Archives

Salle comble, avec 160 participants, des intervenants venus du monde entier, des conférenciers aussi passionnants que réputés, un éclectisme des thèmes abordés digne d’un Hackito, un rigorisme technique tout universitaire : GreHack, la toute première conférence sécurité organisée dans le cadre de l’Ensimag (http://ensimag.grenoble-inp.fr/) de Grenoble, laisse présager un avenir prometteur. C’est en effet pour l’heure la seule conférence sécurité se déroulant dans le quart sud-est de la France, à à-peine plus d’une heure de route de Lyon et d’Annecy, à portée d’autoroute de la région Paca, autrement dit en prise directe avec la seconde et la troisième plus grande ville de France. Il ne faudra pas rater l’édition 2013, et espérer qu’elle ne souffrira pas de « l’effet Sttic », cette lutte acharnée pour l’obtention d’une place durant la courte demi-journée d’ouverture des réservations.

Pourtant, pour Fabien Duchène, l’un des organisateurs de la manifestation, la partie n’était pas jouée d’avance. « Il fallait tout d’abord inciter des chercheurs à venir, des chercheurs capables d’offrir aux participants des travaux originaux, et non pas de nous ressortir une présentation ayant déjà été inscrite au programme d’une autre manifestation. Il était ensuite nécessaire que ladite recherche offre toutes les garanties de sérieux et de précision qu’une telle manifestation exige… beaucoup n’ont pas passé le filtre du comité de lecture »… l’une d’entre elle a même été annoncée sur le site Web de GreHack puis refusée in-extrémis.

Il faut dire que la barre a été placée assez haut, avec, en « guest star », une analyse de Kostya Kortchinsky (dans une allocution en direct de Seattle) des possibilités d’exploitation des failles Windows depuis les années 2000. Analyse, précisait l’intervenant, qui n’était en aucun cas l’expression officielle de son employeur (Microsoft) mais le résultat de plusieurs années d’analyse et, précisément, de recherche d’exploits. Kortchintsky travaillait récemment encore pour Dave Aittel, fondateur d’Immunity Sec, entreprise spécialisée dans les tests de pénétration. Sans exploit, pas de pentest, sans expert, pas d’exploit.

Plus qu’un passage en revue à la sauce « trustworthy computing », c’était là une dissection des contre-mesures et des multiples améliorations que Microsoft a apporté au fil du temps à son noyau et applications (DEP, ASLR entre autres choses). Discours appuyé par quelques exemples dont la fameuse faille « ani » CVE-2006-4777, le trou Upnp MS07-019/ CVE-2007-1204 ou la faille TCP/IP MS10-009 largement commentée. Largement commentée mais pas franchement largement exploitée. « depuis 2009, il n’y a pas eu d’exploitation remarquable du code Windows » estime Kostya.
Cette présentation « core code » en suivait une autre, plus « infrastructure », celle d’Eric Freyssinet, sur un sujet déjà abordé mais tellement polymorphe et complexe : la typologie des botnet. Les transparents de cet exposé sont disponibles sur les serveurs de GreHack, tout comme ceux de bon nombre d’autres intervenants.

Une typologie nécessaire, car le Botnet, c’est le fourre-tout de la cyberdélinquance, le véhicule (ou plus exactement le réseau) qui favorise la circulation de spam, de virus, d’opérations scareware, de trafics divers, le tout lié à des filières de blanchiment d’argent. Peu d’organismes publics ou indépendants se sont penchés sur ces toiles complexes. Dancho Danchev à l’époque où il était chercheur indépendant, quelques experts de l’Unicri comme Raoul Chiesa, aucun, pourtant, n’a observé une démarche aussi méthodique et complète. A ne pas lire avant de se coucher, on finirait par voir des cybertruands de partout.

Le CNRFID et le CNR Santé organisent du 5 au 7 novembre 2012 à Nice, la 3ème édition de l’International RFID Congress. Au programme, les RFID et NFC dans la santé, l’autonomie et le bien-être. En ces temps où il ne se passe pas un mois sans un hack magistral et la mise en évidence d’énormes erreurs d’intégration de ces technologies, ce complément d’information arrive à point nommé.

L’accès à cette manifestation est gratuit pour les professionnels concernés, mais l’inscription préalable est obligatoire.

Les 10 sujets de conversation les plus « trollesques » du monde de la sécurité ? C’est Richard Bejtlich qui les énumère dans un court billet humoristique. D’autres idées ?

Il n’est de meilleure incitation à la migration des logiciels Microsoft que le Cloud Google : après l’annonce d’abandon de compatibilité avec Internet Explorer 8, la Schmidt Company déclare vieillots et frappés d’obsolescence, les formats .doc, .xls et .ppt

C’est dans le milieu de la journée du samedi 22 septembre (en France) que la rustine ms12-063 a été « poussée » par les serveurs de Microsoft Update.

Microsoft encore, Internet Explorer toujours : une mise à jour Flash Player pour IE 10 a fait l’objet d’une émission de correctifs. L’intégration de Flash de manière native dans la plus récente version des MS-navigateurs risque de nous réserver quelques surprises et pas mal de correctifs hors calendrier à l’avenir. Car désormais, ce ne sera plus à Adobe, mais à Microsoft qu’échoira la responsabilité de maintenir ce qui est considéré par beaucoup comme le bâton de poulailler des navigateurs.

Au total, cinq trous ont ainsi été colmatés : le couple MS12-063 et 2755399 est donc un « cumulatif IE out of band » fragmenté. Une nouvelle tendance ?

On ne sait s’il faut hurler de rire ou se lamenter devant tant d’inconséquence, lorsque l’on se plonge dans la lecture du papier de Radu Dragusin, expert sécurité travaillant pour le compte du Danois FindZebra : près de 100 000 login et mots de passe de membres de l’IEEE* étaient stockés en clair sur une ressource ftp, parmi un amoncellement de données diverses : statistiques de serveur Web, historique des requêtes http etc. Dragusin, dans sa grande sagesse, ne publie aucun passage, même savoureux, des données exposées. Rappelons toutefois que l’IEEE donne souvent des avis sur l’usage des protocoles sécurisés, légifère sur ceux que l’on doit adopter, et émet régulièrement des conseils de bonne pratique avec un ton qui fleure plus l’oukase technique que l’amicale suggestion.

Notons toutefois que notre spécialiste Danois s’est livré à un petit jeu statistique sur la distribution et la solidité des mots de passe utilisés par les membres du réseau de l’IEEE. On y trouve en première place l’inévitable 1234, le nécessaire 123456, ainsi que le plus évolué 12345678 ou l’extraordinairement complexe 1234567890, sans oublier les habituels Password et Admin. On ne peut exiger de l’IEEE une politique de sécurité plus élaborée que celle de la Banque de France, tout de même.

*ndlc Note de la Correctrice : IEEE, docte organisme de normalisation d’Outre Atlantique signifiant « Institute of Electrical and Electronics Engineers ». Leur IETF à eux, en quelques sortes. Les gens branchés prononcent ce sigle à l’américaine, en prononçant « Aille tripeul-hi », ce qui n’a bien entendu strictement aucun rapport avec la capitale de la Libye. Mais ça fait très bien dans une conversation.

Certains hacks sont parfois simples comme un coup de fil. Ainsi nous le prouve la vidéo de la présentation tenue par Ravi Borgaonkar à l’occasion de la dernière conférence Ekoparty. Le principe de l’attaque est simple et repose sur l’utilisation du protocole USSD (Unstructured Supplementary Service Data). Un protocole destiné aux échanges client-serveur entre un terminal GSM et un service d’opérateur par exemple. Ainsi, le lien 06 exécute la commande tel : * # 06 # qui affiche le numéro IMEI de l’appareil sans que l’abonné n’ait à taper quoi que ce soit : le démon est dans l’URL. Certains téléphones sous Android acceptent ce genre d’ordre sans demander leur reste, d’autres (les appareils sous IOS notamment) réclament une confirmation… de façon assez hermétique pour qu’un usager peu méfiant accepte sans trop se poser de question. Une majorité de ces ordres sont silencieux, généralement employés par les opérateurs pour activer ou invalider un service ou une fonction auprès des abonnés

Mais parfois, certains codes USSD vont un peu plus loin, explique le chercheur Indien. Notamment chez Samsung, qui a enrichi le vocabulaire interne de son S3 avec une commande d’initialisation des paramètres. Il n’y a que l’espace d’une macro entre un terminal opérationnel et un téléphone amnésique.

Les quelques médias Français qui relatent l’évènement parlent de « faille ». Certains même qualifient ce léger problème d’interprétation des normes comme « terrifiant » et stigmatisent les productions Samsung. Or, l’éclairage donné à ce genre de bug d’intégration touche la totalité des téléphones mobiles, intelligents ou non d’ailleurs. Il y a de fortes chances que dans les jours qui suivent, l’exposé de Ravi Borgaonkar incite pas mal de hacker à fuzzer et bruteforcer leurs propres téléphones à tire-larigot, for fun and profit, cela va sans dire. Les habitués du monde de la sécurité ironisent : « it’s not a bug, it’s a feature ». Une feature qui permet d’envisager quelques amusantes opérations qui rappellent le temps pas si éloigné des fichiers « .com » qui n’étaient pas des URL ou des injections javascript dans les adresses Web.

139 447 zombies du Botnet ZeroAccess sur Google Map, une capture d’écran qui peut être téléchargée sur le blog F-Secure au format CSF/KML. A regarder en lisant le rapport Sophos sur ZeroAccess

Un « gros » trou dans le protocole d’authentification de certaines versions d’Oracle a été découvert par Esteban Martinez Fayó (AppSec) nous apprend Dark Reading …

Il n’est pas sorti de l’œuf que l’on prévoit déjà un moyen de l’assassiner avant même son démarrage. Il, c’est naturellement Windows 8, par le biais précisément de UEFI (Unified Extensible Firmware Interface) l’un de ses mécanismes d’extension Bios que l’on disait aussi sécurisé que les couloirs de Fort Knox. Il serait donc possible, expliquent les techniciens d’IT Sec, entreprise transalpine des environs de Pérouse, de concevoir un malware s’exécutant durant le boot, capable de désactiver au passage les mécanismes de vérification de signature des pilotes ainsi que la fameuse « kernel patch protection » dont la création avait fait hurler d’indignation bon nombre d’éditeurs de logiciels antivirus. L’esprit de Rakshasa n’est pas mort.