octobre 27th, 2015

Deux failles affectant TrueCrypt ont été colmatées dans VeraCrypt . Le bulletin d’alertes précise que les trous de sécurité portent les immatriculations CVE-2015-7358 et CVE-2015-7359 (deux élévations de privilège, aucune autre précision dans la base CVE)

Tavis Ormandy, dans le cadre du « projet Zero » du Google Security Team, poursuit sa chasse aux failles dans les produits Kaspersky . Sourires crispés et remerciements de la part de l’éditeur d’antivirus

Les plus récentes statistiques du « Departement of Justice » US situent aux environs de 18 millions le nombre de personnes victimes de vol d’identité pour la seule année 2014, soit 7% de la population âgée de plus de 16 ans. Un cinquième de ces victimes auraient fait les frais d’une tentative de détournement bancaire

Le piratage des serveurs de l’OPM revu à la hausse. Outre les 21,5 millions de numéros de sécurité sociale récupérés par les intrus, ce ne serait pas 1,1 mais 5,6 millions d’empreintes digitales de fonctionnaires US qui auraient été également subtilisées.

Il existe pourtant quelques hacko-sceptiques, dont certains parviennent même à décrocher une page dans Scientific American, ainsi David Pogue qui signe « Pourquoi le hack d’une voiture est pratiquement impossible ». Le contenu de l’article peut faire sourire plus d’un spécialiste sécurité. Pourtant, les arguments sont intéressants et méritent d’être examinés.

– Les chercheurs (ndlr Charlie Miller et Chris Valasek) qui ont réalisé ce hack ne pourraient plus le faire aujourd’hui, la faille a été immédiatement comblée par le constructeur

– Ce sont des chercheurs, pas des pirates, disposant d’un savoir et de moyens hors de portée du « vulgum truandus »

– L’affaire a été montée en épingle par des journalistes en mal de sensationnalisme

Ne retrouve-t-on pas, dans ces propos, les mêmes arguments que l’industrie informatique employait il n’y a pas 10 ans ?

– « Dormez en paix, les trous ont été comblés, et d’ailleurs personne ne s’est plaint » était un moyen comme un autre pour que les attentions soient polarisées sur la consolidation d’un logiciel plutôt que sur l’existence probable d’autres défauts… l’avenir a prouvé que la sécurité « by design » est une vue de l’esprit que le patch attire le trou, qui entraîne le patch, qui attire le trou…

– Le moto « Les chercheurs ne sont pas des pirates et leurs travaux sont à des lieux des capacités intellectuelles des malfaiteurs » rejoint, par exemple, les assurances d’absolue sécurité des premiers réseaux « sans fil », trop complexes à écouter, nécessitant des moyens trop importants… or, il n’y a jamais de moyens trop importants, plutôt des cibles dont les espérances de gain justifient précisément l’importance des moyens. « Donnez-moi un levier bancaire, et je soulèverais n’importe quel protocole de sécurité », est le principe fondamental du cyber-Archimède contemporain. D’ailleurs, les constructeurs automobiles l’ont bien compris, eux. Voir le précédent Volkswagen qui menaçait de poursuites Flavio Garcia s’il publiait quoi que ce soit sur les failles de l’antidémarrage Megamos. Ajoutons au passage que, le jeu des sous-traitants et des pressions sur les prix aidant, ces constructeurs utilisent les accessoires d’un nombre de plus en plus restreint d’équipementiers. Mondialisation et dumping sont les deux mamelles du fuzzing. Or, le fuzzing est l’arme favorite des blackhats, qui y voient un moyen de rentabiliser le plus possible l’exploitation d’une faille en l’étendant à tous les objets semblables. Ce que David Pogue (et tant d’autres) oublie, c’est l’évolution de la cyberdélinquance qui, du « script kiddy », est devenue d’obédience mafieuse, puis, lentement, s’est étendue aux pratiques courantes de la guerre économique industrielle (petits hacks et espionnages entre amis) puis aux Etats-Nation. Ne perdons pas de vue que l’automobile et son réseau routier associé, c’est aussi une infrastructure Scada.

– « La presse, caisse de résonance du sensationnalisme » est l’un des arguments populistes les plus en vogue, car il ne nécessite que peu d’explication. Une simple affirmation ne constituant pas vraiment une preuve… Le journaliste bouc émissaire est également un élément de diversion, un report de culpabilité sur un acteur tiers qui n’est pas en rapport direct avec le problème.

Mais l’argument le plus contradictoire qu’avance Pogue est certainement : « lorsque j’entends ce genre de propos, j’ai envie de dire à ces reporters « pirate-moi ça » en leur présentant ma vieille Honda modèle 2009, dépourvue de la moindre liaison cellulaire ». Outre le fait que ce n’est pas au journaliste d’avancer la preuve de ce qu’il rapporte, mais au chercheur qui en fait l’annonce, cet argument montre à quel point le problème de fond échappe à l’auteur, du moins dans la première partie de son article. Miller ne condamne pas l’attitude des professionnels de l’industrie automobile, mais alerte sur l’emprise croissante de l’Internet des Objets, et sur les erreurs d’intégration parfaitement prévisibles à venir. Car le germe est dans l’œuf, tout comme le germe du botnet est dans Internet et celui du buffer overflow est dans le noyau ou l’application.

L’article de David Pogue ne doit surtout pas faire l’objet de rejet ou de condamnation ex abrupto. Il est intéressant car il reflète l’incrédulité générale, et notamment la confiance aveugle qu’une majeure partie de la société de consommation ressent spontanément envers les vendeurs censés veiller à leur bien-être.

Beaucoup de bruits, tweets et articles autours du « hack de la montre Fitbit, le retour » avec, dans le rôle principal, Axelle Apvrille qui avait déjà donné sur le sujet une passionnante conférence lors de la dernière « Hack in Paris ». Cette fois, c’est à l’occasion de HackLU, la manifestation infosec Luxembourgeoise, que la chercheuse Française remet le couvert, et démontre comment utiliser ladite montre sportive pour qu’elle serve de relais à un malware et puisse injecter un code (troyen par exemple) sur l’ordinateur personnel servant à synchroniser les données du bracelet.

Le Register détaille l’attaque, et Bruce Schneier, qui ne s’étonne pourtant pas souvent, lâche un « This is impressive » qui en dit long.

Les chercheurs en sécurité pourraient bien passer pour de dangereux épandeurs de poil à gratter en chantonnant « l’IoT est aussi sécurisé qu’un spectacle du cirque… dans la fosse aux lions. Seulement voilà, les vendeurs ne montrent que le cirque dans son ensemble, et oublient de mentionner la raison pour laquelle le prix de la place est si peu cher ». Dans son édition d’Octobre, Spectrum, la très sérieuse revue de l’IEEE publie un article intitulé « Voiture connectées, des chercheurs prouvent que les automobiles peuvent être tracées ». Jonathan Petit, de Security Innovation, en collaboration avec des Universitaires de Twente (Hollande) et Ulm (Allemagne) s’amuse à fliquer les transmissions sur 5,9 GHz (haut de bande WiFi 5 GHz), lesquelles transmissions ne sont même pas chiffrées, affirme l’auteur de l’article. Une aubaine pour les collecteurs de données et amoureux du big data appliqué à l’automobiliste.

Plus exactement,Jonathan Petit s’est penché sur les dialogues des protocoles V2V et V2I, dont le rôle est de prévenir le conducteurs des risques immédiats : feux passant au rouge ou panneau stop, véhicule arrivant en sens inverse, virage serré, route en travaux, hauteur limitée, ralentissement ou bouchons, passages protégés… ces signaux sont émis soit par d’autres véhicules et donc implique que toutes les automobiles soient équipées d’un système « Vehicule to vehicule » pour être efficace, soit par l’infrastructure routière. Et ces signaux agissant pour le bien commun et n’ayant rien de franchement secret, il n’a pas été jugé utile de les chiffrer jusqu’à présent.

Sauf que ce manquement s’avère relativement indiscret et pourrait être employé à des fins bien moins protectrices par des services de police d’Etat ou privées, des collecteurs de données professionnels et bien entendu les compagnies d’assurance et industriels du secteur automobile. La liberté de collecter, c’est simple comme un sniffer.

L’histoire pourrait bien ne pas s’arrêter là. V2I (voiture à infrastructure) n’en est encore qu’au stade du projet et rares sont les constructeurs, tel General Motors, à avoir annoncé une véritable intégration des composant V2x dans leurs modèles. Mais les « MoU » publiés autour de V2I mentionnent la possibilité d’actionner les feux d’avertissement et les freins d’une automobile en cas de vitesse trop élevée et de proximité d’un feu tricolore passé au rouge. Que le protocole soit chiffré ou non, il y a fort à parier que ce genre de possibilité puisse faire l’effet d’un spoofing aux effets pour le moins percutant.