avril 8th, 2009

Au moins six meurtres non élucidés, des modes opératoires toujours changeant, des années de recherche à la poursuite d’une mystérieuse tueuse, des centaines d’hommes de la « Crim » Allemande sur les dents, une chasse à l’homme (si l’on ose dire) qui va de la Bavière à l’Autriche et passe même par la France. Et toujours, comme seule carte de visite, l’empreinte génétique d’une inconnue. Une empreinte découverte sur la balle d’un règlement de compte entre Roms, sur le tapis de voiture de l’auteur présumé d’un triple meurtre entre ressortissants des pays de l’Est… l’Exécutrice demeurait aussi rapide, aussi insaisissable que Léon. Une rocambolesque histoire que nous narre Science Blogs, et qui retombe comme un soufflet : la Sérial Killeuse n’était en fait qu’une employée de l’entreprise chargée de fabriquer les pointes de coton servant aux enquêteurs de la P.J. à relever des échantillons d’ADN. Cette « pollution » de preuve a donné naissance à un véritable roman dont on ne sait pas trop comment il risque d’être interprété. Indiscutablement, cette affaire met en évidence les carences que l’on peut rencontrer dans tout système de sécurité, même si celui-ci est encadré par de normes et des procédures précises. Il est surprenant que jamais le moindre contrôle de la chaîne de stérilité n’ait été effectué durant toutes ces années… mais peut-être était-ce un pré-requis tellement évident que personne n’a songé à en douter. Pas plus qu’il n’était jusqu’à présent pensable de remettre en question les pratiques d’un Heartland ou d’un RBS Wordpay, drapés dans la respectabilité d’un PCI-DSS infaillible.

Comme un réveil de lendemain de fête, les analystes sécurité marquent une pause et font un « point Conficker ». Tous pour dire « il ne s’est rien passé », un peu moins pour ajouter « on vous l’avait bien dit ». Car il était difficile pour certains de ne pas avoir la main lourde au moment de servir les alertes. Certes, il y a 3 millions de vers zombificateurs ayant fait leur office qui attendent, tapis, que leur Botmaster leur demande de charger. Certes, il est difficile de nier l’existence de cette très pénible épidémie, à moins, comme l’explique clairement la cartographie du Conficker Working Group, d’aller s’expatrier au fin-fond du désert Australien ou quelque part entre les iles Sakhaline et les plaines de Sibérie.

Eric Ogren de Security News se demande un peu comment on a pu en arriver là. Comment une faille vieille de 6 mois, corrigée par son éditeur, a pu provoquer un tel vent de panique. Comment, jusqu’à présent, et malgré les cris des professionnels de la sécurité, l’on soit parvenu à plus ou moins passer entre les gouttes : grâce aux fournisseurs de services Internet qui ont su filtrer à temps ? Grâce à l’intimidation et aux 250 000 dollars de prime qui ont « effrayé » ou « intimidé » les auteurs de Conficker ? Grâce à la mise à jour en urgence des outils de sécurité ? Grâce à la chance ? Ou peut-être un peu un assortiment de tous ces facteurs. Mais ce qui turlupine véritablement Ogren, c’est pourquoi les réactions des industriels de la sécurité ont-elles fait preuve d’autant d’amateurisme? Et de citer quelques phrases au hasard des interventions : « Tentez de visiter le site Kaspersky. En cas d’échec, c’est que vous êtes probablement infecté » signé Kaspersky. « Le meilleur moyen de savoir si vous êtes infecté, c’est de passer un « bon » antivirus » signé Symantec. « Si vous utilisez l’antivirus Sophos, vous n’avez pas besoin de désactiver le HIPS lorsque vous exécutez l’outil de désinfection Conficker de Sophos » signé Sophos, dont l’A.V. nécessite, pour des raisons inconnues, le passage d’un second outil destiné à vérifier le bon fonctionnement du premier. Et réciproquement. C’est peut-être là ce que l’on appelle le fameux « understatement » Britannique.

Le « coup du site Kasperky qui n’apparaît pas » a d’ailleurs inspiré un autre observateur de la sécurisphère, Martin McKeay, qui nous offre une page html comportant quelques liens graphiques pointant sur différents éditeurs d’A.V. et quelques ressources linuxiennes et BSDéiennes. Ce mini détecteur est à même de dire si la machine est probablement touchée par Downadup, distingue même s’il s’agit d’une variante « C » ou « A/B » de l’infection, ou si le problème est lié à un paramètre un peu trop restrictif du proxy ou du navigateur. Chers Internautes, si vous ne pouvez pas lire ce texte, c’est probablement parce que votre câble réseau n’est pas connecté.

ISS-IBM a d’ailleurs profité du premier jour de « réveil » de Conficker C pour écouter le dialogue des zombies cherchant leurs nouveaux domaines de mise à jour, et ainsi en estimer l’étendue de l’épidémie. Chiffres avancés avec beaucoup de prudence, car ne reflétant qu’une vision partielle d’Internet, limitée aux seules requêtes de Conficker C bloquées ou détectées par les passerelles Proventia de ce même ISS. Le virus aurait donc infecté près de 4 % des ordinateurs en service à la surface de la terre. Des 3 millions de systèmes touchés estimés par la plupart des experts (chiffre évoqué notamment par le Conficker Working Group), l’on passerait brutalement au-delà de la barre des 10 millions d’ordinateurs zombifiés.

Tout ceci est presque aussi sérieux que cet indispensable développement offert par Gnu Citizen et baptisé « générateur de néologismes » (in english ; buzzword generator). Le générateur en question fabrique les noms des futures attaques complexes qui feront la gloire des prochaines RSA Conference, des Defcon les plus spectaculaires ou des CCC explosives. Ce peut être là une très intéressante source d’inspiration pour tout RSSI chargé de produire un rapport justifiant son travail auprès d’une direction dépassée par les événements et qui cherche encore des firewalls dans les scripts d’OpenOffice. Entre la description dantesque d’un Overflow Red Pill Shattering, les dangers du Online Binary Evasion, les menace d’encrypted Information Forgery ou le risque d’Injected DNS Spidering, il y a franchement de quoi effrayer le plus flegmatique des patrons.

Soudainement, Rob Havelt semble passionner la presse. Car Rob Havelt compte, lors de la prochaine B.H. d’Amsterdam, montrer comment il est possible d’espionner une liaison 802.11 « première génération », en FHSS (modulation par saut de fréquence). Le programme de la Black Hat l’affirme, le Reg en écrit un roman, Security News Allemagne en fait ses choux gras, Infosecurity parle de « compromission de réseaux sécurisés »…

La réalité est un peu moins « glamour », mais mérite toutefois un coup de chapeau. Rob Havelt a probablement été inspiré par les travaux de Bruce Potter et Brian Caswell présentés lors de la 11ème Defcon. Ces deux chercheurs étaient parvenus à découvrir une faille dans le traitement pseudo aléatoire du choix de fréquence utilisé dans le cadre des transmissions Bluetooth –qui reposent aussi sur un procédé de modulation par saut de fréquence)-. A raison d’un changement toutes les 600 millisecondes, il était, lors de la conception du protocole, pratiquement impossible de suivre une conversation.

Las, en matière de Bluetooth comme de 802.11 « première époque », l’aspect aléatoire est très relatif. D’autant plus relatif qu’un token de synchronisation est émis avant chaque trame afin que les stations associées puissent, elles, suivre efficacement ladite conversation. Une fois la faille sur le traitement aléatoire exploitée, le mécanisme de frequency hopping ne présente plus le moindre obstacle.

Si jusqu’à présent FHSS ne fut jamais cassé, c’est qu’il tomba dans l’oubli, remplacé par les versions plus modernes des réseaux sans-fil que sont 802.11 b, puis 802.11 a, et enfin 802.11n, chacun utilisant des procédés de modulation différents. Le vieux mécanisme est encore parfois utilisé là où les impératifs de bande passante ne sont pas exigeants (802.11 est limité à 2 ou 4 Mb/s selon le constructeur) : gestion de stock, entrepôts, tracking de véhicules dans un périmètre précis… autant d’applications qui peu à peu se tournent vers les RFID. Ajoutons que protocoles de chiffrement –y compris Wep- sont généralement absents de ces trop vieux réseaux. L’on pensait autrefois que la gigue de fréquence suffisait à décourager les hackers. En outre, la fabrication d’un récepteur pouvant atteindre 2,4 GHz était encore un sport réservé à de véritables sorciers de la radio. On ne trouvait pas, comme c’est le cas aujourd’hui, des composants UHF à bas coût et des modules « tout intégrés » fonctionnant en bande de base sur ces fréquences.

FHSS, dans les vieux pots les meilleures failles
Le changement de fréquence rapide et constant qui caractérise FHSS était, comme le rappelle nos confrères, un des arguments sécuritaires avancés par les vendeurs d’appareils dans les années 80. Déjà, à l’époque, les spécialistes du domaine savaient pertinemment que c’était là une parfaite illusion, car plusieurs travaux s’étaient déjà intéressés à l’écoute des émetteurs à agilité (ou gigue) de fréquence utilisés notamment par les armées du monde entier. Le FHSS était « cassable », ce n’était qu’une question de temps. Précisons également que, techniquement parlant, FHSS avait été essentiellement inventé non pas pour des motifs de sécurité –ce n’était là qu’un aspect secondaire- mais surtout pour des raisons d’optimisation de bandes radio attribuées et d’amélioration de bande passante. Car avec FHSS était également mis au point un protocole d’évitement des fréquences brouillées ou déjà occupées. Grâce à ce mécanisme d’évitement de canal, l’on éliminait toute demande de répétition (Nack) ayant pour cause une perturbation radioélectrique. Détail d’autant plus important qu’il se produit un « effet d’avalanche » dès lors que le nombre de retry dépasse quelques dizaines de pourcent du trafic. La liaison passe plus de temps à répéter des données qu’à en envoyer de nouvelles, la congestion du réseau est d’autant plus rapide que le nombre de hosts est important.

En concentrant les émissions sur les canaux considérés comme silencieux, donc libres, toute collision devient théoriquement impossible et l’on peut jouir des quelques 2 Mb/s de bande passante (4 Mb/s sur les derniers modèles Breezecom utilisant ce procédé).

Lancer une attaque en déni de service contre ce genre d’infrastructure est simple : il suffit d’utiliser un émetteur à large bande d’un niveau suffisant pour faire comprendre au procédé de réservation des fréquences que tous les canaux sont occupés. Ce principe est encore utilisable avec les mécanismes de modulation contemporains.

Il ne se passe désormais plus la moindre Black Hat, Defcon ou CCC sans que l’on y puisse entendre les exploits d’un nouveau hack radio. Hack généralement perpétré à l’aide de la seule base sérieuse qui soit en matière d’écoute et d’injection dans le domaine HF : une « Software Defined Radio », constituée d’une interface électronique minimaliste, elle-même accompagnée de sa suite de développement python GNUradio. Ont ainsi piraté les émissions Bluetooth (Shmoo.com), les transmissions GSM (The Hacker’s Choic), les conversations Dect (Dedected.org) etc etc. Rappelons qu’une SDR est une sorte de « nessus des ondes », une interface capable de capter et surtout de démoduler n’importe quel signal radio, de quelques kiloHertz à 5 ou 6 GHz. Les logiciels associés à cette électronique de pure réception se charge de l’interprétation (démodulation ou modulation) du signal, qu’il s’agisse d’une émission en modulation d’amplitude, d’une information en modulation de fréquence, d’un flux de télévision haute-définition, d’une série de trames WiFi et ainsi de suite, au gré de la qualité du développement.