Le cauchemar commence avec Mario Heiderich, un habitué de HIP, qui entame le cycle de conférence « catégorie Poids Lourd » avec un hack franchement traumatisant, qui aurait pu s’intituler « Lorsque le presse-papier lance une attaque MIM » « Une opération aussi anodine qu’un couper-coller peut servir à injecter pratiquement n’importe quoi en fonction des capacités de l’application source » explique Heiderich. « Car le presse-papier doit pouvoir non seulement transporter l’information primaire (les éléments ascii d’un texte par exemple) mais également les attributs contextuels : type de fonte utilisée, sorte, liens etc. ». Et notamment des éléments XML par exemple. Les recherches de Heiderich commencent avec un outil conçu par Peter Büttner destiné à radiographier le contenu du presse-papier. « Cet utilitaire met en évidence les containers liés au contenu, donc à l’application d’origine. RTF, HTML, unicode, objectlink, metafiles…container plus ou moins nombreux selon qu’il s’agisse d’un couper-coller provenant d’une page web, d’un texte issu de Notepad ou d’une phrase tirée d’un document Word. De là germe une idée logique : comment injecter ou exploiter ces caractéristiques pour compromettre soit l’usager, soit l’application destinatrice. Heiderich y parvient en modifiant la feuille de style d’un document OpenOffice (un fichier zip qui contient un fichier XML regroupant notamment les fontes de caractères utilisables) et en y glissant des ruptures pouvant laisser place à une injection HTML. Echec cuisant, car un processus de nettoyage interdit ce genre d’attaque. Une injection HTML qui exécuterait ensuite du Javascript ? Nouvel échec. De tentatives en essais, d’essais en astuces diverses, c’est en tirant parti d’un fichier graphique SVG issu d’une déclaration HTML, elle-même tirée d’un changement de police de caractère rendue possible par une édition de la feuille de style d’un document OpenOffice que le chercheur Allemand parvient enfin à créer une attaque XSS visant à la fois Chrome et Firefox. La suite de l’histoire n’est que déclinaison du procédé. Passera également par le chevalet de torture de Mario Heiderich les fichiers pdf fourrés au flash.
Matias Katz,pour sa part, revenait sur les portes dérobées sous X11 construites en quelques lignes de python, des travaux déjà exposés notamment durant une récente Ekoparty. Katz a expliqué comment écrire un script (d’attaque ou de verrouillage d’ordinateur, selon le désir de chacun) qui ne s’active que sur la modification d’état d’un évènement matériel insoupçonné. L’interrupteur d’extinction d’écran lorsque se replie l’affichage d’un ordinateur portable, ou la position de l’interrupteur ouvert ou fermé par la présence ou l’absence d’un jack audio dans l’un des connecteurs de la carte son… les hacks les plus simples sont parfois les plus élégants. Il est même probable que l’on puisse transposer les travaux de Katz dans l’environnement Windows, en surveillant directement certaines informations en provenance de la HAL.
La présentation suivante, de Timur Yunusov, a fait le tour du monde sécurité depuis PacSec l’an dernier. Une courte séquence vidéo sur Youtube, un article très didactique d’introduction sans oublier les documents publiés à l’occasion de HITB 2015 fournissent une multitude de détails sur les recherches en question. Attaque de carte SIM, clonage de téléphone ou de clef USB « 4G », interception de trafic, mise à niveau à distance d’un « vieux firmware » de clefs 4G afin de simplifier l’opération de compromission, pénétration du réseau d’opérateur… l’équipe ptSecurity est aussi redoutable que talentueuse.
La première journée de Hack in Paris s’est achevée avec un débat « Le droit à l’autodéfense dans le cyberespace » animé par Wim Schwartau dans le rôle du maître de cérémonie, et de trois participants : Bob Ayers, 30 ans de métier dans les services de renseignement US (DIA), Jeroen Van Der Vlies, membre de la communauté « cyberguerre » Hollandaise et Don Eijndhoven, expert civil en matière de cyberguerre et géopolitique numérique. Discussion en droite ligne d’un débat tenu lors d’un Hackito Ergo Sum, dans l’ombre du discours de Keith Alexander lors de la création d’un pôle unique de cyberdéfense américaine, en 2012, annoncé officiellement à la RSA Conference de San Francisco cette année-là. Rien de nouveau sous le soleil, l’idée même d’une défense mâtinée d’attaques préventives « histoire de prévenir les éventuels débordements de l’axe du mal » fait toujours recette du côté des faucons de l’école Républicaine, la vieille Europe, quant à elle, prônant une attitude plus prudente sans toutefois tomber dans l’angélisme béat. Ce débat n’apportait strictement rien de nouveau quelques semaines à peine après la proposition US de voir contingentées les « armes de cyberdestruction massives » par un addendum au traité de Wassenaar. Discours totalement manichéen qui oppose le « grand large » et sa droite dure qui ne pense pas et une ligne libérale mi-conservatrice, mi-progressiste du vieux continent qui ne pense plus en raison de l’américanisation de son infrastructure.
