Orange va débrancher le réseau X25
Le protocole de transmission X25, utilisé pour l’infrastructure du Minitel, ne sert plus guère. Il sera remplacé par un VPN IP et son exploitation arrêtée en septembre 2011.
Archives de catégorie : Internet
Mauvaise semaine pour le monde de la sécurité
Deux nouvelles d’importances dans la lutte constante entre Pirates et Hommes de la sécurité : en effet, d’un côté l’on apprend qu’il y a de nouveau une faille dans le chiffrage quantique réputé inviolable. Si la méthode n’est toujours pas remis en cause (l’observation de la clé détruit celle ci et informe donc le destinataire de la corruption), la mise en pratique est toujours aussi complexe et sujette à piratage. Cette fois, il s’agit de l’émetteur qui, après être ébloui par un signal lumineux puissant, accepte la réinjection de la clé piraté et détruite. Normalement cette injection est impossible car il faut utiliser la même polarisation que l’émetteur – hic : après éblouissement, la photodiode réceptrice accepte tous types de polarisation.
A ce propos, lire cet article sur 01netPro…
Deuxième mauvaise nouvelle dans le monde de la sécurité, la clé RSA de 768 bits à été craqué. Il a fallu quand même 1 à 1700 cœurs sur 425 machines et 12 mathématiciens / chercheurs pour casser cette clé de 232 caractères. Casser le chiffrement RSA 1024 bit devrait prendre de 3 à 4 ans. Une clé de 2048 bits est donc maintenant recommandée pour garantir l’inviolabilité de ‘l’information (mais pour combien de temps ?)
Lire cet article à ce propos sur 01netPro…
Le cryptage quantique n’est plus inviolable
Merci à Benoit Minvielle (Hirschmann France) pour le lien vers cet article…
Alors que la loi Hadopi impose l’obligation de sécuriser sa connexion Wi-Fi, un groupe de travail emmené par le professeur Johannes Skaar a démontré que même le cryptage quantique n’était pas parfait. Si la technique reste inviolable, en revanche le matériel ne l’est pas.
Graal de la sécurité informatique, la cryptographie quantique repose sur la mise en œuvre de la mécanique quantique afin de préserver la confidentialité et l’intégrité des données. Réputé inviolable, ce protocole technique a des retombées potentiellement énormes, notamment dans les domaines militaire et commercial. En effet, les différentes armées occidentales tiennent à sécuriser leur transmissions tandis que banques et sites commerciaux veulent assurer à leurs clients une protection complète.
Or, le groupe de travail de l’université norvégienne de sciences et de technologie dirigé par le professeur Johannes Skaar ont trouvé une méthode pour contourner le cryptage quantique. Car si la technique en elle-même est théoriquement inviolable, le matériel lui ne l’est pas. Et ce sont justement ces failles qui sont exploitées par les scientifiques.
Dans sa présentation, l’équipe explique s’appuyer sur une technique d’aveuglement des détecteurs de photons permettant d’obtenir la clé secrète sans jamais se faire détecter. Selon eux, cette procédure n’est absolument pas théorique puisqu’ils ont conçu un dispositif d’écoute et attaqué avec succès leur propre matériel de cryptage quantique.
Et pendant ce temps là, la loi Hadopi impose une obligation de sécuriser son accès à Internet…
Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com
DNSSEC sur les serveurs racine de l’Internet
C’est parti ! L’Icann, l’organisme qui gère les noms de domaine, et l’opérateur VeriSign ont décidé de mettre les bouchées doubles dans l’implémentation du protocole DNSSEC (DNS Security Extensions) avec, à la clé, une feuille de route précise pour le déploiement sur les serveurs racine. Ensuite, Verisign implémentera ce protocole sur les domaines .com et .net, dont il est responsable.
DNSSEC est un protocole qui, grâce à un système de signature électronique, permet de vérifier l’authenticité de la réponse d’un serveur DNS. Son fonctionnement est hiérarchique. Chaque serveur d’une zone DNS (.fr, .com, inria.fr, etc.) disposera d’une paire de clés de signature à chiffrement asymétrique, appelée Zone Signing Keys (ZSK). L’une des clés est publique, l’autre privée. Cette dernière sert à signer les données DNS que délivre le serveur de zone. Un client DNS qui reçoit une réponse signée d’un de ces serveurs pourra déchiffrer la signature au moyen de la clé publique et vérifier, ainsi, la provenance et l’intégrité des données.
Pour autant, ce système de clés ne permet pas de savoir à 100 % si le serveur lui-même est réellement digne de confiance : un usurpateur pourrait se substituer à lui et diffuser ses propres ZSK. C’est pourquoi les serveurs de zone disposent d’une deuxième paire de clés asymétriques. Appelées Key Signing Keys (KSK), elles servent à signer les ZKS des zones inférieures (01net.com, afnic.fr, etc.), créant ainsi une chaîne de confiance sur l’ensemble des URL. Un navigateur n’obtiendra la confiance d’une zone de niveau n (01net.com), que s’il a obtenu la confiance des zones de niveau supérieur (.com).
Une paire de clés maître pour sécuriser tout l’Internet
Continuer la lecture de DNSSEC sur les serveurs racine de l’Internet
Casser PGP sur Amazon Web Services
Pour les hackers aussi, le cloud computing ouvre de nouvelles perspectives intéressantes, comme le montre le cabinet de conseil en sécurité Electric Alchemy. A la demande d’un client, cette société américaine a voulu trouver le mot de passe d’un fichier ZIP chiffré en PGP (Pretty Good Privacy). Elle a donc installé, sur un PC Windows 7 à double cœur, le logiciel Distributed Password Recovery de l’éditeur russe Elcomsoft, qui permet de trouver des mots de passe par attaque en force brute (c’est-à-dire en testant toutes les combinaisons possibles).
D’abord, ce fût la déception : le logiciel a indiqué un délai de 2 100 jours pour casser le chiffrement, soit plus de cinq ans. Electric Alchemy a donc commencé à déployer des instances Elcomsoft sur Amazon Web Services. Avec une dizaine de machines virtuelles en option high CPU, le délai s’est retrouvé ainsi réduit à 122 jours. Avec un tarif horaire de 30 cents par instance virtuelle, le coût total de l’attaque est, dans ce cas, de 8 784 dollars.
Dix millions de dollars pour casser 10 caractères
Mais pas de panique, il ne s’agit là que d’un exemple. Cette attaque s’est révélée relativement peu onéreuse car le mot de passe en question était simple. Le cabinet a réitéré toute une série d’attaques par force brute sur différents types de mot de passe. Conclusion : même en utilisant Amazon Web Services, il faudrait dépenser 10 millions de dollars pour casser un mot de passe d’une longueur de 10 caractères ASCII.
Correctif chez Cisco pour protéger ses routeurs contre des attaques DOS
Cisco a proposé cette semaine un patch afin de mettre à jour ses routeurs et ses commutateurs contre des attaques par Déni de Service (DOS ou Denial Of Service).
La faille permet aux hackers de manipuler l’état des connexions TCP, selon Cisco. Conséquence, la connexion TCP peut rester active longtemps, voire indéfiniment. En conservant suffisamment de connexions TCP actives, cela consomme des ressources sur la machine, empêchant d’ouvrir de nouvelles connexions TCP, aboutissant à un début de DOS.
Le bug avait été découvert il y a un an, par un fournisseur de sécurité suédois. Les produits concernés sont :
– les routeurs et les commutateurs fonctionnant sous IOS, IOS-XE, et CatOS,
– les appliances ASA et Cisco Pix dans leurs versions 7.0, 7.1, 7.2, 8.0 et 8.1,
– certaines configurations de produits sous NX-OS tels que les commutateurs Nexus 5000 et 7000,
– les produits de Scientific Atlanta (modem câbles) et Linksys (produits pour la maison et les PME).
60 secondes pour casser le WPA du WiFi
C’est ce qui s’appelle mettre les bouchées doubles. Les chercheurs japonais Toshihiro Ohigashi et Masakatu Morii viennent de montrer une nouvelle technique qui permet de briser le chiffrement WPA/TKIP des communications Wi-Fi en une minute, montre en main.
Cette nouvelle technique s’appuie sur l’attaque dite de « Beck-Tews », qui a été découverte en novembre 2008 par deux chercheurs allemands et qui permettait déjà d’intercepter en clair quelques paquets Wi-Fi et de les modifier.
Plus rapide et mieux applicable
En couplant cette technique avec une interception de type « man-in-the-middle » (1), les deux Japonais arrivent à réduire le temps d’exécution de l’attaque de quinze minutes à quelques minutes, voire à seulement soixante secondes.
Ils arrivent également à élargir le cadre d’application. L’attaque Beck-Tews ne fonctionnait qu’avec des équipements supportant certaines fonctions de qualité de service du WPA. Toshihiro Ohigashi et Masakatu Morii, au contraire, sont capables de cibler toutes les implémentations du WPA/TKIP. Les deux chercheurs donnent les détails de leur attaque dans un article scientifique.
Il faut souligner que le chiffrement basé sur WPA/AES ou WPA2 n’est pas concerné par cette attaque. Les entreprises qui utilisent des réseaux Wi-Fi ont donc tout intérêt à délaisser le WPA/TKIP et à s’orienter vers ces deux technologies alternatives.
Origine et histoire de Internet
Une histoire de stratégie
Pour percer les mystères de la Toile, il faut étudier son fonctionnement technique. Parmi la multitude de technologies employées dans Internet, quelles sont celles qui sont réellement fondamentales ? Une fois celles-ci identifiées, il est plus facile de comprendre qui est aux manettes. Internet n’est pas le fruit du hasard, mais bel et bien le résultat du travail de chercheurs, d’informaticiens, dont le but était l’interconnexion de machines. Et pour tout dire, il s’agit de l’évolution d’une réalisation militaire américaine. La volonté de faire communiquer entre eux des ordinateurs distants de chercheurs remonte au début des années 1960, et a été initiée par la Darpa (Defense Advanced Research Projects Agency), le service des recherches avancées du département de la Défense américain. Les axes de recherche étaient d’ailleurs très notablement influencés par des considérations militaires : dans les réflexions initiales, on retrouve les traces de la volonté de mettre au point un système de communication capable de se maintenir, même en cas d’attaque nucléaire. Le projet de la Darpa aboutit à la mise en place d’un réseau décentralisé nommé Arpanet.
Petit à petit, des universités furent incluses dans le projet, participant au développement de ce premier grand réseau informatique. Toujours sous la houlette de la Darpa, cet Internet naissant va petit à petit être géré par la National Science Foundation (NSF), une agence gouvernementale américaine dédiée au soutien de la recherche scientifique fondamentale, à partir de 1977. Mais les liens avec l’administration militaire américaine restent extrêmement forts : si la NSF aide au développement du réseau, sa gestion au quotidien relève de l’Internet Assigned Numbers Authority (IANA), un service de la Darpa.
Internet devenant de plus en plus ouvert, interconnectant de plus en plus de réseaux civils, les militaires américains décident, en 1983, de s’en détacher pour créer Milnet, leur propre réseau. Pour s’occuper du développement de l’Internet civil, c’est alors la National Telecommunications and Information Administration (NTIA) qui prend la main, une agence gouvernementale dépendant du département du Commerce, le ministère du Commerce.
L’importance de plus en plus grande d’Internet, l’apparition de plus en plus d’acteurs, d’organismes chargés de définir des normes, de sociétés commerciales opérant des services commerciaux basés sur Internet, a abouti à une très forte pression sur l’administration Clinton afin qu’Internet ne soit plus sous la houlette du seul gouvernement. En 1998 est créée l’Internet Corporation for Assigned Names and Numbers (Icann). Il s’agit d’une société privée, de droit californien, qui a repris le rôle du NTIA et qui, surtout, exerce ce que l’on appelle aujourd’hui la fonction IANA, absolument fondamentale : par l’exercice de cette fonction, l’Icann décide de tout ce qui touche à l’attribution des noms de domaine dans le monde entier…
Une histoire de noms
Finalement, Internet se résume à un mode de communication entre ordinateurs sur un réseau. Ce qui n’est pas une mince affaire ! Il faut établir un langage précis, s’assurer que tous les ordinateurs le comprennent, éviter les situations cacophoniques où tout le monde se parlerait en même temps, etc. Bien sûr, afin que les ordinateurs puissent communiquer, ils doivent en premier lieu pouvoir s’identifier. C’est la base même d’Internet : tous les ordinateurs doivent disposer d’une adresse IP, un identifiant unique, qui prend la forme d’une série de quatre nombres séparés par un point. Mais voilà, il faut impérativement que les adresses soient véritablement uniques : il serait impossible de se connecter à un site Web avec un navigateur si son adresse IP renvoyait vers des dizaines d’ordinateurs disséminés dans le monde. Il faut donc veiller à ne pas attribuer les adresses IP n’importe comment.
C’est l’Icann qui, en premier ressort, détermine quelles sont les plages d’adresses IP disponibles dans le monde et qui a le droit de les utiliser. Localement, ce sont des organismes que l’on appelle les RIR (registre Internet régional) qui distribuent les adresses IP que l’Icann leur a attribuées. Il existe cinq RIR. Celui qui gère les adresses IP pour l’Europe s’appelle Ripe-NCC.
Mais l’adresse IP numérique, vitale pour permettre aux ordinateurs de se reconnaître, est très peu pratique pour les utilisateurs. On dispose donc également d’adresses textuelles, celles que nous utilisons sous la forme www.microhebdo.com, www.01net.com, www.elysee.fr, par exemple. Il s’agit du système des noms de domaine. Pour le comprendre, il suffit de lire à l’envers l’adresse : www.elysee.fr signifie qu’il s’agit d’un ordinateur enregistré en France (le domaine.fr), couvrant les activités de l’Elysée (.elysee), et s’occupant d’afficher le site Web (www).
C’est très pratique mais, pour que cela fonctionne, il faut, à chaque connexion, traduire aux ordinateurs l’adresse lisible en adresse IP numérique. Interviennent alors les serveurs de noms de domaine (Domain Name System ou DNS) : quand on tape l’adresse www.micro hebdo.com dans un navigateur Web, une première requête est faite à un serveur de nom de domaine qui indique les serveurs qui peuvent fournir une réponse pour le domaine.com. L’un de ces serveurs précisera alors quel autre serveur est apte à aiguiller dans la zone elysee.fr. Et enfin, ce dernier serveur pourra donner l’adresse IP complète du site recherché. Cette séquence d’interrogation est réalisée pour chaque consultation de site. Les serveurs capables d’effectuer la toute première étape, aiguiller vers les serveurs qui gèrent les domaines dits de premier niveau (.com, .org, .fr…), sont appelés les serveurs racines du DNS. Ils ne sont que treize dans le monde.
Les treize serveurs vitaux
Attention toutefois, chacun de ces serveurs a de nombreux miroirs, et parfois, ils ne sont même pas hébergés à un seul endroit. En tout, ces treize serveurs, absolument vitaux pour le fonctionnement d’Internet, sont répartis dans le monde dans près de 170 endroits. Et, bien qu’au quotidien ils soient supervisés par des sociétés privées, des universités ou des administrations, il ne s’agit que de délégations fournies par l’Icann, décisionnaire en dernier lieu. Qu’il s’agisse donc des adresses IP numériques ou des noms de domaine, le maître, c’est l’Icann.
Il existe une kyrielle d’organismes qui participent à la régulation d’Internet et l’établissement des standards : W3C ; Internet Society (Isoc) ; Internet Architecture Board (IAB) ; Internet Engineering Task Force (IETF) ; Forum de la gouvernance Internet (FGI), etc. Mais en dernière instance, le fonctionnement d’Internet dépend principalement de l’Icann qui tire son pouvoir d’un contrat le liant au ministère du Commerce américain, qui en nomme tous les membres.
Les conséquences politiques sont réelles : en 2005, par exemple, le nouveau domaine en .xxx devait être ouvert, permettant d’identifier plus facilement les sites à caractère pornographique. L’Icann avait donné son accord. Mais à deux jours de la signature finale de l’acte fondateur, l’Icann a revu sa position et bloqué la création du nouveau domaine : le ministère du Commerce américain, sous la pression de pétitions d’organisations conservatrices, avait en effet signifié son refus de créer le .xxx.
D’autres faits, comme les conditions d’attribution des délégations pour la gestion des noms de domaine .iq, pour l’Irak, et .af, pour l’Afghanistan, montrent une mainmise politique américaine sur Internet.
Une histoire de politique
De fait, en imaginant un scénario de fiction de conflit armé, les Etats-Unis, de par le contrôle qu’ils exercent sur l’Icann et son partenaire technique, la société VeriSign, sont la seule nation qui pourrait « rayer » d’Internet un pays entier, en décidant de couper soudainement son extension.
La Commission européenne, par le biais d’une communication de Viviane Reding, commissaire chargée de la Société de l’information et des médias, a appelé, en juin dernier, à plus de transparence et de responsabilité multilatérale dans la gouvernance de l’Internet. Mais les faits ne semblent pas lui donner raison : depuis les attentats du 11 septembre, l’attitude des Etats-Unis, qui étaient en passe de se retirer progressivement afin de laisser la gouvernance d’Internet au secteur privé, s’est complètement modifiée. Une échéance très importante approche, car le 30 septembre 2009 se termine le contrat qui lie l’Icann au gouvernement américain.
Une occasion de mettre en place une nouvelle approche plus multilatérale ? Certainement pas. Le gouvernement américain a donné un signal fort, il y a quelques semaines, en choisissant le nouveau président de l’Icann. L’homme, Rod Beckstrom, n’est autre que l’ancien directeur du Centre national de la cybersécurité (NCSC) des Etats-Unis. Le message est on ne peut plus clair : Internet est un domaine stratégique dont, pour des raisons de défense nationale, les Etats-Unis ne sont pas prêts à lâcher le contrôle
Record de spam et croissance des zombies …
Le spam, souvent lié à des fraudes ou des attaques de phishing, représente aujourd’hui 92 % des e-mails, selon le ‘Rapport des menaces du second trimestre 2009’ de McAfee. Une autre firme de sécurité, MX Logic, annonce que 94,6 % des e-mails envoyés seraient du spam.
Le rapport de McAfee annonce que "Juin a produit la plus grande quantité de spams jamais vu, dépassant le précédent record (Octobre 2008) de presque 20 %."
Pour les deux firmes de sécurité, c’est le ‘spam pharmaceutiques’ qui représente presque 90 % du spam, avec notamment ‘Canadian Pharmacy’, le spam indiscutablement le plus répandu.
Les criminels qui envoient du spam s’appuient sur un ordinateur piraté, baptisé ‘Zombie’, dont des codes malveillants ont pris le contrôle. On estime que le nombre de ‘zombies’ dans le monde augmente de 150 000 chaque jour. McAfee estime que 14 millions d’ordinateurs sont sous le contrôle de botnets.
Pour McAfee comme pour MX Logic, les Etats-Unis sont vus comme le premier pays en termes de quantité de spams produits. D’autres pays comme le Brésil, la Chine, la Russie, la Pologne ou l’Inde sont aussi de d’importantes sources de spams
La cryptographie quantique n’est pas infaillible
La récupération des données concerne des cas très particuliers et ne remette pas en cause la technique mais plutôt son implémentation qui, elle, peut être faillible.
Cinq ans après être sortie des laboratoires, avec la création du premier réseau sécurisé aux Etats-Unis, la cryptographie quantique reste totalement d’actualité. A la fin du mois de mai 2009, SmartQuantum, l’un des producteurs de cette technologie, a annoncé qu’il conduisait un projet de sécurité en collaboration avec le CNRS, Femto-ST et le CHU de Besançon. Ce projet porte sur une solution complète de sécurisation des transmissions de données sur support optique entre deux serveurs (dans un même bâtiment), entre deux bâtiments d’une même zone (un cabinet de praticien et un hôpital, par exemple) et enfin une liaison longue distance (entre le CHU de Besançon et le centre hospitalier de Belfort-Montbéliard, par exemple).
Présentée comme l’une des technologies les plus fiables au monde, elle n’est pourtant pas infaillible. C’est la conclusion à laquelle sont arrivés des universitaires qui ont testé ces dernières années des systèmes de cryptographie quantique. Plus exactement, ce n’est pas la cryptographie quantique dont ils ont démontré la vulnérabilité, mais son implémentation.
4 % des communications espionnées
En 2008, l’équipe de chercheurs dirigée par Hoi-Kwong Lo de l’université de Toronto, au Canada, était parvenue pour la première fois à modifier un système de cryptage quantique commercial ID-500 vendu par ID Quantique, le leader mondial dans ce domaine.
La faille était minime puisqu’elle était de quelques picosecondes, soit le temps de retard à l’allumage des deux détecteurs de photons utilisés pour recevoir la clé quantique. Un laps de temps très court mais suffisant pour rendre le système un peu moins sûr : Hoi-Kwong Lo avait été capable d’espionner 4 % environ des communications « sécurisées ».
« Ce système ID-500 est destiné à une clientèle de chercheurs. Il s’agit d’une version simplifiée et elle est complètement paramétrable. Les travaux du professeur Lo sont intéressants mais n’ont qu’une faible valeur pratique », nous a répondu Grégoire Ribordy, CEO d’ID Quantique.