mai 11th, 2010

Ce tour d’horizon des conférences iAwacs ne serait pas complet si l’on oubliait les différentes présentations détaillées effectuées par certains participants au concours P0wn2kill. Notamment celle de Alan Zaccardelle, de Dimension Data, ou celle de David Baptiste de l’Esiea qui montre en détail combien la conception d’un vecteur d’attaque est une succession de contre-contre mesures rappelant à certains moments les calculs anticipés d’un joueur d’échecs contre un adversaire pugnace. Il faut également parcourir la description de l’équipe Jonathan Dechaux, Jean-Paul Fizaine, Kanza Jaafar, Romain Griveaux (Esiea), qui avait révélé l’an passé, à l’occasion de la BH Europe 2009, la trop grande puissance et les dangers des macros sous Open Office. Notons d’ailleurs que les deux premières places du concours P0wn2kill ont été remportées par des « preuves de faisabilité » reposant précisément sur des macros OoO. Fort heureusement, compte tenu de « l’effet monopole » de Microsoft en matière d’outils bureautiques, les vagues de virus-macro appartiennent à l’histoire ancienne. Il faut cependant garder à l’esprit que ce qu’a conçu une équipe d’étudiants, un team de blackhats peut fort bien le concevoir pour mener à bien une attaque ciblée.

Toute aussi détaillée, mais nettement moins technique cependant, la conférence donnée par notre confrère Jean Marc Manach a permis à l’assistance d’effectuer un voyage dans le temps… un périple à l’époque où le vol de fichier ne faisait pas les gros titres des journaux, ou le réseau d’espionnage américain Echelon était encore inconnu, ou Internet était encore un espace de relative liberté non surveillée. J.M. Manach, principal initiateur des Big Brother Awards Français, rappelle tant sur son blog que via son « multimètre d’anonymat » combien les choses ont évolué depuis et combien il est difficile de situer la frontière entre ce qui doit demeurer du domaine privé et ce qui peut être diffusé sur le Réseau des Réseaux. « C’est surtout un problème générationnel, explique en substance notre confrère.Il y a, pour paraphraser John Freed, d’un côté la génération des « Parents », qui frémissent à la simple idée de voir leur date de naissance publiée sur un site Web, et la génération des « Transparents » qui s’épanche sur les réseaux sociaux sans y voir le moindre mal. Il faut apprendre aux parents à jongler avec les nouvelles technologies et ces nouvelles notions d’identités numériques, tout en expliquant aux transparents que le fait de franchir certaines limites peut avoir des conséquences graves. Les enfants de nos sociétés modernes confient parfois à leurs relations sur Internet des choses qu’ils cachent énergiquement à leur propre famille».

Reste à déterminer la durée nécessaire au développement de cette phase éducative. Car pendant ce temps, les « usines à accumuler des détails privés », pilotées tant par les instances gouvernementales (fichiers de police, banques d’ADN, communications transfrontières intergouvernementales etc) que par des sociétés de droit privé (Google, Facebook, les principaux réseaux sociaux et gestionnaires de logiciels « cloud » grand public) moissonnent sans discernement jusqu’aux données les plus improbables, vite, avant que les Etats ne réagissent et commencent à imposer des limites.

Xavier Carcelle, chercheur renommé et membre du Tmp/lab, accompagné de quelques étudiants de l’Esiea, a passé plus de deux heures à détailler les différences protocolaires des standards utilisés dans les « transmissions par courant porteur ». Voyage passionnant au pays du HomePlug et de tous ses dérivés, un monde qui compte aujourd’hui près de 5 millions de ports actifs en France, dont au moins 2 millions peuvent être piratés sans énormément de problème pour peu que l’on comprenne quelques faits importants : le CPL est une technologie essentiellement « wireless » et non un « réseau câblé » conventionnel, et l’arrêt du réseau aux bornes du compteur est une légende urbaine. Si les nouveaux développements du protocole promettent une protection relativement forte du contenu des transmissions, les anciennes installations, en revanche, sont exposées à toutes les attaques possibles, souvent abritées derrière un unique AES 128 à usage quasi permanent. Ces vielles prises réseau sont d’autant plus vulnérables qu’elles ont été vendues à une clientèle grand public donc non technicienne, et sous forme de modules qui n’ont généralement pas du tout été conçus pour être « mis à niveau » (hormis via un éventuel Jtag, dont l’ergonomie et l’accessibilité laissent à désirer). A l’heure où nous rédigeons ces lignes, les « transparents » de Xaviers Carcelle ne sont pas encore disponibles sur le site de l’Esiea. Mais les principaux arguments développés peuvent se retrouver dans les documents déjà diffusés à l’occasion de la 25C3 et les détails techniques du sniffer cpl Faifa sur le site qui lui est consacré. A noter que, compte tenu de l’important niveau de rayonnement que dégage un réseau CPL, sa détection à l’aide d’un analyseur de spectre est un jeu d’enfant à quelques mètres, et demeure possible avec des outils un peu plus sérieux (notamment des SDR) à plusieurs centaines de mètres des installations. Pour ce qui concerne la capture et le décodage à distance de ladite information, c’est une autre histoire…

Enquête policière encore, dans les murs de l’Esiea, mais sur les traces d’un virus polymorphique chiffré et camouflé, conduite par Zdenek Breitenbacher d’AVG. Sans entrer dans les détails mathématiques, ce chercheur explique comment il est possible de reconnaître un type de virus précis lorsque celui-ci est caché par une technique polymorphique. Car, noyé dans le chaos d’un chiffrement interdisant toute possibilité de comparaison, rien ne distingue un polymorphe d’un autre… information pourtant indispensable au blocage et éventuellement à l’éradication de la charge. Pourtant, les méthodes sont nombreuses explique le chercheur Tchèque : tenter de déterminer le type de générateur de virus utilisé, les compilateurs employés, les compacteurs (UPX, PECompact, ASPack…). A ces indices l’on peut ajouter les bugs propres à un générateur, les erreurs dans les formats de ressources ou les en-têtes de fichiers, les palettes d’instructions, les panoplies d’outils anti-debug, les astuces anti-désassemblage etc. Mais lorsque toutes ces traces ne donnent rien de particulièrement significatif, il faut avoir recours à une sorte d’examen de l’enveloppe du code. Pour ce faire, Zdenek Breitenbacher ne cherche plus à découvrir les instructions derrière les octets du fichier, mais applique un calcul d’entropie sur la partie considérée comme douteuse, l’espace qu’occupe généralement le virus. Le résultat de ce calcul laisse clairement apparaître une empreinte avec des résultats de poids « fort » et des zones pratiquement vides (ou de poids faible). Et c’est la simple comparaison de l’empreinte de ce calcul entropique qui permet très aisément de déterminer un lien de parenté entre deux infections polymorphiques et ainsi savoir s’il s’agit ou non d’un seul et même virus. Le « packet shaping » appliqué à la lutte antivirale en quelques sortes.