution majeure dans ce domaine. Par exemple : UAC, BitLocker, etc. ont été développés et améliorés.
La virtualisation devient un composant incontournable, en la présence de Windows Virtual PC et Windows XP Mode, qui résolvent élégamment les problèmes de compatibilité en entreprise.
Informations sur Windows 7 :
http://www.microsoft.com/france/windows/
Téléchargement de Windows Virtual PC et Windows XP Mode :
http://www.microsoft.com/windows/virtual-pc/download.aspx
Grosse livraison pour ce mois d’octobre, puisque nous avons droit mardi prochain à 13 bulletins de sécurité, dont 8 critiques :
http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx
Les postes de travail et les serveurs, y compris les serveurs applicatifs, sont concernés, puisque les bulletins concernent Windows, IE, Office, Silverlight, SQL Server, les outils de développement et Forefront Client Security.