juillet 30th, 2015

La presse sécurité anglophone n’a qu’un mot au clavier : Chine. Et qu’une seule pensée, le rapprochement des attaques ayant visé récemment la compagnie aérienne United Airlines, les hôpitaux du groupe Anthem Health Services et les ordinateurs de l’ U.S. Office of Personnel Management (OPM).

Le premier à mettre les pieds dans le plat est le groupe de presse Bloomberg, la Voix de l’Amérique financière. Au fil d’un long article dénué de la moindre preuve technique, Michael Riley et Jordan Robertson certifient qu’ils ont rencontré des experts persuadés qu’il n’y a qu’une seule main derrière ce triple piratage ayant entraîné le vol de millions d’identités.

Dans les colonnes du Washington Post, cela ne fait aucun doute non plus : Pékin tire les ficelles. Mais Lisa Rein va plus loin encore, puisqu’elle imagine comment les espions de l’Empire du Milieu vont pouvoir tirer parti de ces tonnes d’informations récoltées. Le hack de l’OPM, explique notre consœur, est un formidable réservoir de métadonnées, une cartographie des mutations des agents du Gouvernement Fédéral, de leurs missions, de leurs évolutions de postes au fil du temps, leurs échelles salariales… c’est comme avoir une sorte de super-Snowden caché dans le service de la Direction du Personnel Fédéral, qui serait capable de tout savoir sur tout le monde. Ce n’est pas de l’espionnage industriel ou commercial, mais bel et bien une opération de renseignement stratégique. L’article s’achève avec un scénario digne des meilleurs James Bond, puisque l’analyse du Congressional Research Service sur lequel Rein étaye son article envisage même que les données biométriques contenues dans ces fichiers (empreinte digitales notamment) puissent être utilisées pour mieux détecter et identifier les agents Américains en opération sous couverture, voir même à usurper l’identité d’un personnage-clef à la tête d’un service convoité par les agents Chinois. Du coup, 21 millions de fonctionnaires, agents fédéraux ou contractuels pourraient bien être contraints de se couper le pouce et l’index de la main droite pour espérer répudier leurs crédences.

Un autre document vient couronner cette thèse Etats-Unienne d’une « Conspiration Chinoise ». Il s’agit d’un rapport signé Symantec qui a suivi à la trace les activités de Black Vine, le groupe à l’origine du hack du groupe hospitalier Anthem. Et c’est en retraçant l’usage de deux failles (CVE-2012-4792 et CVE-2014-0322) que l’équipe de recherche Symantec a pu établir des liens entre les activités de différents cyber-attaquants, tel celui répondant au nom de Hidden Lynx Hacking Group. Des groupes qui se sont associés, affirme le rapport, dans le cadre d’une organisation nommée l’Elderwood Project, et dont le but est de pouvoir mettre en commun les armes, les ZDE facilitant ces séries d’intrusions informatiques. Mais ce n’est pas tout. Car ces spécialistes de l’intrusion semblent tous être directement liés à une organisation centrale appelée Topsec, en fait un centre de recherche Pékinois qui, avec le temps, aurait essaimé dans toutes les provinces Chinoises.

Un dernier article, signé Carl Herberger, VP sécurité chez Radware, et publié par nos confrères du HNS, ne désigne pas précisément la Chine, la Russie ou l’Ukraine, mais affirme haut et clair que le monde occidental est entré en état de guerre numérique, et que les affrontements se sont intensifiés particulièrement depuis le début de l’année. Et de reprendre cinq des principes fondamentaux de Sun Tzu pour étayer cette thèse.

La fin juillet marque le début de la diffusion de Windows 10 via le mécanisme de « mise à niveau en ligne gratuit » offert à tout possesseur de licences W 7 et 8.1. Une édition marquée par d’importantes modifications dans le modèle de sécurité du noyau.

A commencer par, effectivement, cette « gratuité » de la mise à niveau, mettant ainsi l’édition 10 au même niveau d’une « silent release » des temps anciens. Cette gratuité permet de régulariser le parc de versions « grises » de Seven et de 8.1, et surtout devrait servir à accélérer les délais de migration d’une version vers l’autre, délais généralement supérieurs à 2 ou 3 ans, voir considérablement plus, surtout dans les secteurs professionnels et industriels. Or, une édition qui ne veut pas mourir non seulement coûte cher à l’éditeur en termes de maintenance, mais pose de singuliers problèmes de sécurité. D’ailleurs, quel développeur, quel ingénieur système pourrait fantasmer sur l’avenir florissant d’un poste consacré à la maintenance d’un Windows 98 (plus de 15 ans d’activité post-mortem) ou d’un Windows XP, doyen des versions « NT kernel » ?

Autre entrave à la migration, la rumeur publique. A chaque nouvelle édition du système Microsoft se multiplient les « on dit » à propos de flicage intégré, de défauts d’ergonomie, de lourdeurs système, fondées ou non, propos qui ralentissent le mouvement d’adoption. Il faut dire que, des décennies durant, tout passage d’une édition à la version n+1 pouvait coûter fort cher, tant en termes de déploiement que de changement de parc. S’ajoute à ça qu’en matière de faire-savoir, la transmission du message sécurité chez Microsoft (Digital Right Management, drivers signés, trusted platform etc.) a été confiée à de très mauvais communicants. Mots en « isme », attitudes dogmatiques sur l’air du « c’est bon pour vous, ne discutez pas », rodomontades à la sauce « notre plateforme est devenue quasi inviolable » n’ont pas franchement amélioré le dialogue avec les clients potentiels. Alors, à l’heure où, pour le commun des mortels, le meilleur (sic) noyau s’appelle Android, il fallait que Microsoft s’adapte, que son discours reste à la portée des usagers, et que son attitude impérieuse adopte un profil bas.

La mort d’I.E. et autres boucliers

La meilleure des nouvelles, à propos de l’édition 10, concerne la mort d’Internet Explorer et son remplacement par Edge. Bonne nouvelle à plus d’un titre. A commencer par le « nid de bugs » que constituait ce vieux code qui, à lui seul, pesait plus en termes de failles et d’alertes CVE déclarées que l’ensemble des alertes Microsoft. Edge connaîtra sans l’ombre d’un doute son lot de failles et de défauts, mais ces défauts devraient être moins nombreux « by design ». Bonne nouvelle également pour la concurrence car, jusqu’à présent, Edge ne supporte pas encore les « extensions ». Ce qui fait de Firefox et de Chrome des outils privilégiés pour les amoureux des gadgets et les afficionados des accessoires sécurité à la sauce plug-in.

Autre grand changement, la disparition à terme du Patch Tuesday, du moins pour les éditions grand public et les petites structures qui n’utilisent pas de serveurs de déploiement. La mise à niveau et le colmatage des failles s’effectuera « non stop ». Voilà qui va traumatiser les Adobe et autres Oracle qui venaient à peine de synchroniser leur jour des bouchons avec celui de Microsoft. Pour l’utilisateur isolé, cela ne change rien, sinon peut-être l’assurance de voir réduite encore la taille de la fenêtre de vulnérabilité d’une attaque potentielle critique. Mais parfois (et l’on pense immédiatement à certains pilotes USB) cette mise à jour automatique décidée par Microsoft risque de provoquer des conflits homériques si l’on ne gère pas ce genre de hiatus au coup par coup. Pour les moyennes structures qui maîtrisent mal le déploiement de patchs et les phases de test de non-régression, c’est là peut-être aussi un risque de défauts de fonctionnement provoqués à des moments totalement imprévisibles. Dans le vocabulaire de certains, cette situation se résume par la formule « seul l’avenir nous le dira ». En jargon de « faisant office de RSSI », la traduction ressemblera plutôt par « Attention à MS-DDoS »

WiFi ? Non, faux !

Mais le point de sécurité qui fait couler le plus d’encre, c’est WiFi Sense, un protocole qui offre la possibilité à tous les contacts Skype, Facebook ou Outlook, de se connecter au réseau WiFi du LAN exploité par un utilisateur Windows 10. Chaque contact se voit offrir une version chiffrée du mot de passe WiFi. Il ne peut donc pas en connaître le contenu, mais il pourra tout de même se raccorder au réseau. Une édition commerciale de Pass the Hash, en quelques sortes. Disons le tout net, cette fonction, active par défaut, peut être rendue invalide via le panneau de configuration. En outre, l’ajout de l’extension _optout dans le SSID du réseau bloque cette possibilité. Si l’on ajoute l’option _nomap pour ne pas voir le point d’accès cartographié par Google, cela allonge déjà de 13 caractères la longueur de l’identifiant réseau. A quand les options _no2400, _noBSD ou_noWinXP ? La lecture des SSID est déjà une forme de profilage utilisateur qui en dit déjà assez long sur ses connaissances en informatique et ses opinions en matière de politique industrielle. Il faut lire à ce sujet le billet de Brian Krebs, qui est vent debout contre cette caractéristique. Mais il faut avouer que les Lignes Chaudes de Microsoft et des fournisseurs d’accès seront moins encombrés d’appels d’impétrants WiFistes.

Gadgets et blindages

Windows 10, c’est également la généralisation de l’authentification multi-facteurs associant les moyens traditionnels et une reconnaissance biométrique. Soit un lecteur d’empreintes digitales, soit une interface de reconnaissance faciale (webcam avec éclairage infra-rouge). En matière de protection périmétrique, le noyau est enrichi par un « Antimalware Scan Interface » (Amsi), une coquille qui supervise l’exécution de logiciels de protection (antivirus par exemple) de quelque provenance que ce soit. A quoi il faut ajouter Advanced Threat Analytics (ATA), un outil de deep packet inspection qui analyse le trafic des Active Directories et peut même récupérer des données provenant d’autres outils de gestion d’évènements de sécurité de type SIEM. ATA, après une phase d’apprentissage, dresse des profils comportementaux des utilisateurs, des périphériques et des ressources réseau et en dressera une cartographie des différentes interactions entre ces trois composantes.

Encore une faille Bind, donc de première importance. Celle-ci porte l’immatriculation CVE-2015-5477 et, précise Michael McNally, le responsable incident chargé de la gestion de cette crise, « pratiquement tous les serveurs Bind non patchés sont potentiellement vulnérables, et il n’existe pas à notre connaissance de méthode de contournement ». Il est donc nécessaire de remplacer le service en question par un Bind 9 v 9.9.7-P2 ou P3 « immédiatement, insiste McNally, car la faille est considérée comme critique et mérite ce qualificatif ».

Dans les faits, un PoC écrit pour la circonstance prouve qu’avec un seul paquet, il est possible de mettre à genoux un serveur Bind, laissant l’intégralité du réseau dans l’impossibilité de communiquer via Internet. Il n’est donc pas impossible de conduire une attaque en déni de service « avec effet immédiat » contre une multitude de serveurs Web ou autres services Internet.

Cauchemars dans le Scada, le retour. Après la vague d’articles sur la vulnérabilité des automates programmables sur lesquels il reste encore beaucoup de travail à faire, après la prise de conscience de la vulnérabilité des protocoles utilisés dans le domaine de la régulation et du contrôle de processus industriel (non, Modbus n’est pas mort et ses héritiers sont à peine mieux protégés), voici que le monde de la sécurité commence à s’intéresser aux vulnérabilités des équipements de commutation propres au secteur de l’industrie de production. L’Ethernet du brick and mortar, la couche de transport des centrales électriques et nucléaires, des réseaux ferroviaires, des haut-fourneaux et des centres de distribution en eau.

Pourquoi ces jours-ci ? parce que Colin Cassidy, Robert Lee et Eireann Leverett se sont penchés sur le sujet et dévoileront le résultat de leurs recherches à l’occasion de la Black Hat Vegas, la semaine prochaine. Et, à l’instar de bien des chercheurs, ils « préparent le terrain et font chauffer la salle en se livrant à quelques confidences auprès de journaliste. Plus précisément Patrick Howell O’Neill du Webzine DailyDot. Et les révélations sont presque sans surprise, tout comme sont sans surprise les noms des « usual suspects » : Siemens, GE, Garrettcom, Opengear.

Tout commence avec les protocoles transportés. Pas ou peu de contrôle d’intégrité cryptographique, authentification approximative ou inexistante, on est encore loin des mécanismes d’échange de signature et de périphériques « signés » de l’informatique traditionnelle. De là à imaginer la possibilité d’injecter des « mises à niveau de firmware » habilement forgés, il n’y a qu’un pas, qui conduit tout droit au pire des scénarii catastrophes ou au plus discret des vecteurs d’espionnage. De la surveillance des capacités de production d’un adversaire à l’attaque façon Stuxnet (mais hébergée non plus sur un automate mais dans un routeur), l’éventail des attaques « man in the middle » est large.

Ces commutateurs, explique Robert Lee à O’Neil, ont longtemps été considérés comme des équipements de seconde importance, de la quincaillerie réseau nécessaire mais totalement sans rôle stratégique. Mais avec l’évolution des infrastructures et leurs ouvertures vers d’autres réseaux, le switch se trouve exposé à des attaques tout à fait classiques. Mais à la différence du secteur TIC lesdits commutateurs présentent des vulnérabilités que l’on rencontre de moins en moins dans les fournitures réseau conventionnelles. Mots de passe par défaut, interfaces d’administration embarquées vulnérables, clefs de chiffrement codées « en dur », absence de protocole d’authentification lors des mises à jour des firmwares… à ceci s’ajoutent des faiblesses protocolaires qui ouvrent la porte à des attaques connues : XSS, XSRF, identifiants de sessions forgés, et pis encore, telles les fameuses « backdoors de maintenance » accessibles via des liaisons IP non chiffrées…

Ces failles sont d’autant plus préoccupantes que la fenêtre de vulnérabilité est large. Pour combler de tels défauts, il faut au constructeur entre 1 et 3 ans. Des délais qui peuvent paraître insensés pour qui travaille dans le secteur informatique traditionnel, mais qui ne choquent pas les spécialistes du « process control ». Modifier, ne serait-ce qu’un octet, dans une infrastructure vitale, c’est s’exposer à des conséquences véritablement catastrophiques en cas de régression. Chaque correctif doit être testé dans toutes les configurations possibles. Et, en matière de tests de régression, il faut bien avouer que les vendeurs de matériel ne pratiquent, la plupart du temps, que la règle du « ça marche, on ne touche pas ». Leur situation de quasi-monopole renforce leur position, et seules les initiatives gouvernementales, les incitations des DHS et autre Anssi, commencent à faire évoluer les mentalités.

Chaque année, tant la Black Hat que la Defcon nous apporte son lot de « Die Hard 4 ». Ce qui est miraculeux, c’est qu’en apparence, ces trous ne sont toujours pas exploités, ou très rarement. Pourquoi ? Probablement parce que l’ère du « cracker-vandale » est largement révolue, et que de telles cibles n’intéressent que deux types de pirates potentiels : les Etats-Nation et les concurrents industriels peu scrupuleux. Ces deux profils ne cherchent pas à frapper en « temps de paix », et tentent plutôt d’utiliser ces failles à des fins de renseignement plus que d’action. Les coups de main façon Stuxnet sont rares, fort heureusement. Mais que les tensions internationales viennent à se tendre, et les bugs des routeurs pourraient coûter très cher.

Apple vient de corriger une faille importante affectant iTunes et Appstore pouvant être exploitée à distance. Les détails du défaut et de l’attaque possible sont fournis par l’alerte publiée par leur inventeur, Vulnerability Lab

La Cnil, plus terrifiante que les hackers d’Ashley Madison, rappelle à l’ordre une brochette de sites de rencontre, rapporte France Télévision . La Commission invoque un trop grand manque d’information dans le traitement des « filtres de sélection » proposés par les « Adopte Un Mec », « Meetic », « Attractive World » et proches parents

60 secondes pour cambrioler et effacer l’historique d’un coffre-fort Brinks avec une clef USB : c’est ce que promet Dan Petro de Bishop Fox sur son blog et qui fera l’objet d’une présentation lors de la prochaine DefCon

DHI Group Inc envisage de vendre le Web-magazine Slashdot et le dépôt de code Sourceforge. Largement dépassé par Github, l’avenir de Sourceforge n’est pas des plus brillants.