octobre 23rd, 2014

Adi Shamir, le S de RSA, l’homme qui fut l’un des premiers à casser le A5 des téléphones GSM, s’intéresse aux transmissions « sur l’air »*. En d’autres termes, aux moyens d’émission-réception optiques capables de franchir un périmètre donné, et ainsi faciliter la fuite de données provenant d’un ordinateur totalement isolé de tout réseau.

Pour ce faire, explique DataBreachToday, Shamir utilise une imprimante multifonctions, profitant du scanner à plat intégré, pour à la fois recevoir (via les capteurs ccd de l’appareil) et émettre (à l’aide de l’éclairage du système de numérisation) des contenus numériques. Les messages de commande sont envoyés par faisceau laser depuis l’extérieur du bâtiment si, d’aventure, l’imprimante se situe dans une pièce avec fenêtre. L’exfiltration des données, par le truchement de la lampe du scanner modulé en bande de base, est reçue par un capteur optique tout à fait classique, situé également à l’extérieur du bâtiment.

Le côté « hard bidouille » est indiscutablement amusant mais son exploitation dans la vraie vie reste peu probable. En premier lieu, si l’ordinateur est véritablement sensible au point de n’être connecté à aucun réseau, ni pour recevoir des informations, ni pour en émettre, il y a de grandes chances pour qu’il ne soit pas non plus situé dans une pièce visible de l’extérieur (les salles informatiques avec baie vitrée étant assez rares). S’ajoute également la question de l’injection du code nécessaire à la gestion des signaux optiques émis et reçus par l’imprimante… isolé du réseau, l’ordinateur-cible doit nécessairement être compromis durant un « accès console », à l’aide d’une technique genre « evil maid » ou assimilée. Dans cette hypothèse, un dongle radio discret camouflé dans le clavier, l’écran ou le boîtier principal, voir inséré sur un port d’E/S conventionnel, aura moins de chances d’être remarqué et ne sera guère plus compliqué à poser.

La discrétion très relative du procédé risque également de compromettre l’efficacité du hack. Si un laser dans le proche IR ou dans le bleu profond peut effectivement passer inaperçu, ce ne sera pas le cas lorsque le scanner émettra ses données en utilisant une lumière blanche dans une portion du spectre franchement visible. Enfin, si la distance entre le laser et l’imprimante dépasse, sans le moindre problème, les 2 ou 3 km, il n’en va pas de même pour les signaux optiques émis par la lampe du scanner. Sa lumière blanche non cohérente s’atténue bien plus rapidement qu’un rayon laser. Pour contourner ce problème, l’équipe d’Adi Shamir a dû utiliser un drone volant à proximité du bâtiment, chargé de récupérer et retransmettre par radio les données émises de l’intérieur. Côté discrétion, on peut mieux faire.

*ndlc Note de la Correctrice : non, ceci n’est pas une traduction de « air gap » mais une expression couramment utilisée dans le milieu des transmissions radio. Dans les années 20, on disait même « sur l’éther », ce qui était d’un romantisme achevé. Mais qui risquerait de nos jours de passer pour une incitation à la toxicomanie.

Contrairement aux Monthy Python, le fabricant de composants FTDI n’aime pas trop les Chinois. Du moins leurs imitations d’interface série/usb et parallèle/usb (famille FT232 et assimilés). En effet, ce composant quasi universel a été copié par plusieurs entreprises de l’Empire du milieu. Or, ces circuits intégrés se retrouvent aussi bien dans les câbles de liaison ordinateur-téléphone qu’à l’entrée de quasiment tous les appareils et équipements équipés d’une prise USB.

Lassé de ce piratage, FTDI a profité d’une mise à jour de Windows pour améliorer ses pilotes, et glisser dans leur code une fonction qui reprogramme l’identifiant produit USB (PID) des faux FT232. Tout ça sans tambour ni trompette, ce qui a plongé certains électroniciens dans un abîme de perplexité, si l’on en juge par les échanges du forum EEVblog.

L’ennui, c’est qu’il est très rare, pour les usagers, de connaître l’origine d’un boîtier SOIC moulé dans le plastique d’un connecteur de terminal mobile. Tout ce que constate l’utilisateur, c’est que tout dialogue entre son appareil et son ordinateur est devenu impossible. Ces batailles entre industriels ne le concernent pas.

Sont également touchés les ingénieurs, les électroniciens amateurs, les développeurs… lesquels se retrouvent avec des prototypes napalmisés par le pilote Windows, que l’outil de paramétrage VID/PID de FTDI ne parvient plus à reprogrammer. Pour eux, une seule solution : effectuer un nouveau changement de PID soit dans une VM contenant Windows XP, soit avec un poste supportant un XP natif, soit depuis une station Linux, trois plateformes qui ne sont pas du tout concernées par le nouveau killer-driver. Et penser à ne plus acheter à l’avenir ce genre de composant sur eBay.

Il est à parier que, dans les prochains jours, les fers à air chaud vont fonctionner plus que de coutume …

L’alerte CVE-2011-4862 est probablement la faille la plus amusante (ou consternante, selon les points de vue) que Cisco ait jamais demandé à ses usagers de colmater. Le trou de sécurité concerne le Cisco WSA Virtual appliance qui possède, activé par défaut, un serveur telnet

Le correctif nécessite une très longue pratique des systèmes Unix : désactiver telnet.

Ce ransomware pour mobiles, prévient AdaptativeMobile semble limité aux USA. Depuis peu, une variante du virus-ver Koler, qui fonctionne sur plateforme Android, se répand et bloque les terminaux infectés tant que la victime n’aura pas accepté de payer. L’infection se déroule en deux temps. En premier lieu, un SMS prévient la victime qu’un compte a été ouvert en son nom sur Dropbox, contenant des photos personnelles. Lesdites photos ne peuvent être visualisées que si l’on télécharge une appliquette spécifique (le ver en question). Une fois le programme téléchargé, l’infection verrouille le terminal, affiche une page prétendument émise par le FBI, page qui exige le règlement d’une amende.

Le procédé ne se différentie guère des autres ransomwares visant les ordinateurs de bureau : opération de phishing préalable incitant la future victime à télécharger elle-même le logiciel qui causera sa perte, puis chiffrement de l’appareil. Le blog de l’éditeur explique par le détail comment éliminer simplement ce programme indésirable qui, fort heureusement et contrairement aux ransomware sous Windows, ne chiffre strictement aucun fichier.