juillet 31st, 2015

Un groupe de chercheurs du MIT et du Qatar Computing Research Institute (QCRI) sont parvenus, par simple analyse de l’empreinte du trafic établi, sans chercher à déchiffrer le contenu de l’information véhiculée, à déterminer avec une précision de 88% le service auquel est connecté un internaute utilisateur de l’Onion Router. Un article du MIT décrit en termes simples la manière dont se déroule l’opération.

Tor, réseau d’anonymisation, utilise une infrastructure qui met en œuvre une succession de routeurs, chacun ne connaissant que le numéro IP de son correspondant et de son destinataire. Alice expédie, par exemple, une requête http à destination d’un serveur Bob quelconque. Cette requête est tout d’abord chiffrée plusieurs fois consécutivement, puis récupérée par un serveur d’entrée –le « garde ». Lequel garde élimine la première couche de chiffrement, et transmet la requête au serveur suivant. Et ainsi de suite, chaque serveur « pelant » couche après couche les chiffrements successifs jusqu’à ce que la porte de sortie soit atteinte et puisse envoyer la requête totalement déchiffrée à Bob. Cette lasagne de chiffrements et de protocoles, cette succession de ruptures qui rend impossible toute comparaison de données entrantes et sortantes dans le trafic des routeurs, interdit toute remontée à la source d’une requête.

Mais un attaque « man in the middle » conduite par Eve demeure possible, expliquent les chercheurs. Si l’on installe un serveur « garde » sur Internet, et compte tenu de la densité du trafic qui caractérise Tor, on a toutes les chances pour que ledit serveur soit utilisé par plusieurs usagers. Il suffit alors d’analyser le volume de données que provoque une requête, d’analyser son flux –et non pas son contenu- le rythme et la vitesse de la réponse, pour établir une sorte de profile-type du service contacté. Un Web-FTP ne présente pas la même empreinte ni le même rythme que la consultation d’un site de vente aux enchères (légal ou non), qui eux-mêmes n’auront rien à voir avec les échanges de « seed » d’un réseau P2P. C’est donc en tâtant le pouls de la liaison, sans même avoir la moindre possibilité de lire le contenu, que le « garde » peut deviner si le requérant et en train de se plonger dans la lecture d’un magazine Web ou négocie l’intégrale des œuvres de Justin Bieber sur un dangereux site d’échange.

La parade est simple, expliquent les chercheurs. Il suffit de faire en sorte que les flux soient tous identiques, quitte à les « fourrer » avec des données sans signification dont le seul rôle sera de masquer les irrégularités de débit et ainsi supprimer toute possibilité d’analyse d’empreinte. Solution purement technique dont le principal inconvénient serait une nette augmentation du débit et une diminution sensible de la bande passante, du moins entre le garde et l’usager et le garde et le second nœud de routage. Notons également au passage que, s’il est possible de deviner qui Alice est en train de contacter, rien ne laisse supposer dans le principe de l’attaque que Eve soit capable de forcer une Alice précise à se connecter à son « garde » compromis. L’exercice de divination est donc d’un intérêt relativement limité.

Pour en revenir à la remédiation suggérée par le MIT, l’on peut préciser que cette technique du « texte vide » destiné à éliminer toute possibilité d’analyse des métadonnées est en usage depuis plus de 50 ans dans le secteur des transmissions radio militaires. Les « number stations » soviétiques ou les messages de Radio Londres par exemple, chargées généralement d’informer les agents en opération, émettaient en permanence, mélangeant messages vides et communications réelles, dans le seul but d’interdire toute association entre le volume de données transmises et un éventuel regain d’activité des agents de renseignement.

Onstar est une entreprise de prestation de service en réseau destiné aux automobilistes. Filiale de la General Motors, il est logique que ledit service soit répandu sur les véhicules de la marque, et notamment Opel en Europe.

C’est ce service qui a fait les frais des recherches de Samy Kamkar telles que décrites par nos confrères de ComputerWorld ou de Wired et qui feront l’objet d’une présentation à la prochaine DefCon.

Kamkar a développé une sorte de mallette à la « P0wn Plug », baptisée avec à-propos 0wnStar, dont le rôle est de fournir toutes les informations nécessaires à la conduite d’une attaque « man in the middle ». La recette de 0wnStar est simple : Une pincée de Raspberry Pi, un zeste de carte GSM, saupoudrez avec un mini-routeur Wifi, alimentez le tout, servez chaud. Lorsque l’intrus est parvenu à s’insérer dans la chaine de liaison qui relie le véhicule au service Onstar, il est capable d’accéder à toutes les commandes et informations gérées par le service. Et à commencer par localiser la voiture, télécommander l’ouverture des portes, la faire démarrer à distance. Une courte séquence vidéo tournée par l’auteur explique sans trop de détails les principales fonctions de sa mallette secrète.

Encore un hack de voiture, après le coup médiatique de Charlie Miller ? Bien plus que ça en fait. Déjà, par le passé, d’autres conférenciers de la BH, DefCon ou CanSecWest sont parvenus à détourner des services analogues, à tel point que tout ça frise le banal. Non. Ce qui mérite l’attention du public, cette fois, c’est le travail amont effectué par Kamkar, et surtout ses efforts de vulgarisation en matière de sniffing radio, de décodage des types de modulation utilisés, d’analyse et d’extraction de données transportées par des liens HF… la conférence que donnera Kamkar sera un véritable cours sur l’usage des outils de hacking électromagnétique et sur les différents usages que l’on peut faire de sa fameuse 0wnStar. Onstar, malgré les nombreuses erreurs d’intégration qui ont permis cette intrusion, n’est jamais qu’un prétexte pour montrer qu’il est imprudent de vouloir superviser une flotte de véhicules sans totalement verrouiller et les liaisons GSM, et les réseaux Wifi, Bluetooth ou autres qui peuvent être utilisés dans une automobile. Le métier d’intégrateur dans le secteur des transports a encore beaucoup à apprendre en matière de sécurité informatique.

Les choses qui font boum et qui tuent, aux USA en général et dans les états de l’Ouest en particulier, sont élevées au rang de religion, avec son église (la NRA) et sa bible, le deuxième amendement. Alors quand Runa Sandvik et Michael Auger, deux chercheurs en sécurité, parviennent à hacker le viseur « informatisé » d’un fusil de précision et en publient les résultats via Wired, la communauté des red-necks, survivalistes et autres va-t-en-guerre frise le nervousse braikedonne. Et la presse d’imaginer des armes de guerre rendues folles par des pirates informatiques, capables de défourailler tous azimuts.

Las, le véritable sujet n’est pas là, et le sensationnalisme occulte le véritable but de la recherche, qui se résume en trois points :

– il doit exister des limites à l’Internet des Objets,

– la course à la gadgetisation exige de la part des intégrateurs des compétences qu’ils ne possèdent pas et qui nécessitent un apprentissage plus long que leurs « time to market », et

– la découverte d’un défaut par une tierce partie demande un minimum de considération et un temps de réponse rapide. Surtout s’il s’agit d’armes à feu.

–
De manière lapidaire,la lunette de visée conçue et commercialisée par TrackingPoint depuis 2011 repose sur un Linux embarqué. Lequel système filme la cible, détermine le point d’impact, déclenche lui-même le tir lorsque la visée est correcte (sous contrôle du tireur), et prend en charge les paramètres de tir tels que la vitesse du vent, la distance de la cible, la charge de poudre et autres précisions techniques.

Il va de soi qu’ajouter un lien Wifi sur un tel système d’arme et, de surcroît, y accoler un mot de passe par défaut, ouvre la porte à tous les détournements possibles « for fun and profit ». Mais ce n’est pas la seule erreur d’intégration commise. Les variables de tir ne sont en aucun cas limitées par des points de consigne, c’est là pourtant un principe de base de tout système d’automatisation, notamment dans le but d’éviter des emballements. L’un des chercheurs indique notamment qu’il lui a été possible d’indiquer au fusil qu’une balle contenait 72 livres de poudre. On imagine la taille de l’étui. Peu de limite également dans le débattement maximal de la lunette, qui peut accepter des angles de correction relativement importants.

Mais le dernier bug, et non l’un des moindres, semble être le temps de réponse (ou de non réponse) de l’armurier lorsque les deux chercheurs ont tenté de faire connaître le résultat de leurs travaux …