mai, 2010

Ce tour d’horizon des conférences iAwacs ne serait pas complet si l’on oubliait les différentes présentations détaillées effectuées par certains participants au concours P0wn2kill. Notamment celle de Alan Zaccardelle, de Dimension Data, ou celle de David Baptiste de l’Esiea qui montre en détail combien la conception d’un vecteur d’attaque est une succession de contre-contre mesures rappelant à certains moments les calculs anticipés d’un joueur d’échecs contre un adversaire pugnace. Il faut également parcourir la description de l’équipe Jonathan Dechaux, Jean-Paul Fizaine, Kanza Jaafar, Romain Griveaux (Esiea), qui avait révélé l’an passé, à l’occasion de la BH Europe 2009, la trop grande puissance et les dangers des macros sous Open Office. Notons d’ailleurs que les deux premières places du concours P0wn2kill ont été remportées par des « preuves de faisabilité » reposant précisément sur des macros OoO. Fort heureusement, compte tenu de « l’effet monopole » de Microsoft en matière d’outils bureautiques, les vagues de virus-macro appartiennent à l’histoire ancienne. Il faut cependant garder à l’esprit que ce qu’a conçu une équipe d’étudiants, un team de blackhats peut fort bien le concevoir pour mener à bien une attaque ciblée.

Toute aussi détaillée, mais nettement moins technique cependant, la conférence donnée par notre confrère Jean Marc Manach a permis à l’assistance d’effectuer un voyage dans le temps… un périple à l’époque où le vol de fichier ne faisait pas les gros titres des journaux, ou le réseau d’espionnage américain Echelon était encore inconnu, ou Internet était encore un espace de relative liberté non surveillée. J.M. Manach, principal initiateur des Big Brother Awards Français, rappelle tant sur son blog que via son « multimètre d’anonymat » combien les choses ont évolué depuis et combien il est difficile de situer la frontière entre ce qui doit demeurer du domaine privé et ce qui peut être diffusé sur le Réseau des Réseaux. « C’est surtout un problème générationnel, explique en substance notre confrère.Il y a, pour paraphraser John Freed, d’un côté la génération des « Parents », qui frémissent à la simple idée de voir leur date de naissance publiée sur un site Web, et la génération des « Transparents » qui s’épanche sur les réseaux sociaux sans y voir le moindre mal. Il faut apprendre aux parents à jongler avec les nouvelles technologies et ces nouvelles notions d’identités numériques, tout en expliquant aux transparents que le fait de franchir certaines limites peut avoir des conséquences graves. Les enfants de nos sociétés modernes confient parfois à leurs relations sur Internet des choses qu’ils cachent énergiquement à leur propre famille».

Reste à déterminer la durée nécessaire au développement de cette phase éducative. Car pendant ce temps, les « usines à accumuler des détails privés », pilotées tant par les instances gouvernementales (fichiers de police, banques d’ADN, communications transfrontières intergouvernementales etc) que par des sociétés de droit privé (Google, Facebook, les principaux réseaux sociaux et gestionnaires de logiciels « cloud » grand public) moissonnent sans discernement jusqu’aux données les plus improbables, vite, avant que les Etats ne réagissent et commencent à imposer des limites.

Xavier Carcelle, chercheur renommé et membre du Tmp/lab, accompagné de quelques étudiants de l’Esiea, a passé plus de deux heures à détailler les différences protocolaires des standards utilisés dans les « transmissions par courant porteur ». Voyage passionnant au pays du HomePlug et de tous ses dérivés, un monde qui compte aujourd’hui près de 5 millions de ports actifs en France, dont au moins 2 millions peuvent être piratés sans énormément de problème pour peu que l’on comprenne quelques faits importants : le CPL est une technologie essentiellement « wireless » et non un « réseau câblé » conventionnel, et l’arrêt du réseau aux bornes du compteur est une légende urbaine. Si les nouveaux développements du protocole promettent une protection relativement forte du contenu des transmissions, les anciennes installations, en revanche, sont exposées à toutes les attaques possibles, souvent abritées derrière un unique AES 128 à usage quasi permanent. Ces vielles prises réseau sont d’autant plus vulnérables qu’elles ont été vendues à une clientèle grand public donc non technicienne, et sous forme de modules qui n’ont généralement pas du tout été conçus pour être « mis à niveau » (hormis via un éventuel Jtag, dont l’ergonomie et l’accessibilité laissent à désirer). A l’heure où nous rédigeons ces lignes, les « transparents » de Xaviers Carcelle ne sont pas encore disponibles sur le site de l’Esiea. Mais les principaux arguments développés peuvent se retrouver dans les documents déjà diffusés à l’occasion de la 25C3 et les détails techniques du sniffer cpl Faifa sur le site qui lui est consacré. A noter que, compte tenu de l’important niveau de rayonnement que dégage un réseau CPL, sa détection à l’aide d’un analyseur de spectre est un jeu d’enfant à quelques mètres, et demeure possible avec des outils un peu plus sérieux (notamment des SDR) à plusieurs centaines de mètres des installations. Pour ce qui concerne la capture et le décodage à distance de ladite information, c’est une autre histoire…

Enquête policière encore, dans les murs de l’Esiea, mais sur les traces d’un virus polymorphique chiffré et camouflé, conduite par Zdenek Breitenbacher d’AVG. Sans entrer dans les détails mathématiques, ce chercheur explique comment il est possible de reconnaître un type de virus précis lorsque celui-ci est caché par une technique polymorphique. Car, noyé dans le chaos d’un chiffrement interdisant toute possibilité de comparaison, rien ne distingue un polymorphe d’un autre… information pourtant indispensable au blocage et éventuellement à l’éradication de la charge. Pourtant, les méthodes sont nombreuses explique le chercheur Tchèque : tenter de déterminer le type de générateur de virus utilisé, les compilateurs employés, les compacteurs (UPX, PECompact, ASPack…). A ces indices l’on peut ajouter les bugs propres à un générateur, les erreurs dans les formats de ressources ou les en-têtes de fichiers, les palettes d’instructions, les panoplies d’outils anti-debug, les astuces anti-désassemblage etc. Mais lorsque toutes ces traces ne donnent rien de particulièrement significatif, il faut avoir recours à une sorte d’examen de l’enveloppe du code. Pour ce faire, Zdenek Breitenbacher ne cherche plus à découvrir les instructions derrière les octets du fichier, mais applique un calcul d’entropie sur la partie considérée comme douteuse, l’espace qu’occupe généralement le virus. Le résultat de ce calcul laisse clairement apparaître une empreinte avec des résultats de poids « fort » et des zones pratiquement vides (ou de poids faible). Et c’est la simple comparaison de l’empreinte de ce calcul entropique qui permet très aisément de déterminer un lien de parenté entre deux infections polymorphiques et ainsi savoir s’il s’agit ou non d’un seul et même virus. Le « packet shaping » appliqué à la lutte antivirale en quelques sortes.

A l’occasion de l’iAwacs (International Alternative Workshop on Agressive Computing and Security), trois jours durant, enseignants, étudiants, responsables sécurité, chercheurs indépendants ou du monde de l’industrie se sont réunis dans les locaux parisiens de l’Esiea (Ecole Supérieure d’Informatique Electronique Automatique). Une série de conférences cordonnée par le désormais traditionnel challenge Pwn2kill, exercice de pentesting visant une quinzaine d’antivirus.

Challenge à la fois étonnant et sans grande surprise, placé, comme les années précédentes, sous la houlette d’Eric Filiol, Directeur de la Recherche et du Développement Industriel de l’école. Sans surprise car depuis les dernières grandes attaques de botnet dont certaines sont passées totalement inaperçues par bon nombre d’A.V., plus personne ne s’étonne que les outils de protection périmétrique soient imparfaits « eux aussi ». Etonnant également, car si certains « proof of concept » étaient d’une subtilité remarquable (polymorphisme, chiffrement de données à clef constamment modifiée, infections multiples doublées d’un contrôle mutuel d’intégrité des virus par eux-mêmes…), certaines vieilles ficelles ou comportements antédiluviens continuent à « passer », malgré les nombreuses communications effectuées à ce sujet : installation d’un code suspect dans le menu démarrer, consommation de ressources anormalement brutale, inscription d’un exécutable par lui-même dans la clef Run de la ruche, passivité étonnante face à certaines macros particulièrement actives, assassinat de processus en userland avec des privilèges « user » (les accès « administrateurs » n’étaient plus tolérés cette année, et la seule plateforme acceptée était un Windows 7 « à jour »)… Sur 15 antivirus testés et 7 « virus concept », une seule attaque s’est avérée globalement inefficace pour de simples problèmes d’adaptation du code aux conditions « locales » du concours. Les autres sont généralement parvenues au terme de leur exécution sans éveiller l’antivirus ni lors de l’examen du fichier « infecté » ni à l’exécution du code. Le résultat final de la campagne de test montre que certains logiciels ont parfois signalé un comportement suspect en laissant à l’utilisateur, pour certains, la possibilité de passer outre. Rares ont été les protections capables de bloquer ces assauts sans donner à l’usager la possibilité de passer outre (le syndrome des UAC Microsoft ayant « dressé » bon nombre d’utilisateurs à cliquer sans réfléchir sur toute fenêtre de pop-up).

Nul besoin d’être devin pour distinguer les programmes d’attaque les plus élégants : ce sont également les plus efficaces (attaques numéro 6, 4 et 1 par ordre d’appréciation du jury, voir sur le site Web de l’Esiea). Mais mêmes brutaux et sans finesse, certains codes se sont révélés d’une efficience digne du cheval d’Attila. L’attaque numéro 5, par exemple, un simple batch lançant une boucle consommatrice de ressources s’avère diablement efficace et n’est bloquée que par deux antivirus. Résultat guère encourageant pour un bout de code que l’on peut écrire sous Notepad en 5 minutes et qui pourrait agenouiller toutes les stations de travail d’une entreprise en un instant. Avec toutefois un léger bémol : il est rare que dans une entreprise correctement gérée, l’administrateur laisse à ses utilisateurs les droits d’écriture sur la registry ou dans le menu « programme-démarrer ».

Faut-il en conclure que les antivirus ne servent à rien ? Ce serait aller vite en besogne. Ils protègent des principales attaques provenant d’Internet, autrement dit une impressionnante quantité de menaces bien réelles. Mais leur absolue efficacité doit être remise en question au moins dans deux cas de figure précis : lorsque l’attaque est totalement nouvelle et n’a pas encore été détectée par les honeypots ou les « retours de logiciels clients » des éditeurs d’antivirus, et lorsque l’on est confronté à une agression ciblée qui n’a par définition aucune « chance » de se répandre sur Internet… et donc d’être détectée. Contre de telles menaces, le principe de fonctionnement (détection « in the wild »+autopsie du programme+rédaction de signature+diffusion et enrichissement de chaque A.V. installé) doit rapidement évoluer, s’enrichir à la fois de nouveaux mécanismes d’analyse comportementale et d’outils bien plus intelligents en matière d’examen de la structure des binaires douteux. Le système d’exploitation lui-même pourrait fort bien prendre le relais dans certaines circonstances. Quelques activités pourraient ainsi être interdites d’exécution par les UAC… notamment les écritures sauvages en BDR provenant d’un programme cherchant à s’inscrire lui-même, ou au moins demander une confirmation d’exécution exigeant un privilège plus élevé. Voilà qui serait bien plus utile que de demander inlassablement à l’usager d’autoriser le lancement d’un driver de souris non signé à chaque démarrage de l’ordinateur. Ceci en attendant l’avènement des systèmes n’acceptant d’exécuter que des exécutables « signés/certifiés »… ce qui posera à son tour la question de l’indépendance, de la compétence et du « coût » de l’autorité délivrant lesdites signatures.

Le regard que l’on porte sur les antivirus au terme d’une telle journée de tests ressemble un peu à celui d’un parent sur sa progéniture adolescente : la confiance sans illusion. Contre une attaque « non répertoriée », même utilisant des techniques connues, voir d’un classicisme désuet, les solutions de protection antivirales ne servent pratiquement à rien. Une rapide lecture de Millw0rm (même dans son état actuel d’abandon), du Bugtraq ou de la liste F.D. montre que c’est probablement aussi le cas des autres outils de protection périmétrique.

NdlR : L’auteur précise, par souci de transparence, que la Rédaction de CNIS-Mag faisait partie du jury du concours P0wn2kill. Une fonction presqu’uniquement « honorifique » puisqu’elle se limitait à vérifier l’absence d’éventuelles tricheries et à constater, test après test, la réaction ou l’absence de réaction des logiciels de protection et des « user access control »du noyau.

L’analyse forensique est-elle aussi sportive que la sociologie? Elle n’est en tous cas pas de tout repos, si l’on en juge par la qualité et le niveau des présentations qui se sont déroulées dans les amphis de l’Esiea durant le week-end passé. Damien Aumaître et Christophe Devine (Sogeti), au fil d’une communication intitulée Real-world physical attacks and countermeasures, ont dressé un panorama actuel des types d’attaques pouvant être combinées pour compromettre un réseau ou une machine stratégique. Nulle nouveauté, mais un cocktail très épicé, où l’on retrouve la « chambrière diabolique » de Joanna Rutkowska, les attaques en mémoire vive et la pêche aux mots de passe pouvant s’y trouver (bien entendu l’intrusion Firewire signée Devine, mais également celles d’autres chercheurs Français), les clefs USB autoexécutables (celles qui ont un petit goût de Conficker), les keyloggers. Tout çà sans oublier un peu d’entraînement dans le crochetage des serrures et un soupçon d’attaque en social engineering, pratiques éloignées de l’informatique mais sans lesquelles bien des techniques susmentionnées ne pourraient être conduites avec succès. Si tout cela peut paraître un peu décousu aux yeux d’un non spécialiste, un chasseur de pirate verra là immédiatement les ingrédients qui, combinés avec intelligence, peuvent conduire une entreprise à sa perte. Cette vision globale qu’apporte l’équipe Aumaître-Devine est à opposer à ce que prétendent apporter les vendeurs de sécurité (du moins pour ce qui concerne les secteurs grand-public, TPE et petites entreprises), vendeurs pour qui chaque type de menace peut être contré par un équipement ou un logiciel particulier. Cette discrétisation de la défense, dont le découpage relève plus souvent de stratégies marketing que de réflexions tactiques, est rarement adaptée face à un adversaire qui, lui, « pense » une attaque avec une vision d’ensemble.

Brian Krebs s’indigne. A peine l’iPad distribué que déjà des programmes spécialisés dans le flicage des porteurs apparaissent sur le marché. Tel cet iPad Mobile Spy destiné à une large clientèle : employeurs paranoïaques, parents autocratiques, épouses suspicieuses ou maris jaloux… Le programme en question, commercialisé comme un « Software As A Service », ne coûte que 99$. Bien moins cher qu’une demi-journée de Nestor Burma ou de Sam Spade. Pour cette modique somme, le spyware enregistre la moindre navigation Web, le courrier le plus insignifiant, logue les la totalité des « contacts » de l’appareil mobile. Une prochaine version sera capable de prend des rafales de photos grâce à l’APN intégré et de transmettre en temps réel la position précise du mari volage ou de l’employé paresseux, avec la précision du GPS intégré. Il s’en faut de peu pour que les conversations téléphoniques ne soient pas enregistrées, en raison de mesquines contraintes légales. Programme compatible iPad, iPhone (jailbreakés), Blackberry, Android, Window Mobile… l’essayer c’est l’adopter.

Mais le courroux de notre éminent confrère, provoqué par de simples considérations morales, nous semble mal approprié. Le flicage par téléphone ou tablette un peu trop intelligente, s’il peut heurter quelques âmes sensibles, représente une grave menace esthétique et un danger monstrueux pour les œuvres littéraires. A tel point que l’intervention d’un Ministre chargé de la protection des Œuvres et des Intérêts des Editeurs serait fortement nécessaire. Anéfé, un iPad « flic privé » ou un iPhone-espion, c’est la fin du théâtre de boulevard, la mort du polar, l’assassinat du roman d’aventure, le trépas de la série Harlequin. Plus de rendez-vous secret possible, plus de SMS amoureusement expédiés. Les amants ne peuvent se cacher ni dans les placards, ni sous un lit (maudit GPS). Plus jamais l’on ne pourra invoquer « une réunion tardive au bureau, c’est Macheprau qui préside, on va devoir refaire le bilan et je doute pouvoir rentrer jetaimejepenseatoi » (Satané appareil photo). Inutile également de tenter un « je suis en séminaire, impossible de te parler » alors que le tunnel de réplication renvoie depuis plus de 10 minutes, par SMS, l’adresse d’un hôtel tout confort des environs de Deauville et des réponses enflammées de la part de « Ta petite Lulu la Nantaise ». Si Mobile Spy avait existé à l’aube du XIXème, jamais Courteline n’aurait pu écrire la moindre ligne, Maigret et Hercule Poirot seraient au chômage technique faute de meurtre passionnel, et la Sacem n’encaisserait plus que les droits d’auteurs de séries américaines narrant les navrantes aventures d’un cabinet d’avocats ou les ébats bureaucratiques d’un juge des affaires familiales.

Il y a près d’un an, Juniper avait estimé que la présentation de Barnaby Jack intitulée « Jackpotting ATM » était pour le moins précipitée, et qu’il fallait attendre que les principaux fabricants de distributeurs de billets automatiques améliorent leurs machines avant que l’on apprenne comment les pirater. Un an plus tard, Barnaby Jack remet la discussion sur le tapis… au programme de la prochaine BlackHat. Cette fois, la présentation portera le titre « Jackpotting Automated Teller Machines Redux », et son auteur nous promet, outre une kyrielle d’exploits anti-billetterie autant locaux que distants, la présentation d’un rootkit multiplateforme visant les distributeurs. « J’ai toujours aimé la scène de Terminator 2 dans laquelle John Connors insère une interface dans le lecteur d’un automate et, à l’aide de son Atari, récupère du liquide » écrit succinctement l’auteur.

Un autre hacker américain, mais sombre comme Dark Vador et crédule comme Luke Skywalker avait, quant à lui, décidé d’utiliser un vieux truc : la reprogrammation des distributeurs isolés pour que ceux-ci délivrent des coupures de 20 dollars à la place de billets de 1$. Déjà, par le passé, plusieurs siphonages de machines avaient eu lieu grâce à un défaut bien connu : le non changement des mots de passe d’administration « par défaut » de ces automates. Depuis, nous apprend un article de Wired, l’entrée d’un nouveau Sésame est exigée dès la première mise sous tension de l’appareil. Mais le parc de vieux ATM ancienne norme est encore important. Et c’est en espérant faire la tournée de ces rossignols que le jeune Thor Alexander Morris s’est mis en quête d’un factotum chargé du repérage. Il rencontre un ancien escroc, Brian Rhett Martin, alias “Iceman”, alias “Forcible Entry”, et échafaude avec lui une approche efficace. Pour localiser avec précision les distributeurs d’une marque précise, il suffit de prendre en filature le camion de maintenance de ladite entreprise, puis d’enregistrer la position GPS de chaque appareil après avoir éliminé les modèles trop récents.

Seulement voilà… depuis ses exploits pas très reluisants des années 90, Iceman s’est rangé des voitures. Sa première réaction est d’appâter l’apprenti braqueur, puis de contacter le FBI pour monter un « flag ». Le casse de la semaine s’achève donc en prison. Il ne restera au jeune Morris que de s’abîmer dans la lecture des « proceedings » de la prochaine Black Hat.

Botnet Storm pas mort, selon Toralv Dirro, l’Avert. Article basé sur une étude du Honeynet (Mark Schloesser, Tillmann Werner et Felix Leder), qui travaille sur cette nouvelle variante dont la dangerosité est pour l’instant assez faible.

La cyber-guerre psychologique existe, elle est pratiquée par certains mouvement radicaux islamistes, selon François Paget de l’Avert (« retour de conférence » sur le colloque Francopol).

L’alerte 983438 de Microsoft prévient les utilisateurs de Sharepoint d’une possible attaque XSS contre Sharepoint Server 2007, suite à la publication d’un PoC.