Archives

BlackHat 2017, Las Vegas : Au fil d’une étude ne s’étayant que sur le ressenti des participants à l’exposition, le service de communication de la BlackHat a dressé une sorte de palmarès des 7 plaies de la sécurité, avec, en bonne place, le hack des centrales nucléaires.

Précisons que, quelle que soit la compétence des visiteurs de la BH en matière d’intrusion et de sécurité, on peut douter de leur expertise dans le domaine des infrastructures nucléaires civiles. Qu’importe, une nouvelle attaque que l’on suppose massive frappera les infrastructures nucléaires US d’ici deux ans, c’est indiqué blanc sur black dans cette étude.

Cependant, derrière cette crainte irraisonnée, on devine le fruit improbable des amours de Stuxnet (virus visant une infrastructure sécurisée nucléaire Iranienne) et des récents soupçons d’infection du réseau de capteur entourant la centrale de Tchernobyl. Infection qui s’est immédiatement traduite, aux USA comme en France, par « une infection qui aurait touché Tchernobyl »… quel esprit ne serait pas marqué par cette redoutable métonymie ?

Ce à quoi l’on pourrait ironiser en affirmant que le virus qui frappera la plongée des barres de combustible de ladite centrale Russe n’est pas encore né.

Le monde des vendeurs en sécurité s’est depuis trop longtemps accoutumé à cette exagération systématique, à cette perpétuelle tentative d’association de la peur, de l’incertitude et du doute, ces trois cavaliers de la prospérité marketing. A tel point que lorsque l’on manque d’éléments techniques pour évoquer un risque bien réel, justifier une politique de sécurité ou vanter les mérites d’une protection périmétrique, on a recours à l’opinion de l’homme de la rue, nouvel étalon de la vérité scientifique. La BH risque-t-elle de se décrédibiliser en publiant de tels propos ? Que nenni ! La faute retombera sur « Le journaliste » qui, en rapportant de bonne foi les propos tenus par un organisme faisant autorité dans le monde de la sécurité, servira de bouc émissaire. Celui de Circle ID, d’ IT Business Edge, de Tech.co, du e-Security Planet ou de TechGenix.

Encore un hack fantaisiste dévoilé cette fois par le très sérieux Forbes, histoire d’être dans le ton durant le déroulement de la DefCon : des chercheurs Chinois travaillant pour la cellule sécurité du portail de revente Alibaba sont parvenus à… déstabiliser l’image d’un casque de réalité virtuelle et ainsi perturber le sens de l’équilibre et le contenu de l’estomac du conquérant des mondes en 3D.
Ne faisons pas languir les amoureux de la vision augmentée, le hack se limite à coller un transducteur ultrason sur, ou à proximité, du casque en question, que celui-ci soit un appareil haut de gamme (Occulus Rift) ou plus commun comme ces simples lunettes en carton que l’on couple avec un téléphone portable. Le transducteur provoque, lorsqu’il est excité par un générateur BF, une instabilité du capteur gyroscopique de l’appareil, et l’image projetée se promène au rythme dudit gyroscope totalement affolé. C’est là le degré zéro de l’attaque par déni de service.

On pourrait cependant imaginer la création d’un groupe de travail unissant les chercheurs d’Alibaba et d’IOActive, avec en perspective la déstabilisation d’un gyropode par simple action d’un transducteur ultrason logé sous la planche à roulettes… après quelques tâtonnements, l’on pourrait même imaginer pouvoir diriger de cette manière les gyropodes hackés aux ultrasons, par simple influence mécanique de ses systèmes de pilotage inertiel.

Déjà, par le passé, des amateurs de bataille de drones ont envisagé d’utiliser cette technique. Avec des succès très moyens, la portée des ultra-sons étant relativement limitée. Le procédé, en revanche, peut s’avérer assez efficace sur certaines voitures équipées de systèmes d’aide au stationnement.

Le seul atout de ce hack, c’est son côté économique : un NE555 en guise de générateur de fréquences variables, un transducteur à quelques centimes d’euros, un transistor d’amplification et une batterie, et tout capteur de vibration devient potentiellement une cible.

BlackHat 2017, Las Vegas. On les appelle gyroskate, gyropodes, overboard, gyroroue. Ce sont ces héritiers à bas coût de la Segway, sortes de skateboards à pilotage gyroscopique venus principalement des usines Chinoises. Déjà, l’instabilité de leurs accumulateurs électriques les a fait considérer comme éléments dangereux et bannis par nombre de compagnies aériennes. Mais voilà qui est bien pire qu’une explosion en vol, ces super-patins à roulettes peuvent être piratés.

Cette dramatique révélation a été faite par Thomas Kilbride d’IOactive. Un hack qui rappelle énormément celui que Deral Heiland (Rapid7) avait présenté durant Hack In Paris 2017 et qui visait les robots de téléprésence. Les méthodes d’intrusion et de détournement sont assez similaires. Dans un premier temps, l’attaquant analyse l’environnement radio de l’appareil, et tombe, sans grande surprise, sur une liaison Bluetooth vulnérable. Liaison absolument indispensable pour que l’usager puisse par exemple modifier les chenillards de led multicolores depuis son téléphone portable, ou connaître son emplacement exact puisque la localisation et les calculs de trajets utilisent les données gps du smartphone. Après une rapide analyse du protocole et l’usage immodéré d’un code d’accès « par défaut », sans grande surprise “000000”, Kilbride s’est emparé du système embarqué et a pu y injecter un nouveau firmware de son invention… car ledit firmware peut être mis à niveau sans que le moindre système de contrôle d’intégrité ne vienne bloquer l’opération. De là à pouvoir enregistrer au mètre près le parcours d’un ou plusieurs gyrocyclopédiste ou ordonner un arrêt brutal de l’appareil, il n’y a qu’un pas, ou un tour de roue. Possesseurs de planches à roulettes modernes, méfiez-vous des geeks qui courent à vos côtés, un œil fixé sur l’écran de leur Kali-Linux. Car, on l’aura compris, la première partie de l’attaque, de la compromission Bluetooth au changement de firmware doit nécessairement se dérouler dans les limites d’une portée d’émetteur Bluetooth.

L’intérêt d’une telle attaque est assez discutable et très peu réaliste. Bon nombre de ces gyropodes proviennent de Chine, pays qui n’a jamais brillé pour son amour de la sécurité numérique dans les produits de grande consommation. Sans même mentionner le plaisir très relatif de voir un gyropodiste choir de sa planche d’une hauteur de moins de 15 cm. Mais, aspect plus pernicieux de ce hack, à l’instar des caméras de surveillance percluses de trous de sécurité, il y a de fortes chances que l’on trouve sur le marché des version OEM vendues sous les logos nationaux prestigieux. Un prestige qui risque fort de donner à chaque utilisateur un sentiment de fausse sécurité. Moralité, rien ne vaut la marche à pied.

DefConXXV/BsidesLV, Las Vegas. Traditionnellement, le badge de la Defcon (ainsi que celui du CCC Camp) est à classer dans la catégorie « collectors ». 2017 fait exception à la règle, puisque ce n’est pas un, mais près d’une trentaine d’insignes aussi électroniques que « non officiels » qui sont proposés à la vente. Tous possèdent un peu d’intelligence sous la forme d’un microcontrôleur ou d’un circuit spécialisé, beaucoup « rayonnent » joyeusement, généralement dans la bande des 2,4 GHz, mais « pas que ». Contrairement à la « vendor’s conference » qu’est devenue la BlackHat, la DefCon évolue et joue ouvertement dans la cour de l’IoT, du sans fil, des réseaux maillés et des failles de sécurité matérielles. Le fer à souder et les vapeurs de flux reviennent en force.

Le plus populaire risque fort d’être celui de AND!XOR, une superbe tête de robot Bender capable, entre autres choses, de constituer un botnet de badges. Même idée avec cette broche en forme de libellule et qui, à l’instar des « tambourinaires » du roman de Neal Stephenson (l’Age de diamant) se synchronisent lorsqu’ils sont à proximité les uns des autres en émettant des pulsations lumineuses coordonnées.

Beaucoup d’intérêt également autour d’un quadcoptère en forme de tête de mort pour la partie « volante » et de carte au trésor pour la télécommande. Un assemblage électronique assez simple, avec de gros actifs au format SOIC et des passifs en 1206, niveau bricoleur débutant mâtiné d’adorateurs des romans d’Edgar Poe et de Stevenson.

Mais l’on a pu également voir un badge-téléphone-cellulaire, un quasi kit de développement avec son afficheur, conçu par la « ruche » de Kansas City, une console de jeu très retro-gaming combinant une plateforme de développement et un émetteur-récepteur « sub-gigahertz » et une série de clefs mystérieuses ouvrant… on ne sait quoi dans les allées du crypto-village . N’oublions pas le très lumineux et très sonore sautoir du Defcon group de Salt Lake City ou celui de la Hackerwarehouse de San Francisco à base de chipset Wifi, tout comme celui de Ben Hiben, tout aussi clignotant et utilisant la même électronique à base d’ESP8266. Et la liste est loin d’être complète, car quelques initiatives sont diffusées de manière confidentielle ainsi le presque-arduino aux contours tarabiscotés de Dylan. D’autres sont imprimés à grande échelle, tel celui du Webzine Hackaday.

Certains de ces badges sont réalisés par des associations, d’autres par des revendeurs ou entreprises gravitant dans la sphère SSI, d’autres encore par des particuliers. Quelques-uns ne fonctionneront que de manière éphémère, d’autres sont conçus pour être utilisés durablement et ne pas s’empoussiérer une fois les conférences achevées. On peut y voir l’émergence d’une nouvelle forme de support publicitaire, une évolution moins « virtuelle » des concours de hack et autres challenges pour spécialistes du reversing, ou plus simplement une mode pour übergeek, un signe de reconnaissance pluriel de « ceux qui sont là et qui pourront dire : j’y étais »

Blackhat 2017, Las Vegas : Tout commence avec un Tweet amusant de GrumpSec sur les raisons justifiant le hachage des mots de passe dans une base de données de contrôle d’accès : l’éventualité de voir un jour l’abonné d’un forum utiliser la signature EICAR (chaîne de test destinée à vérifier le bon fonctionnement des antivirus). Que le logiciel de sécurité situé sur le serveur tombe sur la fameuse chaîne débutant par « X5O!P%@AP[4… » et le fichier des mots de passe a de fortes chances de se faire placer en quarantaine… au mieux.

Humoristique également, mais avec une perspective bien plus sombre et préoccupante, la présentation d’un vieux routier de la sécurité, Izik Kotler. Kotler est ce chercheur Israélien connu pour avoir été le premier à inventer un canal de commande inviolable entre le C&C et la charge utile d’un bot, canal reposant sur des serveurs impossibles à clore : le feed Tweeter de Britney Spears ou les petites annonces du Bon Coin. Ce qu’il avait prédit il y a plus de 14 ans fait aujourd’hui partie des caractéristiques les plus commune des botnets modernes.

Cette année, il s’en prend aux outils de sécurité situés dans le cloud. Par défaut, un antivirus est un logiciel capable d’agir à très bas niveau, doté d’un canal de communication extérieur et censé télécharger des mises à jour échappant totalement au contrôle du système d’exploitation. La définition n’est pas rassurante. Elle est bien pire lorsque la chose est cloudifiée, explique Kotler. Car sous des dehors de « super-antivirus multi-éditeurs à la pointe de la recherche », ces nouvelles solutions de protection impliquent l’installation d’un agent sur chaque poste de travail. Et quand bien même les politiques de sécurité interdiraient toute connexion non référencée dans une liste blanche que rien ne viendrait limiter l’échange permanent entre l’agent local et le bac à sable cloudifié. Car lui possède des privilèges extraordinaires.

Qu’un virus dormant ait pu être injecté avant le déploiement de l’agent, et c’est l’agent lui-même qui servira de « pompe à données » pouvant exfiltrer discrètement tous les documents internes et confidentiels d’une entreprise. Une « preuve de conception » devrait être disponible dans les jours qui suivent sur le github de l’entreprise sous le nom de code Spacebin

Le « bug » est corrigé, mais trop tard, explique Zeljka Zorz du HNS. De nombreux utilisateurs de la crypto-monnaie ETH (qui repose sur la chaîne de blocs Ethereum) ont vu leurs fonds littéralement détournés. Ceci en raison d’une faille affectant non pas l’algorithme de chiffrement, mais de Parity, une version particulière du porte-monnaie. Le voleur est parti avec l’équivalent de 30 millions de dollars, hémorragie stoppée par l’intervention d’un groupe de « white hat » qui auraient, à leur tour, mis à l’abri un peu plus de 77 M$ issus de crypto-coffres vulnérables.

C’est la seconde fois en moins d’une semaine qu’Ethereum fait les frais d’une attaque en règle. Cette première fois, le vol (environ 7,5 M$ « seulement ») avait été perpétré par détournement d’un porte-monnaie virtuel suite à la compromission du serveur de CoinDash.

Les chaînes de blocs sont quasiment inviolables. On ne peut pas en dire autant de l’ensemble des outils techniques les entourant. En outre, la mode des crypto-monnaies passionne tellement les investisseurs et les participants aux appels de fonds collaboratifs que beaucoup de mises sur le marché s’opèrent dans une précipitation guère propice à une véritable analyse SSI des infrastructures utilisées.

Dans un chapitre intitulé ( http://www.emcdda.europa.eu/publications/eu-drug-markets/2016/online/drivers/influence-of-internet) (synthèse en Français) « The expanding influence of the internet (EU Drug Markets Report) » , Europol et l’Observatoire Européen des drogues et des toxicomanies estiment que, paradoxalement, l’émergence des nouvelles technologies a considérablement sécurisé le marché des stupéfiants. Rien de très surprenant cependant.

Grâce au « Dark Web », vendeurs et clients sont (presque) certains d’un certain niveau d’anonymat, et surtout d’une totale absence de risques physiques. Pas d’agression possible de la part d’un dealer un peu violent, pas de contestations sur les tarifs pratiqués grâce au sérieux des intermédiaires de payements et autres « mixers » destinés à rendre intraçable le mécanisme des chaînes de blocs, et surtout pas de contestation sur la qualité du produit livré, puisque les places de marché entretiennent le culte de la notation-client. Qu’un produit soit frelaté, et le commerçant perd quelques « étoiles » et au passage encore plus d’acheteurs. En outre, Internet parvient à réaliser ce que les anciennes filières ne pouvaient réellement espérer : un cloisonnement total entre grossistes, détaillants, livreurs, intermédiaires de payement, réseau de blanchiment.

Ces avantages cumulés compensent largement le risque que le vendeur parte avec la caisse de Bitcoins. Publié le jour même de l’annonce du coup de filet Hansa, ce rapport montre à quel point cette « Internet connection » fonctionne bien et rapporte de plus en plus d’argent aux cartels de la drogue et aux réseaux mafieux de revente.

Dans le cadre d’une opération concertée, les polices de Hollande, Allemagne, USA, Lituanie, mais également de Thaïlande, France et Grande Bretagne sont parvenues à fermer deux places de marché fortement impliquées dans le trafic de produits illicites : AlphaBay et Hansa. Le communiqué d’Europol décrit dans les grandes lignes le déroulement de l’opération, tout en précisant avoir infiltré Hansa depuis le 20 juin… Caveat Emptor !

Au plus fort de son activité, AlphaBay pesait, affirme le FBI, 200 000 clients, 40 000 marchands, 250 000 références produits dont le commerce est illégal (principalement des stupéfiants). Mais également près de 100 000 pièces d’identité volées ou falsifiées, panoplies de cambriolage (terminaux d’attaque brute force d’antivol automobile par exemple), outils d’attaque informatique, biens de marques contrefaites, armes à feu etc. Le chiffre d’affaires quotidien oscillait entre 600 et 800 k$, soit près d’un milliard de dollars de transaction (toujours selon le FBI). Gardons à l’esprit qu’en matière de communication, la police est aussi objective que le service de presse d’un vendeur d’antivirus. Le « super-hacker » BX1 accusé d’avoir détourné des millions de dollars n’avait, lors de son arrestation, engrangé guère plus que le montant de quelques mois de RSA. Reste qu’en termes de volume d’affaires, cet eBay du crime avait pris la relève de Sylkroad, avec un peu plus de « security by design »… mais seulement un peu plus.

A l’origine de ce coup de filet, une série de bévues et manquement élémentaires de la part du principal administrateur et créateur d’AlphaBay, Alexandre Cazes, alias Alpha02, citoyen Canadien francophone. Au nombre de ces erreurs, l’utilisation d’une adresse de messagerie aisément traçable,pimp_alex_91@hotmail.com. Une adresse que l’on retrouve un peu de partout, notamment sur un forum du serveur « Comment ça marche » et, nous apprend notre éminent confrère Jean-Marc Manach, sur d’anciennes pages du très distingué et très intellectuel blog Skyrock… le wanabee spécialiste de la neige de culture (sachets) conservait le même compte de messagerie depuis au moins 2008. De la part d’un Über-hacker du SombreOuèbe, on aurait pu s’attendre à mieux. Surtout après l’arrestation de Ross Ulbricht, fin 2013, tombé lui aussi pour avoir conservé une adresse email aisément traçable.

Le 5 juillet, la police Thaïlandaise interpelle Cazes et saisit son matériel informatique, le surprenant encore connecté sur les pages d’administration de son site. Sont également découverts une foultitude de documents permettant d’établir l’étendue de sa fortune personnelle et l’activité de son site, ainsi que des documents reliant le suspect avec une société-écran servant à blanchir certaines rentrées d’argent. Au total, une fortune de près de 35 millions de dollars. La plainte pour « forfaiture » enregistrée par l’Administration Californienne fait état de nombreuses voitures de sport, de biens immobiliers, d’une multitude de comptes en banques et d’un avoir en crypto-monnaies relativement impressionnant. Cazes ne profitera jamais de ses richesses et sera retrouvé pendu 8 jours plus tard, dans les douches de sa prison Thaïlandaise.

Erreurs élémentaires en matière de SSI, train de vie relativement voyant, on se demande comment une telle entreprise mafieuse a pu prospérer sans que les polices n’interviennent plus tôt. Toujours est-il qu’une fois le cerveau sous les barreaux, les multiples complices sont tour à tour au moins identifiés, sinon démasqués. Coadministrateurs, modérateurs et chargés de clientèle, Directeur des relations publiques et… responsables de la chasse aux contrefaçons de site. Cette pyramide de responsabilités n’a rien à voir avec le quasi-artisanat d’Ulrich avec Sylk Road explique avec une précision toute chirurgicale un article de Catalin Cimpanu dans les colonnes de Bleeping Computer. Et c’est d’ailleurs là la marque d’une évolution dans l’organisation du web mafieux. Les relations de confiance entre truands parviennent malgré tout à s’établir, chose surprenante dans ce milieu naturellement si suspicieux et qui a poussé bon nombre d’administrateurs à travailler seuls. Et par conséquent commettre des erreurs par manque de compétence, manque de temps, manque de délégation de responsabilité. Ce qui a fait tomber Alpha Bay, ce n’est pas la trahison d’un des comparses, mais les mauvaises pratiques de leur chef.

L’affaire ne s’arrête pas là. En fermant les serveurs d’Alpha Bay, la police sait qu’elle crée un appel d’air important. Ce site n’est pas le seul en activité. Les concurrents s’appellent Hansa (un rappel de la puissante Ligue Hanséatique des marchands Allemands), mais également Wall St Market, Traderoute, Zion Market… qu’une place importante disparaisse, et les clients se rabattent sur des portails de moindre envergure. Au moment où Cazes est interpelé, cela fait déjà deux semaines que le « numéro deux » des places de marché mafieuses a été mis sur écoute. Encore deux semaines de patience, et la police Hollandaise se constitue un fichier sérieux de clients et de vendeurs, tentant peu à peu de coller une identité véritable derrière ces pseudonymes et ces règlements en crypto-monnaies.

Brian Krebs publie à ce sujet une interview de Petra Haandrikman, patronne de l’unité de lutte contre la criminalité NTIC de la police Hollandaise. De mandat international en intrusion à distance des serveurs, la cyber-policière raconte comment les « réfugiés d’AlphaBay » ont fait l’objet d’une filature numérique et d’une analyse de leurs moindres mouvements. Haandrikman lance le même avertissement que celui émis par le chef de la division cybercrime du FBI : « Il n’y a plus d’anonymat sur le Dark Web »

Argument resassé durant la campagne du Président Donald Trump, la constitution d’un haut-commandement du corps de cyber-défense est sur le point de se réaliser. Et, détail d’importance, ce cyber-commandement serait totalement indépendant de la NSA, révèle la chaine PBS.

Le rôle de la NSA dans ce secteur, rapporte la journaliste Lolita Baldor, est de s’investir dans l’espionnage et l’écoute massive des médias numériques : Internet, communications téléphoniques, électromagnétiques et flux de métadonnées de provenances diverses.

La mission de l’armée, quant à elle, est radicalement différente. Un cyber-corps est appelé à se projeter sur des terrains extérieurs, protéger la nation -rôle bien plus actif que la simple activité de renseignement-, voir de riposter en vertu du mantra resassé depuis plus de 10 ans par les trois corps d’armée « The best defense is a good offense ». Or, seuls les militaires, contrairement à la NSA, peuvent être mandatés par le Sénat pour conduire une offensive, numérique ou traditionnelle. Jusqu’à présent, le cyber-commandement, fondé par l’Administration Obama, était embryonnaire, et dépendant du Commandement Stratégique du Pentagone.

En émancipant ce commandement de la « No Such Agency », la Maison Blanche libère donc les militaires de toute tutelle civile et de tous risques de conflits d’intérêts ou de pressions politiques dans la mise en œuvre des missions respectives de ces deux institutions régaliennes.

Reste, fait remarquer Baldor, que la NSA possède une puissance de calcul et d’interception gigantesque et que, pour l’heure, la cyber-armée US ne possède rien, si ce n’est que quelques 6000 cerveaux. Se posera alors, du moins dans un premier temps, la question de la mise à disposition de ces moyens techniques par la NSA, disposition soumise à un contrôle de facto. Côté budget, le Cyber-Command devrait se voir attribuer une enveloppe de 647 millions de $, soit près des trois-quarts du budget général de l’Armée Française tel qu’actuellement établi.

Les malwares suivent des modes, ou plus exactement des tendances techniques. Ce mois de juillet semble placé sous le signe « banquier ascendant multiplateforme » si l’on en juge par les multiples billets publiés dans la sphère sécurité.

Renato Marinho, de Mophus labs, décrit avec une certaine admiration l’audace d’une campagne de phishing bancaire Brésilienne propagée par SMS. Activation d’un lien externe, demande de données à caractère personnel et de numéros d’authentification, le SMS de phishing ne recule devant rien. Il va jusqu’à inciter la victime à photographier et envoyer une carte regroupant une série de numéro servant à la fois de second facteur d’authentification et de « one time pad ». Ce précieux viatique en poche, les escrocs à l’origine de l’attaque peuvent déclencher autant d’opérations frauduleuses qu’il n’existe de numéros encore actifs sur ladite carte.

Encore une attaque bancaire sortant de l’ordinaire, et décrite cette fois par Païvi Tynninen de F-Secure. Attaque d’autant plus intéressante qu’elle cible très précisément des organismes bancaires soit Autrichiens, soit Suisses. Le vecteur de diffusion utilise un très classique courriel de phishing, assez succinct et rédigé en Allemand : « Votre facture N° xxxx datant du xxxx ». Ce qui distingue cette attaque des autres du même genre, c’est que la charge utile est cette fois cachée non plus dans un seul, mais dans deux fichiers. L’un au format Excel ciblant les utilisateurs de systèmes Windows, l’autre au format directement exécutable Mach-O pour systèmes Mac OSX.

Un dernier piratage bancaire sous OSX pour la route ? Celui que décrit Ofer Caspi sur le blog de Checkpoint est assez inhabituel, puisque ses auteurs ont fait les choses dans les règles en achetant un certificat à Apple. Et c’est donc sous l’habit très respectable d’une application « signée » (diffusée une fois de plus via une campagne de phishing) que s’installe le malware. Lequel malware s’empresse de désactiver dans un premier temps les mises à jour de sécurité au nez et à la barbe de Gatekeeper, et détourne les communications avec les différents sites d’Apple. De cette manière, les risques de détection par des canaux de communication externes sont quasiment réduits à néant.

A partir de ce moment-là, le véritable travail du virus peut commencer. Il ouvre un proxy et un accès Tor, puis intercepte et détourne tous les échanges effectués avec une liste d’organismes bancaires exclusivement Suisses… on ne prête qu’aux riches. Lorsque la victime tente d’accéder à son compte bancaire en ligne, elle est détournée vers un pseudo serveur chargé de récupérer ses identifiants. Chose surprenante, c’est à ce stade de l’attaque que le malware en profite pour installer le client de messagerie instantanée chiffré.