Category: Sécurité

Chrome de Google, attention à vos droits !

Chrome, je pense que presque tout le monde le sait, est le nouveau navigateur développé par google. Il est rapide, sécurisé, simple d’utilisation et surtout pratique pour Google !

Si l’on prend la peinde de lire la licence de Chrome (qu’il est nécessaire d’accepter pour utiliser le logiciel) on découvre des choses hallucinantes :

Vous conservez les droits d’auteur et tous les autres droits en votre possession vis-à-vis du Contenu que vous fournissez, publiez ou affichez sur les Services ou par le biais de ces derniers. En fournissant, publiant ou affichant le contenu, vous accordez à Google une licence permanente, irrévocable, mondiale, gratuite et non exclusive permettant de reproduire, adapter, modifier, traduire, publier, présenter en public et distribuer tout Contenu que vous avez fourni, publié ou affiché sur les Services ou par le biais de ces derniers.

Comment dire simplement, vous donnez un droit d’usage illimité à Google sur l’ensemble des documents et textes passant par le navigateur. Imaginons par exemple que JK Rowling envoie la suite cachée de Harry Potter par webmail à son éditeur en utilisant Chrome. Elle accorde donc gratuitement à google le droit de traduction, publication de l’ouvrage. Pratique !

Mais rassurons-nous en lisant la fin de cette article 11.1 :

Cette licence a pour seul but de permettre à Google d’afficher, de distribuer et de promouvoir les Services et peut être révoquée pour certains Services, selon les dispositions des Conditions supplémentaires applicables à ces Services.

Je suis tout rassuré d’un coup.

Journée utilisateurs du Netfilter Workshop

La journée utilisateurs du Netfilter Workshop aura lieu à Paris le 29 septembre 2008. Cette journée prendra la forme d’une série de conférences sur Netfilter. Les sujets seront variés allant de la description de l’utilisation de Netfilter chez un ISP dannois à la présentation par David Miller (maiteneur de la couche réseau de Linux) ou Patrick McHardy (Leader du projet Netfilter) de leurs derniers développements.

Je donnerai d’ailleurs lors de cette journée une conférence sur ulogd2, la nouvelle infrastructure de journalisation de Netfilter.

L’événement aura lieu dans les locaux de l’ESIEA dans le 13ème arrondissement de Paris. L’accès est libre et une inscription est demandée.

Lutter contre la faille DNS avec Netfilter

La découverte récente d’une méthode permettant d’exploiter des failles dans la plupart des implémentations DNS à fait beaucoup de bruits. J’en tiens pour preuve des articles dans ZDNET (Colmatage d’une faille de grande envergure sur les serveurs DNS), Le Monde et les échos.

Si l’on étudie ce qu’écrit le CERT dans l’article Multiple DNS implementations vulnerable to cache poisoning, une méthode de contournement de la faille consiste à rendre aléatoire le port source utilisé pour les requêtes DNS.

Lors de recherches faites sur le bloquage de Skype, j’avais implémenté la traduction d’adresse avec attributions de port source aléatoire dans Netfilter et Iptables. Cette modification avait été faite pour empêcher l’établissement de connexions directes entre deux machines situés derrière des routeurs malgré la traduction d’adresse. Cette fonctionnalité est disponible dans Linux depuis le noyau 2.6.21. Elle peut-être utilisée pour lutter contre la faille DNS.

Si les serveurs DNS relais ou les clients se trouvent derrière votre pare-feu Netfilter, il suffit de rajouter la règle de NAT suivante :

iptables -I POSTROUTING -t nat -p udp --dport 53 -j SNAT --to IP --random

Netfilter va alors rendre aléatoire le port source des connexions DNS tel qu’il est vu derrière la passerelle (et donc pour le monde extérieur) luttant ainsi contre les attaques de cache poisonning.

Présentation de ulogd2 et nf3d au SSTIC 2008

J’ai présenté Ulogd2 et nf3d lors de la rump session du SSTIC 2008.
Après une brève introduction sur l’architecture de ulogd2, j’ai montré le résultat de mon travail sur la visualisation des connexions et des paquets loggués, nf3d.
Les slides sont disponibles.

Je me rend compte que je n’ai pas encore parlé de nf3d ici. Il s’agit d’un logiciel représentant sur une vue 3D les connexions Netfilter et les paquets loggués. Comme une image vaut mieux qu’un long discours :




Les cylindres représentent les connexions et les sphères les paquets loggués. L’axe des X est le temps et l’axe des Y indique la succession des connexions. Chaque paquet est représenté sur la connexion dont il est issu.

Wolfotrack ou comment gérer les connexions de Netfilter

Après des années de développements acharnés, l’interface ultime de gestion du suivi de connexions de Netfilter est enfin disponible :


Wolfotrack, c’est son nom, est une interface de gestion du suivi de connexions basé sur wolfeinstein 3D. Chaque soldat réprésente une connexion et pour tuer une connexion, il suffit de tuer le soldat correspondant.

Interview dans le cadre des RMLLs

Je vais donner une conférence sur NuFW et les interactions entre espace utilisateur et noyau dans Netfilter lors des rencontres mondiales du logiciel libre 2008 à Mont-de-Marsans.

Dans ce cadre, Christophe Brocas m’a gentillement interviewé par mail. L’interview est en ligne sur le site des RMLLs : Interview Éric Leblond.

À noter qu’une interview de l’excellent Pablo Neira est elle aussi disponible sur le site.

Spam et astuce d’affichage

J’ai reçu ce spam qui semblait à première vue avoir complètement passé indemne mes logiciels anti-spams. Le sujet notamment n’était pas taggué *SPAM*. Enfin, je ne voyais pas qu’il était taggué :

Received: by d10.nt.com (Postfix, from userid 0)
id D73C21E4490; Thu, 24 Apr 2008 23:03:13 +0200 (CEST)
To: XXXXXXXX@XXX.fr
Subject: Invitation XXXXXXXX 2008
Date: Thu, 24 Apr 2008 23:03:13 +0200
From: SPAMMER <noreply@mailing.spam.com>
Message-ID: <67190e93d75ec77aea41896d6c6d6f89@localhost.localdomain>
X-Priority: 3
X-Mailer: EmailingSoft Powered [version 1.73]
MIME-Version: 1.0
Content-Type: text/html; charset=”iso-8859-1″
Content-Transfer-Encoding: quoted-printable
X-Spam-Score: 7.7 (+++++++)
Subject: *SPAM* Invitation XXXXXXXXX 2008

En mettant le sujet en double, le spammer a réussi à profiter d’une différence de traitement entre le logiciel anti spam et le lecteur de mail. Encore une dépense d’énergie et d’intelligence bien utile…

Cisco en avance sur le poisson d’Avril et Halloween

La companie Cisco, leader des équipements réseau, a le sens de l’humour mais a aussi un problème de calendrier. Elle a en effet annoncé qu’à partir du 26 mars, les correctifs de sécurité sur IOS ne seront publiés que deux fois par an, les 4eme mercredi du mois de mars et de septembre. À mon avis, ils devaient vouloir sortir l’annonce le premier avril pour faire une blague à leurs utilisateurs. J’imagine en effet Renault annoncer :

On ne vous préviendra que deux fois par an si nos voitures sont susceptibles d’exploser.

Cisco fait la même chose mais précise tout de même dans le communiqué:

Si un groupe terroriste ou quelqu’un d’autre déclenche les explosions en rafale, on vous préviendra rapidement en faisant une annonce exceptionnelle.

On est dans le grandiose, dans la victoire du marketing sur le bon sens. Cisco fait en effet pire que Microsoft qui réalise les mises à jour tous les premiers mardi du mois. De 12 annonces par an, on passe à 2. C’est prodigieux, surtout si l’on considère que le fonctionnement de la majeure partie d’internet est assuré par les équipements du fabriquant.

Voilà donc pour le côté poisson d’avril, passons donc maintenant à Halloween. Cette fois-ci, l’avance est encore plus conséquente, Cisco a en effet décidé de nous faire très peur en annonçant une énorme faille de sécurité. L’un de leur logiciel fournit lorsqu’il est lancé un accès à distance permettant à n’importe qui de prendre le contrôle de la machine. Cette faille qui ressemble pour moi à une malveillance, étonne tout le monde par sa gravité.

Je propose donc à Cisco si l’entreprise souhaite continuer à faire deux annonces de sécurités par an de changer la date en utilisant:

  • Le premier avril pour les annonces distrayantes
  • Halloween pour les problèmes graves

Mais la logique et le bon sens sont sauf si l’on reprend le communiqué de Cisco :

Cisco is adopting this approach in response to extensive feedback from customers, who seek further predictability for support planning and deployment cycles.

soit en français :

Cisco adopte cette approche en réponse à des retours fréquents de ses clients, qui demandent plus de prédictibilité pour la planification et le déploiement des correctifs.

Ce qui donne en clair :

Monsieur, c’est quand l’apocalypse ?

Les 4ème mercredi de mars et de septembre…

Windows Onecare aime les documents openoffice ?

Une source qui me semble digne de confiance m’a indiqué hier que l’antivirus Wndows Onecare se mettrait depuis quelques temps à reconnaitre les documents OpenOffice.org comme des documents contenant des virus.

Il est vrai que OneCare a besoin d’améliorer son taux de détection, mais cela serait tout de même un peu fort. En tout cas, ce n’est pas la première fois qu’une telle chose se produit puisque Gmail a déjà été pris pour un virus.

Les logiciels libres et la confiance

J’ai donné une conférence lors de la Journée Logiciels libres et sécurité organisée par le Cetril. Cela m’a permis d’assiter à la conférence de Nat Makarevitch sur la sécurité des systèmes basée sur des logiciels libres. Il a relevé avec justesse l’augmentation des attaques sur les sources de certains logiciels libres et la tentative d’inclusion de backdoor. Une des meilleures solutions à ce problème repose sur la signature gpg des archives et des paquets des distributions ce qui permet de garantir la provenance des données téléchargées.

Cependant, la signature d’un paquet sur une distribution ne garantit pas que les sources à partir duquel il a été compilé étaient saines. Le problème de la confiance est donc juste décalé. Il semble donc important que les développeurs systématisent la signature des archives mises à disposition sur leur site. Une lacune reste alors à combler : le modèle de confiance de gpg étant basé sur les cercles de confiance (qui impose une rencontre physique), il parait difficile de parvenir à constituer des liens suffisamment proches entre les développeurs et les distributeurs pour garantir la validité des signatures.

Dans le contexte d’une distribution comme Debian comportant un nombre très important de développeurs, il semble envisageable de parvenir à constituer un tel cercle si cela devient un mot d’ordre au sein des développeurs. Pour des distributions ayant moins de contributeurs, la tâche semble plus ardue.