août, 2017

BlackHat2017, Las Vegas : Les écrits de Ruben Santamarta font à chaque fois l’effet d’une petit bombe. De par l’éclairage alarmiste des services de communication d’IOActive, mais aussi en raison de la densité des informations directement exploitables qui s’y trouvent. Le dernier en date, intitulé Go Nuclear: Breaking Radiation Monitoring Devices, passe en revue les multiples outils périphériques aux centrales nucléaires civiles. Et notamment les capteurs dosimètres et portiques de détection de radioactivité.

Rien de très nouveau sous le soleil InfoSec, les bourdes et autres étourderies que l’on rencontre dans le domaine de l’automatisme se suivent et se ressemblent : ports IP ouverts, mots de passe de « superuser » codés en dur (portiques de détection de radioactivité Ludlum), cartes électroniques estampillées « made in USA » arborant fièrement un module Xbee fabriqué à la chaine en Chine (et vendu moins de 60 euros sur eBay), les erreurs d’intégration ne manquent pas. Aucune de ces failles n’est véritablement critique, puisque que totalement indépendantes du réacteur lui-même, et leurs alertes généralement inféodées à des procédures de mesures de vérification multiples et contradictoires. Tout au plus la chose serait exploitable dans un épisode de la saison 3 de Mr Robot.

L’article de Santamarta est plus qu’intéressant, non pas en raison de son côté « nucléaire » difficile à exploiter dans la vie courante d’un pirate Brésilo-Tchéchéno-Nigérian, mais de par les variations que l’on peut imaginer. Le hack du module Zigbee, par exemple, est à la fois simple et déclinable en une foultitude d’exploitation par fuzzing, à commencer par certains boîtiers antivols, pas mal de portails automatiques, une quantité impressionnante de modules utilisés dans la grande distribution ou chez les professionnels du stockage. Si l’on excepte l’ouverture sauvage à la scie Dremel du blindage du module (note personnelle : penser à offrir une station de reprise à air chaud pour l’anniversaire d’IO Active), tout ce qui est décrit dans cet article pourrait servir de test de sécurité de premier niveau pour tout industriel souhaitant IoTer proprement.

BlackHat2017, Las Vegas. Ah ! ce petit frisson que donne l’IoT lorsqu’il est passé à la loupe des spécialistes de la sécurité. Dans son « Global Threat Report 2017 », Darktrace est parvenu à atteindre un joli score en matière de couverture média. Dame, à Las Vegas, laisser miroiter la possibilité de pénétrer dans le réseau informatique d’un casino, en exploitant une vulnérabilité affectant les aquariums high-techs et communicants ! Malgré la protection d’un VPN, l’aquarium fautif et néanmoins connecté aurait permis à un pirate de balayer une partie du réseau local et y découvrir quelques vulnérabilités. Vulnérabilités exploitées par la suite pour exfiltrer une dizaine de Go de données des serveurs de l’entreprise vers un poste situé en Finlande.

L’affaire était si belle que l’information a été reprise par les plus grands médias anglo-saxons : CNN, le Washington Post, le Dailymail, SCmagazine, BoingBoing et même le canal de propagande Russe RT y est allé de son écho.

Mais il y a plus fort que les spywares en eau trouble : l’aspirateur de l’ombre. iRobot, vendeur d’électroménager envisage, rapporte le New York Times, de vendre les données cartographiques des aspirateurs autonomes de sa clientèle. Une mine d’information pour les professionnels de la décoration d’intérieur, un cheval de Troie pour les amateurs d’IoT. La faille, dans ce cas précis, est moins informatique que contractuelle et légale.

Selon le « Second Annual State of Ransomware Report » de Malwarebyte,, (sondage d’un millier d’entreprises Européennes et US), 22% des PME frappées par un ransomware ont dû cesser leur activité, et 15 autres pourcent ont accusé des pertes de revenus.

Mais l’information la plus désagréable pour nos chez voisins amateurs de sauce à la menthe, de viande bouillie et d’ambitions sécessionnistes, c’est le taux incroyablement élevé (43,1%) de responsables d’entreprise prompts à payer le montant de la rançon, chiffre à comparer aux moins de 16% des patrons de notre riante France vacharde de veaux (gageons que sur ces 15% se compte un nombre élevé de patrons fuyant les conséquences du Brexit). Merci à notre éminent confrère John Leyden, Ibère d’adoption mais insulaire de naissance, pour ce passage de pure chauvinisme humoristique Britton publié dans les colonnes d’El Reg.

Tweet inquiet de @MabbsSec, ce jeudi soir : « cela fait 18 heures que l’on est sans nouvelles de MalwareTech_Blog. I a été arrêté à l’aéroport, au dernier jour de la DefCon ».

MalwareTech Blog, Marcus Hutchins dans la vraie vie, est un InfoSec Hero Britannique très connu des médias pour avoir découvert et activé le « kill switch » du ransomware WannaCry, sauvant ainsi la vie à des milliers d’ordinateurs… et de DSI. Pour quelle raison ce chercheur discret aurait été mis en garde à vue ?

Très vite, les informations se succèdent. La police du comté de Clark, chef-lieu Las Vegas, nie toute implication et précise qu’il s’agit d’une opération conduite par le FBI. La twittosphère s’agite, l’EFF est immédiatement prévenue histoire d’apporter une éventuelle assistance juridique, et il ne faut pas longtemps pour que les charges soient officiellement publiées. Hutchins est accusé d’avoir, en 2015, collaboré à la diffusion d’un autre Cheval de Troie bancaire nommé Kronos et touché d’importantes sommes d’argent grâce à cette sorte de commerce. Ces faits auraient été découverts lors du vaste coup de filet ayant suivi la fermeture de la place de marché Alphabay. L’acte d’accusation est rédigé le 12 juillet. A cette date, les services de police savent que MalwareTech_Blog participera à la DefCon XXV. Ils laissent donc entrer ce ressortissant étranger sur le territoire US, surveillent son activité tout au long de la manifestation, et l’interceptent le jour de son départ, le 2 août. Le National Cyber Security Centre de Grande Bretagne était semble-t-il au courant et approuve l’arrestation : « C’est là une question d’application de la loi et il serait déplacé d’émettre le moindre commentaire » rapporte la BBC.

Le Ministère de la Justice US rappelle, devant le tollé général que soulève cette affaire, qu’une accusation n’est pas une condamnation, qu’Hutchins est toujours présumé innocent… et qu’il faut laisser aux forces de l’ordre le temps d’éclaircir cette histoire. Laquelle comporte bien des points obscurs. Qui donc est la seconde personne mentionnée dans l’acte d’accusation et dont le nom a été censuré sur tous les documents rendus public ? Quelles sont les preuves tangibles qui ont conduit les fédéraux à recourir à de telles pratiques ? Le passé de l’accusé est-il aussi « blanc » que son présent ? sur ce dernier point, certains prétendent que non, d’autres accordent le bénéfice du doute. Seule ombre au tableau, la justice a la mémoire longue et tient rarement compte des rédemptions.

MalwareTech_Blog, ce n’est un secret pour personne depuis l’affaire WannaCry, est un chercheur spécialisé dans les vecteurs d’attaques bancaires. Qu’il ait travaillé sous couverture pour remonter la filière Kronos, qu’il se soit enregistré sur AlphaBay et acheté des malwares n’a donc rien d’étonnant. C’est également partiellement le cas de bon nombre de chercheurs au cours du temps, à commencer, par exemple, par les pourfendeurs de Botnets de l’équipe de sécurité de Microsoft ou les efforts d’un Xylit0l qui ont conduit à la fermeture du forum Darkc0de. Le FBI lui-même, tout au long de l’enquête Alphabay, a utilisé des méthodes de crapules qui sont interdites sur le vieux continent.

En outre, durant toute l’opération WannaCry, Marcus Hutchins a eu à de multiples reprises des contacts avec les « cyberflics » de Sa Gracieuse Majesté. Lesquels auraient très bien pu l’inculper à cette époque, car il est peu probable que le FBI ait été la seule organisation au courant des travaux et des activités du chercheur. D’autant plus que ces mêmes policiers Britanniques ont activement participé à l’arrestation des administrateurs et de certains abonnés d’Alphabay ou de Hansa. Une dernière hypothèse consisterait à imaginer que cette opération du FBI aurait été planifié de longue date par les autorités fédérales, l’inféodation des services de renseignement Britanniques à leurs confrères du « grand large » faisant le reste.

Defcon a toujours été,pour le FBI, une source d’inspiration. A tel point qu’un concours « Spot de Fed » , avec règlement et cérémonie de remise de T-Shirt. En 2001, Dimitry Sklyarov, d’ElcomSoft, était arrêté puis assigné à résidence par les Fédéraux, pour avoir osé divulguer une méthode d’exploitation visant le chiffrement des ebook d’Adobe. En 2011, c’est au tour de Jacob Appelbaum, porte-parole de Wikileaks et David House, un proche de Bradley Manning. Tous deux sont interceptés au passage de la frontière, peu de temps après qu’Appelbaum ait donné une conférence dans les salons de la Defcon.