août, 2016

Blackhat 2016, Las Vegas. Ils avaient défrayé la chronique l’an passé en piratant à distance une Jeep Cherokee, allant même jusqu’à couper le moteur de l’automobile sans que le conducteur ne puisse faire quoi que ce soit. Ils rééditent leurs exploits en plus grand, plus fort, plus impressionnant. Ils, ce sont les deux enfants terribles du hack automobile, Charles Miller et Chris Valasek.

Pourtant, après le rappel de près d’un million et demi de véhicules par le constructeur, l’on aurait pu croire le firmware de l’ordinateur de bord relativement sécurisé. Cela n’a pas le moins du monde empêché Miller d’accéder au bus de la voiture, de prendre le contrôle de la direction assistée, d’accélérer, de freiner brusquement… voir de combiner ces trois actions simultanément. Négligence du constructeur ? Pas exactement. Cette fois, les deux chercheurs n’ont pas concentré leurs efforts sur la découverte de nouvelles failles, mais ont préféré travailler sur l’analyse des correctifs ajoutés par Chrysler, et sur les moyens de contourner lesdits patchs de sécurité. Un travail plus délicat, un scénario d’attaque moins « probable », mais qui prouve que les deux chercheurs sont capables de venir à bout d’un noyau « consolidé » sur des points très précis.

Blackhat 2016, Las Vegas. Qui donc mieux qu’un réseau social possède le plus d’informations possible sur une personne ? Si l’on élimine les fiches des barbouzes sur quelques personnages publics, il ne reste que les réseaux sociaux. Et c’est précisément ce que démontre John Seymour, alias Delta Zero, chercheur au sein de ZeroFox. Un visage poupin d’étudiant de premier cycle, mais un esprit d’un vieux renard de la sécurité, Seymour explique : Statistiquement, le « rendement au clic » d’un courriel d’hameçonnage frise les 40 %. Encore faut-il que l’email en question soit lu, que le fichier d’adresse soit conséquent pour espérer un bon ROI… en s’appuyant sur un réseau social, cette limite imposée du nombre de contacts potentiels disparaît. Plus de barrière antispam, un fichier qui s’accroît de manière exponentielle au rythme des contacts de chaque victime, et un contexte parfois assez limité pour que des maladresses de formulation puissent passer pour des contraintes d’écriture. C’est le cas notamment avec Twitter et ses 140 caractères très réducteurs. Voilà pour l’image générale. En adressant plusieurs milliers de personnes d’un coup et surtout quasi instantanément, la rentabilité explose, quand bien même le taux de clics tombe parfois en deçà des 30 %.

Mais n’importe quel utilisateur de Tweeter parvient aisément à détecter un bot… il suffit généralement de jeter un coup d’œil aux messages qu’il a l’habitude d’émettre. « Pas si le robot parvient à établir un dialogue sensé » rétorque Seymour. C’est là qu’intervient Snap_R (pour Social Network Automated Phishing with Reconnaissance), un outil inspiré de Tay, le compte Twitter de l’I.A. de Microsoft qui compte près de 156 000 followers. En combinant un peu d’analyse linguistique et textuelle avec un moteur d’I.A., Snap_R parvient à rendre le dialogue homme-machine relativement plausible. C’est là le premier pas d’un Black Hat virtuel capable de franchir les premières épreuves du test de Turing. Snap_R peut être téléchargé sur Github, à des fins purement technique et scientifique cela va sans dire. Ce code risque d’inspirer toute une génération de professionnels de la vente et de la promotion.