Search Results

Faut-il avoir peur de Jonathan Brossard et Florentin Demetrescu ? Ces deux chercheurs ont développé Rakshasa. Et pour qui s’est un peu intéressé au pandémonium Hindouiste, les Rakshasa sont des êtres que l’on n’aime pas trop avoir pour voisin. Et celui de MM Brossard et Demetrescu encore moins que les autres, puisqu’il s’agit d’un Bios forgé pouvant intégrer n’importe quel vecteur d’attaque, y compris un rootkit « pré-boot » (ou bootkit).

D’un point de vue alchimique, Rakshasa est un concentré de bonnes choses, parfaitement innocentes d’ailleurs. Notamment Coreboot et Seabios, des substituts open source de Bios pour machine en architecture X86. De précédents travaux avaient prouvé la possibilité de camoufler dans ces microcodes des charges utiles persistantes (car chargées en NVRam), indétectables aux antivirus, invisibles aux HIPS…

Mais l’équipe Brossard/Demetrescu transforme ce qui pouvait être désagréable en quelque chose de franchement démoniaque, en intégrant dans le patrimoine génétique de Rakshasa un autre procédé tout aussi innocent et très utilisé dans les mondes unixiens et par les anciens utilisateurs de réseaux Novell : l’injection de code via réseau et protocole PXE (ou plus exactement son équivalent open source, iPXE). Inutile de préciser que le nombre de machines compatibles avec ces trois développements est absolument impressionnant. Pour parachever le tableau, l’on peut préciser que

– l’injection de ce bios modifié peut fort bien s’opérer via un lien Wifi, ôtant à l’administrateur tout espoir (ou presque) de conserver une trace de l’intervention sur ses logs réseau

– que la mise à jour systématique du bios de la machine, par mesure de précaution purement chamanique, peut être contrée en installant d’autres instances de l’exploit dans d’autres espaces de stockage. Sur l’espace PXE d’une carte Ethernet par exemple, espace qui n’est utilisé que très rarement de nos jours. D’autres extensions PCI possèdent également des eproms aisément accessibles qui sont autant de nids à infection échappant à tout scanner ou antivirus de la création.

– Que l’injection elle-même (le flashage du bios en quelques sortes) est totalement indépendante du système d’exploitation choisi. Seule la charge utile devra être adaptée…

Une fois le tout refondu en un unique vecteur d’attaque, Rakshasa peut s’installer et travaille un peu comme la douve du mouton : du centre névralgique de la machine, en un point situé en deçà du système d’exploitation, le méphistoBios peut embarquer trappes, outils de contournement ou de blocage destinés à compromettre la machine cible.

Hackito Virtuoso ?
Le développement de Rakshasa est-il seulement une preuve de virtuosité technique ? Pour l’heure, oui, indiscutablement. Peut-on considérer cet outil comme utilisable à grande échelle ? C’est tout à fait envisageable… c’est même, compte tenu de la quasi impossibilité de mettre à niveau l’intégralité du parc informatique matériel mondial, une véritable aubaine pour les armuriers spécialisés dans la cyber-guerre. Rooter via liaison Wifi, cinq ou six machines dans un ministère stratégique peut faire bien plus de dégâts, bien plus discrètement, que le plus tenace des Conficker. Mais s’attaquer, en mode furtif, aux millions d’ordinateurs d’une nation, c’est s’offrir le plus joli des botnet, aussi difficile à tuer que le canard de Robert Lamoureux. Il y a dans Rakshasa de la véritable graine d’APT et de techno-espionnage pas trop difficile à mettre en œuvre. Ce ne sera certes pas la principale menace des années 2012 et suivantes, mais son scénario d’exploitation est assez réaliste pour perturber le sommeil de quelques responsables informatiques dans quelques secteurs Scada par exemple. Si l’on se souvient de la fameuse « intrusion longue durée » qui avait frappé Areva avec des moyens traditionnels, on peut aisément imaginer ce que cela pourrait donner avec un bootkit aussi vicieux.

Au Tibet, les Rakshasa sont gentils
Mais il n’y a pas que du mauvais, dans cet exploit. Une trappe « ante-kernel land » que l’on peut télécharger, qui accepte de contenir des charges utiles dans le « domaine utilisateur », et que l’on peut tout aussi aisément faire disparaître sans que le moindre log ou le moindre scanner ne puisse en témoigner, cela peut être très utile à des entreprises dont le personnel itinérant souhaiterait se protéger de l’inquisition d’un Patriot Act par exemple. Ce pourrait également être la voie d’une nouvelle génération d’applications «dans le cloud » (cloud interne s’entend) qui expédie vers des clients légers non plus seulement une instance d’un système et de ses applications, mais également d’un firmware que l’on sait certifié et fiable. Toujours sur ce même thème, le déploiement forcé de bios Open Source précisément tels que ceux de Coreboot, pourrait mettre fin aux soupçons de « rootkits chinois dans les ordinateurs Lenovo ». Soupçon qui avait, à une époque, donné au Sénat Américain l’occasion d’émettre une recommandation à l’encontre de cette marque, ancien satellite d’IBM et qui était largement utilisé dans les administrations US.

Rakshasa pourrait également servir de base de travail à une extension des services de déploiement de patch « bas niveau ». Sans aller jusqu’à envisager des attaques reposant sur les failles bios (Joanna Rutkowska n’est pas la seule à en avoir parlé), un outil de mise à jour de ce type permettrait de débloquer des fonctions ou en limiter d’autres sans que l’administrateur n’ait à sortir de son bureau, et sans faire appel à des outils propriétaires généralement peu administrables et incompatibles avec les consoles de supervision les plus utilisées. L’idée est d’ailleurs exploitée depuis fort longtemps dans la gestion des terminaux mobiles ou des clients-fins, mais avec des solutions propriétaires.

Ah, pour les plus paranoïaques de nos lecteurs : rappelons que la majorité des Bios de nos machines utilisent non plus d’antiques eproms 27C512, mais des mémoires programmables en mode série, lesquelles ne passent en écriture que sur validation d’un signal Write Enable sur une broche du circuit. Et jusqu’à présent, on n’a encore jamais vu de rootkit capable de modifier la position d’un strap ou de dessouder une résistance de pull-up. Parfois, le bonheur, c’est simple comme un coup de cutter sur une piste ou un usage adroit du fer à souder.

Les faits ont été découverts par nos confrères de l’Express/l’Expansion : Areva (ex Cogema, Compagnie générale des matières nucléaires) a vu son infrastructure informatique piratée pendant plus de deux ans. Le fait aurait été découvert il y a une dizaine de jours, et révélé en interne dans le courant de la journée de jeudi. Intrusion qui toucherait aussi bien des installations situées en France qu’à l’étranger. Depuis plus de trois jours, précisent nos confrères, les équipes informatiques « renforcent les mesures de sécurité ». Etrange réponse… car pour renforcer, il faut au minimum connaître l’ampleur des points de pénétration, ce qui laisserait entendre qu’il faut… 10-3… oui, 7 jours pour réaliser un audit général d’une structure étendue dans le monde entier, touchant aussi bien aux domaines du nucléaire civil que militaire… et immédiatement déployer des solutions de colmatage adéquates. Ce qui impliquerait également que les intrus, deux ans durant, n’auraient jamais pris la peine de se réserver d’autres backdoors que celles qu’ils auraient utilisés pour violer les systèmes d’Areva une première fois.

Même xylolangage envers nos confrères de France Info , qui parviennent à arracher ce qui est probablement la plus remarquable formule d’enfumage de l’histoire de la sécurité informatique. Nous citons : « Des pirates sont parvenus à infiltrer le réseau qui permet l’échange d’informations « non-critiques » entre les différentes entités du groupe, selon le porte-parole d’Areva. » Fin de citation. Le porte-parole ne dit pas formellement que les réseaux compromis ne comportaient que des informations non critiques, mais que le point d’entrée relevait d’une sorte d’intranet destiné aux échanges inter-filiales non importants. Le dernier hack qui a exploité une faiblesse dans un intranet pour ensuite dérouler toute une pelote de faiblesses de cloisonnement interne était celui de Sony, et l’on connaît les conséquences et les réactions en chaîne …

L’on peut également se féliciter de la célérité des analyses forensiques des DirCom de cette entreprise stratégique nationale qui sont, dans le même temps, parvenus à remonter à la source de l’intrusion. Toujours selon nos confrères de l’Expansion, « Une origine « asiatique » est évoquée ». Là, l’équipe de Cnis se perd en conjectures. Asiatique… Serait-ce le Japon en quête d’une solution de remplacement aux réacteurs de Fukushima ? Car depuis quelques mois, il est devenu impossible d’accuser les dangereux hackers Chinois. Car tout d’abord, il leur arrive d’utiliser des exploits antédiluviens utilisant des fichiers pdf forgés, et ça, c’est pas glorieux. Des fois que les Sorciers de l’Atome se seraient fait avoir avec autant de facilité que les ronds de cuir de Bercy… Ensuite, c’est le Quai d’Orsay qui pourrait trouver à y redire. Accuser l’Empire du Milieu, outre les conséquences désastreuses que cela pourrait avoir dans le cadre des échanges commerciaux, ce serait risquer de voir naître une nouvelle campagne de presse et des avalanches d’articles dans le Quotidien du Peuple expliquant que la Chine est le premier pays piraté au monde, et que tout çà est une honteuse accusation, dénuée de preuve de surcroît. Ce qui serait exact d’ailleurs : un « traceback » de numéro IP ne signifie strictement rien dans l’univers informatique …
Il reste, de ce préoccupant fait divers, deux ou trois points relativement graves qui n’ont pas été notés par nos confrères. A commencer par une absence totale de maîtrise de la communication de la part de la cellule de crise mise en place. L’on a échappé à un « les pirates n’ont pu avoir accès aux systèmes de commande de plongée des barres de combustible », mais on en n’était pas loin. Il semble également que le cloisonnement de l’infrastructure n’ait pas été aussi parfait qu’on voudrait le laisser entendre : un hack ne perdure pas deux années durant s’il ne parvient pas à extraire des informations intéressantes. Le dernier point concerne les conséquences de cette découverte. En toute logique, cet accident débouchera sur la nomination d’une équipe chargée d’auditer l’infrastructure touchée. Audit dont les conclusions seront tenues secrètes, tant pour ce qui concerne les mesures à prendre que pour ce qui touche aux points de faiblesse qui auront été mis en évidence. Ce secret est logique, mais doit-il être systématiquement aussi opaque lorsqu’il concerne une infrastructure Scada aussi sensible ?

Et hop, trente-quatre failles d’outils de contrôle de processus (dont une grande partie « exploitable ») divulguées par le plus grand chasseur de trous de tous les temps, Luigi Auriema. A côté de çà, Stuxnet fait figure de pistolet en plastique ou de roman noir pour fillette. Avec un tel score, Auriema aurait pu lancer un « month of Scada bug » et le faire perdurer durant plus d’une année. Non seulement parce que le chercheur transalpin est un véritable génie de la découverte de failles, et ce, depuis son adolescence, mais en outre parce que les logiciels en question ont, de tous temps, été moins contrôlés que le plus simple des traitements de texte. La clientèle est moins nombreuse, moins encline à pousser ces logiciels dans leurs moindres retranchement (la production industrielle a des impératifs d’efficacité, parfois incompatibles avec une remise en cause des outils installés). C’est donc un cri d’alarme que pousse Auriema, un cri qui nous rappelle que ces logiciels de supervision sont utilisés pour piloter une station d’épuration d’eau, ils sont également utilisés dans des usines pétrochimiques, nucléaires et autres secteurs dignes d’être classés « Seveso ++ ».

Avertir, mais peut-être aussi couper l’herbe sous le pied de Gleg, entreprise Russe qui offre à la vente 22 modules « anti-programme Scada » contenant 7 ZDE… pour commencer, précise la page web. Gleg est un représentant sérieux et patenté de Canvas, l’outil de pentesting d’Immunity Sec. On est dans le business du test de pénétration, pas dans la revente de code mafieux… mais certains puristes y trouveront certainement à redire sur le plan éthique.

C’est d’ailleurs tant de la motivation que de la dangerosité potentielle que traite l’article assez long publié par Beau Woods sur le blog SecureWorks.. Pour reprendre les propos d’Auriema tenus que le Bugtraq publie, le manque d’application avec lequel ont été conçus et rédigés ces programmes est tel qu’il faut relativement peu de travail et de temps avant de découvrir une faille exploitable. Ne perdons pas de vue que Auriema est quasiment capable de découvrir des failles en dormant… il est donc loin de représenter «l’ average bug hunter ».

De prime abord, toutes ces « menaces sur les complexes industriels », surtout depuis l’affaire Stuxnet, semblent relever du fantasme le plus échevelé. Fantasme amplifié par la presse généraliste pour une raison très simple : une attaque informatique contre le Ministère des Finances, ça n’est pas très palpitant. Tout au plus peut-on rêver que tous les ordinateurs de Bercy soient frappés d’amnésie et que plus personne n’ait, un an durant, à payer ses tiers provisionnels. Parce que franchement, un octet qui se « crashe » contre une limite mémoire, ou un buffer overflow qui fait fuir de l’octet, ça n’est ni télévisuel, ni traumatisant. En revanche, une opération commando à coup de virus Scada sur une vanne de la raffinerie de Feyzin, c’est du Bruce Willis à la une, de l’explosion sur 5 colonnes… enfin quelque chose qui pourrait se voir et faire peur.

D’autre part, il faut bien admettre que s’enquiquiner à pondre un virus retord capable de modifier un point de consigne est une opération bien plus complexe et bien plus aléatoire quant au résultat, qu’une résistance de 220 ohm insérée discrètement derrière une jauge de température, ou qu’un détournement de « boucle V24 » chargée de piloter à distance une vanne, un vérin ou un relais. Pourtant le résultat sera certainement explosif, selon la fonction de ce capteur, de cette vanne, de ce vérin ou de ce relais. Bon nombre de circuits utilisés dans le contrôle de processus industriels sont totalement dépourvus de protocoles de contrôle et de sécurité, ce qui fait de l’attaque physique un moyen plus efficace qu’une compromission par des voies informatiques. Efficacité brutale du gourdin contre la subtile progression d’une menace cérébrale.

Mais la publication de Luigi Auriema montre qu’il n’est absolument pas nécessaire de dépenser des trésors d’astuce et des débauches de moyen pour fabriquer un Stuxnet vite fait sur le gaz (ou la réserve d’essence, c’est selon). Ce qui renvoie les futurs Stuxnet au rang de techno-matraque utilisable par des non-spécialistes. Sommes-nous sur le chemin d’une industrie du « kit générateur de virus Scada » ? L’on peut prévoir qu’après l’apparition des Cert bancaires, l’on commence à voir fleurir des Cert chimiques, nucléaires ou des transports et fluides, portant les blasons d’Elf, de la Cogema, des grands vendeurs d’eau ou des entreprises de transport ferroviaires et aériens.