juillet, 2018

« Trompés par construction, comment les entreprises technologiques utilisent de sombres méthodes pour nous décourager d’exercer notre droit à la préservation de la vie privée » : le Forbrukerrådet Norvégien (Haut Conseil d’information des consommateurs) analyse les méthodes utilisées par Facebook, Google et Microsoft pour déstabiliser les usagers qui voudraient modifier les paramètres de confidentialité intrusifs installés par défaut dans les logiciels de ces trois grands acteurs.

Si l’on s’en tient à la lettre du RGPD, les notions d’informations délivrées « sans ambigüité » et « claires » ne sont visiblement pas respectées. Un graphique synthétique en pages 40 à 42 illustre le parcours du combattant truffé de chausse-trappes que doit suivre le consommateur pour désactiver les multiples outils de flicage et d’aspiration de données privées qui truffent Facebook, les outils Google et Windows 10.

Près de 2300 litres de carburant (600 galons) auraient été siphonnés d’une station-service située dans la banlieue de Detroit (Michigan) grâce à l’usage d’un « équipement miracle » capable de bloquer ou d’interférer avec le système de contrôle à distance du pompiste de service. L’employé, interrogé par la chaine Fox2, a déclaré avoir été impuissant, le temps qu’une dizaine d’automobilistes ait eu le temps de faire le plein. Un « kit d’urgence » lui aurait ensuite permis de stopper cette hémorragie d’hydrocarbure. Mais les rares témoignages sont relativement douteux. 600 galons et 10 automobiles, cela fait 60 galons par véhicule, soit près de 230 litres. Même au pays du gigantisme mécanique, ce genre de réservoir doit être relativement rare. Mystère également sur les moyens techniques utilisés par les pirates.
Déjà, par le passé, des « proof of concept » avaient montré à quel point certains équipements de stations-services étaient vulnérables à toutes sortes d’attaques. Les premiers à en avoir fait les frais, par le plus grand des hasards à la veille de la DefCon 2017, étaient les tunnels de lavage automatique. Et il n’y a aucune raison pour que les systèmes de contrôle des pompes à carburant soient mieux sécurisés que les aires de lavage ou même que les distributeurs de billets (activité affublée d’un nom plutôt évocateur, le Jackpotting ).

Aux USA, certaines pompes sont activées et contrôlées par une liaison sans fil. D’autres utilisent de très classiques liaisons Ethernet locales, mais pour des impératifs de simplicité du système de facturation, l’ordinateur chargé de l’automatisation est également relié au réseau de payement via Internet. La découverte de failles exploitables à distance ne serait donc pas franchement surprenante.

C’est un « petit » festival de la prise de contrôle à distance qui vient de s’achever avec le lot de rustines Microsoft et Adobe.

Comme d’habitude, Flash Player nécessite une mise à jour en raison de deux failles « critiques », autrement dit exploitables à distance.

Chez Microsoft, l’immense majorité des trous de sécurité (50 a total, concentrés dans 14 rustines) concernent les navigateurs Edge et Internet Explorer, ou l’un de leurs composants (moteur de scripting, notamment Chakra dans Edge). Sur ces mêmes 50 failles colmatées, 3 ont fait l’objet de divulgations public avant colmatage, et sont donc susceptibles d’être exploitables (mais non exploitées à ce jour).

A noter que, depuis le début du mois de juillet, le récapitulatif du Sans s’enrichit d’un tableau de bord spécifique qui donne aux responsables de déploiement une vision instantanée et claire de l’état de criticité du « jour des rustines ». C’est le « patch Tuesday dashboard », qui sera remis à jour chaque mois.

La NDH est morte, vive Le Hack. La 17ème et prochaine édition de cette manifestation marquera un tournant, l’affirmation de son émancipation.

A l’origine de la NDH, une bande de copains, d’incroyables talents dans le monde de la sécurité et de l’analyse forensique. Nono, CrashFR, Freeman, Virtu, Hackira et tant d’autres fondateurs du groupe « Hackerzvoice » (alias HZV), dont beaucoup travaillaient au sein de Sysdream, ont fabriqué année après année cette rencontre polymorphe, mélange de conférences techniques, de concours de hack défensif/offensif, d’ateliers techniques et de démonstrations, de socialisation et de fête. On n’assiste pas à une « nuit du hack », on y participe, à pied, à cheval, en péniche, dans une grange puis, quelques années plus tard, sous un immense chapiteau dressé à l’intérieur du parc Eurodisney ou dans les amphis de la Cité des sciences de La Villette.

Longtemps, la NDH a vécu des largesses de son incubateur, la société Sysdream, également organisatrise de Hack in Paris, une autre manifestation plus professionnelle, plus institutionnelle, même si bon nombre d’orateurs présents à HIP venaient distiller leur savoir et exposer les fruits de leurs recherches durant les deux évènements. Un même contenu ou presque, mais des ambiances radicalement différentes.

Avec le temps, la NDH a dépassé la masse critique d’une petite réunion de hackers cryptiques et isolés, pour surpasser Hack in Paris en termes de participation. D’enfant élevé au biberon d’une entreprise, la NDH a peu à peu atteint son équilibre financier. Equilibre précaire au début, largement atteint grâce à la participation d’une armada de bénévoles chargés de l’administration de l’infrastructure informatique, de l’organisation des CTF et Wargames, de la gestion des workshops, de la tenue de l’espace d’exposition « sponsors/entreprises »… et de l’encadrement de près de 2000 participants, intervenants et autres tierces parties. Le groupe de copains d’alors a dû mettre en place une organisation tirée au cordeau, digne d’une CCC ou d’une DefCon. C’est à partir de ce moment-là que la « teuf de hackers » s’est totalement émancipée pour devenir une machine de (cyber)guerre.

Depuis, les membres fondateurs ont quitté le giron Sysdream, les uns pour fonder leur propre entreprise, les autres pour gagner d’autres horizons professionnels ; mais sans renier leur engagement à la NDH.

Côté Sysdream, l’évolution et la concentration du marché de la sécurité les a conduit à ce récent mariage avec Hub One, du groupe Aéroport de Paris. La branche « services NTIC » d’un OIV qui absorbe un Passi, c’est là un mouvement logique. Conséquence logique de l’union Sysdream/Hub One, l’équipe de HZV a décidé de faire sécession, et, par la même occasion, de changer de nom pour d’évidentes raisons de droit. Le nouveau nom de baptême sera « Le Hack », en véritable franglais identitaire dans le texte.

A quelques remarques près autour d’un verre de bière artisanale, la nouvelle n’a pas franchement fait l’effet d’une bombe. L’annonce faite par Gaël Delalleau lors de la conférence d’ouverture a plutôt été ressentie comme la reconnaissance d’un fait acquis. Et les conférenciers suivants ont conférencé, les workshopeurs ont worshopé, les CTFeurs se sont allègrement data-massacrés, les ateliers kids et rencontres « carrefour numérique » n’ont même pas tressailli, et les WarGameurs ont fini épuisé à l’heure du laitier, tout étonnés de s’être inscrits à la Nuit du Hack et d’en ressortir sous la bannière Le Hack.

L’équipe de CNIS MAG, en association avec l’Electrolab de Nanterre, remercie tous les participants de la NDH pour l’intérêt qu’ils ont portés à nos ateliers « radio logicielle » ainsi qu’aux diverses activités hackeuses collatérales, et donne rendez-vous à toutes et tous pour l’an prochain.

Lorsque Darren Kitchen a, pour la première fois, présenté le célèbre « rubber ducky », jamais il n’aurait imaginé le succès qu’il allait connaître. Cette clef USB qui émulait un périphérique clavier/souris (HID) avec script et possibilité d’injection de charge utile allait pourtant connaître plusieurs évolutions. Ainsi Bash Bunny (du script simple, on passe au shell, avec un véritable noyau Linux), sans oublier quelques jolis hacks utilisant des plateformes parfois simples à base de microcontrôleur, parfois plus complexes utilisant des processeur ARM. La famille Teensy, sortes d’Arduino sur-dopés, sont probablement les plus connus dans ce domaine, car « natifs HID » par définition et par construction.

« Ce que je vais vous présenter aujourd’hui,explique Lucas Bongiorni, c’est du Bash Bunny sous stéroïdes, du BadUSB survitaminé », bref, un injecteur USB puissant (Windows, Linux, OSX), capable de singer n’importe quel couple PID/VID. En d’autres termes, de se faire passer pour un authentique clavier référencé même par les outils d’audit de périphériques les plus inquisiteurs. Son nom : Whid, son prix, moins de 11 euros, ses capacités, celles des « bugs » espions de la NSA dévoilés par les fichiers d’Edward Snowden. Car non content d’écouter et d’injecter, Whid peut également répondre à distance aux ordres émis par un terminal distant grâce à un module Wifi embarqué. Le tout Open Source Open Hardware. Les transparents de la présentation Whidesque ressemblent à un catalogue de la Manufacture de St Etienne tant les exemples d’exploits sont nombreux. Whid se cache dans une souris, un « mug » ou un ventilateur USB, se fait passer pour un composant légitime (clavier Microsoft, carte LiliPad d’Arduino) et ne nécessite strictement aucun pilote (chose naturelle pour un HID).

Ce n’est que ça ? Un « keyboard sniffer » doublé d’un injecteur de malware contrôlé Wifi ? Non, pas seulement. Car déjà la version 2.0 est en chantier, avec un Atmega 32u4, un lecteur micro USB pour stocker les charges et enregistrer les captures, un microphone histoire d’écouter les conversations locales, un émetteur utilisant un composant Nordic 2,4 GHz NRF24L01 et… pour les amateurs de connexions distantes planétaires, un bloc SIM800L, module GSM quadribandes. L’outil idéal pour réaliser une attaque MiM discrète.

Encore une méthodologie pour spécialistes du « reverse » signée Sheila Ayelen Berta et Claudio Caracciolo. Ce tandem de chercheurs d’Amérique du Sud se sont penchés sur les bus de diagnostic et de commande des différents véhicules automobiles modernes. Et le fruit de cette attention a donné naissance à « Bicho », une verrue matérielle qui se branche sur l’un des CAN accessible via la prise OBD2, dont le cœur est un microcontroleur PIC, une interface USB et quelques extensions de ce type, et surtout une extension GSM, indispensable pour émettre et recevoir des SMS. Bicho est donc une sorte de botnet matériel, avec son interface graphique de « command & control » chargée de récupérer quasiment toutes les données débitées par OBD2 et émettre des messages apparemment anodins, qui seront interprétés comme autant de prises de contrôle à distance.

Bicho, c’est également des mois de travail pour déterminer la signification des messages CAN. Car un bus OBD est verbeux, très verbeux. Pour des questions évidentes de sécurité, les capteurs d’une automobile débitent une même information quasiment en permanence, provoquant un brouhaha d’informations, au formatage bien souvent propriétaire. C’est là toute la valeur du décodage à la sauce Bicho. L’équipe Ayelen-Berta/Caracciolo s’est livrée à un travail digne d’un couvent de bénédictins, compilation accessible constructeur par constructeur sur le site Open Can Database.

Une fois une information spécifique isolée, il reste à comprendre ce qu’il se passe lorsque l’on modifie tel bit ou tel octet… et l’on revient sur le terrain connu du reverse de protocole. On est loin des premières tentatives de Charlie Miller et Chris Valasek sur leur Jeep. La mainmise sur toute l’électronique de la voiture est un enjeu considérablement plus important.

Sheila Ayelen Berta et Claudio en sont à la troisième génération de backdoor matérielle ouverte, à voir dans la collection de photographies illustrant leurs diaporamas. Ce genre bricolage est à la portée de quasiment n’importe quel électronicien amateur (les schémas de Bicho sous Kicad se retrouvent assez facilement). Le tandem de chercheur avait donné une conférence très proche de celle effectuée à HIP, durant la dernière DefCon, il y a pratiquement un an de cela, dans le cadre du « Car village hacking ».

Il est des traditions qui ne se perdent pas, lorsque se déroule Hack in Paris. La première, c’est la présence de Winn Schwartau, expert en matière d’InfoWar, agent provocateur du monde InfoSec, et surtout « Monsieur Loyal » récurent de bien des conférences Françaises. Il présida Hackito Ergo Sum, il fait désormais partie du décor de HIP.

L’autre « incontournable », celui que l’on attend avec une impatience palpable, c’est Damien Cauquil, alias « Virtu », alias @Virtualabs. Et comme les années précédentes, ce chercheur de l’équipe Digital Security présentait un enième hack de cadenas électronique connecté. La chose n’est guère originale… mais ce n’est qu’un prétexte. Prétexte pour mieux expliquer le cadre de travail, la méthodologie d’analyse des Objets de l’Internet que Damien Cauquil construit et perfectionne avec le temps. Virtu P0wn de l’IoT, mais avec rigueur, progressivement. Les premiers pas sont simples : ouverture d’un boîtier, reverse du circuit imprimé, analyse des principaux composants (processeur ou microcontrôleur, actuateur, interface sans fil, alimentation électrique), puis dessin d’un schéma de principe qui facilite la compréhension de l’appareil en train de se faire autopsier… les choses se compliquent dès lors que l’on cherche à saisir le fonctionnement logiciel. Tantôt, explique « Virtu », l’intelligence de l’IoT est stockée dans un

processeur (ARM), un microcontrôleur, un circuit spécialisé… dont il va falloir cerner les modes de fonctionnement : possède-t-il un système d’exploitation ? utilise-t-il un filesystem ? de quelle manière sa mémoire est-elle segmentée et exploitée ? comment récupérer des données lors de son fonctionnement ou de ses échanges avec le monde extérieur ? (Car bien des IoT sont surtout vulnérables lorsqu’ils communiquent). Et l’on sort de nouveaux outils, de nouvelles méthodologies d’analyse, dans le domaine du sans fil notamment, monde où il ne se passe pas une semaine sans qu’un « tool » ne soit publié quelque part sur la planète. Hacker de l’IoT, c’est posséder assez d’outils et d’utilitaires pour extraire et décoder du plus simple (spi, I2C, Wifi, Bluetooth et ses avatars) au parfois un peu plus compliqué (Sigfox, Lora, protocoles propriétaires).

Beaucoup d’humour, beaucoup de talents cette année encore à l’occasion de Hack in Paris 2018, qui s’est tenue sous les lambris de la Maison de la Chimie fin juin. Et de l’impressionnante succession de 16 conférences organisées par Sysdream, difficile d’en faire un classement qualitatif.

L’orateur le plus applaudi a été sans conteste Daniel Bohannon (ex Mandiant, désormais Fireye), qui a littéralement hypnotisé l’assistance en expliquant comment, à grand renfort de variables d’environnement, de doubles apostrophes, de macro For %%F in (xxxx) DO formidablement vicieuses, l’on pouvait camoufler des chainages d’exécutables en mode « command » sans qu’il soit possible de détecter quoi que ce soit de lisible. En mode « command », et non en Powershell, insiste-t-il dès le début de son intervention. Et de narrer comment ce qui, aux yeux de beaucoup, peut passer pour un bel exercice intellectuel pour nostalgiques de batch sous MS-DOS est en fait activement exploité par des groupes de développement de malwares et de vecteurs d’attaques persistantes. Si les transparents de son intervention dévoilent des trésors de roublardises qui permettent de lancer n’importe quel exécutable sans qu’il soit possible d’en apercevoir le moindre indice, il faut surtout écouter son débit rapide, son déluge d’explications qui enivre littéralement l’assistance. Après 40 minutes de Daniel Bohannon, on ne regarde plus jamais une fenêtre en mode caractère comme avant. A consulter aussi la version papier de la conférence, indispensable pour revenir sur les détails de mise en application, sans oublier son dépôt Github en général et la section Invoke DOSfuscation en particulier, histoire de passer aux exercices pratiques.