Archives

L’Internet des objets est un tonneau des Danaïdes : un immense réservoir aussi troué que le « méchant » d’un Western série B, affirment Andrei Costin, Jonas Zaddach, Aurélien Francillon et Davide Balzarotti (Eurecom). Ces quatre chercheurs viennent de publier le résultat d’une étude technique aussi succincte (16 pages) que ravageuse.

Ils ont, pour ce faire, récupéré 32 000 firmwares, soit 1,7 million de fichiers uniques. Et même « sans avoir effectué d’analyses sophistiquées, nous avons découvert 38 nouvelles vulnérabilités inconnues à ce jour sur plus de 693 images de firmware » affirment les chercheurs. La découverte de ces défauts peut être étendue à plus de 123 produits différents. De manière générale, l’étude tend à prouver que toutes vulnérabilités confondues, plus de 140 000 systèmes embarqués, accessibles sur Internet, sont entachés de défauts de sécurité, allant de la porte dérobée installée sur un routeur Wifi au système de contrôle défectueux de l’accélérateur d’une automobile. Les défauts en question se retrouvent sur tous les types d’équipements imaginables : équipements grand public vendus dans le commerce de détail ou appareils professionnels genre automates programmables ou actuateurs/capteurs intelligents utilisés dans le cadre d’infrastructures Scada/OIV. Caméras, serveurs, équipements VoIP, Dslam, boîtiers ISDN ou ADSL, passerelles réseau, routeurs… tous n’en meurent pas mais tous en sont frappés. A ne pas lire avant de s’endormir, cauchemars garantis

La sécurité informatique fait preuve de ressources insoupçonnées. Afin de préserver les ponts de Paris qui croulent sous le poids des cadenas (plus de 80 tonnes sur le pont des Arts estime-t-on), la mairie de Paris suggère aux Héloïse et Abélard, depuis le début de cette semaine, de remplacer leurs Ronis et City par un « selfie » posté sur le site Love Without Lock, littéralement « l’amour déchaîné ». Il n’est pas dit que le bilan carbone d’un cloud réservé aux amoureux soit plus ou moins bénéfique à la planète que les dégagements polluants de l’industrie métallurgique et néanmoins serrurière. Mais dans l’immédiat, la sécurité physique des quidams empruntant lesdits ponts n’en sera que meilleure.

Il est d’ailleurs assez surprenant que nul hackerspace, pas la moindre conférence sécurité Parisienne (Hackito Ergo Sum, Hack in Paris, NoSuchCon ou autres GSdays) n’ait envisagé de voler au secours des ponts dans le cadre d’une formidable « keylockpicking party ». D’un point de vue médiatique, c’est un coup à faire la une du Parisien et de 20 Minutes.

Le prochain buzzword du landerneau sécuritaire risque d’être « cognitive fingerprint », que l’on pourrait traduire par « empreinte biométrique intelligente ». Le but visé est de remplacer toutes les lettres de crédit numériques actuelles (identification et mot de passe) par une caractéristique physique propre à chaque individu. Rien de nouveau sous le soleil, sinon que l’initiative est signée Darpa… le « machin » à l’origine d’Internet. Ce n’est pas rien, en matière de lobbying.

Mais qui dit biométrie pense capteur… et méthode pour le tromper. Empreintes digitales récupérées à grand renfort de colle cyanoacrylate, analyse rétinienne ou faciale entourloupée par une simple photographie noir et blanc, ce genre de hack fait la joie des chercheurs en mal de sujet de conférence, le bonheur des journalistes de la presse grand-public et les programmes des xxCon du monde entier.

Et c’est là que le Darpa marque un point : le meilleur des capteurs biométriques est un capteur qui n’a pas été prévu pour être biométrique. Et de citer en exemple les multiples travaux universitaires ayant fait l’objet de publications Outre Atlantique. Le JPL, par exemple, envisage d’utiliser les émetteurs des appareils mobiles (wifi/gsm …) et mesurer les variations de champ provoquées par les battements du cœur de l’usager. Le récepteur est déjà en place, manque seulement le logiciel d’analyse. D’autres organismes proposent des moyens bien plus classiques mais pourtant rarement utilisés, telle l’analyse temps/fréquence (spectre sur la durée) de la voix humaine. Même une « replay attack » à l’aide d’un magnétophone de qualité ne peut présenter les mêmes caractéristiques de signal. Et les outils d’analyse existent déjà depuis belle lurette. Passons également sur les réflexes personnels d’usage (frappe clavier, mouvement de souris, attitude du visage et du tronc de l’utilisateur face à l’écran, réaction face à un message d’erreur, tics d’utilisation…) autant de signes comportementaux quasiment impossibles à imiter… du moins au stade de l’outil faisant office de capteur.

L’initiative du Darpa ne peut pourtant être couronnée de succès que sous une condition. Celle qui consisterait à inciter les équipementiers à diffuser très largement et très rapidement ces nouveaux systèmes biométriques. Plusieurs raisons à cela.

En premier lieu, la multiplication des mécanismes d’authentification rend plus complexe l’automatisation des vols massifs de sésames électroniques. Elle nécessite une réponse adaptée à chaque protection. Ce qui pourrait « sauver la planète numérique » n’est pas l’aspect purement biométrique de l’authentification, mais le polymorphisme qu’il entraînerait.

Ensuite, l’absence de capteur dédié limite les chances de développement d’une contremesure spécifique. Plus un système de protection est spécifique, plus il s’expose à une contre-attaque spécifique à l’aide de doigts en plastique et photos noir et blanc. Une analyse spectrale de la voix sur un ordinateur a de fortes chances de fournir une signature biométrique qui sera totalement différente sur un autre ordinateur et avec la même voix, simplement en raison des disparités dans les réponses en fréquence des microphones, des amplificateurs, du bruit de phase des étages de conversion A/N… pour n’en citer que quelques-uns.

Enfin, l’aspect dynamique de l’analyse biométrique (que l’on devrait d’ailleurs appeler comportementale plutôt que biométrique) complexifie la génération d’un « même » numérique. Certes, il sera toujours possible de synthétiser une voix, une attitude, une frappe clavier si l’on possède une bibliothèque conséquente d’échantillons. Mais l’attaque ne peut être étendue à grande échelle. Le « superbiométrique cognitif » du Darpa pourrait être vulnérable aux attaques ciblées.
Mais la capture de la signature n’est pas tout. Les systèmes d’identification-authentification utilisés ont des chances d’aboutir à la génération d’un hachage qui, lui, est également vulnérable à un grand nombre d’attaques, à commencer par l’antique pass the hash, toujours aussi efficace. Cette menace est envisagée dans le cadre d’une seconde phase du programme Darpa, qui vise à voir se développer des jeux d’API les plus universelles possibles.

Insérer une clef USB, rebooter l’équipement en maintenant enfoncé le bouton de mise en marche, voilà comment Yier Jin, Grant Hernandez et Daniel Buentello parviennent à « r00ter » un thermostat intelligent Nest. Google avait racheté l’entreprise pour 3,2 milliards de $. Un trou domotique qui coûte cher.

Que l’on lance une requête « Gene Bransfield Wifi » sur n’importe quel moteur de recherche, et l’on tombe sur une multitude d’articles narrant comment un couple de chats (dont un superbe siamois « chocolate point ») a été utilisé pour conduire une campagne de Wardriving Wifi. Bransfield est ingénieur sécurité chez Tenacity. Avec une économie de moyens remarquable, il est parvenu à tirer à lui (et sur son entreprise) une couverture médiatique qui, en temps normal, aurait coûté une petite fortune en communiqués, attachées de presse, conférences et petits fours.

La recette est simple mais mérite que l’on s’y arrête.

Il faut tout d’abord dénicher un sujet qui passionne Internet de manière compulsive. Les chats, par exemple. Voilà qui garantit déjà 15% du trafic Twitter suivi d’un « like » et d’un « Retweet » par @EmergencyKitten.

La phase suivante consiste à dénicher un sujet anxiogène quelconque. Deux doigts de soupçon de fuite d’informations, un zeste de sans fil (c’est très « hype » le sans fil), un léger trait d’atteinte aux libertés individuelles. Va pour le Wardriving, pratique éculée, usée jusqu’à la corde, que même le pire des éditeurs d’antivirus n’ose plus mettre en avant dans ses plaquettes marketing. Qu’importe, le mignon minou va revigorer le procédé.

Enfin, il faut trouver un comité de lecture de « conférence infosec » pas trop exigeant. Ca existe.

Reste à mélanger les trois ingrédients en un « hack » simple à réaliser pour que tout le monde comprenne. Surtout les journalistes. Une batterie NiMH, une clef Wifi, un récepteur gps et de quoi loguer les SSID de l’un et les coordonnées de l’autre (un peu d’arduino et une mémoire spi par exemple). Il ne suffit plus que de lâcher le greffier dans la nature et attendre l’appel vespéral des croquettes pour récupérer ce sniffer à fourrure… s’il n’est pas passé sous une voiture, n’a pas été embarqué par la fourrière, n’a pas servi de repas à un renard, ni trouvé meilleure pitance ailleurs ou simplement rencontré une féline à son goût. En cas de malheur, trouver un autre chat et relancer la procédure. Et voilà plus de 13 000 hits Google engrangés.

En cas d’insuccès, changer l’un des ingrédients. Un autre animal domestique, par exemple. Le cycliste peut convenir , surtout si l’on a habitué le sujet à recevoir une dose d’EPO tous les soirs. Le drone (de l’espèce Dronus-dronus Volant) est également très prisé chez la gente geekesque et journalistique.

Techniquement parlant, cette « preuve de faisabilité » est très en deçà de ce qu’un modeste pratiquant du lâcher de ballon-sonde associé à un émetteur APRS est capable d’obtenir. Aucune mesure de pression, d’altitude, de température, pas d’émission des données en temps réel… non, ce qui est important, ce sont bien les mots « kitten » et « wardriving ».

Que suggérer de mieux, pour la DefCon 2015, que de décliner le sujet avec une série animalière d’attaque en DoS ou Evil Twin. Pour ce faire, il faut un peu de puissance sur 2400 et 5000 MHz, des batteries plus conséquentes, un routeur Wifi, un petit ordinateur et ses unités de stockage, éventuellement une caméra embarquée….et un Saint Bernard pour porter le tout. C’est sympathique et mignon, un Saint Bernard. Surtout si on n’a pas à le nourrir tous les jours. On peut également envisager la réception de signaux ADS-B durant un vol d’oies sauvages, le flicage des routes maritimes à dos de cachalot ou l’endoscopie optique intrusive via des larves de ténia …

Premier prix au hit-parade du flicage, le Chinois Xiaomi avec son smartphone modèle RedMi 1S suivi de près par le Star N9500 qui expédient discrètement, soit au fabricant, soit à de mystérieux collecteurs d’informations, le numéro IMEI, l’Imsi et le nom de l’opérateur. Cette évaporation de données peut, dans certains cas être accompagnée d’exécutions à distance telles que la mise en fonction de l’appareil photo intégré. Rappelons que Xiaoming a littéralement « bouté Samsung hors de Chine » en devenant le premier vendeur de Smartphones de l’Empire du Milieu avec 15,5 millions de terminaux, soit 14% des ventes en Chine pour la période Q2 2014. Comparativement, Samsung prenait 12 % du marché, tout comme Lenovo et Yulong, tandis que Huawei plafonnait à 11 % du marché. On peut constater une très nette reprise en main du marché intérieur par les constructeurs nationaux comparativement à l’an passé. Les espérances de vente de Xiaomi sont de 60 millions de terminaux cette année, tous marchés confondus….

Blackphone, le téléphone sécurisé a été r00té par le talentueux @TeamAndIRC. Le défaut exploité autorise l’accès aux outils de debugging de l’appareil. La faille aurait été rendue possible grâce à l’examen préalable d’un appareil non-durci et non patché. Le patron de la sécurité de BlackPhone a su réagir avec intelligence, en rassurant ses usagers sans conspuer le chercheur en sécurité.

Les services d’urgence du 911 aux Etats-Unis, équivalent du 112 Français, sont vulnérables à un genre d’attaque camouflée très simple, affirment trois chercheurs (Christian “quaddi” Dameff, dr en médecine ; Jeff “r3plicant” Tully, idem ; et Peter Hefley de Sunera ). Leur présentation intitulée « Hacking 911: Adventures in Disruption, Destruction, and Death » explique qu’en temps normal, chaque appel aux services d’urgence est accompagné d’une collecte d’informations concernant l’appelant : numéro d’appel, parfois IMEI, géolocalisation en cas d’appel sur terminal mobile… Mais il existe un mode de fonctionnement qui échappe à ce flicage. C’est lorsque l’appareil mobile est configuré en mode TTY, utilisé notamment par les sourds et malentendants. Ce service purement textuel est, en cas d’appel du 911, centralisé par un fournisseur de services. La présence de cet intermédiaire filtre et supprime l’acheminement des informations de localisation, ce qui donne à l’appelant la possibilité de s’adonner aux plaisirs du canular de mauvais goût : envoyer des pompiers éteindre l’incendie d’une piscine, faire enfoncer la porte d’une célébrité ou d’un ennemi mortel par les forces d’interventions du Swat… et nos lanceurs d’alertes d’imaginer des scénarii dignes d’un blockbuster avec Bruce Willis : détournement de l’attention des forces de police durant l’attaque d’une banque, désorganisation des services hospitaliers sur bruit d’épidémie de peste bubonique… Durant la DefCon, Las Vegas se rapproche toujours un peu plus des studios d’Hollywood.

Le journal du Sans attire l’attention de ses lecteurs sur Triage-IT, un script « d’inventaire d’urgence » combinant les forces de plusieurs outils édités par Sysinternal et Moonsols (DumpIt de Mattieu Suiche). Config IP, dump mémoire, BDR, données ARP, fichiers partagés et ouverts, informations réseau etc. sont immédiatement « logués » dans un fichier

Une fois de plus, l’un des frères Litchfield (David) dévoile, à l’occasion de la BlackHat 2014, un PoC visant une faille Oracle. Ce qui est moins banal, c’est que la faille en question concerne une extension de sécurité intégrée à Oracle 12c, extension baptisée Data Redaction. Ce module sert essentiellement à masquer, ou plus exactement à expurger le contenu affiché de certaines requêtes lorsque celles-ci sont susceptibles d’intégrer des données sensibles. Selon le niveau de privilège de l’usager qui consulte la base de données, les adresses, numéros de sécurité sociale ou identifiants bancaires par exemple pourront être supprimés du formulaire affiché. Contrairement à l’ancien Data Masking associé à l’application chargée de l’interrogation, Data Redaction dépend d’une politique de sécurité.

Pour David Litchfield, cette politique de sécurité peut être contournée au moins de trois manière différentes, dont deux par attaque brute force, un autre en utilisant la clause returning into avec une opération Insert, Update ou Delete. Les détails dans la communication officielle de l’auteur.

Après quasiment 2 longues années de silence, le clan Litchfield est de retour dans le landernau Oracle. Voilà qui promet quelques CPU agitées.

« Nous ne supporterons plus que les versions récentes d’Internet Explorer » affirme un billet du très officiel Blog I.E.. En d’autres termes, Microsoft abandonne, à brève échéance, la mise à jour et la publication de correctifs d’Internet Explorer version 8,9 et 10 sous Windows 7. Les usagers devront nécessairement migrer sous I.E. 11… ou tout autre navigateur concurrent.

De telles ruptures (ou abandon d’acquis) font régulièrement l’objet de querelles de chapelles et de problèmes de déploiement au sein de la communauté des utilisateurs professionnels. On se souvient de la longue agonie d’I.E. 6.x qui, bien que perclus de trous de sécurité, a longtemps été utilisé en entreprise pour des raisons de compatibilité avec des développements Web d’entreprise et autres motifs d’administration.

Le permis de séjour accordé à Edward Snowden par la Fédération de Russie a été reconduit pour une durée de 3 ans, nous apprend Anatoly Kucherena, l’avocat du lanceur d’alertes. Ce permis autorise l’intéressé à pouvoir quitter la Fédération pour une durée ne pouvant dépasser 3 mois indique le quotidien Russia Today.