Archives

Le bulletin anticipé d’avis de correctif Microsoft prévoit, pour le mois d’août, 9 rustines à appliquer. Sur la totalité, deux d’entre elles sont considérées comme critiques, notamment le traditionnel correctif Internet Explorer.

Personne n’ignore que les outils de la famille de L0phtckrack et autres Rainbow Table ne servent qu’aux seuls administrateurs frappés d’amnésie brutale. Il en est de même pour les travaux de Sylvio Cesare, Qualys, qui passe en revue une bonne partie des techniques de hack destinées à ouvrir les portes des véhicules actionnées par télécommande radio. Ce chercheur vient de publier, à l’occasion de la BlackHat 2014 un article très survolé mais très simple à comprendre et hébergé par nos confrères du Register. Trois approches très simples sont ainsi décrites.
La première approche, de loin la plus simple, consiste à enregistrer la séquence radio lorsque le propriétaire légitime émet le signal à l’aide de sa clef radio. C’est une « attaque par rejeu » (ou replay attack), que l’on peut d’ailleurs perfectionner et transformer en attaque evil twin à l’aide d’un petit émetteur de brouillage et de filtres de réception très sélectifs (Sylvio Cesare n’envisage d’ailleurs pas cette approche).

L’autre type de radio-crochetage observe une démarche plus informatico-informaticienne, puisqu’elle consiste à récupérer le signal, puis à le décoder et l’analyser afin d’en distinguer le préambule d’une part, le corps du message-clef ensuite, pour en extraire la logique qui permettra à son tour de forger une clef valide. « Les serrures radio utilisent généralement un nombre limité de clefs associées à une séquence pseudo aléatoire », explique le chercheur. Nombre fini de clefs, aléa fragile… il n’en faut pas plus pour deviner un jeu de clefs valides possibles.

La troisième approche est dérivée de la précédente… allégée de la phase consistant à forger une clef valide par de savants calculs. Cette étape est remplacée par la bonne vieille méthode brute force… qui ne semble pas franchement dépassée. Sur un modèle de voiture des années 2005, la porte s’ouvre en moins de deux heures affirme l’auteur, puisqu’en général, le nombre de combinaisons possibles que doit générer l’émetteur brute force est inférieur à un million.
Et d’ajouter qu’il n’est d’ailleurs pas nécessaire de tomber sur la « bonne séquence que le générateur d’aléa aurait pu créer ». Car bon nombre de ces dispositifs de protection sont fragilisés par la présence d’une backdoor (un passe-partout radio-numérique) qui facilite d’autant le déverrouillage du dispositif. Cette version bagnolesque du mot de passe par défaut est une véritable aubaine pour les amateurs technophiles de vol à la roulotte.

Cette superproduction dans laquelle s’affrontent les super-héros et super-vilains numériques s’achève, cette fois, avec la victoire des gentils, autrement dit l’ouverture d’ un site offrant une clef de déchiffrement gratuite aux victimes du « virus chiffreur de données ». Ce service en ligne ne demande aux victimes que l’envoi d’un des fichiers verrouillés (en priant tous les saints du paradis numérique qu’il ne s’agisse pas là d’un document sensible).

Cryptolocker n’est plus actif depuis un certain temps déjà. Ce service de déchiffrement s’adresse donc aux victimes qui n’ont osé ni contacter les pirates à l’origine de ce ransomware afin d’acheter la libération de leur données, ni effacer leurs disques durs.

Dans les années 80, le KGB, dit-on, était tellement submergé d’informations qu’il en était asphyxié, incapable à l’époque de trier et traiter un tel volume de données. Les services de renseignements occidentaux visaient donc deux objectifs. D’une part limiter l’accès aux outils informatiques par le biais des interdictions d’exportation Cocom, et d’autre part intoxiquer leurs adversaires par un déluge de renseignements parfois vrais, souvent sans importance.

Ce ne semble plus être le cas désormais, puisque même les gangs mafieux de l’ex-URSS disposent à la fois des capacités de stockage et très probablement des outils de traitement pour manipuler d’énormes quantités d’information. Selon les experts de Hold Security, une entreprise basée à Milwaukee (Wisconsin, USA), une association de pirates Russes détiendrait près de 1,2 milliard d’identités numériques et mots de passe, près de 500 millions d’adresses de messagerie, le tout récupéré sur plus de 420 000 sites web compromis. Parmi ces données se trouveraient notamment les fichiers nominatifs volés lors des intrusions de la société Adobe de l’an passé. Ces révélations publiées par nos confrères du New York Times.

Le groupe mafieux observerait une discipline et un partage du travail quasi militaire. Certains sont spécialisés dans l’écriture d’exploits (principalement des failles SQL et autres grands classiques dénoncés par l’Owasp-), d’autres dans la chasse aux données, d’autres encore dans le stockage et l’exploitation… jusqu’à présent, très peu de ces fichiers volés ont été vendus. Les données récupérées n’auraient servi jusqu’à présent qu’à alimenter les réseaux de spammers.

Le cloisonnement, y’a qu’ça d’vrai. Mais il est difficile de cloisonner lorsque plus de 3.2 millions de personnes, fonctionnaires et contractuels, ont été officiellement autorisées par le Pentagone à accéder aux fichiers classés Secret, Top Secret et « données sensibles ».

En outre, nous apprend CNN, l’affaire Snowden a, depuis, fait des émules, puisqu’une autre source d’information serait actuellement en train d’alimenter les média en général et The Intercept en particulier. Pour preuve, la date des documents « fuités » serait postérieure à la fuite d’Edward Snowden du territoire US.

De son côté, Cryptome fait le point sur les documents Snowden publiés et ceux qui sont encore à venir. En se basant sur les déclarations du Department of Defense et sur les estimations du Washington Post, 1% seulement des quelques 250 000 pages des Snowden Files auraient été publiées à ce jour. Selon les volumes estimés au fil des révélations, et compte tenu du rythme de parution imposé par les différents médias détenteurs de ces fichiers (The Guardian, Washington Post, Le Monde, Der Spiegel, O Globo Fantastico, New York Times, ProPublica, le Huffington etc.), il faudra encore entre 26 et 42 ans pour que la source se tarisse et que toutes les « révélations » soit faites. Avec l’arrivée de nouvelles recrues dans les rangs des lanceurs d’alertes, la NSA va donc bénéficier des honneurs de la presse pour le demi-siècle à venir. De quoi faire pâlir de jalousie la plus efficace des attachées de presse.

Les NAS Synology utilisant une version de firmware 4.3 et antérieure peuvent être victimes d’un virus-chiffreur, dont la clef ne peut être obtenue que contre payement d’une rançon de quelques 300 euros. C’est le magazine CSO qui donne le plus de détails techniques sur la procédure de chiffrement. L’équipementier, pour sa part, travaille activement pour tenter de résoudre le problème, et signale que les dernières versions de firmware ne sont pas affectées par ce vecteur d’attaque. Les usagers n’ayant pas encore été infectés doivent le plus rapidement possible, déconnecter leur NAS de leur réseau local, lancer immédiatement une sauvegarde, puis vérifier et mettre à jour, si nécessaire, le « Disk Station Manager ».

Cette mésaventure rappelle quelques évidences comportementales dignes de figurer dans le Guiness des mauvaises pratiques :

– Les noyaux et firmwares des appliances ne sont qu’exceptionnellement mis à jour par leurs propriétaires

– Ils le sont d’autant moins que l’équipement est à finalité grand-public ou TPE

– Le backup des données n’est pas, n’a jamais été, ne sera jamais un réflexe, ni chez les particuliers, pas plus au sein de la majorité des entreprises (et quand bien même le serait-il que les fichiers résultants ne sont que très rarement vérifiés et les restores quasiment jamais testés)

– Les NAS d’entrée de gamme ont tous été « enrichis » de fonctions étrangères au stockage de données qui fragilisent leur périmètre : systèmes de vidéosurveillance intégrés, client P2P, interfaces d’accès distant… autant de fonctions nécessitant un accès direct à cette machine depuis un réseau public

– Les logiciels, noyaux et firmwares de ces équipements ne sont jamais audités ou testés par des entreprises spécialisées ou des équipes autres que celles de l’équipementier

Un chercheur Australien, Joshua Rodgers, a découvert un défaut dans le comportement de l’authentification à double facteur de Paypal (session qui ne demande pas de mot de passe après une première authentification). Les usagers « simple facteur » ne sont pas concernés.

Conséquence de l’effet Sino-Snowdenien et d’une longue tradition de méfiance envers tout ce qui ne vient pas de l’Empire du Milieu, l’administration Chinoise, nous apprend le Quotidien du Peuple interdit aux fonctionnaires l’usage des logiciels antivirus édités par Kaspersky et Symantec. La liste officielle des outils de protection est précise : Qihoo 360, Venustech, CAJinchen, Beijing Jiangmin et Rising.

Interviewés par les reporters de Bloomberg, les responsables de Symantec ont affirmé que leurs programmes « ne comportaient pas de fonctionnalité cachée ». La direction de Kaspersky, nettement moins maladroite (et probablement plus au fait des attitudes politiques à observer dans le cadre d’une économie collectiviste) s’est contentée d’un très discret « nous travaillons sur la question ».

La réaction de Symantec est d’autant plus puérile et irréfléchie qu’en matière de sécurité, la dénégation d’une menace non formulée est pire qu’un aveu. Par construction, un antivirus est à la fois un rootkit et une backdoor. Quand bien même il ne comporterait aucun code malveillant, que ce que peuvent « pousser » les serveurs de mise à jour de signatures constituent une menace si l’on n’est pas soi-même maître du contenu expédié par lesdits serveurs. C’est d’ailleurs ce qui avait poussé la France à envisager la création d’un antivirus bleu-blanc-rouge, ni moins bon, ni meilleur que ses concurrents, mais dont l’infrastructure de mise à jour serait maîtrisée.

En outre, des années durant, la direction des différents éditeurs de logiciels de protection périmétrique US ont affirmé haut et fort qu’il était de leur devoir de patriote de se réserver le droit de ne pas bloquer qui un Magic Lantern, qui un Carnivore, qui un des nombreux outils développés par la NSA et récemment dévoilé par la publication des fichiers Snowden. Nul n’est besoin de « backdoor » pour pirater un ordinateur distant lorsque l’on est éditeur d’antivirus. Il suffit de « laisser passer », avec ou sans l’approbation d’un juge, certainement sans en avertir un quelconque ambassadeur. Sur ce point, le gouvernement Chinois est plus pragmatique que ses homologues Européens. Pour Symantec, il est difficile, voire impossible, de se refaire une virginité et tenter de conquérir des marchés étrangers après avoir, des années durant, joué la carte de la collaboration avec les autorités Fédérales.

Chaque année, entre la dernière semaine de juillet et les premiers jours du mois d’août, les thèmes des conférences données à l’occasion des BlackHat, DefCon et autres erratiques CCCcamp font la joie des médias qui affichent du sang numérique sur 5 colonnes à la Une.

Ainsi ComputerWorld, qui titre sur la liste des « automobiles les plus facilement piratables » . Entre RFID et liaisons Bluetooth, l’électronique sans fil est de plus en plus souvent intégrée dans cet univers mécanique. Dans ce cas précis, l’article fait référence aux derniers travaux de Charlie Miller et Chris Valasek (IO Active), qui avaient notamment fait l’objet d’une présentation par Miller à l’occasion de la dernière Insomni’hack de Genève. Rappelons également que l’intrusion d’un véhicule à l’aide de moyens radio de fortune avait été décrite et expérimentée par Adam Laurie (Hackito Ergo Sum 2012) et que la compromission des systèmes antivol via le bus de diagnostic automobile ODB2 avait fait l’objet d’une présentation par Karsten Nohl durant Hackito Ergo Sum.

20 minute, pour sa part, sort un véritable scoop : « Une faille de sécurité permettrait de hacker 2 milliards de smartphones » . Le scoop, tout le monde l’aura compris, c’est l’usage du conditionnel dans le titre. La présentation est signée Mathew Solnik et Marc Blanchou, deux chercheurs qui maltraitent la plateforme Android depuis quelques années et ont acquis une réputation certaine. Cette fois, nous apprend l’article original de Wired,, les deux chercheurs se sont penchés sur les outils d’administration des parcs de terminaux mobiles utilisés par les opérateurs. Les éditeurs de tels logiciels ne sont pas légions. Une faille dans le mécanisme d’authentification entre client et serveur, une femtocell compromise (ou un openBTS), et l’on peut prendre la main sur les terminaux passant à portée d’antenne pour « pousser » des mises à jours maléfiques… ou pas.

D’autres média grand-public trempent avec délice leur plume dans du pur extrait de concentré d’anxiogène. La chaine Canadienne CBC News titre « Les avions peuvent être hackés via leurs bornes Wifi ». Chaque année, l’aéronautique fait les frais d’articles de ce calibre. Inutile de prévoir l’achat d’un parachute ou la fin de l’article pour apprendre que « le risque est très faible » (sic), ce n’est là qu’une énième communication sur la vulnérabilité des femtocell reliées à un uplink satellite qui équipent certaines compagnies. Celui qui pourrait le plus en souffrir serait le directeur financier de l’entreprise télécom chargée de cette infrastructure. Mais soyons rassuré, au prix auquel est vendu la minute de communication dans un aéronef, ce n’est pas demain que ces prestataires friseront le dépôt de bilan.

Cela n’enlève rien à la qualité du travail de Ruben Santamarta (IO Active encore), qui a donc essentiellement travaillé sur les équipements de liaisons satellites, systèmes perclus de failles de sécurité longtemps laissées béantes sous prétexte que leur exploitation exigeait des moyens techniques de haut vol. On disait ça aussi des liaisons Wifi à leurs débuts.

Ouvrons ici une parenthèse pour saluer la prodigalité d’IO Active durant cette édition 2014 de la BH et de Defcon. Pas moins de 7 présentations en 5 jours. Le 7 de ce mois, par exemple, Jason Larsen parlera de miniaturisation dans les attaques Scada… un retour aux codes « one liner » en quelques sortes. Car avec la miniaturisation de l’électronique et l’efficace simplicité des automates, le « hacker industriel » ne dispose généralement que de quelques malheureux kilo-octets pour injecter son code. Refaire du Die Hard4, r00ter du RFID et du compteur à gaz intelligent exige une certaine concision de code digne des peuplades Laconiennes. Le code aussi doit être miniaturisé.

Encore un peu d’IO Active avec un habitué des conférences, Cesar Cerrudo, qui s’attaque aux infrastructures de contrôle de la circulation automobile. En d’autres mots, comment semer une pagaille monstrueuse en perturbant les feux rouges (encore du Die Hard4). A noter que ce genre de vulnérabilité touche le réseau d’au moins une (sinon deux) des trois plus grandes villes de France, notamment celle réputée pour ses cuisses de grenouilles, son tablier de sapeur et sa cervelle de canut.
D’autres présentations plus hard core, tel qu’un fuzzer de fichier ELF (Alejandro Hernandez) ou qu’une attaque des drivers graphiques de Windows (Ilja van Sprundel), moins spectaculaires, tout aussi efficaces, achèvent cette avalanche.

Karsten Nohl, le chercheur qui a fait découvrir les arcanes de l’eavedroping radio et les mystères des radios logicielles en matière de hacking sans fil, s’attaque à une nouvelle forme de plateforme matérielle : les clefs USB. Non pas, à l’instar d’un virus Stuxnet, en cachant un vecteur à l’intérieur d’un code ou d’un fichier stocké dans une mémoire flash directement accessible, mais en utilisant l’espace consacré au firmware du périphérique. Ainsi, claviers, clefs de stockage et autres périphériques (convertisseurs usb/série ou parallèle et autres cousins de la horde de composants FTDI) peuvent devenir, après exploitation, de dangereux propagateurs de charges utiles.

Comment ?Il est encore trop tôt pour en connaître tous les détails, puisque cet exploit fera l’objet d’une présentation lors de la prochaine BlackHat Conference. Mais ce que nous apprend le communiqué originel, c’est que le code de démonstration (qui se fait passer pour un HID, genre clavier ou souris) est capable d’infecter un ordinateur, que ledit ordinateur infecté est capable de compromettre d’autres clefs de la même manière (le Bootkit « track 0 » des disquettes des années 80 est encore vivant). Lequel « bootkit USB » est à son tour dans la position d’injecter un autre bootkit qui s’installera, quant à lui, sur le secteur de démarrage de l’ordinateur cible.