Archives

Dans la sphère Apple, le hack des spécialistes du Jailbreak de machines IOS 6.1 autorise la consultation du carnet d’adresse et la composition de numéros de téléphones. Il sert à contourner l’écran d’introduction du code d’accès à l’aide de multiples opérations utilisant notamment la fonction d’appel du « numéro d’urgence ». La succession de manipulation est tellement alambiquée que l’on se croirait presque revivre la période des « easter eggs » cachés dans les applications Microsoft. Soit les hackers de JBN sont des sorciers de l’opération improbable et des dieux de la découverte des séquences de touches diaboliques, soit le trou de sécurité était intégré « by design ».

Deux hacks de « purs hackers » visant des smartphones ont fait l’objet de présentations cette semaine de la part de deux équipes de chercheurs différentes. L’une, Allemande, qui révèle comment casser le chiffrement d’un périphérique Android 4.0 et l’autre, signé JailBreakNation, explique comment contourner les protections d’IOS 6.1.

Le premier hack a fait l’objet d’une communication de MM Tilo Muller et Michael Spreitzenbarth de l’Université d’Erlangen-Nuremberg. Une version expurgée des travaux est également disponible sur le site Web de l’Université. Dans les grandes lignes, les deux universitaires se sont rendus compte que le contenu de la mémoire de travail de certaines machines Android tel que le Galaxy SIII ne se vidait pas brusquement lorsque l’on éteignait l’appareil, mais disparaissait progressivement durant les 6 secondes suivant le « shutdown ». Cette rémanence des informations peut être prolongée avec un procédé vieux comme l’invention de la mémoire C-Mos : le refroidissement. C’est donc en collant leurs téléphones-test dans un congélateur, en le rebootant, puis en interrompant le processus de boot avec un programme de leur composition que ces deux chercheurs sont parvenus à « dumper » la mémoire vive d’avant-boot… pour y récupérer notamment la clef de déchiffrement donnant accès aux données enregistrées dans l’espace de stockage permanent. Les informations disparaissant tout de même complètement après les fatidiques 4 à 6 secondes d’extinction, l’opération de récupération de la clef (à savoir la congélation de l’appareil) doit être largement préalable au reboot du téléphone : il faut le congeler avant de le vider, le téléphone n’a donc aucun lien de parenté avec les poissons.

Si ces conditions sont réunies, les deux chercheurs affirment pouvoir récupérer 100% du carnet d’adresse, des clefs d’accès Wifi, de l’historique des Apps, des « onglets » d’images prises par l’appareil, du code PIN de déverrouillage et bien sûr des clefs de chiffrement des données. Les photos haute résolution, les emails et SMS, les entrés du calendrier peuvent être extraites avec quelques imperfections, la table des appels les plus récents et les coordonnées GPS étant généralement perdues. Il est donc recommandé de se méfier de toute personne qui se promène dans la rue en traînant un congélateur.

Le programme permettant de bloquer la séquence de boot et de dumper le contenu de la mémoire (baptisé Frost, pour Forensic Recovery of Scrambled Telephones) peut être acquis par « les responsables forensique des forces de l’ordre d’Europe ». Rectification du chapitre précédent, le frigo du laboratoire mobile de l’IRCGM devra contenir un peu moins de bière.

Pour l’instant, il ne s’agit que d’une alerte portant sur deux failles distinctes affectant Adobe Reader et Acrobat XI. Alerte considérée comme « critique » car faisant l’objet d’une exploitation au moins dans le monde Windows (mais le communiqué est assez clair sur l’existence du risque sur plateforme Macintosh). Ces deux vulnérabilités peuvent être utilisées pour provoquer un crash de l’application (un déni de service ne justifie que rarement une qualification de « critique »), mais peuvent également être utilisées pour prendre contrôle à distance de la machine cible. Aucun détail technique n’est divulgué pour l’instant de la part de l’éditeur, mais l’inventeur du trou , FireEye, est un peu plus prolixe sur le sujet : l’attaque utilise un Javascript qui s’adapte en fonction de la version d’Acrobat Reader installé, contourne les protections ASLR et DEP, puis récupère une charge utile sous forme de DLL qui se fait passer pour un add-in linguistique.

Un correctif « out of band » doit donc être prévu dans les jours ou les heures qui suivent.

Le premier à avoir diffusé l’information semble être le blogueur Jim Romenesco, qui signalait le piratage des messages d’urgence de la chaine KRTV (Great Falls, Montana). Ces messages, généralement des alertes météorologiques, sont diffusés en incrustation sur les écrans des chaines TV partout sur le territoire des USA. Le 11 février dernier, l’alarme ne concernait pas une avalanche ou un risque de tornade touchant le Montana, mais l’apparition d’une horde de mort-vivants errant dans les rues de Great Falls, petite ville déjà réputée pour ses apparitions d’Ovnis et pour sa « rivière la plus courte du monde ». Le message incitait les habitants à ne surtout pas approcher ces corps, les zombies étant considérés comme extrêmement dangereux.

Le détournement de systèmes d’adressage public est un phénomène vieux comme le monde. En France, nombreux ont été les panneaux électroniques d’affichage municipaux qui ont servi à diffuser des canulars divers et autres contenus souvent provocateurs. Le hack des systèmes de prévention fait fréquemment l’objet de présentations spectaculaires lors de bien des conférences de sécurité (le système RDS notamment, en a fait les frais). Dans pratiquement tous les cas, ces attaques prouvaient qu’aucun mécanisme de protection ou de contrôle d’accès n’avait été prévu par les concepteurs du système, lesquels estimaient que le médium de diffusion était par trop technique pour être compris par d’éventuels hackers. C’est ainsi que des affichages municipaux se sont vus télécommandés par de simples Minitels et que des terminaux GPS ou RDS ont pu prendre les vessies de hackers malicieux pour des lanternes d’opérateurs légitimes.

L’histoire ne dit pas si Georges Romero , célèbre réalisateur de la « nuit des morts-vivants », a alerté le MPAA dans le but de poursuivre les auteurs de ce hack en vertu de cette évidente atteinte au droit d’auteur.

L’exposition publique d’une partie de la correspondance privée de la famille Bush fait la Une de The Smoking Gun. Un hack signé Guccifer, qui lui vaut un taux de 122000 hits sur une requête Google

Un billet sur le blog de Bit9, fournisseur d’outils et de solutions de sécurité, apprend à ses clients que son propre réseau interne fait l’objet d’une attaque en règle, et qu’au moins trois de ses clients auraient été frappés par un malware « garanti » par un certificat portant le sceau de l’éditeur. Les anciens certificats compromis ont été bien entendu révoqués, mais trop tard pour les victimes visées. Selon l’éditeur, les productions mêmes de Bit9 ne seraient pas affectées par ce hack.

Plantureux, ce correctif de février. 12 bouchons, un total de 57 CVE, et 5 rustines estampillées « critiques » laissant entendre un indice d’exploitation élevé. Ces trous dangereux concernent VML, Echange Server, Internet Explorer (13 CVE à lui tout seul), un mécanisme de décompression de fichiers multimédia, le système Windows XP. On remarquera également le bouchon MS13-016, un correctif « fourre-tout » concernant les pilotes bas niveau de Windows et offrant des possibilités d’exploitation débouchant sur une élévation de privilège : 30 CVE en un seul patch

Frère siamois du bulletin mensuel de Microsoft, celui d’Adobe ne compte « que » 17 CVE et concerne toutes les plateformes supportant Flash Player et Air. Il faut dire que c’est la seconde fois de la semaine que l’éditeur « pousse » un lot de correctifs, deux CVE exploités « dans la nature » ayant justifié la publication d’un correctifs hors calendrier. Le Psirt d’Adobe signale, pour sa part, l’exploitation « dans la nature » de failles affectant Adobe Reader ainsi que Acrobat XI (11.0.1) et versions antérieures.

Google, une nouvelle « page de bonne pratique sécurité », en Français dans le texte

MalwareByte, éditeur d’antivirus, se lance dans l’autopsie d’un malware utilisant, à l’instar des Stuxnet/Flame et consorts, des certificats légitimes. L’infection se propage via un pdf forgé et se « met à niveau » après coup.

Kaspersky, éditeur d’antivirus, a diffusé en ce début de semaine une mise à jour référencée 8.1.0.831 qui a verrouillé le trafic http de milliers de machines encore sous Windows XP. Un correctif de correctif a été diffusé dans la foulée …