janvier 2nd, 2015

Parlez de « hardware » à des décortiqueurs de code, et toutes les attentions sont captivées. Quand Charly Miller ou Cesar Cerrudo flinguent de l’Internet des Objets, quand Adam Laurie et Dimitry Nedospasov atomisent des circuits intégrés, même les Paganini du reversing et les sorciers du chiffrement retiennent leur souffle. Peu étonnant qu’Andrea Barisani ait fait salle comble, le second jour de NoSuchCon.

Son arme matérielle, ou plutôt son bouclier, s’appelle USB Armory. C’est un ordinateur miniature complet sous Debian, encapsulé dans un boîtier de clef usb avec une puissance un peu plus élevée que celle d’un Raspberry, 512 Mo de mémoire, un espace de stockage sur carte micro-SD et 5 gpio directement accessibles sur le circuit imprimé. Mais USB Armory, c’est surtout un système à boot sécurisé qui, par le truchement de 4 emplacements de mémoires à écriture unique, peut stocker autant de clefs personnalisées contrôlant soit le lancement et l’exécution d’un firmware certifié, soit la capacité de vérifier si l’ordinateur sur lequel est branché la clef fait bien partie d’un parc de machines de confiance, avant de « suicider » toute trace de données si ce n’est pas le cas. Sur la machine elle-même, des « zones de confiance », ou partitions, peuvent être créées pour séparer distinctement les applications et fichiers personnels et professionnels. C’est donc typiquement l’ordinateur-porte-clef qui, branché sur un poste de travail de web-café ou une tablette en mode OTG, garantira l’intégrité d’une session SSH entre le « road warrior » et ses serveurs. Tout en garantissant l’inaccessibilité de ses mémoires vives et de stockage depuis le monde extérieur durant ces transactions. En cas de perte, le contenu de ladite clef ou de la mémoire SD n’est pas lisible, et la perte financière ne dépasse pas la centaine d’euros.

Autrement dit, peu importe que l’ordinateur portable d’un itinérant soit perdu ou compromis par la pilule rouge d’une chambrière diabolique à la sauce Rutkowska : USB Armory ne peut être attaqué avec de tels vecteurs, il les ignore, il les contourne.

En pratique, cette clef intelligente se branche sur le port USB d’une machine et apparaît comme une machine reliée au réseau local. L’ordinateur hôte ne sert donc que de clavier, d’écran, de source d’alimentation et de passerelle vers le monde extérieur. Une passerelle quasiment passive puisque, dans les configurations les plus sécurisées, elle ne verra transiter que des trames chiffrées.
« J’ai tenu , précise Andrea Barisani, à ce que l’intégralité de ce nano-ordinateur soit ouverte. Toute la partie logicielle est publique, le noyau de prédilection est un linux, le schéma et le dessin du circuit imprimé même est diffusé sur Github ». Comble de l’openitude, même l’outil utilisé pour dessiner ledit circuit imprimé, Kicad, est open-source –français de surcroît. Un outil pourtant bien mal adapté pour réaliser des circuits 8 couches comportant des bus obligatoirement isochrones. Mais rien ne rebute Barisani. 8 mois durant, composant après composant, piste à piste, il passe des journées et des nuits entières à concevoir le schéma, optimiser le routage de son circuit. Pour les initiés aux choses matérielles, USB Armory compte 2 gros pavés BGA (dont le processeur ARM) et plusieurs QFN.

Pour qui sonne USB Armory ? En priorité pour les utilisateurs institutionnels qui cherchent à conserver une confidentialité des informations tant durant les transmissions via Internet –la clef se comporte en client et agent SSH- que durant toute la période de stockage locale, puisque sa mémoire de stockage est chiffrée automatiquement. C’est également une version évoluée des coffres forts à mot de passe, enrichis d’un portefeuille électronique Web intégré.

C’est également, et indiscutablement, un outil très « geek ». Barisani est venu à Paris avec 5 clefs de pré-production… il est reparti les mains vides. Pour un professionnel de la sécurité, USB Armory, c’est moins et surtout moins cher qu’un « PonyPlug », mais c’est beaucoup plus qu’un Kali-linux en mode persistant sur une simple flash usb. Outil de penstest exposé à l’occasion d’une conférence truffée de pentesteurs, on imagine les regards envieux que jetaient les participants sur les rares privilégiés usbarmorisés. C’est également l’équivalent d’une machine de prototypage facile à transporter (un raspberry ou un Odroid U3 sans la filasse usb, hdmi alimentation etc.) ainsi qu’un système embarquable complet qui ne nécessite que d’une alimentation 5V pour fonctionner. Or, dans le domaine OEM, il n’existe pas de système embarqué sécurisé véritablement ouvert et fiable et de petite taille que l’on pourrait intégrer sans crainte dans l’un des innombrables « internet des objets » qui voient le jour ces temps-ci.

A ces champs d’applications presque classiques, j’ajouterais par exemple, conclut Barisani, le domaine du contrôle de processus industriel sécurisé, secteur ou le « soft » est toujours très en retard sur le « hard », ou encore dans les méthodes de déploiement de programmes dans le cadre d’infrastructures informatiques classiques, secteur ou la connaissance du « hard » est très en retrait sur la culture « soft ». »

NoSuchCon #2, le second bullshit-free hardcore technical InfoSec event parisien, s’est achevé le 21 novembre dernier. Salle comble, interventions très variées et en général d’une haute qualité technique s’adressant à un public assoiffé de « reverse » et passionné par les « PoC » les plus exotiques. NoSuchCon est une réunion placée sous le sceau de la recherche pure, frisant parfois l’ésotérisme.

Qui donc peut être intéressé par ce genre de réunion ? La communauté des chercheurs, de prime abord. Celle qui souhaite clamer haut et fort que la sécurité des S.I. ne peut se limiter à une simple posture défensive et une suite de « solutions » prédigérées genre antivirus+firewall NG+iso27xxx… Sans recherche, l’adversaire gagne toujours, ne serait-ce que lors de la première attaque, celle que ne connaissent pas encore les équipements de défense périmétrique. Sans recherche, pas d’anticipation, sans recherche, pas d’extrapolation à partir d’attaques déjà connues. Sans recherche, no fun, no profit.

Assistent ensuite à ce genre de conférence les observateurs, généralement des RSSI/CISO qui n’ont pas perdu pied avec ce monde très technique et souhaitent encore « comprendre » pour ne pas accepter comme parole d’évangile les analyses des vendeurs. Car la recherche offre le recul, contribue à l’analyse, facilite l’évaluation du risque. Une réaction légitime en ces temps de marketing de la menace, lorsque les virus arborent un logo et frappent les manchettes des journaux avant même d’être réellement repérés par les outils de filtrage. Les attaques à trois lettres (AET, CIA, APT,NSA…) provoquent parfois plus de dégâts dans les esprits et les budgets que sur les serveurs. Etre méfiant, certes, mais à bon escient, non pas en fonction de l’importance médiatique d’un danger annoncé, mais en se basant sur l’avis de véritables savants : chercheurs, CERT, spécialistes indépendants. Font également partie des observateurs quelques fonctionnaires du Ministère de l’Intérieur, de l’Anssi et de plusieurs entreprises de conseil en sécurité TIC qui viennent « faire leur marché » parmi l’assistance.

Mais cette ambiance passionnée ne parvenait pas à marquer non pas une inquiétude, mais une certaine préoccupation professionnelle. Si l’on excepte les 20 % du marché constitué par les « bijoux de la couronne » du CAC 40, quelques OIV, l’Administration, les 80 % restant, les petites, les moyennes entreprises, le secteur de l’artisanat, tous courent sans hésiter vers une informatique (et donc une sécurité) cloudifiée du sol au plafond. Même certains « grands comptes » ne s’en cachent pas, invoquant des considérations économiques évidentes. De là à estimer qu’à terme, à force de virtualiser et d’externaliser, les métiers de DSI et de RSSI vont eux également se virtualiser et s’externaliser… Ne survivront que ceux intégrés dans les fameux « 20 % » qui n’externaliseront pas ou peu pour des raisons stratégiques, et ceux, encore moins nombreux, qui travailleront pour les « externalisateurs » mêmes, au sein des Big Five et de leurs satellites spécialisés dans la SSI des grands centres de calcul et autres datacenters.

Que restera-t-il aux hommes sécurité d’entreprise ? La charge de commander des audits, de vérifier une mise en conformité, à la rigueur de collaborer à une cellule de crise… mais les mots CVE, PoC, exploit, reverse, ZDE, forensique disparaîtront peu à peu de leur vocabulaire.

Les conférences sécurité techniques résisteront-elles à cette transformation ? Toutes n’en mourront pas, mais toutes seront frappées, cédant le pas aux « salons sécurité » déjà existants, où l’on parle de commerce plus que de veille technologique. Le discours « la sécurité est un processus » pourrait bien définitivement régresser pour laisser place au leitmotiv « la sécurité est une suite de solutions » (entendons par là une succession de produits clef en main et services « on line » vendus sur catalogue, empilables à foison). Les hebdomadaires à grand tirage continueront de titrer « Les gentils hackers existent, nous les avons rencontrés ». Les politiques et dirigeants d’entreprises évoluant hors du sérail informatique, qui se heurtaient déjà à d’énormes problèmes de vocabulaire entre le jargon technoïde des chercheurs et les arguments alarmistes des vendeurs, risqueront de n’entendre plus qu’un seul son de cloche.

NoSuchCon, Hack In Paris, Hackito Ergo Sum, BotConf (classons hors concours les SSTIC) sont nécessaires à l’entretien d’une culture sécurité et à l’établissement d’un dialogue, d’une vulgarisation au sens noble du terme. Sans cette vulgarisation (et donc indirectement le concours des média), le message risque de ne plus passer entre ceux qui cherchent et ceux qui financent, ceux qui légitimisent l’usage des bonnes pratiques et ceux qui doivent coder en les respectant. Il n’est peut-être pas toujours glorieux, pas toujours scientifique de devoir expliquer en termes simples non seulement les étapes d’un travail de recherche, mais également les implications que ce travail laisse prévoir. Faire l’effort de publier cette sorte « d’executive summary » pré ou post conférence assurerait, quelle que soit la direction que prendra le métier d’homme sécurité, une communication non biaisée, étrangère à tout conflit d’intérêt et destinée à un large public… politiques et grands dirigeants y compris.

« Deloitte France et Hervé Schauer Consultants (HSC), société de conseil en sécurité des systèmes d’information, annoncent leur rapprochement. Deloitte renforce ses expertises de conseil et d’audit en sécurité des systèmes d’information (SSI) » annonce le communiqué commun émis en décembre dernier.

Depuis un peu plus de 2 ans, sous l’impulsion des instances gouvernementales, le domaine de l’audit et du conseil en SSI auprès des entreprises (et plus particulièrement OIV et acteurs du CAC 40) s’est fait peu à peu accaparer par quelques grands opérateurs. Le « marketing de la cyber-frousse » distillé aux grands patrons, particulièrement après la vague Snowden, a profité aux sociétés de services « labellisées » par l’Anssi, et plus particulièrement aux plus importantes d’entre elles. La vie devenait relativement difficile pour toute entité située entre le « petit cabinet d’audit très spécialisé » et la grande cavalerie des « ténors de la sécu ».

Le mariage HSC/Deloitte fait suite à d’autres consolidations du même genre. L’ère de la « sécurité as a service » (en bon franglais) marque le début de la fin des « indépendants de moyenne envergure » … en attendant que ne disparaissent définitivement, outsourcing et cloudification obligent, les équipes de sécurité opérationnelles internes aux entreprises.

Pour Ken Sakamura, professeur à l’Université de Tokyo et conférencier lors du dernier congrès sur les RFID , il ne peut exister de smart tag sans une gestion à la fois stricte et planétaire de toutes les étiquettes intelligentes. Toutes, et cela englobe aussi bien les RFID HF et VHF, les NFC, les multiples périphériques de l’Internet des Objets (certains utilisant des fréquences et des protocoles totalement exotiques) et même les étiquettes code à barre EAN ou QRCode. Ce serait à la fois une architecture « intelligente » au service de l’homme et un redoutable système inquisitorial capable de fliquer, d’analyser, d’interpréter les moindres faits et gestes des usagers et des objets situés dans l’infrastructure UID2 (Ubiquitous Identifier version 2). C’est également, à l’heure actuelle, la seule porte de sortie normée et ouverte qui permette de s’affranchir des architectures propriétaires imposées par les fabricants d’étiquettes, des disparités techniques, des limitations normatives qui rendent incompatibles les codes à barre, les NFC, les RFID, les SmartMeters et autres SmartProbes passées, présentes et à venir.

L’idée du professeur Sakamura est simple : attribuer un identifiant unique de 128 bits (2E128 objets identifiables) à chaque objet connecté, indépendamment de la technologie ou technique sur laquelle il repose. Un code 128 bits tient « à l’aise » tant dans un RFID que sur un QRCode. Cette idée d’identifiant unique n’est pas nouvelle. Les adresses IP routables du réseau public, celles, plus anciennes, du réseau X25, les VID et surtout PID du monde USB… Qui dit identifiant unique pense annuaire, donc autorité d’enregistrement. Celle du projet Ucode se trouve au Japon, qui joue à la fois le rôle de TLD (Top Level Domain) et de « root », la première délégation de TLD se situant en Finlande, à Oulu. Il n’existe pas encore de SLD, serveurs de second niveau.

Mais immatriculer du composant communiquant n’est pas franchement révolutionnaire. Ce qui l’est, c’est que chaque numéro unique peut à son tour constituer une jointure sur une toute autre base de description (Wiki, page Web, base de données SQL etc.). Une requête émise par un téléphone portable peut alors, une fois aiguillée par le bon numéro UID, fournir des mégaoctets d’informations sur le produit ou le lieu « étiqueté ». En approchant un smartphone compatible NFC/RFID/lecteur optique d’un repère inséré sur une borne ou un vestige de mur, l’utilisateur lira immédiatement « La chapelle : Rasée par le Prince Noir, incendiée par les Huguenots, pillée par les Sans-culotte aux révolutions de 89, 30 et 48, est entièrement d’époque… » avec liens pointant chacun à leur tour sur les liens Wiki des différentes périodes de troubles susmentionnées. Ceci ne peut de toute évidence tenir dans les 32 K d’une étiquette RFID, la notion de jointure « a posteriori » frise donc l’idée de génie. C’est l’équivalent du « IN ADDR ARPA » de nos Domain.txt qui renvoient au nom de domaine à partir d’un simple numéro IP.

Mais le système fonctionne également dans le sens inverse et peut enrichir à chaque requête une autre base de données qui sera libre d’associer le profil du requérant, sa position géographique, la date de Relation, toutes données relatives aux autres objets satellites à l’objet IoT. C’est de la collecte de métadonnées dopée aux stéroïdes anabolisants. A un premier niveau, une relation UCR (pour Ucode) peut par exemple relier consultation, historique des précédentes requêtes et surtout, par le truchement d’un autre protocole UCR : concrètement à partir d’une étiquette « palette de biscottes », les autres étiquettes de chaque boîte de 12 paquets de biscottes, puis de chaque paquet en particulier. En allant plus avant, un « tag » noyé dans l’épaisseur d’un trottoir pourrait également signaler tant des informations géolocalisées (noms de rues avoisinantes, historique du lieu …) mais aussi la liste des magasins proches, des biens vendus dans lesdits magasins (dont les fameuses biscottes) etc. Il n’existe aucune limite dans la « profondeur » avec laquelle ces relations UCR peuvent être enchaînées et interrogées et qui sont à même de générer à leur tour des liens d’informations. UID, c’est l’hypertext des objets de l’IoT. Les âmes sensibles peuvent craindre que ce profil ne soit complété par les récents achats stockés dans la mémoire de la carte de crédit possédée par le requérant, l’historiques des derniers trajets, les habitudes de consommation, les fréquentations géographiques (Synagogue, Temple ou église, local syndical, clubs privés), dans le but de de parfaire le profil. Et compte tenu de la rapidité de non-réaction des organismes chargés de la surveillance des libertés individuelles (voir le précédent des NFC bancaires en France), il serait surprenant que personne n’ose piocher dans cette manne d’indiscrétions. D’ailleurs, si la « norme » UID définit les interactions entre serveurs d’identifiants et serveurs de contenus associés, elle n’en légifère aucun aspect.

Car la gestion des numéros UID elle-même est strictement encadrée par quelques RFC (RFC6588 notamment), normes Japonaises, recommandations ITU (H642), API de requêtes vers les TLD, intégration avec d’autres architectures tel OpenStack. Des normes qui évitent d’esquisser tout cadre précis destiné à policer les bases de contenus complémentaires que souhaiterait ajouter qui le vendeur de biscottes, qui la municipalité dispensatrice d’étiquettes radio d’informations. L’application mobile chargée d’émettre les requêtes ne doit respecter que le bon usage des API servant à dialoguer avec les TLD UID2… le reste est à l’avenant de l’auteur de « l’app », flicage compris ou non. Et le nombre de systèmes de gestion pouvant être concerné par une simple requête est quasi illimité. A titre d’exemple, un projet expérimental déployé au Japon reposent sur 5 plateformes : Kokosil, qui gère les informations d’emplacement et les relations entre ces différents emplacements, Monosil, qui supervise les objets eux-mêmes et les relations entre objets (l’écosystème des objets disposant d’un identifiant UID2), Kotosil qui administre et délivre les « contenus » ou informations complémentaires, Daresil qui jongle avec les utilisateurs, groupes d’utilisateurs et relations inter-utilisateurs du réseau UID2, et Kachisil, chargée de s’occuper des comptes et accès aux services payants (car à l’instar de tout service de fourniture de contenu transitant par une « app » pour téléphone mobile, il peut être envisageable de facturer lesdits contenus, remember le Minitel). Une interrogation, 5 requêtes associées, autant de remontées de métadonnées.

Pour l’heure, un tel projet est embryonnaire, mais, à l’exception de quelques concurrents conçus par quelques grandes administrations (la NSA notamment, et très probablement un projet approchant chez Google), il n’existe pas de réel équivalent au système Ucode/UID2. Les chances pour qu’il soit un jour adopté aux USA et en Europe ne sont pas nulles. Et quand bien même cette initiative du professeur Ken Sakamura se solderait par un échec qu’il y a trop à gagner en termes d’analyse Big Data qu’une architecture concurrente ne puisse voir le jour. Certes, les vendeurs d’étiquettes résisteront encore quelques temps, dans l’espoir de voir leur solution propriétaire l’emporter sur une réponse normée, internationale et ouverte. Mais la pression du marché sera plus forte, celle effectuée par les grands utilisateurs qui déjà emploient parfois quatre ou cinq technologies de marquage différentes et souhaitent un peu plus qu’un retour sur investissement limité à la logistique.