Archives

La question que se posait CNIS MAG la semaine passée semble frapper à son tour la presse anglo-saxonne : mais pourquoi diable Wikileaks tarde à communiquer aux différents éditeurs les sources des exploits et autres PoC soi-disant contenus dans les fichiers fuités de la CIA ?

« Oui, quand donc » demande Graham Clueley, tandis que Chris Goettl (Sté Ivanti), renchérit dans les colonnes du HNS par un « pas de patch Tuesday Microsoft ce mois-ci, mais énorme « trou Friday » grâce à la CIA » … ce qui nous promet une collection de printemps riche en rustines tant du côté des éditeurs d’antivirus que d’outils bureautiques populaires » précise-t-il en substance. Michael Heller, TechTarget, rapporte la réaction (plutôt tardive) de Julian Assange, qui promet aux entreprises du monde logiciel un accès à ces données critiques. Notre confrère ajoute que le FBI et la CIA vont se plonger dans une chasse aux fauteurs de fuite. Le contraire eut été étonnant, mais les conclusions d’une telle enquête risquent fort de ne jamais être rendues publiques. Heller a d’ailleurs rédigé un tout autre article reprenant notamment les Tweets inquiets de plusieurs personnalités du monde de la sécurité, réclamant à Wikileaks une divulgation salvatrice.

IEEE Explore, la revue de l’IEEE, organisme de normalisation US, publie une étude portant sur la fiabilité (ou plus exactement l’absence quasi-totale de fiabilité) des compteurs d’électricité intelligents déployés aux Pays Bas. Si dans de très rares cas lesdits compteurs sous-facturaient les clients leur faisant bénéficier d’une économie d’environ 32%, l’immense majorité des appareils installés chez les abonnés auraient tendance à légèrement alourdir la note, jusqu’à plus 582%.

Plusieurs raisons à cela, à commencer par une mauvaise gestion des appels de courant violents, et surtout un manque de fiabilité des capteurs de courant qu’utilisent les compteurs modernes. Dans l’Europe entière, les compteurs ancienne génération utilisent une simple shunt, procédé vieux comme la loi d’Ohm, fiable comme un banquier des îles Caïman. Les compteurs modernes, en revanche, font appel à des capteurs à effets Hall, parfois aveugles à certains appels de courant (ce sont ceux qui sous-facturent les abonnés) et des bobines de Rogowski, capteurs à induction qui sembleraient mal supporter la présence notamment d’alimentations à découpage et autres « switching bidules », explique la revue de l’Université.

Une chose est désormais certaine, ces compteurs sont potentiellement vulnérables à une forme d’attaque par saturation du champ électromagnétique et aux transitoires violentes sur le réseau électrique. Les spécialistes sécurité pourraient faire la fine bouche sous prétexte que ce n’est là qu’un vulgaire déni de service, mais bien des attaques sophistiquées peuvent démarrer avec une telle préparation de terrain.

Pour l’heure, les fournisseurs d’énergie d’Europe et de Navarre ne remettent pas en cause ces recherches Universitaires, mais font parfois remarquer que leurs compteurs ne sont pas en cause… puisqu’absents de la liste des appareils testés. Pour la France, ces petits nuages magnéto-inflationnistes pourraient bien être à l’image des nuages radioactifs : ne pas franchir l’Alsace et la Lorraine.

Hacking caractérisé, tromperie, obstruction à la justice… Manfred Döss, Directeur des affaires juridiques de Volkswagen, sur l’aval de la direction du groupe, a plaidé coupable dans l’affaire du Dieselgate qui l’oppose à la justice US.

Contournement de certificat Notepad++ exploité par la CIA, problème corrigé. Notepad++ ne peut plus charger une dll forgée par les barbouzes des « Five Eyes ».

Les jours de l’IoT se suivent et se ressemblent. Cette fois, le chercheur Pierre Kim est tombé sur un OEM quelque peu fâché avec la « security by design », et dont les étourderies et mauvaises pratiques se sont répercutées sur tous les modèles de ses clients intégrateurs. Au total, plus de 1200 modèles et marques, soit environ 200 000 équipements dans la nature, peuvent être considérés comme faillibles.

Les failles en question sont d’un pur classicisme:

– Mot de passe de maintenance telnet (aka « backdoor ») par défaut : root:$1$ybdHbPDn$ii9aEIFNiolBbM9QxW9mr0:0:0::/root:/bin/sh

– Contournement d’authentification lors des accès aux pages contenant les fichiers de configuration (lesquels contiennent les créances ftp et smtp des usagers)

– Contournement d’authentification permettant l’exécution à distance de code dans le noyau de la caméra, avec privilèges root

– Accès au serveur rtsp, port 10554, sans authentification nécessaire. N’importe qui peut alors voir le flux vidéo que délivre l’appareil

– Vulnérabilité dans le service d’administration distante via Cloud pouvant, après attaque en Brute Force révéler les logins d’accès aux appareils. Pierre Kim estime d’ailleurs que cette vulnérabilité va bien au-delà de l’attaque des caméras en question, mais pourrait servir à attaquer plus d’un million d’appareils IoT utilisant le service.

… parfois, nul n’est besoin d’avoir à lire 8700 pages de fichiers CIA pour espionner son prochain.

Bien qu’une large proportion des espioniciels décrits dans les documents « fuités » de la CIA aient été bloqués grâce aux mises à jours successives des programmes et firmwares, certains risques demeurent, véritable aubaine pour les spécialistes du marketing InfoSec. Les annonces pleuvent dont celle d’Intel qui propose gracieusement un programme d’inventaire de vulnérabilités capable d’analyser les éventuelles atteintes au bios UEFI ciblé par quelque infâme CIAware.

Chipset, plateforme gratuite d’inventaire de failles conçu par les ingénieurs d’Intel, existe depuis un peu moins de 3 ans. Ce logiciel doit être récupéré sur un dépôt Github, et sa toute dernière mise à jour inclus un module python d’analyse des bios par « liste blanche » spécifiquement destinée à l’examen de la chaine de démarrage de l’ordinateur.

La Rand Corporation publie une étude plutôt copieuse de 115 pages, entièrement consacrée aux exploits « Zero Days », travail qui repose sur l’analyse quasi « sociologique » d’environ 200 failles « inconnues et non corrigées » au moment de leur exploitation, le tout sur une période allant de 2002 à 2012. Un formidable travail de bénédictin qui classe les failles en X catégories : les « vivantes », connues publiquement, les « immortelles », qui ne seront jamais corrigées, généralement en raison de la disparition de l’éditeur et de l’absence de maintenance du code, les « décédées », celles pour lesquelles un correctif a été développé et enfin les « zombies », failles corrigées sur des versions récentes des logiciels faillibles, mais toujours actives sur des éditions plus anciennes. Les Zero Day se situent dans un monde parallèle, et parfois franchissent le pas qui va de l’ombre à la lumière, prenant alors de statut de faille vivante.

Combien de temps peut vivre un zéro day ? Longtemps, très longtemps. En moyenne 7 ans, affirment les statisticiens de Rand. Si certains trépassent dans leur prime jeunesse -25% n’ont une espérance de vie de seulement 1,5 an, ce qui n’est déjà pas mal, d’autres ont l’âme chevillée au corps. Sur 200 cas précis, 25% peuvent se maintenir en activité durant 8 ou 10 ans. Mais le moindre mouvement est susceptible de révéler l’existence de l’exploit sur les radars des chasseurs de faille. Et dans ce cas, le malware n’a plus qu’à numéroter ses abatis : en moins de 22 jours, une parade est développée puis déployée. C’en est fini du Zero Day.

Le taux de découverte d’un même ZDE par une équipe de recherche tierce est assez faible, aux environs de 5%. Une sorte d’assurance-immunité qui joue en faveur d’un marché parallèle florissant, dans les allées duquel se côtoient truands et barbouzes, clients prêts à payer très cher ces machines à intrusion. Entre 100 000 $ et un million de dollar (montant d’une panoplie complète d’attaque sur iPhone). Une lecture que l’on ne peut que recommander aux agents de la CIA.

L’Israélien Cybereason offre un outil gratuit de « protection contre les ransomwares ». Très peu de renseignements sur le fonctionnement du programme. Analyse comportementale, affirme l’éditeur, et peut-être surveillance des accès aux API de chiffrement Windows

L’agence Reuters rapporte une décision de la cour de justice de l’Union Européenne stipulant que les personnes privées ne peuvent demander l’effacement des données personnelles incluses dans les registre des Chambres des Commerces chargées de l’enregistrement des entreprises.

A l’origine de cette décision, la plainte d’un entrepreneur Italien, Salvatore Manni. Constatant la mévente d’un complexe immobilier touristique dont il avait la charge, il invoque alors le fait que les clients potentiels se sont désistés après avoir consulté les registres des sociétés qu’il avait précédemment dirigé. Or, la précédente entreprise avait dû déposer le bilan. Cette mésaventure entachant la réputation du vendeur, celui-ci demande alors l’application du « droit à l’oubli ». De refus en refus, l’affaire finit par se plaider au niveau Européen. En vain, puisque Manni est débouté, au motif que les registres des chambres de Commerce ne contiennent que très peu d’informations à caractère personnel. Bonne renommée vaut mieux que ceinture d’avocats.

Bombe médiatique, la série de révélations diffusée par Wikileaks l’est, sans l’ombre d’un doute. Mais une bombe qui n’explose pas nécessairement là où la presse généraliste l’affirme. Des téléviseurs connectés indiscrets ? Des techniques d’évasion contre les antivirus ? Des failles exploitées dans les noyaux embarqués des routeurs et téléphones portables ? Le fait même qu’une agence de renseignement cherche à militariser des exploits ? Tout ça n’a strictement aucun caractère de nouveauté pour qui fréquente de temps en temps les conférences sécurité. D’autant moins qu’aucun des cyber-flingues décrits ne peuvent servir dans des opérations de surveillance de masse. Ce sont là des « spear-malwares », des programmes destinés à cibler une cible unique et précise. Dégâts collatéraux mineurs et peu inquiétants, donc.

Ce qui, en revanche, dérange un peu plus la communauté Infosec, ce sont des détails qui échapperaient un peu plus au grand public. A commencer par la date de publication de ces informations, et les assertions de Wikileaks.

La date de publication tout d’abord, peu de temps après le basculement de la Maison Blanche dans le camp Républicain. Wikileaks, qui, durant toute la campagne électorale, n’a cessé de divulguer des documents à charge contre le parti Démocrate, n’a jamais tenu sa promesse « d’en faire autant pour la partie adverse ». Avec, pour première conséquence, une perte de crédibilité d’autant plus importante que bon nombre des positions émises par Wikileaks étaient reprises en écho par Sputnik, organe de propagande piloté par le Kremlin. Cette nouvelle série de révélations pourrait éventuellement constituer une tentative de reconquête de l’opinion, en replaçant Wikileaks dans son rôle de lanceur d’alerte et d’opposant aux pratiques de basse police. Mais cette collection de « non révélations techniques » d’une fraîcheur douteuse sent trop le renfermé. Trop peu d’informations, datant d’il y a trop longtemps.

Autre fait troublant, la série de documents « fuités » ferait partie d’un ensemble de fichiers qui seraient passés de mains en mains entre différents hackers travaillant pour le compte de l’Agence ( The archive appears to have been circulated among former U.S. government hackers and contractors in an unauthorized manner). Durant plus d’un an ou deux ? Sans que la CIA ne parvienne à l’apprendre ? Voilà qui semble assez improbable. Un codeur s’attarde peu à collectionner des exploits vieux de deux ans pour la plupart, surtout s’il travaille réellement pour le gouvernement et possède les autorisations nécessaires d’accès aux ressources en question. Ce qui pose la question de l’origine de la source d’information. Laquelle source joue sans l’ombre d’un doute aux échecs avec (ou contre) les services de renseignements US. La « fuite CIA » est une pièce que l’on avance semblant dire « un pion peut en cacher un autre ». Mais on est loin du gambit. Un joueur plus averti aurait placé des pièces menaçantes, plus récentes, prouvant à quel point il est capable d’infiltrer les ordinateurs stratégiques des Etats Unis.

Le contenu publié interroge également. Aucune identité révélée (les précédentes divulgations de Wikileaks prenaient moins de pincettes lorsqu’il s’agissait de violer la correspondance privée de personnalités politiques) et surtout aucun code véritablement actif, ni charge utile, ni dropper, ni programme de contournement. « Il seront, peut-être, publiés plus tard ». L’on peut arguer du fait que l’ouverture des vannes à spywares estampillés CIA aurait les conséquences dramatiques que l’on peut imaginer, et qu’une institution telle que Wikileaks se sentait responsable de la sécurité des usagers. Mais une ou deux preuves concrètes n’auraient pas été de trop. D’ailleurs, si Wikileaks possède cette panoplie d’armes numériques, pour quelle raison cette organisation n’a-t-elle pas déjà entamé une campagne d’information à destination des éditeurs et équipementiers mentionnés dans les quelques 8700 documents ? Là est la véritable responsabilité. Et puis, compte tenu du nombre de victimes potentielles et de la publicité faite autour de ces révélations, les éditeurs auraient profité de l’aubaine pour clamer bien haut leur volonté de corriger et renforcer leurs productions « grâce à Wikileaks ». A commencer par les éditeurs d’antivirus, toujours prompts à sortir des torrents de communiqués de presse. Pourquoi manquer à ce point une occasion de jouer les cyber-garants des libertés et de la sécurité ?

Du côté de la communauté des chercheurs en sécurité, la révélation de l’existence d’une cyber-armada d’exploits battant pavillon CIA soulève un cas de conscience. Alors que commencent à se développer de plus en plus les initiatives « bug bounty », que les éditeurs et chasseurs de failles parviennent à trouver un terrain d’entente, voilà que ressurgit le spectre de la militarisation des failles exploitables, la certitude de l’existence d’un marché occulte du « PoC à barbouzes ». A tel point que certaines voix plaident pour un retour au « full disclosure », ou militantisme de la transparence immédiate et totale, présenté comme la seule parade possible.