février 16th, 2016

Hack IoT encore et toujours, avec la présentation d’une plateforme d’analyse baptisée HardSploit d’Opale Sécurité. Considérablement plus évoluée qu’une simple « bus pirate » ou qu’un OpenBench, bien moins lourde et moins coûteuse que des outils d’analyse du commerce, cette petite carte n’est en fait qu’un FPGA (Altera) bardé de buffers, histoire de ne pas griller les entrées-sorties du composant principal. Toute l’intelligence de l’outil est en fait située dans le logiciel, ou plus exactement dans les bibliothèques de composants que peut émuler ou adresser le FPGA. Depuis son apparition dans le monde de la recherche (Hitb, BlackHat), bien des blogueurs ont assimilé cette plateforme à une sorte de « Metasploit matériel ». Le nom y est certainement pour quelque chose. Mais il serait plus exact de faire un parallèle avec GnuRadio. Car Hardsploit est avant tout un environnement de description graphique, une sorte de jeu de construction qui consiste à associer des signaux et des entrées-sorties de composants… et qui, une fois le travail achevé, va générer un VHDL qui configurera le FPGA. Tout comme le placement de fonctions de traitement de signal dans GnuRadio génère à son tour un code python directement exploitable. Et tout comme avec GnuRadio, l’absence d’un module peut être comblée par l’utilisateur lui-même, tâche plus ou moins complexe en fonction du composant à décrire. La prise en compte d’une eprom I2C absente du catalogue, par exemple, n’est guère plus complexe que ce que demande l’outil de création de composant d’un EDA (outil de CAO électronique) : datasheet d’un côté, souris-clavier de l’autre. L’exercice devient plus complexe lorsqu’il s’agit d’un VLSI « custom design ».

HardSploit cumule à la fois les fonctions d’analyseur logique, de scanner, de sniffer, de capture de signaux ou de contenu mémoire « au fil de l’eau », et ce quel que soit le bus ou l’entrée-sortie considérée : I2C, SPI, Jtag, bus parallèles et séries traditionnels ou propriétaires etc. Les protocoles qui n’existent pas ne demandent qu’à être décrits, et les développeurs d’Opale encouragent leur communauté d’utilisateur à contribuer à l’enrichissement de la bibliothèque.

Pour près de 300 Euros/Dollars, cet environnement s’adresse « officiellement » aux professionnels de l’Internet des Objets qui souhaitent analyser et renforcer la sécurité intrinsèque de leurs propres équipements. En réalité, il s’agit d’un outil de reversing de second niveau, qui sera apprécié par les chercheurs, mais également par les entreprises curieuses de mieux connaître les secrets de certaines productions concurrentes. Cette orientation laisse clairement entrevoir les évolutions prochaines de HardSploit : la génération de transitoires ou de niveaux intermédiaires sur les lignes de bus, sur les alimentations, sur les signaux d’horloge, et autres astuces propres aux « side channel attacks ». Ces fonctions font d’ores et déjà partie des panoplies de produits directement concurrents. On ne peut s’empêcher de penser à ChipWhisperer (USA) ou à GIAnT (Generic Implementation ANalysis Toolkit) (projet « ouvert » soutenu par le Ministère Allemand de l’Education et de la Recherche). L’on pourrait vivement souhaiter une aide ou un encouragement de la part d’une institution telle que l’Anssi. Entre durcissement des Objets de l’Internet et nécessités d’un OS souverain, le premier de ces deux sujets semble légèrement plus immédiat …

La Cité des Anges, son trottoir des célébrités, son « Presbyterian Medical Center » dont les ordinateurs viennent d’être victimes d’une infection généralisée par crypto-virus à mutation ransomware. Un cas navrant mais isolé qui cependant fait écrire à l’équipe McAfee « les ransomwares ciblent le secteur hospitalier », sur le ton de « on vous l’avait bien dit ». Certes, cela fait des années que les prédications catastrophiques des rapports sécurité de fin d’année nous promettent une hécatombe Scada (les hôpitaux en faisant partie). Mais de là à en conclure une vérité générale…

L’affaire fait pourtant grand bruit. Le Reg, le HNS, Graham Clueley et bien d’autres encore s’émeuvent des quelques 3,6 millions de dollars de demande de rançon exigés par les data-ravisseurs. Dans un pays qui ne connaît de médecine que privée et fort liée à un business-model entièrement axé sur la rentabilité (épisodes de Dr House exceptés), on conçoit que cette péripétie inquiète. Espérons que les sauvegardes de l’établissement étaient à jour.

« Hasard du calendrier »qui tombe à point nommé, la très sérieuse et très Européenne Enisa (Agence Européenne pour la sécurité des réseaux et des systèmes d’information), s’est peut-être penchée avec attention sur l’amendement déposé par Madame Kosciusko-Morizet, lequel réclamait à cor et à cris la généralisation des portes dérobées au sein des outils de chiffrement Français. Et de publier un memento qui rappelle les fondamentaux d’un chiffrement dénué de toute vulnérabilité by design.

– Il n’existe aucun système de clefs de séquestre qui soit fiable,

– même s’il est utilisé par des contrevenants à la loi, le chiffrement demeure l’une des seules protections garantissant une activité économique basée sur la confiance des outils de communication,

– Les vulnérabilités qui ont été précédemment laissées suite à des décisions politiques ont toutes été découvertes et exploitées pour lancer des attaques informatiques. Par conséquent, une politique qui limite l’usage du chiffrement au sein des produits du commerce peut mettre à mal l’industrie des Technologies de l’Information.

Bruce Schneier revient sur le sujet au cas bien improbable où quelques élus n’auraient pas très bien compris : compte tenu de la pléthore d’outils de chiffrement existant de par le monde, en compromettre un dans le lot ne servirait qu’à encourager l’usage des autres. Le père de Blowfish/Twofish vient d’achever un rapport mondial sur l’état des outils de chiffrement que l’on peut résumer ainsi :

– Plus de 865 logiciels et matériels de chiffrement ont été recensés dans le monde, en provenance de 55 pays (les deux tiers n’étant pas d’origine US)

– L’Allemagne,à elle seule, en produit 112, suivie de près par la Grande Bretagne, le Canada, la France et la Suède.

– Si plus de 60% des outils de chiffrement proviennent des USA et de ces 5 autres pays, des Etats de plus petite « envergure numérique » possèdent également leur propres moyens : Algérie, Argentine, Belize, Iles Vierges, Chili, Chypre, Estonie, Iraq, Malaisie…

– Sur les 546 outils « non US », 56% sont disponibles à la vente, 44% sont gratuits, 66% sont propriétaires, et 34% sont open source.