juin 12th, 2015

A moins d’avoir été invité durant les trois derniers jours à un apéro-surprise au fond de la Caverne de Platon, nul n’a pu ignorer l’attaque Duqu 2.0 que subit l’éditeur d’antivirus Kaspersky. Une annonce sur le bulletin d’information de l’entreprise, une alerte du département de recherche accompagnée d’un article détaillé sur l’attaque elle-même ainsi que l’indicateur de compromission (se reporter à l’outil de Mendiant. Vous avez dit transparence ?

Peu importe de savoir qui attaque. Les moyens mis en œuvre ne sont pas ceux d’un amateur, d’un journaliste en mal de titraille ou d’un dangereux utilisateur de Google. C’est du lourd, c’est du violent, c’est du persistant qui aurait pu passer inaperçu. La génétique du code d’attaque, une variant évoluée de Duqu, laisse penser qu’il ne s’agit pas d’une vengeance gratuite d’un second couteau du cyber-mitan pétersbourgeois, mais bien d’un Etat-nation. Et face à la virulence de l’intrusion, la direction de Kaspersky a pris la décision, alors que l’invasion n’est pas totalement circonscrite, de le faire savoir à ses clients en particulier et au monde en général par voie de presse notamment, et plus particulièrement dans les colonnes de Forbes. « Nous sommes la cible d’un assaut sérieux, les données de nos clients sont a priori en sécurité, nous mettons tout en œuvre (et nous le prouvons) pour faire cesser cet état de fait » dit en substance Eugène Kaspersky.

Pendant ce temps, à Champignac…

Quelques semaines plus tôt, Maître Olivier Iteanu signait un billet déprimant sur le site de nos confrères Reflets.info, déplorant la réaction de la Cour de Cassation dans l’affaire du « piratage Google » dont est accusé notre confrère Olivier Laurelli, alias Bluetouff. Que reproche-t-on à notre confrère ?

D’être Français tout d’abord, donc plus facile à appréhender qu’un supplétif de la NSA ou du Diaochabu. Car se faire pirater par un Etat-Nation ne pourrait souffrir la moindre publication puisque révélant un certain niveau de légèreté dans l’administration de la SSI et surtout créer quelques frustrations au sein de la Direction Générale et de la DSI du groupe, puisqu’aucune riposte n’est alors possible. D’ailleurs, une attaque de type Duqu 2.0 aurait-elle été remarquée par des RSSI incapables d’appliquer des conseils niveau Owasp 1.0 et verrouiller les pages d’un serveur Web ? D’autres, en leur temps (remember Areva), n’ont pas fait mieux, avec pourtant bien plus de moyens techniques. Tandis que de tomber à bras raccourcis sur un internaute avec toute la virulence et la puissance financière d’un organisme d’Etat, c’est pouvoir prouver que la Vengeance de la Fonction Publique peut s’abattre à tout moment pour peu que ce ne soit pas trop fatiguant. A vaincre sans péril on se fait de la gloire à pas cher.

De n’avoir pas « hacké » un système, mais révélé des failles inquiétantes affectant les serveurs d’information d’une Agence Nationale. Or, la communication de crise, que ce soit à l’Anses ou dans toute autre organisation nationale ou opérateur d’importance vitale (OIV) doit nécessairement passer par l’Agence Nationale de Sécurité des Systèmes d’Information (Anssi). La transparence et la divulgation n’a lieu d’être que dans les salons feutrés et insonorisés de l’Hôtel des Invalides. Les invalides… tout un symbole.

Quant aux services de communication de telles administrations, ils appliquent l’adage « no comment is the best comment », quand bien même l’intrusion aurait été provoquée par une absence totale de lecture des recommandations Owasp de premier niveau. Qui donc sont ces gugusses qui révèlent au monde nos erreurs de béotien sans en avoir obtenu de notre part l’autorisation de parler ? Ce sont des journalistes. Liberté de la presse, mes… aurait dit Zazie qui aimait autant les rimes que le métro et les bloudjinnzes. Il n’y a donc qu’aux USA que les fichiers de 4 millions de fonctionnaires fuitent par tous les trous des bases de données, que les banques et assurances se font retourner comme gants de toilette, et que des sites tels que Dataloss.db inventent jour après jour des calembredaines tout justes bonnes à effrayer le public. Les failles et exploits tiennent un peu des nuages radioactifs, ils respectent les frontières.

Disons-le tout net, ce culte du secret, cet amour de l’amère omerta, ce sublime mépris pour une « France vacharde de veaux incapables de comprendre quoi que ce soit aux choses techniques » qu’affectent nos Grands Commis de l’Etat ne peut signifier que deux choses : soit l’absolu certitude de leur invincibilité numérique (sic), soit la honte des OIV et Administrations, conscientes de l’état de délabrement de leurs défenses. La quasi-certitude de celle-ci de ne pas résister à un audit sérieux (vous avez-dit pentesting intégral ?) sans tomber sur deux ou trois barbouzes Chinoises, Allemandes, Britanniques et Etats-Uniennes qui, entre deux récupérations de fichiers, doivent taper le carton via IRC histoire de passer le temps.

« La sécurité est un échec », se plaisait à répéter un ancien responsable sécurité d’un grand groupe Français. Il aurait pu ajouter « un échec provoqué en grande partie par les décisions stratégiques de ceux censés décider de la politique SSI à suivre ». Un problème qui ne semble pas franchement en passe d’être résolu.

« Il y a quelques années, explique MalwareTech, un de mes amis travaillait sur un PoC de malware résidant dans le Bios. J’ai pensé que c’était là une idée assez sympa. Une telle infection résisterait même au formatage du disque ». Afin de s’affranchir des contraintes d’espace et des difficultés d’injection liées aux bootkit Bios, l’auteur s’est donc attaqué aux disques durs. On trouve de tout dans un Winchester : un processeur ARM puissant, de la mémoire en quantité, des firmwares qui n’évoluent pas ou très peu d’un modèle à l’autre, et surtout un nombre de plus en plus restreint de constructeurs, donc de versions de microcodes. Ajoutons à cela que tout disque dispose d’un port Jtag qui facilite les premiers travaux de « reverse », qu’il n’a jamais existé, qu’il n’existe pas, qu’il n’existera jamais d’antivirus assez sérieux pour vérifier l’intégrité de la mémoire d’un périphérique. Luxe suprême, rappelons que ledit disque dur se trouve à un emplacement stratégique, puisque sa compromission donne accès au buffer de lecture, voie royale vers la mémoire du système.

En outre, précise MalwareTech, et contrairement aux virus Bios qui nécessitent soit de « patcher » lourdement, soit de changer totalement le firmware d’origine (avec un Bios Open Source par exemple, tel que le faisait Rakshasa ), il est possible de se limiter à quelques « hooks » judicieusement positionnés. Une telle approche est quasiment persistante ad vitam aeternam (les mesures prophylactiques telles que la mise à niveau des bios disque ne sont quasiment jamais mises en œuvre) et invisibles. Même les experts judiciaires et spécialistes de l’analyse forensique n’ont quasiment aucune chance (car généralement aucun moyen) pour vérifier ce genre d’intrusion. Cela va sans dire, l’injection n’exige pas d’accès ni au matériel, ni à la console.

Jouer avec le microcode d’un disque dur n’est pas franchement nouveau. Cette technique est utilisée depuis fort longtemps, notamment par les hackers de consoles de jeux, et se trouve mentionnée parmi les nombreux outils d’espionnage de la NSA mis à jour par les fichiers Snowden. Cependant, aucune de ces méthodes n’utilisait des vecteurs de propagation issus du monde des virus. MalwareTech n’a donc qu’amélioré quelque chose que l’on savait possible.

Faut-il désormais craindre une déferlante de bootkit « Western_Killer » et autres « SATAnvenger » ? C’est peu probable. Si la lecture de sa présentation donne quelques éléments sur la méthode utilisée, les détails sont encore tenus secrets pour d’évidentes raisons de sécurité. Cette occultation des détails techniques risque de durer encore un sacré bout de temps, car la durée de vie des disques durs dépasse parfois la dizaine d’années dans certaines entreprises et chez beaucoup de particuliers.
Mais si la déferlante est improbable, le « virus-disque » pourrait bien connaître un succès sans précédent dans le petit monde des attaques ciblées et des gadgets pour barbouzes. Et ce particulièrement en France, depuis que les agissements de ces « brillantes synthèses de l’esprit et du muscle » ont vu leurs activité totalement légalisées et entrées de plain-pied dans le droit commun.