octobre, 2015

Deux failles affectant TrueCrypt ont été colmatées dans VeraCrypt . Le bulletin d’alertes précise que les trous de sécurité portent les immatriculations CVE-2015-7358 et CVE-2015-7359 (deux élévations de privilège, aucune autre précision dans la base CVE)

Tavis Ormandy, dans le cadre du « projet Zero » du Google Security Team, poursuit sa chasse aux failles dans les produits Kaspersky . Sourires crispés et remerciements de la part de l’éditeur d’antivirus

Les plus récentes statistiques du « Departement of Justice » US situent aux environs de 18 millions le nombre de personnes victimes de vol d’identité pour la seule année 2014, soit 7% de la population âgée de plus de 16 ans. Un cinquième de ces victimes auraient fait les frais d’une tentative de détournement bancaire

Le piratage des serveurs de l’OPM revu à la hausse. Outre les 21,5 millions de numéros de sécurité sociale récupérés par les intrus, ce ne serait pas 1,1 mais 5,6 millions d’empreintes digitales de fonctionnaires US qui auraient été également subtilisées.

Il existe pourtant quelques hacko-sceptiques, dont certains parviennent même à décrocher une page dans Scientific American, ainsi David Pogue qui signe « Pourquoi le hack d’une voiture est pratiquement impossible ». Le contenu de l’article peut faire sourire plus d’un spécialiste sécurité. Pourtant, les arguments sont intéressants et méritent d’être examinés.

– Les chercheurs (ndlr Charlie Miller et Chris Valasek) qui ont réalisé ce hack ne pourraient plus le faire aujourd’hui, la faille a été immédiatement comblée par le constructeur

– Ce sont des chercheurs, pas des pirates, disposant d’un savoir et de moyens hors de portée du « vulgum truandus »

– L’affaire a été montée en épingle par des journalistes en mal de sensationnalisme

Ne retrouve-t-on pas, dans ces propos, les mêmes arguments que l’industrie informatique employait il n’y a pas 10 ans ?

– « Dormez en paix, les trous ont été comblés, et d’ailleurs personne ne s’est plaint » était un moyen comme un autre pour que les attentions soient polarisées sur la consolidation d’un logiciel plutôt que sur l’existence probable d’autres défauts… l’avenir a prouvé que la sécurité « by design » est une vue de l’esprit que le patch attire le trou, qui entraîne le patch, qui attire le trou…

– Le moto « Les chercheurs ne sont pas des pirates et leurs travaux sont à des lieux des capacités intellectuelles des malfaiteurs » rejoint, par exemple, les assurances d’absolue sécurité des premiers réseaux « sans fil », trop complexes à écouter, nécessitant des moyens trop importants… or, il n’y a jamais de moyens trop importants, plutôt des cibles dont les espérances de gain justifient précisément l’importance des moyens. « Donnez-moi un levier bancaire, et je soulèverais n’importe quel protocole de sécurité », est le principe fondamental du cyber-Archimède contemporain. D’ailleurs, les constructeurs automobiles l’ont bien compris, eux. Voir le précédent Volkswagen qui menaçait de poursuites Flavio Garcia s’il publiait quoi que ce soit sur les failles de l’antidémarrage Megamos. Ajoutons au passage que, le jeu des sous-traitants et des pressions sur les prix aidant, ces constructeurs utilisent les accessoires d’un nombre de plus en plus restreint d’équipementiers. Mondialisation et dumping sont les deux mamelles du fuzzing. Or, le fuzzing est l’arme favorite des blackhats, qui y voient un moyen de rentabiliser le plus possible l’exploitation d’une faille en l’étendant à tous les objets semblables. Ce que David Pogue (et tant d’autres) oublie, c’est l’évolution de la cyberdélinquance qui, du « script kiddy », est devenue d’obédience mafieuse, puis, lentement, s’est étendue aux pratiques courantes de la guerre économique industrielle (petits hacks et espionnages entre amis) puis aux Etats-Nation. Ne perdons pas de vue que l’automobile et son réseau routier associé, c’est aussi une infrastructure Scada.

– « La presse, caisse de résonance du sensationnalisme » est l’un des arguments populistes les plus en vogue, car il ne nécessite que peu d’explication. Une simple affirmation ne constituant pas vraiment une preuve… Le journaliste bouc émissaire est également un élément de diversion, un report de culpabilité sur un acteur tiers qui n’est pas en rapport direct avec le problème.

Mais l’argument le plus contradictoire qu’avance Pogue est certainement : « lorsque j’entends ce genre de propos, j’ai envie de dire à ces reporters « pirate-moi ça » en leur présentant ma vieille Honda modèle 2009, dépourvue de la moindre liaison cellulaire ». Outre le fait que ce n’est pas au journaliste d’avancer la preuve de ce qu’il rapporte, mais au chercheur qui en fait l’annonce, cet argument montre à quel point le problème de fond échappe à l’auteur, du moins dans la première partie de son article. Miller ne condamne pas l’attitude des professionnels de l’industrie automobile, mais alerte sur l’emprise croissante de l’Internet des Objets, et sur les erreurs d’intégration parfaitement prévisibles à venir. Car le germe est dans l’œuf, tout comme le germe du botnet est dans Internet et celui du buffer overflow est dans le noyau ou l’application.

L’article de David Pogue ne doit surtout pas faire l’objet de rejet ou de condamnation ex abrupto. Il est intéressant car il reflète l’incrédulité générale, et notamment la confiance aveugle qu’une majeure partie de la société de consommation ressent spontanément envers les vendeurs censés veiller à leur bien-être.

Beaucoup de bruits, tweets et articles autours du « hack de la montre Fitbit, le retour » avec, dans le rôle principal, Axelle Apvrille qui avait déjà donné sur le sujet une passionnante conférence lors de la dernière « Hack in Paris ». Cette fois, c’est à l’occasion de HackLU, la manifestation infosec Luxembourgeoise, que la chercheuse Française remet le couvert, et démontre comment utiliser ladite montre sportive pour qu’elle serve de relais à un malware et puisse injecter un code (troyen par exemple) sur l’ordinateur personnel servant à synchroniser les données du bracelet.

Le Register détaille l’attaque, et Bruce Schneier, qui ne s’étonne pourtant pas souvent, lâche un « This is impressive » qui en dit long.

Les chercheurs en sécurité pourraient bien passer pour de dangereux épandeurs de poil à gratter en chantonnant « l’IoT est aussi sécurisé qu’un spectacle du cirque… dans la fosse aux lions. Seulement voilà, les vendeurs ne montrent que le cirque dans son ensemble, et oublient de mentionner la raison pour laquelle le prix de la place est si peu cher ». Dans son édition d’Octobre, Spectrum, la très sérieuse revue de l’IEEE publie un article intitulé « Voiture connectées, des chercheurs prouvent que les automobiles peuvent être tracées ». Jonathan Petit, de Security Innovation, en collaboration avec des Universitaires de Twente (Hollande) et Ulm (Allemagne) s’amuse à fliquer les transmissions sur 5,9 GHz (haut de bande WiFi 5 GHz), lesquelles transmissions ne sont même pas chiffrées, affirme l’auteur de l’article. Une aubaine pour les collecteurs de données et amoureux du big data appliqué à l’automobiliste.

Plus exactement,Jonathan Petit s’est penché sur les dialogues des protocoles V2V et V2I, dont le rôle est de prévenir le conducteurs des risques immédiats : feux passant au rouge ou panneau stop, véhicule arrivant en sens inverse, virage serré, route en travaux, hauteur limitée, ralentissement ou bouchons, passages protégés… ces signaux sont émis soit par d’autres véhicules et donc implique que toutes les automobiles soient équipées d’un système « Vehicule to vehicule » pour être efficace, soit par l’infrastructure routière. Et ces signaux agissant pour le bien commun et n’ayant rien de franchement secret, il n’a pas été jugé utile de les chiffrer jusqu’à présent.

Sauf que ce manquement s’avère relativement indiscret et pourrait être employé à des fins bien moins protectrices par des services de police d’Etat ou privées, des collecteurs de données professionnels et bien entendu les compagnies d’assurance et industriels du secteur automobile. La liberté de collecter, c’est simple comme un sniffer.

L’histoire pourrait bien ne pas s’arrêter là. V2I (voiture à infrastructure) n’en est encore qu’au stade du projet et rares sont les constructeurs, tel General Motors, à avoir annoncé une véritable intégration des composant V2x dans leurs modèles. Mais les « MoU » publiés autour de V2I mentionnent la possibilité d’actionner les feux d’avertissement et les freins d’une automobile en cas de vitesse trop élevée et de proximité d’un feu tricolore passé au rouge. Que le protocole soit chiffré ou non, il y a fort à parier que ce genre de possibilité puisse faire l’effet d’un spoofing aux effets pour le moins percutant.

Numergy vient d’être placé en procédure de sauvegarde, sorte de tutelle financière destinée aux entreprises en difficulté. Destinés à protéger les données et nécessaires de par la régulation française, les deux « vecteurs technologiques » Cloudwatt et Numergy issus du projet Andromède imaginé par le gouvernement Fillon d’alors et financé par le « grand emprunt », n’ont pas eu le succès attendu. Depuis, Cloudwatt a changé de Président, tenté avec forces publicités télévisées de concurrencer Dropbox, et vu partir sa marraine, la Caisse des Dépôt donc l’Etat, au profit de son désormais unique parrain, Orange. Reprise pour un montant non divulgué…

La mise en « procédure de sauvegarde » de Numergy, l’alter ego de Cloudwatt, est une fois de plus la preuve que les mirifiques espoirs de croissance (l’on parlait à l’époque d’un marché de plus de 400 millions d’Euros) sont loin, très loin d’être au rendez-vous. Et aujourd’hui, l’Etat souhaite se désengager de cette aventure alors que les deux actionnaires privés originels, Bull et SFR, se sont fait absorber respectivement par Atos et Numéricable. Le fiscal 2014 de Numergy plafonnait à 6 millions d’Euro de chiffre d’affaires, et 2 pour Cloudwatt.

Bull, Orange, SFR : avec de telles institutions rompues au subtiles techniques d’aspiration des aides d’Etat, une telle histoire pouvait-elle se conclure autrement ?
Le poids politique de ses dirigeants, la « politisation » des enjeux, l’idée d’un « cloud-souverain-mais-qui-ne-concernerait-pas-l’administration-ou-les-très-grandes-entreprises », le principe même d’une participation de l’Etat saupoudrée sur différents acteurs et non concentrée sur un axe unique, prédisposaient les enfants d’Andromède à ce « manque » d’avenir. Bâtir un consortium Européen et non pas une paire de PME nationales, aurait-elle pu être une solution plus adaptée ?

Qu’en est-il aujourd’hui ? L’Etat affirme n’avoir dépensé que la moitié de l’enveloppe « cloud souverain », soit près de 75 millions d’Euros et envisage d’utiliser la somme restante pour d’autres projets de développement. Les deux entités Cloudwatt et Numergy sont aujourd’hui diluées dans l’actif de leurs principaux actionnaires. Et l’on ne parle toujours pas de solutions alternatives comme par exemple un Cloud Européen afin de tenter de contrer, tant sur le point de vue financier que marché ou synergie d’acteurs, les grands gagnants du Cloud à savoir Google, Amazon, Microsoft, Adobe etc. L’Europe ne semble pas encore prête, pénalisée par un temps de réaction bien trop long (qui se compte souvent en années), une latitude de mouvement financière pour ce genre de projet stratégique quasi inexistante, sans compter un poids politique et un rôle de fédérateur visant à réunir des acteurs Français, Allemands, Italiens, Hollandais et Espagnols non encore suffisants pour faire la balance.

Ntp, le protocole destiné à distribuer un signal horaire à l’ensemble des ordinateurs d’un réseau, est susceptible de se faire attaquer, explique l’alerte de sécurité Talos. Ars Technica développe la question et se répand en explications techniques passionnantes, d’autant plus passionnantes que bien des protocoles de sécurité (à commencer par ceux utilisés par les réseaux de distributeurs automatiques de billet et autres procédés de chiffrement utilisant TLS) ont besoin d’une référence temporelle précise qui ne puisse « remonter » dans le temps.

A l’heure actuelle (sic), un unique récepteur GPS (8 dollars sur eBay) peut alimenter un serveur ntpd local, qui, à son tour, pourra distribuer une heure précise à toutes les machines d’un même réseau. Certes, il ne présentera pas les caractéristiques de résilience, de robustesse et d’autonomie d’un équipement professionnel, mais il sera bien moins facilement attaquable qu’une requête ntp.

Le BSI (Bundesamt für Sicherheit in der Informationstechnik), l’agence fédérale allemande chargée de la sécurité des TIC, envisage très fortement de tester, à fins de qualification, tous les routeurs haut-débit utilisés outre-Rhin. Cette profession de foi de plus de 55 pages de descriptions de tests techniques est justifiée très clairement dès les premiers paragraphes : en Allemagne, le haut débit représente 99,8% des accès Internet, et ce, depuis 2013, soit 28,4 millions de points de connexion. Cet accès passe nécessairement par un routeur, lequel présente un risque non négligeable en cas de vulnérabilité : ce serait la porte ouverte à un formidable botnet. S’ajoute également à cette crainte la « Objectinternetisation » de la famille, de ses téléviseurs connectés, de ses NAS en fonctionnement permanent, de ses ordinateurs multiples et mobiles, de plus en plus souvent reliés par des réseaux sans fil, en attendant que les cafetières, bouilloires, congélateurs, montres « gym tonic » et pèse-personne ne viennent s’y ajouter.

Le nombre de modèles de routeurs à tester ne constitue pas franchement un problème insurmontable, puisque le marché est plus ou moins dépendant de celui d’une poigné d’opérateurs. Raison de plus pour que l’analyse soit poussée dans ses plus extrêmes retranchements : solidité du firewall, protection des protocoles DNS et DHCP, étanchéité des vpn locaux et externes, durcissement de tout ce qui touche aux réseaux sans-fil (WPS, filtrage MAC), conformité aux dernières règles de sécurité IPv6, confinement des protocoles « délicats » (Upnp par exemple), résistance aux attaques classiques genre Heartbleed ou CSRF…

Le BSI a, de tous temps, déployé des efforts considérables pour protéger les installations connectées quelle que soit la taille et l’importance stratégique de l’usager, de la grande entreprise à la TPE ou au particulier. A tel point que les premières versions de firewall « open source » reposant sur Bastille Linux faisaient déjà l’objet de campagnes il y a plus de 10 ans. Aujourd’hui, le support du firewall et la sécurité (numérique) des foyers devront être assurés par ces passerelles ADSL.
En France, l’Anssi tente aujourd’hui de sensibiliser également le secteur Grand Public mais avec une infrastructure encore plus adaptée au support des entreprises du CAC40 et des Administrations, historiquement les premiers objectifs de l’Agence. Cela devrait évoluer dans le bon sens si l’on considère les dernières annonces de la stratégie Cybersécuirté française annoncée vendredi dernier.

Elle fit grand bruit, via Twitter, dans le petit monde de la sécurité, cette étude Française signée Houda Ferradi, Rémi Géraud, David Naccache et Assia Tria. Car elle explique, fait exceptionnel, comment des malfrats sont passés à la pratique en s’inspirant d’une hypothétique attaque contre des cartes à puce bancaires. Une étude qui avait fait l’objet d’un PoC et d’une publication en 2010, largement relayée par la BBC . Son auteur était le professeur Ross Anderson, de l’Université de Cambridge. Mais si le hack Anderson nécessitait assez d’électronique pour justifier l’usage d’un sac transportant l’électronique, celui des faussaires de monnaie plastique n’utilisait qu’un microcontroleur Atmel et une mémoire I2C, le tout inséré en sandwich entre la véritable « puce » de la carte de crédit à pirater et les contacts CP8 chargés de l’interface avec le distributeur.

L’exploit est d’autant plus impressionnant d’ingéniosité que les détrousseurs de DAB ont sévi en 2011, un an à peine après la communication publique de l’exploit Anglais.

Comment fonctionne ce hack ? l’étude de l’équipe Naccache explique qu’il s’agit d’une attaque « man in the middle », ou plus exactement « MCU in the middle », puisque le microcontrôleur contrôle et laisse passer une première partie du dialogue carte-machine (relatif à l’identification des fonctions de la cartes, crédit, débit etc.), intercepte la procédure d’entrée du code PIN pour retourner un « vérification OK, l’usager est légitime »puisqu’il connaît le secret (quand bien même le code serait un simple 0000 ou 1234) puis rend la main à la « puce authentique » pour achever la transaction de prélèvement.

La minutie avec laquelle cette verrue électronique a été ajoutée à une carte parfaitement légitime est un travail d’orfèvre. Le microcontrôleur, sa mémoire, la couche plastique supportant les contacts CP8 ne mesurent que 0,3mm d’épaisseur, soudures (non « bonding ») et épaisseurs de colle comprises. Les soudures démontrent une grande délicatesse du montage (pour les avertis : cela s’apparente à souder du 0402 avec une panne tournevis old school).

Comme à l’accoutumé, c’est le manque de prudence des mules qui a permis de découvrir le pot aux roses. Les cartes volées étaient en majorité Françaises et les retraits de liquide effectués en Belgique sur un petit nombre de distributeurs. La police s’est contentée de recouper tous les numéros IMSI des téléphones mobiles en service à l’heure des vols successifs pour, après recoupement, mettre la main sur la totalité de la bande, « cerveau » y compris.