Une série de failles dans le navigateur Chrome fait l’objet d’un bulletin important et pousse à la mise à jour vers l’édition 23.0.1271.64. A noter que cette mise à jour intègre également le dernier correctif Adobe.

Perfidement, Bit9 en profite pour publier une étude laissant entendre que 25 % (soit près de 100 000) applications Android sur Google Play présenteraient des risques de sécurité. Chiffres à prendre avec des pincettes et sujet à interprétation. La vision optimiste d’un tel chiffre pourrait également dire « 75% des applications disponibles sur Play sont fiables »… sur de telles assertions, aucun responsable de développement n’oserait mettre sa tête sur le billot.

Les « vulnérabilités », ou plus exactement les risques de fuites d’informations et autres indiscrétions, sont celles dénoncées depuis longtemps par les experts sécurité spécialistes du Byod : Permissions trop élevées, géolocalisation quasi systématique dans 42% des programmes téléchargés –mais pourquoi un papier-peint devrait-il récupérer les données GPS du mobile, s’étonne le rapport-, près d’un tiers accèdent au numéro de téléphone voir à l’agenda de l’usager, 26% s’arrogent un accès plus ou moins direct aux données utilisateur personnelles et au courriel notamment.
F-Secure, de son côté, publie son bulletin trimestriel d’analyse des risques et menaces dans le monde de la mobilité, édition Q3 2012. Et sans surprise, c’est Android qui décroche la première place, avec plus de 51 000 menaces uniques, malgré la mise en place par Google, entre temps, d’une politique de filtrage automatique baptisées « Bouncer ». Depuis la mise en place de ce filtre, l’éditeur prétend avoir immédiatement réduit de 40 % le nombre d’appliquettes malsaines de son catalogue.

Si la récente sortie d’Android 4.1 « Jellybean » pourrait améliorer la situation compte tenu du nombre de mécanismes de sécurité ajoutés au noyau, la persistance des menaces n’est pas prête de diminuer. En effet, la proportion de terminaux, téléphones ou tablettes, capable d’être mises à jour sans « rootage » de l’appareil est encore très faible en regard du parc de terminaux en circulation.

Cédric Blancher revient sur la joute oratoire (épistolaires plus exactement) qui oppose Sophos, le Britannique éditeur d’antivirus et Tavis Ormandy. Un chercheur qui travaille au sein de l’équipe sécurité Google faut-il le rappeler, et qui avait, par le passé, déjà pondu quelques mémorables couplets dénonçant les inconsistances de cet outil de protection. Des inconsistances qui pouvaient constituer un point de faiblesse dangereusement exploitable, un comble pour un outil de sécurité informatique.

Une divulgation de faille qui provoque chez Sophos une réaction plutôt conciliante et qui peut se résumer ainsi : on aime nos clients et faisons tout ce qui est en notre possible pour colmater les défauts de nos produits, on aime Tavis Ormandy car son travail nous aide à colmater les défauts de nos produits… une copie conforme et anonyme (car signée au nom de l’équipe) de la réponse rédigée il y a un an par Graham Clueley à l’occasion de la précédente sortie d’Ormandy.

Remarquons au passage que, parmi les « victimes » des papiers d’Ormandy, certains ne le prennent pas toujours avec autant de bonne volonté. Microsoft, par exemple, a longtemps eu un certain « bug du fichier Help » en travers du compilateur. Sans parler d’autres éditeurs bien plus expéditifs qui dégainent leurs avocats et poursuivent les chercheurs en justice avant même de comprendre ce qui justifiait la publication de ladite recherche.

L’attitude est louable sans doute, mais ce n’est pas franchement assez, estime Cédric Blancher. Si Errare humanum est, perseverare est sacrément diabolicum. Bref, les promesses d’efforts de consolidation sont quasiment restées lettres mortes, ou donnent l’apparence de l’être.

Et « Sid » Blancher, prudent et objectif, de préciser que cette mercuriale visant Sophos ne dédouane pas particulièrement les éditeurs concurrents. Rien ne dit que des problèmes au moins aussi graves n’affectent pas ces logiciels. Depuis près de 10 ans, Thierry Zoller attire également l’attention sur des failles abyssales affectant la quasi-totalité des antivirus et sur la fragilité (voir l’absence totale) de mécanismes de contrôles associés aux outils de mise à jour automatique que l’on rencontre sur bien des programmes. Autant de failles, autant de risques de « botnétisation » d’un réseau de mise à jour provoquées généralement par des contrôles imparfaits de certains fichiers, ou la possibilité d’utiliser certains fichiers pour compromettre l’antivirus lui-même (précisément ce que démontre Ormandy ces jours-ci).

Qu’un antivirus soit faillible et laisse passer des vecteurs d’infection dont la signature n’est pas encore connue, passe (sic) encore. Qu’un antivirus constitue lui-même un point vulnérable dans les défenses périmétriques, cela est moins admissible. Qu’une fois ses concepteurs avertis sur des problèmes de conception ou d’architecture, ce même antivirus présente d’autres défauts encore liés à des problèmes de conception ou d’architecture et la pilule devient franchement amère. Mais qui, à part le microcosme geekesque du monde de la sécurité, se plonge avec attention dans les œuvres complètes de Tavis Ormandy ou de Cédric Blancher ? De quoi relativiser l’importance que l’on donne à la divulgation des failles de sécurité, que cette divulgation soit « full », raisonnable, responsable, collaborative ou sauvage.

L’ennui naquit un jour de l’uniformité * : Adobe prévient d’une Player nouvelle version de Flash et d’une mise à jour liée, celle de Air (http://www.adobe.com/support/security/bulletins/apsb12-24.html) . 7 CVE colmatés, les possesseurs d’I.E. 10 verront le navigateur mis à niveau via le canal Microsoft.

A peine cette rustine diffusée qu’Andrey Komarov du groupe IB, signalait l’existence d’un ZDE visant Adobe X, exploit pouvant se propager via des fichiers pdf forgés. Bien qu’encore peu répandu, le Zéro Day serait déjà intégré à la panoplie d’attaques par le kit d’exploitation Blackhole. Une courte (5 minutes) démonstration vidéo de cet exploit est disponible sur YouTube

NdlC Note de la Correctrice : l’on attribue à Montherlant un « l’ennui naquit un jour de l’uniforme ôté »… probablement une réminiscence d’une de ces réparties piquantes très XIXème siècle plus probablement sortie de l’esprit d’une lorette ou d’une courtisane.

HackRF, la radio logicielle très large bande et faible prix de Mike Ossmann (voir article du 16 juillet dernier) vient de passer à l’âge adulte, avec une version enfin unifiée sur un seul et même circuit imprimé. Nom de code : Jawbreaker, nous apprend le blog du concepteur. Le modèle a notamment été présenté à l’occasion de Toorcon 14, ce qui a valu à cet émetteur-récepteur de beaux titres dans les journaux économiques… notamment Forbes, qui nous apprend, en fin d’article, que l’aventure HackRF a bénéficié d’une aide de 200 000 dollars, somme allouée en février dernier.

Rappelons que Jawbreaker est un SDR fonctionnant avec un échantillonnage sur 16 bits (contre 24 bits ou plus pour des SDR d’entrée de gamme plus orientés télécoms que hacking) et qu’il couvre de 100 MHz à 6 GHz sans extension supplémentaire.

Une bonne raison pour ne pas « craquer » pour une liseuse électronique durant les fêtes de Noël ? La possibilité que possède le cyber-libraire de récupérer sans avertissement ni motif les œuvres légalement achetées par ses clients, déplore le blogueur Martin Bekkelund. Et de citer l’exemple d’une de ses amies qui a vu son Kindle totalement vidé des ouvrages qu’elle avait acquis auprès d’Amazon.

La question ne porte pourtant pas tellement sur un problème de DRM, mais à la fois de sécurité informatique au sens large du terme, ainsi que du droit commercial.

En supprimant à distance (cette fois pas seulement par erreur) ce que l’on pourrait considérer comma la bibliothèque privée d’une personne, Amazon a prouvé que la notion de « livre électronique » n’existait pas, ou plus exactement qu’elle ne pouvait être comparée à celle attachée à un livre « papier ». L’un se loue, l’autre se vend. On peut posséder un livre matériel, le prêter à un ami (voir le donner), le transmettre à un héritier, le revendre même. Pas un livre électronique. L’évolution des usages aidant, accompagnée par la suppression progressive des chaines d’impression, de distribution, de coédition etc., le livre électronique est en train de participer à une véritable révolution que l’on n’attendait pas : la dépossession du patrimoine culturel familial. La bibliothèque de famille n’existera bientôt plus, elle se transformera en un droit incessible, intransmissible et payable à échéance.

Ce modèle est strictement identique à celui que tentent d’imposer de plus en plus les principaux éditeurs de logiciels. Fini, le Windows 98 qui agonise à petit feu sur des machines poussives et impossibles à maintenir. Oubliée, l’antédiluvienne version de Word 97 vendue une seule fois et qui continue de générer les textes d’un informatisé passéiste qui refuse énergiquement les avantages du progrès d’office 2013. Le bon client logiciel, c’est celui qui paye peu, mais souvent. Si possible tous les ans. Et dont les productions écrites sont elles-mêmes prises en otage, quelque part sur le Cloud, sous la menace d’un renouvellement obligatoire d’abonnement.

Si, pour l’entreprise, un tel système peut s’avérer rentable (il existe après tout des plans de continuité d’activité et des contrats sérieux pour le garantir), il réserve encore quelques mauvaises surprises pour la majorité silencieuse des utilisateurs « grand public ». Lesquels sont peu à peu poussés vers un modèle de consommation de contenu éphémère. Le nuage supprime au monde civil la notion de possession de bien pour la transformer en usufruit de service. Pour l’instant, d’appliquettes GooglePlay en romans Amazoniens, de courriels virtualisés en musiquettes MP3isées, l’immense majorité semble s’en accommoder, comme c’est toujours le cas durant une période de transition technologique. Après tout, nous avons aussi sur nos étagères la collection complète des œuvres du Dumas, ou de Balzac, de Pierre Dac ou de Montaigne, de Bobby Lapointe ou de Buxtehude… voire peut-être les bonnes feuilles de Beigbeder ou de Notomb. En sera-t-il de même dans 40 ans ? Le « après nous, le déluge » de cette course aux produits culturels ou de divertissements dématérialisés (et immédiatement accessibles) pourrait bien avoir raison de la poussière des bibliothèques, de leurs « temps d’accès » lents et de leur permanence dans le temps …

… et que le facteur (de risque) a souvent tort. Cette semaine, deux articles nous racontent le déroulement d’une attaque USB sur plateforme Windows 7 64 bits. L’une technique, l’autre moins. Dans les deux cas, le risque est considéré comme étant « à minimiser en raison de plusieurs contraintes : interaction de la part de l’utilisateur (lequel utilisateur doit brancher un « machin » usb), accès à la console, ouverture de session nécessaire ». Bref, assez pour qu’un danger digne de porter la pourpre cardinalice se transforme en un traîne-savate du risque informatique à la limite du vert à peine orangé…

Le premier exploit est un véritable bijou de p0wning, et il est signé Mateusz “j00ru” Jurczyk. Son principe est simple, il utilise une faille du driver ntfs.sys pour obtenir une élévation de privilège « System ». Les détails les plus croustillants sont à lire sur le blog de l’auteur, les personnes allergiques aux dumps et à l’assembleur peuvent se reporter en bas de page, où une séquence vidéo donne une idée très précise du niveau de danger que constitue cette attaque.

La seconde exploitation, signée Andras « vsza » Veres-Szentkiralyivsza, est aussi Hongroise que la précédente était Polonaise. Elle est réalisable avec un microcontrôleur doté d’une interface USB, se fait passer pour un composant USB de type HID (donc ne nécessitant pas de pilote spécifique), genre clavier ou souris, peut activer un exécutable et faire fuir des données via les leds du clavier véritable (une astuce assez ancienne mais toujours efficace, qui pourrait même être améliorée). Une pratique assidue de la brasure des composants à montage de surface permettrait à ce « micro-espion » des temps modernes de se camoufler sans grande difficulté.

Il est assez cocasse de remarquer que les éditeurs invoquant l’excuse du « mitigating factor » lié à un accès console ou à l’ouverture d’une session sont précisément les mêmes qui crient au loup en expliquant qu’il est dangereux d’utiliser une clef USB de provenance inconnue, et également les mêmes qui distribuent, dans les allées des conférences et salons spécialisés, des clefs USB contenant communiqués de presse, programmes de démonstration, matériel promotionnel et autres innocents fichiers. Clefs dont le contenu a généralement très peu de chances de subir un contrôle sécurité aussi stricte que celui précédant la sortie d’un CD-Rom contenant une nouvelle version de (inscrire ici le nom de votre logiciel système ou de sécurité favoris).

28 novembre 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Hacking the Cloud : connaître les vulnérabilités et risques pour mieux se protéger. Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne aux matinées de CNISevent

Toutes les entreprises se lancent ou se posent la question d’entrer dans le Cloud que ce soit un Cloud particulier, hybride ou public. Ces environnements déportés s’appuient sur de nouvelles technologies afin que le business model devienne des plus intéressants d’un point de vue financier. Parmi ces nouvelles technologies, la virtualisation à tous les étages ce qui génère des problèmes de sécurité différents de ceux habituellement considérés. Stockage, réseaux, serveurs, PC, applications et maintenant data center, la virtualisation est partout.

Alors comment sécuriser le Cloud, environnements virtuels compris ? Des questions et des réponses qui seront apportés tout le long de cette matinée. Après un panorama de différentes vulnérabilités et risques potentiels, des experts de tous bords, associations dans le domaine de la sécurité, cabinets de conseil ou acteurs du domaine viendront donner des conseils et répondre aux questions. Des avocats de différents cabinets juridiques viendront également donner des conseils pour rester conforme aux différentes législations tout en étant dans le Cloud. Ils viendront débattre également autour d’une table ronde et répondre aux questions des patrons, DSI, RSSI, personnel IT ou non mais concernés par la sécurité.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL (Correspondant Informatique & Liberté), les avocats et juristes de l’entreprise, les consultants également. Tous sont concernés par la sécurité dans le Cloud et la virtualisation des environnements informatiques. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Vulnérabilités et risques dans le Cloud, tour d’horizon par Jean-Marc Grémy, Vice-Président du Clusif,
• 9H20 –  Expert terrain, point de vue d’un acteur du secteur,
• 9H40 – Conseils, guide et expertise, par Chadi Hantouche, Expert Sécurité chez Solucom,
• 10H00 –« Maîtriser ses données dans le cloud computing », risques pour la disponibilité des données, transferts de données personnelles hors Union européenne, mise en place d’un cloud en gardant la maîtrise de ses données et Cloud souverain, par Frédéric Connes, HSC Consulting ,
• 10H20 – Minute Juridique : les impacts juridiques du Cloud sur les entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions
• 10H40 – PAUSE Networking
• 11H00 – Démonstration d »une attaque DDoS, par Philippe Langlois, CEO P1 Security,
• 11H20 – Panel sur « Hacking the Cloud : vulnérabilités, risques, conseils et solutions» avec Isabelle Renard, avocate et membre de l’AFCDP, Nicolas Ruff, chercheur chez EADS, département R&D et membre de diverses associations telle l’OSSIR, qui donnera son point de vue sur les vulnérabilités potentielles, Olivier Caleff, Directeur du CSIRT chez Devoteam et membre du Cloud Security Alliance qui détaillera les actions et conseils du CSA et un acteur qui donnera ses conseils en la matière. Animé par un analyste IT, Bertrand Garé
• 12H 05– Clôture de la conférence

28 novembre 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Hacking the Cloud : connaître les vulnérabilités et risques pour mieux se protéger. Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne aux matinées de CNISevent

Toutes les entreprises se lancent ou se posent la question d’entrer dans le Cloud que ce soit un Cloud particulier, hybride ou public. Ces environnements déportés s’appuient sur de nouvelles technologies afin que le business model devienne des plus intéressants d’un point de vue financier. Parmi ces nouvelles technologies, la virtualisation à tous les étages ce qui génère des problèmes de sécurité différents de ceux habituellement considérés. Stockage, réseaux, serveurs, PC, applications et maintenant data center, la virtualisation est partout.

Alors comment sécuriser le Cloud, environnements virtuels compris ? Des questions et des réponses qui seront apportés tout le long de cette matinée. Après un panorama de différentes vulnérabilités et risques potentiels, des experts de tous bords, associations dans le domaine de la sécurité, cabinets de conseil ou acteurs du domaine viendront donner des conseils et répondre aux questions. Des avocats de différents cabinets juridiques viendront également donner des conseils pour rester conforme aux différentes législations tout en étant dans le Cloud. Ils viendront débattre également autour d’une table ronde et répondre aux questions des patrons, DSI, RSSI, personnel IT ou non mais concernés par la sécurité.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL (Correspondant Informatique & Liberté), les avocats et juristes de l’entreprise, les consultants également. Tous sont concernés par la sécurité dans le Cloud et la virtualisation des environnements informatiques. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Vulnérabilités et risques dans le Cloud, tour d’horizon par Jean-Marc Grémy, Vice-Président du Clusif,
• 9H20 –  Expert terrain, point de vue d’un acteur du secteur,
• 9H40 – Conseils, guide et expertise, par Chadi Hantouche, Directeur Sécurité chez Solucom,
• 10H00 – « Maîtriser ses données dans le cloud computing », risques pour la disponibilité des données, transferts de données personnelles hors Union européenne, mise en place d’un cloud en gardant la maîtrise de ses données et Cloud souverain, par Frédéric Connes, HSC Consulting,
• 10H20 – Minute Juridique : les impacts juridiques du Cloud sur les entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions,
• 10H40 – PAUSE Networking
• 11H00 – Démonstration d »une attaque DDoS, par Philippe Langlois, CEO P1 Security,
• 11H20 – Panel sur « Hacking the Cloud : vulnérabilités, risques, conseils et solutions» avec Isabelle Renard, avocate et membre de l’AFCDP, Nicolas Ruff, chercheur chez EADS, département R&D et membre de diverses associations telle l’OSSIR, qui donnera son point de vue sur les vulnérabilités potentielles, Olivier Caleff, Directeur du CSIRT chez Devoteam et membre du Cloud Security Alliance qui détaillera les actions et conseils du CSA et un acteur qui donnera ses conseils en la matière. Animé par un analyste IT, Bertrand Garé
• 12H 05– Clôture de la conférence

Côté sécurité logicielle et infrastructures, GreHack a apporté son lot de présentations à la fois originales et opportunes. Mathieu Renard (Sogeti/Esec), qui a souvent parlé de sécurité des noyaux IOS, revient sur le sujet, avec une analyse détaillée des quelques « points d’entrée » remarquables. Et c’est par une attaque « presque hard » (le branchement d’un iPhone sur une station d’accueil) qu’il commence sa conférence et ouvre le feu avec une première faille ou possibilité de backdoor exploitant ensuite le l’Apple File Communication protocol. Certes, le noyau est inaccessible, mais l’espace utilisateur, là où photos, musiques, données et fichiers de préférence sont stockés, peut être pillé à volonté. On imagine immédiatement comment une « borne publique de recharge gratuite de batterie » peut se transformer en une formidable p0wn console. Le second coup porté est un peu plus classique, puisqu’il repose sur l’extraction de données des fichiers de backup créés automatiquement par iTunes, attaque qui donne accès au SMS, journaux d’appels, fichiers générés par les appliquettes et données stockées dans les keychain (API chaînes de clefs). Rappelons que le sujet a fait l’objet de nombreuses publications, analysées et vulgarisées notamment par l’institut Fraunhaufer, sans oublier les développements sur ce même sujet de la part de Jean-Baptiste Bédrune et Jean Sigwald (également de Sogeti / ESEC) lors de Hack in the Box 2011.

Lorsque l’appareil est jailbreaké, le champ exploratoire s’étend brutalement : déchiffrement et reverse des applications écrites en Objective C, récupération des informations utilisateur, installation d’applications « rogue » (notamment un proxy chargé d’intercepter les communications réseau), voler les clefs de chiffrement des applications… tous les détails ( transparents et texte de la présentation) sont à récupérer sur les serveurs de l’Ensimag.

Les tentatives d’intrusion sur les périphériques mobiles étaient également en question au cours de la conférence de MM Boris Balacheff et Dave Penkler (HP), qui abordaient un sujet épineux : l’administration du Cloud Computing et de l’entreprise mobile. Approche nettement moins technoïde que les précédentes présentations, mais pas franchement moins complexe. Le discours de ces deux chercheurs s’attachait à dresser un inventaire, une cartographie des questions soulevée par la disparition du périmètre de l’entreprise, avec d’une part des serveurs envoyés « dans le nuage » (services externalisés par exemple) et des « endpoint » éparpillés dans la nature et utilisant une multitude de médias d’accès (GSM, Wifi, Bluetooth, NFC/RFID…), dont certains relativement peu fiables. Tableau qui devient d’autant plus infernal que les espaces de stockage et de traitement sont souvent à touche-touche (lorsqu’ils ne sont pas mélangés) avec l’informatique et les données familiales, les applications privées de provenance inconnue, les liaisons non maîtrisées par les outils et politiques de sécurité d’entreprise. A ces dangers, quelques solutions : le MDM (mobile device management), le chiffrement, la virtualisation et cloisonnement des espaces de travail, les VPN, les applications métier « maison ». Tout ne peut pas être protégé avec une absolue perfection, d’autant plus que bien des pans de ce modèle architectural échappent totalement aux RSSI et DSI, qui sont alors contraintes de reposer sur des relations de confiance. Avec les fournisseurs de services Cloud, avec les opérateurs, avec les fabricants d’équipements (qui pratiquent une politique du best effort comportant elle-même des imperfections).

Signalons enfin, parmi les nombreux autres exposés, celui de Olli-Pekka Niemi et Antti Levomaki de Stonesoft, consacré sans grande surprise aux techniques de contournement des firewall de nouvelle génération ou encore l’intervention impressionnante de savoir signée Yann Stephan, qui a emporté l’assistance dans le domaine parfois aride du reverse des programmes écrits en C#.

Longtemps, le hack matériel était absent des conférences sécurité, exception faire de certaines analyses et reverse engineering de VLSI chevelus à coup d’acide et de microscopes surpuissants. Hacker du matériel faisait partie de la famille rocket science, donnant ainsi du silicium l’illusion d’une fiabilité absolue. Sécurité par l’obscurantisme et par manque de communication réelle entre savants de ces deux mondes que sont le logiciel et le matériel. Puis l’on a constaté un point de basculement aux alentours de 2009/2010, avec les premières publications de Joanna Rutkowska sur les bugs des processeurs Intel, des nombreux élèves de l’école « jtag hacking » ou des partisans de la compromission d’Eprom ou d’interception et analyse sans fil (Brossard/Demetrescu, Karsten Nohl, Mike Ossmann, Renaud Lifchitz etc.)… sans oublier Stuxnet, le premier virus officiellement casseur de matériel. Grehack possédait donc en toute logique son volet matériel.

La plus amusante était sans conteste celle de « Phil », honorable membre de l’Institut des bricoleurs indépendants, qui a conduit ses auditeurs dans un voyage technostalgique au pays du cryptage (et non nécessairement du chiffrement) des chaines de télévision payantes Françaises. Une aventure pleine de rebondissements qui débute avec les premières cartes à base de lignes à retard, de mélangeur équilibré MC1496 et inspirée d’un article publié dans les colonnes de la revue Radio Plan. Puis viendront les systèmes Discret, SysTer (Nagravision), et à chaque fois la naissance de décodeurs pirates puis, lorsque les mécanismes d’embrouillage deviennent trop complexes, de clonages de cartes à puce officielles. La télé payante passe au satellite. Changement de médium, changement de protection (Mediaguard) … les décodeurs deviennent communicants, et une petite communauté d’usagers officiels partagent le « secret » du désembrouillage TV devenu quasi inviolable par le biais des méthodes classiques, mais tout à fait contournable. C’est peut-être là la morale de l’histoire et la limite d’un mécanisme de protection lié à une base matérielle lourde à faire évoluer, et qui se veut à la fois pérenne et destinée à un parc d’usagers très vaste.

Hack matériel encore avec une présentation de Ari Takanen/Rikke Kuipers (Codenomicon), dans le droit fil de l’exposé précédent, mais englobant cette fois un champ plus important : le fuzzing des équipements électroniques grand public, et plus particulièrement les nouvelles générations de téléviseurs. Des téléviseurs interconnectés, conçus par des entreprises qui sont très éloignées des problématiques de sécurité informatique, et qui pourtant jouent avec des mécanismes que l’on sait ou que l’on devine vulnérables, principalement en raison d’erreurs d’intégration plus que de conception. Du côté des protocoles de transmission, tout d’abord, avec les DLNA, IPv4, DVB etc., du côté également des électroniques associées, venues tout droit du monde des microordinateurs : mediacenter, boîtiers-décodeurs, interfaces réseau… « En fuzzing, il n’y a pas de faux positif ». A tous les coups l’on gagne, explique Takanen. Et les recherches conduites par l’éditeur Finlandais montrent que les failles sont nombreuses, que « pas une des TV nouvelle génération a su résister à une attaque via DVB ». Jusqu’à présent, jamais le monde des blackhats n’avait eu un tel réseau tentateur à portée de main. Car le téléviseur moderne devient peu à peu, outre un appareil de diffusion passive, une interface familiale d’accès aux réseaux sociaux, aux canaux de sites marchands, aux vendeurs de contenus. Il y a donc là matière à récolter de la donnée personnelle ou détourner des moyens de payement. Et puis, quel beau botnet qu’un botnet de téléviseurs intelligents connectés à Internet… le parc n’a plus rien à voir avec celui d’une informatique informaticienne. Il s’étend même au-delà du simple meuble multimédia, s’interconnecte avec les autoradios et les multiples électroniques mobiles associées (téléphones, appareils audio-vidéo embarqués etc.). De telles perspectives vues avec l’éclairage du passé microinformatique nous réservent des réveils pénibles et des nervousses brékdonnes bien plus violentes qu’une vague Conficker ou qu’un bug de l’an 2000.