juillet, 2017

DefConXXV, Las Vegas : « Cassez votre propre base matérielle, et tapez fort, c’est là la seule manière de garantir un minimum de sécurité au produits que vous commercialiserez » affirme en substance Andrea Barisani sur le blog de F-Secure. C’est le tout premier article de Barisani sur ce site, plus de 6 mois après l’intégration de son entreprise par F-Secure ; mais un article publié quelques jours avant son arrivée à Las Vegas. Les failles, explique le fondateur d’Inverse Path, se cachent parfois dans des détails techniques purement matériels. C’est même très souvent le cas sur les équipements IoT. Et l’absence de publication d’un PoC ne doit surtout pas justifier une absence de réaction de la part du concepteur. Or, charité bien ordonnée commençant par soi-même, c’est en donnant des exemples de correction de bug affectant l’USB Armory que le chercheur Italien étaye ses arguments. Ce n’est là très certainement qu’un début puisqu’Andrea Barisani a été nommé « Head of Hardware Security »

Egalement évoqué cette semaine sur la côte Ouest, un article assez succinct publié par RTL-SDR.com et décrivant une procédure d’installation d’Imsi-Catcher , programme python conçu par le développeur français Oros42. Les Imsi-Catcher sont généralement utilisés par les services de police pour identifier et localiser des groupes de personnes (généralement dans le cadre de manifestations). Celui décrit dans cet article ne coûtera à son utilisateur qu’une dizaine d’Euros. Rappelons tout de même que ce genre de sport est sans l’ombre d’un doute assimilable à une fuite de données à caractère personnel.

BlackHat 2017, Las Vegas.En ces jours de hacks tous azimuts, d’IoT florissant et de badges radio actifs, il semble tout naturel que la gente InfoSec se passionne pour le décodage des trames transmises sur des médias haute-fréquence, les vapeurs de flux et d’étain en fusion. Ce qui suit donc est un rapide aperçu de l’actualité hebdomadaire hackeuse des plateformes matérielles en général et du spectre électromagnétique en particulier, règlementé en France comme nul n’est censé l’ignorer par l’article R226.3 et suivants du Code Pénal, ainsi que par le R20-27 du code des P&T.

C’est Johannes Pohl qui a ouvert les hostilités. Ce scientifique de la « University of Applied Sciences » de Stralsund, dans le nord de l’Allemagne, a développé au cours des derniers mois Universal Radio Hacker (sur Github), un outil « open » extraordinairement pratique pour qui souhaite effectuer de l’analyse de signal radio. La présentation qui en a été faite dans le cadre de « l’Arsenal » de la BlackHat n’a été qu’une version très réduite des quatre vidéos publiées par l’auteur sur sa chaine Youtube : de la réception à l’exploitation, en passant par la démodulation, le décodage, l’analyse et enfin la génération (spoofing) d’un signal radio « compatible » avec ce qui a été reçu. UHR automatise, simplifie le décodage des signaux numériques transmis par radio, grâce à une suite d’outils et de scripts Python. D’un point de vue matériel, cette suite est compatible avec la presque totalité des SDR de type « Soapy », autrement dit les clefs RTL-SDR, Airspy, Aircrack et ses dérivés, mais également l’USRP et LimeSDR. Il manque peut-être les « sources » de certaines radios plus haut de gamme, tel que le QSR1 de Phil Covington, ou des entrées de gamme polyvalentes tels que le Red Pitaya.

… ou comment, d’un coup de baguette publicitaire, oblitérer les accusations de barbouzerie émises par le Sénat US. Kaspersky lance une version gratuite de sa protection antivirus, édition allégée de multiples extensions parfois jugées trop lourdes telles que la protection d’identité, la sécurisation des achats en ligne ou le contrôle parental. Point de « support technique » non plus, mais cela est-il nécessaire pour un logiciel du type « fire and forget » ?

Après une courte période d’essais en Russie, Ukraine et Biélorussie, suivie d’une transformation en Chine et dans les pays nordiques, Kaspersky Free partira à la conquête du monde. Par étape tout d’abord : « The first wave will be the U.S.A., Canada, and many of the Asia Pacific countries ». En plein conflit post-électoral Russo-Etats-Unien, après s’être fait fermer la porte des marchés d’Etat et subit les effets d’une campagne de dénigrement généralisée, l’éditeur Moscovite se devait de réagir. Quand bien même l’idée de ce produit gratuit ne date pas de la semaine dernière, la date de son annonce de lancement est un remarquable « coup » politique. L’on peut également ajouter que ce lancement s’inscrit également dans un combat à épées démouchetées qui oppose la société Kaspersky et Microsoft, la précédente passe d’arme étant, en juin dernier, cette plainte en position dominante déposée à la fois en Russie, en Allemagne et devant la Commission anti-trust Européenne.

« Lorsque c’est gratuit, c’est l’utilisateur qui est le produit ». Cette vérité toute googlelienne concerne également le monde de la protection périmétrique. Les plus paranoïaques considèrent que Windows Defender est potentiellement un système capable d’exploiter un volume impressionnant de métadonnées, et s’apparente techniquement à un cheval de Troie officiel, intégré et quasiment impossible à désinstaller. Il en est quasiment de même pour tout autre antivirus, ce qui semble justifier la proposition émise par une commission sénatoriale US de bannir toute plateforme logicielle estampillée Kaspersky des appels de marché du Department of Defense.

Ce syndrome de la porte dérobée n’épargne personne. C’est d’ailleurs cette crainte permanente qui a justifié, en France, la publication d’une liste d’appareils audités et « labélisés » Anssi. Véritable garantie d’intégrité pour certains, cavalier législatif protectionniste tentant de favoriser les éditeurs nationaux pour les autres, ou encore preuve que ce risque est bien latent pour les désabusés du « choisit la nationalité de ton espion favori », la bataille du périmétrique ne semble pas faiblir.

Selon nos confrères de Bleeping Computer, la Douma serait sur le point de faire passer un oukase déclarant hors la loi Tor, les VPN et les proxys. Ce seront les FAI Russes qui seront chargés d’appliquer ce filtrage. Et nos confrères de faire remarquer que ce sera le seul pays au monde qui appliquerait ce triple bannissement.

Tout, dans le calendrier des événements, laisse à penser que cette loi vise avant tout les citoyens, dans le but de contrôler la consultation de sites interdits. C’est là une vieille tradition folklorique locale qui consiste à poursuive toute personne cherchant la Pravda dans les Izvestia, un fond de vérité dans le déluge des informations numériques.

Cette loi sera-t-elle signée par le Président Poutine, et si oui sera-t-elle appliquée ? La chose est peu probable, à court ou à long terme. La Russie, et son meilleur ennemi l’Ukraine, sont deux pays « exportateurs » de services VPN, de serveurs « .onion », de proxy dynamiques. Sans eux, pas ou peu de serveurs « bullet proof », de réseaux aussi mafieux que prospères, de services dits « dark web ». Si la loi inquiète les particuliers, elle a peu de chance de se voir respecter par les réseaux mafieux (l’économie des deux pays pouvant s’en ressortir). D’autant que le cas échéant, ces derniers peuvent servir de supplétifs aux forces militaires numériques. Voilà pour le court terme.

A plus longue échéance, l’interdiction de protection assurée par les VPN et les proxys provoquerait une véritable déflagration dans le monde des affaires. Plus de liaisons distantes pour les entreprises, moins de services d’équilibrage de charge, aucune confidentialité dans les échanges liés aux marchés publics, pas le moindre espoir d’évolutions vers une société numérique dotée de services administratifs performants (et Lénine seul sait à quel point est lourde et tentaculaire l’administration Russe), plus de Cloud, disparition des services Wifi publics, évaporation de l’ensemble des transactions bancaires, qu’elles soient émises par des particuliers ou utilisées en B2B… et l’on imagine mal les conséquences en matière de commerce international. Certes, l’aigle à deux têtes a toujours su ménager des exceptions dans l’application des lois, particulièrement dès qu’il s’agit de décisions concernant les rouages de l’Etat, de l’Armée, des Finances, de la Justice ou des services de renseignements. Mais en matière de technologies, il est bien difficile d’imaginer autoriser un protocole pour un type d’usage et l’interdire pour un autre. Particulièrement si ledit protocole est chiffré. En Russie comme en France, il se trouvera toujours un député pour envisager un « chiffrement faillible » ou un « interdit sur les vpn ». Et il y aura toujours un exécutif assez visionnaire pour bloquer ce genre de proposition mortifère.

Adobe envisage d’éliminer une faille de sécurité, mais pas avant 2020, date à laquelle devrait disparaître Flash

BlackHat 2017, Las Vegas : Au fil d’une étude ne s’étayant que sur le ressenti des participants à l’exposition, le service de communication de la BlackHat a dressé une sorte de palmarès des 7 plaies de la sécurité, avec, en bonne place, le hack des centrales nucléaires.

Précisons que, quelle que soit la compétence des visiteurs de la BH en matière d’intrusion et de sécurité, on peut douter de leur expertise dans le domaine des infrastructures nucléaires civiles. Qu’importe, une nouvelle attaque que l’on suppose massive frappera les infrastructures nucléaires US d’ici deux ans, c’est indiqué blanc sur black dans cette étude.

Cependant, derrière cette crainte irraisonnée, on devine le fruit improbable des amours de Stuxnet (virus visant une infrastructure sécurisée nucléaire Iranienne) et des récents soupçons d’infection du réseau de capteur entourant la centrale de Tchernobyl. Infection qui s’est immédiatement traduite, aux USA comme en France, par « une infection qui aurait touché Tchernobyl »… quel esprit ne serait pas marqué par cette redoutable métonymie ?

Ce à quoi l’on pourrait ironiser en affirmant que le virus qui frappera la plongée des barres de combustible de ladite centrale Russe n’est pas encore né.

Le monde des vendeurs en sécurité s’est depuis trop longtemps accoutumé à cette exagération systématique, à cette perpétuelle tentative d’association de la peur, de l’incertitude et du doute, ces trois cavaliers de la prospérité marketing. A tel point que lorsque l’on manque d’éléments techniques pour évoquer un risque bien réel, justifier une politique de sécurité ou vanter les mérites d’une protection périmétrique, on a recours à l’opinion de l’homme de la rue, nouvel étalon de la vérité scientifique. La BH risque-t-elle de se décrédibiliser en publiant de tels propos ? Que nenni ! La faute retombera sur « Le journaliste » qui, en rapportant de bonne foi les propos tenus par un organisme faisant autorité dans le monde de la sécurité, servira de bouc émissaire. Celui de Circle ID, d’ IT Business Edge, de Tech.co, du e-Security Planet ou de TechGenix.

Encore un hack fantaisiste dévoilé cette fois par le très sérieux Forbes, histoire d’être dans le ton durant le déroulement de la DefCon : des chercheurs Chinois travaillant pour la cellule sécurité du portail de revente Alibaba sont parvenus à… déstabiliser l’image d’un casque de réalité virtuelle et ainsi perturber le sens de l’équilibre et le contenu de l’estomac du conquérant des mondes en 3D.
Ne faisons pas languir les amoureux de la vision augmentée, le hack se limite à coller un transducteur ultrason sur, ou à proximité, du casque en question, que celui-ci soit un appareil haut de gamme (Occulus Rift) ou plus commun comme ces simples lunettes en carton que l’on couple avec un téléphone portable. Le transducteur provoque, lorsqu’il est excité par un générateur BF, une instabilité du capteur gyroscopique de l’appareil, et l’image projetée se promène au rythme dudit gyroscope totalement affolé. C’est là le degré zéro de l’attaque par déni de service.

On pourrait cependant imaginer la création d’un groupe de travail unissant les chercheurs d’Alibaba et d’IOActive, avec en perspective la déstabilisation d’un gyropode par simple action d’un transducteur ultrason logé sous la planche à roulettes… après quelques tâtonnements, l’on pourrait même imaginer pouvoir diriger de cette manière les gyropodes hackés aux ultrasons, par simple influence mécanique de ses systèmes de pilotage inertiel.

Déjà, par le passé, des amateurs de bataille de drones ont envisagé d’utiliser cette technique. Avec des succès très moyens, la portée des ultra-sons étant relativement limitée. Le procédé, en revanche, peut s’avérer assez efficace sur certaines voitures équipées de systèmes d’aide au stationnement.

Le seul atout de ce hack, c’est son côté économique : un NE555 en guise de générateur de fréquences variables, un transducteur à quelques centimes d’euros, un transistor d’amplification et une batterie, et tout capteur de vibration devient potentiellement une cible.

BlackHat 2017, Las Vegas. On les appelle gyroskate, gyropodes, overboard, gyroroue. Ce sont ces héritiers à bas coût de la Segway, sortes de skateboards à pilotage gyroscopique venus principalement des usines Chinoises. Déjà, l’instabilité de leurs accumulateurs électriques les a fait considérer comme éléments dangereux et bannis par nombre de compagnies aériennes. Mais voilà qui est bien pire qu’une explosion en vol, ces super-patins à roulettes peuvent être piratés.

Cette dramatique révélation a été faite par Thomas Kilbride d’IOactive. Un hack qui rappelle énormément celui que Deral Heiland (Rapid7) avait présenté durant Hack In Paris 2017 et qui visait les robots de téléprésence. Les méthodes d’intrusion et de détournement sont assez similaires. Dans un premier temps, l’attaquant analyse l’environnement radio de l’appareil, et tombe, sans grande surprise, sur une liaison Bluetooth vulnérable. Liaison absolument indispensable pour que l’usager puisse par exemple modifier les chenillards de led multicolores depuis son téléphone portable, ou connaître son emplacement exact puisque la localisation et les calculs de trajets utilisent les données gps du smartphone. Après une rapide analyse du protocole et l’usage immodéré d’un code d’accès « par défaut », sans grande surprise “000000”, Kilbride s’est emparé du système embarqué et a pu y injecter un nouveau firmware de son invention… car ledit firmware peut être mis à niveau sans que le moindre système de contrôle d’intégrité ne vienne bloquer l’opération. De là à pouvoir enregistrer au mètre près le parcours d’un ou plusieurs gyrocyclopédiste ou ordonner un arrêt brutal de l’appareil, il n’y a qu’un pas, ou un tour de roue. Possesseurs de planches à roulettes modernes, méfiez-vous des geeks qui courent à vos côtés, un œil fixé sur l’écran de leur Kali-Linux. Car, on l’aura compris, la première partie de l’attaque, de la compromission Bluetooth au changement de firmware doit nécessairement se dérouler dans les limites d’une portée d’émetteur Bluetooth.

L’intérêt d’une telle attaque est assez discutable et très peu réaliste. Bon nombre de ces gyropodes proviennent de Chine, pays qui n’a jamais brillé pour son amour de la sécurité numérique dans les produits de grande consommation. Sans même mentionner le plaisir très relatif de voir un gyropodiste choir de sa planche d’une hauteur de moins de 15 cm. Mais, aspect plus pernicieux de ce hack, à l’instar des caméras de surveillance percluses de trous de sécurité, il y a de fortes chances que l’on trouve sur le marché des version OEM vendues sous les logos nationaux prestigieux. Un prestige qui risque fort de donner à chaque utilisateur un sentiment de fausse sécurité. Moralité, rien ne vaut la marche à pied.

DefConXXV/BsidesLV, Las Vegas. Traditionnellement, le badge de la Defcon (ainsi que celui du CCC Camp) est à classer dans la catégorie « collectors ». 2017 fait exception à la règle, puisque ce n’est pas un, mais près d’une trentaine d’insignes aussi électroniques que « non officiels » qui sont proposés à la vente. Tous possèdent un peu d’intelligence sous la forme d’un microcontrôleur ou d’un circuit spécialisé, beaucoup « rayonnent » joyeusement, généralement dans la bande des 2,4 GHz, mais « pas que ». Contrairement à la « vendor’s conference » qu’est devenue la BlackHat, la DefCon évolue et joue ouvertement dans la cour de l’IoT, du sans fil, des réseaux maillés et des failles de sécurité matérielles. Le fer à souder et les vapeurs de flux reviennent en force.

Le plus populaire risque fort d’être celui de AND!XOR, une superbe tête de robot Bender capable, entre autres choses, de constituer un botnet de badges. Même idée avec cette broche en forme de libellule et qui, à l’instar des « tambourinaires » du roman de Neal Stephenson (l’Age de diamant) se synchronisent lorsqu’ils sont à proximité les uns des autres en émettant des pulsations lumineuses coordonnées.

Beaucoup d’intérêt également autour d’un quadcoptère en forme de tête de mort pour la partie « volante » et de carte au trésor pour la télécommande. Un assemblage électronique assez simple, avec de gros actifs au format SOIC et des passifs en 1206, niveau bricoleur débutant mâtiné d’adorateurs des romans d’Edgar Poe et de Stevenson.

Mais l’on a pu également voir un badge-téléphone-cellulaire, un quasi kit de développement avec son afficheur, conçu par la « ruche » de Kansas City, une console de jeu très retro-gaming combinant une plateforme de développement et un émetteur-récepteur « sub-gigahertz » et une série de clefs mystérieuses ouvrant… on ne sait quoi dans les allées du crypto-village . N’oublions pas le très lumineux et très sonore sautoir du Defcon group de Salt Lake City ou celui de la Hackerwarehouse de San Francisco à base de chipset Wifi, tout comme celui de Ben Hiben, tout aussi clignotant et utilisant la même électronique à base d’ESP8266. Et la liste est loin d’être complète, car quelques initiatives sont diffusées de manière confidentielle ainsi le presque-arduino aux contours tarabiscotés de Dylan. D’autres sont imprimés à grande échelle, tel celui du Webzine Hackaday.

Certains de ces badges sont réalisés par des associations, d’autres par des revendeurs ou entreprises gravitant dans la sphère SSI, d’autres encore par des particuliers. Quelques-uns ne fonctionneront que de manière éphémère, d’autres sont conçus pour être utilisés durablement et ne pas s’empoussiérer une fois les conférences achevées. On peut y voir l’émergence d’une nouvelle forme de support publicitaire, une évolution moins « virtuelle » des concours de hack et autres challenges pour spécialistes du reversing, ou plus simplement une mode pour übergeek, un signe de reconnaissance pluriel de « ceux qui sont là et qui pourront dire : j’y étais »

Blackhat 2017, Las Vegas : Tout commence avec un Tweet amusant de GrumpSec sur les raisons justifiant le hachage des mots de passe dans une base de données de contrôle d’accès : l’éventualité de voir un jour l’abonné d’un forum utiliser la signature EICAR (chaîne de test destinée à vérifier le bon fonctionnement des antivirus). Que le logiciel de sécurité situé sur le serveur tombe sur la fameuse chaîne débutant par « X5O!P%@AP[4… » et le fichier des mots de passe a de fortes chances de se faire placer en quarantaine… au mieux.

Humoristique également, mais avec une perspective bien plus sombre et préoccupante, la présentation d’un vieux routier de la sécurité, Izik Kotler. Kotler est ce chercheur Israélien connu pour avoir été le premier à inventer un canal de commande inviolable entre le C&C et la charge utile d’un bot, canal reposant sur des serveurs impossibles à clore : le feed Tweeter de Britney Spears ou les petites annonces du Bon Coin. Ce qu’il avait prédit il y a plus de 14 ans fait aujourd’hui partie des caractéristiques les plus commune des botnets modernes.

Cette année, il s’en prend aux outils de sécurité situés dans le cloud. Par défaut, un antivirus est un logiciel capable d’agir à très bas niveau, doté d’un canal de communication extérieur et censé télécharger des mises à jour échappant totalement au contrôle du système d’exploitation. La définition n’est pas rassurante. Elle est bien pire lorsque la chose est cloudifiée, explique Kotler. Car sous des dehors de « super-antivirus multi-éditeurs à la pointe de la recherche », ces nouvelles solutions de protection impliquent l’installation d’un agent sur chaque poste de travail. Et quand bien même les politiques de sécurité interdiraient toute connexion non référencée dans une liste blanche que rien ne viendrait limiter l’échange permanent entre l’agent local et le bac à sable cloudifié. Car lui possède des privilèges extraordinaires.

Qu’un virus dormant ait pu être injecté avant le déploiement de l’agent, et c’est l’agent lui-même qui servira de « pompe à données » pouvant exfiltrer discrètement tous les documents internes et confidentiels d’une entreprise. Une « preuve de conception » devrait être disponible dans les jours qui suivent sur le github de l’entreprise sous le nom de code Spacebin