septembre, 2011

ACTA : signé ce week-end. Ars Technica rappelle que le « Anti-Counterfeiting Trade Agreement » est entériné ce samedi au Japon, dans une discrétion et une opacité quasi-totale …

F-Secure vient de publier un court article sur la découverte d’un virus OSX (largueur de troyen, backdoor) utilisant un fichier pdf forgé . Les usagers de Windows ne sont plus seuls !

Piqué sans vergogne sur la liste Dailydave, ce florilège de catastrophes petites ou grandes survenues récemment dans le monde Scada :

White Phosphorus est un outil relativement récent (2010) de la panoplie Immunity Sec, société éditrice de l’outil de pentest Canvas. Ce pack d’exploit vient de s’enrichir de deux nouveaux exploits Scada, nous apprend Dave Aitel, patron de ladite entreprise

Au Chili, une coupure de courant vient, pour la troisième fois consécutive, de plonger une part importante du pays dans le noir, rapporte le Washington Post. L’attaque Scada en question est essentiellement due à la vétusté des infrastructures. La première panne avait fait la une des journaux du « 20 Heure », les suivantes n’ont pas provoqué le plus petit entrefilet sur les chaînes nationales. Une faille Scada, c’est un peu comme l’apprentissage de la boxe : seul le premier coup marque les esprits. Après, tout devient de la routine.

A Shanghai, deux rames de métro se sont télescopées, causant près de 284 victimes (blessés plus ou moins légers puisque, l’article de l’A.P. ne mentionne pas de décès). Les rames en question circulaient sur l’une des portions les plus modernes du réseau, dont le développement trop rapide aurait incité les contractants à lésiner sur les installations de sécurité. Hypothèse qui semblerait confirmée par le fait qu’au moment du crash, le déplacement des deux rames était contrôlé par liaison phonique avec le centre de régulation, et non à l’aide des automatismes classiques. Ce qui laisserait penser à une défaillance des automatismes en question, censés assurer à la fois le trafic et la sécurité de la circulation.

Encore des mouvements dans le monde de la certification… mouvement financier cette fois. Keynectis, spécialiste de la sécurité des identités et échanges numériques, annonce l’acquisition de 100% des titres de la société OpenTrust. Cette acquisition a été soutenue par d’autres acteurs financiers : Oddo Corporate Finance, Cannacord et Chamas & Marcheteau Reed Smith, partenaires financiers et conseillers de Keynectis.

Une fois de plus les machines à voter Diebold sont sur la sellette : l’équipe de recherche en vulnérabilités du laboratoire d’Argonne (département US de l’Energie) situé dans l’Etat de l’Illinois est parvenu à conduire une attaque « processor in the middle » capable de modifier l’échange de données (autrement dit le résultat d’un vote) entre le votant et la carte mère du système, via l’écran « tactile » de la machine. Cette attaque peut être lancée via un dispositif sans fil, précise l’un des participants à ces recherches. Une vidéo explicative accompagne la présentation générale de ce hack (la partie la plus intéressante débute à la 9ème minute de ladite vidéo). En outre, un long article publié dans la revue Salon donne aux non-spécialistes un avant-goût de ce que pourrait être la démocratie en 2984.

Techniquement parlant, ce n’est pas là un hack élégant et subtil… et c’est précisément ce qu’a recherché le groupe de travail d’Argonne : rien que du brutal, pas de développement de code de haut niveau, aucun investissement supérieur à 10 dollars, pas de cyberattaque complexe ou de modification tarabiscotée de l’eprom de la Diebold… mais possibilité d’effacer toute trace du hack après usage. La démonstration laisse clairement voir qu’un électeur légèrement soupçonneux se rendra compte que quelque chose de « pas normal » est en train de se passer. Mais rappelons qu’il s’agit là d’une preuve de faisabilité, et non d’un exploit consciencieusement peaufiné. Le hack en lui-même consiste à intercaler un microcontrôleur entre le circuit de saisie (la matrice tactile de l’écran) et la carte principale. Ce qui implique une ouverture du boîtier (chose plus simple à réaliser que l’on pourrait le croire) et l’insertion d’une carte entre deux connecteurs. Le firmware du microcontrôleur-intrus peut ensuite être agrémenté à la sauce préférée du pirate selon son penchant politique. Le processeur intercepte le résultat du vote puis, s’il est contraire aux opinions de son programmeur, change la séquence de sélection. L’activité et l’action dudit microcontrôleur peut même être piloté à distance à l’aide d’un petit module sans-fil (un bloc de transmission d’instrumentation VHF 432 MHz semble avoir été utilisé pour les besoins de la démonstration). L’accès aux machines à voter en dehors des périodes électorales est simple, affirment les chercheurs du laboratoire d’Argonne. Stockées dans les caves d’une école ou d’une mairie, manipulées par des employés municipaux et non des officiers de police assermentés, accessibles à de prétendus agents de maintenance… elles peuvent recevoir cette verrue électronique dormante des mois avant les échéances électorales. Le fait d’apposer des scellés à la veille des élections ne changerait rien à l’affaire… sans parler du fait que les scellés eux-mêmes peuvent être contournés : l’accès aux entrailles de certaines machines est possible simplement en ôtant le capotage du lecteur de carte à puce. Le bulletin papier imprimé au moment du vote peut lui aussi être modifié afin d’endormir d’éventuels soupçons : le connecteur reliant la machine à voter et son socle, dans lequel est logé l’imprimante, n’est absolument pas protégé.

En France, cela va sans dire, nos machines à voter d’origine US ne peuvent souffrir de ces mêmes problèmes… de nombreuses commissions et enquêtes diligentées par Madame Isabelle Falque-Pierrotin alors Présidente du Forum des Droits de l’Internet et actuelle patronne de la CNIL, ont insisté sur le fait qu’une certaine vigilance devait être de mise… sans préciser le moins du monde comment techniquement devaient être encadrés, entreposés, maintenus, manipulés ces appareils. Rappelons que les machines à voter n’ont strictement aucun rapport, aucune connexion physique ou logique avec le réseau public en général et Internet en particulier. Elles peuvent en revanche dépendre de la CNIL puisqu’elles sont susceptibles de contenir des informations nominatives à caractères personnel. En France, tout finit par des chansons et des rétablissements de cap …

Et de trois. Microsoft annonce une fois de plus être à l’origine de la disparition d’un botnet. Baptisé Kelihos, ce réseau de machines zombies comptait 41000 ordinateurs infectés, capables ensemble d’expédier jusqu’à 3,8 milliards d’emails par jour dans le cadre de campagnes de spam. Le communiqué de Microsoft laisse entendre qu’au moins une partie de Kelihos provenait des restes de Waledac, un autre réseau également pourchassé par Microsoft. D’autres attaches ont été mises en évidence, notamment avec des réseaux de revente de faux antivirus (scarewares) et de contrefaçons de produits pharmaceutiques.

Ce « petit » botnet était dirigé depuis la Tchéquie, par un certain Dominique Alexandre Piatti et « John Does 1-22 » (nom générique utilisé par les juristes US dans le cadre de plaintes contre X multiples… ici, 22 personnes distinctes). Les domaines généralement déposés par Piatti étaient officiellement situés dans le canton de Berne. Pratiquement invisible des radars traditionnels de la sécurité, la cote de popularité de Piatti est brusquement montée en flèche dès que son nom a été lâché par les avocats de Microsoft : 1,9 million de citations sur Google (généralement des recopies du communiqué microsoftien) en moins de 24 heures. Tout le monde connaît un jour ses 15 minutes de gloire.

Ce nouveau coup d’éclat, bien que pouvant être considéré comme une bonne nouvelle sur le plan de la sécurité des internautes en général, pose une fois de plus la question du rôle respectif de la justice, des polices du monde entier, des grands acteurs commerciaux du monde IT et de l’exploitation marketing de ce genre d’opération. Pour l’heure, la légitimité de l’initiative semble tout naturellement revenir aux industriels des services Internet et de la vente de logiciels, même si la justice finit par prendre le relais.

« Save the date » apprend-on en fouillant dans la liste du Bugtraq : la prochaine édition de la très parisienne conférence sécurité aura donc lieu du 12 au 14 avril prochain, dans un lieu encore tenu secret (la précédent édition s’était tenue dans les amphis de l’ESIEA). Bien que cette première annonce soit plus un appel général aux bonnes volontés souhaitant participer à l’organisation de l’évènement qu’une annonce officielle de lancement, il est d’ores et déjà certain qu’un « call for paper » suivra dans peu de temps. C’est là une opportunité pour les chercheurs Européens en général (et Français en particulier) de se faire connaître. Les communications en anglais sont privilégiées.

D’ores et déjà, certaines rumeurs laisseraient espérer la présence de quelques grands noms du milieu, originaires d’Amérique du Sud par exemple.

D’autres informations seront publiées sur le site de HES au fil du temps. Notre rédaction assurera, comme par les années précédentes, la relation des communications qui seront effectuées durant ces trois jours. Les vidéos des conférences d’avril dernier sont encore visibles sur Youtube et donneront un avant-goût de l’ambiance aussi studieuse que fertile qui fait se réunir toute la scène européenne du hack blanc.

« Save the date » apprend-on en fouillant dans la liste du Bugtraq : la prochaine édition de la très parisienne conférence sécurité aura donc lieu du 12 au 14 avril prochain, dans un lieu encore tenu secret (la précédent édition s’était tenue dans les amphis de l’ESIEA). Bien que cette première annonce soit plus un appel général aux bonnes volontés souhaitant participer à l’organisation de l’évènement qu’une annonce officielle de lancement, il est d’ores et déjà certain qu’un « call for paper » suivra dans peu de temps. C’est là une opportunité pour les chercheurs Européens en général (et Français en particulier) de se faire connaître. Les communications en anglais sont privilégiées.

D’ores et déjà, certaines rumeurs laisseraient espérer la présence de quelques grands noms du milieu, originaires d’Amérique du Sud par exemple.

D’autres informations seront publiées sur le site de HES au fil du temps. Notre rédaction assurera, comme par les années précédentes, la relation des communications qui seront effectuées durant ces trois jours. Les vidéos des conférences d’avril dernier sont encore visibles sur Youtube et donneront un avant-goût de l’ambiance aussi studieuse que fertile qui fait se réunir toute la scène européenne du hack blanc.

Il est des occasions où l’équipe de CNIS tourne 7 fois son clavier dans la prise avant que de relater une recherche en sécurité. Beast est l’une d’entre elles : une mise en scène grandguignolesque d’une attaque connue et efficace, entourée d’un tonnerre de réactions nombreuses et contradictoires.

Tout commence avec une « annonce d’annonce », histoire de faire monter le buzz en mayonnaise : attaque surprenante contre SSL/TLS bientôt disponible « at a pdf reader near you ». Si la façon de présenter la recherche est légèrement discutable, l’équipe qui en est à l’origine (Juliano Rizzo et Thai Duong) est réputée dans le milieu. Dès le 20 du mois, en attendant plus de précisions sur l’attaque en question, les spécialistes commencent à exhumer des communications portant sur des recherches analogues et visant TLS 1.0, et rappellent qu’il existe également un TLS 1.2 qu’il serait sage d’activer.

Deux jours plus tard, la thèse d’une faille « déjà connue mais intégrée intelligemment dans un vecteur d’attaque » est confirmée : les principaux éditeurs de navigateur, laissent entendre qu’une mise à jour est en préparation, l’exploit tournera peut-être à l’occasion de la communication, mais ne passera pas par eux. Reste qu’au pays des borgnes, il y a beaucoup d’aveugles. Si les principaux serveurs Web peuvent être équipés d’un HTTPS solidifié avec de véritables morceaux de 1.2 dedans, ce n’est pas le cas des clients. Au moment de l’alerte, Safari, Chrome, Firefox sont TLS 1.0. Seuls I.E. 8, 9 et Opera sont compatibles toutes versions (1.0 à 1.3) mais sont « 1.0 » par défaut et 1.2/1.3 après paramétrage. Ceci ne présumant pas du parc monstrueusement important de serveurs et de navigateurs old school qui ne seront pas mis à jour avant le prochain déluge. Remember I.E.6, aussi difficile à trucider que Raspoutine et le Canard de Robert Lamoureux réunis.

Devant un tel état des lieux, la presse s’affole, titre à l’apocalypse numérique (la dure loi du « hit »), et les deux chercheurs publient (partiellement) le fruit de leurs recherches. Lequel confirme bien que le scénario n’est pas nouveau mais que la manière de l’exploiter mérite le respect de la communauté : une attaque « man in the middle » avec changement de session SSL. Dépitée, une partie de la communauté sécurité retourne sa frustration sur la presse en général, en l’accusant de sensationnalisme outrancier : inutile de faire autant de bruit à propos de choses aussi triviales. Fi donc, pas de ZDE, rien que du connu… Much ado about nothing.

Est-ce là un enterrement de première classe pour SSL/TLS ? S’il n’est pas mis en bière, il s’en approche à grand pas. Non pas d’un point de vue technique (l’attaque MiM décrite est d’une complexité peu appréciée par les industriels du phishing et des solutions de colmatage existent) mais sous un angle humain, celui de la confiance. Pour le grand public, cette nouvelle attaque n’est pas une « nouvelle » attaque, mais la mise en évidence d’un certain dilettantisme de la part des éditeurs. C’est également là une pierre de plus dans le jardin des « machins et bidules à certifier une liaison Web ». Entre les publications de PoC à la Beast et les accidents à la Diginotar ou RSA, il devient chaque jour plus difficile à un Ministre de parler de « confiance dans l’économie numérique » sans provoquer quelques sourires narquois …

Mais le « fail » le plus inquiétant, c’est surtout celui de la communauté des chercheurs qui cherchent et qui trouvent, communauté qui vient de prouver une fois de plus qu’elle n’était pas toujours entendue. Car les fameuses recherches antérieures sur les vulnérabilités de TLS 1.0 remontent à 2006. Jugées inexploitables (au sens technique du terme) et malgré l’évolution du protocole (la « 1.2 » est disponible depuis 3 ans) elles n’ont entrainé aucune écoute attentive de la part des intégrateurs. La véritable faille qu’expose Beast, c’est toute cette perte d’énergie, c’est ce dialogue entre parties qui s’entendent mais ne se comprennent pas… c’est ce discours souvent hypocrite qui consiste à « faire de la sécurité une source de profit » (marketing) mais qui parfois reste sourd aux avertissements des savants, pour d’évidentes raisons rentabilité et d’analyse de risque. Pour ce seul motif, la « sur-médiatisation » dont on accuse Beast aurait mérité d’être cent fois plus forte.

Cody Kretsinger, 23 ans, habitant Phoenix, Arizona, a été arrêté par le FBI pour son implication présumée dans l’attaque informatique ayant fait exploser les défenses de Sony et qui eut pour conséquence l’exposition publique des identités d’une partie des clients. Kretsinger, alias « Recursion », serait coupable d’injection SQL…. Délit légèrement plus grave que l’usage décérébré d’un client L.O.I.C. (outil d’attaque en deni de services utilisé par les sections d’assauts des anonymous).

Parallèlement à cette arrestation, deux autres activistes, de Californie et de l’Ohio cette fois, auraient également été mis en garde à vue. L’information a été révélée par Fox News. Chris Doyon, le californien, est âgé de 47, Joshua Covelli, de Fairborn Ohio, de 26 ans. Mais leur participation s’est limitée à aider lors de l’attaque en déni de service. En d’autres termes, une activité de lampiste qui n’est, ni de la part des média américains, ni de celle du FBI, différenciée des actes de pénétration précédemment mentionnés. Rappelons que 16 arrestations aux USA et 15 en Europe avaient, courant juillet, été annoncées par différentes forces de cyberpolice, tant américaines qu’Italiennes et Helvétiques.

Mais l’histoire ne s’arrête pas là. Chez « sauve-mes-fesses.com », vendeur de vpn se revendiquant l’un des meilleurs outils d’anonymisation à l’ouest de la Tamise, l’on précise que « comme indiqué dans notre politique de sécurité et de préservation de la vie privée », il sera toujours répondu favorablement aux injonctions de la Cour, les« activités de notre service VPN ne pouvant servir à camoufler des pratiques illégales ». Tout en précisant que l’entreprise, toute Britannique qu’elle est, ne cèdera pas devant les intimidations d’un ordre émanant d’un pays étranger en général et des USA en particulier… sauf si un juge tout aussi Britannique sert de courroie de transmission entre lesdits USA et la juridiction de Sa Gracieuse Majesté. Et précisément, Kretsinger a semblé oublier ce genre de détail … avec les conséquences que l’on sait, nous apprend Security Weeks. Car ce sorcier de l’injection SQL utilisait ledit service commercial d’anonymisation pour perpétrer ses actes « militants ». Il est assez amusant de constater que, pour un citoyen des Etats-Unis, la Grande Bretagne est considérée comme un pays étranger, et en oublie l’expression « All your datas belong to U.S. » chère au Patriot Act. « Chaque fois qu’il nous faudra choisir entre l’Europe et le grand large, nous serons toujours pour le grand large. Chaque fois qu’il me faudra choisir entre vous et Roosevelt, je choisirai Roosevelt » disait Churchill au Grand Charles. Tous deux ont disparu, mais Albion semble demeurer une annexe domestique du grand large.

L’on ne pourrait clore cette anecdote sur un détail piquant relevé par Brian Krebs : Kretsinger (toujours lui) envisageait, à la fin de ses études, postuler pour un poste au sein du Department of Defense, voyager de réseaux en réseaux et, pourquoi pas, les administrer. Et de conclure« je pense que mon rêve ultime serait de décrocher un emploi à la NSA ou au DoD ». En tout cambrioleur il y a un policier qui sommeille… est-ce qu’en tout policier il dort un amateur de techno-braquo qui n’a jamais osé « passer à l’acte » ?