News: le ransomware WannaCry

Merci pour ce billet très intéressant ! C’est agréable de lire quelque chose d’accessible sans tomber dans l’hyper-vurlgarisation ou le sensationnalisme (on voit partout des « OMG la Corée du Nord c’est des méchants ! »).

À mon humble avis, les responsables sont un peu partout. Microsoft pour avoir volontairement implanté plein de failles de sécurité dans leurs OS. La NSA pour les avoir utilisé sans les fixer. Et les entreprises soucieuses de leur sécurité qui ont malgré tout utilisés un OS notoirement connu pour être une passoire (même le ministère de la défense l’utilise).

Microsoft pour avoir volontairement implanté plein de failles de sécurité dans leurs OS.

J’ai pas encore eu le temps de lire le billet, mais… what?

Ravi que tu aies apprécié

C’est plutôt dans l’autre sens. L’accusation de theshadowbrokers est la suivante :
La NSA découvre une faille, microsoft aussi. La NSA payerait pour que microsoft ne sorte pas un patch tant que la faille n’est pas public.
Ca n’a pas encore été vérifié par quiconque. Donc info à prendre avec des pincettes (même si ça vient des gars qui ont pwn la NSA )

Sources :

• http://www.papergeek.fr/windows-10-la-cle-d-un-backdoor-officiel-a-fuite-microsoft-tente-de-limiter-les-degats-6385
• https://www.undernews.fr/anonymat-cryptographie/vie-privee-la-nsa-soctroie-un-backdoor-dans-tous-les-systemes-windows.html
• https://theintercept.com/2015/12/28/recently-bought-a-windows-computer-microsoft-probably-has-your-encryption-key/
• http://www.networkworld.com/article/2993490/windows/windows-10-upgrades-reportedly-appearing-as-mandatory-for-some-users.html#tk.rss_all
• https://web.archive.org/web/20071011010707/http://informationweek.com/news/showArticle.jhtml?articleID=201806263
• https://web.archive.org/web/20160310201616/http://drleonardcoldwell.com/2013/08/23/leaked-german-government-warns-key-entities-not-to-use-windows-8-linked-to-nsa/
• http://www.computerworld.com/article/2500036/desktop-apps/microsoft–we-can-remotely-delete-windows-8-apps.html

Bon article!

J’ai moi-même été touché personnellement par ce virus. Je travaille dans un gros institut de recherche sur le cancer à Montréal et l’ordinateur de travail que j’utilise là-bas est inutilisable et le sera probablement toute la semaine. Plusieurs dizaines d’autres ordinateurs ont été touchés. Beaucoup d’expérience ont dû être mises en pause pour au moins une semaine, car les microscopes sont connectés à des ordinateurs et ces derniers ne fonctionnent plus pour la plupart, ce qui pourrait avoir des impacts considérables. C’est quand même fascinant de voir l’impact que peut avoir un petit bout de code.

Je crois que c’est le principe des portes dérobées.

Purée ! Si les virus empêchent les microscopes de fonctionner on est foutu ! Comment on continuera la recherche sur les virus ?!

Du coup la question est : y a-t-il eu un partenariat entre virus informatique et virus biologique ??

" Comme l’ont dit les shadowbrokers, si la NSA n’avait pas développer cette arsenal, rien ne serait arriver."

C’est une blague ? Genre y’a un pays qui fabrique une bombe, il y a deux mecs qui la vole et la vendent à un troisième, quand celui la fait tout péter on va dire que c’est la faute du pays ? Certes, ils auraient pu mieux protéger leurs donnés, mais de là à leur mettre ca sur le dos.

N’importe quoi. C’est bien de linker plein d’articles, mais faut prendre la peine de les lire, aussi.

• http://www.papergeek.fr/windows-10-la-cle-d-un-backdoor-officiel-a-fuite-microsoft-tente-de-limiter-les-degats-6385

C’est clairement un artefact de dev, un peu comme un mot de passe par défaut faible/évident. Ce n’est pas un sésame intentionnellement laissé pour les beaux yeux des vilains espions.

• https://www.undernews.fr/anonymat-cryptographie/vie-privee-la-nsa-soctroie-un-backdoor-dans-tous-les-systemes-windows.html

Oui, enfin on parle de ceci, hein : NSAKEY. Ça date de 1999. C’est juste une clé, et rien n’indique avec certitude que la NSA a la main dessus. C’est pas une backdoor, ça permet de signer des trucs. Ouais, ils pourraient stocker la clé de manière plus sécurisée (en la scindant, comme le préconise Schneier), mais en l’état, rien d’alarmant.

• https://theintercept.com/2015/12/28/recently-bought-a-windows-computer-microsoft-probably-has-your-encryption-key/

? C’est toujours pas une backdoor ? Ouais, MS a ta clé de déchiffrement de disque si tu chiffres ton disque avec ton compte MS. Stratégie douteuse et discutable, mais qui part sans doute d’une intention de complaisance sans malveillance : restaurer les données de cette pauvre Mme Michu qui a décidément pas de chance et dont les photos de vacances chiffrées auraient autrement été perdues à jamais. Les gens un peu tech-savvy n’ont probablement pas chiffré leur disque avec leur compte MS de toute manière s’ils ont des données sensibles.

Ce n’est pas non plus une faille de sécurité dans le sens du trou béant par lequel les hackers vont te pirater/botnetter.

• http://www.networkworld.com/article/2993490/windows/windows-10-upgrades-reportedly-appearing-as-mandatory-for-some-users.html#tk.rss_all

Je ne vois pas en quoi cet article soutient ton propos. Windows force des mises à jour, en quoi est-ce pertinent ? (1/2)

• https://web.archive.org/web/20071011010707/http://informationweek.com/news/showArticle.jhtml?articleID=201806263

(2/2) … puis ils s’excusent parce que c’était franchement pas une idée sympa. Toujours sans pertinence avec ton propos.

• https://web.archive.org/web/20160310201616/http://drleonardcoldwell.com/2013/08/23/leaked-german-government-warns-key-entities-not-to-use-windows-8-linked-to-nsa/

Quand on linke des choses toutes vieilles, faut voir si y a pas des nouvelles plus fraîches.

• http://www.computerworld.com/article/2500036/desktop-apps/microsoft–we-can-remotely-delete-windows-8-apps.html

C’est une feature. Ça te tue une app (la raison de tuer l’app peut être mauvaise), certes, mais ça n’en fait pas une faille de sécu ou une backdoor.

@Karl : J’entends bien tes arguments, et je suis plutôt d’accord. Toujours est-il que je ne veux pas d’un ordinateur contrôlable à distance, que ce soit pour pouvoir récupérer le contenu d’un disque chiffré, forcer une mise à jour ou quoi que ce soit d’autre.

Mais attention, je n’ai aucune animosité envers ceux qui utilisent Windows, et si j’ai été condescendant, je m’en excuse. Il y a quelques très bonnes raisons de l’utiliser, simplement il faut avoir conscience de ses limites.

PS : « C’est une feature. Ça te tue une app (la raison de tuer l’app peut être mauvaise), certes, mais ça n’en fait pas une faille de sécu ou une backdoor. » Définition d’une backdoor : « Dans un logiciel, une porte dérobée (de l’anglais backdoor, littéralement porte de derrière) est une fonctionnalité inconnue de l’utilisateur légitime, qui donne un accès secret au logiciel. ».

Oui, enfin, tu joues sur les mots. Un accès secret au logiciel, c’est plus au sens de contrôle (malveillant ou non) du comportement que de du kill switch, même si techniquement ça peut peut-être rentrer. En jouant sur les mots, on peut d’ailleurs arguer que c’est pas inconnu parce que c’est dans les CGU du Windows Store.

De plus, ici, l’accès n’est pas injecté dans le logiciel, mais figure dans le gestionnaire de paquets. Bref.

Ne pas vouloir d’un « ordinateur contrôlable à distance » et « faire un procès d’intention à Microsoft » sont deux choses bien distinctes.

Ironiquement, au passage, « un ordinateur contrôlable à distance, que ce soit pour pouvoir récupérer le contenu d’un disque chiffré, forcer une mise à jour ou quoi que ce soit d’autre » est une état considérablement plus simple à mettre en place sur un système Unix que sur un Windows.

Note: je ne suis pas un fanboy Windows qui essaie de défendre son OS chouchou. Loin de là. Plus loin je me tiens des systèmes de Microsoft, mieux je me porte.

Windows 10 n’est pas touché par cette faille.

Vous trouverez la liste exhaustive des versions concernées par la faille ici ^{→ https://technet.microsoft.com/en-us/library/security/ms17-010.aspx}

C’est marrant, mais il y a quand-même 6 lignes pour Windows 10 dans leur tableau… Et dans leur knowledge base, il y a bien une update pour Windows 10…

En effet, erreur de ma part

Ah ? Je me demandais s’ils n’avaient pas trouvé quelque chose entre-temps…

Edit

Je tiens à préciser que j’avais aussi entendu (à la radio notamment) que WannaCry n’était actif que sur des ordinateurs Windows XP, alors soit ce n’était pas de cela qu’il s’agissait, soit les informations étaient fausses. Du coup, voir ces sources et constater que

1. Windows XP n’est pas listé et
2. Windows 10 figure dans la liste de Microsoft

me fait penser qu’il y a un truc qui cloche.

Edit ₂

Les systèmes présents dans la liste sont ceux encore supportés par Microsoft, donc Windows XP n’y figure évidemment plus. L’article date de mars 2017, date de déploiement du correctif (qui est donc antérieur à l’attaque de ce week-end). Je comprends mieux.

Reste que les ordinateurs sous Windows n’ayant pas fait de mise à jour depuis le 13 mars 2017 sont tous potentiellement vulnérables.

Précision sur Windows 10 : WannaCry ne fonctionne pas sur les W10 mis à jour. Mais il faut savoir que nombre d’entreprises valident manuellement les mises à jour avant de les pousser sur les machines des employés. Et cela prend souvent pas mal de temps.

Cela explique la quantité (plus faible que celle des serveurs, bien entendu) de machines personnelles touchées par WannaCry.

En fait rezemika n’a sans doute pas tort sur le fond même si les sources qu’il a citées ne semblent pas pertinentes (je n’ai pas pris le temps de les consulter).

Ca ne me semble absolument pas déconnant que Microsoft laisse volontairement des failles de sécurité dans ses produits, des portes dérobées et connues de certains services de renseignement.

Ne vous en déplaise, ce genre de chose arrive même dans les produits open source, même si l’auteur du patch pourra toujours clamer "je ne l’ai pas fait exprès". Même dans des logiciels dont le contrôle est bien plus renforcé que sur un logiciel propriétaire (puisque les sources sont accessibles au plus grand nombre) on voit des défauts apparaître qui laissent penser qu’il s’agit de portes dérobées.

Alors pourquoi cela vous étonnerait qu’une multi-nationale qui développe un logiciel propriétaire, sans diffuser ses sources, ne s’adonne pas à ce genre de pratique ? Y a-t-il besoin de sources pour vous inviter à vous poser la question, même si l’on ne sera jamais totalement sûr du fin mot de l’histoire ?

En bref, qu’on me dise "Microsoft pour avoir volontairement implanté plein de failles de sécurité dans leurs OS.", ça ne m’étonne absolument pas même si l’on ne saura peut-être jamais vraiment.

Ca ne me semble absolument pas déconnant que Microsoft laisse volontairement des failles de sécurité dans ses produits, des portes dérobées et connues de certains services de renseignement.

Je vois mal la NSA payer Microsoft pour ça en mode "c’est rentable de laisser des failles" comme le laisse supposer cette affirmation. Une faille de ce genre créer sans doute plus de problèmes en terme d’image et autres à Microsoft pour que ça soit intéressant de ne pas les corriger (ou alors la NSA doit vraiment faire des très gros chèques). Je vois plus un truc du genre "la NSA garde les failles pour elle pendant un certain temps avant de les donner a Microsoft", ou éventuellement elle pourrait les payer pour ne pas déployer la maj sur certaines machines pour que la NSA puisse utiliser l’exploite. Ce qui me semblerait plus logique que "on achète avec un gros chèque pour ne pas corriger une faille". Il a peut-être aussi le coup de la sécurité nationale qui pourrait faire que la NSA interdit légalement à Microsoft de faire une maj car la NSA à besoin de cette faille pendant une certaine période et qu’ils compensent cela avec un chèque. Mais ça serait un truc légal et Microsoft n’aurait pas le choix. Microsoft que je sache fait tout son possible pour ne pas être trop copain avec la NSA, par ce que ça pourri son image à l’international (et même aux US). Donc je crois moyen à cette théorie, ou alors ça doit vraiment coûter un bras à la NSA.

52 milliards dans l’espionnage (chiffres de 2013):

A regarder si c’est suffisant pour en donner un peu à microsoft
NRO = National reconnaissance Office

Qui te dit qu’ils paient ?

OK, tradecraft 101 :

Une (bonne, probablement) partie des devs de Microsoft et d’autres boites aux USA bossent secrètement pour la NSA. Quoi ? Vous croyez que les cerveaux de la NSA sont tous regroupé dans le Maryland ou que la NSA se pointe devant les têtes des grosses boîtes US en disant "Dis, si tu pouvais éviter de patcher cette faille-là, ça m’arrangerait" ? Ce sont des espions qui s’intéressent bien plus à l’espionnage économique que la lutte antiterroriste, et c’est tellement plus simple et moins coûteux d’infiltrer les boites aux nez et à la barbe de tous. Two birds, one very bloody stone comme ils disent. Ces espions, tu ne les trouve pas (uniquement) au chaud au QG de la NSA mais dans les boîtes d’intérêts… La NSA n’a pas la même culture que les services secrets en Europe. Du tout.

Il faut bien cerner une chose : la NSA ne demande pas. Elle se sert. C’est bien pour cela qu’ils sont chiants d’ailleurs.

Une faille de ce genre créer sans doute plus de problèmes en terme d’image et autres à Microsoft

Oui, c’est sûr qu’auprès d’insoumis comme toi et moi qui ont grandi à jouer avec leur caca en mode "Windaube" etc. On a choisi notre camp (même si j’ai Windows à la maison, tiens…).

À tout hasard tes proches utilisent un ordinateur ? Sous Linux ? Et les gens que tu rencontres / cotoies en général ?

Aussi, avis personnel : ça ne me semble pas déconnant qu’une boîte américaine obéisse docilement aux services de renseignement de son pays s’il est question de faire profiter l’économie du pays et - de facto - les profits de ladite entreprise. C’est horrible, ce que je dis, mais ça ne me semble pas totalement déconnant, en soit…

Faudrait qu’on se repasse les documents d’Edward Snowden pour se convaincre.

Je pense que les failles que vous voyez comme malicieuses sont surtout des outils de dev oubliés et shippés, et des outils de SAV calculés pour avoir une balance nette positive sur le compromis sécurité/satisfaction du client.

Entre laisser MS gérer un portefeuille de clés pour déchiffrer son disque en cas de perte (et en cas d’investigation de la NSA, soyons fous) et avoir une FDE bien fichue avec Secure Boot auto-signé que si on perd les clés on perd tout, Mme Michu va préférer la solution de la facilité. De toute manière, la NSA s’intéresse pas à elle. Michu est un client, Michu est contente (ça marche aussi pour les entreprises qui finalement sont bien plus nazes en info qu’elles veulent bien le laisser croire, et l’idée que MS a de quoi leur sauver la peau est plaisante).

Tout ça pour dire que je crois honnêtement, donc, que la plupart de ces « failles » sont destinées à rendre l’utilisation confortable pour la majorité, au détriment d’un peu de sécurité, et ne sont pas imputables à la malveillance d’une organisation quelconque.

Certes, il doit y avoir des contre-exemples, des cas où on a intentionnellement laissé une backdoor pour faire du mal, mais je ne crois pas que ce soit une portion significative des vulnérabilités. Lisez, par exemple, comment fonctionne l’exploit de SMBv1, il est clair que c’était pas intentionnel. Regardez StuxNet, aussi : les commandes de spoof de débug utilisées par le ver ont été laissées par Siemens parce que c’était utile aux industriels (ils voulaient les retirer pour des raisons de sécurité, les indus on refusé : encore une fois, pas de malveillance, juste de l’absence de sécu par facilité).

Yep, je suis d’accord. Evidemment, de l’extérieur, ça ressemble à de la négligence voire de l’intentionnel mais je ne crois pas que ce soit intentionnel dans la grande majorité des cas.

Grosse négligence du NHS dont 90% machines fonctionnent sur Windows XP. Pas la meilleure façon de faire des économies dans le budget IT…

Sources :
- https://www.theinquirer.net/inquirer/news/2479315/90-per-cent-of-nhs-trusts-are-still-running-windows-xp-machines posté le 08/12/2016
- http://www.dailymail.co.uk/news/article-4503522/Government-scrapped-support-NHS-two-years-ago.html