Archives

Qui Grok* Grehack en groupe agrée

Posté on 02 juil 2015 at 4:47

Une journée de conférences Infosec … et une nuit pour l’inévitable CTF, GreHack « 3rd Panick » se déroulera le 20 novembre prochain, après une petite année d’interruption. Novembre, trop tôt pour achever ce périple Grenoblois par une ride-session à Chamrousse, trop tard pour tenter quelques couennes en Chartreuse. Période idéale donc pour écouter studieusement les présentations « sécu » qui se succèderont dans les amphis de l’Ensimag de Grenoble.

L’appel à communication vient d’être lancé. Le programme est en tout point comparable à ce que l’on peut attendre d’une conférence sur la SSI : intrusions logicielles et matérielles, compromissions et PoC divers dans les secteurs de la mobilité, de l’IoT, du Scada (OIV en français), camouflage de code, reverse… toute proposition sera examinée avec attention par le comité de lecture. Un comité et une organisation, doit-on préciser au passage, qui n’est plus exclusivement « universitaire ».

Des « Rump sessions » seront également ouvertes, ainsi que quelques ateliers ne demandant pas une préparation aussi formelle. Déjà, les hackerspace locaux et chercheurs indépendants ont été contactés. Toute autre bonne volonté de participation sera la bienvenue, les organisateurs attendent les propositions de chacun.

GreHack fait partie de cette nouvelle génération de réunions techniques régionales, telle que Botconf l’itinérante ou que Coriin à Lille, qui cherchent non seulement à montrer que les compétences et les recherches SSI ne sont pas exclusivement parisiennes, mais qui représentent également un pôle de compétence locale en matière de sécurité informatique, là où les entreprises se sentent souvent oubliées par les institutions nationales.

D’autres informations suivront, publiées sur le site http://grehack.fr/. L’ancien serveur Web Grehack.org doit être considéré comme « deprecated » (c’est comme ça qu’on parle dans ce milieu de sorciers du code, paraît-il)

* NdlC Note de la correctrice : Terme de Geek tendance dure et « canal historique » issu d’un roman de Heinlein (En terre étrangère) signifiant « comprendre dans sa complétude ». Je groke, donc je hacke. ACK ?

Hack in Paris 2K15, exploits sportifs et numériques

Hack in Paris 2K15, exploits sportifs et numériques

Posté on 25 juin 2015 at 5:02

Lorsqu’Axelle « Crypto Girl » Apvrille a décidé de s’intéresser aux bracelets Fitbit Flex (un compagnon « fitness » censé nous suivre tout au long de nos activités physiques), ledit bracelet avait déjà un lourd passé d’indiscrétions. Dès 2011, Andy Baio, en un Twitt lapidaire, expliquait à qui voulait bien l’entendre comment les données collectées et cloudifiées par cet accessoire pouvaient révéler l’activité sexuelle de son porteur. Dans la catégorie « atteinte à la vie privée », l’objet en question bénéficiait déjà d’une véritable tête de champion. Naturellement, ont succédé les hacks les plus divers pour tromper les capteurs de ce cyber-prof de gym. Parcourir 10 000 pas en moins d’une heure ? Rien de plus simple si l’on attache ledit bracelet à la jante d’une automobile ou si l’on joue avec les mécanismes de synchronisation utilisant un protocole aussi propriétaire qu’indiscret. Ce qui compte, après tout, c’est de publier sur un réseau social ses performances, pas vrai ?

Les travaux d’Axelle Apvrille se situent donc dans la droite ligne des recherches de Rahman, Carbunar et Banik, autrement dit en utilisant une approche scientifique basée sur une analyse méthodologique des protocoles et des vulnérabilités de l’appareil. Un protocole transporté en Bluetooth « low energy », et dont les échanges de paquets entre la clef USB de synchronisation et le bracelet lui-même peuvent être capturés. Pour ce faire, Apvrille a utilisé une carte Galileo et Wireshark pour examiner les données de synchronisation, tenté (et parvenue avec succès) de reproduire le protocole de communication avec le bracelet, et découvert au passage plusieurs commandes non documentées régissant précisément ces échanges ainsi que des vulnérabilités donnant accès à des données contenues en mémoire. Mais le passage le plus amusant de l’histoire, c’est lorsque la chercheuse explique comment l’on pourrait utiliser ce bracelet sportif comme source d’entropie. Exploiter une faille pour créer la première pièce d’un système de chiffrement solide, le tour est savoureux.

De prime abord, la recherche peut paraître vaine. « Encore une attaque de l’Internet des objets » Oui, encore. Mais, insiste Axelle Apvrille, il est important de signaler les erreurs d’intégration qui affectent ces objets de tous les jours. Grosse failles et petits effets aujourd’hui, mais qu’en sera-t-il demain ? Car l’on peut s’attendre à ce que des erreurs identiques soient commises dans la conception d’équipements plus sensibles, plus critiques si l’on n’y prend pas garde.

Il ne s’agit pas là d’une vision utopique de spécialiste. Un récent article de nos confrères de Computer Weekly mettait en lumière le « manque de confiance croissant des usagers dans le domaine de la maison intelligente » et d’invoquer la peur d’un flicage généralisé de la NSA une fois que chaque citoyen se verra entouré de « smartmeters » et autres objets de l’Internet. C’est le résultat du « double effet Snowden » qui, de manière relativement brutale, parvient à faire comprendre les implications d’une faille de sécurité qui, jusqu’à présent, ne passionnait que quelques nerds perdus dans des conférences de sécurité improbables. On peut bien sûr discuter sur le bienfondé d’une telle crainte, mais le résultat est là : dans l’inconscient de la société, les machins connectés commencent à inspirer un doute légitime. Le premier pas vers une forme de prudence numérique ?

Hack in Paris 2K15 : C’est par ici Siri, qui parle là aussi

Hack in Paris 2K15 : C’est par ici Siri, qui parle là aussi

Posté on 24 juin 2015 at 4:56

C’est sous le chapiteau principal de l’Ecole du Cirque Fratellini que s’est déroulée la 5ème édition de Hack in Paris, conférence sécurité organisée par Sysdream. Un cycle de conférence qui commençait très fort, avec la présentation de deux chercheurs de l’Anssi (si si !) Jose Lopes Esteves et Chaouki Kasmi, intitulée « Vous ne m’entendez pas, mais ce n’est pas le cas de votre interface vocale ».

Esteves et Kasmi sont parvenus à faire fonctionner silencieusement (donc à l’insu de son propriétaire) l’interface de reconnaissance vocale de plusieurs smartphones. Comment ? Le Poc est aussi alambiqué que le cycle de reproduction de la douve du mouton. Il faut, tout d’abord, que la future victime utilise le récepteur radio FM généralement intégré dans les téléphones de nouvelle génération (s’il préfère écouter France Culture en streaming, le hack est impossible). Et il est également nécessaire que l’interface vocale (Siri, Isis, Vlingo, Google Now etc.) soit activée. Ah, nous allions oublier… que ledit téléphone puisse posséder un accès à Internet, indispensable pour que ladite interface puisse fonctionner. Sans Internet, pas d’interprétation des phonèmes.

Bénéficiant de ces prérequis, les deux chercheurs ont tout tenté pour, à distance, prendre la main sur le terminal. Et c’est là qu’ils ont fait preuve d’un certain génie. Il faut savoir que ces récepteurs radio intégrés utilisent le fil du casque du téléphone (et plus spécifiquement le fil du microphone) en guise d’antenne. Pas de casque avec micro, pas de hack. Ce fil micro sert également à transporter le signal audio qui sera interprété par le logiciel de reconnaissance vocale. Un signal audio qui, avant d’être décortiqué par la partie « soft », doit tout d’abord passer par un filtre passe-bas, puis amplifié avant d’être utilisable. Or, en injectant, avec un simple émetteur en modulation d’amplitude, un signal radio, ce fameux filtre passe-bas élimine le la composante haute fréquence dudit signal (la « porteuse »), mais laisse passer son enveloppe. Et l’enveloppe n’est rien d’autre que l’information basse fréquence transportée, la voix en l’occurrence. Doit également se produire un phénomène de détection dans la partie amplification (le « miracle » des amplis audio qui diffusent FIP tant que l’on n’a pas appliquée une bonne réjection en mode commun)

Du coup, il est possible de déclencher vocalement, par exemple, la mise en marche des fonctions Bluetooth (ce qui facilitera une attaque BlueSnarfing, BlueStumbling, BlueJacking etc.) et l’accès aux données privées contenues dans l’appareil. Vol de contenu d’agenda, destruction des données à distance, injection de charges virales ou de logiciel-espion, à ce stade-là, tout devient possible.

Ce scénario est-il réaliste ? C’est très improbable. De l’aveu même des deux chercheurs, les moyens à mettre en œuvre sont relativement lourds. Afin de mener à bien leur preuve de faisabilité, Esteves et Kasmi ont dû travailler dans une cage de Faraday pour s’affranchir des bruits de bande et des produits d’intermodulation (particulièrement riches dans la bande broadcast 88-108 MHz). Il fallait également que dans cette cage puisse aboutir un signal Wifi, obligatoire pour offrir un accès Internet au logiciel de reconnaissance vocale. Enfin, le niveau de puissance HF nécessaire (près d’une cinquantaine de watts à quelques mètres) devient vite un handicap pour que l’exploit soit utilisable dans la vraie vie, à l’air libre et sur de grandes distances. Précisons, à la décharge des deux chercheurs de l’Anssi, que l’émetteur utilisé côté attaquant était une radio logicielle USRP, dont les performances en matière de pureté spectrale et de qualité d’émission en général (imd, stabilité etc.) sont inférieures à ce que pourrait fabriquer un enfant de 15 ans avec un oscillateur Colpitts, un bon amplificateur linéaire et un filtrage sérieux.

Alors, un PoC hype et sans conséquence ? Pas vraiment. Messieurs Jose Lopes Esteves et Chaouki Kasmi ont ouvert la voie à une nouvelle forme de compromission, celle reposant sur une injection de signal HF dans des étages qui ne sont pas du tout conçus pour ça. Il faut parfois bien peu de choses pour qu’une modulation AM « passe » un système basses fréquences. Tout utilisateur d’amplificateur HiFi ou d’enceintes asservies a un jour « entendu la radio » sans que soit connecté le moindre tuner. C’est ce phénomène, très courant, de démodulation quasi spontanée qui a été exploité dans ce cas précis. Il ne reste plus qu’à se livrer à un petit exercice de fuzzing radio pour découvrir de nouvelles victimes hertziennes.

Conférence : Qui Grok* Grehack en groupe agrée

Conférence : Qui Grok* Grehack en groupe agrée

Posté on 23 juin 2015 at 4:32

Une journée de conférences Infosec … et une nuit pour l’inévitable CTF, GreHack « 3rd Panick » se déroulera le 20 novembre prochain, après une petite année d’interruption. Novembre, trop tôt pour achever ce périple Grenoblois par une ride-session à Chamrousse, trop tard pour tenter quelques couennes en Chartreuse. Période idéale donc pour écouter studieusement les présentations « sécu » qui se succèderont dans les amphis de l’Ensimag de Grenoble.

L’appel à communication vient d’être lancé. Le programme est en tout point comparable à ce que l’on peut attendre d’une conférence sur la SSI : intrusions logicielles et matérielles, compromissions et PoC divers dans les secteurs de la mobilité, de l’IoT, du Scada (OIV en français), camouflage de code, reverse… toute proposition sera examinée avec attention par le comité de lecture. Un comité et une organisation, doit-on préciser au passage, qui n’est plus exclusivement « universitaire ».

Des « Rump sessions » seront également ouvertes, ainsi que quelques ateliers ne demandant pas une préparation aussi formelle. Déjà, les hackerspace locaux et chercheurs indépendants ont été contactés. Toute autre bonne volonté de participation sera la bienvenue, les organisateurs attendent les propositions de chacun.

GreHack fait partie de cette nouvelle génération de réunions techniques régionales, telle que Botconf l’itinérante ou que Coriin à Lille, qui cherchent non seulement à montrer que les compétences et les recherches SSI ne sont pas exclusivement parisiennes, mais qui représentent également un pôle de compétence locale en matière de sécurité informatique, là où les entreprises se sentent souvent oubliées par les institutions nationales.

D’autres informations suivront, publiées sur le site http://grehack.fr/. L’ancien serveur Web Grehack.org doit être considéré comme « deprecated » (c’est comme ça qu’on parle dans ce milieu de sorciers du code, paraît-il)

* NdlC Note de la correctrice : Terme de Geek tendance dure et « canal historique » issu d’un roman de Heinlein (En terre étrangère) signifiant « comprendre dans sa complétude ». Je groke, donc je hacke. ACK ?

Le chiffrement ? Mais c’est très simple ! Heu…

Le chiffrement ? Mais c’est très simple ! Heu…

Posté on 22 juin 2015 at 4:18

Les organisateurs de cryptoparties (pardon, des chiffrofêtes) et les afficionados de la confidentialité numérique vont prendre quelques cheveux blancs à la lecture d’un des derniers billets de Bruce Schneier intitulé « chiffrer les disques Windows ». L’auteur (père des algorithmes Blowfish et Twofish et par conséquent Maître incontestable de la chose), l’auteur donc narre la longue succession de logiciels de protection qu’il a utilisé au fil de ces dernières années. PGP, puis TrueCrypt, puis Bitlocker, puis BestCrypt ; avec, pour chaque produit, la raison pour laquelle il a perdu confiance et opté pour un nouveau logiciel. Quatre outils en moins de 10 ans, dont 3 différents au fil des 300 derniers jours écoulés. Lorsqu’un maître du chiffrement a du mal à trouver chaussure à son pied, l’on peut désespérer que le public parvienne un jour à protéger ses données correctement.

En Bref ...

En Bref …

Posté on 21 juin 2015 at 10:48

OpenSSL un peu trop Open : 6 failles – CVE-2014-8176, CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791et CVE-2015-1792, affectent les versions 0.9.8, 1.0.0, 1.0.1 et 1.0.2 d’Open SSL. Le type d’attaque que permettrait ces failles de sécurité n’est pas franchement à la portée du premier virus venu.

Lastpass, quand trépasse le « pass », hélas

Lastpass, quand trépasse le « pass », hélas

Posté on 19 juin 2015 at 11:44

Un opérateur Cloud qui se fait « intruser », ça fait nécessairement du bruit. Dame, le premier argument de l’informatique dans les nuages, économie d’échelle mise à part, n’est-il pas la sécurité absolue du procédé ? Mais lorsque cet opérateur intrusait avait mission d’offrir un service de stockage des mots de passe, autrement dit le sésame de millions de systèmes d’information ou d’accès à des données, ce n’est plus la Bérézina, c’est l’apocalypse. Et c’est très exactement ce qui est arrivé à LastPass. El Reg se contente de relater succinctement l’affaire et conseille aux usagers de « changer le mot de passe principal » de leurs coffres forts à identifiants, comme le conseille d’ailleurs le prestataire. Brian Krebs, pour sa part, s’étend sur les risques techniques d’un tel piratage, explique les vertus du salage, précaution prise par l’opérateur en question, et Graham Clueley, faisant probablement référence à la trilogie en 5 volumes du Guide du Routard Galactique, conclut par un « DON’T PANIIIIIIIC !!!… and change your masterpassword ». Ce à quoi Robert Graham d’Errata Sec renchéri par un « même pas peur » argumenté avec force explications techniques. Même chanson, même refrain de la part du HNS.

Pourtant, aucun de ces gourous ne pose une simple question : est-il vraiment sage de confier à une entreprise extérieure, étrangère pour nous-autres Européens, les clefs de nos armoires numériques ? D’autre part, les tentatives d’explications de MM Krebs et Graham, de par leur technicité, sont-elles bien comprises par tous les usagers d’un tel service ? Le chiffrement à fins de protection est une science totalement ésotérique pour la majorité des humains, qui ne comprendront jamais les subtilités de ses principes techniques et les mots en « isme » qui émaillent les propos des gourous du domaine.

In the Navy (chanson populaire)

In the Navy (chanson populaire)

Posté on 18 juin 2015 at 11:39

« Où donc pouvez-vous découvrir mille plaisirs, chercher des trésors de par le monde, apprendre les sciences, la technologie, où donc vos rêvent peuvent-ils devenir réalité ? ». Paroles prémonitoires que celles des Village People lorsque ceux-ci chantaient « Dans la Navy ». Car la Navy, aujourd’hui, cherche des trésors (informatiques) de par le monde, tire des enseignements des sciences et des technologies (numériques) et, parcourant le contenu de tous les ordinateurs de la planète, voit ses rêves de domination stratégique devenir réalité. Michael Mimoso de ThreatPost, relaye le cri du cœur d’une des trois armes Etats-uniennes, la Marine, laquelle demande à qui veut l’entendre de nouveaux exploits. Pas de ces exploits qui ont fait le succès de Salamine, la gloire de Lépante ou la grandeur de Trafalgar, mais bel et bien ceux qui ont donné naissance à Stuxnet, à Duqu, à JeruB. Jaloux de la dotation en cyberflingues dont bénéficie la NSA, laquelle n’est pas prêteuse, la Navy Américaine lance un appel d’offre pour acquérir ses propres CMMI-3 ( Capability Maturity Model Integration), termes polis pour désigner des exploits fonctionnels). Ça tombe bien, Vupen, entreprise ex-Française, est justement basée à Annapolis, riante bourgade du Maryland et, par le plus grand des hasards, siège de l’Académie Navale Américaine. Conséquence probable du culte du bouton de guêtre et d’une Ecole de Guerre du siècle dernier. Ce n’est pas dans la Royale que l’on se permettrait de tels écarts. D’ailleurs, allez donc tenter de repeindre une injection SQL ou saluer un XSS.*

Et Mimoso de citer « The vendor shall provide the government with a proposed list of available vulnerabilities, 0-day or N-day (no older than 6 months old). This list should be updated quarterly and include intelligence and exploits affecting widely used software ». Dans la marine, lorsque l’on veut jouer aux pirates (ou aux corsaires, selon la dialectique du moment), on prévoit tout pour tenir 6 mois de mer, en partant avec une cambuse pleine et la Sainte Barbe* bourrée de munitions. Dave Mass, de l’EFF, a eu la présence d’esprit de sauvegarder cet appel d’offre pour qu’il demeure public.

Et si, par le plus grand des hasards, un marin en goguette sortait de son bâtiment en emportant une de ces munitions, histoire de faire un feu d’artifice pour fêter un retour au port d’attache ? Car nul juge d’instruction, nulle commission sénatoriale ne peut en permanence surveiller les faits et gestes d’une armée en mission, y compris dans le cadre d’opérations pacifiques.

Chef, j’étais en train de nettoyer un Regin MkII et un SlickerVicar 2013 modifié 15 quand le coup est parti tout seul. J’avais pas d’intentions raciste ou impérialiste, mais les peuplades libérées n’ont plus un seul ordinateur valide.

M’ferez 4 jours, soldat Snowfall. Et un rapport sur les dommages collatéraux. How will you live, John?

Zero day by day

*

NdlC Note de la Correctrice : Termes nautiques et humour mataf. Probablement le résultat de la fréquentation des marins et de leur habitude de faire des phrases

Internet, ennemi de la Sécurité Intérieure

Internet, ennemi de la Sécurité Intérieure

Posté on 17 juin 2015 at 11:14

Paroles de Frédéric Lefèbvre, musique de Nicolas Sarkozy, sur un décor de Brice Hortefeux et des costumes de Claude Guéant : l’interprétation de Bernard Cazeneuve dans le rôle-titre de « Il faut réguler le Far West Internet » a littéralement enthousiasmé le public et les critiques. Ce théâtre de boulevard qui tient l’affiche depuis près de 10 ans pourrait être comique s’il n’avait eu pour origine la mort tragique de trois adolescents et les graves blessures d’un quatrième.

A l’origine de cette récupération, la volonté d’un groupe de jeunes « airsofteurs » de fabriquer un pot fumigène artisanal. La recette a provoqué une réaction chimique violente, aux conséquences catastrophiques. La police est sur les dents et le suspect rapidement identifié : âge 34 ans, nationalité Etats-unienne, taille (estimée) 3 milliards d’individus dont 2 milliards inscrits sur des réseaux sociaux. Signes particuliers : Darknet, réseaux cyber-pédophiles, techno-djihadistes, « violeurs et poseurs de bombes » (copyright l’un des Ministres susmentionnés). Connu par les services de police du monde entier sous les pseudonymes de « Internet », « Autoroutes de l’Information », « Assemblage de tuyaux », « réseau des réseaux », « Net ».

L’exploitation du pathos et du cas particulier pour justifier des lois d’exception n’est pas un fait particulièrement nouveau. La plupart du temps les mesures proposées s’avèrent incapables de résoudre le problème alors que par ailleurs elles facilitent une surveillance et un contrôle qui seraient considérés comme inacceptables en temps normal.
Las, même les éditeurs, depuis le Siècle des Lumières, ont appris à vivre dans les pays qui ignorent le mot censure, hors de portée des descentes de police. La Hollande ou l’Angleterre d’alors s’appellent Internet à notre époque, et la poursuite et la condamnation de quelques blogueurs ne résoudra certainement rien. Et si tous les « Premiers flics de France » qui ont successivement tentés de résoudre la question à grands renforts de lois liberticides essayaient plutôt de soigner le mal à la racine ? Autrement dit par l’éducation, la prévention et l’accompagnement. Des actions certes bien moins « vendeuses », bien moins médiatiques, bien plus coûteuses qu’une descente de police dans un 2-pièces-cuisine de geek wanabe révolutionnaire. Une fois de plus, un politique tente de résoudre de manière technique un problème essentiellement social et politique.

Bien moins médiatique… encore faudrait-il aussi qu’une certaine forme de presse commence à prendre un peu de recul, et accepte de faire un choix entre information et chasse au clic. « Internet est-il responsable de la mort de trois adolescents ?» demande l’Express. « Airsoft, l’influence d’Internet » renchérit FranceTVinfo. « Après le drame de Bas-en-Basset, Cazeneuve veut réguler internet » affirme Metro.
Et que devra-t-on réguler une fois qu’Internet sera encadré ? L’apprentissage de la lecture ? Les cours de Chimie ? Le Savoir en général ? La violence des jeux vidéo ? Le risque mimétique des films catastrophe ? Les bandes dessinées ? Une fois encore, la (volontaire ?) confusion entre l’outil et l’usage que l’on en fait facilite la diffusion de discours simples et populaires, deux mots si proches des termes « simpliste » et « populiste » …

Encore un super-virus immortel

Encore un super-virus immortel

Posté on 16 juin 2015 at 11:00

« Allez, dite un nombre, entre un et dix millions, et on infecte tout, tout de suite »
écrivent ironiquement Xeno Kovah et Corey Kallenberg dans leur communications CanSecWest. Quelques jours après la publication du bootkit caché dans le firmware des disques durs, voici le retour du virus-bios.

Ce genre d’exploit n’est pas franchement nouveau, puisque les études signées Wojtczuk/Rutkowska (pour ne mentionner que les plus connus) avaient déjà soulevé la possibilité de ce genre de risque. Mais cette fois, insistent les deux chercheurs, il ne s’agit plus d’une attaque ne visant qu’un seul Bios, une seule marque d’ordinateur, mais pratiquement tout ce qui se fait à la surface de la planète numérique.

Un virus-Bios peut tout pour plusieurs raisons, expliquent les deux chercheurs. Tout d’abord parce qu’il est situé dans un espace qui n’est pas vérifié par les principaux logiciels de sécurité. Ensuite parce que personne, y compris dans les secteurs des industries de pointe ou des organisations étatiques, ne songe à mettre à jour les microcodes des ordinateurs, laissant ainsi béantes des failles pourtant corrigées. Parce que la plupart des concepteurs de Bios utilisent à la fois des mécanismes communs et des espaces mémoire communs, offrant ainsi une surface d’attaque commune simplifiant des compromissions de masse. En raison, enfin, des mantras abrutissants des industriels du monde du « hardware » qui ne cessent de jurer la quasi invulnérabilité de leurs systèmes.

Les moyens d’exploitation reposent notamment sur le comportement du SMM (System Management Mode), un mode d’exécution propre à l’architecture X86, des SMI (System Management Interrupts) qui en dépendent, et de l’espace mémoire protégé dans lequel évolue le SMM (SMRAM). Protégé… jusqu’à un certain point, car parfois ces échanges s’étendent au-delà de cet espace privilégié et peuvent donc être compromis. Un exécutable appelé de l’extérieur par la SMRAM peut alors infecter le saint des saints. Une fois installé dans la mémoire eprom réservée au Bios (une simple SPI en général), le virus fonctionne alors en tâche de fond derrière le SMM et peut se permettre absolument tout ce qu’il est possible d’imaginer.

Les conséquences sont incalculables. « Même les systèmes réputés amnésiques et ne fonctionnant pas en mode « persistant » (les Tails, The amnesiac incognito live system) ou les systèmes « live » qui bootent sur des clefs USB) sont vulnérables, alors que, des années durant, leurs promoteurs affirment leur totale invincibilité préviennent les deux chercheurs. Font d’ailleurs partie du clan des promoteurs des systèmes Tails les principales centrales de renseignement, qui pourtant s’y connaissent un peu en matière de paranoïa et de manipulation de bootkits.

Afin de prouver leurs dires,Kovah et Kallenberg ont développé un PoC baptisé « light eater », dont la spécialité est de capturer en mémoire et au vol signatures des clefs GPG, les phrases de passe ou les emails déchiffrés (et pour cause, ils le sont nécessairement en RAM). Charge ensuite au malware soit d’expédier ce contenu dans un espace de stockage interne ou externe qui préservera ces données dès que le « système amnésique » est placé hors tension, soit de conserver ces données (les clefs de chiffrement notamment) dans la mémoire du SPI. De quoi donner des cauchemars à tous les RSSI qui travaillent pour Angela Merkel.

Le travail de Kovah et Kallenberg a ceci de remarquable qu’il contient à la fois les gènes d’un « mass virus » à diffusion mondiale et les caractéristiques de furtivité et de « customisation » d’une attaque ciblée.

A l’heure où est effectuée cette communication, plusieurs éditeurs ont réagi favorablement et pris la menace très au sérieux. Notamment HP, Dell, Lenovo, AMI, Insyde, Phoenix et Intel. N’auraient pas encore considéré la menace digne d’intérêt Apple, Microsoft, Samsung, LG, Acer, Asus, Fujitsu, Panasonic, NEC, Vaio, MSI et Gigabyte.

Publicité

MORE_POSTS

Archives

juillet 2015
lun mar mer jeu ven sam dim
« juin    
 12345
6789101112
13141516171819
20212223242526
2728293031