août, 2011

Pour deux chercheurs de l’Université Davis (Californie), il est même dangereux de composer un numéro de téléphone (et encore plus un numéro de carte de crédit) sur… un téléphone portable évolué. Certains de ces appareils (l’iPhone par exemple, mais également les Androids) intègrent un accéléromètre. Composant indispensable au bon fonctionnement d’un verre de bière virtuelle ou d’un « flipper » numérique. Hao Chen et Lian Cai, les chercheurs en question, ont donc développé un pseudo Troyen chargé de mesurer les variations d’inclinaison des terminaux au moment précis de la composition d’un chiffre sur le clavier. La force pressante et l’appui de la main qui maintient l’appareil crée un effet de levier, lequel imprimera à l’appareil un mouvement d’autant plus important que l’appui sera éloigné du point de repos. Tortueux ? Pas plus que de mesurer les variations d’appel de courant ou les temps de réponse d’un ordinateur pour en extrapoler la composition d’un mot de passe. C’est comme çà, un bon chercheur en sécurité, il invente des trucs que même Ponson du Terrail n’aurait jamais osé écrire. Comment tromper les statistiques dudit troyen ? En posant l’appareil sur une surface dure avant chaque appel. Ou en utilisant la main gauche (ou droite, selon). Voir en perturbant la lecture en n’appelant que depuis un trampoline, un avion de voltige ou un saut en chute libre. Voir en abandonnant les métiers de la sécurité et en se convertissant dans le métier d’astronaute. En impesanteur, les accéléromètres donnent parfois d’étranges résultats.

Le chercheur en sécurité est un être étonnamment inventif. Bien plus parfois que ne l’est l’exploitant « black hat » à la recherche d’un profit immédiat. Pour le spécialiste de la détection des hacks vicieux, un rien peut donner naissance à un scénario catastrophe… et c’est pour ça qu’on les aime : Ils nous offrent sur Internet des montages aussi rocambolesques que ceux d’une superproduction Hollywoodienne qui, elle, coûte au moins le prix d’une place de cinéma.

Brian Markus, Joseph Mlodzianowski et Robert Rowley ( Aires Security), à l’occasion de la dernière Defcon de Las Vegas, se sont amusés à construire une borne gratuite de rechargement pour téléphones portables. A la différence près qu’il n’y avait pas que les fils Vcc et Vdd câblés sur le connecteur USB de recharge. Cette version moderne du posdslurping est une variante connue du « faux kiosque » : distributeurs de billets bidon avaleurs de cartes ou lecteurs de codes PIN et bancaires, affiches publicitaires à « extension Bluetooth » diffuseuses de virus téléphoniques, clefs USB ou CD-ROM publicitaires distribués sur les salons professionnels et pouvant contenir des programmes compromettants… certaines menaces sont bien réelles, d’autres relèvent de l’imagination la plus débridée. Mais la leçon est toujours la même : tout ce qui est public, gratuit ou non, bénéficie d’un niveau de confiance absolu. D’ailleurs, la dernière fois que le rédacteur de ces lignes a emprunté un parking souterrain, il a un bref instant trouvé un air bizarre au lecteur de carte « acceptant Visa, Moneo, CB etc. »… Zut, encore une « prez » et un sujet très « buzz » que l’on aurait pu conserver pour la prochaine Hackito Ergo Sum…

Quelle sont, de l’avis même de ceux qui les utilisent, les applications Web les plus dangereuses ?La question est posée par le Sans, qui demande à chaque personne se sentant concernée de répondre à son QCM.

Depuis le début de la semaine passée, le phénomène allant crescendo, la rédaction de Cnis reçoit force courriels d’avertissement émanant de la société UPS. Un probable colis en instance de réception, ou quelque achat effectué à notre insu… Ledit courriel est, on s’en doute, accompagné d’une pièce attachée généralement au format Zip, pièce dont le niveau de contagion infectieuse rivalise avec les meilleurs prions informatiques du moment, le tout trônant au-dessus d’un message lapidaire rédigé dans la langue de Jerome K. Jerome. Ce qui n’incite donc pas franchement les ressortissants Français à consulter ladite pièce.

Le volume de cette attaque, estiment les statisticiens de Comtouch, a été multiplié par 5,5 durant cette dernière semaine, comparé au flot moyen des pourriels divers utilisant le nom UPS. Sur les serveurs de la rédaction, les logs d’Exchange affirment que ce volume est plus que largement dépassé, frisant 10 fois le niveau de « bruit du faux colis UPS ». A surveiller prudemment, l’ouverture des pièces attachées « de provenance connue » (si si, UPS est un transporteur connu) étant une pratique courante chez les administrés.

Le New York Times titre « Envoyer la police avant qu’il n’y ait crime ». A Santa Cruz, Californie, la police locale, sans l’aide de « precogs », parvient à intervenir sur les lieux du crime avant même que l’acte soit perpétré. Divination ? Non, estimations statistiques délivrées par un ordinateur, explique le rédacteur de l’article. Et de témoigner sur une arrestation fructueuse survenue sur un parking de la ville.

Il faut dire que Santa Cruz n’est pas une ville comme les autres. Le nombre de barbus unixiens est de loin le plus élevé de la planète, et il s’y tient probablement les réunions les plus cryptiques qui soient entre spécialistes du chiffre et de l’algorithmique de sécurité. Patrie originelle de SCO notamment, ville universitaire par excellence et entourée de thébaïdes pour milliardaires à la retraite, Santa Cruz et ses environs ne brillent pas pour son insécurité. Il serait peut-être risqué d’extrapoler les résultats triomphants clamés par les pandores locaux en d’autres lieux où règne une insécurité légèrement plus tangible. L.A. South Central par exemple.

Il serait tout aussi intéressant d’utiliser ces modèles prédictifs (basés, dit-on, sur des recherches en sismologie) dans d’autres domaines d’application. Sur les chances qu’un virus réellement dangereux soit vraiment intercepté par un antivirus, par exemple, ou sur le nombre potentiel de failles dangereuses que comptera un nouveau système d’exploitation ou un routeur flambant neuf… L’on pourrait ainsi, grâce à ce procédé, développer des correctifs et des banques de signatures avant même que l’auteur du virus ou que l’inventeur d’une faille n’ait entamé l’écriture de son malware ou de son PoC. Plus de problème de déploiement dans l’urgence, puisque les rustines tomberaient des mois avant la découverte des trous. Franchement, les hautes technologies, elles mériteraient presque d’être prises au sérieux.

Un court article du Reg relate la condamnation d’un ex-administrateur de systèmes qui aurait, pour motifs non expliqués, effacé une quinzaine d’hôtes VMware supportant 88 serveurs différents. Ces machines appartenaient à la filiale US d’un groupe pharmaceutique Japonais. L’attaque aurait été conduite grâce à l’utilisation abusive d’anciennes autorisations d’accès et depuis les postes Internet en libre-service situés dans une boutique de restauration rapide. L’admin-pirate, qui comptait ainsi couvrir ses traces, a commis l’erreur d’utiliser sa carte de crédit quelques minutes avant le hack dans l’établissement en question.

Si l’on ne peut en aucune manière excuser le geste de cet ex-employé (sa faute pourrait lui coûter 10 ans de prison et 250 000 $ d’amende), on se demande quelle sera la peine requise pour l’actuel administrateur. Car les bévues commises par la « victime » sont pharaoniques : autoriser un accès administratif à partir de n’importe quelle station distante, conserver des logins actifs ne correspondant plus à la liste des personnes réellement autorisées et ayant quitté la compagnie depuis plus d’un an (source Network World ), compromettre la sécurité des données des clients et du système de production en négligeant les mécanismes de plan de continuité d’activité (le « hack » aurait coûté plus de 800 000 dollars, ce qui implique qu’aucun backup n’avait été effectué)… pour nettement moins que çà, bien d’autres responsables informatiques auraient encouru l’estrapade.

On pourrait s’interroger sur la « bienveillance » avec laquelle nos confrères anglo-saxon traitent ce genre d’information, « victimisant » l’entreprise coupable d’une telle accumulation de négligences, tout en concentrant l’attention des lecteurs sur la culpabilité de l’interpelé. Cette affaire en rappelle une autre, tout aussi comparable : celle des statistiques en « Google-hacking » indiquant clairement les entrailles VMwares accessibles à partir du WAN. Perseverare diabolicum.

Le code du toolkit à malware SpyEye a été rendu public depuis quelques jours. Certaines publications s’en émeuvent, tel Security News. Par le passé, la publication de codes comparables a montré qu’aucun redoublement d’activité n’est à craindre

6 universitaires de UoPenn, dont le célèbre Matt Blaze, viennent de publier une étude sur la robustesse des talky-walky utilisant les protocoles APCO projet 25 employés par les polices aux Etats-Unis. Outre les vulnérabilités de la couche de chiffrement, qui ne surprendront personne, les chercheurs se sont particulièrement intéressés aux possibilités de perturbation des transmissions (lancer une recherche sur le mot « jamming » au sein du document). Contrairement aux systèmes analogiques en bande étroite, perturber une émission numérique à étalement de spectre n’est pas très simple. Elle demande au moins –en théorie- une source de perturbation de 30 dB supérieure à l’émetteur écouté (rappelons que les dB « puissance » sont égaux à 20log du rapport des puissances… à ne pas confondre avec les dB « tension »). Mais cette débauche de puissance n’est pas toujours nécessaire, et quelques hacks bien conçus permettent de transformer un gadget d’émission de messages sans fil très « girly »vendu dans le commerce en un redoutable perturbateur anti-gallinacés radio-actifs. Point d’émetteurs surpuissants, juste une émission de « sous-trames » expédiées au bon moment, sur la bonne fréquence. Ce serait encore plus simple à réaliser avec un SDR et un ordinateur, mais l’équipe de Matt Blaze aime les défis apparemment insurmontables.

Ce hack est, d’un point de vue technique, plus ennuyeux à résoudre que celui ayant permis au THC de duper Tetra, l’équivalent européen de ce type de réseau. Le hack de Tetra donnait à une station intruse la possibilité de se synchroniser au réseau et d’en écouter les échanges, mais seulement à partir du moment où ceux-ci n’étaient pas chiffrés. Les communications APCO sont, quant à elles, chiffrées théoriquement de bout en bout, ce qui ne semble pas trop gêner les auteurs de cette étude.

On peut également ajouter que la technique d’attaque par « sous trames » employée dans le cas présent peut être adaptée et étendue à pratiquement tous les réseaux de transmission sans fil numériques, à bande large ou étroite.

De nombreux quotidiens (dont Tech Review) se sont faits l’écho de la toute prochaine communication de Karsten Nohl, ce chercheur Allemand qui, par le passé, s’est plusieurs fois attaqué aux faiblesses tant du réseau que du système de chiffrement du GSM. Cette fois, et sans le secours de la moindre radio logicielle (Knoll explique que de simples terminaux mobiles Motorola d’entrée de gamme suffisent), le chercheur s’attaquera aux transmissions de données véhiculées sur le réseau GPRS. Un coup de maître qui, aux dires de l’intéressé lui-même, n’est pas si extraordinaire que çà puisque les opérateurs utilisent soit des mécanismes de chiffrement faibles, soit… pas de chiffrement du tout, comme c’est le cas chez certains opérateurs Transalpins. La liste exhaustive des réseaux Européens testés n’a pas été publiée, ni l’intégralité des noms des fournisseurs télécoms incriminés.

Encore un risque signé Facebook, relevé par Sean Sullivan sur le blog de F-Secure : les risques de vol d’identité biométrique via les trombinoscopes stockés et diffusés par le réseau social. Le billet en question a été écrit en réaction à un point de droit soulevé par les autorités Allemandes, lesquelles se demandent si les fonctions de « reconnaissance faciale » proposées par Facebook ne seraient pas en contradiction avec certaines directives Européennes et quelques lois fédérales. Ce à quoi Sean Sullivan ajoute que même en l’absence de toute information purement biométrique, une simple photo rendue publique peut être utilisée pour tromper certains systèmes biométriques. Des chercheurs en sécurité Vietnamiens avaient plusieurs fois, par le passé, utilisé des photos pour tromper des outils de reconnaissance faciale. Encore faut-il posséder un cliché de la personne dûment authentifié par le système. Si les bibliothèques d’image Facebook facilitent ce genre de recherche grâce à deux doigts de « social network hacking », cette dernière difficulté est balayée d’un coup de clavier magique.

Certes, la reconnaissance faciale n’est pas franchement un « second facteur » encore très répandu en Europe. Surtout comparé aux capteurs d’empreintes digitales. Mais les récents évènements laissent à penser que cela risque de devenir un outil très prisé. Particulièrement du côté des policiers Britanniques, qui font de la reconnaissance faciale (science exacte comme l’ont prouvé les spécialistes Vietnamiens) une arme anti-casseur d’une fiabilité absolue. L’histoire ne dit pas combien de manifestants sans cagoule mais affublés d’un masque de Gordon Brown sont parvenus à passer au travers des mailles du filet biométrique Britannique …