juillet 25th, 2017

BlackHat 2017, Las Vegas : Au fil d’une étude ne s’étayant que sur le ressenti des participants à l’exposition, le service de communication de la BlackHat a dressé une sorte de palmarès des 7 plaies de la sécurité, avec, en bonne place, le hack des centrales nucléaires.

Précisons que, quelle que soit la compétence des visiteurs de la BH en matière d’intrusion et de sécurité, on peut douter de leur expertise dans le domaine des infrastructures nucléaires civiles. Qu’importe, une nouvelle attaque que l’on suppose massive frappera les infrastructures nucléaires US d’ici deux ans, c’est indiqué blanc sur black dans cette étude.

Cependant, derrière cette crainte irraisonnée, on devine le fruit improbable des amours de Stuxnet (virus visant une infrastructure sécurisée nucléaire Iranienne) et des récents soupçons d’infection du réseau de capteur entourant la centrale de Tchernobyl. Infection qui s’est immédiatement traduite, aux USA comme en France, par « une infection qui aurait touché Tchernobyl »… quel esprit ne serait pas marqué par cette redoutable métonymie ?

Ce à quoi l’on pourrait ironiser en affirmant que le virus qui frappera la plongée des barres de combustible de ladite centrale Russe n’est pas encore né.

Le monde des vendeurs en sécurité s’est depuis trop longtemps accoutumé à cette exagération systématique, à cette perpétuelle tentative d’association de la peur, de l’incertitude et du doute, ces trois cavaliers de la prospérité marketing. A tel point que lorsque l’on manque d’éléments techniques pour évoquer un risque bien réel, justifier une politique de sécurité ou vanter les mérites d’une protection périmétrique, on a recours à l’opinion de l’homme de la rue, nouvel étalon de la vérité scientifique. La BH risque-t-elle de se décrédibiliser en publiant de tels propos ? Que nenni ! La faute retombera sur « Le journaliste » qui, en rapportant de bonne foi les propos tenus par un organisme faisant autorité dans le monde de la sécurité, servira de bouc émissaire. Celui de Circle ID, d’ IT Business Edge, de Tech.co, du e-Security Planet ou de TechGenix.

Encore un hack fantaisiste dévoilé cette fois par le très sérieux Forbes, histoire d’être dans le ton durant le déroulement de la DefCon : des chercheurs Chinois travaillant pour la cellule sécurité du portail de revente Alibaba sont parvenus à… déstabiliser l’image d’un casque de réalité virtuelle et ainsi perturber le sens de l’équilibre et le contenu de l’estomac du conquérant des mondes en 3D.
Ne faisons pas languir les amoureux de la vision augmentée, le hack se limite à coller un transducteur ultrason sur, ou à proximité, du casque en question, que celui-ci soit un appareil haut de gamme (Occulus Rift) ou plus commun comme ces simples lunettes en carton que l’on couple avec un téléphone portable. Le transducteur provoque, lorsqu’il est excité par un générateur BF, une instabilité du capteur gyroscopique de l’appareil, et l’image projetée se promène au rythme dudit gyroscope totalement affolé. C’est là le degré zéro de l’attaque par déni de service.

On pourrait cependant imaginer la création d’un groupe de travail unissant les chercheurs d’Alibaba et d’IOActive, avec en perspective la déstabilisation d’un gyropode par simple action d’un transducteur ultrason logé sous la planche à roulettes… après quelques tâtonnements, l’on pourrait même imaginer pouvoir diriger de cette manière les gyropodes hackés aux ultrasons, par simple influence mécanique de ses systèmes de pilotage inertiel.

Déjà, par le passé, des amateurs de bataille de drones ont envisagé d’utiliser cette technique. Avec des succès très moyens, la portée des ultra-sons étant relativement limitée. Le procédé, en revanche, peut s’avérer assez efficace sur certaines voitures équipées de systèmes d’aide au stationnement.

Le seul atout de ce hack, c’est son côté économique : un NE555 en guise de générateur de fréquences variables, un transducteur à quelques centimes d’euros, un transistor d’amplification et une batterie, et tout capteur de vibration devient potentiellement une cible.

BlackHat 2017, Las Vegas. On les appelle gyroskate, gyropodes, overboard, gyroroue. Ce sont ces héritiers à bas coût de la Segway, sortes de skateboards à pilotage gyroscopique venus principalement des usines Chinoises. Déjà, l’instabilité de leurs accumulateurs électriques les a fait considérer comme éléments dangereux et bannis par nombre de compagnies aériennes. Mais voilà qui est bien pire qu’une explosion en vol, ces super-patins à roulettes peuvent être piratés.

Cette dramatique révélation a été faite par Thomas Kilbride d’IOactive. Un hack qui rappelle énormément celui que Deral Heiland (Rapid7) avait présenté durant Hack In Paris 2017 et qui visait les robots de téléprésence. Les méthodes d’intrusion et de détournement sont assez similaires. Dans un premier temps, l’attaquant analyse l’environnement radio de l’appareil, et tombe, sans grande surprise, sur une liaison Bluetooth vulnérable. Liaison absolument indispensable pour que l’usager puisse par exemple modifier les chenillards de led multicolores depuis son téléphone portable, ou connaître son emplacement exact puisque la localisation et les calculs de trajets utilisent les données gps du smartphone. Après une rapide analyse du protocole et l’usage immodéré d’un code d’accès « par défaut », sans grande surprise “000000”, Kilbride s’est emparé du système embarqué et a pu y injecter un nouveau firmware de son invention… car ledit firmware peut être mis à niveau sans que le moindre système de contrôle d’intégrité ne vienne bloquer l’opération. De là à pouvoir enregistrer au mètre près le parcours d’un ou plusieurs gyrocyclopédiste ou ordonner un arrêt brutal de l’appareil, il n’y a qu’un pas, ou un tour de roue. Possesseurs de planches à roulettes modernes, méfiez-vous des geeks qui courent à vos côtés, un œil fixé sur l’écran de leur Kali-Linux. Car, on l’aura compris, la première partie de l’attaque, de la compromission Bluetooth au changement de firmware doit nécessairement se dérouler dans les limites d’une portée d’émetteur Bluetooth.

L’intérêt d’une telle attaque est assez discutable et très peu réaliste. Bon nombre de ces gyropodes proviennent de Chine, pays qui n’a jamais brillé pour son amour de la sécurité numérique dans les produits de grande consommation. Sans même mentionner le plaisir très relatif de voir un gyropodiste choir de sa planche d’une hauteur de moins de 15 cm. Mais, aspect plus pernicieux de ce hack, à l’instar des caméras de surveillance percluses de trous de sécurité, il y a de fortes chances que l’on trouve sur le marché des version OEM vendues sous les logos nationaux prestigieux. Un prestige qui risque fort de donner à chaque utilisateur un sentiment de fausse sécurité. Moralité, rien ne vaut la marche à pied.

DefConXXV/BsidesLV, Las Vegas. Traditionnellement, le badge de la Defcon (ainsi que celui du CCC Camp) est à classer dans la catégorie « collectors ». 2017 fait exception à la règle, puisque ce n’est pas un, mais près d’une trentaine d’insignes aussi électroniques que « non officiels » qui sont proposés à la vente. Tous possèdent un peu d’intelligence sous la forme d’un microcontrôleur ou d’un circuit spécialisé, beaucoup « rayonnent » joyeusement, généralement dans la bande des 2,4 GHz, mais « pas que ». Contrairement à la « vendor’s conference » qu’est devenue la BlackHat, la DefCon évolue et joue ouvertement dans la cour de l’IoT, du sans fil, des réseaux maillés et des failles de sécurité matérielles. Le fer à souder et les vapeurs de flux reviennent en force.

Le plus populaire risque fort d’être celui de AND!XOR, une superbe tête de robot Bender capable, entre autres choses, de constituer un botnet de badges. Même idée avec cette broche en forme de libellule et qui, à l’instar des « tambourinaires » du roman de Neal Stephenson (l’Age de diamant) se synchronisent lorsqu’ils sont à proximité les uns des autres en émettant des pulsations lumineuses coordonnées.

Beaucoup d’intérêt également autour d’un quadcoptère en forme de tête de mort pour la partie « volante » et de carte au trésor pour la télécommande. Un assemblage électronique assez simple, avec de gros actifs au format SOIC et des passifs en 1206, niveau bricoleur débutant mâtiné d’adorateurs des romans d’Edgar Poe et de Stevenson.

Mais l’on a pu également voir un badge-téléphone-cellulaire, un quasi kit de développement avec son afficheur, conçu par la « ruche » de Kansas City, une console de jeu très retro-gaming combinant une plateforme de développement et un émetteur-récepteur « sub-gigahertz » et une série de clefs mystérieuses ouvrant… on ne sait quoi dans les allées du crypto-village . N’oublions pas le très lumineux et très sonore sautoir du Defcon group de Salt Lake City ou celui de la Hackerwarehouse de San Francisco à base de chipset Wifi, tout comme celui de Ben Hiben, tout aussi clignotant et utilisant la même électronique à base d’ESP8266. Et la liste est loin d’être complète, car quelques initiatives sont diffusées de manière confidentielle ainsi le presque-arduino aux contours tarabiscotés de Dylan. D’autres sont imprimés à grande échelle, tel celui du Webzine Hackaday.

Certains de ces badges sont réalisés par des associations, d’autres par des revendeurs ou entreprises gravitant dans la sphère SSI, d’autres encore par des particuliers. Quelques-uns ne fonctionneront que de manière éphémère, d’autres sont conçus pour être utilisés durablement et ne pas s’empoussiérer une fois les conférences achevées. On peut y voir l’émergence d’une nouvelle forme de support publicitaire, une évolution moins « virtuelle » des concours de hack et autres challenges pour spécialistes du reversing, ou plus simplement une mode pour übergeek, un signe de reconnaissance pluriel de « ceux qui sont là et qui pourront dire : j’y étais »

Blackhat 2017, Las Vegas : Tout commence avec un Tweet amusant de GrumpSec sur les raisons justifiant le hachage des mots de passe dans une base de données de contrôle d’accès : l’éventualité de voir un jour l’abonné d’un forum utiliser la signature EICAR (chaîne de test destinée à vérifier le bon fonctionnement des antivirus). Que le logiciel de sécurité situé sur le serveur tombe sur la fameuse chaîne débutant par « X5O!P%@AP[4… » et le fichier des mots de passe a de fortes chances de se faire placer en quarantaine… au mieux.

Humoristique également, mais avec une perspective bien plus sombre et préoccupante, la présentation d’un vieux routier de la sécurité, Izik Kotler. Kotler est ce chercheur Israélien connu pour avoir été le premier à inventer un canal de commande inviolable entre le C&C et la charge utile d’un bot, canal reposant sur des serveurs impossibles à clore : le feed Tweeter de Britney Spears ou les petites annonces du Bon Coin. Ce qu’il avait prédit il y a plus de 14 ans fait aujourd’hui partie des caractéristiques les plus commune des botnets modernes.

Cette année, il s’en prend aux outils de sécurité situés dans le cloud. Par défaut, un antivirus est un logiciel capable d’agir à très bas niveau, doté d’un canal de communication extérieur et censé télécharger des mises à jour échappant totalement au contrôle du système d’exploitation. La définition n’est pas rassurante. Elle est bien pire lorsque la chose est cloudifiée, explique Kotler. Car sous des dehors de « super-antivirus multi-éditeurs à la pointe de la recherche », ces nouvelles solutions de protection impliquent l’installation d’un agent sur chaque poste de travail. Et quand bien même les politiques de sécurité interdiraient toute connexion non référencée dans une liste blanche que rien ne viendrait limiter l’échange permanent entre l’agent local et le bac à sable cloudifié. Car lui possède des privilèges extraordinaires.

Qu’un virus dormant ait pu être injecté avant le déploiement de l’agent, et c’est l’agent lui-même qui servira de « pompe à données » pouvant exfiltrer discrètement tous les documents internes et confidentiels d’une entreprise. Une « preuve de conception » devrait être disponible dans les jours qui suivent sur le github de l’entreprise sous le nom de code Spacebin