juillet 27th, 2017

BlackHat 2017, Las Vegas.En ces jours de hacks tous azimuts, d’IoT florissant et de badges radio actifs, il semble tout naturel que la gente InfoSec se passionne pour le décodage des trames transmises sur des médias haute-fréquence, les vapeurs de flux et d’étain en fusion. Ce qui suit donc est un rapide aperçu de l’actualité hebdomadaire hackeuse des plateformes matérielles en général et du spectre électromagnétique en particulier, règlementé en France comme nul n’est censé l’ignorer par l’article R226.3 et suivants du Code Pénal, ainsi que par le R20-27 du code des P&T.

C’est Johannes Pohl qui a ouvert les hostilités. Ce scientifique de la « University of Applied Sciences » de Stralsund, dans le nord de l’Allemagne, a développé au cours des derniers mois Universal Radio Hacker (sur Github), un outil « open » extraordinairement pratique pour qui souhaite effectuer de l’analyse de signal radio. La présentation qui en a été faite dans le cadre de « l’Arsenal » de la BlackHat n’a été qu’une version très réduite des quatre vidéos publiées par l’auteur sur sa chaine Youtube : de la réception à l’exploitation, en passant par la démodulation, le décodage, l’analyse et enfin la génération (spoofing) d’un signal radio « compatible » avec ce qui a été reçu. UHR automatise, simplifie le décodage des signaux numériques transmis par radio, grâce à une suite d’outils et de scripts Python. D’un point de vue matériel, cette suite est compatible avec la presque totalité des SDR de type « Soapy », autrement dit les clefs RTL-SDR, Airspy, Aircrack et ses dérivés, mais également l’USRP et LimeSDR. Il manque peut-être les « sources » de certaines radios plus haut de gamme, tel que le QSR1 de Phil Covington, ou des entrées de gamme polyvalentes tels que le Red Pitaya.

… ou comment, d’un coup de baguette publicitaire, oblitérer les accusations de barbouzerie émises par le Sénat US. Kaspersky lance une version gratuite de sa protection antivirus, édition allégée de multiples extensions parfois jugées trop lourdes telles que la protection d’identité, la sécurisation des achats en ligne ou le contrôle parental. Point de « support technique » non plus, mais cela est-il nécessaire pour un logiciel du type « fire and forget » ?

Après une courte période d’essais en Russie, Ukraine et Biélorussie, suivie d’une transformation en Chine et dans les pays nordiques, Kaspersky Free partira à la conquête du monde. Par étape tout d’abord : « The first wave will be the U.S.A., Canada, and many of the Asia Pacific countries ». En plein conflit post-électoral Russo-Etats-Unien, après s’être fait fermer la porte des marchés d’Etat et subit les effets d’une campagne de dénigrement généralisée, l’éditeur Moscovite se devait de réagir. Quand bien même l’idée de ce produit gratuit ne date pas de la semaine dernière, la date de son annonce de lancement est un remarquable « coup » politique. L’on peut également ajouter que ce lancement s’inscrit également dans un combat à épées démouchetées qui oppose la société Kaspersky et Microsoft, la précédente passe d’arme étant, en juin dernier, cette plainte en position dominante déposée à la fois en Russie, en Allemagne et devant la Commission anti-trust Européenne.

« Lorsque c’est gratuit, c’est l’utilisateur qui est le produit ». Cette vérité toute googlelienne concerne également le monde de la protection périmétrique. Les plus paranoïaques considèrent que Windows Defender est potentiellement un système capable d’exploiter un volume impressionnant de métadonnées, et s’apparente techniquement à un cheval de Troie officiel, intégré et quasiment impossible à désinstaller. Il en est quasiment de même pour tout autre antivirus, ce qui semble justifier la proposition émise par une commission sénatoriale US de bannir toute plateforme logicielle estampillée Kaspersky des appels de marché du Department of Defense.

Ce syndrome de la porte dérobée n’épargne personne. C’est d’ailleurs cette crainte permanente qui a justifié, en France, la publication d’une liste d’appareils audités et « labélisés » Anssi. Véritable garantie d’intégrité pour certains, cavalier législatif protectionniste tentant de favoriser les éditeurs nationaux pour les autres, ou encore preuve que ce risque est bien latent pour les désabusés du « choisit la nationalité de ton espion favori », la bataille du périmétrique ne semble pas faiblir.

Selon nos confrères de Bleeping Computer, la Douma serait sur le point de faire passer un oukase déclarant hors la loi Tor, les VPN et les proxys. Ce seront les FAI Russes qui seront chargés d’appliquer ce filtrage. Et nos confrères de faire remarquer que ce sera le seul pays au monde qui appliquerait ce triple bannissement.

Tout, dans le calendrier des événements, laisse à penser que cette loi vise avant tout les citoyens, dans le but de contrôler la consultation de sites interdits. C’est là une vieille tradition folklorique locale qui consiste à poursuive toute personne cherchant la Pravda dans les Izvestia, un fond de vérité dans le déluge des informations numériques.

Cette loi sera-t-elle signée par le Président Poutine, et si oui sera-t-elle appliquée ? La chose est peu probable, à court ou à long terme. La Russie, et son meilleur ennemi l’Ukraine, sont deux pays « exportateurs » de services VPN, de serveurs « .onion », de proxy dynamiques. Sans eux, pas ou peu de serveurs « bullet proof », de réseaux aussi mafieux que prospères, de services dits « dark web ». Si la loi inquiète les particuliers, elle a peu de chance de se voir respecter par les réseaux mafieux (l’économie des deux pays pouvant s’en ressortir). D’autant que le cas échéant, ces derniers peuvent servir de supplétifs aux forces militaires numériques. Voilà pour le court terme.

A plus longue échéance, l’interdiction de protection assurée par les VPN et les proxys provoquerait une véritable déflagration dans le monde des affaires. Plus de liaisons distantes pour les entreprises, moins de services d’équilibrage de charge, aucune confidentialité dans les échanges liés aux marchés publics, pas le moindre espoir d’évolutions vers une société numérique dotée de services administratifs performants (et Lénine seul sait à quel point est lourde et tentaculaire l’administration Russe), plus de Cloud, disparition des services Wifi publics, évaporation de l’ensemble des transactions bancaires, qu’elles soient émises par des particuliers ou utilisées en B2B… et l’on imagine mal les conséquences en matière de commerce international. Certes, l’aigle à deux têtes a toujours su ménager des exceptions dans l’application des lois, particulièrement dès qu’il s’agit de décisions concernant les rouages de l’Etat, de l’Armée, des Finances, de la Justice ou des services de renseignements. Mais en matière de technologies, il est bien difficile d’imaginer autoriser un protocole pour un type d’usage et l’interdire pour un autre. Particulièrement si ledit protocole est chiffré. En Russie comme en France, il se trouvera toujours un député pour envisager un « chiffrement faillible » ou un « interdit sur les vpn ». Et il y aura toujours un exécutif assez visionnaire pour bloquer ce genre de proposition mortifère.

Adobe envisage d’éliminer une faille de sécurité, mais pas avant 2020, date à laquelle devrait disparaître Flash