août 14th, 2014

Ils sont 9, ce mois-ci. 9 correctifs Microsoft dont la majorité risque fort de passer dans l’indifférence générale. Exception faite de l’habituel, du nécessaire, de l’indispensable patch Internet Explorer qui colmate certains trous et remplace quelques vieux bouchons au passage. Au total, ce sont 26 CVE qui sont ainsi éliminés. Notons que c’est là probablement (si l’on en croit les affirmations de « Corp ») la dernière fois que l’on voit les noms d’anciennes versions d’Internet Explorer 6, 7, 8 et 9 dans un bulletin d’alerte. Est-il utile de préciser qu’un tel volume de pontages codo-coronariens fait passer ce bulletin dans la catégorie « à déployer tout de suite, niveau d’alerte critique »

Critique également (parfois la logique concernant la dangerosité des failles Microsoftiennes frise l’interprétation cabalistique) le bulletin MS14-043 qui concerne MediaCenter, un flop commercial pratiquement aussi magistral que celui de l’interface Bob. A oublier donc, car en dehors de quelques geeks redmondophiles, la planète multimédia a déjà été conquise depuis longtemps par XBMC (désormais il faudra dire Kodi et autres MediaPortal, Boxee ou MythTV. Egalement dans la catégorie « à déployer en urgence » mais non décoré de l’ordre de la faille critique, la MS14-048 touchant One Note.

Les autres trous de sécurité, qualifiés « d’important» tout au plus, touchent notamment .Net, SQL Server, Sharepoint et… l’installeur Windows, lequel présenterait un risque d’élévation de privilèges. Comme de tradition, la synthèse des rustines est à consulter sur la page Sécurité du Technet.

Chez Adobe, on élimine 7 CVE d’un coup dans Flash Player. Ce déploiement n’est pas urgentissime, aucun exploit, affirme le bulletin d’Adobe, n’a été rencontré dans la nature. Sous Windows, les usagers possédant plusieurs navigateurs doivent généralement déployer cette nouvelle version pour chaque version installée.

« il est temps que vous deveniez un peu plus sérieux et que vous commenciez à appliquer dans votre secteur les bonnes pratiques que l’on observe dans le secteur informatique » (ndlr : ou pas…). C’est ce que déclame en substance cette « lettre ouverte à l’industrie automobile » publiée par un quarteron de spécialistes de la sécurité des S.I. très modestement baptisé la cavalerie .

« Les automobiles d’aujourd’hui ne sont rien d’autres que des ordinateurs sur roues, de plus en plus connectées, de plus en plus pilotées par des logiciels, de plus en plus intégrées à des infrastructures de contrôle de trafic elles-mêmes informatisées à outrance. Chaque adoption de nouvelles technologies est accompagnée par un cortège de nouveaux risques entraînant de nouvelles catégories d’accidents ».

Et de suggérer plusieurs pratiques bénéfiques, telles que le suivi et la mise à jour de ces extensions informatiques, le suivi des « software development lifecycle », si possible par des entreprises spécialisées extérieures (entendons par là des entreprise du secteur SSI qui cherchent actuellement un ballon d’oxygène financier), sans oublier le Graal de la sécurité, le « security by design » qui, à l’instar du monstre du Loch Ness, fait couler plus d’encre qu’il n’a eu de témoins.

Si le cri d’alarme, à l’instar de tout conseil de prudence, est louable, on est en droit de se demander s’il sera véritablement entendu. Un avertissement lancé par la cavalerie fait espérer que cette analogie ne les fasse pas passer pour les carabiniers de Carmen. Et puis, une photographie de l’état des lieux des S.I. contemporains a tout de même de quoi faire peur aux géants de l’industrie mécanique. Imposer un « Patch Tuesday » aux fous du volant, voir apparaître en place publique les recommandations d’une sorte d’Owasp de l’embedded et de l’ordinateur de bord (l’une des principales sources de revenu des réseaux de concessionnaires), il ne faut tout de même pas exagérer. Car ce qu’ont totalement perdu de vue nos héroïques Cavaliers de l’Apocalypse Numérique, c’est que contrairement au monde du S.I., le secteur automobile a toujours su transformer la sécurité en un centre de profit. On appelle ça le SAV.

Le NIST Américain s’engage dans une grande opération d’assainissement des équipements d’infrastructure vitale (Scada) et commence par bâtir une plateforme de test des équipements industriels, le Reconfigurable Industrial Control Systems Cyber-Security Testbed. Plateforme dont la conception prendra en compte les avis des équipementiers et utilisateurs directement concernés, quelle que soit leur origine : « NIST is seeking responses from all responsible sources, including large, foreign, and small businesses ». Une attitude aux antipodes de la stratégie Anssi, plutôt axée sur le discret et secret en préférant, par exemple, ne pas mettre sur la place publique des documents qui pourraient donner de mauvaises idées.

A noter que les recommandations du Nist, une fois définies, sont généralement publiques et diffusées gratuitement.

L’Internet des objets est un tonneau des Danaïdes : un immense réservoir aussi troué que le « méchant » d’un Western série B, affirment Andrei Costin, Jonas Zaddach, Aurélien Francillon et Davide Balzarotti (Eurecom). Ces quatre chercheurs viennent de publier le résultat d’une étude technique aussi succincte (16 pages) que ravageuse.

Ils ont, pour ce faire, récupéré 32 000 firmwares, soit 1,7 million de fichiers uniques. Et même « sans avoir effectué d’analyses sophistiquées, nous avons découvert 38 nouvelles vulnérabilités inconnues à ce jour sur plus de 693 images de firmware » affirment les chercheurs. La découverte de ces défauts peut être étendue à plus de 123 produits différents. De manière générale, l’étude tend à prouver que toutes vulnérabilités confondues, plus de 140 000 systèmes embarqués, accessibles sur Internet, sont entachés de défauts de sécurité, allant de la porte dérobée installée sur un routeur Wifi au système de contrôle défectueux de l’accélérateur d’une automobile. Les défauts en question se retrouvent sur tous les types d’équipements imaginables : équipements grand public vendus dans le commerce de détail ou appareils professionnels genre automates programmables ou actuateurs/capteurs intelligents utilisés dans le cadre d’infrastructures Scada/OIV. Caméras, serveurs, équipements VoIP, Dslam, boîtiers ISDN ou ADSL, passerelles réseau, routeurs… tous n’en meurent pas mais tous en sont frappés. A ne pas lire avant de s’endormir, cauchemars garantis

La sécurité informatique fait preuve de ressources insoupçonnées. Afin de préserver les ponts de Paris qui croulent sous le poids des cadenas (plus de 80 tonnes sur le pont des Arts estime-t-on), la mairie de Paris suggère aux Héloïse et Abélard, depuis le début de cette semaine, de remplacer leurs Ronis et City par un « selfie » posté sur le site Love Without Lock, littéralement « l’amour déchaîné ». Il n’est pas dit que le bilan carbone d’un cloud réservé aux amoureux soit plus ou moins bénéfique à la planète que les dégagements polluants de l’industrie métallurgique et néanmoins serrurière. Mais dans l’immédiat, la sécurité physique des quidams empruntant lesdits ponts n’en sera que meilleure.

Il est d’ailleurs assez surprenant que nul hackerspace, pas la moindre conférence sécurité Parisienne (Hackito Ergo Sum, Hack in Paris, NoSuchCon ou autres GSdays) n’ait envisagé de voler au secours des ponts dans le cadre d’une formidable « keylockpicking party ». D’un point de vue médiatique, c’est un coup à faire la une du Parisien et de 20 Minutes.

Le prochain buzzword du landerneau sécuritaire risque d’être « cognitive fingerprint », que l’on pourrait traduire par « empreinte biométrique intelligente ». Le but visé est de remplacer toutes les lettres de crédit numériques actuelles (identification et mot de passe) par une caractéristique physique propre à chaque individu. Rien de nouveau sous le soleil, sinon que l’initiative est signée Darpa… le « machin » à l’origine d’Internet. Ce n’est pas rien, en matière de lobbying.

Mais qui dit biométrie pense capteur… et méthode pour le tromper. Empreintes digitales récupérées à grand renfort de colle cyanoacrylate, analyse rétinienne ou faciale entourloupée par une simple photographie noir et blanc, ce genre de hack fait la joie des chercheurs en mal de sujet de conférence, le bonheur des journalistes de la presse grand-public et les programmes des xxCon du monde entier.

Et c’est là que le Darpa marque un point : le meilleur des capteurs biométriques est un capteur qui n’a pas été prévu pour être biométrique. Et de citer en exemple les multiples travaux universitaires ayant fait l’objet de publications Outre Atlantique. Le JPL, par exemple, envisage d’utiliser les émetteurs des appareils mobiles (wifi/gsm …) et mesurer les variations de champ provoquées par les battements du cœur de l’usager. Le récepteur est déjà en place, manque seulement le logiciel d’analyse. D’autres organismes proposent des moyens bien plus classiques mais pourtant rarement utilisés, telle l’analyse temps/fréquence (spectre sur la durée) de la voix humaine. Même une « replay attack » à l’aide d’un magnétophone de qualité ne peut présenter les mêmes caractéristiques de signal. Et les outils d’analyse existent déjà depuis belle lurette. Passons également sur les réflexes personnels d’usage (frappe clavier, mouvement de souris, attitude du visage et du tronc de l’utilisateur face à l’écran, réaction face à un message d’erreur, tics d’utilisation…) autant de signes comportementaux quasiment impossibles à imiter… du moins au stade de l’outil faisant office de capteur.

L’initiative du Darpa ne peut pourtant être couronnée de succès que sous une condition. Celle qui consisterait à inciter les équipementiers à diffuser très largement et très rapidement ces nouveaux systèmes biométriques. Plusieurs raisons à cela.

En premier lieu, la multiplication des mécanismes d’authentification rend plus complexe l’automatisation des vols massifs de sésames électroniques. Elle nécessite une réponse adaptée à chaque protection. Ce qui pourrait « sauver la planète numérique » n’est pas l’aspect purement biométrique de l’authentification, mais le polymorphisme qu’il entraînerait.

Ensuite, l’absence de capteur dédié limite les chances de développement d’une contremesure spécifique. Plus un système de protection est spécifique, plus il s’expose à une contre-attaque spécifique à l’aide de doigts en plastique et photos noir et blanc. Une analyse spectrale de la voix sur un ordinateur a de fortes chances de fournir une signature biométrique qui sera totalement différente sur un autre ordinateur et avec la même voix, simplement en raison des disparités dans les réponses en fréquence des microphones, des amplificateurs, du bruit de phase des étages de conversion A/N… pour n’en citer que quelques-uns.

Enfin, l’aspect dynamique de l’analyse biométrique (que l’on devrait d’ailleurs appeler comportementale plutôt que biométrique) complexifie la génération d’un « même » numérique. Certes, il sera toujours possible de synthétiser une voix, une attitude, une frappe clavier si l’on possède une bibliothèque conséquente d’échantillons. Mais l’attaque ne peut être étendue à grande échelle. Le « superbiométrique cognitif » du Darpa pourrait être vulnérable aux attaques ciblées.
Mais la capture de la signature n’est pas tout. Les systèmes d’identification-authentification utilisés ont des chances d’aboutir à la génération d’un hachage qui, lui, est également vulnérable à un grand nombre d’attaques, à commencer par l’antique pass the hash, toujours aussi efficace. Cette menace est envisagée dans le cadre d’une seconde phase du programme Darpa, qui vise à voir se développer des jeux d’API les plus universelles possibles.

Insérer une clef USB, rebooter l’équipement en maintenant enfoncé le bouton de mise en marche, voilà comment Yier Jin, Grant Hernandez et Daniel Buentello parviennent à « r00ter » un thermostat intelligent Nest. Google avait racheté l’entreprise pour 3,2 milliards de $. Un trou domotique qui coûte cher.