novembre 16th, 2015

La seconde journée Hackito Ergo Sum comptait également son lot de présentations de haut vol, et débutait avec une signée Laurent Ghigonis et Philippe Langlois, P1 Security, les organisateurs de HES. L’an passé, le protocole SS7 et ses vulnérabilités avait soulevé pas mal d’interrogations sur la prétendue inviolabilité des réseaux d’opérateurs télécom, cette année, le dévolu des deux chercheurs a été jeté sur les réseaux mobiles LTE, et plus particulièrement sur les DRA, Diameter Routing Agents et de son protocole d’authentification associé. Une fois cette sécurité contournée, le réseau interne de l’opérateur est accessible, avec les conséquences que l’on peut imaginer. Mais le plus inquiétant, explique Philippe Langlois, c’est qu’un opérateur scrupuleux qui aurait tout mis en œuvre pour contrer ce type de menaces n’est pas à l’abri d’une attaque puisque l’adversaire peut fort bien exploiter la fragilité des infrastructures d’un tout autre opérateur pour, une fois dans la place, profiter à la fois de l’authentification octroyée par ce « maillon faible » et des « tuyaux » reliant les entreprises télécom entre elles.

Lukasz Siewierski, quant à lui, s’est penché sur les malwares Android qui « n’intéressent strictement personne car ils n’ont rien à voir avec les vecteurs d’attaque en code natif que l’on rencontre sur le créneau de l’informatique classique ». Pourtant, ces malwares font preuve d’un comportement général proche des virus classiques : un « loader », ou plus exactement une DLL qui attend les ordres émis depuis l’extérieur via un SMS (à l’instar de tout C&C en train de piloter un bot). Ainsi, lorsque la DLL recevait le caractère « / », certains malwares bancaires se mettaient à intercepter les « mots de passe unique » (OTP) expédiés par l’intermédiaire d’un SMS, message réexpédié à destination du « bot herder » qui s’empressera bien entendu de l’utiliser pour son plus grand bénéfice. Pour éviter tout soupçon, une fois son forfait accompli, le pilote du réseau de téléphones compromis peut même expédier un « ! » au terminal zombifié pour que s’efface toute trace du code indésirable. Ce genre de virus s’est répandu assez rapidement en Pologne notamment, jusqu’à ce que l’analyse du malware révèle le secret de ses commandes cachées. A partir de ce jour, les SMS expédiant les codes de « second facteur » émis par les banques locales ont tous débuté par un expéditif « ! »

Hackito 2015 s’est achevé avec la remise d’un prix Intel qui (c’est une presque tradition désormais) profite de ce genre de manifestation pour promouvoir ses plateformes de développement. Cette fois, c’était l’Edison qui était à l’honneur, le vecteur « IoT » du constructeur.

La seconde journée de la conférence HES était, en partie, destinée à un public un peu moins technique, grâce à trois présentations plus « humaines ». C’est Alex Triffault qui ouvrait le bal, en détaillant par le menu le travail d’un expert en recherches de preuves spécialisé dans le crochetage de serrures. Si, par tradition, chaque conférence sécurité possède qui son atelier, qui sa présentation traitant de l’art de savoir tutoyer les verrous, loquets et autres cadenas, il faut savoir, explique Triffault, que chacune des méthodes préconisées par les chatouilleurs de pistons et des cylindres laissent de légères griffures ou tonches indélébiles sur le métal des serrures. D’autant plus indélébiles que biens souvent les outils de crochetage sont en acier et le mécanisme des cadenas en laiton, plus tendre. D’un coup de binoculaire, l’expert relève immédiatement la signature de l’effraction, le type d’outil employé, et indirectement le degré d’expérience de l’adversaire. Parapluie ou crochet, vibreur ou « bumper », la marque de l’intrus est enregistrée et ce témoignage peut être versé dans les éléments de preuves au cours d’une enquête de police.

Venait ensuite l’une des présentations les plus attendues, celle de Raul « Nobody » Chiesa sur la sécurité des aéroports. Allait-on apprendre la présence de nouvelles failles spécifiques ? Qui donc, après une telle causerie, oserait encore monter dans un avion ? En fait de conférence, Chiesa a relaté les résultats d’un audit de sécurité et d’une campagne de pentesting effectués « intra » et « extra » muros d’un aéroport, campagne qui a révélé… ce dont tout le monde se doutait depuis longtemps : failles de sécurité dans les infrastructures WiFi destinées au public mais révélant des porosités avec le LAN interne, certificats dépassés ou dangereux, bug SSL, trous RDP Windows, avalanches de configuration et de mots de passe par défaut… il n’y a guère de différence avec ce que l’on a coutume de rencontrer en entreprises, que celles-ci appartiennent au cercle restreint des OIV ou non.

Bien sûr, à partir de certaines de ces failles, outre une attaque en chiffrement sauce Cryptolocker ou un déni de service généralisé, l’on pourrait imaginer quelques forgeries d’identités capables de faire passer un dangereux terroriste pour un innocent quidam, quand bien serait-il inscrit sur une « no flight list ». Bien sûr aussi peut-on craindre des fuites de données personnelles ou bancaires. Mais peut-on imaginer un péril frappant le moyen de transport lui-même ? Sur ce point, Raul Chiesa se contente de reprendre (tout en émettant des doutes légitimes) les affirmations de Chris Roberts, et tente de classer au rang des vulnérabilités les échanges en clair des transmissions ADSB et Acars. C’est, doit-on rappeler, également le cas des communications en modulation d’amplitude des aéronefs entre eux, mais également entre les aéronefs et la tour de contrôle, sans oublier les communications « au sol », que l’échange concerne un A380 ou le plus humble des « tagazous » monomoteurs. La verve transalpine pousse parfois le bouchon un peu loin.

Reste que l’avertissement de Chiesa mérite toute l’attention des sociétés de gestion aéroportuaires. Fin septembre, un groupe Anonymous s’en était pris aux systèmes de Saudi Airline. Au début de cette année, c’était Malaisia Airline qui avait fait les frais d’une opération-éclair orchestrée par le Lizard Squad, et en juin, c’était au tour de LOT, la compagnie nationale Polonaise, ainsi qu’une partie de l’aéroport Chopin de Varsovie, de succomber à une attaque informatique, causant l’annulation d’une dizaine de vols et un retard considérable dans le trafic national et international. Les compagnies aériennes ont, de tous temps, fait l’objet de menaces, car elles représentent leur pays d’origine. Les alertes à la bombe (et attentats réels) qui ont régulièrement frappé les agences d’Aeroflot ou de Turkish Airline prouvent à quel point ce risque a toujours été présent.

On peut presque regretter que l’équipe Chiesa se soit limitée à un pentesting réseau purement informatique. La périmétrie radio (télémétrie, services au sol, radars, systèmes de guidage et d’approche) de ce genre d’infrastructure est encore plus complexe et, par certains aspects, plus fragile compte tenu de l’évolution des techniques d’émission-réception depuis ces 20 dernières années. D’un point de vue purement binaire, la sécurité informatique des aéroports est préoccupante.

Ajoutons à la liste des hacks « compréhensibles par tous » la présentation (en anglais) d’un jeune homme de 13 ans « perceur de coffre-fort », et accessoirement fils d’un spécialiste de la sécurité des systèmes bancaires… la pomme ne tombe jamais très près de l’arbre. Le challenge n’était pas évident : comment récupérer un téléphone portable ou une console de jeu confisquée par d’indignes parents et enfermés à double tour dans un coffre-fort à clavier ? La réponse est presque trop simple : en installant discrètement une petite caméra dans l’axe du clavier en question et en attendant qu’un des parents y accède, révélant ainsi la combinaison. Et c’est sous un tonnerre d’applaudissement et l’œil ému de son père que le jeune orateur terminait son « lightning talk », en affirmant haut et fort « I’m a hacker, not a thief ».

La sixième édition de la conférence Parisienne Hakito Ergo Sum s’est déroulée fin octobre, tout comme l’an passé dans un amphithéâtre de la Cité des Sciences de La Vilette. Quelques jours après Hack.Lu, quelques jours avant GreHack, il en faut, de l’endurance, pour suivre l’actualité InfoSec Européenne. HES, cette année, faisait essentiellement se succéder des chercheurs du domaine « pure software » et « infrastructure ». Le domaine des ondes radio ou des vulnérabilités matérielles n’était cette fois présent qu’en filigrane.

Et c’est le célèbre « FX » qui a ouvert le feu, avec une conférence plénière très « plénière », c’est-à-dire non technique, divertissante et instructive pour ceux qui avaient quelque peu oubliés leurs cours de génétique. Le chef de file du groupe Phenoelit, assisté d’une authentique biologiste, établissait parallèles et analogie entre le monde du hacking et le fonctionnement du noyau cellulaire.

A peine le temps de se remettre de ce changement d’univers que Camille Mougey et Xavier Martin, du CEA plongeaient l’assistance dans le labyrinthe parfois très ténébreux du machine learning appliqué à la recherche massive d’indice. La cible choisie pour les besoins de la démonstration était un vieux routier des vulnérabilités Scada, le protocole de contrôle de processus industriel Modbus et ses points d’entrée visibles sur Internet. Zmap, MassScan facilitent la collecte de ce genre de « Google hacking » dopé aux stéroïdes. Mais il en faut plus pour que cette collecte soit exploitable. Notamment être capable de filtrer les résultats par pays, par densité des réponses, par indice de plausibilité également, car il existe « aussi » des honeypots chargés de détecter des chasseurs de ports Modbus. Les représentations en nuages de points « 3D » générées par le moteur d’analyse des deux chercheurs parviennent alors à raconter des choses insoupçonnées, à isoler les « faux » sites, à mettre en exergue les installations les plus vulnérables ou les plus importantes, classées par emplacements géographiques. Le Machine Learning appliqué au scan réseaux massif pourrait bien devenir le cauchemar des OIV, la terreur des zones classées Seveso. Il y a un an environ, il n’était de meilleurs articles alarmistes que ceux traitant de Shodan, la très imparfaite base de données IoT mondiale. Que l’on attende encore quelques années le temps que l’Internet des Objets et ses vulnérabilités se développent réellement, et l’on pourra alors craindre le numéro de duettistes d’un super-Shodan et d’un moteur d’analyse « big data » offensif tel que celui présenté par Mougey Martin.

Olivier Levillain et Pierre Chifflier (Anssi) ont enchaîné dans les méandres des incohérences intrinsèques aux langages. Opérations arithmétiques ou logiques aux résultats défiant la raison, égalités qui ne sont plus égales, additions aux résultats incohérents, les deux chercheurs ont passé au crible Java et Javascript, PHP, Python, Ruby… Ce genre de présentation rappelle les travaux de plusieurs chercheurs du MIT qui, en 2013, s’étaient penchés sur les résultats surprenants d’un source passé à la moulinette de certains compilateurs (Python, C++…).

S’il est difficile de voir en ces défauts un risque d’exploitation direct, c’est, à n’en pas douter, un vecteur certain de bugs fonctionnels généralement inexplicables. L’on remarquera au passage qu’après la présentation très médiatisée de deux autres chercheurs de l’Anssi à l’occasion de Hack in Paris, c’est la seconde fois que l’Anssi expose ses talents et son savoir-faire durant une conférence sécurité parisienne. Il est important qu’une institution gouvernementale vienne apporter tout son crédit à des « conférences de hackers ».