Archives

Hexatrust absorbe Tixeo, une jeune pousse spécialiste de la visioconférence HD sécurisée « labellisée » Anssi.

La prochaîne BH de Londres suit la tendance à la « hardisation » de la sécurité. Ca commence avec une présentation de Leigh-Anne et Tim Yunusov sur le thème « comment j’explose la limite des payements sans contact avec un cellulaire bloqué ». Pour faire bonne bouche, quelques failles sur la génération des clefs et autres mécanismes prétendument aussi inviolables qu’aléatoires.

De son côté, Asuka Nakajima reprend une vieille rengaine sur les IoT perclus de failles, et en tire des variations sur les versions OEM des objets en question. Une sorte de « fuzzing des marques et des repackaging », assisté par un outil open source baptisé « OEM Finder ». Mme Nakajima est notamment connue pour avoir créé le « CTF for Girls ».

On y croisera également « Limited Results » qui tirera un festival de vulnérabilités autour de l’ESP32. Des vulnérabilités issues de son propre travail notamment, mais également une revue de détail des trous qui ont affecté cette plateforme et fait couler beaucoup d’encre ascii ces derniers mois. On ne peut que penser aux recherches d’Eduardo Garbelini, certaines de ses publications étant accompagnées de preuves techniques disponibles sur Github.

On attendait des révélations sur d’éventuelles tractations « missiles contre la peau de la famille Biden », et c’est Crowdstrike qui fait les frais de la publication de l’échange téléphonique Donald Trump-Volodymyr Zelensky. Un Crowdstrike qui, en 2016, avait désigné la Russie comme probable responsable du hack du parti Démocrate, et de la fuite de document conséquente qui aurait permis aux Républicains de remporter les élections. Des hypothèses et des conclusions qui ont toujours été réfutées par l’équipe Trump malgré un avis contraire des services de renseignements US à l’époque.

Il faut cependant demeurer prudent dans l’interprétation des faits et des phrases. La retranscription de la conversation n’est pas un verbatim issu d’un enregistrement, et, pour des raisons de sécurité nationale sans doute, le Président des Etats Unis d’Amérique semblait utiliser un code relativement obscur réservé à quelques initiés. Dito : « I would like you to find out what happened with this whole situation with Ukraine, they say CrowdStrike … I guess you have one of your wealthy people… The server, they say Ukraine has it » affirmait le PotUS.

Comme le rappelle Robert Graham, que l’on peut difficilement accuser de collusion avec les Démocrates, l’interprétation est simple : Trump n’est pas d’accord avec les conclusions de Crowdstrike et dégage ainsi la responsabilité de la Russie. Pour quelle raison épancherait-il son cœur au Président de l’état Ukrainien, pour qui toute pierre lancée dans le jardin de Poutine est un baume ? Là encore, on est dans le domaine du déchiffrement de propos cryptiques. De quel serveur s’agit-il ? que possèderait donc le gouvernement Ukrainien sur ce sujet ?

Quelles que soient les ténébreuses intentions de la Maison Blanche, il reste que les communiqués de presse, les « recherches » publiées par les grandes entreprises de la SSI, et surtout les attributions de cyber-attaques qu’elles fournissent commencent à être abondamment exploitées par le monde politique. Et ce, quelle que soit leur provenance, que l’on mentionne dans les travaux réalisés à Sunnyvale, à Ann-Arbor, à Tel Aviv ou à Moscou (pour ne citer que les quatre plus grands « attributeurs d’attaques »).

A tel point que l’invocation chamanique d’un risque « cyber » est en passe de devenir l’excuse-valise à toute décision politique. La dernière en date, nous apprend le New York Times, concerne les menaces de restriction d’importation, de la part du Congrès US, des voitures de métro d’origine Chinoise. Craignant pour la sécurité des communications téléphoniques des citoyens du nouveau monde, et invoquant les risques d’outils d’interception 4G et 5G camouflés dans les bâtis des voitures, les membres du Congrès favorisent l’application d’une politique « America First », quand bien même cette Amérique s’étendrait aux terres Canadiennes et aux productions Bombardier.

Plus qu’une semaine avant le pèlerinage Monégasque qui réunit, une fois par an, le monde InfoSec, des associations professionnelles aux vendeurs de « produits et solutions, des organismes gouvernementaux (Anssi en tête) aux décideurs-prescripteurs de l’industrie.
Les Assises, c’est avant tout une réunion doctrinale, une sorte de mise au point annuelle des actions envisagées par l’Agence Nationale de la Sécurité des Systèmes d’Information. La petite phrase y prend des allures de sujet du bac, l’allusion se transforme en avertissement. Tantôt l’on rappelle qu’en matière de cyber-coopération internationale, « nous avons des alliés, pas des amis », un œil rivé sur la ligne bleue du Bsod, l’autre lorgnant de l’autre côté de l’Atlantique. Une autre fois, ce sera à l’IoT d’en prendre plein son grade. Ou bien encore l’occasion de rappeler que le temps politique et le temps SSI ne répondent pas aux mêmes agendas, et que la souveraineté d’un Cloud, d’un système d’exploitation ou d’un antivirus dépasse rarement les frontières des salons où l’on cause. On vient donc aux Assises pour écouter la bonne parole de Guillaume Poupard, Directeur Général de l’Agence.

On y vient également pour découvrir des jeunes pousses, des nouvelles technologies, dont les lauréats sont sélectionnés par un aréopage de gens du métier, lors de réunions organisées par le « Cercle des Assises ». Cette année, le gagnant de ce « prix de l’innovation » s’appelle Moabi, une startup spécialisée dans l’audit de logiciel « post-compilation » lancée par deux grands noms de la sécurité, deux inséparables chercheurs : Nicolas Massaviol et Jo « endrazine » Brossard. Deux noms que l’on avait plus souvent l’occasion de voir affichés lors de conférences plus geekesques : NoSuchCon, les Sstic, Hardwear.io, DefCon, en bref, les grandes « Con » où l’on se retrouve sans cravate. Moabi, c’est la confluence de trois tendances. D’un côté la quasi obligation des éditeurs de logiciels de poursuivre un contrôle qualité compatible avec les temps de réaction dignes des filières « agiles » et des approche DevSecOps, de l’autre le recul des offres « on premise » au profit de modèles commerciaux cloudifiés et « as a Service », enfin l’arrivée à maturité d’un projet aux origines complexes (les tests des binaires par exécution symbolique) mais enfin disponible en « boîte noire », en offre packagée et prête à l’emploi. De manière simplifiée, Moabi est un service en ligne capable de fournir un diagnostic de vulnérabilités (connues ou non encore détectées) pour tout programme déjà compilé, quel que soit le processeur censé l’exécuter, quel que soit le noyau pour lequel il a été conçu. A l’heure du « devsecops » et des méthodes d’évolution continues des applications métier, il était impensable de ne pas voir arriver sur le marché des outils capables d’assurer un contrôle qualité également « en continu » tout au long du cycle de vie d’un logiciel.
Les Assises, c’est également 90% de « off », de contacts personnels, de relations clients-fournisseurs potentielles, de tractations d’embauches occasionnelles, bref, de business as usual. C’est également un festival off, celui qui se déroule dans les salles de conférences pour le compte des exposants. Ainsi, pêle-mêle, au fil des annonces presse, les ateliers de Sogeti autour du Cloud, des containers, de l’IoT, la présentation d’Oodrive sur la gestion centralisée des identités, les rencontres d’Evidian sur le stand Atos portant sur l’usage des tableaux de bord SSI, l’inévitable conférence Microsoft à propos de la sécurité sur la plateforme 365, un RetEx proposé par le groupe Suez, l’habituelle présence d’Airbus avec une présentation orientée IoT, ou encore Devoteam sur la souveraineté de l’identité numérique, de la sphère personnelle à l’univers professionnel. On assistera également aux conférences plénières dont l’intervention très attendue de Guillaume Poupart, DG de l’Anssi.

UKDrillas, un seul alias Tweeter, deux attaques en déni de services spectaculaires : celle, très médiatisée, de Wikipedia le 7 septembre, et celle plus discrète du site World of Warcraft Classic. La disparition du site WoW a provoqué quelques réactions violentes de la part de gamers

Le chercheur Français @benkow signale la progression relativement rapide d’un ransomware affectant les serveurs Web sous Linux. Un peu plus de 6000 sites sont encore affectés

Moabi est un service Français dont l’unique fonction est de découvrir des vulnérabilités exploitables dans n’importe quel type d’exécutable.

Voilà pour la version résumée. Dans le détail, c’est une machinerie SaaS complexe,  « résultat d’années de recherches, de développement » assure son fondateur, Jonathan Brossard. Cette machinerie est une usine à exécution symbolique capable de traiter n’importe quel type de programme (compilé), destiné à n’importe quel type de processeur. Or, cette notion d’exécution symbolique fait partie des vieilles chimères des recherches universitaires. Trop lourde, trop lente, trop théorique, elle est longtemps demeurée dans les limbes du devenir, à côté d’autres idées révolutionnaires comme le calcul quantique et l’intelligence artificielle de HAL 9000. Mais ça, c’était avant l’arrivée sur le marché de capacités de calcul monstrueuses des vendeurs de Cloud.

Il existe plusieurs méthodes de « chasse au bug ». La plus classique consiste à analyser un programme qui s’exécute dans une machine -virtuelle ou réelle-, avec son système d’exploitation, ses bibliothèques de fonctions, ses variables… et dont les tests se limitent à vérifier que le moteur tourne rond dans des conditions normales, un test de premier niveau qui garantie en grande partie la validité des clauses de saisie, la conformité de certains points (randomisation ASLR, validation des signatures, conformité des API appelées …)

Une autre approche consiste à analyser le code source et extrapoler les déviances prévisibles provoquées par le compilateur. Des outils coûteux, exigeants en termes de compétences techniques, très liés (et pour cause) au type de langage utilisé. Seuls les Microsoft, les Apple, les Amazon et consorts ont les moyens financiers, les ressources humaines et le temps d’utiliser ces panoplies pour debugger en eaux profondes.

L’exécution symbolique, quant à elle, ne tient compte directement ni de l’environnement (système d’exploitation), ni des dépendances tierces et ne s’attache qu’aux symboles. Lorsque le programme est lancé, toutes les possibilités d’exécution et les appels du programme sont testées, et non seules celles rendues possible par le système. La connaissance du ou des langages entrant dans sa composition est donc relativement secondaire, puisque seul le résultat post-compilation est torturé (un .exe, une dll, mais également un elf, voir un .hex prévu pour être buriné dans le silicium d’un microcontrôleur).

On s’en doute, être capable d’analyser aussi bien un code X86, Motorola, Zilog ou ARM que celui destiné à une plateforme Atmel ou une gpu Nvidia a nécessité quelques années de travail pour forger ces multiples environnements d’exécution. Mais une exécution indépendante de tout système, une analyse qui ne se focalise que sur les défauts exploitables. Une exécution, enfin, qui n’exige pas une équipe de gourous surspécialisés puisque l’accès à ces exécuteurs symboliques s’opère par abonnement à un service.

Le secret des sources sans les risques

A qui s’adresse Moabi ? En priorité, à toute entreprise, à tout intégrateur qui redoute la moindre panne binaire sur un binaire dont ils ne possèdent pas le source. C’est le cas notamment des OEM dans le secteur de l’automobile de seconde monte et de l’embarqué à faible coût, de l’automatisme industriel (rares sont les constructeurs d’automates programmables qui fournissent leurs codes, encore plus rares sont les entreprises utilisatrices qui les demandent).

C’est également une solution élégante pour un éditeur qui rêve de faire qualifier un programme en garantissant un niveau de sécurité sans avoir à dévoiler ses secrets de fabrication et risquer la perte de sa propriété intellectuelle.

C’est enfin le dernier garde-fou dans les domaines où la sécurité et la fiabilité des systèmes priment avant tout : informatique embarquée militaire ou civile, aviation, spatial, transports et autres infrastructures Scada. Car même en possédant les sources d’un programme, il est n’est pas toujours possible de détecter une saturation de tampon, une faille XSS, un défaut inhérent non pas au code mais au compilateur ou à l’éditeur de liens. Moabi est donc, dans ce cas, non plus seulement un automate de chasse aux bugs, mais un outil de certification qui quantifie le niveau de qualité du programme en plusieurs points : conformité du chiffrement, du durcissement du programme, de sa conception générale et sa résilience selon les référentiels (posix, CE99…), sa salubrité générale notamment envers les failles référencées dans l’index CVE ou les trous non encore répertoriés et mis en évidence durant l’exécution, sans oublier des points plus triviaux tels que le respect des règles imposées par l’environnement d’exécution ou les contraintes du processeur.

Malgré une technique prometteuse, l’exécution symbolique se heurte tout de même à deux écueils de taille. D’une part, l’énorme difficulté à vulgariser la notion même de symbole, y compris auprès des professionnels de la SSI. D’autre part, l’indifférence dont fera preuve l’immense majorité des acteurs de l’électronique de grande consommation, dont le cycle de vie de développement se compte en mois, voire en semaines. Ce sont les industriels de l’IoT importé d’Orient, les armées de développeurs qui travaillent en mode « quick and dirty » et qui jamais n’investiront le moindre centime en contrôle-qualité logicielle, en raison de marges réduites à l’extrême, de contraintes « time to market » étriquées et d’absence totale de support clientèle. Cela va du traceur GPS à la caméra de surveillance domotique, de la montre fitness à 20 euros à la poupée électronique interactive. Le jour où Moabi aura convaincu les principaux géants du logiciel et du firmware, les organisateurs des conférences « InfoSec » auront du souci à se faire pour remplir leurs programmes de « sploits » spectaculaires, craquants sous la dent des hackers et reversers.

Du serveur à la station, de l’antique Windows 7 et Server 2012R2 aux versions les plus récentes, Microsoft diffuse une giboulée de correctifs, dont deux failles exploitées (CVE-2019-1214 et CVE-2019-1215) et trois ayant fait l’objet de publications préalables (CVE-2019-1253, CVE-2019-1294 et CVE-2019-1235) . Averse assez sérieuse pour motiver un staccato de tweets du Cert-FR, l’inévitable analyse de Beyond Trust, l’habituel tableau du Sans (lequel ne comporte pas le moindre « patch now » couleur sang) sans oublier la revue de détail de Thalos. Au total 19 correctifs, 80 failles dont 19 jugées « critiques ». CVE-2019-1214 et CVE-2019-1215, les deux failles “exploitées”, concernent toutes les versions existantes de Windows (en d’autres termes, les éditions encore maintenues). Microsoft rappelle à cette occasion que la date limite de consummation de Windows 7 et de Server 2008 R2 arrive à expiration le 14 janvier 2020.
Au titre des bizarreries, on remarque une possibilité d’exploitation à distance d’un fichier .lnk (link) CVE-2019-1280. Les fan de la saga Stuxnet se rappellent des ravages que peuvent provoquer ce genre d’extension, en d’autres circonstances et en d’autres conditions.

Un Bug bounty réservé DevOps a été  ouvert par Microsoft  avec des gains pouvant atteindre 20 000 USD.

Dancho Danchev livre une impressionnante compilation de sites frauduleux empruntant les apparences des sites d’aide en ligne d’Apple, Microsoft, Google, Kaspersky etc.