mars 6th, 2017

Vous avez aimé le canard en plastique et la tortue réseau ? vous allez adorer Bash le Lapin, la toute dernière production de Hack5, issue des méninges démoniaques de Daren Kitchen.

On connaissait déjà l’USB rubber ducky, outil d’attaque en « rejoue » et injection, capable de faire croire au système d’exploitation à un simple branchement de clavier ou souris (identifiant HID). On avait tous entendu parler du Pineapple, l’ananas sans fil, outil intégré d’audit et pentest de réseau Wifi. Cette terrible famille comptait également la tortue réseau, une clef USB destinée à établir discrètement un accès distant sur une machine, la transformant du coup en espion réseau et point d’attaque « man in the middle ».

Bash Bunny est d’une toute autre dimension. C’est un ordinateur linux sur clef usb, totalement orienté pentesting, c’est donc une plateforme d’attaque qui ne nécessite aucun driver, simule une carte gigabit, un disque mémoire-flash, un port série et, bien entendu un clavier -héritage génétique du Canard en caoutchouc déjà mentionné. Injection de données, exécution de scripts, extraction de fichiers, installation de portes dérobées, ce lapin « ne nécessite que 7 secondes entre son branchement et le p0wn de la machine cible » affirment ses concepteurs.

Bash Bunny est assez proche, dans l’esprit, à USB Armory qu’avait développé Andrea Barissani et qui vient très récemment de rejoindre le giron de F-Secure.

Il va sans dire que l’usage de ces outils en dehors du cadre strict d’un contrat de test de pénétration ou à des fins strictement personnelles fait encourir à son propriétaire les foudres des LCEN, Loppsi et autres codicilles de la LPM.

Il est rédigé pour répandre une sainte frousse, le rapport Hacking Robots Before Skynet rédigé par Cesar Cerrudo et Lucas Apas. La Tweetosphère toute entière s’est soudainement couverte de Robby et de Benders devenus fous, et les allusions aux trois lois de la robotique se multipliaient comme affaires judiciaires durant une campagne électorale.

Il faut reconnaître que les deux chercheurs d’IOActive ont imaginé les pires des scenarii : distributeurs de denrées ou de boisson cherchant à empoisonner leurs usagers, animaux domestiques torturés par de petits automates passés du côté obscur de la force, appareils électroménagers voulant à tous prix électrocuter le cuisinier… voilà qui rappelle les portes à péage et les cafetières agressives des romans de Philip K. Dick. Pour Cerrudo et Apas, ce n’est pas là un roman de SF. Plusieurs modèles de robots fabriqués par SoftBank Robotics, Utech, Robotis, Universal Robots, Rething Robotics et Asratec présentent des défauts exploitables pouvant se solder au mieux par un simple disfonctionnement, au pire par une prise de contrôle à distance ou un détournement de son usage premier. Les mêmes causes produisant les mêmes effets, l’on croirait lire un rapport d’analyse vieux de 15 ou 20 ans, énumérant les problèmes rencontrés dans les routeurs WiFi ou équipements IoT divers : problèmes d’authentification, communications non sécurisées, faiblesses dans les niveaux de sécurité (équivalent d’un accès «root » sans vérification d’identité renforcée), niveau de chiffrement insuffisant, fuites de données à caractère personnel, configuration par défaut permissives, bibliothèques de fonction ou environnement de programmation intégrant des vulnérabilités connues… rien de franchement nouveau, mais rien de franchement corrigé non plus. Les mêmes erreurs sont commises, par des intégrateurs et industriels favorisant plus le « time to market » que la sécurité des usagers et clients.

Quelles sont les organes les plus vulnérables ? La liste dressée par Cerrudo est kilométrique. Les caméras, les microphones qui, détournés, deviennent des espions discrets. Les accès réseau, également. Mais aussi l’environnement et l’infrastructure étendue propre à chaque robot : les services cloud auxquels il se connecte, les portails facilitant son administration via Internet etc. Passons également sur les risques évidents de piratage des applications et appareils de prise de contrôle à distance (via attaque radio genre « evil twin » ou en infectant le logiciel de télécommande), n’oublions pas non plus les toujours possibles modification de firmware, les attaques en « fuzzing » (les robots utilisent souvent des systèmes d’exploitation communs issus de la sphère open source), sans oublier les « fausses mises à jour » et autres intrusions utilisant des canaux légitimes, voir le viol d’un des nombreux ports de communication. Car un robot, c’est souvent un concentré de gpio… donc de défauts dans cuirasse mi-matérielle, mi-logicielle.

« Tant que ces failles affectent des produits grand public, les risques sont relativement limités », expliquent en substance les deux chercheurs. Mais des robots, plus puissants, plus autonomes encore, on en rencontre dans les environnements industriels, les armées du monde entier travaillent activement sur leur développement, les services hospitaliers les généralisent, le monde des affaires commence à s’y habituer. Les robots sont partout et constituent autant de points de vulnérabilité si l’on ne porte pas dès aujourd’hui une attention particulière à leur sécurisation informatique. Un appel dans la droite ligne du discours du groupe I Am the Cavalry.

Exfiltrer les données d’une machine en modulant l’une des nombreuses diodes LED qui constellent son boîtier, cela n’a rien de nouveau. Mais une équipe de quatre chercheurs de l’Université Ben Gourion du Negev viennent d’établir un record de vitesse : près de 4 kilobits/seconde sur une distance de près de 30 mètres. A titre de comparaison, les recherches comparables étaient parvenues à des débits dix fois plus faibles, à condition que le récepteur soit situé entre 5 et 10 mètres de la source de lumière. Ajoutons que cet exploit, à tous les sens du terme, n’exige pas franchement de connaissances techniques très poussées.

L’étude d’une vingtaine de pages ne laisse pas planer le suspense très longtemps : tout le secret réside dans la qualité et la sensibilité du capteur. Injecter un malware qui détourne l’usage de la diode d’activité du disque dur n’est pas un tour de force, mais distinguer clairement le rythme de modulation de la source de lumière, malgré les interférences de l’environnement extérieur (tubes néon, lumière ambiante …) exige de très bons yeux. Et plus exactement un photodétecteur silicium Thorlab (plus de 300 euros pièce). D’autres essais, avec des portées moindres mais des débits comparables, ont été obtenus avec une photodiode SFH-2030 (moins de 36 centimes au détail).

La qualité de la source joue, elle aussi, fortement dans l’équation de puissance. Les diodes bleues, très à la mode dans les boîtiers modernes, se montrent plus efficaces en termes de rayonnement que les LED rouges ou blanches.

L’étude n’aborde pas, de manière chiffrée, la question des interférences et du niveau de bruit lumineux ambiant. Tout comme avec un récepteur radio, la qualité de décodage est caractérisée par la dynamique du récepteur (écart entre le signal le plus faible et le signal le plus fort avant saturation), dynamique qui a tendance à se réduire lorsque le plancher de bruit s’élève.

Hormis la détection du malware chargé de modifier le comportement de la diode électroluminescente (antivirus, détecteur de spyware) et l’ajout d’un petit bout de ruban adhésif pour masquer cet émetteur indiscret, il n’existe pas beaucoup de contre-mesures et d’autres méthodes de détection.

Il en aura fallu, du temps, pour avoir la peau du Sha 1. Au cours de 2013-2014, les principales autorités de certification commerciales (Thawte, Comodo, Symantec…) supportaient déjà « chatoux », alias Sha256, et la dépréciation de Sha1, techniquement remplacé depuis 2011, faisait l’objets de nombreuses annonces. « Janvier 2016, fin des certificats Développeur » promettait Microsoft. Et fin de la reconnaissance des certificats Serveur dès janvier 2017, continuait Redmond mi-2015. Mais il en va souvent des certificats comme d’IP v4. Certains standards ont la vie dure, et les dates d’enterrement sont indéfiniment reportées

Lorsque les chercheurs de Google et du CWI d’Amsterdam parviennent, après deux ans de recherche et des moyens techniques impressionnants, à obtenir une collision (un même condensat à partir de deux contenus différents), nombre de médias ont immédiatement prédit une apocalypse numérique. D’une certaine manière, ils n’ont pas tout à fait tort.

Bien sûr, les grands acteurs vont tenter d’accélérer le processus de dépréciation de Sha1. Avant que l’on ne trouve sur le marché à la fois des systèmes assez puissants pour « casser » ce mécanisme de chiffrement et une version exploitable de la méthode de cassage, Microsoft aura largement eu le temps de sortir 2 versions différentes de System Center et Samsung une bonne centaine de modèles d’équipements téléphoniques de nouvelle génération. Webmestres et architectes systèmes, du moins les plus consciencieux et pour les 10 années à venir, ne jureront plus que par Sha256, et l’intégralité des services Cloud auront mis à niveau leurs panoplies de chiffrement. C’est juré.

Reste l’effet du « Windows 98 éternel » ou du Service Pack maudit, celui que l’on oublie systématiquement de mettre à jour ou de déployer. L’effet qui, souvent combiné avec une erreur d’intégration ou une mauvaise pratique d’administration, permettra l’usage d’un futur « L0phtcrack Sha1 » par une horde de dangereux pirates affublés de cagoules et de gants cirés de noir. Contre ce risque encore très lointain, il n’y a pas grand-chose à faire. Pas plus qu’il n’a été possible aux usagers de Yahoo ou aux abonnés d’Ashley Madison de prévoir le pillage massif de leurs données personnelles, pourtant garanties contre toute attaque de pirates. Le « petit » Sha est mort, l’ignorer serait irresponsable, s’affoler serait prématuré.

… et toujours des backdoors dans tout un éventail d’IoT d’origine Chinoise sous la marque DBLTech alerte Trustwave

Encore un risque d’injection SQL dans WordPress, sous certaines conditions, alerte Slavco Mihajloski de Sucuri

HackerOne, l’une des grandes plateformes de Bug Bounty US, ouvre son service « Community Edition » destiné à aider les petites structures Open Sources

Double faille IE et Edge, dévoilée par le Google Project Zero . Ce trou de sécurité pourrait être exploité à distance. C’est la seconde fois en moins d’une semaine que le Project Zero révèle un défaut Microsoft non encore corrigé