Archives

Alors que bien des réseaux sociaux, entreprises et particuliers utilisent encore l’antique algorithme de hachage SHA1 (régime sans sel), réputé faillible, voici que le NIST se prépare à annoncer le vainqueur du concours SHA3.

Le départ de la course est annoncé le 31 octobre 2008, après un appel d’offre relativement médiatisé dans les milieux spécialisés. Le starter retentit, les concurrents abordent la ligne droite et l’on entend rugir les ventilateurs de processeurs graphiques. Le 10 décembre ; ils ne sont plus que 51 candidats retenus. Puis c’est l’hécatombe. Le 24 juillet 2009, 14 compétiteurs restent en lice, après un gymkhana mathématique aussi meurtrier que le virage de Mulsanne, dans lequel 37 algorithmes y perdront la vie. Le filtrage des premiers comités scientifiques aura été sans pitié. Mais la course continue, les finalistes s’épuisent, seuls les plus résistants aux attaques se disputent la corde. Le 9 décembre 2010, ils ne sont plus que cinq, BLAKE, Grøstl, JH, Keccak, et Skein, tous sur le point d’entamer le dernier tour qui doit durer plus de 3 ans. Le 16 janvier 2011, les équipes achèvent les dernières opérations secrètes de « tuning » : plus qu’une année de consultation publique. On passe la chicane des tribunes, la ligne d’arrivée est peinte en rouge à la fin 2012. La foule des cryptoanalystes en délire hurle et encourage ses favoris. On a même vu Bruce Schneier brandir une pancarte clamant « Go, Skein, Go », et soutenir mordicus qu’il y aura un vainqueur… car le Nist peut très bien décider d’organiser une nouvelle course si le résultat ne lui convient pas. Ah, que la vie des spécialistes du chiffrement est palpitante et pleine d’imprévus

Le 15 novembre prochain, Google n’assurera plus le support des applications « Google Apps » sur Internet Explorer 8, forçant quelques millions d’utilisateurs attachés à leur Windows XP à changer de navigateur… à tout hasard Chrome ?

Principale raison évoquée : l’adoption de HTML5. Ce qui laisserait sous-entendre que même I.E. 9 serait à terme en partie dépassé, et que la migration vers I.E.10 (pour les inconditionnels de Microsoft) constituerait la seule échappatoire possible. Reste que ces navigateurs de nouvelle génération ne sont guère compatibles avec les vieux, très vieux noyaux. Le Cloud, dont le principal argument reposait précisément sur cette non-obligation de participer l’escalade technologique du « endpoint de plus en plus sophistiqué », souffre en fin de compte des mêmes maux que les défunts « thin clients » trop peu évolutifs dont on devait renouveler le parc aussi souvent que de poste de travail « lourd ». Une illusion du Cloud s’évapore, celle des économies réalisées au niveau d’un terminal prétendument immuable et pérenne.

Oh, la perfide (et troublante) remarque rédigée sur le blog d’Eric Romang. L’auteur constate qu’il y aurait une étonnante relation entre la découverte de certaines failles exploitables par quelques chercheurs de TippingPoint et la naissance de quelques malwares. Le lien est d’autant plus facile à faire que chaque faille est revendiquée et immatriculée par l’index CVE tenu par le NIST.
Or, fait remarquer Romang, TippingPoint déclare officiellement « vendre de l’exploit » aux « organisations » (généralement gouvernementales). En outre, il faut garder en mémoire que l’entreprise est depuis le début des années 2000, un acteur connu du monde des IDS, avec une compétence telle que 3Com s’en est porté acquéreur… un 3Com qui, en 2005, a été absorbé par Hewlett Packard. En d’autres termes, une faille découverte par TippingPoint est très rapidement intégrée et « poussée » dans les bases de connaissance des IDS HP, très souvent avant même que l’éditeur concerné n’ait lui-même écrit les premières lignes de sa rustine logicielle. Et notre blogueur sécurité de préciser au passage, à propos de la faille CVE-2012-4969 (celle-là même qui est corrigée par la rustine « out of band » MS12-63) que celle-ci était connue du MSRC Microsoft depuis au moins un mois.

Ce qui fait se poser à l’auteur un certain nombre de questions : une fuite au sein du ZDI ? Une erreur de crédit en paternité de la part de Microsoft ? Un « reverse » des correctifs poussés sur le réseau de mise à jour des IDS Hewlett Packard ? Une fuite chez un client ayant acheté cet exploit auprès du ZDI ?

A ceci, David Maynor rappelle qu’il avait, lors de la BlackHat 2007, publié un article intitulé A simpler way of finding 0day . Papier qui explique combien il peut être simple de se lancer dans le « reverse engineering » des correctifs émis à destination des IPS/IDS et ainsi devenir le Number One des auteurs de Zero Day.

Vieux débat, vieilles craintes et problème sans solution réelle. Il y a toujours eu, depuis l’invention du gourdin et du casse-tête en silex, une course au savoir, une course à la contre-mesure. Course qui nous apprend que l’évolution des risques n’est pas une succession de menaces (il y a eu les virus boot, puis les virus furtifs, puis les botnets…) mais une accumulation de menaces (il y a les virus boot ET les virus furtifs ET les botnets…) qui étend progressivement le front défensif des systèmes d’information. C’est d’ailleurs la raison pour laquelle il est bon de rappeler que personne ne peut espérer se protéger en respectant de prétendus « basics » que l’on aurait oublié par hasard avec le temps. Les stratégies de défense des SI deviennent de plus en plus complexes, de plus en plus coûteuses… et surtout de plus en plus sujettes à des compromis.

Reverse des rustines virtuelles expédiées vers les outils de défense périmétrique ou fuite d’information, peu importe. L’affaire du CVE-2012-4969 et la remarque d’Eric Romang nous rappellent que la fenêtre de vulnérabilité s’ouvre dès qu’un chercheur découvre une faille et y associe un exploit (et non pas en date de l’alerte de l’éditeur), et ce, quelles que soient les mesures de conservation du secret qui protègent cette découverte. C’est là une donnée importante dans l’appréhension des analyses de risque et dans l’établissement de métriques sérieuses, et qui nécessite à la fois une véritable transparence et une grande rapidité des outils de traitement d’informations relatives aux menaces.

Et la réponse est « 900gage!@# ». Il s’agit du mot de passe donnant accès au panneau de contrôle du virus-espion Flame, explique une très longue et très détaillée analyse du malware par le « Global Research & Analysis Team » de Kasperksy

Infiltrate 2013 (manifestation chapeautée par Immunity Sec) se déroulera les 11 et 12 avril de l’an prochain. L’on sait déjà que la session plénière sera animée par Chris Eagle. Le CFP n’est pas encore lancé …

HackLU 2012, la conférence sécurité de Luxembourgeoise, se déroulera du 23 au 25 octobre dans les salons de l’hôtel Alvisse. Les inscriptions sont encore ouvertes …

Barrett Brown, âgé de 31ans, un des chefs autoproclamé du mouvement Anonymous (mouvement qui affirme n’avoir aucun chef, même autoproclamé) aurait été arrêté par la police locale de Dallas et remis au FBI. Une information Reuter

Relaxé ! nous apprend le Nouvel Obs. Relaxé, cet internaute dont on tait le nom (à peine sait-on qu’il est Breton) accusé d’avoir « intrusé » la Banque de France. C’était, explique l’avocat de ce dangereux pirate, à la suite d’appels en série avec Skype, alors que l’intéressé cherchait à contourner le système de facturation de certains numéros surtaxés. Un « wardialing » qui le conduit à l’insu de son plein gré au cœur du service de surendettement de la Banque de France. Lequel service était protégé par mot de passe (123456 ou 654321) dont la complexité laisse pantois.

La présence de ce terroriste numérique a immédiatement provoqué un blocage du service, et déclenché une enquête policière qui durera plus d’un an, avec commission rogatoires internationales et mobilisation de tous les cyber-limiers Français :« introduction frauduleuse et entrave au fonctionnement du service », son compte était bon.
L’histoire s’est achevée de façon heureuse pour le présumé cyber-coupable, qui a été relaxé.

Nos confrères du Nouvel Obs ne précisent pas (et surtout ne se posent pas la question) si le responsable de la Sécurité Informatique de la Banque de France est toujours en liberté. Il y a de forte chance qu’il sévisse encore.

Si un particulier non spécialiste parvient à pénétrer sur le réseau d’un système bancaire Français sans utiliser d’autre outil de pentesting qu’un terminal VoIP, on est en droit de se demander combien d’agents dormants et autre véritables pirates dorment chaudement à l’abri d’un sous-répertoire situé entre la rue Croix des Petits Champs et du Colonel Driant. Mais il est vrai qu’en France, les banques vraiment piratées qui perdent de véritables données, ça n’existe pas, ça n’existe pas.

Reste que l’article du Nouvel Obs n’explique pas comment le malheureux chômeur Breton est passé d’un wardialing Skype à un mode terminal permettant d’afficher une fenêtre de login, ni ce qui est passé dans l’esprit de notre cyber-armoricain pour entamer patiemment un buteforcing de l’écran de login. On a vu des affaires du même genre (Kitetoa) soulever des tempêtes d’avocats et des tsunamis de juges d’instruction pour nettement moins que ça …

Un bon hacker sait hacker même avec un fer à souder. Histoire de liquéfier nos mélanges eutectiques pour en tirer du plaisir et quelque profit (intellectuel s’entend) voici quelques accessoires électroniques, dont l’un reposant essentiellement sur un code très travaillé, l’autre ne nécessitant, pour fonctionner, d’aucune ligne de programme, mais qui prend une toute autre ampleur s’il est associé à un sniffer réseau.

Le premier hackcessoire, donc, est l’œuvre de Soufiane Tahiri, et est publié sur le blog d’Infosec Institute. Il s’agit d’un « dropper », autrement dit d’un outil de largage de malwares se présentant sous la forme d’une clef USB, elle-même exonérée de driver puisqu’étant reconnue comme un périphérique HID (au même titre qu’un clavier ou une souris). Le résultat est un outil d’attaque capable d’afficher le score honorable de 0/42 à l’analyse VirusTotal. Les techniques de camouflage utilisées pour échapper notamment à la détection des défenses périmétriques Kaspersky constitue le principal morceau de bravoure de l’article.

Les outils de hacking suivants sont signés Michael Ossmann, qui avait déjà fait parler de lui avec le lancement d’un SDR à très large bande baptisé HackRF. Le premier outil est le déjà très connu UberTooth et plus particulièrement sa version Ubertooth One, une carte d’expérimentation, d’analyse et d’injection (classe 1) de trafic Bluetooth.

L’autre outil est également un outil déjà ancien, mais qui mérite que l’on s’y arrête un moment. Il s’agit d’un « tap » Ethernet passif tout simple, qui pourrait presque susciter un bâillement d’ennui chez les administrateurs réseau : le moindre brin Ethernet même chez un particulier repose sur des cartes Gigabit. Or, un tap passif provoque immanquablement une rupture d’impédance qui impacte le segment de réseau espionné et l’empêche de fonctionner… donc d’être espionné. L’astuce d’Ossmann est simple : il ajoute deux condensateurs de quelques centaines de picofarad entre les pistes 7 et 8 du lien Ethernet, provoquant un déphasage assez important mais pas trop, pour forcer la carte ou le switch à retomber sur une vitesse de repli… 100 Mb/s la plupart du temps. Une vitesse qui permet d’utiliser le fameux Tap passif avec succès.

Par mesure de précaution et de discrétion, les paires susceptibles d’émettre des données ne sont pas connectées sur les deux prises RJ45 servant à y brancher le sniffer. De cette manière, les risques de détection sont quasi nuls.

Comme pour la majorité des hacks signés Michael Ossmann, le schéma et surtout le « cuivre » (le pcb) du montage est diffusé en licence open source et au format Kicad (logiciel de CAO d’origine Française et également Open Source).

Gottfrid Svartholm, l’un des co-fondateurs de Pirate Bay, aurait été arrêté au Cambodge et extradé pour… piratage. Sa cible : le service des impôts de Suède, nous apprennent nos confrères de Wired. Les Anonymous auraient répliqué en piratant des administrations Cambodgiennes.