février 20th, 2009

Février, c’est le premier mois des « hacking conferences ». Avec la BlackHat de Washington, avec les comptes-rendus de la Schmoocon…un feu d’artifice de communications, d’exploits, de hacks, tous plus médiatisés les uns que les autres. Et çà commence très fort, avec cet exposé de Chris Paget lors de la Schmoocon, qui nous reparle du clonage des RFID… ceux des passeports, bien entendu. Mais cette fois-ci, il s’agit des passeports américains délivrés aux frontaliers qui, chaque jour, traversent l’une des frontières des Etats-Unis pour affaires : Canada, Iles Caraïbes et Bermudes ainsi que le Mexique.

Ce document de voyage un peu particulier se présente sous la forme d’une carte de crédit, et intègre un RFID fonctionnant sur 900 MHz. Une technologie probablement fort utile pour compter du bétail dans un champ, mais considérablement trop indiscrète pour être employée dans une chaine d’identification des personnes. Détectables et lisibles à plus d’un kilomètre de distance, pouvant être aisément perturbés et très probablement piratés lors de l’échange des données entre la carte elle-même et le système d’interrogation légitime, ces RFID ont, malgré de nombreux avis défavorables, été manifestement adoptés par les instances gouvernementales américaines. Au grand bonheur de Paget.

Côté Black Hat, les codes les plus protégés explosent de toutes parts. Joanna Rutkowska et Rafal Wojtczuk signalent l’existence de plusieurs bugs dans le Software Manager Management Mode des processeurs Intel, rééditant l’exploit de l’an passé. Car déjà, un problème du SMM avait permis à ce couple de chercheurs de compromettre un hyperviseur Xen, démonstration faite précisément lors d’une Black Hat. Cette fois, c’est la TXT, Trusted Execution Technology d’Intel qui est mise à mal par cette petite erreur de conception. Selon les chercheurs, il serait possible d’utiliser plus d’une quarantaine de moyens pour exploiter ce défaut capable de compromettre le processus de boot « sécurisé » de la machine. Or, TXT exécute le lancement d’un noyau ou d’un hyperviseur en partant du principe qu’il peut compter sur l’intégrité de ce fameux SMM… Security News précise que, tant que le constructeur n’aura pas corrigé les erreurs en question, l’équipe d’Invisible things ne divulguera aucun détail technique concret.

Toujours de la Black Hat, le contournement de SSL par Moxie Marlinspike. Le Reg étale les exploits de ce hacker sur deux pages, qui s’achèvent avec un témoignage d’admiration de la part de Dan Kaminsky, qui lui aussi mis à mal SSL (ou plus exactement une édition particulière de SSL). Dans les grandes lignes, il semblerait que ce hack consiste, à l’aide d’un utilitaire baptisé SSLstrip, à détourner l’internaute victime dès qu’il a reçu la page Web précédant celle qui devrait logiquement activer la liaison sécurisée. Ce n’est pas SSL qui est compromis, mais sa mise en œuvre. Bien sûr, la page injectée par le pirate ayant effectué le détournement devra présenter les mêmes aspects que celle à laquelle s’attend l’internaute, quitte même à afficher une url au format HTTPS à l’aide d’un certificat bidon qui, de toute manière, n’est vérifié par personne. Mise en confiance par les pages Web précédentes, la victime n’aura alors aucun doute quant à l’authenticité des écrans suivants, et fournira sans la moindre hésitation tous les mots de passe possible. Relatant ce même hack, nos confrères de Security News rapportent cette remarque de Marlinspike « Si vous obtenez le mot de passe d’un site, vous avez de fortes chance que ce même mot de passe soit utilisé également sur dix autres sites ». Un tel piège tendu sur un vague blog sans grand intérêt peut devenir une source d’alimentation d’identités et de crédences également utilisables sur des sites bancaires ou de payement en ligne.

Achevons ce rapide tour de la BH Washington en mentionnant cet article d’Information Week sur le hack des systèmes de reconnaissance faciale intégré dans certains ordinateurs Lenovo, Asus ou Toshiba. L’affaire n’est pas nouvelle et avait déjà fait l’objet d’une communication et de plusieurs vidéos de démonstration de la part de l’équipe de Nguyen Minh Duc du BKIS (Bach Khoa Internetwork Security Center) d’Hanoi. Cnis avait publié un article à ce sujet en décembre dernier.

Plusieurs chercheurs et éditeurs d’antivirus commentent abondamment la divulgation d’un exploit minant Internet Explorer (MS09-002). La première apparition de ce vecteur d’attaque prenait l’apparence d’un document Word expédié en « pièce attachée » explique une rapide description de l’Avert. Ce n’est pourtant en aucun cas une vulnérabilité liée au traitement de texte, mais bel et bien un code provoquant une corruption mémoire via le navigateur Web. Le Sans donne une première analyse du code et décrit succinctement les mécanismes de ce « dropper », tandis que le blog de l’équipe Snort s’étend un peu plus sur les fonctions générales de ce virus ainsi que sur sa provenance manifestement Chinoise. Le développement de cet exploit quelques jours à peine après le « patch Tuesday » du mois de février indique clairement le fruit d’un travail de reverse engineering entamé à partir de l’analyse du code de la rustine. Les principaux chasseurs de virus, qui reconnaissent pour l’instant le caractère très « localisé » et limité de cette menace, n’écartent pas le risque que ce virus pourrait rapidement se retrouver dans la collection des panoplies d’exploits équipant les « kits » de fabrication d’outils d’attaque.

Verra-t-on se développer une sorte de concours à la sauce « MoAWB » (ou Mois du bug Web des éditeurs d’antivirus) ? car après le « hack kaspersky qui n’en était pas trop un », c’est au tour de Bit Defender (du moins l’un de ses représentants) puis de F-Secure de faire l’objet d’une attaque usant des mêmes vieilles ficelles : Injection SQL et Cross site scripting. Le site Roumain à l’origine de ces révélations semble étonnamment bien informé.
Côté F-Secure, l’on précise que le serveur touché ne comportait que quelques informations statistiques concernant les signatures de certains virus. Cette affaire tourne au règlement de compte.

Toujours à propos de failles et d’éditeur d’antivirus, il serait triste de passer à côté de cette amusante capture d’écran prise par Thierry Zoller, cet autre pourfendeur –étique- d’antivirus mal conçus. Après avoir annoncé la disponibilité de BT Crack, son outil de pentesting Bluetooth, voilà que les filtres de contenu de SonicWall semblent bloquer tout accès au site de téléchargement du logiciel en question. Et pour motif de « pornographie » qui plus est.