juin, 2015

Dans un routeur Wifi Qihoo, inutile de chercher un paramètre de réglage de puissance exprimé en dBm. On y trouve, nous explique le Guardian, les niveaux « Traverse les murs », « normalement dosé » et « femme enceinte ». Le premier équipement labélisé par l’équipe d’obstétrique du CHU de Pékin ?

Son concurrent direct, Xiaomi, réplique du tac au tac. De telles assertions sont non seulement fantaisistes, mais laissent penser que les produits autres que ceux de Qihoo pourraient provoquer des effets néfastes sur les nouveau-nés, ce qui va à l’encontre de toutes les recherches scientifique réalisées jusqu’à présent. A l’exception peut-être des études de quelques chamanes de la peur généralement (et par le plus grand des hasards), vendeurs de « couvertures anti-ondes », de « pochettes de protection RFID » ou de « fontaines à ions positifs » et autres « flacons d’eau lustrale polarisée».

Ne pas « savoir », c’est être obligé de « croire ». Ce pourrait être un aphorisme de Lao Tseu ou une maxime de Sun Tzu.

Passons rapidement sur l’alerte lancée dans la plus grande des urgences par Adobe et qui concerne le énième défaut affectant une nouvelle fois Flash Player. L’exploitation de CVE-2015-3113 « pourrait rendre possible une prise de contrôle à distance » précise le bulletin. Le conditionnel peut être éliminé d’office, car lorsqu’un avertissement de ce type est publié en fin de mois, c’est que la menace est prise au sérieux et la mise à jour semble obligatoire.

Chez Cisco, deux fois rien ou presque puisqu’il s’agit encore d’un mot de passe par défaut. Sont concernés les appliances virtuelles IronPort WSA, ESA et SMA. Le bulletin précise que les mises à jour sont d’ores et déjà disponibles

Franchement, après Angela qui se fait pirater son Siemens, le root du Sagem de Nico, la compromission du S64 * de Jacquot, et le détournement du Wiko de François que vient de révéler Wikileaks, on en arrive à se demander comment ils arrivaient tous à téléphoner avec des appareils perclus d’autant de Spywares. Tonton, leur illustre prédécesseur, préférait pour sa part écouter qu’être écouté. Il faut dire qu’en ces temps reculés, Internet n’avait pas la place et l’importance qu’on lui connaît aujourd’hui. Pour se lancer dans le business des écoutes, nos dirigeants s’entouraient d’escouades de solides plombiers. Et quand on sait combien il est difficile de dénicher un bon plombier pas trop cher, à Paris, au mois d’août…

C’était pas mieux du côté de Washington, quand Richard a dû faire appel à un prestataire du secteur de la serrurerie. Les factures de ces artisans sont hors de prix, quant à la qualité de leur travail, on repassera. Plombier ou serrurier, d’ailleurs, simple question de préférence nationale.

Rappelons-nous également qu’il était parfois très difficile pour le dirigeant d’un Etat de pouvoir communiquer avec ses homologues. Ca faisait des complications techniques incroyables, à tel point que certains d’entre eux devaient recourir à des installations privées fort coûteuses.
Avec Internet et la téléphonie mobile, plus de problème, « There is ever an app for that ». Du coup, il suffit de joindre son propre Ministre des Affaires Etrangères pour que les Five Eyes soient mis au courant sur le champ. Un appel au Ministère de l’Ecologie, à Cécilia ou à Julie, illico ce sont les 14 eyes qui sont en alerte rouge, et Sylvio s’inquiète d’un éventuel recul de trois points dans les sondages qualifiant pour le trophée « Man of the year ». Un simple SMS à l’Agriculture, cependant, ça ne sort jamais des 9 eyes… trop d’information tue l’information.

Parfois même, le système sert à tenir en éveil les Ministres d’un même pays entre eux. En Grande Bretagne, par exemple, les services d’écoute ont tellement bien fait les choses qu’une communication avec le Lord chargé des pêcheries à la Chambre génère immédiatement un rapport sur le bureau de l’Intérieur, et un MMS de l’Echiquier pour les beaux yeux d’Elizabeth se retrouve dupliqué (pardon, il s’agit d’un backup) sur les NAS du MI6 nous apprend l’Honorable Sir Mark Waller, commissaire de ce pays où l’Intelligence est plus un service qu’une qualité.

Comment ça, la rédaction de Cnis prend tout ça trop à la légère ? Mais que nenni ! C’est même écrit dans WikiLeaks : à chaque haut fonctionnaire, pour le moindre Ministre ou Secrétaire d’Etat Français, le réseau « j’écoute pour vous » de la No Such Agency se met en branle. On appelle ça travailler en mode SaaS, pour « Spying as a Service ». C’est qu’ils doivent être heureux ces Grands Commis de l’Etat, qui ont voté comme un seul homme une loi pour légaliser et banaliser l’espionnage et les écoutes téléphoniques. Que de temps gagné ! Que de paperasse et de sourcils froncés de juges éliminés ! Et n’imaginons pas qu’il s’agisse-là d’une exception culturelle nationale. Les Ministres et hauts fonctionnaires des USA, du Canada, des territoires Angles, de Germanie ou de Lusitanie profitent très certainement de services comparables. Et franchement, voir toutes ces femmes, tous ces hommes politiques se parler sans la moindre cachoterie ou pudeur mal placée, ça rassure vraiment pour l’avenir de la démocratie, l’entente entre les peuples et le développement économique général.

* NdlC Note de la correctrice : un S64, c’est ça.

Le cauchemar commence avec Mario Heiderich, un habitué de HIP, qui entame le cycle de conférence « catégorie Poids Lourd » avec un hack franchement traumatisant, qui aurait pu s’intituler « Lorsque le presse-papier lance une attaque MIM » « Une opération aussi anodine qu’un couper-coller peut servir à injecter pratiquement n’importe quoi en fonction des capacités de l’application source » explique Heiderich. « Car le presse-papier doit pouvoir non seulement transporter l’information primaire (les éléments ascii d’un texte par exemple) mais également les attributs contextuels : type de fonte utilisée, sorte, liens etc. ». Et notamment des éléments XML par exemple. Les recherches de Heiderich commencent avec un outil conçu par Peter Büttner destiné à radiographier le contenu du presse-papier. « Cet utilitaire met en évidence les containers liés au contenu, donc à l’application d’origine. RTF, HTML, unicode, objectlink, metafiles…container plus ou moins nombreux selon qu’il s’agisse d’un couper-coller provenant d’une page web, d’un texte issu de Notepad ou d’une phrase tirée d’un document Word. De là germe une idée logique : comment injecter ou exploiter ces caractéristiques pour compromettre soit l’usager, soit l’application destinatrice. Heiderich y parvient en modifiant la feuille de style d’un document OpenOffice (un fichier zip qui contient un fichier XML regroupant notamment les fontes de caractères utilisables) et en y glissant des ruptures pouvant laisser place à une injection HTML. Echec cuisant, car un processus de nettoyage interdit ce genre d’attaque. Une injection HTML qui exécuterait ensuite du Javascript ? Nouvel échec. De tentatives en essais, d’essais en astuces diverses, c’est en tirant parti d’un fichier graphique SVG issu d’une déclaration HTML, elle-même tirée d’un changement de police de caractère rendue possible par une édition de la feuille de style d’un document OpenOffice que le chercheur Allemand parvient enfin à créer une attaque XSS visant à la fois Chrome et Firefox. La suite de l’histoire n’est que déclinaison du procédé. Passera également par le chevalet de torture de Mario Heiderich les fichiers pdf fourrés au flash.

Matias Katz,pour sa part, revenait sur les portes dérobées sous X11 construites en quelques lignes de python, des travaux déjà exposés notamment durant une récente Ekoparty. Katz a expliqué comment écrire un script (d’attaque ou de verrouillage d’ordinateur, selon le désir de chacun) qui ne s’active que sur la modification d’état d’un évènement matériel insoupçonné. L’interrupteur d’extinction d’écran lorsque se replie l’affichage d’un ordinateur portable, ou la position de l’interrupteur ouvert ou fermé par la présence ou l’absence d’un jack audio dans l’un des connecteurs de la carte son… les hacks les plus simples sont parfois les plus élégants. Il est même probable que l’on puisse transposer les travaux de Katz dans l’environnement Windows, en surveillant directement certaines informations en provenance de la HAL.

La présentation suivante, de Timur Yunusov, a fait le tour du monde sécurité depuis PacSec l’an dernier. Une courte séquence vidéo sur Youtube, un article très didactique d’introduction sans oublier les documents publiés à l’occasion de HITB 2015 fournissent une multitude de détails sur les recherches en question. Attaque de carte SIM, clonage de téléphone ou de clef USB « 4G », interception de trafic, mise à niveau à distance d’un « vieux firmware » de clefs 4G afin de simplifier l’opération de compromission, pénétration du réseau d’opérateur… l’équipe ptSecurity est aussi redoutable que talentueuse.

La première journée de Hack in Paris s’est achevée avec un débat « Le droit à l’autodéfense dans le cyberespace » animé par Wim Schwartau dans le rôle du maître de cérémonie, et de trois participants : Bob Ayers, 30 ans de métier dans les services de renseignement US (DIA), Jeroen Van Der Vlies, membre de la communauté « cyberguerre » Hollandaise et Don Eijndhoven, expert civil en matière de cyberguerre et géopolitique numérique. Discussion en droite ligne d’un débat tenu lors d’un Hackito Ergo Sum, dans l’ombre du discours de Keith Alexander lors de la création d’un pôle unique de cyberdéfense américaine, en 2012, annoncé officiellement à la RSA Conference de San Francisco cette année-là. Rien de nouveau sous le soleil, l’idée même d’une défense mâtinée d’attaques préventives « histoire de prévenir les éventuels débordements de l’axe du mal » fait toujours recette du côté des faucons de l’école Républicaine, la vieille Europe, quant à elle, prônant une attitude plus prudente sans toutefois tomber dans l’angélisme béat. Ce débat n’apportait strictement rien de nouveau quelques semaines à peine après la proposition US de voir contingentées les « armes de cyberdestruction massives » par un addendum au traité de Wassenaar. Discours totalement manichéen qui oppose le « grand large » et sa droite dure qui ne pense pas et une ligne libérale mi-conservatrice, mi-progressiste du vieux continent qui ne pense plus en raison de l’américanisation de son infrastructure.

Lorsqu’Axelle « Crypto Girl » Apvrille a décidé de s’intéresser aux bracelets Fitbit Flex (un compagnon « fitness » censé nous suivre tout au long de nos activités physiques), ledit bracelet avait déjà un lourd passé d’indiscrétions. Dès 2011, Andy Baio, en un Twitt lapidaire, expliquait à qui voulait bien l’entendre comment les données collectées et cloudifiées par cet accessoire pouvaient révéler l’activité sexuelle de son porteur. Dans la catégorie « atteinte à la vie privée », l’objet en question bénéficiait déjà d’une véritable tête de champion. Naturellement, ont succédé les hacks les plus divers pour tromper les capteurs de ce cyber-prof de gym. Parcourir 10 000 pas en moins d’une heure ? Rien de plus simple si l’on attache ledit bracelet à la jante d’une automobile ou si l’on joue avec les mécanismes de synchronisation utilisant un protocole aussi propriétaire qu’indiscret. Ce qui compte, après tout, c’est de publier sur un réseau social ses performances, pas vrai ?

Les travaux d’Axelle Apvrille se situent donc dans la droite ligne des recherches de Rahman, Carbunar et Banik, autrement dit en utilisant une approche scientifique basée sur une analyse méthodologique des protocoles et des vulnérabilités de l’appareil. Un protocole transporté en Bluetooth « low energy », et dont les échanges de paquets entre la clef USB de synchronisation et le bracelet lui-même peuvent être capturés. Pour ce faire, Apvrille a utilisé une carte Galileo et Wireshark pour examiner les données de synchronisation, tenté (et parvenue avec succès) de reproduire le protocole de communication avec le bracelet, et découvert au passage plusieurs commandes non documentées régissant précisément ces échanges ainsi que des vulnérabilités donnant accès à des données contenues en mémoire. Mais le passage le plus amusant de l’histoire, c’est lorsque la chercheuse explique comment l’on pourrait utiliser ce bracelet sportif comme source d’entropie. Exploiter une faille pour créer la première pièce d’un système de chiffrement solide, le tour est savoureux.

De prime abord, la recherche peut paraître vaine. « Encore une attaque de l’Internet des objets » Oui, encore. Mais, insiste Axelle Apvrille, il est important de signaler les erreurs d’intégration qui affectent ces objets de tous les jours. Grosse failles et petits effets aujourd’hui, mais qu’en sera-t-il demain ? Car l’on peut s’attendre à ce que des erreurs identiques soient commises dans la conception d’équipements plus sensibles, plus critiques si l’on n’y prend pas garde.

Il ne s’agit pas là d’une vision utopique de spécialiste. Un récent article de nos confrères de Computer Weekly mettait en lumière le « manque de confiance croissant des usagers dans le domaine de la maison intelligente » et d’invoquer la peur d’un flicage généralisé de la NSA une fois que chaque citoyen se verra entouré de « smartmeters » et autres objets de l’Internet. C’est le résultat du « double effet Snowden » qui, de manière relativement brutale, parvient à faire comprendre les implications d’une faille de sécurité qui, jusqu’à présent, ne passionnait que quelques nerds perdus dans des conférences de sécurité improbables. On peut bien sûr discuter sur le bienfondé d’une telle crainte, mais le résultat est là : dans l’inconscient de la société, les machins connectés commencent à inspirer un doute légitime. Le premier pas vers une forme de prudence numérique ?

C’est sous le chapiteau principal de l’Ecole du Cirque Fratellini que s’est déroulée la 5ème édition de Hack in Paris, conférence sécurité organisée par Sysdream. Un cycle de conférence qui commençait très fort, avec la présentation de deux chercheurs de l’Anssi (si si !) Jose Lopes Esteves et Chaouki Kasmi, intitulée « Vous ne m’entendez pas, mais ce n’est pas le cas de votre interface vocale ».

Esteves et Kasmi sont parvenus à faire fonctionner silencieusement (donc à l’insu de son propriétaire) l’interface de reconnaissance vocale de plusieurs smartphones. Comment ? Le Poc est aussi alambiqué que le cycle de reproduction de la douve du mouton. Il faut, tout d’abord, que la future victime utilise le récepteur radio FM généralement intégré dans les téléphones de nouvelle génération (s’il préfère écouter France Culture en streaming, le hack est impossible). Et il est également nécessaire que l’interface vocale (Siri, Isis, Vlingo, Google Now etc.) soit activée. Ah, nous allions oublier… que ledit téléphone puisse posséder un accès à Internet, indispensable pour que ladite interface puisse fonctionner. Sans Internet, pas d’interprétation des phonèmes.

Bénéficiant de ces prérequis, les deux chercheurs ont tout tenté pour, à distance, prendre la main sur le terminal. Et c’est là qu’ils ont fait preuve d’un certain génie. Il faut savoir que ces récepteurs radio intégrés utilisent le fil du casque du téléphone (et plus spécifiquement le fil du microphone) en guise d’antenne. Pas de casque avec micro, pas de hack. Ce fil micro sert également à transporter le signal audio qui sera interprété par le logiciel de reconnaissance vocale. Un signal audio qui, avant d’être décortiqué par la partie « soft », doit tout d’abord passer par un filtre passe-bas, puis amplifié avant d’être utilisable. Or, en injectant, avec un simple émetteur en modulation d’amplitude, un signal radio, ce fameux filtre passe-bas élimine le la composante haute fréquence dudit signal (la « porteuse »), mais laisse passer son enveloppe. Et l’enveloppe n’est rien d’autre que l’information basse fréquence transportée, la voix en l’occurrence. Doit également se produire un phénomène de détection dans la partie amplification (le « miracle » des amplis audio qui diffusent FIP tant que l’on n’a pas appliquée une bonne réjection en mode commun)

Du coup, il est possible de déclencher vocalement, par exemple, la mise en marche des fonctions Bluetooth (ce qui facilitera une attaque BlueSnarfing, BlueStumbling, BlueJacking etc.) et l’accès aux données privées contenues dans l’appareil. Vol de contenu d’agenda, destruction des données à distance, injection de charges virales ou de logiciel-espion, à ce stade-là, tout devient possible.

Ce scénario est-il réaliste ? C’est très improbable. De l’aveu même des deux chercheurs, les moyens à mettre en œuvre sont relativement lourds. Afin de mener à bien leur preuve de faisabilité, Esteves et Kasmi ont dû travailler dans une cage de Faraday pour s’affranchir des bruits de bande et des produits d’intermodulation (particulièrement riches dans la bande broadcast 88-108 MHz). Il fallait également que dans cette cage puisse aboutir un signal Wifi, obligatoire pour offrir un accès Internet au logiciel de reconnaissance vocale. Enfin, le niveau de puissance HF nécessaire (près d’une cinquantaine de watts à quelques mètres) devient vite un handicap pour que l’exploit soit utilisable dans la vraie vie, à l’air libre et sur de grandes distances. Précisons, à la décharge des deux chercheurs de l’Anssi, que l’émetteur utilisé côté attaquant était une radio logicielle USRP, dont les performances en matière de pureté spectrale et de qualité d’émission en général (imd, stabilité etc.) sont inférieures à ce que pourrait fabriquer un enfant de 15 ans avec un oscillateur Colpitts, un bon amplificateur linéaire et un filtrage sérieux.

Alors, un PoC hype et sans conséquence ? Pas vraiment. Messieurs Jose Lopes Esteves et Chaouki Kasmi ont ouvert la voie à une nouvelle forme de compromission, celle reposant sur une injection de signal HF dans des étages qui ne sont pas du tout conçus pour ça. Il faut parfois bien peu de choses pour qu’une modulation AM « passe » un système basses fréquences. Tout utilisateur d’amplificateur HiFi ou d’enceintes asservies a un jour « entendu la radio » sans que soit connecté le moindre tuner. C’est ce phénomène, très courant, de démodulation quasi spontanée qui a été exploité dans ce cas précis. Il ne reste plus qu’à se livrer à un petit exercice de fuzzing radio pour découvrir de nouvelles victimes hertziennes.

Une journée de conférences Infosec … et une nuit pour l’inévitable CTF, GreHack « 3rd Panick » se déroulera le 20 novembre prochain, après une petite année d’interruption. Novembre, trop tôt pour achever ce périple Grenoblois par une ride-session à Chamrousse, trop tard pour tenter quelques couennes en Chartreuse. Période idéale donc pour écouter studieusement les présentations « sécu » qui se succèderont dans les amphis de l’Ensimag de Grenoble.

L’appel à communication vient d’être lancé. Le programme est en tout point comparable à ce que l’on peut attendre d’une conférence sur la SSI : intrusions logicielles et matérielles, compromissions et PoC divers dans les secteurs de la mobilité, de l’IoT, du Scada (OIV en français), camouflage de code, reverse… toute proposition sera examinée avec attention par le comité de lecture. Un comité et une organisation, doit-on préciser au passage, qui n’est plus exclusivement « universitaire ».

Des « Rump sessions » seront également ouvertes, ainsi que quelques ateliers ne demandant pas une préparation aussi formelle. Déjà, les hackerspace locaux et chercheurs indépendants ont été contactés. Toute autre bonne volonté de participation sera la bienvenue, les organisateurs attendent les propositions de chacun.

GreHack fait partie de cette nouvelle génération de réunions techniques régionales, telle que Botconf l’itinérante ou que Coriin à Lille, qui cherchent non seulement à montrer que les compétences et les recherches SSI ne sont pas exclusivement parisiennes, mais qui représentent également un pôle de compétence locale en matière de sécurité informatique, là où les entreprises se sentent souvent oubliées par les institutions nationales.

D’autres informations suivront, publiées sur le site http://grehack.fr/. L’ancien serveur Web Grehack.org doit être considéré comme « deprecated » (c’est comme ça qu’on parle dans ce milieu de sorciers du code, paraît-il)

* NdlC Note de la correctrice : Terme de Geek tendance dure et « canal historique » issu d’un roman de Heinlein (En terre étrangère) signifiant « comprendre dans sa complétude ». Je groke, donc je hacke. ACK ?

Les organisateurs de cryptoparties (pardon, des chiffrofêtes) et les afficionados de la confidentialité numérique vont prendre quelques cheveux blancs à la lecture d’un des derniers billets de Bruce Schneier intitulé « chiffrer les disques Windows ». L’auteur (père des algorithmes Blowfish et Twofish et par conséquent Maître incontestable de la chose), l’auteur donc narre la longue succession de logiciels de protection qu’il a utilisé au fil de ces dernières années. PGP, puis TrueCrypt, puis Bitlocker, puis BestCrypt ; avec, pour chaque produit, la raison pour laquelle il a perdu confiance et opté pour un nouveau logiciel. Quatre outils en moins de 10 ans, dont 3 différents au fil des 300 derniers jours écoulés. Lorsqu’un maître du chiffrement a du mal à trouver chaussure à son pied, l’on peut désespérer que le public parvienne un jour à protéger ses données correctement.

OpenSSL un peu trop Open : 6 failles – CVE-2014-8176, CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791et CVE-2015-1792, affectent les versions 0.9.8, 1.0.0, 1.0.1 et 1.0.2 d’Open SSL. Le type d’attaque que permettrait ces failles de sécurité n’est pas franchement à la portée du premier virus venu.

Un opérateur Cloud qui se fait « intruser », ça fait nécessairement du bruit. Dame, le premier argument de l’informatique dans les nuages, économie d’échelle mise à part, n’est-il pas la sécurité absolue du procédé ? Mais lorsque cet opérateur intrusait avait mission d’offrir un service de stockage des mots de passe, autrement dit le sésame de millions de systèmes d’information ou d’accès à des données, ce n’est plus la Bérézina, c’est l’apocalypse. Et c’est très exactement ce qui est arrivé à LastPass. El Reg se contente de relater succinctement l’affaire et conseille aux usagers de « changer le mot de passe principal » de leurs coffres forts à identifiants, comme le conseille d’ailleurs le prestataire. Brian Krebs, pour sa part, s’étend sur les risques techniques d’un tel piratage, explique les vertus du salage, précaution prise par l’opérateur en question, et Graham Clueley, faisant probablement référence à la trilogie en 5 volumes du Guide du Routard Galactique, conclut par un « DON’T PANIIIIIIIC !!!… and change your masterpassword ». Ce à quoi Robert Graham d’Errata Sec renchéri par un « même pas peur » argumenté avec force explications techniques. Même chanson, même refrain de la part du HNS.

Pourtant, aucun de ces gourous ne pose une simple question : est-il vraiment sage de confier à une entreprise extérieure, étrangère pour nous-autres Européens, les clefs de nos armoires numériques ? D’autre part, les tentatives d’explications de MM Krebs et Graham, de par leur technicité, sont-elles bien comprises par tous les usagers d’un tel service ? Le chiffrement à fins de protection est une science totalement ésotérique pour la majorité des humains, qui ne comprendront jamais les subtilités de ses principes techniques et les mots en « isme » qui émaillent les propos des gourous du domaine.