mars, 2016

Déposer quelques « amicus brief » pour soutenir Apple face au FBI, c’était bien. Mais offrir un outil équivalent à ses propres usagers, c’est mieux, viennent de réaliser subitement trois acteurs majeurs du monde Internet. Une prise de conscience brutale que nous révèle un article du Guardian, malgré les liens plutôt « resserrés » qu’entretiennent certains, notamment Google, tant avec la NSA que la CIA.

Le chiffrement, sur Whatsapp, n’est pas franchement une nouveauté. Fin 2014, les échanges épistolaires étaient garantis par Textsecure, décision d’autant plus surprenante qu’à l’époque, « nouvellement racheté » par Facebook, grand collecteur de données devant l’Eternel Numérique, Whatsapp risquait de venir grossir le flux de données et métadonnées convoitées par Mark Zuckerberg, un boulimique du genre. C’est également fin 2014 que Facebook s’offrait un accès en .onion. Savoureux paradoxe d’ailleurs que celui d’un réseau social cyber-exhibitionniste qui revêt les atours des sectateurs de l’anonymat intégral.

Ce mouvement en faveur d’un chiffrement des communications ne serait-elle pas essentiellement une posture marketing, dictée par l’actualité d’une part, et par la montée croissante de logiciels et réseaux concurrents d’autre part ? Et ce, particulièrement dans le domaine de la messagerie instantanée vocale. Tox.im, Bleep de Bitorrent, Silent Circle et plus récemment Wire, une « I.M. » chiffrée qui existe depuis 2013, fondée par un ancien de Skype, mais qui vient tout juste d’étendre le chiffrement aux échanges « voix ».

Le « global village » est-il en train de plonger dans un océan d’anonymat ? Rien n’est moins certain. Car si la transmission des données tend à recourir aux mécanismes d’embrouillage, camouflage et autres moyens assurant un certain niveau de confidentialité, le modèle « gratuit contre données personnelles » fonctionne toujours à plein régime. On peut ainsi légitimement se demander pourquoi Telegram, chiffré du sol au plafond, collecte le carnet d’adresses de ses abonnés, ou pour quelle raison autre que la dés-anonymisation la quasi-totalité de ces services de messagerie exigent une adresse email publique de référence (mesure que l’on peut certes contourner si l’on maîtrise certaines arcanes techniques).

La protection des contenus échangés, c’est un peu comme l’antivirus absolu, le firewall inviolable ou une protection contre les maladies prophylactiques : être sécurisé à 99%, c’est quand même être exposé. Etre plongé dans l’anonymat à 99%, c’est quand même être identifiable.

Darren Pauli, du Reg, rapporte les propos de Craig Smith qui, à l’occasion de la conférence Nullcon, a montré comment utiliser un nouveau type de vecteur d’infection virale : la sacro-sainte bagnole. Il y a, résume Pauli tellement d’informatique embarquée de nos jours qu’il est tout à fait envisageable de l’utiliser pour stocker des souches d’infection. Lesquelles attendront patiemment une visite chez le concessionnaire pour infecter ses ordinateurs. Une fois compromises, ces machines (essentiellement des valises de diagnostic et de réglage) pourraient bien modifier le comportement des ordinateurs de bord de tous les véhicules passant à portée de leurs connecteurs. Vision apocalyptique que ce monde dans lequel ne circuleraient plus que des Lada Niva, des 2CV, des « coccinelles » VW… bref, des automobiles sans intelligence intégrée.

Si le scénario d’attaque peut sembler un peu alambiqué, les travaux de Craig Smith n’en sont pas moins passionnants. Son UDSim (Unified Diagnostic Services Simulator) disponible sur Github, est à la fois un outil d’apprentissage, de simulation et de fuzzing des UDS (ordinateurs de bord). Des UDS chargés notamment de la gestion de l’injection de carburant, des systèmes de freinage ABS, du pilotage des boîtes de vitesse automatiques… de quoi transformer les hacks de Charlie Miller en comptine pour enfant.

Encore ceci n’est-il qu’une approche nécessitant l’équivalent d’un « accès console ». Car pour effectuer son apprentissage, UDSim devra demeurer connecté à la prise de diagnostic ODB2 durant une période plus ou moins longue.

Dans le domaine du sans fil, en revanche, les traces et les interceptions (voir les attaques par injection) ne nécessitent plus cette présence directe sur le ou les bus de données du véhicule. Une automobile moderne est aussi bavarde qu’un personnage politique en période de campagne : Wlan « WiFi », WCDAM/LTE, Bluetooth (soit grosso modo tout l’espace situé entre 2300 et 2700 MHz) sans oublier les quelques portions de spectre dans les bandes 700 et 800 MHz attribuées depuis 2009 par l’UIT aux « applications radio mobiles ». Un document de présentation technique, publié par Rohde et Schwartz, brosse à grand traits l’état du spectre UHF d’une voiture contemporaine. L’article en question se focalise essentiellement sur les mesures à prendre pour que l’électronique de bord ne soit pas perturbée par des signaux extérieurs, et n’aborde pas l’aspect sécurité numérique d’une attaque en déni de service ou par injection via des techniques apparentées aux « jumeaux diaboliques ». Pour un chercheur en sécurité, ces quelques 400 MHz sont un véritable terrain de jeu.

Histoire de noircir un peu plus le tableau, on pourrait ajouter que bon nombre d’équipements embarqués sont assez faiblement protégés contre des champs électromagnétiques puissants, quelle que soit la fréquence du champ en question. L’émetteur d’une radio locale ou du rayonnement d’un four à aluminium peuvent parfois « Dosser » le circuit d’allumage ou, moindre mal, déclencher de manière intempestive le fonctionnement des balais d’essuie-glace. Les phénomènes sont rares, mais assez préoccupants pour que des panneaux de signalisation préviennent les conducteurs d’un possible danger tout au long des autoroutes Françaises qui longent certaines usines métallurgiques.

Encore un article signé du Madrilène Jose Carlos Norte,cette fois-ci sur les méthodes de relevé d’empreintes numériques visant les usagers de TOR, le routeur-oignon. Norte ne recommande pas seulement une méthode, mais la concaténation d’une série de signes distinctifs. A commencer par les temps de réaction de la station de travail « cible » lorsqu’un script de montée en charge lui est soumis. D’autres scripts Java (activé par défaut sur les navigateurs TOR) fournissent des indications sur le type de souris utilisée (souris physique ou trackpad), sur la vitesse de défilement des pages ou de déplacement du curseur sur l’écran, sur le test de performance de la CPU ou le paramétrage précis de l’écran (taille des fontes, définition, rapport d’affichage etc.). Une sorte de « page PoC », baptisée UberCookie, regroupe l’ensemble des tests décrits par l’auteur.

L’Association Française des Prestataires de l’Internet (AFPI) publie les statistiques des sites à caractère illégal (pédopornographie, incitation à la haine…) ayant fait l’objet d’une signalisation par les Internautes. Sur 4875 contenus, 4616 retirés suite à des dénonciations anonymes effectuées via le site « point de contact ». Sur l’ensemble des liens envoyés à l’AFPI, 53,5% des signalements ont été considérés comme légitimes. Le nombre de signalements a littéralement doublé par rapport à l’an passé, et surtout 3786 URL hébergées en France (100% des sites illégaux) ont été retirées de la circulation. Les taux de filtrage sont moins efficaces lorsqu’il s’agit de serveurs situés à l’étranger : 97% pour le Japon, suivi par le Royaume-Uni (86%), la Russie (84%), le Canada (82%) et enfin les États-Unis (77%) précise le communiqué. Aucun pays membre de l’ex-URSS ou en Amérique du Sud n’est mentionné dans ce bilan.
Rappelons que les sites les plus « hors la loi », en migrant sur les réseaux chiffrés de type TOR, tendent à échapper progressivement à ce filtrage très partiel.

Les grands classiques sont indémodables : Avalanche de failles http et de trous de sécurité dans les consoles Web d’administration chez Cisco. Du côté des passerelles sans fil DPC3941 et DPC3939B tout d’abord, avec le colmatage du CVE-2016-1325. Un autre trou référencé CVE-2016-1327 est comblé (exploitable à distance) dans la famille des modems câble DPC2203. Le CVE-2016-1326, quant à lui, gomme un défaut de la console d’administration Web d’une passerelle sans fil résidentielle DPQ3925. Enfin, un risque d’attaque en déni de service ( CVE-2016-1312 ) menace les équipements de la série ASA 5500 CSC-SSM (Content Security and Control Security Services Module).

Jose Carlos Norte joue avec Shodan. Et parfois y trouve des pépites, notamment des accès telnet non protégés permettant d’atteindre quelques consoles de gestion de flottes de véhicules (transport, BTP…) de fabrication New Eagle (http://neweagle.net/). La pêche n’est pas miraculeuse (le chercheur avoue n’avoir recensé qu’environ 700 cibles) mais une fois la méthode définie, il devrait pouvoir être possible de l’étendre à toute une famille de systèmes comparables.

Ces OdRD (Objet des routes départementales) et, par la même occasion, des autoroutes de l’information, sont essentiellement des modules de contrôle embarqués, sortes de « mouchards » informatiques capables d’enregistrer et de retransmettre les données d’un ordinateur de bord, la position des véhicules, l’état de leurs batteries ou de leur système hydraulique, leur périmètre géographique de fonctionnement et certaines données physiques (température, accélération, chocs) liées au camion, autocar ou pelleteuse concerné etc. Or, qui dit interface de collecte et de transmission d’information pense intrusion et injection, voire plus simplement récupération de données profitables à toute entreprise concurrente. Norte reste très discret sur l’étendue de ce qu’il a lui-même pu ou n’a pas pu tirer de ces IoT mécaniques. Probablement pas de quoi mettre en danger la vie du conducteur, mais probablement assez pour profiler avec précision l’activité économique de l’entreprise propriétaire desdits véhicules.

Plus de 500 sites Web hébergent des pages de phishing Paypal, prévient Rick Wanner dans le quotidien du Sans. Ces sites sont actuellement hébergés chez Hostgator, un hébergeur Texan

Rustine d’urgence pour plusieurs outils McAfee (A.V. , IPS, DLP…), qui comble une faille capable de désactiver les programmes de protection. Son exploitation nécessite toutefois des droits « admin » sur la console

Whitfield Diffie et Martin Hellman, deux personnages du panthéon de la cryptographie moderne, se sont vus attribuer le « Turing Award » 2015 pour l’ensemble de leurs travaux. Cette distinction s’accompagne d’un prix d’un million de dollars. Parmi les précédents lauréats, on compte Vinton Cerf, Marvin Minsky, Dennis Ritchie, Niklaus Wirth, Douglas Engelbach ou le trio Rivest- Shamir-Adleman

Emet, l’outil gratuit de contournement de failles édité par Microsoft, a été lui-même vulnérable à une attaque capable précisément de désactiver Emet et ainsi ouvrir la voie à des vulnérabilités non corrigées. Cette faille pudiquement désignée par « EAF/EAF+ pseudo-mitigation performance improvements » a été comblée dans la version 5.5 de l’antimalware