janvier, 2013

Avalanche de Tweets et début d’une campagne de blog (via Cedric Blancher notamment) : la conférence sécurité parisienne NoSuchCon #1 vient d’être annoncée. Le lieu et la date sont déjà connus : du 15 au 17 mai prochain, sous la coupole de l’espace Niemeyer, Place du Colonel Fabien, Paris XIXème…

… là où précisément se déroulait l’an passé la conférence Hackito Ergo Sum. Et cela n’a rien de très surprenant, lorsque l’on se reporte à la constitution du comité organisateur, qui rassemble la plupart des ex-organisateurs de HES2012 : Une seule explication : HES a « forké », à l’image des différentes moutures de BSD et des engeances Linuxiennes.

Bien sûr, il n’y aurait pas de conférence sans appel à communications. Le CFP a été diffusé sur la majorité des mailing list spécialisées (Bugtraq, Full Disclo…), et laisse présager une richesse et une ouverture technique aussi variées que par les années précédentes. Les soumissions sont à envoyer à l’adresse cfp at nosuchcon.org avant le 31 mars prochain.

La création de NSC#1 ne signe pas pour autant la mort de HES annoncé une semaine auparavant : « Book your 2, 3 and 4 May for HES2013. CFP will be published in a few days ». Quelques heures après l’annonce de NoSuchCon #1, une page Web saluait très sportivement (http://2013.hackitoergosum.org/2013/01/fork-it-hes-welcomes-nsc-for-2013/) l’arrivée de ce nouveau venu et rappelait qu’en ces quelques 4 dernières années, le nombre de conférences sécurité avait considérablement augmenté. Après les SSTIC de Rennes, qui ont longtemps été la seule manifestation du genre, la Nuit du Hack a su s’imposer, passant d’une réunion quasi cryptique tenue sur une péniche au stade d’un rassemblement réunissant plus de 1500 participants. Puis est né Hackito, tout d’abord timide noyau quasi underground réunissant une centaine de personnes dans un amphi du côté de Saint Ouen, devenu en l’espace de trois ans une manifestation reconnue et remplissant la salle des congrès de l’Espace Niemeyer. Et les Rssil de Maubeuge et leur challenge Hacknowledge, puis très récemment GreHack et ses hackers alpins.

La sixième édition d’I Insomni’hack se déroulera cette année à Palexpo (sortie autoroute aéroport de Genève), du 21 au 22 mars, tard dans la nuit. Un changement de lieu qui traduit le succès grandissant de ce rassemblement réunissant des spécialistes et passionnés de sécurité informatique venant des quatre coins de l’Europe.

Déjà, par le passé, Insomni’Hack avait dépassé le stade de simple rencontre de hackers attirés par un « capture the flag ». La manifestation s’était étoffée de conférences (payantes) d’un niveau technique irréprochable mais destinées à un public plus professionnel. Cette année, le célèbre CTF Helvétique organisé par SCRT sera précédé, durant toute la journée du 21, par différents ateliers de formations techniques (sessions payantes). On y entendra notamment Paul Rascagnères qui enseignera sur les arcanes de Metasploit ou Mario Heiderich sur le pentest des applications Web (HTML, HTML5, SVG, CSS…). Prévoir entre 200 et 700 Francs suisse par participation.

Le lendemain, avant le début du concours, se tiendront de multiples conférences plus généralistes bien que toujours d’une qualité technique certaine. Paul Rascagnères reviendra sur un projet qu’il conduit déjà depuis quelques années, Malware.lu, projet qu’il avait notamment présenté lors de la précédente « nuit du hack » parisienne. L’équipe d’ID-Quantique révèlera probablement quelques mystérieux secrets liés aux réseaux quantiques et au hacking de QDK, et Bruno Kerouanton décortiquera l’infini potentiel des radios logicielles et analysera le choc culturel que provoque actuellement la déferlante des SDR à bas coût destinés initialement à la réception des émissions de télévision. Ce n’est là qu’un petit échantillon que nous réserve le programme.

Lorsque tombera la nuit (et ce jusqu’à 2 H du matin) les équipes de hackers s’affronteront pour décrocher les multiples « challenges »…

Les inscriptions doivent être envoyées par email à l’adresse insomnihack at scrt.ch, et doivent comprendre : le but de l’inscription (conférences et/ou workshop, challenge), le nom du demandeur ou le nom de l’équipe concourante accompagné des noms de chaque membre.

Un article du Threat Post commente une récente analyse (ou plus exactement un scan massif de l’Internet nord-américain) effectué par Shodan. Balayage de réseau ayant pour but de découvrir combien de composants accessibles via IP seraient reliés à des systèmes de gestion des flux d’importance stratégique (Scada). Et l’enquête de conclure que plus de 7200 points d’accès avaient été recensés. Chiffre qui peut paraître important mais qu’il serait hâtif de confondre avec le nombre de points d’accès réellement vulnérables et susceptibles d’être « intrusés ».

Reste que le précédent Stuxnet nous rappelle que rien n’est réellement invulnérable en matière d’équipements industriels sensibles. De même, expliquent les rapporteurs de cette enquête, tout nous laisse à penser que la tendance actuelle va dans le sens d’une augmentation massive de ce genre de points d’accès. « Les équipes de maintenance de ces réseaux doivent souvent intervenir rapidement à 3H du matin, et cherchent à agir rapidement sans perdre un temps précieux pour courir d’appareils en appareils parfois distant de plusieurs kilomètres » expliquent les rédacteurs du rapport. Toute la question est de savoir si une réelle analyse de risque a été effectuée lors de l’installation de ces actuateurs télé-administrables. Généralement, ce sont des soucis de rentabilité et d’économie des coûts d’administration et de maintenance qui ont présidé à ce genre de choix technique, soucis qui occultent parfois des règles de sécurité évidentes. Si, dans les années 60, une coupure d’eau/électricité ou une panne de feux de signalisation appartenait aux choses exceptionnelles et supportables même durant une période de plusieurs heures, elle semble moins bien acceptée de nos jours. C’est du moins ce qu’assurent les prestataires de services Scada. Qualité de Services versus sécurité, cette question byzantine fera couler encore beaucoup d’encre à pondre du rapport alarmiste.

Le Centre européen de lutte contre la cybercriminalité (EC3) a été inauguré le 11 janvier dernier dans une indifférence presque générale. Quelques articles ont rappelé le rôle de cette institution hébergée dans les locaux d’Europol à La Haye, aux Pays-Bas, dont nos confrères de PCInpact. Il s’agit essentiellement d’un centre de coordination des différents services de maintien du Cyber-ordre tel que notre OCLCTIC Français, dont l’influence et le périmètre d’action demeurera essentiellement européen. Une fois de plus, sont mis en avant les risques les plus médiatisés : les infrastructures Scada, les réseaux cyberpédophiles et la fraude en ligne, dont les principaux points d’origine se situent en dehors du périmètre Européen. Il n’est toujours pas prévu d’organisme de centralisation/coordination des CERT à destination grand public au sein de la C.E.

La presse Française ( tels nos confrères de Libération ) bruisse de la décision de la Cour d’Appel de Paris de poursuivre l’enquête concernant les contrats d’Amesys, alors filiale de Bull, passés avec le gouvernement Kadhafi. L’enquête en question avait débuté en 2011 suite à la plainte déposée à la fois par deux organisations, la Fédération internationale des droits de l’homme (FIDH) et la Ligue des droits de l’homme (LDH).

L’affaire en question porte, rappelons-le, sur la vente d’équipements de flicage des réseaux télécom nationaux, et avait été dévoilée par nos confrères de Reflet.info. Selon l’auteur de l’article, Olivier Laurelli, tant le gouvernement que l’ancienne maison mère de l’équipementier sont frappés d’Amnésys clinique, et semblent avoir, au moment des faits, totalement ignoré l’usage que la police secrète Libyenne allait faire de leurs appareils. Les explications les plus improbables tentant de justifier la vente de ce matériel sont avancées : invocation de la lutte contre les pédophiles et terroristes, totale ignorance des interlocuteurs commerciaux Libyens quand bien même leurs noms figureraient dans la liste des personnes accusées de terrorisme en France et également dans celle des personnes recherchées pour « actes de torture » par la Cour Pénale Internationale, invocation du fait que rien n’était ni interdit, ni illégal dans ces contrats puisque le gouvernement Français d’alors ne s’y était pas opposé….

Oracle vient de publier sa traditionnelle CPU (Critical Patch Update) de début d’année qui compte cette fois 86 corrections importantes. S’il est vain de les commenter toutes, on peut cependant mettre en exergue CVE-2012-3220 (qui touche Oracle Database Server) dont le « taux de risque » atteint 9.0 sur une échelle de 1 à 10. Ce score est atteint sur plateforme Windows. Un exploit existe, qui nécessite toutefois une authentification.

Deux autres failles menacent Oracle Mobile Database server avec un indice de 10 (CVE-2013-0361 et CVE-2013-0366), trois autres avec un indice un peu inférieur à 8 (CVE-2013-0362, CVE-2013-0363 et CVE-2013-0364). Toutes sont exploitables à distance sans authentification.

Kaspersky orchestre actuellement une campagne de presse fort bien faite tendant à expliquer que le monde en général et les élites politiques agissantes en particulier est espionné depuis plus de 5 ans par le biais d’un spyware baptisé Octobre Rouge. Le communiqué de presse est même accompagné d’une éloquente cartographie rouge vif montrant l’étendue des ravages de ce botnet sanguinaire : républiques de l’ex-URSS, pays du Golf et sous-continent Indien, USA (le Canada est épargné), ensemble des pays européens, Brésil, Australie… Inutile de préciser que l’annonce a fortement secoué le landerneau médiatico-sécuritaire qui résonne souvent plus fort qu’il ne raisonne réellement.

Pourtant, de l’avis même des découvreurs de catastrophe, ledit vecteur d’espionnage aurait reposé au fil du temps sur d’antiques failles touchant Microsoft Office (CVE-2012-015, .CVE-2010-3333, CVE-2009-3129…) ainsi que certains défauts Java, des trous colmatés depuis belle lurette… et pas le moindre ZDE. L’on sait combien sont pauvres et démunies nos administrations et combien la lenteur des rouages étatiques retarde le déploiement de patchs divers, mais on peut douter qu’Octobre Rouge soit parvenu à voler les codes secrets des plans du PC de Taverny avec de tels moyens. Il n’en demeure pas moins que pour les entreprises non protégées par les archers de l’Anssi, surtout celles de petite envergure n’ayant pas nécessairement les moyens de s’offrir les services d’auditeurs spécialisés, il peut être conseillé d’utiliser certains outils d’inventaire de failles tels que MBSA de Microsoft ou PSI de Secunia.

Guerre d’infos, guerre d’intox : de l’époque de la guerre froide à la révolution Internet, un document de l’Army War College US comptant plus de 70 pages et publié en 1998 aborde tous les aspects de l’Infowar. A récupérer sur Cryptome.

Tremblez, Cyber Citoyens ! Le monde Internet pourrait bien disparaître dans un trou noir (de sécurité) Java. Couleur logique pour un tel breuvage. Un trou ? Non, plusieurs, exploités par les hordes barbares des armées zombifiantes des auteurs d’Exploit kits. En d’autres termes, les messages des vendeurs de défense périmétrique sont d’un alarmisme proportionnel à leurs espérances de ventes.

Et en tête des cris désespérés, l’article de Kurt Baumgartner, du Kaspersky Lab, qui nous dresse une carte rouge sang de l’étendue des dégâts. Et tout en expliquant que les auteurs des kits d’exploits Blackhole, Nuclear et Red Kit ont bel et bien ajouté un « zero day » java dévastateur (CVE-2013-0422), l’auteur s’insurge sur le fait « qu’en plus » l’équipe de Metasploit avait ajouté cet attaque dans la panoplie de son outil de pentest. « Maintenant, tout le monde est armé avec la version Metasploit ». Vrai, quoi… la sécurité, la vraie, c’est celle qui n’est partagée que par des gens biens, qui conservent précieusement l’information pour que jamais elle ne tombe entre les mains du vulgare pecus. Vrai, il pourrait s’avérer aussi dangereux qu’un client Blackhole.

Information plus sérieuse, plus technique sur le blog du chercheur Français Kafeine et sa revue de détail des différents kits d’exploits capables d’intégrer cette « charge utile ». Le titre ne laisse planer aucun doute : « désactivez vos plugin Java maintenant ! ». On notera au passage que l’article de Kafeine a été publié après l’alerte de Brian Krebs. Citons Krebs une fois de plus en conseillant aux non-initiés la lecture de l’article « Comment débrancher Java de votre navigateur ».

Un troisième article de Brian Krebs, qui d’ailleurs repose en partie sur les analyses de Kafeine, rappelle cet intérêt puissant que les auteurs de kits d’exploit témoignent à Java (souvenons-nous de CVE-2012-5076) et des efforts financiers certains qu’ils prodiguent pour que les chasseurs de failles leur réserve l’exclusivité. Un des membres de l’équipe Blackhole, rappelle Krebs, lançait une offre de 10 000 $ pour tout exploit «prêt à utiliser ». C’est mieux payé que le ZDI mais probablement un peu plus risqué. Tout est histoire de chiffre d’affaire, rappelle l’ex-journaliste du Washington Post. Trois mois de location de Blackhole est facturé 700 dollars, offre qui peut être complétée par un service d’hébergement (bulletproof cela va sans dire) d’une valeur de 500 $ par mois. Soit un budget de fonctionnement minimum de 2200 $ par trimestre. Au vu du volume des vagues d’attaques, il faut croire que le client s’y retrouve largement. Symantec estimait d’ailleurs qu’un ransomware (logiciel de chiffrement prenant les données des internautes en otage contre payement d’une rançon) pouvait, en 2012, rapporter un peu moins de 400 000 dollars par mois à son « bot herder » en prenant comme base un parc de 68 000 machines compromises.

La fin du monde ? Certes non… mais l’alerte est chaude, et le risque pourrait perdurer encore un moment, estime le Sans. Achevons ce rapide tour des eschatologies binaires avec un article très clair et très vulgarisé signé Varadharajan Krishnasamy du lab McAfee, qui explique comment RedKit utilise ces charges utiles et parvient à infecter les machines mal protégées via Internet. L’exemple donné repose sur les méthodes d’attaque utilisant les CVE 2012-1723 et CVE 2010-0188, mais qu’importe l’ingrédient, les recettes sont généralement très semblables.

Nos confrères du HNS révèlent que des chercheurs de DefenseCode (des spécialistes du Pentest) ont publié une alerte accompagnée d’une séquence vidéo diffusée via YouTube montrant, sans le moindre détail technique, comment « rooter » un routeur Linksys/Cisco WRT54GL (un modèle déjà ancien mais très répandu en raison de ses capacités à recevoir des firmwares open source). Les auteurs du hack ne précisent pas quel type de noyau et quelle édition est vulnérable à ce genre d’attaque. La majorité des utilisateurs de WRT54GL (ainsi que de certains modèles G et GS) n’emploie précisément pas le micrologiciel d’origine et lui préfèrent en général OpenWRT.