juin, 2017

C’est à Eurodisney encore, mais dans les salons (et l’immense tente) de l’hôtel New York, que se déroulera la 15ème Nuit du Hack. Les hostilités débuteront dès 10 heure du matin, avec l’ouverture des atelier Hacking for Kids (un espace d’éveil aux sciences et techniques qui ne connaît pas d’équivalent en France) et la conférence d’ouverture donnée par Freeman. Les interventions se suivront à un rythme et un niveau élevé jusqu’à 11H du soir. Citons, pêle-mêle, les « talk » de Gaël « Ratzilla » sur le hack des automobiles intelligentes (le chapiteau sera vidé, pour ce faire, d’un nombre incalculable de chaises), du vice-amiral Arnaud Coustillière sur le combat numérique, de Eliza Chelleng et Sumanth Naropanth qui hackent des « wearable » truffés de Bluetooth BLE, de Damien « Virtual » Cauquil qui lancera son appel du 24 juin sur le mode « Electroniciens de tous pays, unissez-vous car le hardware « fermé » doit être libéré ! ».

La palme de la pluridisciplinarité et de la collection de buzzwords revient sans l’ombre d’une hésitation à Renaud Lifchitz et à son intervention intitulée « Construisez votre cracker FPGA à bas coût sur une blockchain pour le fun et le profit ». Les fpga sont de plus en plus rencontrés au cœur des armes de test intrusif : la carte du Français Opale, Chipwhisperer, HardSploit, sans oublier leur usage massif dans la partie « pré-traitement de signal » des principales radio logicielles utilisées par les pentesteurs d’IoT et de réseaux UHF/SHF.

Parallèlement à ces conférences se dérouleront des ateliers techniques, aka « workshop ». On y parlera également beaucoup de radios logicielles, d’analyse vectorielle, de modulations numériques… et de voitures intelligentes comprenant quelques pépites de bêtises.

Le reste de la nuit appartiendra ensuite au « Zombies », concurrents du CTF qui s’affronteront au cours de la plus importante compétition de hack de France. Signalons à ce sujet qu’outre les épreuves traditionnelles purement « logicielles et réseaux », se déroulera un challenge essentiellement matériel, réservé aux possesseurs du « VirtualabsBlackBadge collector » vendu via le magasin en ligne de la manifestation. Enfin… matériel, mais pas que.

… auraient pu chanter Ella Fitzgerald et Sinatra. Car cette semaine débute la septième édition de Hack in Paris, dans les salons de l’hôtel Newport Bay, Disneyland Paris. Après les trois premiers jours traditionnellement consacrés aux master classes thématiques, les conférences s’enchaîneront sur un rythme soutenu. On y retrouvera notamment Chaouki Kasmi et José Lopes Esteves, les hommes de l’Anssi qui font parler les téléphones à distance (ou plus exactement qui exploitent les smartphones en abusant leurs assistants vocaux), Damien Cauquil qui, une fois de plus, torturera des périphériques IoT à grand renfort d’attaques sans fil (Damien proposera cette année une approche méthodologique et pratique en matière de « pentesting »), Dominique Brack (SwissCom, @Reputelligence) va hacker de l’humain, tandis que Lee JongHo et Kim MinGeun expliqueront comment torturer et surtout empoisonner le contenu diffusé par les téléviseurs intelligents (une approche différente mais cousine de ce qu’avaient également démontré Chaouki Kasmi et José Lopes Esteves lors du FIC 2017).

Plus techniques, mais oh combien intrigantes, les interventions de Ayoub Elaassal (ouvrir un shell dans un mainframe), de Gil Cohen qui revient sur les canaux de communication nommés de Windows, vieille idée toujours aussi exploitable, tandis que Valérian Legrand reviendra sur les NAC, une panacée inventée dans les années 2000 qui laisse encore quelques intéressantes voies d’accès.

Le détail des conférences est publié sur le site de la manifestation. Comme à l’accoutumée, Winn Schwartau jouera les maîtres de cérémonie et animera le débat « Hackers, the Media, Truth, Trust and Alternative Facts », en compagnie d’Annie Machon, ex barbouze du MI5, Deral Heiland, les plus belles bacchantes de Rapid7, et Michael Masucci. Parler du rapport entre les médias et le monde du hacking sans la moindre présence journalistique, c’est un peu comme qualifier Wannacry d’Armageddon du Web pour mieux en critiquer l’exploitation journalistique.

Le marché du travail est en déficit de spécialistes en sécurité des S.I., et cette pénurie devrait s’aggraver pour atteindre 1,8 million de postes non pourvus en 2022. Ce déficit est en constante augmentation de 20% depuis 2015
Il s’agit une fois encore d’une étude Frost & Sullivan commanditée par l’ISC², mais également par le Center for Cyber Safety and Education, Alta Associates et Booz Allen Hamilton. La notion de sécurité est donc entendue au sens large, et la perception de pénurie parfois plus subjective que réelle, puisqu’elle n’a pris en compte que le ressenti de « professionnels de la sécurité » (19 000 interviewés au total). Reste que ce sont les Directions Générales qui estiment et fixent leurs besoins en matière de SSI, et non les RSSI eux-mêmes.

Cependant, ce ressenti et cette impression de travailler en sous-effectifs est bien réel et ce quelle que soit la région du monde considérée.

– 66% des personnes interrogées se plaignent du manque de main-d’œuvre pour faire face aux menaces quotidiennes

– 1/3 des responsables du recrutement (au sein des SSI) compte faire croître leurs équipes de 15% à brève échéance

– 70% des employeurs cherchent à accroître leur staff « cybersécurité »

– Actuellement, 90% du personnel SSI est masculin, laissant ainsi apparaître un très net problème en matière de recrutement…

– … mais 94% des recruteurs considèrent qu’une expérience passée est nécessaire pour postuler, posant d’une autre manière le problème de l’œuf et de la poule.

Le rôle et la position des femmes dans le domaine InfoSec est considéré comme un sujet négligeable, voire dérangeant. Le sexisme y est feutré, la discrimination voilée, mais force est de reconnaître que sur une moyenne de 300 ou 400 participants aux conférences « sécu » d’Europe, il est rare de croiser plus d’une dizaine de consœurs. Proportion quasiment identique pour ce qui concerne les intervenantes, qui, à leur corps défendant, deviennent des « symboles » du féminisme corporatiste. Ce qui énerve d’ailleurs au plus haut point des Catie Moussouris et autres Shannon Morse, lesquelles refusent d’être des « femmes prétexte » ou le produit d’une discrimination positive, revendiquant avant tout un niveau de compétence et non un particularisme de genre.

Mais au-delà des postures, les chiffres. Ceux notamment fournis par une analyse de Frost & Sullivan, commanditée par l’EWF ( Executive Women’s forum on Information Security, Risk Management & Privacy) et l’ISC². On ne dénombre que 11% de femmes dans le secteur Infosec, malgré un niveau d’éducation et de diplôme supérieur en moyenne à celui de la gente masculine. Est-il nécessaire de préciser que les salaires sont également très inférieurs à charge de travail et niveau de responsabilité égaux.

Dans cette course à la discrimination, l’Europe manque de peu la première place du machisme, avec seulement 7% de femmes travaillant dans la SSI, précédée par le Moyen Orient (5%), mais loin devant l’Amérique du Nord (14%), l’Amérique Latine (8%), l’Afrique (9%) et la région Asie-Pacifique 10%. Vieux continent, vieilles habitudes.

La parité en fonction des postes est loin d’être même l’ombre d’un espoir. Au niveau des bureaux du directoire et des postes de direction exécutive, on compte 1 femme pour 5 postes. Et 1 pour 10 au niveau managérial. Un écart homme-femme qui se creuse encore plus aux échelons opérationnels (en Europe : 3% de femmes, 39% d’hommes).

Inégalité salariale également. Si l’écart a tendance à diminuer pour ce qui concerne les postes de haute direction, il reste en moyenne de 4500 $/an pour les autres postes de management, et se creuse côté sécurité opérationnelle, avec un delta de 4300 dollars en 2015 dépassant 5000 dollars en 2017. Contrairement aux chiffres précédents qui portent sur l’ensemble du globe, ces données sur les écarts de rétribution ne proviennent que des Amériques, du Nord et Latine. Aucune information statistique émanant d’Europe ne permet d’établir le moindre parallèle objectif, mais les indicateurs généraux Français des professions « cadres et assimilés » prouvent également cette tendance, avec des écarts de salaires pouvant dépasser 30 % entre hommes et femmes.

Le très sérieux et très gouvernemental Cert-US alerte les citoyens (de tous pays) et Etats-Uniens en particulier, du risque d’intensification des attaques de Hidden Cobra, une infrastructure de botnets soupçonnée d’être l’œuvre de l’armée de Corée du Nord. Au nombre des failles exploitées par les outils employés par Hidden Cobra, on compte les vulnérabilités suivantes :

CVE-2015-6585 : traitement de texte Hangul

CVE-2015-8651 : Adobe Flash Player 18.0.0.324 et 19.x

CVE-2016-0034 : Microsoft Silverlight 5.1.41212.0

CVE-2016-1019 : Adobe Flash Player 21.0.0.197

CVE-2016-4117 : Adobe Flash Player 21.0.0.226

Le communiqué s’achève par les recommandations d’usage : déployez les correctifs le plus rapidement possible, restreignez et contrôlez les accès aux services stratégiques de vos systèmes d’information, installez Applocker et Emet de Microsoft, bloquez les ICMP, chassez les exécutables douteux….

Outre cette alerte, les agents de l’Agence-qui-n’existe-pas font la tournée des rédactions en répandant le « scoop » suivant : Wannacry, outil utilisant de véritables morceaux d’exploits made-in-NSA, serait l’œuvre de codeurs Nord-Coréens. Le Washington Post relaie cette thèse dans trois articles différents.

Plantureux à souhait, le mardi des rustines Microsoft du mois de juin. 94 failles comblées dont 27 exploitables à distance, estiment les chercheurs de Qualys. Exploitables et exploités, puisque dans le lot se trouve CVE-2017-8543, une faille SMB qui n’est pas sans rappeler celle estampillée « for NSA eyes only » dans les décombres de Wannacry. Toujours à propos des « NSA sponsored bugs », ajoutons à la liste les armes fatales portant les noms de code EsteemAudit (CVE-2017-0176) et EnglishmanDentist (CVE-2017-8487). Visiblement, l’Agence Nationale de Sécurité (sic) a donc accepté de prévenir les éditeurs de la nature de certaines des armes numériques dérobées dans leur arsenal.

Un communiqué regroupant les antiques failles OLE, RCE et SMB a été rédigé de manière séparée et s’adresse notamment aux possesseurs de systèmes anciens, génération XP et suivants. Attention, ces mises à jour doivent être récupérées « manuellement », et ne font pas partie du lot déployé par Windows/Microsoft update ou SUS. La procédure de déploiement dépend de la version de système utilisé (XP, Server 2003, Vista), explique une page consacrée aux « vieilles machines en danger ».

Chez Adobe, 9 petits trous sont à combler sur Flash Player et un seul sur Shockwave player. Tous sont qualifiés de «critiques ».

Vendues en grande surface de bricolage, bon nombre de caméras sous étiquette Thomson, Opticam, Novodio, Nexxt ou Netis ont en fait une seule et même provenance, un OEM Chinois (en l’occurrence Foscam dans le cas soulevé par F-Secure). Car les modèles C2 et I5 sont presque des encyclopédies de la faille par l’exemple : identifiants codés « en dur » dans le firmware, accès admin avec mot de passe par défaut universel, fuites de créances, XSS, injection de commandes, interface Web et accès ftp fragiles (avec notamment une totale absence de limitation du nombre de « logon » erronés ), élévation de privilèges… Le roman noir de ces caméras IP vendues principalement aux USA, France, Espagne, Italie, Allemagne et Grande Bretagne se termine assez mal : averti des négligences et des défauts de conception, le vendeur aurait mis plusieurs mois avant de répondre aux chercheurs de F-Secure, et aucun correctif n’aurait été publié à ce jour

Britney Spears (plus précisément les commentaires « toxic » de son compte Instagram) utilisée comme intermédiaire vers le centre de control et de commande (C&C) d’un malware du gang Turla : une découverte originale de l’équipe de recherche d’Eset

L’école du hacking doit commencer dès la plus tendre enfance, estime Tom Webb, dans un billet du quotidien du Sans. L’auteur dresse une liste très complète des outils d’initiation à la logique et à l’approche des sciences et techniques informatiques destinés aux 8/15 ans… et plus

Shadow Brokers a donc fixé ses tarifs d’abonnement mensuels, garantissant (assurent-ils), une manne d’exploits estampillés et garantis NSA. Le lecteur devra s’acquitter de la modique somme de 20 000 Euros tous les 30 jours, à verser en cryptomonnaie Zcash. Une approche marketing qui, si elle réussit, serait probablement plus rentable qu’une mise aux enchères remportées par un unique enchérisseur.

Plus tôt, dans la semaine, deux chercheurs situés du côté éclairé de la force avaient envisagé d’effectuer une levée de fonds participative afin de pouvoir s’offrir leur propre bulletin d’abonnement et partager le contenu avec tous les souscripteurs, des plus modestes aux plus fortunés. Une initiative qui n’a pourtant pas dépassé le stade du vœu pieux, puisque le projet a été abandonné pour des raisons légales.

De vagues rumeurs laisseraient entendre que la NSA aurait commencé à prévenir certaines entreprises de l’existence d’exploits « militarisés » ciblant tel ou tel logiciel ou système. Cette thèse n’est pourtant confirmée par la moindre communication émanant d’un éditeur. La plus ténébreuse des agences de barbouzes observe donc un mutisme aussi complet qu’irresponsable. C’est probablement là ce que l’on appelle la Raison d’Etat.