novembre, 2015

Les études d’Eurecom/U de Bochum ou Sec Consult vont, à n’en pas douter, laisser totalement indifférents 98% des internautes et plonger 2% d’usagers avertis dans de profondes angoisses existentielles. Et c’est en pensant à cette frange de population technique qu’une équipe d’ingénieurs et développeurs Tchèques s’est lancée dans la conception et la réalisation d’un routeur Open Source, Open Hardware à faible coût, et lancé dans le cadre d’un financement participatif.

Ce Turris Omnia est un routeur LAN/WAN/WiFi avec 5 ports locaux Gigabit, deux USB3.0, deux emplacement PCIe, une extension mSata, une carte Wifi 3×3 mimo en 802.11ac ou une 2×2 Mimo en 802.11 b/g/n. Le tout reposant sur un processeur Arm double cœur 1,6 Ghz, 1 Go de ram et 4 Go de flash. Si le noyau utilisé est un peu exotique (Turris OS), il répond, affirment les concepteurs, aux standards Open WRT. Pour les plus bidouilleurs, la carte principale intègre un ensemble de gpio disposées comme celles du Raspberry, sans oublier une foultitude de gadgets tels que la télésurveillance du local, serveur de backup, mini-NAS, serveur DLNA. Il supporterait même les tuners DVB-T, totalement inutiles donc nécessairement indispensables.

Cette semaine, c’est la fête des routeurs.

Déjà, la semaine passée, la publication de l’étude d’Andrei Costin, Aurélien Francillon et Apostolis Zarras (Eurecom, U de Bochum) avait jeté comme un doute sur le sérieux des fabricants de routeurs SoHo et périphériques de l’IoT. Cette fois, c’est au tour de Sec Consult de révéler que les équipementiers jouent au « couper-coller » de clefs SSH et de certificats SSL, cette pratique étant même commune à des appareils de marques différentes. C’est potentiellement la porte ouverte à toutes les intrusions et attaques distantes, ainsi qu’au vol d’information par « man in the middle ».

A l’origine de cette « communauté de certificats par défaut », les plateformes de développement fournies par les fabricants de composants, qui sont utilisés « tel que » par quasiment tous les producteurs de routeurs. Les impératifs de « time to market » fait le reste, poussant les équipes de développement à n’utiliser que les cotes « prêt à porter » fournis en OEM, sans y effectuer la moindre modification.

Sur un total de près de 4000 systèmes embarqués provenant des catalogues de 70 vendeurs, les « techniciens légistes » de Sec Consult ont recensé 580 clefs privées uniques, lesquelles, après une énergique campagne de scan sur Internet, ont permis de découvrir les clefs privées de plus de 9% des serveurs HTTPS rencontrés au fil du balayage (soit près de 3,2 millions de serveurs hôtes utilisant un total de 150 certificats) et les clefs de 6% des serveurs ssh accessibles (80 clefs, 900 000 services accessibles). Et l’étude de conclure qu’un peu moins de la moitié des 580 clefs privées récupérées était en service effectif avec accès sur le réseau public.

Tout aussi édifiantes sont les statistiques inter-marques. Ainsi, un certificat issu du SDK Broadcom a été retrouvé sur des équipements Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone et ZyXEL. Un autre, ayant pour origine un SDK Texas Instrument, était également partagé par des appareils Aztech, Bewan, Observa Telecom, NetComm Wireless, Zhone, ZTE et ZyXEL.

Dans quelle mesure de telles mauvaises pratiques peuvent-elles mettre en péril les usagers ? L’étude énumère une sinistre ribambelle de risques : « Impersonation, man-in-the-middle or passive decryption attacks ». Il s’agit toutefois d’une majorité de produits destinés à un marché grand public, présentant peu d’espérance de gain aux yeux d’éventuels truands. Ce peut être en revanche un risque de fuite d’informations lorsqu’une TPE est visée par un concurrent indélicat, ou servir de moyen d’intrusion et d’écoute pour un service de police cherchant à tracer l’activité de suspects déjà repérés. De toute manière, ces trous de sécurité ont de fortes chances d’appartenir à la catégorie des défauts persistants. Principalement en raison de la complexité des mesures de contournement (changer la clef SSH et le certificat X.509 de l’appareil… pas franchement une opération « grand public »), mais également parce que bon nombre de ces routeurs sont livrés par des opérateurs, dans le cadre d’un abonnement ADSL, avec des firmware verrouillés sur lequel l’usager n’a que très peu de pouvoir d’intervention. Sans compter le rythme de mise à jour des correctifs des FAI dont la réputation n’est pas le plus effréné …

L’agent de mise à jour des Bios et drivers « Lenovo System Update » est, affirme l’équipe sécurité d’IOactive, frappé par deux vulnérabilités ( CVE-2015-8109 , CVE-2015-8110 ) pouvant ouvrir la voie à une élévation de privilèges

Deux jours après la découverte de la faille Edellroot, un nouveau certificat vulnérable est découvert, avec des conséquences en tous points comparables. Le certificat racine mis en cause s’appelle cette fois DSDTestProvider. Le Cert du SEI Carnegie-Mellon explique comment éliminer ce certificat .

Selon Tim Hume de CNN, les équipes de sécurité de l’aéroport de Sharm el-Sheikh, d’où a décollé le vol Metrojet 9268 (plus de 200 victimes), utiliseraient encore les « faux détecteurs de bombe » ADE651

Peut-on rêver mieux qu’un site Web appartenant à une banque réputée pour héberger un faux site Paypal ? C’est, explique par le menu Netcraft ce qui est arrivé au World Bank Group.

Lionel Payet, de l’équipe sécurité de Symantec, décrit comment la récente psychose de l’attaque terroriste est exploitée dans le cadre d’attaque en phising ciblé . Cette campagne vise essentiellement des entreprises implantées à Dubaï.

Brian Krebs, se prête à un exercice humoristique en imaginant l’appel téléphonique d’un apprenti-terroriste auprès de la hot-line « djihad Assistance » (ISIS Jihadi Helpdesk). C’est presque du Jeff Dunham

C’est, nous apprend un communiqué de la chaîne d’hôtels Hilton, un malware visant certains de ses terminaux points de vente (TPV) qui aurait permis la fuite d’un volume encore non précisé d’identités bancaires durant la période courant du 18 novembre au 5 décembre 2014 et du 21 avril au 27 juillet 2015. Auraient été dérobées des listes de noms, prénoms, numéro de carte, code de sécurité et date d’expiration. Le minimum nécessaire pour alimenter les réseaux de mules spécialisées dans l’achat en ligne. Graham Clueley), Brian Krebs, Network World, Computer Weekly reprennent tous la même litanie, celle des différentes chaînes d’hôtel qui ont été récemment la cible de hacks comparables (mais pas toujours techniquement similaires).

C’est un monde sauvage, celui dans lequel le TPV qui vient de naître a tout de même peu de chances d’atteindre sa maturité sans être infecté. Samy Kamkar, l’homme qui démarre les automobiles et ouvre les portes de garage avec moins de 30 euros d’électronique, publie le plan d’un tout petit hack de TPV plein de simplicité et d’intelligence. Un microcontrôleur, des drivers de moteur assez costauds pour jouer le rôle d’amplificateur, une antenne de type « boucle magnétique » (plus longue à bobiner qu’à souder), et ce montage peut faire croire à n’importe quel terminal de payement qu’il est en train de lire une véritable carte de crédit, qu’il n’est pas nécessaire de vérifier la transaction ou sa validité à l’aide de la puce intégrée, ou que la carte est émise par une banque éminente de Papouasie ou de La Barbade. Tout le travail de Kamkar repose sur l’analyse des données contenues sur la piste magnétique d’une carte (lecture au sens littéral du terme puisque le chercheur utilise de la limaille d’oxyde de fer pour faire apparaître les données inscrites). Qui veut jouer ?

Il se fait appeler Superfish 2.0, en référence à un problème similaire rencontré sur les ordinateurs Lenovo. « Il » est un certificat racine (baptisé Edellroot) et une clef privée installés par défaut sur une majorité de machines Dell vendues depuis août dernier, et identiques sur tous les appareils vendus. Ce qui a pour résultat que n’importe quel possesseur de ladite clef peut créer des certificats donnant « patte blanche » à n’importe quelle sorte de service (équipement réseau, service IP, programme signé…) qui seront alors considérés comme dignes de confiance par le certificat racine.

Cet ensemble de certifications a été conçu pour fonctionner jusqu’en 2039, assez de temps pour que tous les ordinateurs Dell de la création soient, un jour ou l’autre, victime d’une injection de code ou d’une attaque « man in the middle » accompagnée de fuites d’information, puisque la vulnérabilité rend possible l’écoute de tout échange SSL. La procédure d’élimination de ce certificat n’est pas triviale, car tant que le service « Dell Foundation » est actif, Edellroot renaît de ses cendres. Le Sans décrit la procédure d’éradication pas à pas et fournit, au passage, un lien permettant de déterminer quelle machine est vulnérable.