Search Results

Le programme de la première conférence Hackito ergo sum vient d’être arrêté et publié sur le site de la manifestation. Durant 3 jours, du 8 au 10 avril prochain, plusieurs spécialistes sécurité se succèderont dans les locaux de l’espace Main d’œuvre, 1 Rue Charles Garnier à Saint-Ouen(M°Porte de Clichy).

Rodrigo Branco parlera de TPM, Benjamin Henrion titillera les routeurs ADSL de certains FAI d’Outre Quiévrain, Carlos Sarraute de Core Security dissertera sur le pentesting, et son collègue de travail, Luis Alvarez Medina, dévoilera certains aspects aussi intéressants qu’indiscrets d’Internet Explorer. A ne pas manquer non plus un petit voyage dans la mémoire physique d’OS/X, par Mathieu Suiche le papa de Sandman, une virée dans le monde de la VoIP et de ses vulnérabilités, par Sandro Gauci, immédiatement suivi, communauté de thème oblige, par un exposé du Maître de Cérémonie et organisateur Philippe Langlois, qui conviera l’assistance à visiter le royaume du SS7. L’on reparlera également de crack du GSM, de FPGA avec notamment une description des travaux de Sébastien Bourdeauducq sur Milkymist, de crochetage de serrures… sans oublier l’inévitable concours « stop the Fed » que l’on pourrait rebaptiser en «découvrez les barbouzes ».

Il est des traditions qui ne se perdent pas, lorsque se déroule Hack in Paris. La première, c’est la présence de Winn Schwartau, expert en matière d’InfoWar, agent provocateur du monde InfoSec, et surtout « Monsieur Loyal » récurent de bien des conférences Françaises. Il présida Hackito Ergo Sum, il fait désormais partie du décor de HIP.

L’autre « incontournable », celui que l’on attend avec une impatience palpable, c’est Damien Cauquil, alias « Virtu », alias @Virtualabs. Et comme les années précédentes, ce chercheur de l’équipe Digital Security présentait un enième hack de cadenas électronique connecté. La chose n’est guère originale… mais ce n’est qu’un prétexte. Prétexte pour mieux expliquer le cadre de travail, la méthodologie d’analyse des Objets de l’Internet que Damien Cauquil construit et perfectionne avec le temps. Virtu P0wn de l’IoT, mais avec rigueur, progressivement. Les premiers pas sont simples : ouverture d’un boîtier, reverse du circuit imprimé, analyse des principaux composants (processeur ou microcontrôleur, actuateur, interface sans fil, alimentation électrique), puis dessin d’un schéma de principe qui facilite la compréhension de l’appareil en train de se faire autopsier… les choses se compliquent dès lors que l’on cherche à saisir le fonctionnement logiciel. Tantôt, explique « Virtu », l’intelligence de l’IoT est stockée dans un

processeur (ARM), un microcontrôleur, un circuit spécialisé… dont il va falloir cerner les modes de fonctionnement : possède-t-il un système d’exploitation ? utilise-t-il un filesystem ? de quelle manière sa mémoire est-elle segmentée et exploitée ? comment récupérer des données lors de son fonctionnement ou de ses échanges avec le monde extérieur ? (Car bien des IoT sont surtout vulnérables lorsqu’ils communiquent). Et l’on sort de nouveaux outils, de nouvelles méthodologies d’analyse, dans le domaine du sans fil notamment, monde où il ne se passe pas une semaine sans qu’un « tool » ne soit publié quelque part sur la planète. Hacker de l’IoT, c’est posséder assez d’outils et d’utilitaires pour extraire et décoder du plus simple (spi, I2C, Wifi, Bluetooth et ses avatars) au parfois un peu plus compliqué (Sigfox, Lora, protocoles propriétaires).

L’année sécurité 2017 débutait, le 23 janvier dernier, avec la troisième édition de la Conférence sur la Réponse aux Incidents et l’Investigation Numérique (Cori&in), dans l’amphi de Lille-EuraTechnologies. Cet évènement à caractère technique se déroule traditionnellement la veille de l’ouverture du FIC de Lille, mêlant tantôt analyses générales, tantôt recherches portant sur un défaut de sécurité précis.

Par la technicité de son contenu et la qualité de ses intervenants (et accessoirement son faible coût de participation), Coriin est LA conférence professionnelle à ne pas manquer. Avec d’autant moins de raison que 90% des participants du FIC se déplacent et sont hébergés aux frais de leur entreprise ou de leur organisation gouvernementale.

C’est Benoît Dupont, de l’Université de Montréal, qui ouvrait le ban. Avec une analyse sociologique de Darkcode, un forum de blackhats démantelé en 2015, grâce notamment aux révélations de Xylitol. Dans le monde de la cyber-pègre, il n’y a pas de grands hommes, il n’y a que des seconds couteaux, explique Dupont. Malgré un mécanisme de cooptation (plus égotiste que rigoureusement technique), l’étude laisse apparaître que les membres de ce forum étaient plus des codeurs que des reverseurs, plus des exploitants de malwares et de « kits » que des gourous de l’intrusion. Une faune de délinquants ordinaires qui tentent de vivre d’un business très fluctuant. Et l’universitaire Canadien de narrer les reproches de « ruptures de contrats » que les uns adressent aux autres, voir même le chantage et les épreuves de force qui empoisonnent les relations entre vendeurs et clients. Ainsi le pirate BX1, dépeint par toutes les polices du monde (à commencer par le FBI) comme étant un super-truand au palmarès édifiant : 50 millions d’ordinateurs compromis, le vol d’une foultitude d’identités bancaires d’une valeur estimée à un milliard de dollars, de quoi justifier les 15 ans d’emprisonnement dont il écopera après sa capture. Mais BX1 n’était qu’une « petite frappe » escroquées par ses pairs. Son pactole de 140 000 cartes de crédit, initialement mis en vente 70 000 dollars sur Darkcode, sera négocié à 3000$. Grandeurs et misères du cyber-voyou, campagne d’intox douteuse et anxiogène orchestrée par les services de police. Le FUD (la désinformation sensationnaliste) est une sécrétion endogène du monde infosec. Et par ceux généralement qui dénoncent inlassablement l’exagération marketing de certains vendeurs d’antivirus et services de sécurité informatique.

Reste, explique le chercheur, que certains « handles » de cyber-truands apparaissent encore dans les réseaux actifs. Des personnages moins visibles, plus prudents et probablement plus puissants. Tout juste de quoi alimenter les fantasmes des auteurs de romans cyber-policiers.

Du cyber-policier à l’Anssi, il n’y a qu’un lien de cousinage. Sébastien Chapiron et Thierry Guignard, qui travaillent tous deux au sein de cette agence, se sont penchés sur la possibilité de créer un «pre-bootkit » logé dans le bios… et offrir à l’assistance captivée par tant de sapience, un outil d’analyse disponible sur github. Depuis les travaux d’Endrazine/Goldorak (Hackito Ergo Sum, 2012), les méthodes se complexifient, mais le niveau de risque réel demeure très bas. Notons au passage que les participants ont pu, par deux fois au cours de cette mémorable journée, apprendre tout ou presque de la structure du MBR et du VBR, puisque Solal Jacob, ArxSys, reviendra sur le sujet au fil d’une présentation intitulée RAM Disk EFI Dumper. En langage normal, le conférencier a décrit les affres d’un chercheur tentant d’accéder au contenu d’un disque SSD protégé par un chiffrement Bitlocker et dont l’accès était conditionné par un composant TPM. La mémoire flash étant soudée directement sur la carte mère de l’ordinateur, impossible d’utiliser des techniques presque traditionnelles (réfrigération des mémoires, attaque firewire…). C’est donc grâce à l’UEFI, un système à lui tout seul doté d’un shell directement utilisable, que Solal Jacob est parvenu à dumper le contenu de son disque, racontant au passage ses multiples tentatives, échecs, espoirs, nouvelles tentatives… tenir l’assistance sur un sujet aussi aride en ayant l’air de déclamer un roman policier, avec ses rebondissements et son happy end, c’est presque de l’art.

Art oratoire également de la part de Stéphane Bortzmeyer . Dans un exercice de vulgarisation ni bêtifiant, ni hermétique, le pape Français du chiffrement et des RFC a décrit le subtil fonctionnement des Mixers. Ce sont les outils d’anonymisation des paiements effectués en crypto monnaie qu’utilisent certains intermédiaires du secteur. Toute transaction en Bitcoins étant, par construction, traçable dans ses moindres détails, il peut être dangereux pour un wanabee trafiquant de stupéfiant ou brocanteur de flingues « pas de collection » de voir les cyber-pandores remonter la chaine de l’argent. C’est là qu’intervient le Mixer, qui encaisse le montant, puis le reverse au commerçant dont la pratique se tient sur « Darknet Avenue ». Mais attention, un reversement totalement éclaté en une multitude de petites sommes, étalées dans le temps, afin qu’il ne soit plus possible d’établir une relation liée au montant ou au laps temporel de la transaction. Ces usines à blanchiment, qui, au passage, peuvent parfaitement « partir avec la caisse », sont considérablement plus efficaces, rapides et discrètes que ne le sont les réseaux bancaires (légaux) parallèles tels que les Hawalas.

Inquiétante en diable, l’intervention de Pierre Veutin et Nicolas Scherrmann (TRACIP), qui se sont penchés sur les indiscrétions, traces et contenus rémanents que l’on peut exhumer pendant ou après une session avec un service Cloud Google (Google Doc, Drive, Gmail…). Liste de contacts, données partielles ou intégrales d’un document (voire, sous certaines conditions, portions de texte ayant été effacées), historique des différentes étapes de création d’un fichier… ces deux spécialistes de l’analyse forensique dans le Cloud ont pu fabriquer quelques outils spécialisés dans l’extraction des dites traces. Certaines découvertes semblaient même « trop simples pour être vraies ». L’informatique dématérialisée, expliquent Veutin et Scherrmann, n’est pas, sera même de moins en moins une informatique anonyme et fugace.

Deux articles sur le camouflage des outils de « télécommande » destinés aux botnets viennent d’être publiés, l’un par deux chercheurs de Dell SecureWorks et CrowdStrike (Pierre-Marc Bureau et Christian Dietrich), l’autre par Artturi Lehtiö de F-Secure. Deux enquêtes sur les astuces les plus échevelées que développent aussi bien les grands réseaux mafieux que les services de renseignement de quelques Etats-Nation impliqués dans les actes de cyber-guerre.

Le papier Dell/CrowsStrike se focalise sur l’usage de la stéganographie pour véhiculer les ordres du C&C. Stegoloader cache son code dans les fichiers PNG, Lurk dans les BMP et Gozi dans les icones Windows résument à la fois l’article du blog de Dell et la série d’écrans de présentation utilisée lors de la Black Hat Europe qui s’est achevée la semaine passée.

Cette utilisation hors norme des images comme couche de transport n’est pas sans rappeler les travaux que Saumil Shah à l’occasion de la première NoSuchCon. Les conclusions d’alors sont toujours valables : il est vain de vouloir filtrer toutes les images du Web pour en détecter une commande cryptique. Et il est presque aussi difficile d’envisager de détourner le botnet ainsi piloté, puisque les vecteurs de diffusion potentiels sont innombrables et leurs serveurs d’hébergement généralement profondément cachés dans le code du Bot.

Artturi Lehtiö, de son côté, destinait la publication de ses recherches au Virus Bulletin. Il s’agit là encore d’une analyse des techniques de camouflage des échanges entre C&C et machine zombifiée, mais en utilisant cette fois réseaux sociaux et autres services en ligne. Cela va du simple fichier hébergé sur Google Doc (Backdoor.Makadocs), au message discret (mais public) envoyé sur Twitter (Janicab). Cette approche avait été pressentie et décrite dès 2010 par Ziv Gadot et Itzik Kotler lors de la conférence Hackito Ergo Sum de 2010, puis de plus en plus largement utilisée par le côté obscur de la force, ainsi ce botnet visant la sphère Apple et qui lisait les articles de Reddit, ou cette infection Android qui allait se repaître dans les espaces infinis de la blogosphère (étude conduite en 2011 déjà).

Mais le summum de la duplicité, expliquent le chercheur, c’est lorsque le C&C d’OnionDuke utilise Twitter pour y émettre des mises à jour elles-mêmes camouflées dans une image postée. Stéganographie et réseaux sociaux, le mélange est détonnant.

Et Lehtiö d’énumérer les vecteurs de pilotage : Skype, Facebook, Google Calendar, Yahoo mail, Google Talk, MSN Messenger, et, lorsque le botnet cible les équipements mobiles, les ordres sont transmis par Baidu, ou les push du Google’s Cloud Messaging. Les données extraites suivent un chemin comparable, plus adapté au volume de l’information. Microsoft Onedrive, par exemple, ou Cloudme.com.

Le cauchemar commence avec Mario Heiderich, un habitué de HIP, qui entame le cycle de conférence « catégorie Poids Lourd » avec un hack franchement traumatisant, qui aurait pu s’intituler « Lorsque le presse-papier lance une attaque MIM » « Une opération aussi anodine qu’un couper-coller peut servir à injecter pratiquement n’importe quoi en fonction des capacités de l’application source » explique Heiderich. « Car le presse-papier doit pouvoir non seulement transporter l’information primaire (les éléments ascii d’un texte par exemple) mais également les attributs contextuels : type de fonte utilisée, sorte, liens etc. ». Et notamment des éléments XML par exemple. Les recherches de Heiderich commencent avec un outil conçu par Peter Büttner destiné à radiographier le contenu du presse-papier. « Cet utilitaire met en évidence les containers liés au contenu, donc à l’application d’origine. RTF, HTML, unicode, objectlink, metafiles…container plus ou moins nombreux selon qu’il s’agisse d’un couper-coller provenant d’une page web, d’un texte issu de Notepad ou d’une phrase tirée d’un document Word. De là germe une idée logique : comment injecter ou exploiter ces caractéristiques pour compromettre soit l’usager, soit l’application destinatrice. Heiderich y parvient en modifiant la feuille de style d’un document OpenOffice (un fichier zip qui contient un fichier XML regroupant notamment les fontes de caractères utilisables) et en y glissant des ruptures pouvant laisser place à une injection HTML. Echec cuisant, car un processus de nettoyage interdit ce genre d’attaque. Une injection HTML qui exécuterait ensuite du Javascript ? Nouvel échec. De tentatives en essais, d’essais en astuces diverses, c’est en tirant parti d’un fichier graphique SVG issu d’une déclaration HTML, elle-même tirée d’un changement de police de caractère rendue possible par une édition de la feuille de style d’un document OpenOffice que le chercheur Allemand parvient enfin à créer une attaque XSS visant à la fois Chrome et Firefox. La suite de l’histoire n’est que déclinaison du procédé. Passera également par le chevalet de torture de Mario Heiderich les fichiers pdf fourrés au flash.

Matias Katz,pour sa part, revenait sur les portes dérobées sous X11 construites en quelques lignes de python, des travaux déjà exposés notamment durant une récente Ekoparty. Katz a expliqué comment écrire un script (d’attaque ou de verrouillage d’ordinateur, selon le désir de chacun) qui ne s’active que sur la modification d’état d’un évènement matériel insoupçonné. L’interrupteur d’extinction d’écran lorsque se replie l’affichage d’un ordinateur portable, ou la position de l’interrupteur ouvert ou fermé par la présence ou l’absence d’un jack audio dans l’un des connecteurs de la carte son… les hacks les plus simples sont parfois les plus élégants. Il est même probable que l’on puisse transposer les travaux de Katz dans l’environnement Windows, en surveillant directement certaines informations en provenance de la HAL.

La présentation suivante, de Timur Yunusov, a fait le tour du monde sécurité depuis PacSec l’an dernier. Une courte séquence vidéo sur Youtube, un article très didactique d’introduction sans oublier les documents publiés à l’occasion de HITB 2015 fournissent une multitude de détails sur les recherches en question. Attaque de carte SIM, clonage de téléphone ou de clef USB « 4G », interception de trafic, mise à niveau à distance d’un « vieux firmware » de clefs 4G afin de simplifier l’opération de compromission, pénétration du réseau d’opérateur… l’équipe ptSecurity est aussi redoutable que talentueuse.

La première journée de Hack in Paris s’est achevée avec un débat « Le droit à l’autodéfense dans le cyberespace » animé par Wim Schwartau dans le rôle du maître de cérémonie, et de trois participants : Bob Ayers, 30 ans de métier dans les services de renseignement US (DIA), Jeroen Van Der Vlies, membre de la communauté « cyberguerre » Hollandaise et Don Eijndhoven, expert civil en matière de cyberguerre et géopolitique numérique. Discussion en droite ligne d’un débat tenu lors d’un Hackito Ergo Sum, dans l’ombre du discours de Keith Alexander lors de la création d’un pôle unique de cyberdéfense américaine, en 2012, annoncé officiellement à la RSA Conference de San Francisco cette année-là. Rien de nouveau sous le soleil, l’idée même d’une défense mâtinée d’attaques préventives « histoire de prévenir les éventuels débordements de l’axe du mal » fait toujours recette du côté des faucons de l’école Républicaine, la vieille Europe, quant à elle, prônant une attitude plus prudente sans toutefois tomber dans l’angélisme béat. Ce débat n’apportait strictement rien de nouveau quelques semaines à peine après la proposition US de voir contingentées les « armes de cyberdestruction massives » par un addendum au traité de Wassenaar. Discours totalement manichéen qui oppose le « grand large » et sa droite dure qui ne pense pas et une ligne libérale mi-conservatrice, mi-progressiste du vieux continent qui ne pense plus en raison de l’américanisation de son infrastructure.

NoSuchCon #2, le second bullshit-free hardcore technical InfoSec event parisien, s’est achevé le 21 novembre dernier. Salle comble, interventions très variées et en général d’une haute qualité technique s’adressant à un public assoiffé de « reverse » et passionné par les « PoC » les plus exotiques. NoSuchCon est une réunion placée sous le sceau de la recherche pure, frisant parfois l’ésotérisme.

Qui donc peut être intéressé par ce genre de réunion ? La communauté des chercheurs, de prime abord. Celle qui souhaite clamer haut et fort que la sécurité des S.I. ne peut se limiter à une simple posture défensive et une suite de « solutions » prédigérées genre antivirus+firewall NG+iso27xxx… Sans recherche, l’adversaire gagne toujours, ne serait-ce que lors de la première attaque, celle que ne connaissent pas encore les équipements de défense périmétrique. Sans recherche, pas d’anticipation, sans recherche, pas d’extrapolation à partir d’attaques déjà connues. Sans recherche, no fun, no profit.

Assistent ensuite à ce genre de conférence les observateurs, généralement des RSSI/CISO qui n’ont pas perdu pied avec ce monde très technique et souhaitent encore « comprendre » pour ne pas accepter comme parole d’évangile les analyses des vendeurs. Car la recherche offre le recul, contribue à l’analyse, facilite l’évaluation du risque. Une réaction légitime en ces temps de marketing de la menace, lorsque les virus arborent un logo et frappent les manchettes des journaux avant même d’être réellement repérés par les outils de filtrage. Les attaques à trois lettres (AET, CIA, APT,NSA…) provoquent parfois plus de dégâts dans les esprits et les budgets que sur les serveurs. Etre méfiant, certes, mais à bon escient, non pas en fonction de l’importance médiatique d’un danger annoncé, mais en se basant sur l’avis de véritables savants : chercheurs, CERT, spécialistes indépendants. Font également partie des observateurs quelques fonctionnaires du Ministère de l’Intérieur, de l’Anssi et de plusieurs entreprises de conseil en sécurité TIC qui viennent « faire leur marché » parmi l’assistance.

Mais cette ambiance passionnée ne parvenait pas à marquer non pas une inquiétude, mais une certaine préoccupation professionnelle. Si l’on excepte les 20 % du marché constitué par les « bijoux de la couronne » du CAC 40, quelques OIV, l’Administration, les 80 % restant, les petites, les moyennes entreprises, le secteur de l’artisanat, tous courent sans hésiter vers une informatique (et donc une sécurité) cloudifiée du sol au plafond. Même certains « grands comptes » ne s’en cachent pas, invoquant des considérations économiques évidentes. De là à estimer qu’à terme, à force de virtualiser et d’externaliser, les métiers de DSI et de RSSI vont eux également se virtualiser et s’externaliser… Ne survivront que ceux intégrés dans les fameux « 20 % » qui n’externaliseront pas ou peu pour des raisons stratégiques, et ceux, encore moins nombreux, qui travailleront pour les « externalisateurs » mêmes, au sein des Big Five et de leurs satellites spécialisés dans la SSI des grands centres de calcul et autres datacenters.

Que restera-t-il aux hommes sécurité d’entreprise ? La charge de commander des audits, de vérifier une mise en conformité, à la rigueur de collaborer à une cellule de crise… mais les mots CVE, PoC, exploit, reverse, ZDE, forensique disparaîtront peu à peu de leur vocabulaire.

Les conférences sécurité techniques résisteront-elles à cette transformation ? Toutes n’en mourront pas, mais toutes seront frappées, cédant le pas aux « salons sécurité » déjà existants, où l’on parle de commerce plus que de veille technologique. Le discours « la sécurité est un processus » pourrait bien définitivement régresser pour laisser place au leitmotiv « la sécurité est une suite de solutions » (entendons par là une succession de produits clef en main et services « on line » vendus sur catalogue, empilables à foison). Les hebdomadaires à grand tirage continueront de titrer « Les gentils hackers existent, nous les avons rencontrés ». Les politiques et dirigeants d’entreprises évoluant hors du sérail informatique, qui se heurtaient déjà à d’énormes problèmes de vocabulaire entre le jargon technoïde des chercheurs et les arguments alarmistes des vendeurs, risqueront de n’entendre plus qu’un seul son de cloche.

NoSuchCon, Hack In Paris, Hackito Ergo Sum, BotConf (classons hors concours les SSTIC) sont nécessaires à l’entretien d’une culture sécurité et à l’établissement d’un dialogue, d’une vulgarisation au sens noble du terme. Sans cette vulgarisation (et donc indirectement le concours des média), le message risque de ne plus passer entre ceux qui cherchent et ceux qui financent, ceux qui légitimisent l’usage des bonnes pratiques et ceux qui doivent coder en les respectant. Il n’est peut-être pas toujours glorieux, pas toujours scientifique de devoir expliquer en termes simples non seulement les étapes d’un travail de recherche, mais également les implications que ce travail laisse prévoir. Faire l’effort de publier cette sorte « d’executive summary » pré ou post conférence assurerait, quelle que soit la direction que prendra le métier d’homme sécurité, une communication non biaisée, étrangère à tout conflit d’intérêt et destinée à un large public… politiques et grands dirigeants y compris.

La sécurité informatique fait preuve de ressources insoupçonnées. Afin de préserver les ponts de Paris qui croulent sous le poids des cadenas (plus de 80 tonnes sur le pont des Arts estime-t-on), la mairie de Paris suggère aux Héloïse et Abélard, depuis le début de cette semaine, de remplacer leurs Ronis et City par un « selfie » posté sur le site Love Without Lock, littéralement « l’amour déchaîné ». Il n’est pas dit que le bilan carbone d’un cloud réservé aux amoureux soit plus ou moins bénéfique à la planète que les dégagements polluants de l’industrie métallurgique et néanmoins serrurière. Mais dans l’immédiat, la sécurité physique des quidams empruntant lesdits ponts n’en sera que meilleure.

Il est d’ailleurs assez surprenant que nul hackerspace, pas la moindre conférence sécurité Parisienne (Hackito Ergo Sum, Hack in Paris, NoSuchCon ou autres GSdays) n’ait envisagé de voler au secours des ponts dans le cadre d’une formidable « keylockpicking party ». D’un point de vue médiatique, c’est un coup à faire la une du Parisien et de 20 Minutes.

Chaque année, entre la dernière semaine de juillet et les premiers jours du mois d’août, les thèmes des conférences données à l’occasion des BlackHat, DefCon et autres erratiques CCCcamp font la joie des médias qui affichent du sang numérique sur 5 colonnes à la Une.

Ainsi ComputerWorld, qui titre sur la liste des « automobiles les plus facilement piratables » . Entre RFID et liaisons Bluetooth, l’électronique sans fil est de plus en plus souvent intégrée dans cet univers mécanique. Dans ce cas précis, l’article fait référence aux derniers travaux de Charlie Miller et Chris Valasek (IO Active), qui avaient notamment fait l’objet d’une présentation par Miller à l’occasion de la dernière Insomni’hack de Genève. Rappelons également que l’intrusion d’un véhicule à l’aide de moyens radio de fortune avait été décrite et expérimentée par Adam Laurie (Hackito Ergo Sum 2012) et que la compromission des systèmes antivol via le bus de diagnostic automobile ODB2 avait fait l’objet d’une présentation par Karsten Nohl durant Hackito Ergo Sum.

20 minute, pour sa part, sort un véritable scoop : « Une faille de sécurité permettrait de hacker 2 milliards de smartphones » . Le scoop, tout le monde l’aura compris, c’est l’usage du conditionnel dans le titre. La présentation est signée Mathew Solnik et Marc Blanchou, deux chercheurs qui maltraitent la plateforme Android depuis quelques années et ont acquis une réputation certaine. Cette fois, nous apprend l’article original de Wired,, les deux chercheurs se sont penchés sur les outils d’administration des parcs de terminaux mobiles utilisés par les opérateurs. Les éditeurs de tels logiciels ne sont pas légions. Une faille dans le mécanisme d’authentification entre client et serveur, une femtocell compromise (ou un openBTS), et l’on peut prendre la main sur les terminaux passant à portée d’antenne pour « pousser » des mises à jours maléfiques… ou pas.

D’autres média grand-public trempent avec délice leur plume dans du pur extrait de concentré d’anxiogène. La chaine Canadienne CBC News titre « Les avions peuvent être hackés via leurs bornes Wifi ». Chaque année, l’aéronautique fait les frais d’articles de ce calibre. Inutile de prévoir l’achat d’un parachute ou la fin de l’article pour apprendre que « le risque est très faible » (sic), ce n’est là qu’une énième communication sur la vulnérabilité des femtocell reliées à un uplink satellite qui équipent certaines compagnies. Celui qui pourrait le plus en souffrir serait le directeur financier de l’entreprise télécom chargée de cette infrastructure. Mais soyons rassuré, au prix auquel est vendu la minute de communication dans un aéronef, ce n’est pas demain que ces prestataires friseront le dépôt de bilan.

Cela n’enlève rien à la qualité du travail de Ruben Santamarta (IO Active encore), qui a donc essentiellement travaillé sur les équipements de liaisons satellites, systèmes perclus de failles de sécurité longtemps laissées béantes sous prétexte que leur exploitation exigeait des moyens techniques de haut vol. On disait ça aussi des liaisons Wifi à leurs débuts.

Ouvrons ici une parenthèse pour saluer la prodigalité d’IO Active durant cette édition 2014 de la BH et de Defcon. Pas moins de 7 présentations en 5 jours. Le 7 de ce mois, par exemple, Jason Larsen parlera de miniaturisation dans les attaques Scada… un retour aux codes « one liner » en quelques sortes. Car avec la miniaturisation de l’électronique et l’efficace simplicité des automates, le « hacker industriel » ne dispose généralement que de quelques malheureux kilo-octets pour injecter son code. Refaire du Die Hard4, r00ter du RFID et du compteur à gaz intelligent exige une certaine concision de code digne des peuplades Laconiennes. Le code aussi doit être miniaturisé.

Encore un peu d’IO Active avec un habitué des conférences, Cesar Cerrudo, qui s’attaque aux infrastructures de contrôle de la circulation automobile. En d’autres mots, comment semer une pagaille monstrueuse en perturbant les feux rouges (encore du Die Hard4). A noter que ce genre de vulnérabilité touche le réseau d’au moins une (sinon deux) des trois plus grandes villes de France, notamment celle réputée pour ses cuisses de grenouilles, son tablier de sapeur et sa cervelle de canut.
D’autres présentations plus hard core, tel qu’un fuzzer de fichier ELF (Alejandro Hernandez) ou qu’une attaque des drivers graphiques de Windows (Ilja van Sprundel), moins spectaculaires, tout aussi efficaces, achèvent cette avalanche.

Hackito Ergo Sum, festival des attaques mathématiques ? Après la démonstration doctorale de Graham Steel, celle de Renaud Lifchitz avait presque des airs de récréation.  Intitulé « A common weakness in RSA signatures: extracting public keys from communications and embedded devices », il ne pouvait qu’intriguer l’assistance. Pourquoi s’évertuer à découvrir une clef publique, qui, par définition est publique ?

Publiques, mais pas toujours publiées, explique le chercheur d’Oppida. Particulièrement lorsque ces clefs sont utilisées dans des systèmes embarqués, des outils à large diffusion (marché grand public) pour lesquels il est pratiquement impossible de disposer de la moindre information technique poussée. Par ailleurs, bien de ces appareils ne sont pas prévus pour accepter des mises à niveau aussi importantes. En conséquence de quoi il peut arriver que des systèmes théoriquement fortement sécurisés deviennent totalement vulnérables, avec le temps et l’évolution des travaux de cryptanalyse.

Et c’est précisément en extrayant et en analysant la clef publique de ces systèmes embarqués que l’on peut se faire une idée assez précise de la solidité de l’ensemble de chiffrement. Même si, à un moment donné, un algorithme est considéré comme encore inviolé, l’on sait prévoir son espérance de survie. A l’heure actuelle, les experts ne donnent plus que 4 ans de sursis aux clefs de 1024 bits qui constituent le « gros » des standards de sécurité actuellement en service. Ce qui implique que, d’ici 4 ou 5 ans, il faudra envisager un renouvellement progressif du parc de tous les appareils utilisant de telles clefs.

Et de donner deux exemples précis : l’extraction de la clef publique  à partir de deux emails signés par PGP et le reverse du système de contrôle d’accès d’immeubles probablement le plus répandu en France, les serrures VigiK.

VigiK est essentiellement une serrure commandée par une carte RFID à courte durée de répudiation (48 heures environ), laps de temps réduit pour limiter les risques d’intrusion en cas de perte ou de vol de la carte « passe partout ». Ses principaux utilisateurs sont les services postaux et les services d’urgence (pompiers, police, EDF/GDF), les seconds bénéficiant de droits d’accès plus larges que les premiers. Car un RFID VigiK peut être paramétré comme un service d’accès distant à un serveur : heures du jour, jours de la semaine, durée du bail, hiérarchie d’accès sont strictement paramétrables.

Le « jeton » détenu par le personnel des services en question n’est autre qu’une carte RFID Mifare, de la catégorie de celles qui sont réputées infalsifiables, mais dont on trouve sans trop de problèmes des équivalents pouvant être clonés  sur quelques sites de vente en ligne réputés. En outre, ladite clef est partiellement codée avec une clef (vulnérable) de 48 bits. Ces vulnérabilités ne sont pas nouvelles et avaient notamment fait l’objet de communications de la part de l’équipe « Melanie Rieback et all » de l’Université libre d’Amsterdam ou du team David Naccache Jean-Sébastien Coron quelques temps auparavant. La présentation de Renaud Lifchitz donne d’ailleurs avec assez de précision à ce sujet (notamment le cassage de la clef 48 bits)

L’attaque contre le lecteur de badge, en revanche, est un peu plus complexe… mais pas impossible pour ce qui concerne l’extraction de la clef publique 1024 bits. Statistiquement, elle sera même quasiment certaine à moyenne échéance (entre 4 et 5 ans estiment les spécialistes de la cryptanalyse) et inévitable, le système VigiK étant « plafonné » par cette clef de 1024 bits. Tout prétendu audit tendant à prétendre le contraire ne serait qu’enfumage. Depuis l’aube du chiffrement sur Internet, la durée de vie des algorithmes de chiffrement prévue par les statisticiens de la sécurité s’est toujours vérifiée… parfois même les délais estimés se sont avérés bien trop optimistes en fonction de la découverte d’erreurs d’intégration volontaires ou non, ou d’associations de générateurs d’aléas moins aléatoires que prévus.

Comment pondérer le niveau de risque que révèlent les travaux de Renaud Lifchitz ? Tout dépend du contexte. Le raz-de-marée de cambriolage prévu en 2018 par certains de nos confrères mérite une citation avec palme au Grand Ordre du FUD, tout comme pourrait l’être toute affirmation contraire de la part des concepteurs dudit système. VigiK est un système destiné à faciliter l’accès de certains services d’Etat, et non de garantir de manière absolue la sécurité des foyers. Les adeptes du talonnage (tailgating) le savent bien, et les spécialistes de l’ingénierie sociale, plutôt que de plonger dans la manipulation de modulos et l’émulation de cartes Mifare, travailleront au corps soit la fleuriste de quartier, soit le vendeur de plats à emporter du coin de la rue… leurs carnets de livraison contiennent généralement l’intégralité des digicodes de leurs clients. En région parisienne, l’efficacité très relative de VigiK se mesure au poids de prospectus déposés chaque jour dans les boîtes à lettres par des entreprises de plomberie-serrurerie-charcuterie. Passons également sur les portes cochères dont le digicode/VigiK commande la gâche d’une porte également actionnée par une serrure « old school » qui ne résiste pas plus d’une minute à un rossignol.

Le risque est un peu plus prégnant pour ce qui concerne l’accès à quelques bâtiments d’Etat, bases militaires, services publics… c’est cette relative minorité d’établissements qui devra, tôt ou tard, envisager d’ajouter un second ou troisième facteur de sécurité périmétrique. L’axiome d’Edmond « bigezy » Rogers se vérifie une fois de plus, il est illusoire de vouloir renforcer une sécurité numérique au-delà de ce que peut offrir un périmètre de protection physique.

Si, bien souvent, les envolées techniques de NoSuchCon perdaient quelques participants sur des sommets quasiment inaccessibles, trois orateurs ont soulevé des tonnerres d’applaudissements. Saumil Shah, tout d’abord, en dévoilant une forme d’attaque html quasiment imparable : le pixel de la mort. Le principe est simple, et se limite à utiliser une image en 256 niveaux de gris pour encoder n’importe quel caractère. De là à imaginer remplacer une image pointilliste en un code java destructeur grâce à la traduction de la couleur par une fonction eval(), il n’y a qu’un pas. Les tâches grises plus ou moins unies pouvant paraîtres suspectes, Saumil Shah conseille de plutôt utiliser les niveaux de transparence des pixels d’un GIF quelconque, et de lancer l’exécution sur un simple « on mouse ». Certes, il serait simple de supputer l’existence de cette forme de camouflage stéganographique, mais quel éditeur d’antivirus serait assez téméraire pour se mettre à filtrer chaque image, chaque graphique d’une page Web ? L’impact sur les temps de réponse serait tel qu’entre sécurité et souplesse d’utilisation, aucun usager n’hésiterait. D’autant plus que les navigateurs Web ne sont pas capables de n’interpréter que des images. On pourrait imaginer une attaque à la Saumil Shah avec des inserts musicaux. Ou tout autre medium géré nativement par HTML et comportant 256 valeurs ou plus. Aussi simple que soit ce genre de hack, il prouve que la recherche en matière de sécurité est avant tout une question de culture et de sens de l’observation et ne se réduit pas à une simple pratique réservée aux virtuoses du reverse.

Même virtuosité de la part de Travis Goodspeed qui montrait comment injecter un shellcode dans un microcontroleur genre MSP430 ou à base de l’antique 8051 (que l’on retrouve généralement dans des circuits très répandus tels que le CY7C68013A). Savoir ce qui se passe « à l’intérieur » d’un PIC à l’aide de deux LED ou réaliser une modification de firmware de téléviseur après vérification de la validité de sa signature (version « burinée silicium ») mais avant son chargement en mémoire relève presque de la sorcellerie électronique. Il faut dire que les industriels qui emploient force microcontroleurs ne sont pas (ou très rarement) issus du sérail informatique. Les notions de sécurité des processus sont généralement embryonnaires, voire inexistantes ou limitées au claquage d’un fusible d’interdiction de lecture. Or, ces fausses sécurités une fois contournées, le chercheur se trouve face à un composant qui ignore tout d’ASLR, ne possède pas d’équivalent de sécurité « no execute » et contient même parfois en ROM (et non en flash ou eprom) un bootloader que l’on peut aisément récupérer (voir les exploits des reversers MAME ou les aventures acides d’Adam Laurie et Zac Franken ). Notons au passage que les badges d’entrée de NoSuchCon étaient des circuits imprimés destinés à construire un GoodFET Facedancer 21. Il s’agit d’un outil de fuzzing de port USB qui « semble » n’être qu’un composant HID vis-à-vis de l’équipement espionné. La programmation peut s’effectuer en python, l’un des usages intéressant étant la récupération des firmware par simulation du DFU. Les utilisateurs souhaitant jouer avec un outil un peu plus généraliste peuvent éviter de souder le Max3421 et utiliser le circuit comme un simple GoodFet41. L’assemblage du circuit est trivial et ne demande pas plus de 10 minutes de montage… près de 300 badges NSC#1 étant dans la nature, on peut penser que quelques centaines de ports USB vont parler sous la torture dans les mois à venir.
Karsten Nohl emboîte le pas de Goodspeed et reprend l’air et la musique de « la sécurité des embedded est nettement plus embryonnaire que ce que l’on peut trouver sur un simple téléphone mobile ». Et de montrer comment lancer une attaque brute force contre les clefs électroniques de quelques automobiles européennes, les unes « protégées » par un circuit Texas Instrument, les autres par un sytème Hi-Tag2 NXP voir des circuits Megamos. Et d’expliquer le cheminement complexe de l’attaque elle-même qui demande tout de même un temps certain mais qui n’est pas d’une complexité aussi grande que ce que l’on pourrait croire. Cette démonstration doctorale une fois achevée, Nohl fait remarquer que ça, c’était la méthode « hacker intello », mais que dans le monde du trafic de pièces détachées, les méthodes sont autrement plus expéditives. « certains voleurs ont réalisé qu’en effectuant certaines manipulations illogiques (genre débrancher deux fois de suite l’ampoule d’un feu arrière), il était possible d’initialiser l’ordinateur de bord et… de partir avec la voiture. Aucun voleur ne s’inspirera jamais des méthodes que je viens de décrire, trop complexes à leur goût ». L’empirisme est parfois plus efficace qu’une approche savante. Un discours qui s’achève par le passage d’une séquence vidéo qui montre comment hacker une Audi en passant par la prise de diagnostic OBD2, non seulement pour désactiver le système d’immobilisation du véhicule, mais également pour museler l’alarme et reprogrammer la clef Hi-Tag2 (ce que même certains spécialistes du monde automobile pensaient franchement impossible).Il est vraiment dommage que le badge de NoSuchCon de cette année n’ait pas été un GoodThopter12, précisément un lecteur de bus OBD2 (en fait un CAN) : les travaux pratiques dirigés par Nohl auraient alors fait un malheur.