juillet 19th, 2011

Franchement, les temps étaient préférables, lorsque les BlackHats étaient de véritables truands, malhonnêtes, ingénieux. D’accord, tout n’était pas « noir ». Il faillait aussi compter sur les gris, les barbouzes, et les fameuses trappes de la NSA côtoyaient, dans le panthéon de la cyber-violence, les «Faces », « Whales », « I Love You », « Brain » « Back Orifice » ou « Melissa ». Le virus militant n’existait pas, ou presque pas, et seuls quelques vieux de la vieille se souviennent de Vendredi 13, alias JeruB. Le hack de papa visait le lucratif amoral, voir immoral.

Mais de nos jours, tout ce manichéisme tombe à l’eau. Le justicier blanc ne sais plus très bien vers qui dégainer son « six coups », puisque gentils comme méchants portent tous un chapeau noir, gris, vert, bleu ou rouge. Ce gamin qui déambule sur la plage, pelle et seau en plastique en main, n’est-il pas, le soir venu, l’un des usagers les plus acharnés de Loic ? Et, selon les critères moraux du moment, peut-il être considéré comme un militant altermondialiste luttant contre l’hégémonie du trust des OGM tel que Monsanto, est-il le pourfendeur d’une dictature africaine, ou doit-on le considérer comme un dangereux irresponsable cherchant à détruire les piliers sacrés qui supportent notre monde, font marcher nos industries et préservent nos emplois ? Depuis que la ménagère de plus de 30 ans ou l’adolescent pré-pubère pratiquent le dump mémoire et jouent avec Wireshark ou Nmap comme s’il s’agissait du 4eme tableau de « SuperMario contre les Tuyaux Démoniaques », les RSSI, les CSO et les politiques voient des hackers partout. Et savent encore moins situer le danger.

Et la situation empire. Pardon… la situation royaume. Outre-Manche, même la respectable profession de journaliste commence à s’inspirer des œuvres de Kevin Mitnick. Avec l’affaire News of the World, les plumitifs Britanniques sont comparés à des maîtres-espions. Déjà qu’avec l’utilisation des documents Wikileaks, certains moralistes avaient jugé que la presse s’était fortement compromise…

Que s’est-il passé en Grande Bretagne qui fasse qu’un journal quasi institutionnel se saborde, que le groupe Murdoch soit contraint de faire tomber des têtes, que le gouvernement Cameron accepte que certains de ses collaborateurs soient placés en détention ? Une simple histoire de hack de boîte vocale (et non à proprement parler d’écoute téléphonique). En gros, et d’un point de vue technique, rien de plus compliqué que le piratage des boîtes mails de Sarah Palin, le détournement des comptes Twitter de Britney Spears et de Barack Obama ou la publication des SMS de Paris Hilton. Rien de très nouveau, rien de très glamour. Les folliculaires de la presse à scandale de Grande Bretagne sont loin d’égaler les talentueux chercheurs du THC, et leurs aspirations sont différentes. Leurs moyens sont donc plus expéditifs, plus focalisés sur les « low hanging fruits » comme on dit en jargon sécuritéro-informatique.

Reste que ce genre de petit hack risque de ne pas faire peur très longtemps. Alors certains politiques, sans le moindre doute réputés pour avoir décroché leur certification CISSP avec succès, poussent les accusations un peu plus loin. Ainsi, rapporte Graham Clueley de Sophos, l’ex premier Ministre de Sa Gracieuse Majesté Gordon Brown (fervent défenseur des caméras de surveillance, du fichage génétique, de la cartes d’identité biométrique etc.) va jusqu’à affirmer que des journalistes auraient pu injecter des chevaux de Troie dans ses ordinateurs. Discours tenu devant la Chambre des Communes. Comme un politique ne fait jamais de vaines promesses, ne saurait mentir et maîtrise parfaitement et toujours les sujets dont il parle, il faut certainement s’attendre à de futures arrestations, soit au Times, soit à la BBC…

Il faut donc voir des pirates partout.Fini, le temps des truands. Désormais, un virus, un hack, un détournement d’informations peut être militaire (Stuxnet, que d’articles (de loi) n’a-t-on écrit en ton nom), il peut être militant (LulzSec, Anonymous, Wikileaks), il peut être purement professionnel et dicté par l’impitoyable loi de l’Audimat, du « Paris Surface » et du « clic visiteur ».

Il faudrait vraiment avoir mauvais esprit pour oser accuser les agents économiques du monde des médias. Et notamment les agences de publicité et de médiamétrie qui font fi de l’intérêt intrinsèque d’un journal, d’une émission de télévision et réduisent son contenu au nombre d’auditeurs. Mais également les directeurs d’édition formés à l’école de la rentabilité « décomplexée et pragmatique », qui rêvent d’un journal sans lecteurs (sans lecteurs critiques du moins) et surtout sans journalistes. Il faut savoir briser les repères traditionnels et sclérosants qui entravent le business des médias.

Non, ce serait faire preuve de mauvais esprit que de les critiquer. Les véritables coupables, les terroristes qui menacent la démocratie, ce sont véritablement les ados utilisateurs de Loic, les journalistes « qui doivent rendre 12 000 signes de scoop pour midi, sinon, coco, il y en a 20 qui attendent pour prendre ta place ». Et puis pendant qu’on y est, les cyberpédophiles, les auteurs de recettes d’explosifs « on line », les pilleurs de catalogues de musique sacrée du XIIème siècle sur Pirate Bay, les downloaders fous… Il sera toujours temps un jour de s’occuper des organisations mafieuses.

/GS, Sehop, Aslr, DEP, SafeSEH, Emet… ces sigles barbares désignent une série de techniques décrites dans un très récent mémorandum publié par Microsoft et intitulé « Mitigating Software Vulnerabilities ». Ce n’est pas, loin de là, un ouvrage technique (il ne compte que 25 pages) mais plus exactement une sorte de « pense bête » destiné aux éditeurs et développeurs. Un mémo d’incitation donc, car ils ne sont pas encore nombreux ceux qui adoptent systématiquement ces mécanismes d’adressage aléatoire en mémoire et autres procédés anti-pirates.

Pour Microsoft, cette évangélisation est une course contre la montre. La virtualisation de son catalogue bureautique (Office 365) et serveurs (Azure), l’extension de ses méthodes de vente vers des modèles « marketplace » capables de concurrencer l’App Store d’Apple ou Amazon ou encore l’Android Market, vont peu à peu pousser la Windows Company à revêtir l’habit de boutiquier logiciel sur le Net et l’obliger à commercialiser des produits tiers. Ce qui implique que Microsoft endossera, par la même occasion, la responsabilité des applications qui y seront vendues ou offertes. Lorsque l’on constate l’impact médiatique que provoque un « bug » frappant une application Android ou iPhone, l’on comprend que l’usage systématique d’ASLR/DEP et autres mécanismes techniques de diminution des risques d’intrusion chez les développeurs tiers fasse partie des principaux soucis et cauchemars de Steve Balmer. Cela va bien au-delà d’une simple politique de « logo ». L’on pourrait même envisager que soient instituées des règles de fuzzing aussi systématiques que préventives… pour peu que lesdits outils soient offerts par Microsoft, cela va sans dire. Car La sécurité, c’est avant tout l’affaire de celui qui en retire les principaux avantages marketing. En outre, le fait de faire payer les développeurs tiers pour qu’ils puissent bénéficier d’une certification maison a toujours été un frein au développement du marché. Sun a longtemps voulu faire payer les certifications Java, avec l’insuccès que l’on sait. Et la relative gratuité ou du moins l’absence d’un impôt aussi lourd que le « logo Microsoft » a fait ses preuves sur Android Market.

Le haut de page du site du THC (The Hacker’s Choice) débute avec 10 liens pointant sur 10 articles de la presse technique et généraliste annonçant « le Hack du réseau de téléphones cellulaires Vodaphone ». Une intrusion rendue possible grâce à l’exploitation de failles de sécurité (principalement des erreurs d’intégration) dans les femtocell vendues par l’opérateur. Failles qui donnent au possesseur d’une femtocellule modifiée le droit de « capturer » toute connexion de téléphones cellulaires dans un rayon proportionnel au gain des antennes connectées (et non, comme l’affirment certains confrères, limité à 50 mètres seulement), et bien entendu de pouvoir écouter ce que racontent les utilisateurs de mobiles ainsi détournés. Les trous en question ont été colmatés depuis près d’un an, rétorque Vodaphone, qui précise que le hack « would have required that person to dismantle the device and solder additional components onto it, as well as taking the conscious decision to prevent the device from receiving our automatic software updates ». Autrement dit, strictement rien d’impossible. Mais bien souvent, pour un opérateur, un constructeur, un équipementier, l’usage d’un tournevis cruciforme et d’un fer à souder, le flashage d’un firmware sont souvent associés à de la haute technologie. Ce genre d’affirmation se transforme en une assurance quasi certaine qu’une technicité trop élevée écarte tout risque. Sécurité par l’obscurantisme, ou mépris de l’usager ?

L’exploit (aux deux sens du terme) n’est pas nouveau. L’équipe Ravishankar Borgaonkar, Nico Golde et Kevin Redon compte revenir sur le sujet à l’occasion de la très prochaine BlackHat 2011 et avait déjà donné une conférence passionnante sur ce sujet dans le cadre de la conférence sécurité Hackito Ergo Sum qui se déroulait à Paris en avril dernier. A l’époque, Ravishankar Borgaonkar/Kevin Redon avaient montré comment p0wner le réseau SFR, précisément en exploitant certaines erreurs d’intégration dans une femtocell. L’annonce du THC est donc un « faux scoop » mais présente l’avantage de sensibiliser une fois de plus le public sur le manque notable de sécurité offert par les réseaux de téléphonie cellulaire, souvent mis à mal par cette même équipe du THC en général et par les travaux remarquables de M. Karsten Nohl en particulier. Depuis ce jour-là, les pandores Britanniques arrêtent les voyageurs qui transportent un poste radio dans leur bagage et assimilent un SDR dérivé d’une technologie vieille de 15 ans comme une arme de guerre de première catégorie. Il faut dire que les réseaux de téléphone portable, ces temps-ci, ne sont pas en odeur de sainteté du côté d’Albion.

Il est évident que l’usage de cellules mobiles capable d’effectuer des attaques MIM sur un réseau cellulaire fasse partie des « gadgets » qui passionnent les principales agences de renseignements, qu’elles soient d’Etat ou privées. Il est tout aussi envisageable que les travaux du THC ne représentent que la partie émergée de l’iceberg. Probabilité d’autant plus importante que les réseaux d’opérateurs s’orientent de plus en plus vers des infrastructures utilisant des cellules « à définition logicielle » ou plus exactement s’y intéressent fortement (réseaux agiles, reconfigurables de bout en bout, cognitifs… quel que soit le nom qu’on leur donne). Et qui dit logiciel pense hack, qui prononce infrastructure imagine tôt ou tard l’équivalent d’un « hack BGP » ou un « DNS spoofing ». THC/Nohl/Borgaonkar/Golde/Redon ne sont que les pionniers d’une famille qui s’annonce nombreuse et prospère.

Petite faille exploitable à distance dans le control manager de Trend Micro. La faille est signalée par le ZDI et l’inventeur n’est pas un inconnu : Luigi Auriema