août, 2017

Chez Kaspersky, c’est une victoire par repli de l’adversaire, pour Microsoft, il s’agit là d’une « évolution stratégique »… une victoire également mais à la Pyrrhus, en Français une « défense élastique » . Car après un triple dépôt de plainte de Kaspersky auprès des tribunaux Européens, Allemands et Russes chargés de réglementer la libre concurrence commerciale, la Windows Company a promis de « mieux partager les informations liées aux mises à jour de Windows 10 ». Des changements en matière de compatibilité avec des produits de sécurité tiers devant notamment voir le jour avec la prochaine Windows 10 Fall Creators Update.

« Nous travaillerons mieux avec les vendeurs d’antivirus, nous leur offrirons une meilleure visibilité sur les versions à venir, nous leur permettrons de générer leurs propres alertes de mise à jour bien avant leur date d’expiration et modifierons la manière dont Windows informera les usagers quant à leur protection antivirus » explique en substance le billet de blog de Rob Lefferts, le « Partner Director » de la branche Windows Enterprise and Security. Pour combien de temps ?

Forger le vivant pour mieux tuer la machine : une équipe de chercheurs de l’Université de Washington est parvenu à « faire les grands titres » de la revue du MIT, de Wired, de Boing Boing et de TechCrunch. Quatre confrères qui titrent « Comment infecter un ordinateur avec une chaîne d’ADN ».

L’ennui, c’est que le rapport des chercheurs ne raconte pas exactement la même histoire. Ces Universitaires ont en fait profité des faiblesses d’un système d’analyse et de séquençage en lui injectant la représentation numérique d’une chaîne d’acide nucléique et non la chaîne elle-même. Forger un véritable ADN aurait nécessité des moyens considérablement plus conséquents, et les résultats auraient été encore plus aléatoires… dans la vraie vie, le biohacking façon Jurassique Park appartient encore au domaine de la science-fiction.

Entre également en jeu la façon dont le logiciel de séquençage « saucissonne » la représentation de la chaîne d’ADN dans le but d’accélérer l’analyse en faisant appel à des opérations fortement parallélisées. Ce qui, expliquent les chercheurs, oblige l’auteur de l’exploit non seulement à inventer des séquences génétiques hautement improbables, donc susceptibles d’être rejetées, mais encore à faire tenir son PoC dans la taille de l’échantillon en question. Et même dans ces conditions, le taux de succès frise à peine les 37% sur un type très particulier de logiciel d’analyse. Pour un exploit de type « avec accès direct à la console », c’est peu, très peu.

La compromission consiste en un premier temps à provoquer un débordement de tampon, et d’injecter ensuite une séquence exécutable en mémoire. Un déroulement assez classique dans le cadre d’attaques par fourniture de données forgées.

Comme le domaine médical semble plaire à la presse, il serait ainsi possible de décliner cette méthode avec une injection de faux rhésus de sang d’alien, un buffer overflow via une cytobactériologie urinaire d’hirondelle d’Afrique (ou d’Asie), ou un « man in the middle » initialisé par une coproculture de mammouth trafiquée. Voilà pour la partie fantasmatique. En revanche, imaginons un bruit électromagnétique (donc un signal apparemment aléatoire et naturel parfaitement maîtrisable et simple à forger, reçu par n’importe quel poste de radio logicielle). Là, l’exploit est considérablement plus réaliste, car il n’est lié à aucune contrainte biologique.

C’est décidé, DigiCert est acquéreur de l’activité « certification » de Symantec. Le montant annoncé de la transaction s’élève à 950 millions de dollars. Symantec conservera 30 % des parts (minorité non bloquante) de la nouvelle entité.

Aux termes de cet accord, DigiCert récupèrera toute l’activité de Symantec CA, autrement dit l’infrastructure (informatique, organisationnelle, entreprise), le personnel et les « racines ». Les certificats émis relèveront de l’autorité du repreneur à partir de décembre de cette année.

De toute manière, on ne peut pas faire confiance à un robot … certains sont même conçus spécifiquement pour tromper l’homme nous apprend la très sérieuse MIT Technology Review. Un article qui met en évidence le « rôle majeur des robots dans la diffusion des fausses nouvelles ». L’on parle ici de « Bots » sur les réseaux sociaux tels que Twitter.

Pour parvenir à de telles constatations, des chercheurs de l’Université d’Indiana ont épluchés, durant la précédente campagne présidentielle US, près de 122 sites d’information réputés pour diffuser ces « fake news ». Des sites satiriques ou partisans tels que infowars, breitbart, politicususa, ou theonion. La somme de travail est pharaonique : 400 000 affirmations ou révélations, ayant engendré 14 millions de messages Twitter. Le tout contrebalancé par quelques 15 000 articles de contre-feu émis par les médias spécialisés dans le « fact checking ». Et de conclure que les robots sont efficaces, particulièrement en matière de transmission. Car, dans ce monde d’instantanéité émotionnelle que sont les réseaux sociaux, il suffit qu’une histoire croustillante soit rapportée par un compte automatique pour qu’ensuite de véritables humains s’empressent de le retwitter, sans la moindre vérification. Le robot agit donc en utilisant des ressorts psychologiques simples mais excessivement toxiques.

L’Université d’Indiana met à disposition du public deux outils ayant servi à la rédaction du mémoire : Botometer, un détecteur de Bot, et Hoaxy, instrument d’évaluation des mécanismes de diffusion de fausses nouvelles.

L’homme doit pouvoir garder le contrôle et devrait être capable de corriger les défauts des robots à tout instant. C’est ce que demande en substance une proposition de loi US (faudra-t-il 4 ans pour que les Européens s’en inspirent ?) déposée par des Sénateurs tant démocrates que républicains. Un texte qui vise essentiellement l’Internet des Objets, lesquels « devront être capables de se voir appliquer des correctifs, ne comporteront aucun mot de passe « codé en dur » et seront exempts de défauts de sécurité connus et déjà référencés » précise Mark Warner, l’un des élus à l’origine de ce projet. Difficile de savoir ce qu’il y a de plus improbable autour de ce texte : un appareil qui respecterait a minima un «Owasp » de la robotique ou une méthode de développement intégrant la sécurité dès la conception du produit.

Les trois lois de la robotique sont totalement inapplicables, et le public, inconsciemment, en sait quelque chose. Conséquence probable des charrettes massives des industriels du « brick and mortar » après les plans d’automatisation et robotisation massives. Sans surprise, les clients des compagnies aériennes ne veulent pas entendre parler d’un aéronef totalement autonome, quand bien même le prix du billet diminuerait. La peur du hacker « noir » qui détournerait un long courrier, celle de la panne toujours possible en plein vol, ou l’extrapolation des quelques déboires que connaissent les premières voitures sans chauffeur… Pour les géants de la finance (il s’agit là d’une étude UBS) l’élimination du pilote rapporterait tout de même près de 35 milliards de dollars aux compagnies aériennes, rapporte le magazine Fortune. 31 milliards de rognés sur les charges salariales, 3 milliards de formations devenues inutiles, 1 milliard en économie de carburant. Mais sur 8000 passagers interrogés, 54 % refusent de se demander s’il y a, ou non, un pilote dans l’avion. Quand bien même, rappelle l’article, une majorité d’appareils peuvent dès aujourd’hui atterrir automatiquement, le commandant de bord limitant alors son travail à l’activation des inverseurs de poussée et la conduite de l’appareil sur le taxiway.

NSA : n. fem. : seul groupe de pirates (voir BlackHat) capable de déposer un brevet pour chacun de ses malwares . Nul ne connaît la réaction de ses avocats en cas de contrefaçon

Tout le landerneau de la recherche connaît ou a entendu parler de Sci-Hub, ce serveur de publications scientifiques gratuites. Depuis 6 ans, ce moteur de recherche donne accès à une quantité impressionnante de travaux universitaires, traditionnellement protégé par quelques éditeurs ayant un monopole sur lesdites publications. Avec le temps, cet impôt (ce racket estiment beaucoup de chercheurs) enrichissait fortement quelques entreprises du secteur privé, tout en appauvrissant le domaine de la recherche en raison du montant exigé des abonnements. Les éditeurs, et principalement l’anglo-néerlandais Elsevier, ont toujours refusé de communiquer le volume exact des communications téléchargées « légalement » sur leurs portails. Il fallait donc, pour apprécier l’importance réelle de Sci-Hub, mesurer au moins le volume de l’offre du moteur de recherche pirate.

C’est à cet inventaire que se sont attelés 5 chercheurs, travail dont la prépublication du journal PeerJ donne un avant-goût précis. Il en ressort que le monopole d’Elsevier est singulièrement grignoté, puisque plus de 97 % de son catalogue est disponible sans bourse délier sur l’un des nombreux dépôts de Sci-hub. Soit au total un peu moins de 70% des articles universitaires, pourcentage qui dépasse les 85% lorsque les travaux en question ont fait l’objet d’une publication dans l’une des revues privées connues. Testé sur toute une année de requêtes émanant de chercheurs, l’étude tend à prouver que plus de 99% des demandes ont été satisfaites (ce qui ne peut être le cas via les serveurs privés).

Pour les rédacteurs de cette étude, ces chiffres indiquent le « commencement de la fin » de ce monopole.

Plusieurs universités, en Allemagne notamment, ont résilié leurs abonnements auprès d’Elsevier. En outre, les « comités de lecture » de ces sociétés de publication ont été à maintes fois pris en délit de copinage, d’incompétence affectant notoirement le prestige et l’image de sérieux desdites publications. Reste que, notamment Outre Atlantique, les bourses et subsides accordés aux départements de recherche ne reposent souvent que sur un seul critère, le nombre de publications « officielles » effectuées par un groupe de chercheurs. Une sélection quantitative plus que qualitative, qui entraîne les chercheurs à publier des travaux spécifiquement formatés pour « passer » le filtre des comités en question. Une suppression de ces fourches caudines aurait pour premier effet une amélioration du niveau qualitatif des mémoires, ainsi qu’une meilleure transmission du savoir entre chercheurs.

BlackHat2017, Las Vegas : Peut-on transformer une radio logicielle en analyseurs de spectre ? Michael Ossmann et Dominic Spill ont tenté de répondre à cette question en utilisant un vocabulaire d’informaticien. La série de transparents et le texte de la communication effectuée durant la 20ème BlackHat méritent de figurer au panthéon des publications « Spectrum analysis for dummies ».

Car si une radio logicielle affiche bien un spectre et un affichage en chute d’eau couvrant une large portion de l’étendue fréquentielle, on est loin, très loin d’arriver à la cheville d’un véritable analyseur scalaire, avec ses filtres de bande (alias « RBW filters »), sa dynamique, son absence de produits de mélange et artefacts liés à l’imperfection des filtres d’antialiasing des SDR. Et Michael Ossmann d’expliquer comment, malgré ce lourd handicap technique, il est tout de même possible de s’approcher un peu d’une véritable analyse de spectre. Son étude compare différentes interfaces clients, donc gr-fosphor, ShinySDR, QSpectrumAnalyzer associées tantôt à rtl power, tantôt à hackrf sweep (deux méthodes de traitement des transformées de Fourier rapides). Elle explique également comment a dû être ajouté un système de commutation d’antennes capable de couvrir, par tranches successives et sans ralentir le processus de balayage, les quelque 6 GHz de couverture du SDR HackRF. (ndlr : il est parfois plus utile d’utiliser de simples sondes apériodiques, notamment en analyse des rayonnements des champs proches).

Cette approche de l’analyse de spectre « très large bande » s’adresse typiquement aux spécialistes SSI. Les ingénieurs radio, quant à eux, préfèrent travailler sur des spectres plus étroits, avec des filtres de bande excédant rarement la dizaine de kHz et avec une dynamique considérablement plus élevée que ce que permet une radio logicielle 8 bits/20Msps.

L’on pourrait ajouter aux travaux d’Ossmann et Spill qu’un SDR « émission-réception » peut réaliser des mesures en analyse vectorielle (en d’autres termes apprécier la phase d’un signal en plus de son amplitude et de sa fréquence), ce qu’un analyseur scalaire est totalement incapable d’assurer. Avec par exemple VNA du projet OpenHPSDR. Un « plus » qui ouvre notamment la voie aux mesures en réflectométries et aux détections de rupture d’impédance, deux piliers de la défense périmétrique physique.

BlackHat2017, Las Vegas : parmi les dizaines de hack IoT dévoilés au cours des conférences de la BH2017, l’un des plus simples (et des moins dangereux) est sans conteste celui présenté par Billy Rios, lequel s’est penché sur la sécurité des portiques de lavage automatique pour automobile. On imagine le désarroi des victimes condamnées à subir un second cycle de séchage ou une violente augmentation du volume de cire de carrosserie… le hack IoT est parfois à la limite de l’insoutenable.

Comme il est de coutume dans l’IoT, chaque portique peut être piloté par le patron de la laverie automatique via une interface Web. Et celle intégrée par la marque LaserWash est particulièrement vulnérable, puisque rares sont les gérants de stations-service qui pensent à modifier leur mot de passe, encore plus rares sont ceux qui envisagent de placer leur ordinateur de gestion des cycles lavage-rinçage-séchage derrière un firewall. Si, de surcroît, l’on découvre que ladite interface possède comme sésame par défaut le mot de passe 12345, il en faut peu pour pirater une laverie toute entière. Pour faire bonne mesure, chaque portique de lavage est capable, si nécessaire, d’envoyer un email après chaque lavage (smtp faillible), et l’interface de pilotage rappelle qu’il faut se soucier des mises à jour du firmware… Les annonces desdites mises à jour étant disponibles en quasi temps réel sur Facebook, Youtube et LinkedIn… Autant de réseaux sociaux accessibles directement depuis l’interface d’administration. En fallait-il plus à Rios pour dénicher un exploit fonctionnel ?

L’histoire ne s’arrête pas là. Nul gourou de l’Owasp ne peut venir en aide à LaserWash. Car le système d’automatisation tout entier repose sur Windows… CE, ce système embarqué héritier du projet Microsoft Pegasus de 1996 qui, depuis ses premières heures, a accumulé bug sur bug, failles de sécurité sur mauvaises pratiques de développement. A tel point que Microsoft en a abandonné et le chantier, et la maintenance, laissant des centaines de laverie orphelines du moindre « patch Tuesday ».

Rios et son équipe découvre cette cascade de défauts début 2015 et, malgré plusieurs avertissements, ne reçoit aucune réponse de la part de l’intégrateur. Ce n’est qu’à l’annonce de la présentation publique de la BlackHat 2017 que le spécialiste du lessivage automobile donne signe de vie et avoue son incapacité à corriger le bug. Et pour cause.