Côté sécurité logicielle et infrastructures, GreHack a apporté son lot de présentations à la fois originales et opportunes. Mathieu Renard (Sogeti/Esec), qui a souvent parlé de sécurité des noyaux IOS, revient sur le sujet, avec une analyse détaillée des quelques « points d’entrée » remarquables. Et c’est par une attaque « presque hard » (le branchement d’un iPhone sur une station d’accueil) qu’il commence sa conférence et ouvre le feu avec une première faille ou possibilité de backdoor exploitant ensuite le l’Apple File Communication protocol. Certes, le noyau est inaccessible, mais l’espace utilisateur, là où photos, musiques, données et fichiers de préférence sont stockés, peut être pillé à volonté. On imagine immédiatement comment une « borne publique de recharge gratuite de batterie » peut se transformer en une formidable p0wn console. Le second coup porté est un peu plus classique, puisqu’il repose sur l’extraction de données des fichiers de backup créés automatiquement par iTunes, attaque qui donne accès au SMS, journaux d’appels, fichiers générés par les appliquettes et données stockées dans les keychain (API chaînes de clefs). Rappelons que le sujet a fait l’objet de nombreuses publications, analysées et vulgarisées notamment par l’institut Fraunhaufer, sans oublier les développements sur ce même sujet de la part de Jean-Baptiste Bédrune et Jean Sigwald (également de Sogeti / ESEC) lors de Hack in the Box 2011.
Lorsque l’appareil est jailbreaké, le champ exploratoire s’étend brutalement : déchiffrement et reverse des applications écrites en Objective C, récupération des informations utilisateur, installation d’applications « rogue » (notamment un proxy chargé d’intercepter les communications réseau), voler les clefs de chiffrement des applications… tous les détails ( transparents et texte de la présentation) sont à récupérer sur les serveurs de l’Ensimag.
Les tentatives d’intrusion sur les périphériques mobiles étaient également en question au cours de la conférence de MM Boris Balacheff et Dave Penkler (HP), qui abordaient un sujet épineux : l’administration du Cloud Computing et de l’entreprise mobile. Approche nettement moins technoïde que les précédentes présentations, mais pas franchement moins complexe. Le discours de ces deux chercheurs s’attachait à dresser un inventaire, une cartographie des questions soulevée par la disparition du périmètre de l’entreprise, avec d’une part des serveurs envoyés « dans le nuage » (services externalisés par exemple) et des « endpoint » éparpillés dans la nature et utilisant une multitude de médias d’accès (GSM, Wifi, Bluetooth, NFC/RFID…), dont certains relativement peu fiables. Tableau qui devient d’autant plus infernal que les espaces de stockage et de traitement sont souvent à touche-touche (lorsqu’ils ne sont pas mélangés) avec l’informatique et les données familiales, les applications privées de provenance inconnue, les liaisons non maîtrisées par les outils et politiques de sécurité d’entreprise. A ces dangers, quelques solutions : le MDM (mobile device management), le chiffrement, la virtualisation et cloisonnement des espaces de travail, les VPN, les applications métier « maison ». Tout ne peut pas être protégé avec une absolue perfection, d’autant plus que bien des pans de ce modèle architectural échappent totalement aux RSSI et DSI, qui sont alors contraintes de reposer sur des relations de confiance. Avec les fournisseurs de services Cloud, avec les opérateurs, avec les fabricants d’équipements (qui pratiquent une politique du best effort comportant elle-même des imperfections).
Signalons enfin, parmi les nombreux autres exposés, celui de Olli-Pekka Niemi et Antti Levomaki de Stonesoft, consacré sans grande surprise aux techniques de contournement des firewall de nouvelle génération ou encore l’intervention impressionnante de savoir signée Yann Stephan, qui a emporté l’assistance dans le domaine parfois aride du reverse des programmes écrits en C#.
