Archives

Un groupe d’Anonymous revendique le vol des identités (identifiant, adresse email, numéro de téléphone bureau) d’environ 4200 employés du bureau de recensement US. Le but étant de protester contre les dispositions TPP et TTIP (accords d’échanges maritimes internationaux)

Plus de 7 mois pour corriger un bug dans Internet Explorer ? Vous avez réagi plus vite pour corriger la faille « Hacking Team », semble dire le Zero Day Initiative qui divulgue (sans trop de détails toutefois) l’existence de trois « zero day » I.E., immatriculées ZDI-15-359, 360, 361, et 362.

L’on peut se gausser du manque de sécurité qui a entouré les serveurs de l’Italien Hacking Team, mais il faut bien admettre que certains des outils qu’ils ont développé relèvent du Grand Art. C’est le cas surtout de leur RCSAndroid, RCS pour Remote Control System. Ce malware, qui est opérationnel sur toutes les versions d’Android, de Ice Creams à Jelly Beans, a été décortiqué par l’équipe de Trend Micro. Et ses performances sont impressionnantes : capture et expédition d’écran, surveillance du « presse-papier », récupération des mots de passe WiFi et de tout ce qui ressemble à un réseau social ou à un outil de communication en ligne (Skype, Facebook, Twitter, Google, WhatsApp, Mail, LinkedIn, Facebook Messenger, WhatsApp, Viber, Line, WeChat, Hangouts, Telegram, BlackBerry Messenger), utilisation du microphone pour « espionner » les conversations à distance, récupération des courriels Gmail, des SMS et MMS, géolocalisation de la cible, activation à distance de l’appareil photo/caméra (objectifs avant et arrière)…

Indémodable, RCSAndroid a été opérationnel depuis 2012, et n’a, pas une seule fois, été détecté. Il aurait été activé grâce à l’envoi d’un SMS depuis un serveur situé en république Tchèque, et un C&C (centre de commande) aurait été actif durant plusieurs années au cœur même des USA.

Compte tenu des caractéristiques plus « qu’intéressantes » de cet outil d’espionnage mobile, il y a fort à parier que des pans entiers de code soient un jour réutilisés et intégrés dans d’autres exploits « dans la nature ». Le fameux virus universel pour mobiles qu’agitent, tel un épouvantail, les vendeurs d’antivirus (lesquels se sont bien montrés incapables de soupçonner l’existence de RCSAndroid) pourrait bien voir le jour prochainement. Tout ça grâce aux efforts non pas d’une organisation mafieuse, mais de Hacking Team, un « professionnel de la sécurité ». Internet et le monde de la mobilité est devenu une zone de non-droit du fait même des agissements de ceux qui prétendent y faire régner « la loi et l’ordre ».

Annoncé en grandes pompes en mai dernier, et accompagnée d’une préversion publique, le Microsoft Advanced Threat Analytics (MS-ATA) voit sa sortie confirmée pour le mois d’août par Alex Simons en personne, le Directeur des « prog man » de la division « Identity and Security Services ». ATA est un outil de détection d’intrusion (un concurrent direct des FireEye, Palo Alto Networks, GateWatcher), sorte d’hybride de DPI (deep packet inspection) et d’outil d’analyse comportementale utilisant des fichiers de profils d’utilisateurs. Ce serveur de sécurité est l’évolution de la gamme d’Aorato, entreprise Israélienne absorbée par Microsoft en novembre 2013. Aorato, à l’époque, était plus orienté « vérification/authentification » des usagers référencés dans les ADS.

C’est devenu aujourd’hui, précise Simons, un outil véritablement destiné à protéger les infrastructures matérielles internes à l’entreprise (les installations « on premise », par opposition aux infrastructures « cloud »).

Toujours selon Simons, la prochaine édition intègrera une foultitude d’améliorations :

– détection des multiples méthodes d’attaque Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash, exécutions à distance, attaques brute force

– Prise en compte des multi-domaines

– Support des SLT (dénomination de domaines sans suffixe ou préfixe)

– Amélioration du support de systèmes non-Windows

– Détection automatique des équipements « NATés »

– Continuité de service en cas de disparition du contrôleur de domaine

– Monitoring de l’état de santé des systèmes (y compris modification des configurations, pertes de connectivité etc.)

– Processus de résolution automatique des noms de machines et numéro IP pour simplifier le travail d’analyse des activités suspectes

Difficile de garder son sérieux à l’écoute du journal télévisé d’Outre Quiévrain diffusé par VTM Nieuws. Afin de sensibiliser les employés travaillant dans la Fonction Publique, la communauté Fédérale Flamande a adressé à plus de 20 000 de ses fonctionnaires un email de « faux phishing » pour le moins inquiétant. Il s’agissait d’une prétendue facture de 19 750,50 Euros en règlement d’un voyage organisé à Paris, train et hôtel tout confort compris, facture établie sur papier à en-tête Thalys. Et, comme il est de coutume dans ce genre de relation épistolaire, il était demandé de communiquer les coordonnées bancaires et personnelles en cas d’annulation du voyage.

Le Phishing était plus vrai que nature, puisque même la compagnie de TGV n’avait été mise au courant de l’opération. Du moins jusqu’au jour fatidique car, plutôt que d’en référer aux services informatiques de l’Administration, les prétendues victimes se sont précipitées à grande vitesse sur leurs téléphones et ont fait exploser les standards de la compagnie de transport ferroviaire.
Après des excuses publiques, les spécialistes Flamands de la sensibilisation, honteuxzéconfus, jurent, mais un peu tard, qu’on ne les prendrait plus.

Madame quel est votre mot

Ecrivait l’Abbé de Lattaignant, qui sur le mot et sur la chose en savait sûrement quelque chose.

Mais, depuis l’affaire des fuites Ashley Madison, un site qui met en avant la chose en assurant que l’on taira le mot, les propos des uns dépassent la mesure des choses. C’est probablement encore un coup de « l’attachée de presse diabolique » ou du « DirCom démoniaque ». Car Avid Life Media (ALM), le groupe à la tête du site piraté, vient de publier un communiqué considérablement plus étonnant que le hack en question où les conséquences vaudevillesques de son hack. Passons discrètement sur les traductions hasardeuses des premières phrases mentionnant l’existence de « parties non autorisées qui auraient eu accès… » le vocabulaire du monde de la pénétration de système échappe certainement aux porte-paroles du cyber-marivaudage.

Non. Ce qui plongera le lecteur dans des abîmes de perplexité, c’est plutôt la phrase suivante : « Any and all parties responsible for this act of cyber–terrorism will be held responsible ». Cyber-terrorisme, le mot est lâché et ça nous laisse tout chose. L’on imagine immédiatement les hordes de censeurs sanguinaires regroupés sous le blason « à deux porte-jarretelles de gueule au pal de carnation », se ruant dans les entrailles des serveurs d’ALM. Cyber-terrorisme… le mot désigne-t-il la chose ?

Tout aussi remarquable est la première sentence de ce même chapitre « At this time, we have been able to secure our sites, and close the unauthorized access points ». En moins de 4 jours, sur une série de serveurs gérant plus de 47 millions de comptes, les gourous de la Communication de Groupe sont parvenus à auditer, analyser, découvrir les parades et déployer celles-ci. Voilà qui est encore bien plus fort que le hack Areva.

Mais quel est donc le mot qui désigne tant la chose qui consiste à prélever une commission en numéraire (sous prétexte d’abonnement) afin de mettre en relation deux personnes qui veulent faire la chose ? Sur ce point, le communiqué ne pipe mot.

Les plus courtes sont les meilleures : Stephan Esser publie un PoC visant OS X 10.10 qui autorise une élévation de privilège (donc la prise de contrôle d’un système) avec un code de moins de 150 caractères.

King cope publie, sur la liste Full Disclosure , la recette d’un moyen simple pour éliminer le nombre maximum d’essais d’OpenSSH lors d’une authentification, facilitant ainsi les attaques brute force.

Lorsque Charlie Miller écrit dans un Twitt « Cette mise à jour ne va probablement pas vous sembler importante, mais croyez-moi, si vous en avez la possibilité, vous devriez vraiment déployer celle-ci ». Le message de Miller renvoie sur une alerte de sécurité qui ne porte ni la signature Adobe, ni l’estampille « Internet Explorer », mais le logo Fiat-Chrisler Automobiles.

Le même jour, Andy Greenberg, de Wired, publie un très long article sur sa journée durant laquelle lui et sa Jeep Cherokee se sont fait hacker par Charlie Miller et Chris Valasek.

Miller et Valasek n’en sont pas à leur coup d’essai. Déjà, par le passé, les deux chercheurs avaient démontré qu’il était possible de prendre le contrôle de la direction et du système de freinage sur des modèles Ford et Toyota. Mais à l’époque, le hack avait été minimisé par les constructeurs, arguant du fait qu’il était nécessaire d’avoir eu accès à la prise de diagnostic (située à l’intérieur du véhicule) pour conduire à bien cette compromission. L’équivalent, en quelques sortes, de « l’accès console » dans une attaque informatique classique.

Cette fois, la compromission est bien plus spectaculaire, puisque la prise de contrôle est effectuée à distance. Par Wifi, dans un premier temps, ce qui limite tout de même un peu l’importance du hack. Mais Miller découvre que l’attaque peut être conduite via la liaison cellulaire qui alimente en données le système d’aide à la conduite de l’automobile. « Uconnect’s cellular connection also lets anyone who knows the car’s IP address gain access from anywhere in the country » affirme Miller. Uconnect est un système commun à une multitude de modèles chez Chrysler.

Une courte séquence vidéo montre Greenberg aux prises avec sa Jeep récalcitrante. Absence de freinage, tableau de bord fournissant des indications de vitesse fantaisiste, coups de volant imprévisibles, accélérations brutales et coups de kaxon intempestifs… il faut avoir le cœur bien accroché pour prendre un passager comme Chris Valasek.

Il faut également faire preuve d’un certain détachement lorsque l’on confie le fruit de ses recherches à un journaliste. Car Greenberg veut trop en faire. Il accentue l’aspect mélodramatique de la situation. La « route 40 » sur laquelle sont effectués les tests se transforme en « Interstate 40 »… une autoroute, avec une circulation dense, des véhicules circulant à grande vitesse, des poids-lourds « 18 roues » se ruant, aveugles, sur le véhicule compromis… Oui, il faut savoir appâter le lecteur, lui faire vivre le scénario-catastrophe auquel il pourrait être confronté si le secteur automobile continue sur cette voie de l’informatique embarquée bâclée. Mais à trop vouloir crier au loup, Greenberg provoque un effet inverse. La preuve sur le blog de Richard Bejtlich qui titre « Aller trop loin pour avancer une preuve ». Le Maître du Tao de la sécurité reprend précisément les passages les plus anxiogènes (et peut-être les plus douteux) de l’article publié dans Wired. Où se situe la frontière entre le sensationnel et le sensationnalisme ? demande Bejtlich. Epineuse question.

Miller et Valasek, (et, comme le rappelle Bejtlich, Chris Roberts qui a prétendu avoir accédé aux commandes d’un avion de ligne en hackant son réseau vidéo) s’attaquent à des lobbys d’une incroyable puissance, et qui ont, par le passé, montré que le culte du chiffre d’affaires pouvait passer avant celui de la sécurité du conducteur ou du passager. Par exemple, le combat acharné (et la diabolisation par l’industrie automobile toute entière) de Ralf Nader dans les années 60. Mais grâce à lui, les « rappels de véhicules » pour des motifs de sécurité sont devenus plus fréquents. Les Renault, Toyota, Ford ont compris que, malgré le coût qu’engendrent de tels rappels, ils jouent en faveur d’un renforcement de l’image de marque. La chose est devenue courante lorsqu’une pièce mécanique est réputée défectueuse ou peu fiable. Mais la pilule est plus difficile à passer lorsque le problème touche un domaine qui sort totalement de la compétence des équipementiers du secteur automobile. Et c’est le cas précisément des ordinateurs de bord, des capteurs, des systèmes de navigation, qui amoncellent d’importantes erreurs d’intégration. Greenberg le résume en une formule lapidaire forte (et juste) : « les constructeurs automobile tentent de transformer leurs véhicules en smartphones ». Et par là même font entrer tout ce qui a un moteur dans le monde merveilleux des objets de l’Internet, ce paradis de l’exploit distant, cette thébaïde du bug à tous les étages. La « smartbagnole » et la gadgétisation des fonctions de pilotage (réseaux de tracking antivol, ordinateurs de bord multifonctions, assistances mécaniques diverses) ne peuvent que multiplier les trous de sécurité, les failles… et par conséquent les exploits. « En donnant accès aux fonctions vitales d’une voiture via une simple connexion IP, les constructeurs prennent le risque qu’un individu mal intentionné lance une attaque massive contre des centaines de milliers de véhicules à la fois » explique Miller en substance. Et ce n’est pas une extrapolation fantasmatique, mais bel et bien une réalité technique.

Les travaux de Charly Miller, Chris Valasek, mais également d’Adam Laurie, Karsten Nohl, Dan Kaufman (du Darpa), Mathew Solnik, Eric Evenchick, Stefan Savage et d’autres encore sont là pour nous prouver que tout ça n’est pas seulement un « coup médiatique » précédant une présentation à la prochaine DefCon. D’ailleurs, durant cette prochaine conférence sécurité, tout ce qui a quatre roues (y compris d’ailleurs les skateboards ) sera sous les feux de la rampe ». « Drive It Like You Hacked It: New Attacks and Tools to Wirelessly Steal Cars » par Samy Kamkar, « Remote Exploitation of an Unaltered Passenger Vehicle », la presentation de Miller et Valasek, « How to Hack a Tesla Model S » de Marc Rogers et Kevin Mahaffey, « Low-cost GPS simulator, GPS spoofing by SDR » , un “talk” radio sur un accessoire de navigation devenu indispensable, par Lin Huang et Qing Yang, et « Unbootable: Exploiting the PayLock SmartBoot Vehicle Immobilizer », exposé donné par fluxist et directement inspiré par un fait-divers ayant provoqué l’immobilisation de plus d’une centaine d’autos aux USA.

Détecteur d’exploit Hacking Team : Rook Security offre une suite baptisée « Milano », une quarantaine d’outils capables de détecter la présence de spywares et autres outils d’intrusion développés par l’entreprise Hacking Team. La panoplie, promettent les auteurs, s’enrichira au fur et à mesure que de nouvelles menaces seront découvertes au fil des 400 Go de données « fuitées » des serveurs de l’officine Italienne.