juin, 2015

Deux ans déjà, mais les choses changent de manière perceptible, estimait Snowden dans une lettre ouverte publiée au début de ce mois dans les colonnes du N.Y. Times. Les choses changent, en effet. Si, Outre Atlantique, la NSA essuie quelques revers et se fait remettre à sa place, en Europe en revanche (et en France en particulier), les révélations du lanceur d’alerte ont eu un effet contraire. Jamais, en temps de paix, au cours de l’histoire de notre pays, les services de police et de renseignements n’ont bénéficié d’un tel pouvoir. Qu’importe les raisons et prétendus prétextes, telle est la situation à laquelle doivent faire face les citoyens pour préserver leurs propres intimités numériques.

Là est la clef du problème. Car il s’agit bien d’un problème.

En plaçant le citoyen dans une position passive de « surveillé », la société civile lui fait admettre l’inéluctabilité et l’omniprésence de cette surveillance. Que ce soit dans le quotidien du particulier ou durant son activité professionnelle. Car le citoyen « fliqué » est cette même personne qui, durant les heures ouvrées, travaille et contribue à la richesse du pays. La séparation stricte de ces deux mondes n’existe que dans l’esprit de certains politiques. Une « victime de la surveillance » dans le monde civile demeure une « victime de la surveillance » dans le secteur industrie, des biens et des services. Ergo, chaque coup de canif porté au contrat social infligé par les lois « Renseignement », Loppsi, LCEN et semblables saignent également le monde de l’entreprise.

Et quand bien même les procédés de basse police ainsi légalisés seraient-ils capables de faire le distinguo entre la sphère privée-qui-ne-doit-plus-l’être et la sphère économique-qui-doit-devenir-privée ? Psychologiquement la notion de préservation du secret professionnel et du stratégiquement « à ne pas divulguer » se déliterait quand même dans un aquoibonisme pessimiste : « Je suis fliqué, je n’y peux rien, « ils » sont trop forts ». « Ils » recouvrant des services de police aux géants du Net, Google, Facebook et consorts. Il n’y a strictement aucune raison pour qu’une personne habituée à cette intrusion et à cette surveillance constante ne devienne plus vigilante dans son cadre professionnel.

S’il est encore un peu tôt pour que le citoyen « non geek » prenne réellement conscience de la gravité de la situation dans le domaine de la surveillance d’Etat, tout semble prouver que le pillage de la vie privée par les industriels du Cloud commence à peser. Ce sentiment d’être le dindon de la farce est clairement exprimé dans une étude publiée par l’Université de Pennsylvanie qui peut se résumer en ces mots : « moi, citoyen et internaute, j’ai accepté d’échanger quelques données privées en échange de la fourniture d’un service en ligne, mais, avec le recul du temps, je me rends compte que le « deal » n’est pas du tout à mon avantage et je me sens totalement désarmé face à cette situation ».

Il y a du bon dans ce constat d’échec : une majorité de citoyens (aux Etats Unis, certes) admet clairement que sa vie privée et que ses données personnelles sont littéralement « pillées ». Et que les moyens mis en œuvre sont tellement formidables qu’il est devenu impossible de lutter contre. Une prise de conscience tant de la vulnérabilité de chacun que de la violence des procédés des grands opérateurs Cloud et du danger que cela représente. Peut-être un jour cette attitude englobera-t-elle le flicage d’Etat ?

Quelques jours avant la publication du « bilan » Snowden, Steve Bellovin écrivait un billet sur l’éventuelle généralisation de PGP par Facebook, en réponse à une annonce semblable faite par Google qui aimerait bien voir fonctionner GPG sur Gmail et Chrome. Indiscutablement, explique Bellovin, il faudra résoudre des problèmes qui sont loin d’être triviaux. Techniques, tout d’abord, tel que l’écriture d’un client de chiffrement à la fois simple et efficace pour plateformes mobiles, ou l’adoption d’un standard véritablement solide : PGP ou S/Mime ? Ergonomiques et psychologiques ensuite. Car à l’heure actuelle, utiliser de manière régulière des outils de chiffrement n’est l’apanage que de quelques technoïdes militants capables de ne pas confondre une clef publique ou privée et autres joyeusetés que nous réserve le cambouis du chiffrement.

Mais qu’un gros opérateur Cloud commence à s’investir dans une telle croisade, et ces aspects, techniques, ergonomiques et psychologiques pourraient s’effacer grâce aux moyens financiers, éducatifs et de développements dont ces opérateurs disposent. Le chiffrement deviendrait une sorte de réflexe naturel… et ce serait déjà un premier acte de « self defense » contre cette surveillance généralisée cherchant le djihadiste pédophile qui sommeillerait en chacun de nous.

L’initiative de Facebook (tout comme celle de Google, premier flic commercial de la planète) part d’un constat simple : trop de flicage tue le business. Il faut au moins donner l’illusion que l’on ne pense qu’au bien-être de chaque client-abonné-consommateur-source d’information. Dans leur ensemble, d’ailleurs, les opérateurs Cloud (et le CSA, Cloud Security Alliance) dans leur ensemble, tentent de réparer les pots longtemps cassés par les initiatives malheureuses et expéditives de leurs débuts. Cela a récemment pris la forme d’une seconde version du la PLA, Privacy Level Agreement, un outil de vérification de conformité Européenne capable d’indiquer avec assez de précision le niveau de protection des données à caractère privé garanti par un service et une application Cloud associée. Outil bien entendu destiné aux éditeurs d’applications Cloud et servant essentiellement à rassurer le client final. A quand un logiciel d’évaluation des « écoutes légales » ?

« Si on causait » propose Dancho Danchev. Si, pour briser ce ronron d’avis et de campagnes de communication consensuelles, nous nous mettions à dialoguer ? Si on parlait du temps qu’il fait dans le monde de la sécurité informatique, ou plus exactement des prévisions météorologiques relatives à la sinistralité numérique ? Envoyez courrier avec références et lettre de motivation à ddanchev at nym.hush.com.

Danchev est loin, très loin d’être un perdreau de l’année. Ce fut l’un des premiers, il y a plus de 20 ans, bien avant Brian Krebs, à mettre en évidence les relations inter-spécialistes des réseaux cyber-mafieux de ce qui allait devenir le Russian Business Network. Des hébergeurs « bullet-proof » aux spécialistes du spam, en passant par les bot-herders, les gourous du ransomware ou les empereurs du faux-antivirus, il les a tous tracés un jour ou l’autre, et a pu découvrir les « relations de confiance » cachées qui existaient entre clans cybermafieux. Alors, histoire de compléter une liste déjà longue de réseaux sociaux spécialisés…

Amoureux des nuages, ne lisez surtout pas l’étude de l’Université de Darmstadt et de l’Institut Fraunhofer portant sur les pratiques parfois fantaisistes non pas des opérateurs Cloud, mais des auteurs d’applications qui, eux, ne respectent pas les recommandations desdits opérateurs. Et ce particulièrement en matière de sauvegarde des données et synchronisation des équipements mobiles. Et en ne respectant pas ces mécanismes, lesdits développeurs d’applications dans le nuage donnent libre accès au contenu de leurs clients. Une analyse des services Facebook Parse et Amazon AWS aurait dévoilé l’existence de plus de 56 millions de « jeux de données » directement exposés et exploitables. A l’origine de ce défaut, un mésusage des services BaaS (Backend as a service), employé parfois pour y stocker, outre les fichiers habituels, des données strictement confidentielles, et plus particulièrement les clefs d’accès, mots de passe et autres noms réels d’utilisateurs, adresses email, carnets d’adresse, photographies etc. La sécurité d’un service BaaS, expliquent les chercheurs de l’Institut, ne repose généralement que sur un token d’API qui peut être volé au fil d’une session légitime, donnant à l’intercepteur un droit de lecture sur l’espace de stockage. Si cet espace contient des informations confidentielles… vae victis.

Autrefois, on appelait ça « lâcher de ballons dans les écoles primaires », « club d’aéromodélisme », « fabrication d’un Cerf-Volant »… aujourd’hui, tout ça est devenu « atteinte à la sûreté de l’Etat » tandis que s’organise une fantastique « chasse aux drones ». A tel point que l’on voit fleurir une foultitude de prestataires de services spécialisés dans la capture de ces jouets plus ou moins perfectionnés, plus ou moins autonomes, plus ou moins dotés d’équipements de vols en réalité augmentée. Prestataires dont la seule efficacité consisterait plus à bénéficier de marché d’Etat que de remplir une mission frôlant l’impossible.

Zain Naboulsi, CEO de Drone Labs (sic), rédige à ce sujet, dans les colonnes du HNS un article argumenté sur la quasi impossibilité pour des pandores à combattre ce dangereux fléau jihado-geekesque. La bombe du ridicule risque donc de continuer d’exploser à périodes régulières, car aucun équipement de détection ne fonctionne réellement affirme-t-il. Ni les systèmes audio (perturbés en milieu urbain) ni les capteurs et caméras thermiques (car ces appareils sont essentiellement froids et de très petite envergure). Ne parlons pas de la détection radar (tango-charly de Foxtrot Juliet : « chef, j’ai un vol de pigeons qui attaquent, ils cachent peut-être un dangereux Parrot ou un vecteur d’attaque Jouéclub ! ») , pas plus que de la goniométrie de l’émetteur, généralement sur 2400 MHz ou dans la bande ISM des 5 GHz, fréquences poubelles impossibles à trier.

Tout au plus, concède Zain Naboulsi, est-il possible de détecter le drone une fois qu’il est arrivé sur le « point sensible », de constater son altitude, d’obtenir les coordonnées GPS de son télé-pilote (ndlr… et encore existe-t-il 3 ou 4 solutions de camouflage du point originel de contrôle) ainsi que l’identifiant unique du drone etc. A condition que celui-ci n’ait pas été monté de toutes pièces par son dangereux auteur (considéré de facto comme terroriste), avide de sciences tant aériennes qu’électroniques, de savoir sur les radiocommunications et d’études sur l’usage des microcontrôleurs et centrales inertielles. Ça fiche la frousse, une telle soif de connaissance, pas vrai ?

Comme annoncé récemment, la Nuit du Hack 2015se déroulera cette année du 20 au 21 juin au petit matin, faisant suite aux deux jours de conférence de Hack in Paris. Contrairement aux années précédentes, cette manifestation ne se déroulera pas sur le campus Eurodisney, mais dans l’enceinte de l’école du cirque Fratellini, située à la Plaine Saint Denis, RER ligne D, station Stade de France.

La NdH 2K15, c’est bien entendu une formidable bataille numérique, un concours de pentesting et de défense. C’est également un lieu de rencontre et de communication de savoir moins théorique qui se pratique par petits groupes au sein de Workshops.

Le nombre de ces ateliers, cette année, surpasse de très loin l’activité des années précédentes. L’Owasp y présentera Zap, son scanner de vulnérabilité, Guillaume Prigent et Johanne Ulloa enseigneront les principes de fonctionnement de grands classiques (Shellshock, heatbleed et un vecteur d’attaque tcp/modbus), tandis que DTRE organisera une véritable foire au hacking matériel, avec détournement de bras robot, attaque de portiers infra-rouge, trucs et astuces autour des drones type quadcopters. On y trouvera bien entendu l’inévitable atelier « lockpicking » et le confessionnal de notre confrère Zataz.

Plus ardu, mais oh combien prometteur, Julien Voisin nous parlera de Radare2, le logiciel Open Source gratuit concurrent du désassembleur IDA-pro (quelques décennies tout de même après les premiers travaux de Pierre « peterpan » Vandevenne). L’Electrolab de Nanterre, enfin, orchestrera le plus « chaud » des ateliers destiné à enseigner l’art de la soudure des composants à montage de surface, l’exercice pratique permettant à chaque participant de repartir avec… un fer à souder pour composants à montage de surface. L’humour récursif n’est pas exclusif au monde GNU.

<b> Ce long tunnel de hacking </b>débutera le 15 et s’achèvera le 17 juin sous les chapiteaux de l’Ecole du Cirque Fratellini , avec une série de « master class » destinées aux chercheurs et professionnels de la sécurité. Au nombre des professeurs, Nicolas « Nicob » Grégoire, Arnaud Soullié, Peter van Eeckhoutte, Aditya Gupta et Aseem Jakhar sans oublier Yann Allain qui nous fera oublier les affres des failles XML en nous plongeant dans celles des bugs matériel et des parfums de soudure : promenade dans le monde merveilleux du hacking « hard ». <br><br>

<b> Ce n’est que le 18 jusqu’au lendemain </b>que débutera réellement HiP et son cycle de conférences. On y retrouve Nicolas Grégoire, mais également l’inévitable Winn Schwartau, conférencier-de-plénière-de-service qui reviendra sur une idée déjà développée l’an passé, celle de la sécurité analogique. <br><br>

<b> Nous reviendront dans le détail </b>sur les différentes interventions. Mais l’on peut d’ores et déjà prévoir une bonne ration de « fun » et de « profit » avec José Lopez Esteves et Chaouki Kasmi qui ont exploré la face cachée des IHM vocales, Mario Heiderich avec un exposé sur la vie privée du couper-coller, Timur Yunusov et Kirill Nesterov et leur infernal bootkit par SMS, Axelle Apvrille qui chatouille les capteurs d’accessoires cyber-fitness, ou Veit Hailperin qui revient sur un sujet souvent abordé mais chaque fois déconstruit : l’exploitation des « timestamp » et les remédiations possibles.

<b> Il y aura donc un lot important </b>de recherches classiques, old school presque, et une série de PoC épiques visant les dernières techniques « hipster compatible ». <br><br>

<b> Après ces deux jours de sapience et d’écoute</b>, Hack in Paris fermera ses portes et laissera la place au plus important, au plus virulent, <a href= »https://www.nuitduhack.com/fr/« target=_new> au plus ravageur CTF de France</a> . Plus d’un millier de « Zombies » combattront jusqu’à la mort numérique ou la victoire finale, décrochant flag après flag, challenge après challenge, tout en tentant parallèlement de trucider les ordinateurs concurrents et défendre avec acharnement le périmètre des leurs. <br><br>

<b> Exceptionnellement, cette année, c’est Guillaume Poupart</b>, patron de l’Anssi, l’Agence Nationale de la Sécurité des Systèmes d’Information, qui sera l’orateur de la conférence plénière, suivi dans la foulée par Karsten Nohl. Lorsque les casseurs de protocoles sans fil passent après le Directeur Général d’une institution Française, c’est le signe indiscutable que le monde de la sécurité numérique « active » a su se légitimer. Le hacker déplace désormais Ministres et Hauts Fonctionnaires.

<b> C’est également là la marque d’une autre évolution </b>que suivent d’ailleurs les organisateurs de ces manifestations. Persister à parler de sécurité à un public de plus en plus large, expliquer, vulgariser pour combattre les idées simplistes, voir populistes sur les cyber-jihadistes pédo-terroristes fraudeurs. Et répéter inlassablement le message « la sécurité est une attitude, pas une recette de cuisine » pour tenter d’opérer peu à peu un lent glissement des métiers de la sécurité vers une fonction purement stratégique et politique, moins « opérationnelle », moins « cambouis ». Verra-t-on un jour des hommes-sécu au conseil d’administration d’une entreprise et ainsi justifier l’existence du sigle « CSO » totalement vide de substance en Europe ? Pourra-t-on espérer que la profession puisse enfin avoir voix au chapitre lorsqu’il s’agira de légiférer ? De LCEN en Lopsi, de Loppsi en loi sur le Renseignement (qui fait entrer la barbouzerie dans le droit commun et associe les technologies de l’information à un far-west qu’elles n’ont jamais été… hormis peut-être dans les fantasmes caporalistes d’une minorité en mal de pouvoir.

Ce sont les “datajournalistes” de l’agence Associated Press qui ont découvert le pot aux roses. Le Gouvernement Fédéral US, masquant ses activités derrière des compagnies aériennes bidon, effectue une surveillance aérienne particulièrement active au-dessus des principales métropoles des Etats-Unis.

Certes, la chose n’est pas particulièrement nouvelle. La police des frontières US emploie force hélicoptères et Cessna pour surveiller ses frontières, et plus particulièrement la Frontera. Mais cette fois, s’inquiètent nos confrères Jack Gillum, Eileen Sullivan et Eric Tucker, les choses commencent à aller trop loin. Car ces aéronefs ne survolent plus uniquement des kilomètres de désert et ne se contentent plus d’une simple surveillance optique ou infra-rouge. Ces avions peuvent être équipés de systèmes d’écoute des communications téléphoniques, ou du moins de suivi des traces IMEI. Et comme ce genre d’appareil ne fait pas dans le détail, ce sont tous les citoyens des USA qui sont, ou peuvent être, ainsi mis sous surveillance « par défaut ».

Cryptome,pour sa part, se contente de publier plusieurs relevés ADSB montrant les trajets d’aéronefs au-dessus de Minneapolis, New York, Dallas, Chicago, Phoenix, Seattle, Baltimore… bref, la chasse ne concerne plus que quelques milliers de travailleurs frontaliers. Et de dresser la liste des indicatifs des appareils surpris en train d’espionner les citoyens. C’est une version moderne, plus dynamique du petit jeu « spot the fed » qui, lors des conventions de hacking, consiste à dénoncer et mettre en lumière l’activité d’un agent Fédéral sous couverture venu assister aux conférences.

Détecteurs Imsi-catcher et clefs RTL-SDR

Fort heureusement, il commence à exister certains outils accessibles au public, qui facilite la détection de cet arsenal de barbouzes. La localisation et le traçage en temps réel d’un appareil en vol est très aisément effectué grâce à l’usage de petites clefs USB initialement étudiées pour recevoir la télévision numérique hertzienne. Certaines de ces clefs (celles qui utilisent un jeu de composants Realtek bien particulier) peuvent couvrir de 25 à 1700 MHz, spectre dans lequel se trouve l’un des systèmes de géopositionnement des avions du monde entier, l’ADSB (sur 1090 MHz). Le coût d’un tel outil de contremesure est également « tout public », puisqu’il ne dépasse pas 10 à 50 euros selon le perfectionnement de son circuit d’antenne.

Cette parade anti-flicage prend de multiples aspects. Déjà, lors des récentes manifestations de protestation contre la loi sur le Renseignement, des appliquettes mobiles destinées à détecter les IMSI Catchers de la police Française (robots de traçage de téléphones mobiles) se sont montrées très efficaces, prouvant que, loi ou pas loi, encadrement ou pas, une barbouze peut échapper totalement au contrôle assidu de l’Etat, et que l’introduction dans le droit commun de ces pratiques ne finit par servir qu’un seul but : le renforcement d’une surveillance généralisée de l’individu. Et certainement pas à encadrer l’activité de services spéciaux dont les statuts et activités relèvent précisément de ce caractère « spécial ».

Cette réaction de techno-défense citoyenne est encore très timide et ne semble concerner que quelques geeks et une frange étroite de la presse d’investigation. Mais il est certain que le succès de l’Internet des Objets notamment facilitera de plus en plus le déploiement de tels outils de surveillance. De là à ce que le public non-technicien, en général, prenne conscience de ce systématisme panoptique et adopte peu à peu tant les outils servant à détecter (voir déjouer) lesdits outils de surveillance, qu’une habitude visant à préserver un semblant de vie privée … La sécurité est une attitude plus qu’une succession de recettes.

Que nos lecteurs soient rassurés, en France, jamais un avion ne nous surveillerait de la sorte. Pas plus d’ailleurs qu’un officier de police n’écouterait la moindre conversation téléphonique ou qu’une banque ne se ferait pirater. Jamais.

En ces temps de course au flicage volontaire, il fallait bien qu’un jour un passionné du buffer overflow découvre comment « planter » une Apple Watch (et par la même occasion d’autres équipements de la marque). L’information fait les grands titres du Guardian et rappelle les fork bomb et autres « phrases magiques » aboutissant au crash de certaines applications Microsoft, des séquences de touches provoquant des comportements inattendus de consoles de jeux (qui donc ignore à notre époque l’existence du code Konami ?), ou des suites d’ordres sans signification apparente aboutissant à un gel complet de l’équipement. On peut faire remonter l’histoire des commandes-suicide à l’époque de la succession d’ordres « AT » que Dennis Hayes lança pour perturber les modems « clones » de constructeurs refusant de payer sa licence d’exploitation.

Car l’attaque n’est pas plus complexe que ça : une simple chaîne utilisant un jeu de caractères tantôt arabes, tantôt graphiques, mal digérée par la gestion et la traduction en caractères Unicode. L’attaque Unicode, un grand classique dans l’empoisonnement des URL d’ailleurs. Du coup, la presse dans son ensemble s’émeut : on peut « planter » une Apple Watch ou un téléphone IOS avec un simple SMS comportant la chaîne démoniaque. L’exploit SMS, un autre vieux classique du FUD et de la fausse recherche sécurité que Sean, du Response Team F-Secure, résume en quelques mots : « That’s so 2008 »

Cette fois, il s’agit d’un exploit « dans la nature » visant 43 modèles de routeurs Wifi, et tendant de modifier leurs adresses DNS… avec les conséquences que l’on peut imaginer : redirection vers des sites compromis, interception de communication, vol d’identifiants etc. « Ce qui a commencé par un petit malware au code aisément lisible est en train d’évoluer, comportant notamment certaines parties camouflées » explique en substance le chercheur Kafeine sur son blog.

Cet outil de détournement massif visant les routeurs grand-public par le port Wan ne cible que les usagers du navigateur Chrome. Une série de redirections sur des sites compromis permet, via une attaque CSRF, de déterminer le type de routeur utilisé, et d’en exploiter certaines failles (CVE-2015-1187, CVE-2008-1244, CVE-2013-2645). Cette situation perdurerait depuis plus d’un mois et aurait potentiellement mis à mal plus d’un million de routeurs. Mais le Guardian n’y a pas consacré sa première page, l’Exploit-kit a encore de beaux jours devant lui.

Il ne se passe plus rien depuis longtemps, sur la liste « full disclo ». Plus rien sauf peut-être quelques annonces discrètes qui font rapidement les grands titres de la presse en ligne. Ainsi ce récent message de Jose Antonio Rodriguez Garcia, de l’Université privée « Europea » de Madrid. Selon ce chercheur, plus d’une soixantaine de failles affectent des routeurs Wifi couramment utilisés. Cela va de l’antique WRT54G à certains Netgear et Zyxel, en passant par des Belkin, Dlink et autres équipements grand public. La recherche de faille sent le fuzzing à plein nez. Attaques XSS, CSRF, dénis de service, escalade de privilèges, évasion d’authentification, failles uPnP… tout y passe ou presque.

Ce genre d’alerte sensationnaliste ne nous apprend que peu de choses. Oui, les firmwares des routeurs d’entrée de gamme ne sont pas des modèles de sécurité. Oui, ces bugs et erreurs d’intégration auront la vie dure, car bien peu d’usagers appliquent avec conscience les mises à jour de sécurité (pis encore, peu d’usagers savent comment effectuer ce genre de mise à jour). La chose est moins pardonnable lorsque ledit routeur est vendu, fourni et administré par un opérateur télécom. C’est le cas, notamment, de quatre modèles différents portant la marque Observa Telecom ou d’un modem Sagem Fast 1201 qui figure au catalogue d’Orange.

Le niveau de risque associé à cette alerte demeure cependant relativement bas, limitant l’exploitation de ces failles à des attaques ciblées et effectuées soit dans le périmètre Wifi couvert par l’appareil, soit via un accès au réseau local personnel, les attaques distantes par le port Wan ne constituant pas la majorité des cas recensés par l’étude.