juin, 2009

L’écoute distante des claviers n’est pas une technologie franchement nouvelle. Sans remonter à la préhistoire des écoutes Tempest, les keyloggers sans-fil font, depuis quelques temps, les gros titres des sites de hack matériel. L’on se rappelle de la démonstration de l’EPFL, l’Ecole Polytechnique de Lausanne qui utilisait l’USRP, le récepteur SDR de Matt Ettus. Un gadget qui n’est pas franchement à la portée de toutes les bourses. Pas plus que ne l’est d’ailleurs l’analyseur de spectre qui, dans le cadre de cette démonstration, n’a qu’une valeur pédagogique.

Mais voilà que l’équipe de Remote Exploit nous offre une variante encore plus intéressante, puisqu’à la portée de toutes les bourses ou presque. Précisons toutefois que Keykeriki –c’est le nom du sniffer de claviers- intercepte et déchiffre les signaux des claviers sans fil à transmission radio. C’est donc une technique totalement différente de celle exploitée par l’EPFL qui, pour sa part, « écoute » les rayonnements électromagnétiques émis par le balayage de tous les claviers… y compris, et surtout, ceux qui sont reliés à l’ordinateur avec un câble.

Alors, Keykeriki marque-t-il une étape dans le domaine du hacking matériel ? Indiscutablement, oui. S’il est beaucoup plus limité que le hack de l’EPFL, ce montage offre toutefois la possibilité d’écouter tous les claviers sans fil émettant sur 27 MHz (ce qui élimine les périphériques Bluetooth, qui ne sont guères plus compliqués à pirater). La réception, le décodage, le stockage, voir la retransmission des informations saisies s’effectuent par le truchement d’une petite carte électronique à base de microcontrôleur (un atmega 64). Les composants sont standards, le circuit imprimé et son fichier Gerber sont offerts –hélas sous Eagle, qui n’est pas un logiciel Open Source- de même que le firmware nécessaire au fonctionnement de l’ensemble. Les données interceptées sont soit stockées sur une carte mémoire SD, et peuvent même être retransmises à très longue distance, puisque ce sniffer possède une sortie compatible iphone. Les possesseurs de claviers sans fil Microsoft ou Logitech peuvent envisager le remplacement de leurs équipements.

Un fichier PDF d’explication envisage les extensions futures. Et notamment un étage d’émission (qui manifestement semble utiliser deux MMIC en cascade, voir en fin de document). Cet addendum ouvre la porte à l’injection de données à distance. Une phrase peu sibylline indique que le Remote-Exploit pense également développer une version 2400 MHz (bluetooth/wifi). Là encore, les composants sont standards, faciles à trouver –certains même sont fournis gracieusement par les constructeurs, à titre d’échantillon- et fort bien documentés.

L’on pourrait éternellement gloser sur les différences conceptuelles qui opposent une technique d’écoute « large bande » à base de SDR (technique EPFL) et « monofréquence » (procédé Remote Exploit). C’est là une simple histoire de moyens. L’approche EPFL est plus proche de l’esprit Nessus, autrement dit d’une conception du pentesting tous azimuts, tandis que la vision Remote-Exploit est plus verticale, plus limitée, et surtout nettement moins coûteuse. L’efficacité n’en est pas moins grande. Ces deux hacks nous enseignent une chose : il est vain, dans un milieu informatique traitant des données sensibles, de ne faire confiance qu’à une analyse de la sécurité focalisée sur l’approche binaire, sur la solidité des programmes, des outils de filtrage IP ou tout autre mécanisme de sécurité périmétrique. Il faut savoir également maîtriser le périmètre électromagnétique de l’entreprise. Las, cette approche a été depuis longtemps corrompue par les simplifications des prétendus spécialistes de l’informatique sans fil, vendeurs de procédés de chiffrement, de cartographie des réseaux WiFi (cartographie limitée à la qualité des sondes utilisées… souvent déplorable) ou de brouilleurs de réseaux GSM. Dans l’informatique moderne, tout est radio. Du combiné Dect au transmetteur CPL, du scan-code des claviers au rayonnement du bus PCI, du câble RS232 à la sortie du boîtier ADSL, et bien sûr du Wifi au périphérique Bluetooth, en passant par les extensions Wimax ou les connexions GPRS/3G.

« Un crû de qualité » clament les participants blogueurs. Un crû qui, comme par le passé, a un goût de trop peu en raison des contraintes logistiques et de sécurité imposées par l’Université de Renne, qui héberge traditionnellement. Situation paradoxale que celle de cette manifestation d’une qualité rare, d’un niveau technique toujours très élevé, poussé par d’infatigables organisateurs, mais dont le nombre de places accessibles au public transforme cette manifestation en réunion presque confidentielle.

Comme par le passé, ce sont encore ceux qui y sont allés qui en parlent le mieux, et pour tout savoir à propos du Symposium sur la Sécurité des Technologies de l’Information et des Communications, il faut immédiatement se précipiter sur les sites de Nono et de Sid, ainsi que sur celui de Bruno Kerouanton focalisé sur le contenu des Rump Sessions. Tout çà en attendant que soit publiée l’intégralité des actes de cette année. Mais les actes, c’est un peu comme les sous-titres d’une V.O. sans le talent des acteurs. L’air de Renne, de la Rue de la Soif, des présentations et des rumeurs de l’amphi principal, les témoignages de tous ceux qui y sont allés font dire à chacun « l’an prochain, j’en serai ! »

Word, Excel, Office… l’inévitable lot de failles Internet Explorer, soit au total six failles, dont deux critiques, trois importantes et une modérée. Le bulletin de pré-annonce du MSRC précise que la consolidation de Direct-Show est encore en chantier. Cette vulnérabilité constitue probablement le sujet de préoccupation le plus important au sein du team, car son exploitation via des fichiers Quicktime forgés a été remarquée de nombreuses fois sur Internet. C’est donc une course contre la montre qu’entame l’éditeur, course qui pourrait bien s’achever par la publication d’un correctif hors calendrier.

Le Cert Lexsi, c’est un peu notre Luhrq à nous. Ses analyses ne sont jamais en avance sur celles des autres, mais le recul qui y est apporté, l’absence de langage « jargonisant » donne aux articles publiés une clarté et une absence de catastrophisme de bon aloi. La dernière étude en date concerne… Conficker, une fois de plus. De la dernière version, dénommée B++, celle qui « corrige » les erreurs de jeunesses –pourtant relativement faibles- de la première édition. Cette fois, les auteurs ont attentivement écouté les conseils de la communauté internationale, et ont su améliorer leur logiciel. Il est désormais impossible de dresser une table des domaines générés, comme ce fut le cas pour les deux premières versions du ver. B++ « fabrique » désormais 50 000 noms de domaine par jour, de quoi saturer les DNS les plus rapides. Ses mécanismes de défense interne s’enrichissent de tous les principaux programmes destinés à éradiquer ledit virus, et le mécanisme de « mise à l’heure » de l’infection elle-même utilise discrètement des sites publics que l’on peut difficilement rayer des annuaires : Google, le W3C, Yahoo, Facebook… Les noms de domaine générés sont, pour certains, testés afin de voir s’ils ne sont par « bouclés » soit sur une classe privée, soit sur une adresse appartenant à un chasseur de virus lié à la « coalition Microsoft anti-Downadup. D’autres surprises pourraient bien être révélées, nous promet Fabien Perigaud. L’équipe aurait notamment détecté un certain nombre de nouvelles fonctions camouflées. Le feuilleton Conficker, c’est encore plus haletant qu’une histoire de Rocambole.