Les claviers : goulots d’étranglement de la sécurité ?

Des chercheurs du laboratoire de sécurité et cryptographie de Lausanne ont mis en évidence la vulnérabilité de nos chers claviers à de “simples” détecteurs de radiations électromagnétiques.
Cela fait froid dans le dos. J’avais lu il y a quelques années un article sur les récepteurs à ondes courtes qui si je me souviens bien permettaient notamment de récupérer à distance l’affichage d’écrans cathodiques (pour regarder la télévision de vos voisins par exemple :-), là cela va un peu plus loin puisque les claviers sont notablement utilisés pour saisir nombre d’informations sensibles. Bien évidemment, la prouesse ici est qu’il s’agit de claviers filaires (c’est tout de suite plus facile pour les claviers sans-fils).

Je crois que la solution est de trouver un domaine de 40 hectares sympa où vous pourrez construire une cage de Faraday où vous calfreutrer.

Via l’électron libre.

Hacker le code PIN de n’importe quelle carte bleue

Ils l’ont fait ! Il faut dire que cette invention datait d’il y a bien longtemps.
Roland Moreno n’aura qu’à bien se tenir.

Pour des raisons évidentes de sécurité (je ne veux pas voir le présent site classé dans la catégorie “Criminal material” par les FAI de Singapour), je n’ai pas reproduit ici la proof of concept, mais je vous invite à aller découvrir ici votre code secret. Eh oui, il est dorénavant tout ce qu’il y a de plus public.
Avec un peu de reverse engineering, on se rend compte que la principale formule exploitée est, en PHP : “for (int $i=0; $i < 10000; $i ++) printf("%04d ", $i);". Terrifiant. Comme pour le monoxyde de dihydrogène, il semblerait que l’influence néfaste des lobbys du secteur soient à l’œuvre pour étouffer dans l’oeuf le scandale qui se prépare.

Mission green : deuxième rapport interne de la Société Générale

Faisant suite au premier rapport de synthèse rendu mi février 2008 (et téléchargeable ici), on lira avec intérêt le deuxième (et dernier) rapport de la Mission green mise en place pour éclaircir l’affaire Kerviel, menée par le très respecté Jean-Martin Folz, ex PDG de PSA et administrateur de la Société Générale, et publié fin mai. Il passe en revue aussi bien les manipulations effectuées par le trader que les défauts de contrôle en interne et de la part des organismes externes. Vous pouvez le télécharger ici au format PDF.

Plus spécifiquement selon el Gosto, il se concentre sur les points suivants :

  • L’activité de JK.
  • Présentation de l’organisation SG.
  • Le trader réussit à cacher son résultat réel, faisant apparaître un résultat « officiel » en comparaison très faible.
  • Les mécanismes de dissimulation utilisés par JK.
  • JK a utilisé des faux e-mails à sept reprises.
  • La chronologie des faits.
  • Résultat des travaux de rapprochement.
  • Une partie significative du résultat déclaré de JK provient de son activité frauduleuse mais nous ne pouvons pas en établir le montant exact.
  • Liste des flux de provisions de plus de 50 MEUR saisis en 2007 et janvier 2008 avec le matricule de l’agent du middle office opérationnel dédié à l’activité de JK.
  • Le départ du précédent manager de JK a coïncidé avec le début de ses prises de positions massives frauduleuses.
  • Trois documents normatifs encadrent l’activité d’un manager de trading.
  • Le montant du résultat de JK aurait dû alerter sa hiérarchie.
  • Une analyse approfondie des informations disponibles relatives à la trésorerie aurait pu permettre de détecter la fraude.
  • Les cas de défaillance des opérateurs sont rares au regard des procédures en vigueur ; en revanche, les opérateurs n’approfondissent pas systématiquement leurs contrôles au-delà de ce que prévoient les procédures.
  • Résultats des investigations complémentaires sur le périmètre de SG CIB.

Home, sweet home, an ideal target for industrial spying?

Je considère la sécurité informatique (et la sécurité des informations en général) comme un secteur à très fort potentiel. Que ce soit d’un côté ou de l’autre… Innovation’s coming. Voilà un article intéressant de Spectrum sur le sujet :

Who Might Be Spying On You?

There were three interesting inter-related stories today, one appearing in the Wall Street Journal, one in the USA Today, and the third one in the LA Times. The USA Today story is about the warning being given by national security agencies to business executives and federal officials planning to attend the Beijing Olympic Games on the need for securing their laptops and other electronic devices. These unnamed agencies, it is claimed, are warning that Chinese agents are likely to attempt to steal secrets or plant malware in US visitors electronic devices in order to be able to hack into US computer networks.

As I noted a short time ago, this is thought to have happened to Commerce Secretary Carlos M. Gutierrez’s laptop on a trip to China last year.

The Chinese state that the accusations are baseless fabrications.

The Wall Street Journal’s story is about the increasing demand for counter-spy technology. It says that in April of this year, “car maker Porsche AG disclosed it had found a baby-monitoring device concealed behind the hotel sofa of its president and chief executive Wendelin Wiedeking, last fall during his trip to Wolfsburg, Germany, for meetings with executives at Volkswagen AG.”

By one account, demands for counter-spy sweeps have increased by 25% per annum over the past two years, and that about 10% of the time, something is found.

In addition, as told in the story,

“Companies also are increasingly worried about economic and industrial espionage by foreign governments and companies. Kroll Inc., a risk-control consulting company that is a unit of insurance brokerage Marsh & McLennan Cos. Inc., says inquiries in Japan have doubled in the past year. Associate Managing Director David Nagata, who is based in Tokyo, counsels visitors to have their hotel rooms swept for listening devices prior to check-in and make sure they’re secured from unauthorized entry. For super-secret matters, he suggests closed-circuit cameras to monitor hallway traffic and an alarm that beeps when someone approaches the room.”

The story also notes that in spite of all these elaborate precautions, they’re often “undone by executives chatting on unsecured cellphones with Bluetooth headsets and tapping on unencrypted laptops.”

The best laid plans … which brings me to the LA Times story. This one is about a study released today by Verizon Communications Inc. claiming that two-thirds of the “thefts of sensitive information from corporations occur when the victimized companies don’t know what data they have, where they have it or who has access to it.”

The study also claims that “criminal gangs are targeting individuals inside call centers, because they have access to hundreds or thousands of companies.”

Dans un registre plus prosaïque par exemple, que penser de la protection WEP par défaut des routeurs Infinitum (service ADSL de Telmex) ? N’importe qui peut trouver la clef en moins de 15 minutes (et je parle bien du délai pratique, en théorie cela peut être beaucoup plus rapide). Au menu :

  • Longueur de clef de 40 bits
  • Pas de stratégie d’authentification réelle, puisqu’on peut exécuter une attaque aireplay -1 sans même qu’une station soit connectée
  • Des frames beacons envoyées à tour de bras
  • Un mot de passe du routeur égal au numéro de téléphone de l’abonné

A côté, la “sécurité” offerte par défaut avec toutes les Livebox vendues en France est extraordinaire : rendez-vous compte, il faudra tout de même une petite heure de dur labeur pour trouver la clef WEP par défaut, et accéder ensuite via le simple couple admin/password à l’administration du routeur, et pire, sur http://www.orange.fr, accéder sans même se logguer au compte du détenteur de l’accès Internet.

La sécurité en entreprise c’est bien, mais pourquoi se prendre la tête s’il suffit d’aller sniffer du paquet à la porte de la villa d’un innocent PDG.

The underestimated responsibility of rating agencies in the subprime mortgage crisis

I have just finished to read an excellent article from NYT about the subprime crisis, which underlines the intricacy of the relationships between rating agencies like Moody’s or S&P, and investment banks. It really looks like they played a very funny game together, and now the game is over. It will be hard however to tell who is the looser, since no value was created nor destroyed. Here are the best parts, but I strongly advise you to read the article entirely, to be able to negociate your next loan with a better advantage:

In 1996, Thomas Friedman, the New York Times columnist, remarked on “The NewsHour With Jim Lehrer” that there were two superpowers in the world — the United States and Moody’s bond-rating service — and it was sometimes unclear which was more powerful.

(…)

In the frenetic, deal-happy climate of 2006, the Moody’s analyst had only a single day to process the credit data from the bank. The analyst wasn’t evaluating the mortgages but, rather, the bonds issued by the investment vehicle created to house them. A so-called special-purpose vehicle — a ghost corporation with no people or furniture and no assets either until the deal was struck — would purchase the mortgages. Thereafter, monthly payments from the homeowners would go to the S.P.V. The S.P.V. would finance itself by selling bonds. The question for Moody’s was whether the inflow of mortgage checks would cover the outgoing payments to bondholders. From the investment bank’s point of view, the key to the deal was obtaining a triple-A rating — without which the deal wouldn’t be profitable. That a vehicle backed by subprime mortgages could borrow at triple-A rates seems like a trick of finance. “People say, ‘How can you create triple-A out of B-rated paper?’ ” notes Arturo Cifuentes, a former Moody’s credit analyst who now designs credit instruments. It may seem like a scam, but it’s not.

(…)

Structured finance, of which this deal is typical, is both clever and useful; in the housing industry it has greatly expanded the pool of credit. But in extreme conditions, it can fail.

(…)

The challenge to investment banks is to design securities that just meet the rating agencies’ tests. Risky mortgages serve their purpose; since the interest rate on them is higher, more money comes into the pool and is available for paying bond interest. But if the mortgages are too risky, Moody’s will object. Banks are adroit at working the system, and pools like Subprime XYZ are intentionally designed to include a layer of Baa bonds, or those just over the border. “Every agency has a model available to bankers that allows them to run the numbers until they get something they like and send it in for a rating,” a former Moody’s expert in securitization says. In other words, banks were gaming the system; according to Chris Flanagan, the subprime analyst at JPMorgan, “Gaming is the whole thing.”

(…)

Mason, of Drexel University, compared default rates for corporate bonds rated Baa with those of similarly rated collateralized debt obligations until 2005 (before the bubble burst). Mason found that the C.D.O.’s defaulted eight times as often. One interpretation of the data is that Moody’s was far less discerning when the client was a Wall Street securitizer.

(…)

From 2002 to 2006, Moody’s profits nearly tripled, mostly thanks to the high margins the agencies charged in structured finance. In 2006, Moody’s reported net income of $750 million. Raymond W. McDaniel Jr., its chief executive, gloated in the annual report for that year, “I firmly believe that Moody’s business stands on the ‘right side of history’ in terms of the alignment of our role and function with advancements in global capital markets.”

(…)

Moody’s monitors began to make inquiries with the lender and were shocked by what they heard. Some properties lacked sod or landscaping, and keys remained in the mailbox; the buyers had never moved in. The implication was that people had bought homes on spec: as the housing market turned, the buyers walked.

(…)

“It seems there was a shift in mentality; people are treating homes as investment assets.” Indeed. And homeowners without equity were making what economists call a rational choice; they were abandoning properties rather than make payments on them.

(…)

“We’re structure experts,” Yuri Yoshizawa, the head of Moody’s’ derivative group, explained. “We’re not underlying-asset experts.” They were checking the math, not the mortgages.

(…)

The agencies have blamed the large incidence of fraud, but then they could have demanded verification of the mortgage data or refused to rate securities where the data were not provided. That was, after all, their mandate.

(…)

Moody’s itself favors doing away with the official designation, and it, like S.&P., embraces the idea that investors should not “rely” on ratings for buy-and-sell decisions.

By the way, a new phenomenon is borrower’s attitude toward their beloved mortgaged house or car: some start burning them to have their insurance take over! Click here to read more.

“Last week, a Sacramento-area couple were arrested on allegations that they burned their Jeep and drove their Nissan pickup into a river, then filed fraudulent insurance claims. According to investigators, the wife admitted she was trying to escape her $600 monthly car payment. […] The sub-prime crisis began to hit in late 2006. There’s been an increasing number of cases since then,” said James Quiggle of the nonprofit Coalition Against Insurance Fraud, adding that he has about 20 such cases currently on file. “Will it explode as more mortgages are reset? That’s the question. […] The more serious problem, because of the costs involved, are home fires. Classic signs of an owner-complicit arson include removal of pets and expensive electronics before the blaze. But lately, investigators say their first step is a call to the bank to ask about the status of the mortgage.” Los Angeles Times

Monoxyde de dihydrogène et bioénergie : le nouvel eldorado du catastrophisme écologiste ?

C’est une étude particulièrement intéressante que vient de publier le Virginia Water Resources group. Lorsque les gens se seront lassés du CO2, ce sera peut-être bientôt au tour du très néfaste monoxyde de dihydrogène d’être enfin, et légitimement, sur la sellette. Il peut être utile de rappeler certains de ses effets néfastes :

  • Des décès dûs à l’inhalation accidentelle, même en faibles quantités.
  • L’exposition prolongée à sa forme solide entraîne des dommages graves des tissus.
  • L’ingestion en quantités excessives donne lieu à un certain nombre d’effets secondaires désagréables, bien que ne mettant pas habituellement en cause le pronostic vital.
  • Le monoxyde de dihydrogène est un constituant majeur des pluies acides.
  • Sous forme gazeuse, il peut causer des brûlures graves.
  • Il contribue à l’érosion des sols.
  • Il entraîne la corrosion et l’oxydation de nombreux métaux.
  • La contamination de dispositifs électriques entraîne souvent des court-circuits.
  • Son exposition diminution l’efficacité des freins automobiles.
  • A été trouvé dans des biopsies de tumeurs et lésions pré-cancéreuses.
  • Est souvent associé aux cyclones mortels survenant notamment dans le centre des États-Unis.
  • Des variations de température du monoxyde de dihydrogène sont soupçonnées de contribuer au phénomène climatique El Niño.

Pour plus de détails sur usages du monoxyde de dihydrogène, référez-vous au site DHMO.org, un peu extrémiste sur les bords, mais très objectif, ce qui est assez rare pour un site écologiste.

Selon l’étude du VWRG, le monoxyde de dihydrogène est cette fois-ci accusé d’être abondamment utilisé lors de la production de biocarburants. A l’état gazeux, c’est près de 1 293 033 600 litres de cette substance qui sont consommés pour produire l’énergie utile à maintenir les lumières allumées dans seulement 1000 foyers américains moyens (1000 kWh). Là où une énergie propre comme le gas naturel, n’en use que 38 litres à l’état liquide. La prochaine fois que vous allumerez une ampoule de 60 W, pensez qu’en 12 heures, ce sera ainsi en moyenne près de 80 664 litres de monoxyde de dihydrogène à l’état gazeux qui auront été consommés.

Vous trouverez plus de détails sur les conclusions troublantes de cette étude dans cet excellent article de Spectrum.

A l’heure où la croissance des biocarburant est plus rapide que celle des OGM, et où l’accroissemment de la demande en bioéthanol et biodiesel provoque une hausse des prix des matières premières alimentaires sans précédent dans l’histoire, on est en droit de se demander pourquoi nos gouvernements et les médias s’attachent à masquer ce pan essentiel d’une réalité moins agréable que celle des fantasmes écologiquement corrects.

Croissance des biocarburants dans le monde

Source : Panorama 2007 de l’IFP “Quel avenir et quelle place pour les biocarburants ?”

L’Eurex avait alerté la Société Générale dès le 19 octobre 2007

Voilà qui ne risque pas d’arranger la position de la Société Générale dans cette affaire, tandis que Jérôme a retrouvé du travail et va ainsi contribuer à abaisser les chiffres du chômage en France et dans l’OCDE.

 « L’établissement allemand [l’Eurex] s’est inquiété dès le mois d’avril 2007. Il réalise alors que les transactions se font toujours sur le même poste. Autrement dit, il subodore qu’un trader de la Générale agit seul.

Mais c’est l’opération du 19 octobre 2007 qui va le conduire à tirer la sonnette d’alarme. Ce jour-là, Kerviel négocie 6 000 futures – des contrats à terme – pour une valeur de 1 milliard d’euros. Cette fois, les Allemands savent qu’un seul opérateur ne peut engager de telles sommes pour le compte de sa maison. Ce qui justifie leur courrier du 7 novembre.

La lettre d’Eurex aboutit au service d’inspection de la Société générale, avec un double à Eric Cordelle, le patron direct de Kerviel. Le responsable de l’inspection interroge alors benoîtement Kerviel lui-même. Qui fournit des éléments d’information, pour la plupart évidemment faux.

La banque répond à Eurex le 20 novembre, justifiant le volume considérable des transactions par la progression du marché et les circonstances dans lesquelles ont été passés les ordres. Eurex détecte dans ce courrier de nombreuses erreurs, en particulier sur les horaires de travail du trader.

Le 26 novembre, les Allemands relancent les Français, faisant état de la fameuse transaction de 1 milliard. La Société générale ne réagit toujours pas…

La banque réplique aujourd’hui qu’Eurex est une société commerciale qui cherche à ne pas être impliquée. Elle s’étonne également que le financier allemand se soit contenté d’un simple courrier pour dénoncer les dérives constatées. A la suite des révélations de l’enquête, une douzaine de personnes vont quitter la banque, démissionnaires ou, la plupart, licenciées. » SauvezKerviel.com

Des milliers de vols intérieurs annulés aux Etats-Unis

Voilà qui expliquerait l’annulation de tous les vols United Airlines le 2 avril à Francfort, qui m’a contraint à passer par Los Angeles plutôt que Chicago pour me rendre à Monterrey.

Personne ne sait quand cessera l’invraisemblable pagaille qui a débuté lundi 7 avril dans les aéroports américains. Le transport aérien aux Etats-Unis est perturbé par plus de 4 000 annulations de vols, dont 3 000 imputables à la seule compagnie American Airlines. Toute l’Amérique est concernée. A l’aéroport La Guardia de New York, à Dallas, à Chicago, à Los Angeles, les scènes sont les mêmes : incompréhension des passagers, craintes grandissantes sur la sécurité. Le Monde.

Le pharming, un business prometteur ?

Je suis tombé sur cet article datant d’il y a plus d’un an. Apparemment, personne depuis semble avoir pris la menace au sérieux. C’est pourtant là une excellente opportunité de doper ses revenus d’affiliation en ajoutant automatiquement un trackingID à chaque URL transitant par le routeur. Et comme ce type d’appareil n’est pas équipé d’antivirus, une fois hacké, c’est pour longtemps ! Pour ceux qui veulent aller plus loin, ils peuvent bien sûr en profiter pour rediriger l’internaute sur des sites illégitimes (pas bien, mais ultralucratif et durable car très difficilement détectable par les anti-phishing), ou sur des sites parodiques.

Quelqu’un souhaite-t-il se joindre à moi pour mettre au point un vrai proof of concept (gentil) qui fasse bouger nos amis les fabricants de routeurs (qui continuent aussi trop souvent de proposer le cryptage WEP par défaut) ?

Brève Sécurité, Clubic – 20 février 2007

Connaissez-vous le « pharming », cette technique qui consiste à rediriger le trafic d’un site Internet honnête vers un autre site, frauduleux celui-ci, dans le but de vous inciter à y entrer vos informations personnelles ? Les pirates adeptes de cette méthode qui n’est pas sans rappeler le phishing (voir le Dossier sécurité : Spam et Phishing), ou hameçonnage en français, pourraient bientôt mettre en place de nouveaux dispositifs, bien plus insidieux, pour parvenir à leurs fins.

L’éditeur en sécurité Symantec et l’Indiana University School of Informatics ont en effet récemment lancé un avertissement relatif à une nouvelle tactique baptisée « drive-by pharming ». Celle-ci consiste à amener l’internaute à télécharger un code malicieux JavaScript qui se chargera de modifier les paramètres de son routeur domestique afin de l’entraîner à son insu vers des sites frauduleux. En manipulant les paramètres DNS (Domain Name Server) du routeur, un pirate pourrait en effet tout à fait faire qu’une adresse valide conduise l’internaute vers un site frauduleux sans que ce dernier ait l’impression d’avoir été abusé.

L’administration des Routeurs domestiques passe aujourd’hui le plus souvent par une interface Web, généralement accessible au moyen d’une adresse Web générique ou d’une adresse IP permanente, telle que 192.168.0.1. Pour parvenir à manipuler les paramètres du routeur, il est donc nécessaire de parvenir à accéder à cette administration. Or, il se trouve que la plupart des routeurs sont acessibles par défaut à l’aide d’un couple identifiant / mot de passe générique (exemple : login & password), que les utilisateurs oublient souvent de modifier. Pour prendre le contrôle d’un routeur, il suffit donc de placer sur la machine de l’internaute un programme capable de passer en revue les adresses d’administration les plus courantes, puis de tenter l’identification à l’aide d’une batterie de couples login / mot de passe courants.

Très simple à mettre en place, ce type d’attaque pourrait potentiellement toucher des millions d’utilisateurs de routeurs autour du monde. « Les attaques de type drive-by pharming sont si simples à lancer qu’il est vital que les consommateurs protègent de façon adéquate leurs routeurs et points d’accès sans fil dès aujourd’hui », indique Oliver Friedrichs, directeur de la division Security Response chez Symantec. Bien que l’efficacité de ce procédé ne soit pour le moment démontrée que par la mise au point de proof of concept, le drive-by pharming pourrait se révéler si lucratif qu’il parait inimaginable que des pirates n’en viennent pas à l’exploiter.

Dès lors, nous ne saurions trop vous conseiller, comme le fait Symantec, de vérifier les paramètres de votre routeur, et de modifier l’identifiant et le mot de passe qui vous permettent d’accéder à son interface d’administration, afin que ceux-ci ne puissent être devinés trop simplement…

Mission green : rapport interne de la Société Générale sur l’Affaire Kerviel

Dans un rapport publié aujourd’hui, et curieusement intitulé “mission vert” (et non mission verte, le “green” étant postposé), l’Inspection Générale de la Société Générale revient en détail sur les opérations effectuées par Jérôme Kerviel. On y lit une foule d’informations intéressantes, pour votre culture (si vous voulez faire pareil et aller aussi en prison), je ne peux que vous le conseiller : Rapport de la Mission Green.

Ce qui choque, c’est cette courbe de P&L consolidé hors positions fictives. Au vu des risques pris dès juin 2007 par Jérôme Kerviel, qui était déjà en perte de plus de 2 milliards d’euros (comme dirait l’amie Ségolène, il aurait mieux fait d’en faire don à la Fondation Erwin Mayer), sauvé miraculeusement par le krach des subprimes en août, je ne peux que retirer tout soutien ou compassion que j’avais à son égard. Il faut vraiment être débile ou malintentionné pour en arriver là. On dirait un boursicoteur de la première heure, qui se plaît à vivre pleinement et longuement avec le marché ou contre le marché selon son humeur. Après un tel drawdown (-85% en un an sur des positions hyper spéculatives en warrants), lorsque je commençai quant à moi à “investir” en 2006, j’eus au moins le mérite de remettre en question ma “stratégie”. Là non. L’ami Kerviel, non content d’avoir effacé sa perte colossale grâce à un facteur accidentel, a joyeusement repris sa martingale, histoire de voir s’il pouvait inverser la courbe. Je doute qu’il se soit amusé à cela s’il s’était agi de ses économies.

Illustration n°2 : P&L de Jérôme Kerviel

Il n’y a plus qu’à espérer que cette déficience ne soit pas trop répandue parmi les traders. Le jeu est à somme nulle (sauf pour les courtiers qui prennent inlassablement leur prime au passage), mais cela ferait vraiment tâche qu’une telle profession soit le vivier de tant de joueurs compulsifs et magouilleurs.

Update du 24 mai : la Mission green vient de publier un second (et dernier) rapport, qui apporte de nombreuses précisions et informations nouvelles. Voir ici le post relatif.