juillet, 2015

Un groupe de chercheurs du MIT et du Qatar Computing Research Institute (QCRI) sont parvenus, par simple analyse de l’empreinte du trafic établi, sans chercher à déchiffrer le contenu de l’information véhiculée, à déterminer avec une précision de 88% le service auquel est connecté un internaute utilisateur de l’Onion Router. Un article du MIT décrit en termes simples la manière dont se déroule l’opération.

Tor, réseau d’anonymisation, utilise une infrastructure qui met en œuvre une succession de routeurs, chacun ne connaissant que le numéro IP de son correspondant et de son destinataire. Alice expédie, par exemple, une requête http à destination d’un serveur Bob quelconque. Cette requête est tout d’abord chiffrée plusieurs fois consécutivement, puis récupérée par un serveur d’entrée –le « garde ». Lequel garde élimine la première couche de chiffrement, et transmet la requête au serveur suivant. Et ainsi de suite, chaque serveur « pelant » couche après couche les chiffrements successifs jusqu’à ce que la porte de sortie soit atteinte et puisse envoyer la requête totalement déchiffrée à Bob. Cette lasagne de chiffrements et de protocoles, cette succession de ruptures qui rend impossible toute comparaison de données entrantes et sortantes dans le trafic des routeurs, interdit toute remontée à la source d’une requête.

Mais un attaque « man in the middle » conduite par Eve demeure possible, expliquent les chercheurs. Si l’on installe un serveur « garde » sur Internet, et compte tenu de la densité du trafic qui caractérise Tor, on a toutes les chances pour que ledit serveur soit utilisé par plusieurs usagers. Il suffit alors d’analyser le volume de données que provoque une requête, d’analyser son flux –et non pas son contenu- le rythme et la vitesse de la réponse, pour établir une sorte de profile-type du service contacté. Un Web-FTP ne présente pas la même empreinte ni le même rythme que la consultation d’un site de vente aux enchères (légal ou non), qui eux-mêmes n’auront rien à voir avec les échanges de « seed » d’un réseau P2P. C’est donc en tâtant le pouls de la liaison, sans même avoir la moindre possibilité de lire le contenu, que le « garde » peut deviner si le requérant et en train de se plonger dans la lecture d’un magazine Web ou négocie l’intégrale des œuvres de Justin Bieber sur un dangereux site d’échange.

La parade est simple, expliquent les chercheurs. Il suffit de faire en sorte que les flux soient tous identiques, quitte à les « fourrer » avec des données sans signification dont le seul rôle sera de masquer les irrégularités de débit et ainsi supprimer toute possibilité d’analyse d’empreinte. Solution purement technique dont le principal inconvénient serait une nette augmentation du débit et une diminution sensible de la bande passante, du moins entre le garde et l’usager et le garde et le second nœud de routage. Notons également au passage que, s’il est possible de deviner qui Alice est en train de contacter, rien ne laisse supposer dans le principe de l’attaque que Eve soit capable de forcer une Alice précise à se connecter à son « garde » compromis. L’exercice de divination est donc d’un intérêt relativement limité.

Pour en revenir à la remédiation suggérée par le MIT, l’on peut préciser que cette technique du « texte vide » destiné à éliminer toute possibilité d’analyse des métadonnées est en usage depuis plus de 50 ans dans le secteur des transmissions radio militaires. Les « number stations » soviétiques ou les messages de Radio Londres par exemple, chargées généralement d’informer les agents en opération, émettaient en permanence, mélangeant messages vides et communications réelles, dans le seul but d’interdire toute association entre le volume de données transmises et un éventuel regain d’activité des agents de renseignement.

Onstar est une entreprise de prestation de service en réseau destiné aux automobilistes. Filiale de la General Motors, il est logique que ledit service soit répandu sur les véhicules de la marque, et notamment Opel en Europe.

C’est ce service qui a fait les frais des recherches de Samy Kamkar telles que décrites par nos confrères de ComputerWorld ou de Wired et qui feront l’objet d’une présentation à la prochaine DefCon.

Kamkar a développé une sorte de mallette à la « P0wn Plug », baptisée avec à-propos 0wnStar, dont le rôle est de fournir toutes les informations nécessaires à la conduite d’une attaque « man in the middle ». La recette de 0wnStar est simple : Une pincée de Raspberry Pi, un zeste de carte GSM, saupoudrez avec un mini-routeur Wifi, alimentez le tout, servez chaud. Lorsque l’intrus est parvenu à s’insérer dans la chaine de liaison qui relie le véhicule au service Onstar, il est capable d’accéder à toutes les commandes et informations gérées par le service. Et à commencer par localiser la voiture, télécommander l’ouverture des portes, la faire démarrer à distance. Une courte séquence vidéo tournée par l’auteur explique sans trop de détails les principales fonctions de sa mallette secrète.

Encore un hack de voiture, après le coup médiatique de Charlie Miller ? Bien plus que ça en fait. Déjà, par le passé, d’autres conférenciers de la BH, DefCon ou CanSecWest sont parvenus à détourner des services analogues, à tel point que tout ça frise le banal. Non. Ce qui mérite l’attention du public, cette fois, c’est le travail amont effectué par Kamkar, et surtout ses efforts de vulgarisation en matière de sniffing radio, de décodage des types de modulation utilisés, d’analyse et d’extraction de données transportées par des liens HF… la conférence que donnera Kamkar sera un véritable cours sur l’usage des outils de hacking électromagnétique et sur les différents usages que l’on peut faire de sa fameuse 0wnStar. Onstar, malgré les nombreuses erreurs d’intégration qui ont permis cette intrusion, n’est jamais qu’un prétexte pour montrer qu’il est imprudent de vouloir superviser une flotte de véhicules sans totalement verrouiller et les liaisons GSM, et les réseaux Wifi, Bluetooth ou autres qui peuvent être utilisés dans une automobile. Le métier d’intégrateur dans le secteur des transports a encore beaucoup à apprendre en matière de sécurité informatique.

Les choses qui font boum et qui tuent, aux USA en général et dans les états de l’Ouest en particulier, sont élevées au rang de religion, avec son église (la NRA) et sa bible, le deuxième amendement. Alors quand Runa Sandvik et Michael Auger, deux chercheurs en sécurité, parviennent à hacker le viseur « informatisé » d’un fusil de précision et en publient les résultats via Wired, la communauté des red-necks, survivalistes et autres va-t-en-guerre frise le nervousse braikedonne. Et la presse d’imaginer des armes de guerre rendues folles par des pirates informatiques, capables de défourailler tous azimuts.

Las, le véritable sujet n’est pas là, et le sensationnalisme occulte le véritable but de la recherche, qui se résume en trois points :

– il doit exister des limites à l’Internet des Objets,

– la course à la gadgetisation exige de la part des intégrateurs des compétences qu’ils ne possèdent pas et qui nécessitent un apprentissage plus long que leurs « time to market », et

– la découverte d’un défaut par une tierce partie demande un minimum de considération et un temps de réponse rapide. Surtout s’il s’agit d’armes à feu.

–
De manière lapidaire,la lunette de visée conçue et commercialisée par TrackingPoint depuis 2011 repose sur un Linux embarqué. Lequel système filme la cible, détermine le point d’impact, déclenche lui-même le tir lorsque la visée est correcte (sous contrôle du tireur), et prend en charge les paramètres de tir tels que la vitesse du vent, la distance de la cible, la charge de poudre et autres précisions techniques.

Il va de soi qu’ajouter un lien Wifi sur un tel système d’arme et, de surcroît, y accoler un mot de passe par défaut, ouvre la porte à tous les détournements possibles « for fun and profit ». Mais ce n’est pas la seule erreur d’intégration commise. Les variables de tir ne sont en aucun cas limitées par des points de consigne, c’est là pourtant un principe de base de tout système d’automatisation, notamment dans le but d’éviter des emballements. L’un des chercheurs indique notamment qu’il lui a été possible d’indiquer au fusil qu’une balle contenait 72 livres de poudre. On imagine la taille de l’étui. Peu de limite également dans le débattement maximal de la lunette, qui peut accepter des angles de correction relativement importants.

Mais le dernier bug, et non l’un des moindres, semble être le temps de réponse (ou de non réponse) de l’armurier lorsque les deux chercheurs ont tenté de faire connaître le résultat de leurs travaux …

La presse sécurité anglophone n’a qu’un mot au clavier : Chine. Et qu’une seule pensée, le rapprochement des attaques ayant visé récemment la compagnie aérienne United Airlines, les hôpitaux du groupe Anthem Health Services et les ordinateurs de l’ U.S. Office of Personnel Management (OPM).

Le premier à mettre les pieds dans le plat est le groupe de presse Bloomberg, la Voix de l’Amérique financière. Au fil d’un long article dénué de la moindre preuve technique, Michael Riley et Jordan Robertson certifient qu’ils ont rencontré des experts persuadés qu’il n’y a qu’une seule main derrière ce triple piratage ayant entraîné le vol de millions d’identités.

Dans les colonnes du Washington Post, cela ne fait aucun doute non plus : Pékin tire les ficelles. Mais Lisa Rein va plus loin encore, puisqu’elle imagine comment les espions de l’Empire du Milieu vont pouvoir tirer parti de ces tonnes d’informations récoltées. Le hack de l’OPM, explique notre consœur, est un formidable réservoir de métadonnées, une cartographie des mutations des agents du Gouvernement Fédéral, de leurs missions, de leurs évolutions de postes au fil du temps, leurs échelles salariales… c’est comme avoir une sorte de super-Snowden caché dans le service de la Direction du Personnel Fédéral, qui serait capable de tout savoir sur tout le monde. Ce n’est pas de l’espionnage industriel ou commercial, mais bel et bien une opération de renseignement stratégique. L’article s’achève avec un scénario digne des meilleurs James Bond, puisque l’analyse du Congressional Research Service sur lequel Rein étaye son article envisage même que les données biométriques contenues dans ces fichiers (empreinte digitales notamment) puissent être utilisées pour mieux détecter et identifier les agents Américains en opération sous couverture, voir même à usurper l’identité d’un personnage-clef à la tête d’un service convoité par les agents Chinois. Du coup, 21 millions de fonctionnaires, agents fédéraux ou contractuels pourraient bien être contraints de se couper le pouce et l’index de la main droite pour espérer répudier leurs crédences.

Un autre document vient couronner cette thèse Etats-Unienne d’une « Conspiration Chinoise ». Il s’agit d’un rapport signé Symantec qui a suivi à la trace les activités de Black Vine, le groupe à l’origine du hack du groupe hospitalier Anthem. Et c’est en retraçant l’usage de deux failles (CVE-2012-4792 et CVE-2014-0322) que l’équipe de recherche Symantec a pu établir des liens entre les activités de différents cyber-attaquants, tel celui répondant au nom de Hidden Lynx Hacking Group. Des groupes qui se sont associés, affirme le rapport, dans le cadre d’une organisation nommée l’Elderwood Project, et dont le but est de pouvoir mettre en commun les armes, les ZDE facilitant ces séries d’intrusions informatiques. Mais ce n’est pas tout. Car ces spécialistes de l’intrusion semblent tous être directement liés à une organisation centrale appelée Topsec, en fait un centre de recherche Pékinois qui, avec le temps, aurait essaimé dans toutes les provinces Chinoises.

Un dernier article, signé Carl Herberger, VP sécurité chez Radware, et publié par nos confrères du HNS, ne désigne pas précisément la Chine, la Russie ou l’Ukraine, mais affirme haut et clair que le monde occidental est entré en état de guerre numérique, et que les affrontements se sont intensifiés particulièrement depuis le début de l’année. Et de reprendre cinq des principes fondamentaux de Sun Tzu pour étayer cette thèse.

La fin juillet marque le début de la diffusion de Windows 10 via le mécanisme de « mise à niveau en ligne gratuit » offert à tout possesseur de licences W 7 et 8.1. Une édition marquée par d’importantes modifications dans le modèle de sécurité du noyau.

A commencer par, effectivement, cette « gratuité » de la mise à niveau, mettant ainsi l’édition 10 au même niveau d’une « silent release » des temps anciens. Cette gratuité permet de régulariser le parc de versions « grises » de Seven et de 8.1, et surtout devrait servir à accélérer les délais de migration d’une version vers l’autre, délais généralement supérieurs à 2 ou 3 ans, voir considérablement plus, surtout dans les secteurs professionnels et industriels. Or, une édition qui ne veut pas mourir non seulement coûte cher à l’éditeur en termes de maintenance, mais pose de singuliers problèmes de sécurité. D’ailleurs, quel développeur, quel ingénieur système pourrait fantasmer sur l’avenir florissant d’un poste consacré à la maintenance d’un Windows 98 (plus de 15 ans d’activité post-mortem) ou d’un Windows XP, doyen des versions « NT kernel » ?

Autre entrave à la migration, la rumeur publique. A chaque nouvelle édition du système Microsoft se multiplient les « on dit » à propos de flicage intégré, de défauts d’ergonomie, de lourdeurs système, fondées ou non, propos qui ralentissent le mouvement d’adoption. Il faut dire que, des décennies durant, tout passage d’une édition à la version n+1 pouvait coûter fort cher, tant en termes de déploiement que de changement de parc. S’ajoute à ça qu’en matière de faire-savoir, la transmission du message sécurité chez Microsoft (Digital Right Management, drivers signés, trusted platform etc.) a été confiée à de très mauvais communicants. Mots en « isme », attitudes dogmatiques sur l’air du « c’est bon pour vous, ne discutez pas », rodomontades à la sauce « notre plateforme est devenue quasi inviolable » n’ont pas franchement amélioré le dialogue avec les clients potentiels. Alors, à l’heure où, pour le commun des mortels, le meilleur (sic) noyau s’appelle Android, il fallait que Microsoft s’adapte, que son discours reste à la portée des usagers, et que son attitude impérieuse adopte un profil bas.

La mort d’I.E. et autres boucliers

La meilleure des nouvelles, à propos de l’édition 10, concerne la mort d’Internet Explorer et son remplacement par Edge. Bonne nouvelle à plus d’un titre. A commencer par le « nid de bugs » que constituait ce vieux code qui, à lui seul, pesait plus en termes de failles et d’alertes CVE déclarées que l’ensemble des alertes Microsoft. Edge connaîtra sans l’ombre d’un doute son lot de failles et de défauts, mais ces défauts devraient être moins nombreux « by design ». Bonne nouvelle également pour la concurrence car, jusqu’à présent, Edge ne supporte pas encore les « extensions ». Ce qui fait de Firefox et de Chrome des outils privilégiés pour les amoureux des gadgets et les afficionados des accessoires sécurité à la sauce plug-in.

Autre grand changement, la disparition à terme du Patch Tuesday, du moins pour les éditions grand public et les petites structures qui n’utilisent pas de serveurs de déploiement. La mise à niveau et le colmatage des failles s’effectuera « non stop ». Voilà qui va traumatiser les Adobe et autres Oracle qui venaient à peine de synchroniser leur jour des bouchons avec celui de Microsoft. Pour l’utilisateur isolé, cela ne change rien, sinon peut-être l’assurance de voir réduite encore la taille de la fenêtre de vulnérabilité d’une attaque potentielle critique. Mais parfois (et l’on pense immédiatement à certains pilotes USB) cette mise à jour automatique décidée par Microsoft risque de provoquer des conflits homériques si l’on ne gère pas ce genre de hiatus au coup par coup. Pour les moyennes structures qui maîtrisent mal le déploiement de patchs et les phases de test de non-régression, c’est là peut-être aussi un risque de défauts de fonctionnement provoqués à des moments totalement imprévisibles. Dans le vocabulaire de certains, cette situation se résume par la formule « seul l’avenir nous le dira ». En jargon de « faisant office de RSSI », la traduction ressemblera plutôt par « Attention à MS-DDoS »

WiFi ? Non, faux !

Mais le point de sécurité qui fait couler le plus d’encre, c’est WiFi Sense, un protocole qui offre la possibilité à tous les contacts Skype, Facebook ou Outlook, de se connecter au réseau WiFi du LAN exploité par un utilisateur Windows 10. Chaque contact se voit offrir une version chiffrée du mot de passe WiFi. Il ne peut donc pas en connaître le contenu, mais il pourra tout de même se raccorder au réseau. Une édition commerciale de Pass the Hash, en quelques sortes. Disons le tout net, cette fonction, active par défaut, peut être rendue invalide via le panneau de configuration. En outre, l’ajout de l’extension _optout dans le SSID du réseau bloque cette possibilité. Si l’on ajoute l’option _nomap pour ne pas voir le point d’accès cartographié par Google, cela allonge déjà de 13 caractères la longueur de l’identifiant réseau. A quand les options _no2400, _noBSD ou_noWinXP ? La lecture des SSID est déjà une forme de profilage utilisateur qui en dit déjà assez long sur ses connaissances en informatique et ses opinions en matière de politique industrielle. Il faut lire à ce sujet le billet de Brian Krebs, qui est vent debout contre cette caractéristique. Mais il faut avouer que les Lignes Chaudes de Microsoft et des fournisseurs d’accès seront moins encombrés d’appels d’impétrants WiFistes.

Gadgets et blindages

Windows 10, c’est également la généralisation de l’authentification multi-facteurs associant les moyens traditionnels et une reconnaissance biométrique. Soit un lecteur d’empreintes digitales, soit une interface de reconnaissance faciale (webcam avec éclairage infra-rouge). En matière de protection périmétrique, le noyau est enrichi par un « Antimalware Scan Interface » (Amsi), une coquille qui supervise l’exécution de logiciels de protection (antivirus par exemple) de quelque provenance que ce soit. A quoi il faut ajouter Advanced Threat Analytics (ATA), un outil de deep packet inspection qui analyse le trafic des Active Directories et peut même récupérer des données provenant d’autres outils de gestion d’évènements de sécurité de type SIEM. ATA, après une phase d’apprentissage, dresse des profils comportementaux des utilisateurs, des périphériques et des ressources réseau et en dressera une cartographie des différentes interactions entre ces trois composantes.

Encore une faille Bind, donc de première importance. Celle-ci porte l’immatriculation CVE-2015-5477 et, précise Michael McNally, le responsable incident chargé de la gestion de cette crise, « pratiquement tous les serveurs Bind non patchés sont potentiellement vulnérables, et il n’existe pas à notre connaissance de méthode de contournement ». Il est donc nécessaire de remplacer le service en question par un Bind 9 v 9.9.7-P2 ou P3 « immédiatement, insiste McNally, car la faille est considérée comme critique et mérite ce qualificatif ».

Dans les faits, un PoC écrit pour la circonstance prouve qu’avec un seul paquet, il est possible de mettre à genoux un serveur Bind, laissant l’intégralité du réseau dans l’impossibilité de communiquer via Internet. Il n’est donc pas impossible de conduire une attaque en déni de service « avec effet immédiat » contre une multitude de serveurs Web ou autres services Internet.

Cauchemars dans le Scada, le retour. Après la vague d’articles sur la vulnérabilité des automates programmables sur lesquels il reste encore beaucoup de travail à faire, après la prise de conscience de la vulnérabilité des protocoles utilisés dans le domaine de la régulation et du contrôle de processus industriel (non, Modbus n’est pas mort et ses héritiers sont à peine mieux protégés), voici que le monde de la sécurité commence à s’intéresser aux vulnérabilités des équipements de commutation propres au secteur de l’industrie de production. L’Ethernet du brick and mortar, la couche de transport des centrales électriques et nucléaires, des réseaux ferroviaires, des haut-fourneaux et des centres de distribution en eau.

Pourquoi ces jours-ci ? parce que Colin Cassidy, Robert Lee et Eireann Leverett se sont penchés sur le sujet et dévoileront le résultat de leurs recherches à l’occasion de la Black Hat Vegas, la semaine prochaine. Et, à l’instar de bien des chercheurs, ils « préparent le terrain et font chauffer la salle en se livrant à quelques confidences auprès de journaliste. Plus précisément Patrick Howell O’Neill du Webzine DailyDot. Et les révélations sont presque sans surprise, tout comme sont sans surprise les noms des « usual suspects » : Siemens, GE, Garrettcom, Opengear.

Tout commence avec les protocoles transportés. Pas ou peu de contrôle d’intégrité cryptographique, authentification approximative ou inexistante, on est encore loin des mécanismes d’échange de signature et de périphériques « signés » de l’informatique traditionnelle. De là à imaginer la possibilité d’injecter des « mises à niveau de firmware » habilement forgés, il n’y a qu’un pas, qui conduit tout droit au pire des scénarii catastrophes ou au plus discret des vecteurs d’espionnage. De la surveillance des capacités de production d’un adversaire à l’attaque façon Stuxnet (mais hébergée non plus sur un automate mais dans un routeur), l’éventail des attaques « man in the middle » est large.

Ces commutateurs, explique Robert Lee à O’Neil, ont longtemps été considérés comme des équipements de seconde importance, de la quincaillerie réseau nécessaire mais totalement sans rôle stratégique. Mais avec l’évolution des infrastructures et leurs ouvertures vers d’autres réseaux, le switch se trouve exposé à des attaques tout à fait classiques. Mais à la différence du secteur TIC lesdits commutateurs présentent des vulnérabilités que l’on rencontre de moins en moins dans les fournitures réseau conventionnelles. Mots de passe par défaut, interfaces d’administration embarquées vulnérables, clefs de chiffrement codées « en dur », absence de protocole d’authentification lors des mises à jour des firmwares… à ceci s’ajoutent des faiblesses protocolaires qui ouvrent la porte à des attaques connues : XSS, XSRF, identifiants de sessions forgés, et pis encore, telles les fameuses « backdoors de maintenance » accessibles via des liaisons IP non chiffrées…

Ces failles sont d’autant plus préoccupantes que la fenêtre de vulnérabilité est large. Pour combler de tels défauts, il faut au constructeur entre 1 et 3 ans. Des délais qui peuvent paraître insensés pour qui travaille dans le secteur informatique traditionnel, mais qui ne choquent pas les spécialistes du « process control ». Modifier, ne serait-ce qu’un octet, dans une infrastructure vitale, c’est s’exposer à des conséquences véritablement catastrophiques en cas de régression. Chaque correctif doit être testé dans toutes les configurations possibles. Et, en matière de tests de régression, il faut bien avouer que les vendeurs de matériel ne pratiquent, la plupart du temps, que la règle du « ça marche, on ne touche pas ». Leur situation de quasi-monopole renforce leur position, et seules les initiatives gouvernementales, les incitations des DHS et autre Anssi, commencent à faire évoluer les mentalités.

Chaque année, tant la Black Hat que la Defcon nous apporte son lot de « Die Hard 4 ». Ce qui est miraculeux, c’est qu’en apparence, ces trous ne sont toujours pas exploités, ou très rarement. Pourquoi ? Probablement parce que l’ère du « cracker-vandale » est largement révolue, et que de telles cibles n’intéressent que deux types de pirates potentiels : les Etats-Nation et les concurrents industriels peu scrupuleux. Ces deux profils ne cherchent pas à frapper en « temps de paix », et tentent plutôt d’utiliser ces failles à des fins de renseignement plus que d’action. Les coups de main façon Stuxnet sont rares, fort heureusement. Mais que les tensions internationales viennent à se tendre, et les bugs des routeurs pourraient coûter très cher.

Apple vient de corriger une faille importante affectant iTunes et Appstore pouvant être exploitée à distance. Les détails du défaut et de l’attaque possible sont fournis par l’alerte publiée par leur inventeur, Vulnerability Lab

La Cnil, plus terrifiante que les hackers d’Ashley Madison, rappelle à l’ordre une brochette de sites de rencontre, rapporte France Télévision . La Commission invoque un trop grand manque d’information dans le traitement des « filtres de sélection » proposés par les « Adopte Un Mec », « Meetic », « Attractive World » et proches parents

60 secondes pour cambrioler et effacer l’historique d’un coffre-fort Brinks avec une clef USB : c’est ce que promet Dan Petro de Bishop Fox sur son blog et qui fera l’objet d’une présentation lors de la prochaine DefCon