Archives

Deux chercheurs de l’Inria (Grenoble) et deux universitaires Belges (Leuven) révèlent qu’il est possible, en utilisant une API HTML5, de récupérer la signature d’un mobile en particulier et par conséquent de tracer les activités, voire de géolocaliser son possesseur. L’exploitation de cette API n’est possible qu’avec les navigateurs Firefox, Chrome et Opera… une fois n’est pas coutume, Internet Explorer n’est pas coupable… faute de capacité technique.

Cette API, baptisée « Batterie Status », peut être utilisée par un serveur Web pour mieux interagir avec le navigateur distant. Si la réserve d’énergie est faible, le trafic pourrait être allégé, certains scripts désactivés afin de ne pas précipiter la « panne sèche » du terminal, et, au contraire, des applications plus gourmandes en ressources (séquences vidéo par exemple) seraient accessibles pour peu que le téléphone ou la tablette déclare avoir fait le plein depuis peu.

Or, aucun accumulateur ne ressemble à un autre. Sa capacité en milliampère/heure constitue déjà un élément de distinction. Mais même au sein d’équipements utilisant strictement le même type de batteries, les temps de décharge montrent des différences significatives, différences liées aux disparités chimiques des éléments, à la température ambiante, à l’âge de l’accumulateur lui-même, voir à la consommation résiduelle propre à chaque appareil.

Et c’est là que la « Battery Status API » se montre très indiscrète, car elle fournit trois données importantes : charging level, chargingTime et dischargingTime (niveau de charge, temps de charge, temps de décharge), informations obtenues via la méthode navigator.getBattery(). Et lesdites informations sont tellement précises qu’il est tout à fait possible de distinguer deux appareils en leur faisant exécuter une même et unique tâche. De là à imaginer un réseau de serveurs Web compromis capables de suivre à la trace une série de téléphones en se basant uniquement sur la consommation instantanée des accumulateurs et leur niveau de charge, puis à y associer l’adresse IP utilisée, il n’y a qu’un pas.

La parade à une telle fingerprinting attack est simple, expliquent les quatre chercheurs : arrondir les résultats, diminuer le degré de finesse avec lequel l’API fournit des renseignements au serveur. Cela n’affecte en rien l’efficacité de l’API. Du coup, il devient impossible de distinguer différents mobiles retournant un « batterie à 15%, décharge à 35 mA/h » alors que, dans l’état actuel des choses, la réponse serait plutôt « batterie à 15,683%, décharge à 32,695mA/h » (ces indications chiffrées n’ayant qu’une valeur de vulgarisation et non une réalité scientifique reflétant les travaux en question).

Selon le Wall Street Journal, Github vient de réaliser une levée de fonds de 250 millions de dollars . Cette même semaine, le groupe concurrent DHI décidait de revendre Sourceforge , dont l’activité est en perte de vitesse depuis plus de 5 ans

Paradis fiscal,havre de paix pour les entreprises-boîte-à-lettres, thébaïde dans laquelle personne ne sourcille lorsqu’un homme politique reçoit des jetons de présence d’un conseil d’administration, le canton de Zug est également la terre natale de la célèbre société Crypto AG. Cette Allgemeine Gesellschaft, spécialisée dans les solutions de chiffrement légèrement poreux, avait déjà défrayé la chronique en 1991 lorsque des documents « chiffrés crypto AG » et émis par le gouvernement Iranien s’étaient retrouvés sur la place publique, prouvant certaines implications dans l’assassinat de l’ex-Premier Ministre Chapour Bakhtiar. Déjà, à l’époque, le fait que la NSA ait possédé une sorte de « clef de séquestre » capable d’ouvrir des fichiers protégés par des outils Helvétiques avait soulevé quelques remarques.

En 2010, le quotidien Suisse Le Temps, sous la plume de François Pilet, révèle qu’en fait, tous les clients de Crypto AG étaient potentiellement surveillés par la NSA et le BND (Bundesnacrichtendienst), les services de renseignement Allemands depuis 1956. Il faut dire que le pot aux roses dévoilé par le magazine Der Spiegel avait quasiment failli coûter la vie à l’entreprise. Mais quelques communiqués plus tard, la société se redressait, jurant ses grands dieux qu’on ne l’y prendrait plus. Pourtant, les articles de presse se succèdent, montrant à quel point Crypto AG est impliquée dans plusieurs affaires d’espionnage et comment s’est formée une sorte « d’amicale des industriels du barbouze-business » avec des membres tels que Siemens ou Gretag Data Systems AG (donc également le repreneur de Gretag, IRE, Information Resources Engineering, entreprise US). A l’aube des années 2000, une enquête très fouillée de Wayne Madsen explique comment la société Zougoise est peu à peu devenue le cheval de Troie officiel des « 8 yeux ».

Mais voilà que la BBC reprend l’affaire, en pleine période de « Wassenaarisation » des professionnels de la SSI, et publie des documents jusque-là inconnus du public, repris par Cryptome et notamment des lettres laissant clairement entendre que le patron de Crypto AG avait conclu un accord avec les services Britanniques et Américains aux termes duquel « certains clients » se verraient proposer « certains modèles de machines de chiffrement » générant un code plus facile à casser. Et bien entendu s’engageait également de ne pas commercialiser dans ces « certains pays » des modèles plus évolués. Tout cela gratuitement, sans la moindre contrepartie financière, par pur idéalisme… ou par pure compréhension de la notion d’alliance objective.

Les conséquences de ces séries de scandales liés au marché noir des produits de sécurité et à l’implication directe de beaucoup de vendeurs dans des affaires d’espionnage risque fort de provoquer des conséquences plus importantes qu’une simple inscription sur une « liste Wassenaar » dont en fait personne n’a cure. Et à commencer par une défiance « by design » de tout ce qui n’est pas d’origine locale. « La question n’est pas de savoir « Si » nous sommes espionnés, « si » les outils de protection périmétrique ou de chiffrement sont vulnérables… ils le sont, cela ne fait presque aucun doute. Reste à choisir par « qui » l’on risque d’être surveillé. L’achat d’une solution de chiffrement ou d’analyse réseau est donc en partie liée à la question : quel service de renseignement dois-je préférer » expliquait en substance un RSSI Toulousain peu de temps après les premières révélations Snowden. Il risque donc de se développer un marché des outils « certifiés sans espion étranger » (c’est ce que promettent plus ou moins les labels de l’Anssi), des outils « interdits à l’exportation à destination d’Etats-Nation inscrits sur une liste noire » si un cyber-Wassenaar parvient à être établi, et un espace de contrebande SSI dans lequel ne séviront que les quelques entreprises ayant perdu la confiance de leurs clients traditionnels à l’export et qui n’espèrent plus le moindre débouché au sein de leurs propres frontières. La survie dans l’illégalité ou la mort ? L’épuration du « security business » ne dépend plus désormais que d’une série d’articles dans Wikileaks ou la communication de fichiers au Spiegel, au Monde ou au Guardian.

Durant toutes les « fifties », et ce jusqu’au milieu des années 90, Les 18 membres de l’Otan (dont la France) avaient dressé une liste de produits interdits à l’exportation en direction des pays communistes. Cette liste s’appelait le « plan Cocom », pour Coordinating Committee for Multilateral Export Controls. Au titre des choses inscrites sur cette liste rouge les ordinateurs, mini et mainframes qui, pour parvenir de l’autre côté du rideau de fer, devaient transiter par plusieurs pays intermédiaires afin de supprimer toute espérance de traçabilité. Moscou récupéra notamment plusieurs systèmes Bull Mini6 pour soi-disant chronométrer les nageurs lors des J.O. de Moscou en 1980. Il fallait bien ça pour retenir les chronos de Mark Spitz.

Réponse du berger à la bergère, la Chine, nous apprend l’agence Chine Nouvelle, compte à son tour imposer un contrôle des exports concernant certains composants nécessaires à la fabrication de calculateurs de plus de 8 petaflops, et interdira l’export de drones s’ils remplissent l’une des conditions suivantes : voler à plus de 15 000 mètres, décoller sous un vent de plus de 46 km/h ou offrir une autonomie de plus d’une heure de vol. Ce retournement de situation montre à quel point l’Empire du Milieu est passé du stade « d’usine du monde » à celui de « leader technologique planétaire ».

Blue Coat,spécialise de la sécurité des réseaux et de l’interception de malwares, annonce via les réseaux sociaux et par communiqué de presse l’acquisition de Perspecsys, un spécialiste de la sécurité des données client dans le cloud. De cette manière, Blue Coat espère détenir une part du marché des « intermédiaires de sécurité dans le Cloud » (les Cloud Access Security Broker -CASB). Rappelons que la société est détenue depuis peu par un fond d’investissement privé, Bain Capital, qui lui-même l’a racheté à Toma Bravo, autre fond d’investissement qui possédait l’entreprise depuis 2011.

Blue Coat a su se développer avec efficacité à l’international, notamment en Syrie et en Birmanie, où leur solutions DPI ont connu un succès incontestable. L’entreprise a même, pour ses résultats commerciaux florissants, reçue une distinction de la part de Reporters Sans Frontières. Devant un tel honneur, la direction de l’entreprise a publié un billet de blog expliquant que parfois, hélas, leurs produits pouvaient être mal utilisés par des clients peu scrupuleux, et qu’en aucun cas ils ne pouvaient être tenus pour responsables. L’important, c’est la sécurité conclut l’article de David Murphy, le strategic advisor de Blue Coat. Le capitalisme est-il moral ? Demandait Comte-Sponville. Pas tant que ça semble-t-il, puisque certains voient un élément de réponse en une extension des accords de Wassenaar, tandis que d’autres doutent fortement de l’efficacité réelle de ce genre de disposition.

3SysAdmin Day mémorable dans les bureaux de Shinzo Abe, actuel Premier Ministre du Japon. Selon Wikileaks, depuis 2006, tout le gotha politique en place à Tokyo et notamment le cabinet du Premier Ministre ainsi que plusieurs établissements bancaires, les ministères des finances, de l’économie, et les branches Energie de Mitsubishi et de Mitsui ont vu leurs conversations téléphoniques enregistrées par la NSA et diffusées aux pays membres des « five eyes ».

Ces écoutes portent essentiellement sur les postes clefs en matière de commerce extérieur au Japon, prouvant à quel point les services de renseignement US passent la majeur partie de leur temps à conduire une guerre économique à l’encontre de leurs « alliés ».

L’on peut avancer, sans être devin, que l’Administration Obama publiera un communiqué dans le courant de la semaine expliquant que plus jamais de tels agissements ne pourront être commis. Les « mouchards » seront ôtés des centraux téléphoniques ce qui n’empêchera pas le déploiement d’autres systèmes d’interception sur les systèmes informatiques et les réseaux radio… si ce n’est déjà fait.

La FDA, Food and Drug Administration US, émet une alerte recommandant aux hôpitaux de ne plus utiliser des pompes à médicaments de marque Symbiq dotées d’un firmware antérieur à l’édition 3.13. Ces appareils médicaux sont vulnérables à une attaque distante via le réseau local de l’établissement hospitalier.

Déjà, par le passé, la FDA et le Cert US avaient tiré la sonnette d’alarme et mis à l’index plus de 400 appareils médicaux d’une quarantaine de marques laissant à désirer sur le plan de la sécurité numérique. Plus récemment, le chercheur Billy Rios, lequel avait déjà publié des recherches sur des équipements similaires en 2013 et 2014 et provoqué l’alerte Cert susmentionnée, a dénoncé à nouveau les faiblesses des pompes conçues par plusieurs fabricants, dont notamment la société Symbiq. Au lendemain de ces révélations, les constructeurs incriminés avaient tenté de minimiser l’affaire en précisant que les interfaces de ces appareils n’étaient connectées que durant les quelques minutes nécessaires à leur réglage. L’alerte du FDA laisse entendre que ce n’est peut-être pas toujours le cas.

Un groupe de chercheurs du MIT et du Qatar Computing Research Institute (QCRI) sont parvenus, par simple analyse de l’empreinte du trafic établi, sans chercher à déchiffrer le contenu de l’information véhiculée, à déterminer avec une précision de 88% le service auquel est connecté un internaute utilisateur de l’Onion Router. Un article du MIT décrit en termes simples la manière dont se déroule l’opération.

Tor, réseau d’anonymisation, utilise une infrastructure qui met en œuvre une succession de routeurs, chacun ne connaissant que le numéro IP de son correspondant et de son destinataire. Alice expédie, par exemple, une requête http à destination d’un serveur Bob quelconque. Cette requête est tout d’abord chiffrée plusieurs fois consécutivement, puis récupérée par un serveur d’entrée –le « garde ». Lequel garde élimine la première couche de chiffrement, et transmet la requête au serveur suivant. Et ainsi de suite, chaque serveur « pelant » couche après couche les chiffrements successifs jusqu’à ce que la porte de sortie soit atteinte et puisse envoyer la requête totalement déchiffrée à Bob. Cette lasagne de chiffrements et de protocoles, cette succession de ruptures qui rend impossible toute comparaison de données entrantes et sortantes dans le trafic des routeurs, interdit toute remontée à la source d’une requête.

Mais un attaque « man in the middle » conduite par Eve demeure possible, expliquent les chercheurs. Si l’on installe un serveur « garde » sur Internet, et compte tenu de la densité du trafic qui caractérise Tor, on a toutes les chances pour que ledit serveur soit utilisé par plusieurs usagers. Il suffit alors d’analyser le volume de données que provoque une requête, d’analyser son flux –et non pas son contenu- le rythme et la vitesse de la réponse, pour établir une sorte de profile-type du service contacté. Un Web-FTP ne présente pas la même empreinte ni le même rythme que la consultation d’un site de vente aux enchères (légal ou non), qui eux-mêmes n’auront rien à voir avec les échanges de « seed » d’un réseau P2P. C’est donc en tâtant le pouls de la liaison, sans même avoir la moindre possibilité de lire le contenu, que le « garde » peut deviner si le requérant et en train de se plonger dans la lecture d’un magazine Web ou négocie l’intégrale des œuvres de Justin Bieber sur un dangereux site d’échange.

La parade est simple, expliquent les chercheurs. Il suffit de faire en sorte que les flux soient tous identiques, quitte à les « fourrer » avec des données sans signification dont le seul rôle sera de masquer les irrégularités de débit et ainsi supprimer toute possibilité d’analyse d’empreinte. Solution purement technique dont le principal inconvénient serait une nette augmentation du débit et une diminution sensible de la bande passante, du moins entre le garde et l’usager et le garde et le second nœud de routage. Notons également au passage que, s’il est possible de deviner qui Alice est en train de contacter, rien ne laisse supposer dans le principe de l’attaque que Eve soit capable de forcer une Alice précise à se connecter à son « garde » compromis. L’exercice de divination est donc d’un intérêt relativement limité.

Pour en revenir à la remédiation suggérée par le MIT, l’on peut préciser que cette technique du « texte vide » destiné à éliminer toute possibilité d’analyse des métadonnées est en usage depuis plus de 50 ans dans le secteur des transmissions radio militaires. Les « number stations » soviétiques ou les messages de Radio Londres par exemple, chargées généralement d’informer les agents en opération, émettaient en permanence, mélangeant messages vides et communications réelles, dans le seul but d’interdire toute association entre le volume de données transmises et un éventuel regain d’activité des agents de renseignement.

Onstar est une entreprise de prestation de service en réseau destiné aux automobilistes. Filiale de la General Motors, il est logique que ledit service soit répandu sur les véhicules de la marque, et notamment Opel en Europe.

C’est ce service qui a fait les frais des recherches de Samy Kamkar telles que décrites par nos confrères de ComputerWorld ou de Wired et qui feront l’objet d’une présentation à la prochaine DefCon.

Kamkar a développé une sorte de mallette à la « P0wn Plug », baptisée avec à-propos 0wnStar, dont le rôle est de fournir toutes les informations nécessaires à la conduite d’une attaque « man in the middle ». La recette de 0wnStar est simple : Une pincée de Raspberry Pi, un zeste de carte GSM, saupoudrez avec un mini-routeur Wifi, alimentez le tout, servez chaud. Lorsque l’intrus est parvenu à s’insérer dans la chaine de liaison qui relie le véhicule au service Onstar, il est capable d’accéder à toutes les commandes et informations gérées par le service. Et à commencer par localiser la voiture, télécommander l’ouverture des portes, la faire démarrer à distance. Une courte séquence vidéo tournée par l’auteur explique sans trop de détails les principales fonctions de sa mallette secrète.

Encore un hack de voiture, après le coup médiatique de Charlie Miller ? Bien plus que ça en fait. Déjà, par le passé, d’autres conférenciers de la BH, DefCon ou CanSecWest sont parvenus à détourner des services analogues, à tel point que tout ça frise le banal. Non. Ce qui mérite l’attention du public, cette fois, c’est le travail amont effectué par Kamkar, et surtout ses efforts de vulgarisation en matière de sniffing radio, de décodage des types de modulation utilisés, d’analyse et d’extraction de données transportées par des liens HF… la conférence que donnera Kamkar sera un véritable cours sur l’usage des outils de hacking électromagnétique et sur les différents usages que l’on peut faire de sa fameuse 0wnStar. Onstar, malgré les nombreuses erreurs d’intégration qui ont permis cette intrusion, n’est jamais qu’un prétexte pour montrer qu’il est imprudent de vouloir superviser une flotte de véhicules sans totalement verrouiller et les liaisons GSM, et les réseaux Wifi, Bluetooth ou autres qui peuvent être utilisés dans une automobile. Le métier d’intégrateur dans le secteur des transports a encore beaucoup à apprendre en matière de sécurité informatique.

Les choses qui font boum et qui tuent, aux USA en général et dans les états de l’Ouest en particulier, sont élevées au rang de religion, avec son église (la NRA) et sa bible, le deuxième amendement. Alors quand Runa Sandvik et Michael Auger, deux chercheurs en sécurité, parviennent à hacker le viseur « informatisé » d’un fusil de précision et en publient les résultats via Wired, la communauté des red-necks, survivalistes et autres va-t-en-guerre frise le nervousse braikedonne. Et la presse d’imaginer des armes de guerre rendues folles par des pirates informatiques, capables de défourailler tous azimuts.

Las, le véritable sujet n’est pas là, et le sensationnalisme occulte le véritable but de la recherche, qui se résume en trois points :

– il doit exister des limites à l’Internet des Objets,

– la course à la gadgetisation exige de la part des intégrateurs des compétences qu’ils ne possèdent pas et qui nécessitent un apprentissage plus long que leurs « time to market », et

– la découverte d’un défaut par une tierce partie demande un minimum de considération et un temps de réponse rapide. Surtout s’il s’agit d’armes à feu.

–
De manière lapidaire,la lunette de visée conçue et commercialisée par TrackingPoint depuis 2011 repose sur un Linux embarqué. Lequel système filme la cible, détermine le point d’impact, déclenche lui-même le tir lorsque la visée est correcte (sous contrôle du tireur), et prend en charge les paramètres de tir tels que la vitesse du vent, la distance de la cible, la charge de poudre et autres précisions techniques.

Il va de soi qu’ajouter un lien Wifi sur un tel système d’arme et, de surcroît, y accoler un mot de passe par défaut, ouvre la porte à tous les détournements possibles « for fun and profit ». Mais ce n’est pas la seule erreur d’intégration commise. Les variables de tir ne sont en aucun cas limitées par des points de consigne, c’est là pourtant un principe de base de tout système d’automatisation, notamment dans le but d’éviter des emballements. L’un des chercheurs indique notamment qu’il lui a été possible d’indiquer au fusil qu’une balle contenait 72 livres de poudre. On imagine la taille de l’étui. Peu de limite également dans le débattement maximal de la lunette, qui peut accepter des angles de correction relativement importants.

Mais le dernier bug, et non l’un des moindres, semble être le temps de réponse (ou de non réponse) de l’armurier lorsque les deux chercheurs ont tenté de faire connaître le résultat de leurs travaux …