février 15th, 2010

L’équipe Karsten Nohl, Erik Tews et Ralf-Philipp Weinmann, respectivement des Universités de Virginie, Darmstadt et Luxembourg, viennent de publier un article intitulé Cryptanalyse de la norme de chiffrement DECT. Analyse et crack dudit chiffrement qui vient compléter les travaux que l’équipe de deDECTed.org mène depuis plus d’un an. Une première publication effectuée durant la conférence CCC de Noël 2008 avait démontré comment il était possible d’intercepter des communications non chiffrées à l’aide d’une carte pcmcia de marque Com-On-Air. Carte dont le prix à l’argus a quasiment centuplé dans les jours qui ont suivi l’annonce en question. Cette année, c’est au tour du mécanisme de chiffrement de faire les frais des efforts de l’équipe. Il est, affirment les chercheurs, possible d’enregistrer (à l’aide d’une radio à définition logicielle par exemple) puis d’analyser et décoder une conversation chiffrée établie à l’aide d’un combiné sans fil.

Dans l’absolu, cette attaque (bien que très complexe d’un point de vue scientifique), n’exige pas des moyens techniques phénoménaux et représente un risque pour les quelques 800 millions d’usagers du Dect dans le monde. Quoi que puisse envisager de faire l’association de constructeurs réunie sous la bannière du Dect Forum, il est totalement impossible de mettre à jour les millions d’appareils déjà commercialisés et qui resteront en service dans les 3 à 5 années à venir. Les trois chercheurs ne font d’ailleurs rien pour rassurer leur public, en affirmant que « cette attaque était certainement la moins pratique et la moins appropriée pour pénétrer un réseau Dect », sous-entendant par là que des techniques plus optimisées pourraient faire leur apparition dans un proche futur.

Services Généraux : les grands perdants de l’histoire

Cette attaque est aussi, et sans le moindre doute, la plus importante menace à ce jour visant la sécurité des Services Généraux, eux-mêmes souvent très éloignés ou peu concernés par les conseils des RSSI et autres responsables sécurité. C’est d’ailleurs pour des raisons de sécurité très semblables que, bien souvent, la gestion de la téléphonie a été confisquée aux S.G. pour tomber dans le giron des DSI. Conséquence de la généralisation des technologies VoIP.

Mais tout n’est pas « IP Centric » ou stratégique, et la modernisation des bâtiments et des infrastructures d’entreprise dépend de plus en plus d’installations techniques dont la maîtrise ne peut relever des informaticiens et échappe totalement aux responsables SG, peu ou pas formés à ces nouvelles technologies. Citons, pêle-mêle, la généralisation des caméras de surveillance IP « protégées » par un Vlan mais utilisant les ressources du réseau informatique local (sans pour autant être administrées par les hommes de l’informatique), les systèmes automatisés et de plus en plus microprocessorisés/interconnectés qui touchent au bon fonctionnement des locaux (ventilation, ascenseurs) ou qui ne sont que l’évolution de matériel de bureau monté en graine (photocopieuses notamment, mais également cartes d’accès, protection périmétrique physique etc).

L’on connaissait déjà la rustine « cumulative », celle qui bouchait d’un coup toute une série de plaies béantes (une astuce toute microsoftienne pour faire baisser les statistiques de comptage de trous), voilà qu’Adobe et les Certs nous offrent une nouvelle forme de correctif : celui qui n’est efficace que s’il est appliqué plusieurs fois. Une double faille, donc, est éliminée avec l’édition 10.0.45.2 de FlashPlayer. Mais il existe une version spécifique de ce player d’une part pour Internet Explorer, et d’autre par pour « les autres », Firefox, Mozilla, Netscape, Opera et clients Web tiers utilisant les plugins. Comme les Certs divers conseillent parfois d’utiliser « un navigateur alternatif » et que ledit conseil est sans le moindre doute suivi par la majorité des utilisateurs, il est donc nécessaire de récupérer deux fois, et chaque fois avec le navigateur à mettre à jour, cette fameuse édition 10.0.45.2.