Archives

Xavier Mertens, (@xme lorsqu’il gazouille), reverser et analyste de malware réputé en Europe, signe, sur le journal du Sans, l’autopsie d’un virus-macro Word . Attention, la mise en page est faite à la diable et censure 80% du texte… un couper-coller de la page vers un éditeur est nécessaire.

La sphère politique internationale, suite aux attentats de vendredi dernier, a rapidement réagi en criant haro sur le chiffrement. A tel point que l’on aurait pu croire revenues les grandes heures de la DCSSI, du Wep 48 bits et de l’assimilation « vous chiffrez, donc vous avez quelque chose à vous reprocher ».

Depuis le début de la semaine passée, la rédaction de CNIS Mag a insisté sur l’absence totale de preuves techniques permettant d’affirmer que les outils de chiffrement avaient joué un rôle majeur dans ces terribles évènements, et qu’il ne s’agissait là que d’une instrumentalisation cynique de la part d’un quarteron d’élus (tous pays confondus) faisant le jeu des extrémistes. C’est également l’avis de Dan Froomkin, de The Intercept, lequel écrit en substance « plusieurs signes indiquent que les communications du réseau terroriste n’étaient absolument pas chiffrées ». Ceux-ci auraient même employé de simples SMS durant leurs échanges, et les informations tactiques relatives à leurs attaques (notamment le plan de la salle de concert) étaient stockées sans la moindre protection sur leurs terminaux mobiles. Techdirt publie un billet allant également en ce sens.

Au temps pour les adversaires du secret de la correspondance.

Cela ne sous-entend quand même pas que l’organisation Daech ignore tout des outils de chiffrement. Plusieurs sites témoignent du contraire, à commencer par ceux qui apparaissent depuis peu sur le Darknet. Mais c’est également le cas de toute organisation clandestine… ou entreprise commerciale jouant un rôle à l’International : chiffrer, c’est se protéger des vols d’identité, préserver des secrets de fabrication, parer l’espionnage de tractations commerciales stratégiques… Lorsqu’un gouvernement Européen tente de faire passer une loi « anti chiffrement » (à l’instar du projet Britannique « Investigatory Powers Bill »), cela pourrait bien être pour d’autres raisons comme par exemple accroître les capacités de surveillance intérieure (autrement dit celles de ses propres citoyens) ? Améliorer les moyens d’espionnage industriel ? Et chasser le terroriste et le crime organisé dans tout ça ? Sans doute. Le jour où des personnes qui n’hésitent pas à tuer par pure idéologie, religieuse ou non, ou encore des groupes qui orchestrent des réseaux mafieux se soucieront du respect des lois sur l’usage du numérique en vigueur dans le monde …

Carnegie Mellon précise, dans un communiqué officiel, que les propos de Roger Dingledine, directeur du projet Tor, sont inexacts et que les travaux de l’Université sur le contournement des mécanismes de protection de Tor seraient (sans l’affirmer précisément) la conséquence d’une assignation du FBI. Assignation à laquelle l’Université se doit de répondre, comme tout établissement alimenté par le budget Fédéral.

Rien dans ce communiqué ne nie clairement le fait que le FBI ait financièrement subventionné les recherches en question (ce qui serait d’ailleurs assez logique compte tenu du système économique qui régit la recherche universitaire US. Les chercheurs ne sont pas payés directement par le FBI, mais le département de recherche ne peut se permettre de travailler gratuitement).

Nul passage ne vient non plus nier le fait que l’établissement a travaillé sur un ou des moyens visant à intercepter des contenus transitant via le réseau chiffré.

Nous sommes NSA Free, clame Cisco, pour se dédouaner d’une photo compromettante parue dans un document Snowden. Et pour le prouver, nous convions tous nos utilisateurs à effectuer une revue de code grâce à notre « technology verification service », lequel prouvera notre bonne volonté et notre totale transparence, affirme en substance l’équipementier.

Quelques esprits chagrins feront remarquer que ce service est soumis à quelques restrictions à l’exportation, et qu’accessoirement, il est payant. Ajoutons à cela que se lancer dans l’audit d’un code pesant probablement plusieurs dizaines ou centaines de milliers de lignes relève soit des Ateliers Nationaux de 1848, soit d’un épisode particulièrement hard core de la série « Mission : Impossible » si l’on ne dispose pas des moyens et de l’infrastructure d’une Administration d’Etat ou de celles d’une grande entreprise.

9271 vulnérabilités majeures découvertes dans le firmware de 185 « objets de l’internet », principalement des routeurs, modems DSL/câble, téléphone IP, caméras de surveillance sous IP etc. C’est le résultat brut de l’étude signée Andrei Costin et Aurélien Francillon d’Eurecom avec le concours d’Apostolis Zarras de l’Université de Bochum.

Réduire l’étude de ces trois chercheurs en quelques chiffres ne rend pas justice au travail effectué. En fait, son aspect le plus intéressant porte surtout sur l’automatisation et le travail à grande échelle de cette chasse au bug, grâce à la mise en place d’un environnement d’émulation. La machine virtuelle est adaptée aux principaux systèmes et matériel du commerce, et les firmware chargés puis épluchés de manière dynamique les uns après les autres. Une sorte de « VM de torture » reproduisant au mieux l’environnement d’exécution.

Autre point important, cette recherche s’est limitée (sic) aux simples interfaces Web d’administration et de paramétrage qui sont en général intégrées dans le moindre des objets IoT. Et qui, pourrait-on ajouter, constituent le ventre mou de ces systèmes embarqués depuis des lustres. En d’autres mots, il n’est pas question ici des failles matériel, des trous Wifi/bluetooth/DECT, bref, de ce qui sort du volet « httpd » de ce travail. Il y a fort à parier que si l’analyse avait pu s’étendre à ces aspects, le nombre de défauts recensés aurait été probablement doublé. Mais ce genre de tests est nettement moins susceptible de pouvoir être automatisé.

Les armes de chasse sont classiques : Arachni, Zed Attack Proxy, w3af, ce qui n’interdit pas à tout chercheur souhaitant continuer ce travail d’y ajouter Metasploit ou Nessus. L’environnement lui-même, Qemu, a été retenu en raison du nombre important de processeurs supportés : Arm, Mips, Mipsel, Axis Cris, bFLT, PowerPC, X86 et même Nios II d’Altera. Certains cœurs échappent à ce crible, tels les processeurs spécifiques de Dlink ou un Risc 32 bits peu répandu, le Arctangent A5. Plus de la moitié des objets utilisant un ARM ont été vulnérables à un Chroot et une attaque Web, entre 17 et 21 % pour les systèmes à base de MIPS, et un peu moins de 30 % pour les IoT avec moteur Mipsel.

Les vulnérabilités les plus fréquemment rencontrées sont : XSS (5000 sur les 9271 recensées), manipulation de fichiers (1129), exécution de commandes arbitraires (938), ajout de fichiers (513), divulgation de fichiers (461), injection SQL (442)… La confiance dans l’IoT, ça se mérite.

Toutefois, précisent les trois chercheurs, il est des domaines où la sécurité est prise nettement plus au sérieux. C’est notamment le cas de boîtier de télévision payante, par câble ou satellite. Probablement en raison des conséquences de pertes économiques directes qu’un défaut de sécurité provoquerait immédiatement, certainement aussi conséquemment aux multiples hacks qui, depuis plus de 20 ans, ont conduit ces intégrateurs à s’engager dans une course au blindage antipirates. Comme quoi, c’est pas la sécurité qui manque, dans le domaine de l’Internet des Objets, c’est la menace financière.

Interview de Lena Sundström et photographies de Lotta Härdelin, ces deux journalistes Suédoises viennent de publier un article sur « l’homme Edward Snowden ». Coup de cœur de la rédaction

Recorded Future, cabinet d’expertise InfoSec, publie un rapport sur l’analyse d’une centaine « d’exploits kit ». Sans surprise, les vulnérabilités Flash sont des points d’intrusion dans 8 cas sur 10, devant Internet Explorer.

Deux articles sur le camouflage des outils de « télécommande » destinés aux botnets viennent d’être publiés, l’un par deux chercheurs de Dell SecureWorks et CrowdStrike (Pierre-Marc Bureau et Christian Dietrich), l’autre par Artturi Lehtiö de F-Secure. Deux enquêtes sur les astuces les plus échevelées que développent aussi bien les grands réseaux mafieux que les services de renseignement de quelques Etats-Nation impliqués dans les actes de cyber-guerre.

Le papier Dell/CrowsStrike se focalise sur l’usage de la stéganographie pour véhiculer les ordres du C&C. Stegoloader cache son code dans les fichiers PNG, Lurk dans les BMP et Gozi dans les icones Windows résument à la fois l’article du blog de Dell et la série d’écrans de présentation utilisée lors de la Black Hat Europe qui s’est achevée la semaine passée.

Cette utilisation hors norme des images comme couche de transport n’est pas sans rappeler les travaux que Saumil Shah à l’occasion de la première NoSuchCon. Les conclusions d’alors sont toujours valables : il est vain de vouloir filtrer toutes les images du Web pour en détecter une commande cryptique. Et il est presque aussi difficile d’envisager de détourner le botnet ainsi piloté, puisque les vecteurs de diffusion potentiels sont innombrables et leurs serveurs d’hébergement généralement profondément cachés dans le code du Bot.

Artturi Lehtiö, de son côté, destinait la publication de ses recherches au Virus Bulletin. Il s’agit là encore d’une analyse des techniques de camouflage des échanges entre C&C et machine zombifiée, mais en utilisant cette fois réseaux sociaux et autres services en ligne. Cela va du simple fichier hébergé sur Google Doc (Backdoor.Makadocs), au message discret (mais public) envoyé sur Twitter (Janicab). Cette approche avait été pressentie et décrite dès 2010 par Ziv Gadot et Itzik Kotler lors de la conférence Hackito Ergo Sum de 2010, puis de plus en plus largement utilisée par le côté obscur de la force, ainsi ce botnet visant la sphère Apple et qui lisait les articles de Reddit, ou cette infection Android qui allait se repaître dans les espaces infinis de la blogosphère (étude conduite en 2011 déjà).

Mais le summum de la duplicité, expliquent le chercheur, c’est lorsque le C&C d’OnionDuke utilise Twitter pour y émettre des mises à jour elles-mêmes camouflées dans une image postée. Stéganographie et réseaux sociaux, le mélange est détonnant.

Et Lehtiö d’énumérer les vecteurs de pilotage : Skype, Facebook, Google Calendar, Yahoo mail, Google Talk, MSN Messenger, et, lorsque le botnet cible les équipements mobiles, les ordres sont transmis par Baidu, ou les push du Google’s Cloud Messaging. Les données extraites suivent un chemin comparable, plus adapté au volume de l’information. Microsoft Onedrive, par exemple, ou Cloudme.com.

La série d’attentats du 13 novembre continue de provoquer des glissements sémantiques dans la presse technique d’Outre Atlantique. Le New York Times publie un très long article, aussi documenté que précis, sur l’enchaînement des actes terroristes et glisse, au détour d’un chapitre, un très prudent « European officials said they believed the Paris attackers had used some kind of encrypted communication, but offered no evidence » (quelques personnalités Européennes déclarent qu’elles pensent plausible l’usage par les attaquants de certains moyens de communication chiffrés ».

Ars Technica, se basant sur l’article du NYT, titre alors « ISIS encrypted communications with Paris attackers, French officials say » (Daech chiffrait ses communications avec les attaquants, déclarent les représentants du gouvernement Français). De l’hypothèse (probable), on passe à l’affirmation péremptoire. Cela rappelle les suspicions d’usage de la stéganographie par Al Quaida lors de la préparation de l’attentat du 11 septembre 2001. Usage qui n’a jamais été prouvé dans le cadre de cet évènement précis, contrairement à la technique des « boîtes mortes » sur Internet qui a effectivement beaucoup servi. Ce qui n’a pas pour autant rendu hors la loi le business des messageries Cloud. La sécurité d’Etat pourrait s’arrêter là où le business est fructueux ?

Le NYT encore, témoigne de la pugnacité de Tom Brennan, Directeur de la CIA qui, depuis des années, régulièrement, agite le chiffrement des échanges sur Internet comme un épouvantail, et explique que c’est là un moyen largement utilisé par les terroristes. Le fond de commerce de Brennan (la peur, l’incertitude, le doute, la stigmatisation et surtout l’inlassable répétition) commence à faire écho auprès de plus en plus de Sénateurs US, sans toujours la moindre preuve venant confirmer cette possibilité. Que la Maison Blanche valide ces théories, et l’Europe pourrait bien, par mimétisme, profiter de cette attitude pour justifier la résurrection de vieilles idées sécuritaires telles que les tiers de confiance et les clefs de séquestre.

Et ce, malgré un troisième article du NYT qui martèle à nouveau « les personnes autorisées tant Américaines que Françaises déclarent qu’il n’existe encore aucune preuve venant étayer la thèse que les terroristes du vendredi 13 novembre ont utilisé des technologies de chiffrement nouvelles et difficiles à casser ». Ce qui n’empêche pas Brennan et autres politiques d’expliquer, chiffres à l’appui, que depuis les révélations Snowden et la psychose des écoutes NSA, le nombre de personnes utilisant des outils de chiffrement, des réseaux chiffrés (Tor étant le premier visé) ou des systèmes sécurisés tels que Tails (https://tails.boum.org/) a plus que doublé, voir triplé en l’espace de deux ans. Mais, aurait ajouté Pierre Dac, il s’agit d’une frange d’utilisateurs « partis de rien pour arriver à pas grand-chose ». Les afficionados de Tails se comptent en dizaines de milliers, pas en milliards d’internautes. Idem pour les adorateurs du culte de Tor l’Oignon Sacré. Et l’installation de GPG relève, proportionnellement au nombre réel d’abonnés au Net, de l’usage anecdotique. D’ailleurs, l’emploi que Daech fait de ces techniques est lui-même assez limité, puisqu’un premier site d’information djihadiste vient à peine d’apparaître sur le Darknet, faisant la promotion au passage d’un outil d’échange chiffré assez simplifié. Cette naissance a été signalée sur Krypt3ia et CSO Online.

Quelques journalistes parviennent pourtant, dans ce climat anxiogène, à résister. Glenn Greenwald, de The Intercept, titre« Exploiter les émotions soulevées après les attentats de Paris pour condamner Snowden détourne l’attention qui devrait se focaliser sur les coupables effectifs, à savoir le bras armé de Daech ». Greenwald laisse clairement entendre que les attentats sont considérés par les faucons Républicains non pas comme un évènement grave dont il faut rapidement tenter de combattre les causes, mais comme un prétexte arrivant à point nommé pour justifier des visées politiques. Et Greenwald de s’indigner de l’attitude de ces « journalists mindlessly and uncritically repeat whatever U.S. officials whisper in their ear about what happened ». Car les récents attentats sont aussi l’occasion de faire jouer les techniques d’influence et d’orientation de certains médias, notamment ceux en quête de sensationnel.

Instrumentalisation encore, mais du côté de la Grande Bretagne cette fois, puisque le Premier Ministre David Cameron fait son possible pour accélérer la procédure d’adoption d’une proposition de loi baptisée « Investigatory Powers Bill » rapporte The Stack. Au fil de ce texte, l’obligation de rétention des données par les FAI sur une durée d’un an, et la mise hors la loi de tout système de chiffrement « zero knowledge ».

L’usage du Chiffre est-il la conséquence des alertes lancées par Edward Snowden ? Si la réponse est « oui », il faut également mettre au ban de la société tous les personnages qui ont eu recours à ce genre de technique dans le cadre de correspondances clandestines. Ce qui risque de compromettre la réputation de Jules César, Marie Stuart ou Edgar Poe.

Les amateurs de mantras hypnotiques apprécieront cette nouvelle dévoilée par Softpedia, et narrant la déconvenue des forces de police US (dont certaines unités du Swat, les forces d’intervention de la police des Etats Unis) lorsque ceux-ci ont appris que leur caméras portatives étaient, en partie, infectées par le virus-ver Conficker. Ce vieux briscard de l’infection semble s’être glissé dans les « master » de l’entreprise Martel, fabricant d’équipements électroniques tactiques. Le raccordement de la caméra à un ordinateur mal protégé provoque alors quelques surprises sur l’ensemble du réseau.

Un tout autre exemple de vulnérabilité épique est donnée par Brian Krebs, lequel revient sur une série de vulnérabilités très connues qui ont affecté les routeurs WiFi de la société Ubiquity, provoquant la bagatelle de plus d’un demi-million de trous de sécurité dans le monde. Généralement, les trous de sécurité les plus médiatisés affectent la partie WiFi du routeur. Laquelle n’est exploitable que dans le cadre très restreint d’une attaque ciblée, puisqu’il faut que l’adversaire se trouve à portée dudit routeur. Dans le cas du défaut Ubiquity, le problème était un peu plus délicat, puisqu’il concernait une configuration par défaut d’une console d’administration distante. Un « open bar » de 600 000 points d’accès réseau.

Fuites d’informations, volontaires cette fois, chez Vizio, un fabricant de téléviseurs « intelligents ». Si intelligents, nous raconte Ars Technica, qu’il flique les habitudes de ses usagers dans le but d’en fournir des statistiques et analyses à des entreprises tierces (la chose est spécifiée dans le contrat d’utilisation de l’appareil). Informations intrusives qui, précise l’article, s’étend à d’autres appareils reliés au système vidéo (tablette, téléphone etc.). Cet ensemble de« non-personal identifiable information (that) may be shared with select partners » inquiète d’autant plus que cette prétendue anonymisation des données est un leurre. Une fois le numéro IP extrait, donc indirectement la région dans laquelle vit le client ainsi surveillé, il est excessivement simple d’y accoler une identité. D’ailleurs, et bien que nos confrères de Ars Technica ne le mentionnent pas dans leur article, la collecte des données d’usage collectées par les téléviseurs Vizio a fait l’objet d’un travail de reverse par le laboratoire d’Avast. Le système est aussi vulnérable qu’indiscret.

Il y a presque deux ans jour pour jour, le fabricant LG s’était fait épingler pour des raisons similaires. Encore n’était-il pas encore question d’un réseau de flicage s’étendant à tout un petit monde d’objets interconnectés.

Achevons le survol de cette bérézina de l’IoT avec une récente étude de Techscience portant sur 110 « apps » Android et iOS, l’archétype même de l’exploitation professionnelle des objets de l’Internet.

– 73% des appliquettes Android partagent des données personnelles, 47% des Apps iOS fournissent à des tierces parties les coordonnées géographiques des usagers

– 93% des applications Android se connectent à safemovedm.com, dont l’usage, assez mal connu, semble lié à un processus en tâche de fond

Le reste de l’étude, qui s’étale sur plus d’une dizaine de pages et autant de graphiques et tableaux précis, ne plaide pas franchement en faveur de l’usage des smartphones et de l’Internet des Objets dans son état actuel.
En France, le CNRFID, Conseil National visant au développement des cartes RFID, souhaite étendre très activement sa sphère d’influence pour y intégrer l’Internet des Objets. Mais attention, il n’est pas temps de parler de « sécurité de l’IoT »… « Les acteurs feront eux-mêmes des efforts et renforceront leurs produits avec le temps et l’évolution des techniques » expliquait en substance le Président de l’organisation à l’occasion du dernier congrès RFID. Spécialistes de la sécurité des NTIC à vos Outils, il risque d’avoir une recrudescence de boulot par les temps qui viennent … Pour l’heure, l’Internet des objets est sur… sans accent circonflexe.