Archives

BlackHat2017, Las Vegas : parmi les dizaines de hack IoT dévoilés au cours des conférences de la BH2017, l’un des plus simples (et des moins dangereux) est sans conteste celui présenté par Billy Rios, lequel s’est penché sur la sécurité des portiques de lavage automatique pour automobile. On imagine le désarroi des victimes condamnées à subir un second cycle de séchage ou une violente augmentation du volume de cire de carrosserie… le hack IoT est parfois à la limite de l’insoutenable.

Comme il est de coutume dans l’IoT, chaque portique peut être piloté par le patron de la laverie automatique via une interface Web. Et celle intégrée par la marque LaserWash est particulièrement vulnérable, puisque rares sont les gérants de stations-service qui pensent à modifier leur mot de passe, encore plus rares sont ceux qui envisagent de placer leur ordinateur de gestion des cycles lavage-rinçage-séchage derrière un firewall. Si, de surcroît, l’on découvre que ladite interface possède comme sésame par défaut le mot de passe 12345, il en faut peu pour pirater une laverie toute entière. Pour faire bonne mesure, chaque portique de lavage est capable, si nécessaire, d’envoyer un email après chaque lavage (smtp faillible), et l’interface de pilotage rappelle qu’il faut se soucier des mises à jour du firmware… Les annonces desdites mises à jour étant disponibles en quasi temps réel sur Facebook, Youtube et LinkedIn… Autant de réseaux sociaux accessibles directement depuis l’interface d’administration. En fallait-il plus à Rios pour dénicher un exploit fonctionnel ?

L’histoire ne s’arrête pas là. Nul gourou de l’Owasp ne peut venir en aide à LaserWash. Car le système d’automatisation tout entier repose sur Windows… CE, ce système embarqué héritier du projet Microsoft Pegasus de 1996 qui, depuis ses premières heures, a accumulé bug sur bug, failles de sécurité sur mauvaises pratiques de développement. A tel point que Microsoft en a abandonné et le chantier, et la maintenance, laissant des centaines de laverie orphelines du moindre « patch Tuesday ».

Rios et son équipe découvre cette cascade de défauts début 2015 et, malgré plusieurs avertissements, ne reçoit aucune réponse de la part de l’intégrateur. Ce n’est qu’à l’annonce de la présentation publique de la BlackHat 2017 que le spécialiste du lessivage automobile donne signe de vie et avoue son incapacité à corriger le bug. Et pour cause.

BlackHat2017, Las Vegas : Les écrits de Ruben Santamarta font à chaque fois l’effet d’une petit bombe. De par l’éclairage alarmiste des services de communication d’IOActive, mais aussi en raison de la densité des informations directement exploitables qui s’y trouvent. Le dernier en date, intitulé Go Nuclear: Breaking Radiation Monitoring Devices, passe en revue les multiples outils périphériques aux centrales nucléaires civiles. Et notamment les capteurs dosimètres et portiques de détection de radioactivité.

Rien de très nouveau sous le soleil InfoSec, les bourdes et autres étourderies que l’on rencontre dans le domaine de l’automatisme se suivent et se ressemblent : ports IP ouverts, mots de passe de « superuser » codés en dur (portiques de détection de radioactivité Ludlum), cartes électroniques estampillées « made in USA » arborant fièrement un module Xbee fabriqué à la chaine en Chine (et vendu moins de 60 euros sur eBay), les erreurs d’intégration ne manquent pas. Aucune de ces failles n’est véritablement critique, puisque que totalement indépendantes du réacteur lui-même, et leurs alertes généralement inféodées à des procédures de mesures de vérification multiples et contradictoires. Tout au plus la chose serait exploitable dans un épisode de la saison 3 de Mr Robot.

L’article de Santamarta est plus qu’intéressant, non pas en raison de son côté « nucléaire » difficile à exploiter dans la vie courante d’un pirate Brésilo-Tchéchéno-Nigérian, mais de par les variations que l’on peut imaginer. Le hack du module Zigbee, par exemple, est à la fois simple et déclinable en une foultitude d’exploitation par fuzzing, à commencer par certains boîtiers antivols, pas mal de portails automatiques, une quantité impressionnante de modules utilisés dans la grande distribution ou chez les professionnels du stockage. Si l’on excepte l’ouverture sauvage à la scie Dremel du blindage du module (note personnelle : penser à offrir une station de reprise à air chaud pour l’anniversaire d’IO Active), tout ce qui est décrit dans cet article pourrait servir de test de sécurité de premier niveau pour tout industriel souhaitant IoTer proprement.

BlackHat2017, Las Vegas. Ah ! ce petit frisson que donne l’IoT lorsqu’il est passé à la loupe des spécialistes de la sécurité. Dans son « Global Threat Report 2017 », Darktrace est parvenu à atteindre un joli score en matière de couverture média. Dame, à Las Vegas, laisser miroiter la possibilité de pénétrer dans le réseau informatique d’un casino, en exploitant une vulnérabilité affectant les aquariums high-techs et communicants ! Malgré la protection d’un VPN, l’aquarium fautif et néanmoins connecté aurait permis à un pirate de balayer une partie du réseau local et y découvrir quelques vulnérabilités. Vulnérabilités exploitées par la suite pour exfiltrer une dizaine de Go de données des serveurs de l’entreprise vers un poste situé en Finlande.

L’affaire était si belle que l’information a été reprise par les plus grands médias anglo-saxons : CNN, le Washington Post, le Dailymail, SCmagazine, BoingBoing et même le canal de propagande Russe RT y est allé de son écho.

Mais il y a plus fort que les spywares en eau trouble : l’aspirateur de l’ombre. iRobot, vendeur d’électroménager envisage, rapporte le New York Times, de vendre les données cartographiques des aspirateurs autonomes de sa clientèle. Une mine d’information pour les professionnels de la décoration d’intérieur, un cheval de Troie pour les amateurs d’IoT. La faille, dans ce cas précis, est moins informatique que contractuelle et légale.

Selon le « Second Annual State of Ransomware Report » de Malwarebyte,, (sondage d’un millier d’entreprises Européennes et US), 22% des PME frappées par un ransomware ont dû cesser leur activité, et 15 autres pourcent ont accusé des pertes de revenus.

Mais l’information la plus désagréable pour nos chez voisins amateurs de sauce à la menthe, de viande bouillie et d’ambitions sécessionnistes, c’est le taux incroyablement élevé (43,1%) de responsables d’entreprise prompts à payer le montant de la rançon, chiffre à comparer aux moins de 16% des patrons de notre riante France vacharde de veaux (gageons que sur ces 15% se compte un nombre élevé de patrons fuyant les conséquences du Brexit). Merci à notre éminent confrère John Leyden, Ibère d’adoption mais insulaire de naissance, pour ce passage de pure chauvinisme humoristique Britton publié dans les colonnes d’El Reg.

Tweet inquiet de @MabbsSec, ce jeudi soir : « cela fait 18 heures que l’on est sans nouvelles de MalwareTech_Blog. I a été arrêté à l’aéroport, au dernier jour de la DefCon ».

MalwareTech Blog, Marcus Hutchins dans la vraie vie, est un InfoSec Hero Britannique très connu des médias pour avoir découvert et activé le « kill switch » du ransomware WannaCry, sauvant ainsi la vie à des milliers d’ordinateurs… et de DSI. Pour quelle raison ce chercheur discret aurait été mis en garde à vue ?

Très vite, les informations se succèdent. La police du comté de Clark, chef-lieu Las Vegas, nie toute implication et précise qu’il s’agit d’une opération conduite par le FBI. La twittosphère s’agite, l’EFF est immédiatement prévenue histoire d’apporter une éventuelle assistance juridique, et il ne faut pas longtemps pour que les charges soient officiellement publiées. Hutchins est accusé d’avoir, en 2015, collaboré à la diffusion d’un autre Cheval de Troie bancaire nommé Kronos et touché d’importantes sommes d’argent grâce à cette sorte de commerce. Ces faits auraient été découverts lors du vaste coup de filet ayant suivi la fermeture de la place de marché Alphabay. L’acte d’accusation est rédigé le 12 juillet. A cette date, les services de police savent que MalwareTech_Blog participera à la DefCon XXV. Ils laissent donc entrer ce ressortissant étranger sur le territoire US, surveillent son activité tout au long de la manifestation, et l’interceptent le jour de son départ, le 2 août. Le National Cyber Security Centre de Grande Bretagne était semble-t-il au courant et approuve l’arrestation : « C’est là une question d’application de la loi et il serait déplacé d’émettre le moindre commentaire » rapporte la BBC.

Le Ministère de la Justice US rappelle, devant le tollé général que soulève cette affaire, qu’une accusation n’est pas une condamnation, qu’Hutchins est toujours présumé innocent… et qu’il faut laisser aux forces de l’ordre le temps d’éclaircir cette histoire. Laquelle comporte bien des points obscurs. Qui donc est la seconde personne mentionnée dans l’acte d’accusation et dont le nom a été censuré sur tous les documents rendus public ? Quelles sont les preuves tangibles qui ont conduit les fédéraux à recourir à de telles pratiques ? Le passé de l’accusé est-il aussi « blanc » que son présent ? sur ce dernier point, certains prétendent que non, d’autres accordent le bénéfice du doute. Seule ombre au tableau, la justice a la mémoire longue et tient rarement compte des rédemptions.

MalwareTech_Blog, ce n’est un secret pour personne depuis l’affaire WannaCry, est un chercheur spécialisé dans les vecteurs d’attaques bancaires. Qu’il ait travaillé sous couverture pour remonter la filière Kronos, qu’il se soit enregistré sur AlphaBay et acheté des malwares n’a donc rien d’étonnant. C’est également partiellement le cas de bon nombre de chercheurs au cours du temps, à commencer, par exemple, par les pourfendeurs de Botnets de l’équipe de sécurité de Microsoft ou les efforts d’un Xylit0l qui ont conduit à la fermeture du forum Darkc0de. Le FBI lui-même, tout au long de l’enquête Alphabay, a utilisé des méthodes de crapules qui sont interdites sur le vieux continent.

En outre, durant toute l’opération WannaCry, Marcus Hutchins a eu à de multiples reprises des contacts avec les « cyberflics » de Sa Gracieuse Majesté. Lesquels auraient très bien pu l’inculper à cette époque, car il est peu probable que le FBI ait été la seule organisation au courant des travaux et des activités du chercheur. D’autant plus que ces mêmes policiers Britanniques ont activement participé à l’arrestation des administrateurs et de certains abonnés d’Alphabay ou de Hansa. Une dernière hypothèse consisterait à imaginer que cette opération du FBI aurait été planifié de longue date par les autorités fédérales, l’inféodation des services de renseignement Britanniques à leurs confrères du « grand large » faisant le reste.

Defcon a toujours été,pour le FBI, une source d’inspiration. A tel point qu’un concours « Spot de Fed » , avec règlement et cérémonie de remise de T-Shirt. En 2001, Dimitry Sklyarov, d’ElcomSoft, était arrêté puis assigné à résidence par les Fédéraux, pour avoir osé divulguer une méthode d’exploitation visant le chiffrement des ebook d’Adobe. En 2011, c’est au tour de Jacob Appelbaum, porte-parole de Wikileaks et David House, un proche de Bradley Manning. Tous deux sont interceptés au passage de la frontière, peu de temps après qu’Appelbaum ait donné une conférence dans les salons de la Defcon.

DefConXXV, Las Vegas : « Cassez votre propre base matérielle, et tapez fort, c’est là la seule manière de garantir un minimum de sécurité au produits que vous commercialiserez » affirme en substance Andrea Barisani sur le blog de F-Secure. C’est le tout premier article de Barisani sur ce site, plus de 6 mois après l’intégration de son entreprise par F-Secure ; mais un article publié quelques jours avant son arrivée à Las Vegas. Les failles, explique le fondateur d’Inverse Path, se cachent parfois dans des détails techniques purement matériels. C’est même très souvent le cas sur les équipements IoT. Et l’absence de publication d’un PoC ne doit surtout pas justifier une absence de réaction de la part du concepteur. Or, charité bien ordonnée commençant par soi-même, c’est en donnant des exemples de correction de bug affectant l’USB Armory que le chercheur Italien étaye ses arguments. Ce n’est là très certainement qu’un début puisqu’Andrea Barisani a été nommé « Head of Hardware Security »

Egalement évoqué cette semaine sur la côte Ouest, un article assez succinct publié par RTL-SDR.com et décrivant une procédure d’installation d’Imsi-Catcher , programme python conçu par le développeur français Oros42. Les Imsi-Catcher sont généralement utilisés par les services de police pour identifier et localiser des groupes de personnes (généralement dans le cadre de manifestations). Celui décrit dans cet article ne coûtera à son utilisateur qu’une dizaine d’Euros. Rappelons tout de même que ce genre de sport est sans l’ombre d’un doute assimilable à une fuite de données à caractère personnel.

BlackHat 2017, Las Vegas.En ces jours de hacks tous azimuts, d’IoT florissant et de badges radio actifs, il semble tout naturel que la gente InfoSec se passionne pour le décodage des trames transmises sur des médias haute-fréquence, les vapeurs de flux et d’étain en fusion. Ce qui suit donc est un rapide aperçu de l’actualité hebdomadaire hackeuse des plateformes matérielles en général et du spectre électromagnétique en particulier, règlementé en France comme nul n’est censé l’ignorer par l’article R226.3 et suivants du Code Pénal, ainsi que par le R20-27 du code des P&T.

C’est Johannes Pohl qui a ouvert les hostilités. Ce scientifique de la « University of Applied Sciences » de Stralsund, dans le nord de l’Allemagne, a développé au cours des derniers mois Universal Radio Hacker (sur Github), un outil « open » extraordinairement pratique pour qui souhaite effectuer de l’analyse de signal radio. La présentation qui en a été faite dans le cadre de « l’Arsenal » de la BlackHat n’a été qu’une version très réduite des quatre vidéos publiées par l’auteur sur sa chaine Youtube : de la réception à l’exploitation, en passant par la démodulation, le décodage, l’analyse et enfin la génération (spoofing) d’un signal radio « compatible » avec ce qui a été reçu. UHR automatise, simplifie le décodage des signaux numériques transmis par radio, grâce à une suite d’outils et de scripts Python. D’un point de vue matériel, cette suite est compatible avec la presque totalité des SDR de type « Soapy », autrement dit les clefs RTL-SDR, Airspy, Aircrack et ses dérivés, mais également l’USRP et LimeSDR. Il manque peut-être les « sources » de certaines radios plus haut de gamme, tel que le QSR1 de Phil Covington, ou des entrées de gamme polyvalentes tels que le Red Pitaya.

… ou comment, d’un coup de baguette publicitaire, oblitérer les accusations de barbouzerie émises par le Sénat US. Kaspersky lance une version gratuite de sa protection antivirus, édition allégée de multiples extensions parfois jugées trop lourdes telles que la protection d’identité, la sécurisation des achats en ligne ou le contrôle parental. Point de « support technique » non plus, mais cela est-il nécessaire pour un logiciel du type « fire and forget » ?

Après une courte période d’essais en Russie, Ukraine et Biélorussie, suivie d’une transformation en Chine et dans les pays nordiques, Kaspersky Free partira à la conquête du monde. Par étape tout d’abord : « The first wave will be the U.S.A., Canada, and many of the Asia Pacific countries ». En plein conflit post-électoral Russo-Etats-Unien, après s’être fait fermer la porte des marchés d’Etat et subit les effets d’une campagne de dénigrement généralisée, l’éditeur Moscovite se devait de réagir. Quand bien même l’idée de ce produit gratuit ne date pas de la semaine dernière, la date de son annonce de lancement est un remarquable « coup » politique. L’on peut également ajouter que ce lancement s’inscrit également dans un combat à épées démouchetées qui oppose la société Kaspersky et Microsoft, la précédente passe d’arme étant, en juin dernier, cette plainte en position dominante déposée à la fois en Russie, en Allemagne et devant la Commission anti-trust Européenne.

« Lorsque c’est gratuit, c’est l’utilisateur qui est le produit ». Cette vérité toute googlelienne concerne également le monde de la protection périmétrique. Les plus paranoïaques considèrent que Windows Defender est potentiellement un système capable d’exploiter un volume impressionnant de métadonnées, et s’apparente techniquement à un cheval de Troie officiel, intégré et quasiment impossible à désinstaller. Il en est quasiment de même pour tout autre antivirus, ce qui semble justifier la proposition émise par une commission sénatoriale US de bannir toute plateforme logicielle estampillée Kaspersky des appels de marché du Department of Defense.

Ce syndrome de la porte dérobée n’épargne personne. C’est d’ailleurs cette crainte permanente qui a justifié, en France, la publication d’une liste d’appareils audités et « labélisés » Anssi. Véritable garantie d’intégrité pour certains, cavalier législatif protectionniste tentant de favoriser les éditeurs nationaux pour les autres, ou encore preuve que ce risque est bien latent pour les désabusés du « choisit la nationalité de ton espion favori », la bataille du périmétrique ne semble pas faiblir.

Selon nos confrères de Bleeping Computer, la Douma serait sur le point de faire passer un oukase déclarant hors la loi Tor, les VPN et les proxys. Ce seront les FAI Russes qui seront chargés d’appliquer ce filtrage. Et nos confrères de faire remarquer que ce sera le seul pays au monde qui appliquerait ce triple bannissement.

Tout, dans le calendrier des événements, laisse à penser que cette loi vise avant tout les citoyens, dans le but de contrôler la consultation de sites interdits. C’est là une vieille tradition folklorique locale qui consiste à poursuive toute personne cherchant la Pravda dans les Izvestia, un fond de vérité dans le déluge des informations numériques.

Cette loi sera-t-elle signée par le Président Poutine, et si oui sera-t-elle appliquée ? La chose est peu probable, à court ou à long terme. La Russie, et son meilleur ennemi l’Ukraine, sont deux pays « exportateurs » de services VPN, de serveurs « .onion », de proxy dynamiques. Sans eux, pas ou peu de serveurs « bullet proof », de réseaux aussi mafieux que prospères, de services dits « dark web ». Si la loi inquiète les particuliers, elle a peu de chance de se voir respecter par les réseaux mafieux (l’économie des deux pays pouvant s’en ressortir). D’autant que le cas échéant, ces derniers peuvent servir de supplétifs aux forces militaires numériques. Voilà pour le court terme.

A plus longue échéance, l’interdiction de protection assurée par les VPN et les proxys provoquerait une véritable déflagration dans le monde des affaires. Plus de liaisons distantes pour les entreprises, moins de services d’équilibrage de charge, aucune confidentialité dans les échanges liés aux marchés publics, pas le moindre espoir d’évolutions vers une société numérique dotée de services administratifs performants (et Lénine seul sait à quel point est lourde et tentaculaire l’administration Russe), plus de Cloud, disparition des services Wifi publics, évaporation de l’ensemble des transactions bancaires, qu’elles soient émises par des particuliers ou utilisées en B2B… et l’on imagine mal les conséquences en matière de commerce international. Certes, l’aigle à deux têtes a toujours su ménager des exceptions dans l’application des lois, particulièrement dès qu’il s’agit de décisions concernant les rouages de l’Etat, de l’Armée, des Finances, de la Justice ou des services de renseignements. Mais en matière de technologies, il est bien difficile d’imaginer autoriser un protocole pour un type d’usage et l’interdire pour un autre. Particulièrement si ledit protocole est chiffré. En Russie comme en France, il se trouvera toujours un député pour envisager un « chiffrement faillible » ou un « interdit sur les vpn ». Et il y aura toujours un exécutif assez visionnaire pour bloquer ce genre de proposition mortifère.

Adobe envisage d’éliminer une faille de sécurité, mais pas avant 2020, date à laquelle devrait disparaître Flash