Archives

Déploieront, déploieront pas ? La crainte de la régression sera-t-elle plus forte que la peur de l’attaque virale ? c’est là une question purement rhétorique, car aucun outil statistique public ne pourrait fournir ce genre d’information. Toujours est-il que, sur le lot de rustines diffusées par Microsoft en ce début de période estivale, l’on trouve tout de même 19 correctifs « critiques » sur 54 . Parmi ceux-ci, 7 bouchons considérés comme importants par Renato Marinho qui, ce mois-ci, s’est chargé de la rédaction du quotidien du Sans. Un quotidien totalement déboussolé qui ne peut plus dresser une liste claire des alertes méritant un « patch now » depuis que Microsoft a décidé d’abandonner sa classification « MS-017-xxx ». Les chercheurs et les curieux doivent désormais se lancer dans une chasse au numéro CVE et farfouiller dans un imbroglio de « security update », de « monthly rollup », de « security only » et autre « IE cumulative ». Chaque faille étant détaillée par produit, le tableau des bulletins s’étale désormais sur 3 pages et compte 248 entrées. Bienvenu dans un monde de noyade de l’information sous un déluge de détails.

Dans le lot, Microsoft corrige un défaut dans l’outil de recherche Windows lié à SMB, ainsi qu’un risque de « repli » du mécanisme d’authentification Kerberos vers l’ancien NTLM. Aucun des deux problèmes n’est lié aux exploitations récemment rencontrées « dans la nature », tel que Wannacry.

Côté Adobe, 3 alertes CVE (donc une critique) sont éliminées de Flash Player.

Faut-il tuer le soldat ex/not/Petya, 14 millions de hit Google au garrot, soit le plus gros prorata d’articles de presse alarmistes par machine infectée jamais atteint ? Un impact quantitatif excessivement faible (aux environs de 20 000 victimes selon les éditeurs d’antivirus, généralement prompts à noircir le tableau). Ce n’est même pas la moitié de la population des Causses, l’un des lieux les plus désertiques de France. Chiffre à comparer également aux quelques 400 millions de noyaux W10 que Microsoft affirme avoir vendu depuis son lancement. Le tout se déroulant en pleine crise de schizophrénie du côté des spécialistes de la SSI, la moitié d’entre eux conspuant les énormités publiées par la presse en général, la seconde moitié (bien souvent appartenant à la même entreprise ou organisation) s’empressant de rédiger communiqués de presse sur messages twitter pour hurler au loup plus fort que le concurrent. Même les organismes officiels ( l’Anssi, Europol, l’Enisa ) y vont de leur avertissement. L’Otan déclare également les Patries en Danger et réclame une « réponse concertée ». Encore faudrait-il déterminer dans quelle direction orienter les cybercanons, chargés avec quel type de cyber-obus et de quelle manière endosser les cyber-gilets pare-virus. Une fois de plus, l’effet Stuxnet frappe fort et la profession perd quelques points dans l’estime et le niveau de confiance des victimes réelles ou potentielles. Qui croire ? A force de refuser toute communication par crainte de trahison des propos techniques (lesquels sont inévitables ), les chercheurs en sécurité, les vrais, délèguent par défaut ce pouvoir aux « vendeurs »… après tout, il est toujours plus facile et rassurant de condamner le messager que celui qui pousse le cri d’alarme. Simple question de realpolitik économique.

Que doit-on retenir de Petya++ ?

– Qu’il est possible de l’appeler par n’importe quel nom si l’on en juge par les efforts des responsables marketing du secteur de la défense périmétrique. Hélas, contrairement à Heartbleed et autres attaques médiatiques du même calibre, ce virus n’est pas accompagné d’un joli logo.

– Qu’il permet enfin, après le vent du boulet médiatique Wannacry, de justifier auprès des Directions Générales de moyens humains et budgétaires jusqu’à présent gelés, voire dans certains cas, en net repli. Et peut-être de toucher la corde sensible des usagers jusqu’alors hermétiques aux campagnes de sensibilisation.

– Qu’il soulève une fois de plus la question de la complexité des déploiements de correctifs, tests de régression ou gestion des procédures de remédiation automatique (NAC et assimilés) capables de bloquer une infection « interne » déclenchée par un ordinateur mobile ou… un port 445 laissé ouvert.

– Que oui, sans l’ombre d’un doute, une attaque du calibre de Wannacry est généralement suivie d’une réplique telle que überPetya. Une réplique qui ne se contente pas d’être une simple mutation du code originel. Le fait que Petya_Wrap intègre une interprétation de EternalBlue, exploit de la NSA sur une faille SMB v1, et qu’il soit apparenté à la classe des ransomwares ne doit pas cacher que les auteurs de malware aiment perfectionner leurs Å“uvres en multipliant les vecteurs de propagation. Cette fois, outre la faille SMB « made in NSA », était ajouté PsExec (très officiel outil de prise de contrôle à distance de Microsoft) et LsaDump, outil originellement intégré à Mimikatz, chargé du dump de la SAM (base de données des comptes d’un système Microsoft). Et très franchement, le grand public se moque de ces subtilités. Seuls les artilleurs savent ce que contiennent leur charge utile.

Ce genre d’évolution, ou plus exactement de variations sur un thème, est un « même » dans le monde de l’édition de virus. On ne compte plus les variantes, échos, répliques ou retrofits de Stuxnet par exemple. Certes, la composition du cocktail varie fortement, la complexité des mécanismes d’évasion et de virtualisation évolue, les erreurs de jeunesse grossières sont éliminées. Mais NotPetya est indiscutablement un descendant ou une inspiration de WannaCry, quand bien même dans le détail technique, il en serait très éloigné.

– Qu’il existe de fortes présomptions que l’agression ait été pilotée par un Etat-Nation, en raison de la concentration des frappes dans la cybérie Ukrainienne, ainsi que l’affirme l’éditeur d’antivirus Eset (juge et partie, faut-il le rappeler). Les éventuels indices nationaux cachés dans le code sont, quant à eux, bien plus sujets à caution mais, en revanche, cette vague virale est concomitante à une intensification des accrochages (très peu virtuels ceux-là) entre la Russie et l’Ukraine. Les officiers supérieurs du renseignement Ukrainien sont frappés d’une épidémie fatale, et les hasards ou coïncidences, dans ce genre de situation, sont hautement improbables. Il va sans dire que la seule évocation de cette hypothèse dans les milieux « autorisés » soulève en général un tollé de protestations. « Impossibilité technique de l’attribution », « complexité des moyens pouvant servir à remonter l’origine de l’agression », « délires paranoïaques de gratte-papiers en mal de sensationnalisme »… Et c’est bien là le second syndrome schizophrénique du monde de la recherche SSI. Il est de bon ton d’admettre officiellement que certains chercheurs travaillent ouvertement dans le business de la faille militarisée, mais plus difficile de reconnaître que, parfois, ces mêmes entreprises dérapent (Amesys, Hacking Team) ou fassent l’objet d’une polémique (Vupen). Voir que leurs propres clients, considérés comme irréprochables, puissent à leur tour se faire pirater et leur arsenal vendu à l’encan, puis utilisé ensuite par d’autres techno-barbouzes, sous d’autres étendards. Hélas, plus le temps passe, plus les exemples prouvant le contraire se multiplient, moins les professionnels parviennent à accepter cette responsabilité partagée.

– Qu’aucune grande entreprise ou administration n’a eu, bien entendu, à souffrir de dommages collatéraux ni a été frappée par Petya 2.0, toute question aux services de communication extérieure desdites entreprise se soldant par une réponse formulée dans la plus pure des langues de bois. On en arrive à se demander si vraiment ce virus a existé.

C’est un véritable marathon du hack bien tempéré auquel Damien Cauquil s’est livré : offrir, en moins de 15 minutes, une méthodologie claire dans le domaine de l’analyse forensique et de la rétroingénierie des équipements IoT. Quels outils, quelle approche systématique, quelles astuces récurrentes…

Côté outils, Cauquil milite en faveur d’un échange permanent entre chercheurs, échange facilité par les informations et alertes diffusées par le Cert-Ubik (Digital Security) et par le partage d’outils tels que ceux disponibles sur la plateforme Github mise en place par l’équipe.

Certaines approches semblent simples. A commencer par les fameuses questions « comment s’ouvre le boîtier » et « il est ou, le Jtag ? »… lorsque celui-ci existe et n’a pas été supprimé dans les chaines d’assemblage de l’objet à analyser. Mais il faut bien admettre que le hacking dans le domaine de l’IoT est avant tout une question de culture et de pluridisciplinarité, associant mécanique, matière mole et électronique. Et l’orateur de donner en exemple un cadenas Bluetooth à clef de déblocage unique, clef bien entendu oubliée. Et à l’intérieur de ce cadenas, ouvert à l’aide d’un petit tournevis, le chercheur ne trouve qu’un circuit intégré dépourvu de système d’exploitation, de mémoire flash externe ou de tout autre point d’entrée exploitable… mais après avoir soudé quatre fils sur une entrée sérielle et acheté un outil de programmation spécifique, le reverser sachant reverser accède au journal des événements stockant l’historique des opérations passées associé à quelques indices secondaires. Qu’importent les détails (le cadenas en question étant commandé par un simple servomoteur, la question du « reverse » était plus académique que pratique). Ce qui importait, explique Damien Cauquil, était de pouvoir considérer l’ensemble des éléments, aussi bien électroniques que logiques (sans oublier le coup de tournevis intrusif), et de mettre au point une méthodologie utile pouvant être étendue à des cas plus complexes.

Le hacker IoT serait donc une sorte de Dirk Gently, le détective holistique. Ce que semble confirmer Deral Heiland (Rapid7) lorsqu’il explique comment il parvient à contrôler les mouvements d’un robot de téléprésence, d’en fausser les données de géolocalisation et extraire de sa mémoire la longue liste des utilisateurs passés. Les axes d’attaque ? Des jetons statiques « codés en dur », une variable dans une url, et pis encore, une prise de contrôle à distance via bluetooth de l’ensemble bloc moteur (chargé du déplacement du robot) et système de positionnement (gps). L’exploitation de cet IoT un peu particulier remonte au mois de janvier et n’a nécessité, pour les attaques de premier niveau, que d’un téléphone portable.

Faut-il savoir souder pour hacker de l’IoT ? Sans l’ombre d’un doute. Et ne pas avoir peur de jouer avec des passifs en 0402 et des circuits au pas de 0.5 mil. Les recherches sécurité, dans ce domaine, se situent à la confluence de l’informatique et de la microélectronique. Et très souvent, l’intégrateur néglige, par ignorance, bon nombre de règles purement informatiques (les recommandations Owasp de l’IoT en quelques sortes), tandis que le développeur fait tout son possible pour se désintéresser du « cambouis » matériel. Forcément, cette absence d’échange est propice à la création de failles interstitielles. Sans un véritable échange entre ces deux cultures par trop dissemblables, toute tentative de sécurisation des objets vendus demeurera lettre morte. Et une fois ces cultures assimilées, sans approche méthodologique précise, toute tentative de hack relèvera du jeu de hasard et de l’inefficacité.

Il y a deux ans, Chaouki Kasmi et José Lopes Esteves de l’Anssi démontraient combien il pouvait être facile d’activer les fonctions de reconnaissance vocale d’un smartphone en utilisant les capacités de détection des filtres d’entrée du terminal (la « prise micro ») en y injectant un signal HF modulé en amplitude. L’année suivante, le même genre d’intrusion était réalisé via les fils d’alimentation secteur, par induction électromagnétique. Cette année, les deux chercheurs s’attaquent avec succès à la reconnaissance vocale elle-même, ou plus exactement aux défauts des mécanismes de reconnaissance qui font qu’un Siri ou qu’un Google Assistant accepte un ordre et l’interprète quand bien même le locuteur ne serait pas le propriétaire légitime de l’appareil.

C’est là bien plus qu’un exploit au sens sécurité du terme, car ces travaux soulèvent une foultitude de questions. A commencer par la plus évidente : doit-on, peut-on considérer un assisant vocal comme une forme d’authentification biométrique ? Ce à quoi Apple répond par un « Siri n’est pas un mécanisme de sécurité (et le tandem Kasmi/Esteves par un « n’y pensez même pas »). Siri, et très probablement la majorité des produits concurrents, a été conçu pour répondre à des caractéristiques physiologiques imprécises par nature. La voix évolue dans le temps, d’une heure à l’autre, en fonction de l’environnement, de la fatigue, du bruit ambiant, de l’état de santé ou d’autres problèmes insoupçonnés. Et rien n’est plus consternant qu’un système de reconnaissance vocale qui tombe en panne parce qu’une voix est montée d’un demi-octave ou devient nasillarde. Siri doit être un système auto-adaptatif, capable d’évoluer.

… Ce qui a pour conséquence de lui faire accepter des voix proches mais différentes. D’autant plus aisément qu’il n’existe pas, dans ces systèmes de simili-authentification par reconnaissance vocale, de limites aux tentatives de déblocage. Un attaquant peut inlassablement répéter les essais de prise de contrôle sans que l’interface ne se bloque. Ergo, l’IHM vocale ne peut, dans l’état actuel de la science, être considérée comme un mécanisme de sécurité ou d’authentification.
« C’est là un point d’autant plus patent, précise José Lopes Esteves, que les fonctions de reconnaissance vocale sont dissociées de celles chargées de reconnaître l’empreinte vocale elle-même ». Lors des phases d’utilisation (reconnaissance vocale), il n’y a pas la moindre tentative pour comparer l’empreinte avec un signal original généré lors de l’apprentissage de la voix du propriétaire. Un contrôle permanent serait probablement trop consommateur de ressources et surtout de temps de calcul.

L’attaque d’un système vocal peut revêtir plusieurs aspects. A commencer par « voler » la voix d’une personne en enregistrant une conversation assez longue, puis en extrayant des phonèmes découpés et réassemblés avec Audigy, par exemple. Il peut être également envisageable de fabriquer de toutes pièces une fausse voix synthétisée qui présente plusieurs caractéristiques simultanément. De manière très simplifiée on peut considérer la voix comme un signal périodique accompagné d’une série de fréquences harmoniques. Les fonctions de reconnaissance ont besoin du message sonore principal, autrement dit de la fréquence fondamentale dépourvue des harmoniques. Moins il existe de signaux parasites à prendre en compte, plus simple est le travail de reconnaissance des phonèmes. L’authentification d’une personne par son empreinte, en revanche, est liée aux particularités physiologiques, et donc aux multiples harmoniques qui constituent la véritable « signature » vocale. Il ne peut y avoir de véritable authentification sans une modélisation à la fois temporelle et spectrale du signal. Reste que les codecs modernes sont de plus en plus capables de simuler ces signaux complexes et de faire prendre aux Siri et autres assistants les hahanements d’un concert de la StarAc pour la colorature de Teresa Berganza.

En saisissant les instances judiciaires Russes et Européennes sous prétexte de pratiques déloyales de la part de Microsoft, Kaspersky est au moins parvenu à déclencher une réaction de la part de la Windows Company.

« Nous ne bloquons pas les antivirus concurrents, nous empêchons simplement que surviennent des problèmes de compatibilité… Et ces problèmes de compatibilité peuvent s’avérer très nombreux dans le domaine très technique et surtout très lié aux couches basses du système d’exploitation qu’est celui des antivirus. « Notre seul but est de protéger nos utilisateurs, et non d’entraver le business des tierces parties » explique de manière très jésuitique Rob Lefferts, patron de la sécurité de la division « Windows and Devices».

Même chanson même refrain que l’aria chanté lors du lancement de Windows Vista, lequel tombait un peu trop souvent en délicatesse

lorsqu’un antivirus tiers venait à être installé. A l’époque, Windows Defender, l’A.V. de Microsoft, était un produit ni intégré, ni gratuit.

Europol lance une importante campagne d’information et de prévention visant à > combattre les tentatives de coercition et d’extorsion sexuelle envers les jeunes internautes . Un slogan, « Say no ! », un mot d’ordre, « signalez à la police »

Un jour de plus au paradis des outils de barbouzes CIA, grâce à Cherryblossom, le tout dernier spyware (au sens premier du terme) révélé par Wikileaks .

Son rôle : infecter les routeurs sans fil. Mais ce qui distingue cet outil des armes techniques dévoilées jusqu’à présent, c’est qu’il s’agit d’une collection complète, éprouvée, fonctionnelle, qui doit exister depuis quelques années déjà si l’on en juge par le dernier numéro de version connu. Car Cherryblossom en est à sa cinquième édition.

L’avantage d’un tel outil est de permettre aussi bien une surveillance ciblée, celle du point d’accès individuel et de son ou ses quelques usagers, qu’un flicage « au chalut » si l’A.P. miné se situe dans un hôtel, un café à la mode ou un revendeur de sandwich hypercholestérolisé (avec ketchup).

Cherryblossom peut tour à tour surveiller l’activité d’un ou plusieurs usagers, réaliser une attaque en « DNS poisoning » dans le but de rediriger la victime vers un serveur précis, collecter les données de trafic et les expédier vers un centre de commande et de contrôle baptisé « cerisier ». Et ceci grâce à une fonction intégrée dans la majorité des routeurs Wifi grand public, à savoir la possibilité de flasher le firmware via le lien wifi. Dans certains cas, précise la documentation fournie par Wikileaks, les routeurs peuvent être pré-infectés peu après leur sortie d’usine, afin d’en faciliter le déploiement et l’activation sur le terrain. Une simple opération préventive, en quelques sortes.

Enterrement discret des cartes de développement et d’intégration Galileo, Edison et Joule signées Intel. Cette tentative destinée à promouvoir l’intégration des plateforme I86 sur le marché des Raspberry, Beagleboard et autres Odroid aura fait long feu : aucune analyse de marché préalable, pas de sortie vidéo HDMI (hormis sur la Joule, vendue près de 350 USD), documentation famélique pour ne pas dire absente, univers d’accessoires confiés à des tierces parties telles qu’Itead, montrant le peu d’implication de l’entreprise dans ce genre d’aventure, tarifs prohibitifs, communauté faiblement encouragée, promotion quasi virtuelle… mais que diable allait faire Intel dans cette galère ?

La présence d’une plateforme Intel dans le domaine de l’informatique embarquée Grand Public prend du sens, particulièrement dans les domaines trustés par le monde Windows et ignorés par l’univers Linux. Celui des radios logicielles, par exemple. Ou d’automates liés à des API spécifiquement Microsoftiennes. Ou encore cherchant à coller aux versions « micro » des noyaux Linux les plus courants. En outre, nombreux sont les champs d’application en quête d’une version allégée du socle matériel et noyau et n’utilisant qu’une, voire deux applications spécifiques, comme c’est souvent le cas en informatique mobile, embarquée ou IoT.

A l’heure actuelle, il reste une branche IoT/embarqué d’Asus baptisée « UP Board » qui persiste à produire des SoC Intel à base de processeur Atom ou Pentium quad core.

Microsoft pourrait supprimer SMBv1 d’ici à l’automne prochain, conséquence de la «faille NSA » exploitée par le virus Wannacry. Les versions v2 et V3 seront toujours mises à jour. Wins, autre point potentiel de vulnérabilité, est toujours conservé

Un rapport d’une quarantaine de pages, un communiqué de presse de 20 feuillets , et surtout un leitmotiv en trois temps : développer la confiance numérique, garantir la souveraineté nationale et conforter le rayonnement international, une recette qui « garantira le succès de la transition numérique ». Il s’agit là surtout d’un acte de foi de l’Anssi, émis au moment précis d’un changement de gouvernement et d’une très légère modification du nom de l’autorité de tutelle (désormais Secrétariat général de la défense et de la sécurité nationale).

C’est également là un bilan chiffré de l’année écoulée : 1700 stagiaires, 21 experts SSI qualifiés, 16 nouveaux produits qualifiés, 95 autres certifiés, 13 agréments octroyés, la préparation d’un grand chantier d’aide aux PME/TPE victimes de malveillance. Mais également de la sécurité opérationnelle, avec une soixantaine d’audits et contrôles de sécurité, plus de 3200 signalements d’événements de sécurité numérique (notamment via le Cert-FR) et une campagne de labels ayant récompensé jusqu’à présent 77 entreprises Françaises dans le monde de la SSI, donc 41 pour la seule année 2016 selon le communiqué.