Bilan juillet FIN : Souvenirs d’été à Vegas (vidéo et p0wn à tous les étages)

L’événement de juillet, c’était, comme chaque année, la BlackHat et son poisson-pilote, la DefCon. Les transparents, enregistrements audio et vidéo de la BH sont disponibles en téléchargement sur le site de la BH. Les archives de la 17ème DefCon sont également récupérables sous forme d’image de CD. Les organisateurs précisent que le contenu de ce disque peut provoquer le déclanchement d’un faux-positif, TR/Crypt.ZPACK.Gen, dans le fichier Extras/bin/crackmes/manifest.exe. Le fichier est garanti sain… et ne semble pas encore avoir détruit les ressources des machines de CNIS-Mag. Les transparents de l’équipe d’InvisibleThings sur les « rootkits matériels » sont diffusés sur le blog de Joanna Rutkowska. Le code de mise en évidence n’est pas encore disponible.

S’il ne fallait retenir qu’une seule conférence de tout ce qui a pu se raconter durant ces deux semaines de hacking intensif, ce serait celle de Moxie Malinspike. Moxie est déjà connu pour avoir donné SSLstripe au monde de la sécurité. Un utilitaire capable de détourner et de réécrire une session ssl. Cette fois, c’est un peu plus sérieux. Le chercheur a découvert que l’autorité de certification, lors de la vérification d’un certificat, ne contrôle pas la validité d’un éventuel sous-domaine. Or, nous apprend Moxie, il est possible de séparer par un caractère « null » le nom de deux autorités différentes, l’une « officielle », l’autre réelle. Du genre www. CreditLyonnais. fr[espace]parissilamonai. com. La chaine « Credit Lyonnais » –véritable identité affichée- sera prise pour un sous-domaine par les machines du CA, et seul sera accepté et émis le certificat de parissilamonai.com. Las, le phénomène inverse arrive lorsque le navigateur du client doit interpréter cette dénomination hors norme. Dans bien des cas, le caractère « null » est interprété comme une fin d’adresse, et, aux yeux de l’internaute, c’est un certificat estampillé www. CreditLyonnais. fr qui s’affichera.

On ne pouvait imaginer une BH sans son inévitable attaque SSL. Plus de détails techniques et le source de sslsniff sur le site de l’auteur

Comme pour enfoncer le clou, Infoworld, qui prépare le prochain Usenix Security Symposium, nous offre un petit avant-goût de ce que nous offriront les chercheurs de Carnegie Mellon : une étude sur le niveau d’attention porté à ces fameux certificats SSL. Il apparaît que ces certificats sont ignorés dans 55 à… 100% des cas. (L’on parle là de sessions provoquant une alerte, et non d’une ouverture de page https « silencieuse »). Usenix, qui se déroulera du 10 au 14 août 2009, sera notamment l’occasion pour Google de parler un peu de l’avenir de Chrome –au cours d’un keynote très attendu de Rich Canning- et à Microsoft de présenter son nouveau projet de navigateur/système d’exploitation à micronoyau Gazelle (fruit des cogitations du département chargé du développement de MashupOS)