Sans fil encore durant la conférence Parisienne Hackito Ergo Sum, avec l’exposé de Daniel Mende intitulé Paparazzi over IP. Le constructeur d’appareils photo Canon propose aux possesseurs d’appareils professionnels (gamme EOS-1D et suivantes) un service de télé-administration/transfert de fichiers par transmission sans fil (norme WiFi), couche de transport conduisant vers un service Internet et un protocole simple, PTP/IP… le tout conçu par des photographes plus que par de véritables spécialistes réseau. Le slogan de la marque est d’ailleurs assez édifiant, puisqu’il promet « vos prises de vues sur Youtube sitôt votre film achevé». L’approche est prometteuse, d’autant plus prometteuse que chaque caméra embarque un serveur Web (un grand classique de l’intrusion depuis l’apparition des premiers routeurs administrables). D’ailleurs, la prise de pouvoir sur l’appareil photo suit une logique assez proche de celle conduisant au root d’un équipement de commutation, en un peu plus simple cependant. Seule la récupération de l’ID de session demande un peu d’attention. Une fois l’appareil rooté, il est possible de récupérer les photos et films stockés dans la mémoire de l’appareil (inutile donc de se battre pour avoir une place confortable au pied des marches lors du Festival de Cannes). L’intrus peut également prendre le contrôle de l’appareil à distance, autrement dit prendre des films et photos, modifier les paramètres de prise de vue (mise au point, sensibilité, réglages des températures etc.), et ainsi piloter tout ce qui n’exige pas d’action manuelle, tel que le réglage du zoom. Autrement dit transformer l’appareil en un outil d’espionnage efficace… tant que son propriétaire ne décide pas d’obturer son « caillou » avec un cache-objectif. Une vidéo de la présentation de Daniel Mende lors de Schmoocon 2013 est disponible sur Youtube.

Sur de plus courtes distances (bien que certains chercheurs parlent de sniffing à plus de 4 mètres), les RFID et autres NFC ont fait l’objet d’une passionnante typologie dressée par Philippe Teuwen, chercheur sécurité chez NXP (anciennement Philips), et animateur de nombreux ateliers de prise en main lors de manifestations genre Hackito. De la définition des normes utilisées (Iso 14444 et ses variantes) aux différentes techniques d’écoute, de sniffing, de spoofing, d’attaques divers, en passant par les multitudes d’outils disponibles (RFIdiot de Laurie, les libnfc tools, Omnikey CardMan 5321, ACG-LF, Frosch, ASK LoGO, SCL3711), Teuwen offre un panorama complet de ce qu’il est possible de faire dans le domaine du « sans contact ». Un peu à la manière de Charlie Miller, mais de façon plus générale encore. C’est, dans le domaine de la sécurité sans-fil, l’une des très rares personnes qui n’aborde pas les problèmes de sécurité par le point de vue étroit d’un seul type de hack, d’une seule méthode d’attaque. Une vision globale comparable à celle (dans un tout autre domaine, celui des attaques sans fil Scada) donnée par Atlas Of D00M également lors de la dernière Schmoocon.

Une dernière couche de Wireless et de flicage en mentionnant la conférence de Glenn Wilkinson sur la surveillance et le profilage des personnes par la simple surveillance de leurs téléphones cellulaires (et un peu de hacking au passage). Ambiance Orwellienne garantie, une interview donnée notamment par Wilkinson à nos confrères de The Nacked Scientist à l’occasion de la dernière 44Con 2012 donne le ton. Difficile de mettre un Galaxy ou un iPhone sous tension après un tel discours.

Mais toutes les interventions de Hackito Ergo Sum ne portaient pas l’étiquette « wireless ». On y parlait Scada également avec l’œil d’expert « touche à tout » d’Edmond “bigezy” Rogers, un spécialiste de la sécurité des infrastructures mises en place par les opérateurs de fourniture d’électricité des USA. Un monde ou les transformateurs de tension coûtent des millions de dollars et sont administrables à distance (tiens donc), un monde ou le consommateur-client est lui-même potentiellement vulnérable depuis que se répand la mode du déploiement des compteurs télé-opérables, un monde qui, surtout, ne fonctionne que grâce à la coexistence de techniques et technologies tantôt modernes, tantôt tellement âgées qu’il est pratiquement impossible d’assurer un service de maintenance efficace.« No pictures, no recording, no camera », exige Edmond Rogers. On le comprend lorsqu’il dévoile les plans tentaculaires du réseau IP assurant la fourniture en énergie de la moitié centre et Ouest des Etats-Unis.

Hackito, c’était également l’occasion de retrouver des habitués des conférences sécurité Européennes. Notamment Paul Rascagnères, dont la banque Luxembourgeoise de malware devient chaque jour de plus en plus connue des chercheurs européens. Hack In Paris, Insomni’hack Genève, Hackito, Paul Rascagnères prend son bâton de pèlerin et vient prêcher en faveur de cette bibliothèque très spéciale, indépendante de tout vendeur d’antivirus, et capable de fournir une information non biaisée par les contraintes marketing et le sensationnalisme dont sont victimes les marchands de sécurité. Le discours tenu à l’occasion de Hackito Ergo Sum reprenait les grandes lignes de l’étude du virus Red October que l’on peut consulter sur le site Luxembourgeois.

Une toute dernière mention sur le travail de Mathieu ‘GoToHack’ Renard, déjà présenté lors de GreHack 2012 et dont on peut encore consulter les transparents. Après avoir entendu Mathieu parler de sa station d’accueil pour iPhone « légèrement modifiée » à l’aide d’un Raspberry Pi, on se méfie du moindre chargeur, du plus insignifiant amplificateur que l’on trouve dans une chambre d’hôtel : le root du périphérique est si discret, si silencieux…

5 juin 2013, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

CNIS Event fait le point sur les menaces d’aujourd’hui et de demain. Des experts expliqueront quelles sont les menaces pour le système d’information, détailleront les vulnérabilités comme les attaques potentielles. Ils approfondiront également la question en expliquant sur quoi elles portent mais surtout parleront de la manière dont on pourrait se prémunir : comment savoir que l’on a été attaqué ? Que faire pour bloquer quand c’est possible, voire contourner ? Certains acteurs du secteur viendront appuyer les faits en détaillant leur propre vision. D’autres viendront raconter de quelle manière, ils se défendent. De nombreux experts en sécurité et avocats seront présents et répondront autour d’une table ronde aux questions des patrons, DSI, RSSI, personnel IT présents dans la salle

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les menaces actuelles et à venir qui guettent le SI. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Panorama des nouvelles menaces et vulnérabilités du SI, Hervé Schauer, PDG de HSC et membre du Clusif
• 9H20 – Retour sur la situation au niveau mondial : Menaces et Stratégie de Défense, Jarno Limnéll, Directeur Cybersécurité chez Stonesoft
• 9H40 – Conseils, guide et expertise, Gérôme Billois, Directeur Pôle Sécurité chez Solucom
• 10H00 – Comment récupérer les informations pertinentes du SI ? par un expert de NetIQ
• 10H20 – Expertise terrain et solution, état des lieux des SI, Philippe Rondel, Checkpoint
• 10H40 – Minute Juridique : Protection et piratage du SI … quels sont les droits des entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions
• 11H00 – PAUSE Networking
• 11H20 – Expertise terrain et solution, Vision de Palo Alto Networks
• 11H40 – Point sur la sécurité des systèmes SCADA, Sylvain Brost, Manager Conseil Technique chez Lexsi
• 12H00 – Panel sur les menaces actuelles et futures du SI et les Solutions potentielles avec François Coupez, Cabinet Caprioli et associés qui abordera la partie juridique ; Sébastien Gioria, OWASP France expert sur les vulnérabilités des applications web ; Philippe Langlois, CEO de P1 Security expert en sécurité des SI; Léonard Dahan, Stonesoft qui expliquera sa vision terrain avec des retours d’expérience. Animé par un journaliste sécurité
• 12H45 – Clôture de la conférence

Dangereux complice d’Adam Laurie, chimiste à ses heures et Attila des circuits intégrés, Zac Franken se fait appeler « the Hardware Monkey ». Sa passion, la mise à nu des circuits intégrés, son but, la lecture « en binaire dans le texte » des ROM que l’on peut y trouver.

« Plusieurs méthodes sont envisageables, pour parvenir à « lire » littéralement le silicium d’un circuit intégré. La première consiste à effectuer une attaque à l’acide nitrique (sous hotte aspirante et enceinte chimique protectrice. Il ne reste après opération que l’or des coutures électroniques (bonding) et le silicium nu. C’est très pratique lorsque l’on cherche à identifier un C.I. dont les références et marquages ne correspondent à rien de connu. La référence exacte du microcontrôleur mystère est toujours gravée sur le silicium, et il est rare, de nos jours de voir apparaître de véritables circuits « custom design » dans des productions grand public ». Le procédé est certes efficace mais comporte quelques risques. Zac « hardmonkey » Franken décrit avec minutie les différentes opérations de traitement sur son blog. «Ce qui est remarquable, c’est qu’un tel hack ne nécessite plus, comme on avait tendance à le croire, des salles blanches, des microscopes électroniques, des enceintes classe 1 et autres danseuses de laboratoire. Tout, du microscope optique à la hotte aspirante, en passant par les bouteilles d’acide ou les boîtes de Pétri, s’achètent sur eBay. Y compris, si l’on souhaite effectuer des analyses non destructives, les pellicules sensibles aux rayons X utilisées par les dentistes et qui permettent de découvrir tout ce qui est caché sous le capot de résine époxyde ».

L’attaque acide « brutale » est déjà de l’histoire ancienne pour Zac Franken. Il tente désormais de conserver les broches des circuits, afin de pouvoir examiner les circuits tout en pouvant les mettre sous tension. « Pour ce faire, j’ai mis au point une machine d’attaque par projection acide ponctuelle, capable de percer un tout petit trou dans ce coffre-fort à silicium ». Le hack, cette fois, dépasse le simple trempage, mais reste à la portée d’un hackerspace bien équipé.

« C’est seulement à partir de cet instant que l’on peut espérer tirer des enseignements intéressants », continue Franken. Car si admirer la structure d’un processeur ou découvrir la référence exacte d’un circuit est parfois utile, il est encore plus avantageux de parvenir à « reverser » ce qui compte le plus, le firmware enregistré en ROM par le constructeur. Contrairement aux Eproms, EAroms et autres mémoires conditionnées par un état électrique, les ROM ont des états permanents physiquement différents selon que l’on a stocké un « 1 » ou un « 0 ». « Sur une macrophotographie de l’espace mémoire, ces « bits » apparaissent très clairement sous forme de points brillants ou de zones plus sombres » continue Franken. « Pourtant, le niveau de contraste n’est pas encore assez élevé pour que l’on puisse effectuer une lecture optique fiable pouvant déboucher sur un véritable désassemblage. Il faut encore lancer une attaque de surface, très légère ». Une attaque d’autant plus difficile à réaliser qu’elle doit éliminer une fine couche dans du silicium, un matériau résistant à pratiquement tous les acides. « Il n’existe qu’un seul acide capable de jouer ce rôle : le fluorhydrique, un produit d’une dangerosité extraordinaire, une véritable « pisse du diable » qui attaque le calcium des os ». Un acide qui se trouve également en vente sur eBay et qui demande de formidables précautions de manipulation, des gants de protection spéciaux… bref, une opération excessivement dangereuse qui ne doit être pratiquée que par des personnes compétentes et prudentes.

Et c’est à ce stade qu’intervient le « software monkey », Adam Laurie, qui a développé Rompar, une suite de codes pythons destinés au traitement de l’image physique de la ROM. Rompar facilite le décodage ligne par ligne, colonne après colonne, du firmware ainsi mis à nu. Ce code open source ainsi que le désassembleur d’un des processeurs Atmel ayant servi pour l’expérience, peuvent être téléchargés sur le blog de l’auteur. Mais le plus passionnant reste malgré tout la description minutieuse de ce travail de fourmis, de ce décryptage (au sens archéologique du terme) auquel s’est livré Adam Laurie, macrophotographies à l’appui. Un remarquable travail de cryptanalyse digne du Scarabée d’Or d’Alan Poe, un techno-roman policier « hard science hardware » pour amoureux du fer à souder et inconditionnels du microscope.

Ce n’est pas la première fois que Cnis-mag rapporte les exploits de Michael Ossmann, père de HackRF, une carte d’émission-réception « radio logicielle » qui couvre des ondes courtes à 5,4 GHz. En juillet de l’an passé notamment, puis en novembre, lorsque le Darpa avait attribué une enveloppe de 200 000 dollars au chercheur. Et nous revenons une fois de plus sur le sujet puisque HackRF (alias Jawbreaker dans sa toute dernière version) était le sujet d’étude proposé lors du dernier Hackito Ergo Sum par deux personnes relativement bien connues dans le domaine des SDR : Benjamin Vernoux et Youssef Toul, ce dernier étant l’auteur de SDR Sharp, l’un des programmes sous Windows les plus utilisés par les hackers radio.

Il existe une grande différence entre lire la description d’un outil de hacking « sur le papier » et le voir à l’œuvre, lancer des « replay attack », intercepter des communications, esquisser les premiers pas d’une attaque MIM. La démonstration des deux chercheurs étaient édifiantes : il n’est plus nécessaire de dépenser 2 à 3000 $ pour « intruser » un réseau radio analogique ou numérique, il n’est plus obligatoire d’être un sorcier des ondes pour capturer une émission entre 100 MHz et 6 GHz (en dessous de 100 MHz, il existe d’autres solutions). Il n’est plus non plus nécessaire d’être millionnaire. Il n’y a pas 10 ans, ce genre de hack coûtait le prix d’une petite voiture de sport estampillée Rhodes & Schwartz ou Thomson CSF. Aujourd’hui, il suffit d’un circuit imprimé, d’un peu de calme pour souder quelques circuits QFN/QFPN et tssop, d’une ribambelle d’antennes (accordées) et si possible de quelques filtres, et l’on est équipé pour analyser cette couche de transport invisible et rapide comme la lumière.

Une publicité Microsoft Office 365 visant le marché Australien cache, dans l’épaisseur d’une page cartonnée, un routeur Wifi et 15 jours d’accès gratuits au service d’un opérateur. Un scoop signé Neowin

HES 2013 (2 au 4 mai dernier) pourrait se résumer ainsi : Vive l’Internet des Objets, vive les NFC, vive les technologies Sans Fil de tous crins, elles nous promettent des décennies de développement « quick & dirty », des avalanches d’erreurs d’intégration, des torrents de trous et de « sécurité par obscurantisme » qui feront la joie des reversers et autres hackers. Poussées par la mode et par l’opportunisme des formules faciles, ces techniques (appelées aussi technologies) font de plus en plus parler d’elles dans le monde du hacking et de la sécurité. Principalement en raison de la mode de l’Internet des Objets tant vantée par quelques Ministres et beaucoup d’industriels, mais également parce que la communauté sécurité commence à découvrir, avec près de 15 ans de retard, la souplesse et la facilité d’utilisation des radios logicielles.

Le festival du sans-fil s’est ouvert avec une présentation de RFCat, effectuée par Adam Laurie, Pape du hacking des RFID (http://rfidiot.org/). Il s’agit à la fois d’un firmware open source que l’on peut récupérer sur Google Code et d’une plateforme matérielle organisée autour du CC1111EMK, outil de développement signé T.I.. Ce circuit intégré est en fait un émetteur-récepteur couvrant les bandes ISM 315/433/868/915 MHz. Une vision bien plus étriquée que ce qu’appelle Laurie un hacking « sub-GHz ». C’est d’ailleurs avec un récepteur à couverture générale, le Funcube Dongle que le chercheur effectue ses premières approches de détection.

Le principal avantage des radios logicielles sur les émetteurs-récepteurs conventionnels, c’est qu’elles travaillent non plus sur un signal unique de quelques centaines de Hz, mais sur tout un spectre, pouvant couvrir plusieurs MHz d’un coup. Un travail qui s’entend aussi bien en émission qu’en enregistrement de ce spectre. En enregistrant un spectre, l’on peut plus aisément analyser « post mortem » une transmission numérique, même et surtout si celle-ci est accompagnée de signaux associés ou de sous-porteuses ou qu’elle comporte (c’est d’ailleurs souvent le cas) des données très importantes durant les premières secondes de transmission : préambules, handshake, échanges de clefs… En émettant dans les mêmes conditions tout spectre enregistré, sans même que l’utilisateur/hacker ait à analyser le signal, il devient possible de lancer des séries de « replay attack ». Adam Laurie montrait ainsi comment activer une sonnette de porte, ouvrir les portières d’une coûteuse automobile de marque allemande ou décoder le signal d’une commande de porte de garage.

Comme la majorité du traitement de signal est effectuée par logiciel sur un ordinateur tout à fait conventionnel (sous Windows ou Linux) il est également possible de filtrer, traduire, transformer des informations analogiques reçues en données binaires compréhensibles par tout système numérique. La démonstration de Laurie reprenait en ce sens ce qu’il avait déjà écrit sur son blog début mars et qui explique de manière très claire comment passer de la réception au décodage, puis du décodage au spoofing.

Ouvrir un porte, activer une sonnette, voilà, reconnaissons-le, de tous petits hacks sans grande conséquence. Mais ils donnent à réfléchir à la communauté des chercheurs en sécurité qui, des années durant, ont ignoré la couche « hardware » et son cousin germain, le fer à souder. Il faudra attendre encore quelques mois, peut-être quelques années avant que l’on voit se répandre des outils un peu moins « gadget » que des RFCat. Propreté d’émission, immunité à l’intermodulation provoquée par des signaux hors bande, sélectivité, propreté en termes de bruit de phase, tout ça est encore inconnu de bien des apprentis RF hackers aujourd’hui.

Nous nous enfonçons chaque jour un peu plus profondément dans la quatrième cyberdimension. Sans le secours d’AlienVault, comment aurions-nous su, par exemple, que le Ministère du Travail US avait été piraté par de probables agents Chinois ?. Un hack qui redirigeait outrageusement d’honnêtes travailleurs afin probablement de leur extorquer quelque menue monnaie et, au passage, plusieurs informations techniques concernant leur environnement dans le but de zombifier leur machine. On frémit à la seule idée qu’une telle aventure puisse un jour survenir en France, que le site de Pôle Emploi (en maintenance, veuillez consulter cette page plus tard) soit subrepticement caviardé par de dangereux agents asiatiques.Chrch monteur H/F comp. Electron. travaillant plus pour gagner moins, Ref Foxconn007. Urgent, Chef de rang et gâte sauce, spécialiste cuisine Sichuan, repas à emporter. Salaire : 3500 Yuan x12, appartement de fonction, banlieue de Wanxian. On en frémit.

Autre attaque, revendiquée cette fois par la très médiatique cyber-armée syrienne, qui a pris pour cible le compte Twitter de The Onion, journal satirique d’expression Anglaise, aussi irrévérencieux que loufoque. Plusieurs médias ont rapporté l’information, notamment Raw Story. A moins que ce hack ne soit un canular de plus monté par la rédaction de The Onion, ce que laisserait penser le Twitt prétendument détourné : « non, il n’y a pas eu usage d’arme chimique, affirme l’ONU. Les analyses prouveraient qu’il s’agirait des odeurs corporelles des jihadistes ». Détourner un compte est une chose parfois plus facile que de savoir imiter le mauvais goût et le nonsense du média anglo-saxon le plus farfelu de la planète. Et quand bien même cela serait que tout l’honneur en reviendrait encore à l’Onion.

Selon le Ministère de la Justice US, l’administrateur principal du botnet « financier » SpyEye aurait été extradé de Thaïlande vers les USA. Il est sous le coup de 22 chefs d’inculpation auprès de la Cour de Géorgie. Sa culpabilité réelle est cependant contestée et minimisée par plusieurs experts Français qui ne voient en lui qu’un lampiste, ex-petit truand du phishing en France il y a quelques années, et codeur occasionnel de plugins autour de SpyEye.

Conséquence du hack du compte Twitter de l’Associated Press, les têtes pensantes du réseau social envisagent de déployer un mécanisme à double facteur d’identification. Un prétexte pour collecter du numéro de téléphone pour la bonne cause ?

L’annonce de McAfee est officiellement confirmée par l’édition d’un communiqué commun émis le 6 de ce mois. McAfee rachètera le Finlandais Stonesoft pour une somme estimée à un peu moins de 400 millions de dollars. Stonesoft, spécialisé dans le domaine des firewall, des vpn et des IPS, s’était fait connaître ces dernières années pour avoir inventé la notion d’AET, Advanced Evasion Technique, un procédé de camouflage d’attaque consistant à cumuler plusieurs types d’intrusion afin d’en masquer une éventuelle signature unique… et donc reconnaissable par un équipement de filtrage

Avec cette acquisition, Intel/McAfee montre son intérêt toujours croissant pour le secteur professionnel et, peut-être, son désengagement progressif du monde de l’antivirus grand-public, battu en brèche par les gratuits en général et celui de Microsoft en particulier.

Reste à savoir si tous les clients professionnels qui avaient délibérément choisi un équipementier sécurité Européen accepteront aussi facilement de passer sous le giron d’une entreprise des USA.