novembre, 2015

Patreon, site de financement participatif Britannique qui avait subi une attaque résultant en une fuite de données début octobre, voit ses clients menacés par des maîtres-chanteurs. « Payez ou nous révélons au public vos données personnelles et bancaires… » intime ce groupe d’escrocs qui semblerait être le même à s’être livré à ce genre d’exercice avec les clients Ashley-Madison. Hélas pour eux, la politique de chiffrement des données bancaires qu’affirment avoir déployé les responsables de Patreon rend excessivement improbable le fait que la moindre information bancaire puisse être obtenue. Les victimes potentielles, indiquent nos confrères de CSO Online, ne font preuve d’aucune inquiétude. Parfois, les black hats subissent des revers qui ne doivent rien aux vendeurs de produits de sécurité.

Pourquoi chercher des spécialistes du chiffrement pour éduquer les foules intégristes de tous crins alors qu’il suffit de reconditionner de véritables textes de sensibilisation à la SSI rédigés par des spécialistes ? C’est ce qui semble se passer, affirment des chercheurs du « Combating Terrorism Center » de l’académie militaire de West Point (USA). Il circule sur les sites, blogs et forums djihadistes depuis quelques temps un manuel de sécurité opérationnelle, expliquent-ils à Kim Zetter, du magazine Wired. Un manuel qui a été rédigé par Cyberkof, une très sérieuse entreprise de cyber-sécurité Doubaïote qui n’a bien sûr rien à voir avec les activités terroristes, mais qui présente l’avantage de rédiger ses « white papers » en langue Arabe. Wired en fournit une traduction « googletranslatée » qui mériterait franchement de faire partie des manuels de chevet de n’importe quel cyber-cadre itinérant.

L’on apprend du coup qu’il est conseillé d’utiliser :

– Tor ou Opera Mini Browser pour naviguer à l’abri des écoutes

– Utiliser les services VPN disponibles sur le Net

– Recourir à Hushmail, Tutanota et ProtonMail dans le but de correspondre secrètement (c’est probablement pour écarter ce risque que les inscriptions ProtonMail sont si difficiles à obtenir)

– Abandonner Skype et lui préférer Telegram, SureSpot, Cryptocat ou Sicher

– Télécharger Linphone, RedPhone ou FaceTime pour passer des coups de fil VoIP à l’abri des oreilles indiscrètes.

– Protéger les données locales avec TrueCrypt ou Microsoft Bitlocker

– FireChat ou Tin-Can plutôt que les SMS

– …. Et utiliser des mots de passes longs et complexes !

Des propos également tenus par tous les professionnels de la Sécurité y compris l’Anssi, les Cert A, IST, Renater …

En admettant même que la totalité des outils de sécurité susnommés soient « dé-durcis », on ne voit pas par quel miracle les semeurs de morts respecteraient ces interdits et ne recourraient pas à d’autres programmes de chiffrement plus résistants, voir même ne continueraient-ils pas à utiliser les anciennes versions garanties « backdoor free ». La guerre contre le chiffrement ne semble pas la réponse adéquate dans un tel contexte.

Mais poseurs de bombe et délinquants paumés en quête de rédemption religieuse commettent et commettrons toujours des erreurs de pratique, autant de pistes et opportunités en faveur du principal outil de lutte antiterroriste : le travail de renseignement sur le terrain.

Darren Pauli, du Reg , révèle que Virus Total (le scanner multi-moteurs en ligne) est sur le point d’ajouter une sandbox destinée aux applications Apple.

3 trous Adobe corrigés « hors calendrier » et, une fois n’est pas coutume, qui ne concernent pas du tout Flash Player. C’est Coldfusion qui est visé. Aucun exploit « dans la nature » n’a été repéré.

Xavier Mertens, (@xme lorsqu’il gazouille), reverser et analyste de malware réputé en Europe, signe, sur le journal du Sans, l’autopsie d’un virus-macro Word . Attention, la mise en page est faite à la diable et censure 80% du texte… un couper-coller de la page vers un éditeur est nécessaire.

La sphère politique internationale, suite aux attentats de vendredi dernier, a rapidement réagi en criant haro sur le chiffrement. A tel point que l’on aurait pu croire revenues les grandes heures de la DCSSI, du Wep 48 bits et de l’assimilation « vous chiffrez, donc vous avez quelque chose à vous reprocher ».

Depuis le début de la semaine passée, la rédaction de CNIS Mag a insisté sur l’absence totale de preuves techniques permettant d’affirmer que les outils de chiffrement avaient joué un rôle majeur dans ces terribles évènements, et qu’il ne s’agissait là que d’une instrumentalisation cynique de la part d’un quarteron d’élus (tous pays confondus) faisant le jeu des extrémistes. C’est également l’avis de Dan Froomkin, de The Intercept, lequel écrit en substance « plusieurs signes indiquent que les communications du réseau terroriste n’étaient absolument pas chiffrées ». Ceux-ci auraient même employé de simples SMS durant leurs échanges, et les informations tactiques relatives à leurs attaques (notamment le plan de la salle de concert) étaient stockées sans la moindre protection sur leurs terminaux mobiles. Techdirt publie un billet allant également en ce sens.

Au temps pour les adversaires du secret de la correspondance.

Cela ne sous-entend quand même pas que l’organisation Daech ignore tout des outils de chiffrement. Plusieurs sites témoignent du contraire, à commencer par ceux qui apparaissent depuis peu sur le Darknet. Mais c’est également le cas de toute organisation clandestine… ou entreprise commerciale jouant un rôle à l’International : chiffrer, c’est se protéger des vols d’identité, préserver des secrets de fabrication, parer l’espionnage de tractations commerciales stratégiques… Lorsqu’un gouvernement Européen tente de faire passer une loi « anti chiffrement » (à l’instar du projet Britannique « Investigatory Powers Bill »), cela pourrait bien être pour d’autres raisons comme par exemple accroître les capacités de surveillance intérieure (autrement dit celles de ses propres citoyens) ? Améliorer les moyens d’espionnage industriel ? Et chasser le terroriste et le crime organisé dans tout ça ? Sans doute. Le jour où des personnes qui n’hésitent pas à tuer par pure idéologie, religieuse ou non, ou encore des groupes qui orchestrent des réseaux mafieux se soucieront du respect des lois sur l’usage du numérique en vigueur dans le monde …

Carnegie Mellon précise, dans un communiqué officiel, que les propos de Roger Dingledine, directeur du projet Tor, sont inexacts et que les travaux de l’Université sur le contournement des mécanismes de protection de Tor seraient (sans l’affirmer précisément) la conséquence d’une assignation du FBI. Assignation à laquelle l’Université se doit de répondre, comme tout établissement alimenté par le budget Fédéral.

Rien dans ce communiqué ne nie clairement le fait que le FBI ait financièrement subventionné les recherches en question (ce qui serait d’ailleurs assez logique compte tenu du système économique qui régit la recherche universitaire US. Les chercheurs ne sont pas payés directement par le FBI, mais le département de recherche ne peut se permettre de travailler gratuitement).

Nul passage ne vient non plus nier le fait que l’établissement a travaillé sur un ou des moyens visant à intercepter des contenus transitant via le réseau chiffré.

Nous sommes NSA Free, clame Cisco, pour se dédouaner d’une photo compromettante parue dans un document Snowden. Et pour le prouver, nous convions tous nos utilisateurs à effectuer une revue de code grâce à notre « technology verification service », lequel prouvera notre bonne volonté et notre totale transparence, affirme en substance l’équipementier.

Quelques esprits chagrins feront remarquer que ce service est soumis à quelques restrictions à l’exportation, et qu’accessoirement, il est payant. Ajoutons à cela que se lancer dans l’audit d’un code pesant probablement plusieurs dizaines ou centaines de milliers de lignes relève soit des Ateliers Nationaux de 1848, soit d’un épisode particulièrement hard core de la série « Mission : Impossible » si l’on ne dispose pas des moyens et de l’infrastructure d’une Administration d’Etat ou de celles d’une grande entreprise.

9271 vulnérabilités majeures découvertes dans le firmware de 185 « objets de l’internet », principalement des routeurs, modems DSL/câble, téléphone IP, caméras de surveillance sous IP etc. C’est le résultat brut de l’étude signée Andrei Costin et Aurélien Francillon d’Eurecom avec le concours d’Apostolis Zarras de l’Université de Bochum.

Réduire l’étude de ces trois chercheurs en quelques chiffres ne rend pas justice au travail effectué. En fait, son aspect le plus intéressant porte surtout sur l’automatisation et le travail à grande échelle de cette chasse au bug, grâce à la mise en place d’un environnement d’émulation. La machine virtuelle est adaptée aux principaux systèmes et matériel du commerce, et les firmware chargés puis épluchés de manière dynamique les uns après les autres. Une sorte de « VM de torture » reproduisant au mieux l’environnement d’exécution.

Autre point important, cette recherche s’est limitée (sic) aux simples interfaces Web d’administration et de paramétrage qui sont en général intégrées dans le moindre des objets IoT. Et qui, pourrait-on ajouter, constituent le ventre mou de ces systèmes embarqués depuis des lustres. En d’autres mots, il n’est pas question ici des failles matériel, des trous Wifi/bluetooth/DECT, bref, de ce qui sort du volet « httpd » de ce travail. Il y a fort à parier que si l’analyse avait pu s’étendre à ces aspects, le nombre de défauts recensés aurait été probablement doublé. Mais ce genre de tests est nettement moins susceptible de pouvoir être automatisé.

Les armes de chasse sont classiques : Arachni, Zed Attack Proxy, w3af, ce qui n’interdit pas à tout chercheur souhaitant continuer ce travail d’y ajouter Metasploit ou Nessus. L’environnement lui-même, Qemu, a été retenu en raison du nombre important de processeurs supportés : Arm, Mips, Mipsel, Axis Cris, bFLT, PowerPC, X86 et même Nios II d’Altera. Certains cœurs échappent à ce crible, tels les processeurs spécifiques de Dlink ou un Risc 32 bits peu répandu, le Arctangent A5. Plus de la moitié des objets utilisant un ARM ont été vulnérables à un Chroot et une attaque Web, entre 17 et 21 % pour les systèmes à base de MIPS, et un peu moins de 30 % pour les IoT avec moteur Mipsel.

Les vulnérabilités les plus fréquemment rencontrées sont : XSS (5000 sur les 9271 recensées), manipulation de fichiers (1129), exécution de commandes arbitraires (938), ajout de fichiers (513), divulgation de fichiers (461), injection SQL (442)… La confiance dans l’IoT, ça se mérite.

Toutefois, précisent les trois chercheurs, il est des domaines où la sécurité est prise nettement plus au sérieux. C’est notamment le cas de boîtier de télévision payante, par câble ou satellite. Probablement en raison des conséquences de pertes économiques directes qu’un défaut de sécurité provoquerait immédiatement, certainement aussi conséquemment aux multiples hacks qui, depuis plus de 20 ans, ont conduit ces intégrateurs à s’engager dans une course au blindage antipirates. Comme quoi, c’est pas la sécurité qui manque, dans le domaine de l’Internet des Objets, c’est la menace financière.

Interview de Lena Sundström et photographies de Lotta Härdelin, ces deux journalistes Suédoises viennent de publier un article sur « l’homme Edward Snowden ». Coup de cœur de la rédaction