Archives

Zero Day pour Apache Struts 2, à corriger d’urgence ! prévient Nick Biasini sur le blob du Response Team de Cisco-Talos . Le trou de sécurité serait activement exploité. Struts est un environnement de création d’applications Web

Coup de pub ou véritable cri d’alerte ? Wikileaks publie environ 8700 documents révélant l’existence d’outils, de développements en cours durant les années 2014-2015, de liste de systèmes d’exploitations et applications « ciblées » pour y implanter chevaux de Troie et spywares… mais aucun code, aucun nom, aucune adresse IP ne sont contenus dans cette montagne de fichiers. Le travail de vérification et de recoupement des sources est donc difficile, voire impossible.

Si ce déluge de pages html ne contient pas de véritable révélation technique tangible, il confirme pourtant bien des choses que les professionnels de la sécurité savaient de manière intuitive ou logique.

Oui, la CIA peut « contourner » (et non casser) les principaux outils de messagerie instantanée chiffrés, en profitant des failles de sécurité des systèmes hôtes (IOS, Windows, Android, Linux… )

Oui, les développeurs et reversers qui travaillent pour le compte de la CIA s’intéressent de très près à l’Internet des Objets et cherchent à exploiter les failles (nombreuses) des systèmes embarqués. Et Non, tous les téléviseurs ne sont pas « rootés » avec Weeping Angel… tout au plus un modèle particulier du constructeur Samsung, avec une série de firmware très précis, a fait l’objet de tentatives de développement d’espioniciel pouvant laisser espérer une écoute des conversations tenues dans la pièce où est installé l’appareil. Cela fait beaucoup trop de « si » pour transformer un PoC en arme générique facile à déployer.

Oui, cet intérêt porté aux objets connectés s’étend au secteur automobile. La prise de contrôle à distance d’une pédale d’accélération et d’une direction assistée coûte moins cher et se montre plus discret qu’une arme à feu.

Oui encore, il apparaît clairement qu’il existe un arsenal de procédés de camouflage de code et d’exploits proprement rangés, visant par exemple les noyaux embarqués des téléphones mobiles, les systèmes d’exploitation station et serveurs les plus vendus, à commencer par Windows, et que bon nombre de ces exploits ne sont pas nécessairement « made in CIA ». Car…
…Oui, Il existe une sorte de marché de la vulnérabilité exploitable sur lequel la NSA, la CIA, le CGHQ Britannique font leurs emplettes et s’échangent parfois les fruits les plus intéressants. Certaines de ces failles, suggère le document, doivent être classifiées afin que l’éditeur ou le constructeur, tenu dans l’ignorance de ce défaut, ne cherche pas à le corriger. Et si de surcroît la faille affecte un appareil ou un logiciel largement diffusé à l’étranger, ce n’en sera que mieux et facilitera la surveillance d’acteurs politiques, du monde de la presse ou de l’industrie. Parfois même, d’anciens spywares publics, tels que les productions de l’entreprise Italienne Hacking Team , peuvent servir de source d’inspiration.

Indispensable complément à cet arsenal, les vecteurs d’attaque et d’espionnage que développe la CIA intègrent des méthodes d’évasion ou de camouflage ciblant la majorité des antivirus et firewall.

Mais tout ça reste très en deçà du niveau des révélations Snowden, lesquelles s’attachaient moins aux détails des outils employés qu’aux grandes lignes stratégiques de la NSA, à ses capacités d’infiltration des opérateurs télécom, à ses accords secrets passés avec les Gafa notamment. Wikileaks n’offre, pour l’heure, qu’un instantané des moyens mis en œuvre par les services de renseignements extérieurs des USA. Des moyens intéressants, mais qui ne permettent pas de mesurer l’activité réelle de la CIA, pas plus que l’étude du canon Gribeauval ne peut expliquer l’ensemble des campagnes Napoléoniennes.

La bonne nouvelle, c’est que le sensationnalisme qui a entouré cette publication sauvage va pousser les Samsung, Apple, Microsoft, Google et quelques autres à « pousser » quelques correctifs et auditer leurs systèmes embarqués avec un peu plus d’attention.

L’actualité autour d’Uber ressemble à une partie de Mille Bornes, dans laquelle chaque joueur abat ses « bottes » et ses « coups fourrés ». Un pneu crevé pour la publication de la vidéo d’un Travis Kalanick plein de morgue et de mépris. Limitation de vitesse face aux conditions de travail draconiennes qui lient l’employeur à ses « employés-patrons». Panne d’Essence avec les différents légaux et techniques d’un Google qui accuse Uber de vol de technologie. L’image de marque de l’entreprise dégringole un peu plus chaque jour.

Mais c’est le New York Times qui vient d’abattre la carte « Accident », en révélant l’existence de Greyball, une « app » chargée de profiler chaque client d’Uber et annuler la course si celui-ci appartient au mieux à une entreprise concurrente, au pire à un organisme de police ou de contrôle fiscal.

Dans un pays où la petite entreprise ne connaît pas la Cnil, tout au plus les communiqués rageurs de l’EFF ou de l’Epic, cette initiative « visant à renforcer la sécurité des chauffeurs » indigne les médias et scandalise la police. Pour quelle raison ? Qu’est-ce qui différencie le profilage perpétuel d’un Google ou d’une NSA de celui d’un Uber ? Peut-être simplement le fait que l’un est en grande partie virtuel et l’autre débouche sur un acte concret. Mais c’est également une question sociétale

En Europe, la définition platonicienne de la République pourrait se résumer en une phrase lapidaire : « seule structure habilitée à employer des moyens que condamne son corpus législatif ». Tuer, agresser son voisin, kidnapper, racketter, dicter un comportement de manière coercitive est un délit lorsque pratiqué par un particulier, et un droit régalien pour un Etat-Nation, que l’on appelle justice, armée, police et finance.

Outre Atlantique, cet attachement aux droits régaliens est un peu plus distendu, mâtiné d’esprit libertarien, cherchant à chaque instant de s’affranchir de tout carcan étatique ou de toute inféodation à l’assentiment populaire. Ce qu’Alexis de Tocqueville désignait par le « refus d’une dictature de la multitude ». Sans ce rêve libertarien et libéral, point de startup, de rêve Américain, de plans audacieux et de fortunes rapides. Moins de protection sociale de l’individu, d’unité des textes de loi sur l’ensemble du territoire, d’égalité devant l’impôt, d’équité devant la justice et de respect scrupuleux de la vie privée.

Une situation qui n’aurait que très peu d’importance si ces différences sociétales étaient confinées. Ce qui est loin d’être le cas, puisque les Google, Uber, Microsoft exportent et imposent leur modèle de fonctionnement en Europe. Si Greyball est de l’histoire ancienne et n’a a priori pas concerné le marché du vieux continent, tout le reste, de la paupérisation des pseudo-employés aux méthodes de management d’une brutalité extrême a bel et bien été imposé en nos contrées. Jusqu’à quel point ? Que les développeurs d’Uber se rassurent. Dans le monde des produits et services, il y a toujours moyen de se lancer dans une formidable opération de retrofit marketing pour donner une nouvelle vie à Greyball. Un abonnement « baluchonnage et monte-en-l’air » facturé 25 % des gains journaliers, une édition « spéciale Ministre délégué chargé du Budget » en langue Helvétique (non, pas le Romanche, le patois Banquier), voir un « custom design » ne nécessitant que très peu de modification, pour conducteurs de go-fast ou commerçants de végétaux biologiques, Place de la Boule à Nanterre.

614 M$ en cash, c’est ce qu’apportera CA Technologies dans la corbeille de mariage, si les autorités financières US acceptent cette union avec Veracode. L’acquisition sera a priori totalement finalisée au premier trimestre 2018.

Cette opération de croissance externe apporte à CA un catalogue bien fourni en matière de « secure DevOps », autrement dit procédures et outils de sécurisation des applications, et plus particulièrement des développements Web, temple du « quick and dirty ». C’est également la formation d’un nouveau couple entre non pas deux entreprises, mais entre un géant de la sécurité informatique pour grandes entreprises et un homme, Chris Wysopal, aka Weld Pond, l’un des auteurs de L0phtcrack, timonier de L0pht Heavy Industries. LHI est absorbé par @Stake, un vivier d’analystes et reversers parmi lesquels on peut citer Katie Moussouris, Window Snyder (qui fonda Matasano, fut Chief Security Officer de Mozilla) ou le très explosif Dan Geer, parti avec pertes et fracas de @Stake pour avoir osé critiquer Microsoft. Lorsqu’en 2014 @Stake est reprise par Symantec, Wysopal quitte cette société pour bâtir Veracode… deux ans d’existence, 500 employés, plus d’un demi-milliard de dollars en valeur, la mariée est aussi jeune que riche. Wysopal ne figure pas au nombre des personnes citées dans le communiqué de presse.

« Sécurité numérique au passage des frontières à l’attention des journalistes». Le titre de ce billet de Robert Graham, Errata Security, ne peut que retenir l’attention des gratte-papiers de CNIS. Avec d’autant plus d’intensité que cet article est révélateur de l’état schizophrénique de bien des spécialistes de la sécurité de l’information et de leur décalage patent entre les nécessités métier et leur logique systématique.

A l’origine, un rapport très généraliste du Commitee to Protect Jounalists (CPJ), lequel distille régulièrement des règles de bon sens à l’attention de la gente rédactrice. Conseils portant parfois sur les différentes techniques de cyber-protection, ou dossiers complets sur les techno-réflexes à acquérir en matière de bonnes pratiques numériques.

Et le fondateur d’Errata Security d’analyser un à un ces conseils donnés via une infographie (retirée depuis), pour y ajouter son grain de sel et donner un éclairage plus radical en matière de sécurité de l’information. Tout y passe : politique de mots de passe renforcée, authentification multi-facteur, chiffrement systématique des disques, utilisation de logiciels d’échange chiffrés (Signal, Whatsapp… avec de véritables morceaux de closed source dedans)… en bref, une « hard security » d’entreprise au service des globe-trotters.

Seulement voilà. Graham est un citoyen US, qui ne semble jamais s’être retrouvé entre deux armoires à glace de l’Immigration Service, expliquant qu’entre fournir la clef de déchiffrement d’un disque ou un séjour tous frais payés dans un établissement d’Etat il n’y avait pas d’autre choix offerts à l’intéressé. Jamais, non plus, le défenseur du mot de passe inviolable, de Signal ou de GPG n’a envisagé que la possession ou l’émission d’un contenu chiffré était, dans bien des pays (USA y compris) le catalyseur d’une mise sur écoute systématique ou le déclencheur d’une perquisition musclée, en vertu du principe du « celui qui n’a rien à se reprocher n’a rien à cacher ». La liste des clients de la très respectable entreprise Française Amesys pourrait d’ailleurs suffire pour dresser la liste des pays en question, prouvant ainsi qu’il n’est pire bâillon que celui qui revêt les oripeaux d’une démocratie en lutte contre le terrorisme.

Les premières armes d’un journaliste traversant une frontière sont essentiellement la dénégation plausible et un ordinateur non chiffré et « décommissionné » entre chaque déplacement. Et accessoirement la connaissance de quelques techniques stéganographiques, de moyens de communication discrets, et d’une attitude numériquement « normale », consistant à consulter sa messagerie ou expédier des articles anodins à périodes régulières. Un journaliste qui se promène avec les éditions complètes du petit Kali-Linux illustré est aussi repérable par les barbouzes de tous poils qu’une première communiante dans une bacchanale de César (Jules).

En revanche, l’abus de chiffrement (si possible d’origine étrangère et le plus récent possible) est une garantie de protection des sources, y compris et surtout dans le pays d’origine de l’enquêteur. Tout comme l’emploi de canaux de communication chiffrés et autres boucliers numériques : Tor, Wire, GPG, services proxy hébergés, Proton Mail et serveurs de domaines/messagerie situés « hors juridiction » locale, téléphones le moins « smart » possible et abonnements « à la carte », machines virtuelles d’isolation, firewall configurés en mode parano, réseau local de travail confiné, duplicatas de données éparpillés géographiquement… mais pas dans le cloud ; la panoplie est vaste et nécessite souvent de solides connaissances tant en informatique qu’en droit international, accompagnée d’une certaine lucidité sur la capacité de nuisance des opérateurs télécom locaux. La sécurité et le journalisme sont deux corps chimiques instables qui ne peuvent être soumis à une norme ISO 27xxx, et qui demande une constante adaptation au milieu.

Nos confrères d’Ars Technica relatent l’abandon des charges retenues à l’encontre d’un consommateur avéré de contenus pédopornographiques… faute de preuves techniques, le FBI ne souhaitant pas révéler la nature de ses outils de collecte d’information.

A l’origine de l’affaire, Playpen, un site d’hébergement caché, localisé puis perquisitionné par les services de police et de renseignement intérieur des Etats Unis. Services qui décident de garder le serveur en ligne afin de repérer les consommateurs et fournisseurs de contenus illégaux. A partir de ce moment, chaque visiteur fréquentant le site via l’Onion Router est infecté, le « virus légal » utilisant ensuite un canal de transmission conventionnel pour renvoyer aux policier diverses indications sur les suspects : adresse MAC, nom de la machine, nom d’utilisateur et autres signatures.

Le Lawfare blog décrit dans les grandes lignes comment s’organise cette collecte… et explique la stratégie de défense adoptée par les avocats de Jay Michaud, l’un des présumés coupables. « Sans les détails du code du programme d’enquête réseau du FBI, impossible d’assurer la défense de notre client » expliquent en substance la défense. Code que les Fédéraux n’ont pas l’intention de rendre public. Ce qui marque un coup d’arrêt des poursuites et mises en examen pour, estiment les rédacteurs de Lawfare, près de 35 autres présumés coupables, 17 fournisseurs de contenus et 26 enfants victimes.

Ce difficile cas de conscience est comparable à celui soulevé par les travaux d’Alan Turing durant la dernière guerre mondiale. Des centaines de combattants et civils sont morts, des villes ont été bombardées, des navires coulés pour que jamais les services de l’Abwehr ou de la Kriegsmarine ne puissent soupçonner que leurs moyens de communication étaient écoutés et déchiffrés. Secret d’ailleurs qui fût maintenu bien après la fin de la guerre froide, toujours pour des raisons d’Etat et de secret entourant l’arsenal des services d’espionnage.

Melissa serait-elle parvenue à inspirer les Ministres de Sa Gracieuse Majesté ? Sans l’ombre d’un doute, révèle un article de Softpedia relayant la publication d’un rapport du Parlement sur l’état de la cyber-sécurité dans ce Royaume Uni près-Brexit. Au nombre des recommandations, celle de refuser systématiquement l’octroi d’un « bonus » à tout dirigeant dont l’entreprise aurait été victime d’un vol massif d’identités. Et de rappeler le très discutable triplement de prime de résultat votée en faveur du CEO par le Conseil d’Administration de l’opérateur Talktalk peu de temps après le monumental pillage de ses listes d’abonnés.

Toucher les dirigeants au portefeuille, envoyer les grands patrons au Pénal, c’est ce qu’ont promis les lois Sarbanes-Oxley, Bâle II et similaires, sans pour autant avoir pu émouvoir jusqu’à présent le moindre des champions de la fuite massive d’identités.

Surpris par les multiples hacks qui ont provoqué une fuite de 500 millions ou d’un milliard d’identités ? Pas un seul instant, révèle le bilan annuel de Yahoo. L’équipe de consultants chargée d’analyser les différents « incidents de sécurité » révèle que les responsables sécurité de l’entreprise avaient connaissance des compromissions successives de 2014, 2015 et 2016, ainsi que de la similitude des attaques via des cookies forgés ( the Company’s information security team had contemporaneous knowledge of the 2014 compromise of user accounts, as well as incidents by the same attacker involving cookie forging in 2015 and 2016). Pis encore, fin 2014, il est certain que la haute direction du groupe était au courant d’une attaque « orchestrée par un état-nation » et ayant utilisé les systèmes de gestion et d’administration des comptes des utilisateurs. Plusieurs passages laissent par ailleurs sous-entendre qu’il y aurait eu des fuites techniques internes ayant permis aux attaquants de fabriquer des exploits « sur mesure ». De là à oser imaginer que cette omerta ait été organisée dans le seul but de ne pas déprécier la valeur de Yahoo aux yeux de son futur repreneur Verizon, il n’y a qu’un pas.

C’est Ron Bell, Conseiller Général et Secrétaire Général du groupe qui a servi de fusible, soulevant l’émotion et l’indignation de bon nombre de collaborateurs. Mellissa Meyer, toujours en poste, et dont les émoluments s’élèvent à près d’un million de dollars chaque année, sacrifie avec une abnégation toute saint-sulpicienne son bonus de fin d’année. Trois jours plus tard, une partie des données Yahoo étaient disponibles en téléchargement sur Pastebin, canal officiel de divulgation des Etats-Nation qui s’adonnent au pillage de comptes de particuliers.

Vous avez aimé le canard en plastique et la tortue réseau ? vous allez adorer Bash le Lapin, la toute dernière production de Hack5, issue des méninges démoniaques de Daren Kitchen.

On connaissait déjà l’USB rubber ducky, outil d’attaque en « rejoue » et injection, capable de faire croire au système d’exploitation à un simple branchement de clavier ou souris (identifiant HID). On avait tous entendu parler du Pineapple, l’ananas sans fil, outil intégré d’audit et pentest de réseau Wifi. Cette terrible famille comptait également la tortue réseau, une clef USB destinée à établir discrètement un accès distant sur une machine, la transformant du coup en espion réseau et point d’attaque « man in the middle ».

Bash Bunny est d’une toute autre dimension. C’est un ordinateur linux sur clef usb, totalement orienté pentesting, c’est donc une plateforme d’attaque qui ne nécessite aucun driver, simule une carte gigabit, un disque mémoire-flash, un port série et, bien entendu un clavier -héritage génétique du Canard en caoutchouc déjà mentionné. Injection de données, exécution de scripts, extraction de fichiers, installation de portes dérobées, ce lapin « ne nécessite que 7 secondes entre son branchement et le p0wn de la machine cible » affirment ses concepteurs.

Bash Bunny est assez proche, dans l’esprit, à USB Armory qu’avait développé Andrea Barissani et qui vient très récemment de rejoindre le giron de F-Secure.

Il va sans dire que l’usage de ces outils en dehors du cadre strict d’un contrat de test de pénétration ou à des fins strictement personnelles fait encourir à son propriétaire les foudres des LCEN, Loppsi et autres codicilles de la LPM.

Il est rédigé pour répandre une sainte frousse, le rapport Hacking Robots Before Skynet rédigé par Cesar Cerrudo et Lucas Apas. La Tweetosphère toute entière s’est soudainement couverte de Robby et de Benders devenus fous, et les allusions aux trois lois de la robotique se multipliaient comme affaires judiciaires durant une campagne électorale.

Il faut reconnaître que les deux chercheurs d’IOActive ont imaginé les pires des scenarii : distributeurs de denrées ou de boisson cherchant à empoisonner leurs usagers, animaux domestiques torturés par de petits automates passés du côté obscur de la force, appareils électroménagers voulant à tous prix électrocuter le cuisinier… voilà qui rappelle les portes à péage et les cafetières agressives des romans de Philip K. Dick. Pour Cerrudo et Apas, ce n’est pas là un roman de SF. Plusieurs modèles de robots fabriqués par SoftBank Robotics, Utech, Robotis, Universal Robots, Rething Robotics et Asratec présentent des défauts exploitables pouvant se solder au mieux par un simple disfonctionnement, au pire par une prise de contrôle à distance ou un détournement de son usage premier. Les mêmes causes produisant les mêmes effets, l’on croirait lire un rapport d’analyse vieux de 15 ou 20 ans, énumérant les problèmes rencontrés dans les routeurs WiFi ou équipements IoT divers : problèmes d’authentification, communications non sécurisées, faiblesses dans les niveaux de sécurité (équivalent d’un accès «root » sans vérification d’identité renforcée), niveau de chiffrement insuffisant, fuites de données à caractère personnel, configuration par défaut permissives, bibliothèques de fonction ou environnement de programmation intégrant des vulnérabilités connues… rien de franchement nouveau, mais rien de franchement corrigé non plus. Les mêmes erreurs sont commises, par des intégrateurs et industriels favorisant plus le « time to market » que la sécurité des usagers et clients.

Quelles sont les organes les plus vulnérables ? La liste dressée par Cerrudo est kilométrique. Les caméras, les microphones qui, détournés, deviennent des espions discrets. Les accès réseau, également. Mais aussi l’environnement et l’infrastructure étendue propre à chaque robot : les services cloud auxquels il se connecte, les portails facilitant son administration via Internet etc. Passons également sur les risques évidents de piratage des applications et appareils de prise de contrôle à distance (via attaque radio genre « evil twin » ou en infectant le logiciel de télécommande), n’oublions pas non plus les toujours possibles modification de firmware, les attaques en « fuzzing » (les robots utilisent souvent des systèmes d’exploitation communs issus de la sphère open source), sans oublier les « fausses mises à jour » et autres intrusions utilisant des canaux légitimes, voir le viol d’un des nombreux ports de communication. Car un robot, c’est souvent un concentré de gpio… donc de défauts dans cuirasse mi-matérielle, mi-logicielle.

« Tant que ces failles affectent des produits grand public, les risques sont relativement limités », expliquent en substance les deux chercheurs. Mais des robots, plus puissants, plus autonomes encore, on en rencontre dans les environnements industriels, les armées du monde entier travaillent activement sur leur développement, les services hospitaliers les généralisent, le monde des affaires commence à s’y habituer. Les robots sont partout et constituent autant de points de vulnérabilité si l’on ne porte pas dès aujourd’hui une attention particulière à leur sécurisation informatique. Un appel dans la droite ligne du discours du groupe I Am the Cavalry.