février, 2013

Le troisième (et probablement le plus retentissant) hack mobile de la semaine serait celui de Facebook qui a fait les gros titres de la presse grand public. Que Facebook se fasse compromettre, c’est le lot de tous les réseaux sociaux à usage général : les assurances de fiabilité et de sécurité énoncées par ces entreprises n’engagent que ceux qui les croient. Et en priorité les employés de Facebook eux-mêmes, puisque le trou de sécurité aurait été possible grâce à la compromission du poste de travail d’un ou plusieurs collaborateurs de l’entreprise. Compromission (via Java) qui reposerait sur un « zero day ». « Le hack a touché des ordinateurs parfaitement mis à jour et protégés par des antivirus » explique le communiqué d’alerte. On peut regretter la légèreté de ces propos, qui entretient encore dans l’esprit du grand public que le « fully patched + antivirus » constitue la ligne de défense principale d’un grand réseau de communication. Certaines idées sur la sécurité ont la vie dure au sein des directions de la communication.

Sans surprise, et avec ce même souci du détail hautement technique et de la rigueur scientifique la plus élevée, ces experts en communication parviennent à la conclusion suivante : il s’agissait là d’une attaque « hautement sophistiquée »… on est à deux doigts de voir dégainer le terme APT.

Sur le blog F-Secure, Sean fait remarquer que l’exploit Java n’aurait touché que des Macintosh, machines généralement possédées par des utilisateurs certains de la quasi inviolabilité de leurs machines. Sentiment, voire certitude, largement répandue par… les équipes marketing d’Apple, d’autres spécialistes de la sécurité des S.I. qui, des années durant, ont affirmé que l’usage même d’un antivirus était chose inutile tant le noyau OS/X était à la fois fiable et consciencieusement mis à jour.

Un autre billet de Sean fait également remarquer une petite phrase Facebookienne, qui affirme en substance que « d’autres entreprises auraient très probablement été frappées par cette attaque ». Ce genre d’annonce est généralement plutôt du ressort d’un Cert ou de l’éditeur lui-même… mais détourner l’attention des usagers pour se disculper d’une erreur de politique de sécurité semble être la dernière arme à la mode. On se souvient que cette tactique avait été utilisée il y a à peine une semaine par Twitter. Il ne faudra pas attendre longtemps pour que, 12 heures plus tard, l’on découvre que l’une des victimes de ce même vecteur d’infection qui avait touché Facebook avait également frappé … Apple. A quoi sert de développer un malware anti-pomme si ce n’est pour tester son efficacité dans le Saint des Saints de la firme des deux Steve. C’est Reuters qui révèle l’affaire. Histoire de ne pas se couvrir de ridicule, une des personnes « proches de l’enquête » et citée par l’agence de presse invoque la probabilité d’une attaque Chinoise. Il faut bien un adversaire à la hauteur des défenses inexpugnables du Macintosh pour oser faire peur à l’univers OS/X. C’est en tout cas plus reluisant que de se faire « intruser » par un quelconque c0d3rZ Russe. En toute objectivité, Reuters cite également Charlie Miller, qui rappelle que le Macintosh, du fait de sa faible visibilité dans le monde de la sécurité, et donc de la faible attention qu’il attire, est l’objet de bien des attentions de la part des réseaux mafieux. Kevin Finisterre (http://www.digitalmunition.com/_/Main.html), père du «MOAb » (Month of Apple Bug) avait, en 2007, prouvé que la découverte de trous exploitables n’était pas, chez Apple, un travail insurmontable.

Facebook ou Apple,peu importe qui gagne dans cette grande course à la vulnérabilité et aux mauvaises pratiques. La multiplication de ces mésaventures et de ces grands hacks d’entreprises et de réseaux sociaux pose à nouveau la question de l’adaptation des systèmes de protection périmétriques face à des menaces non répertoriées. 80 % de nos systèmes de défense reposent encore sur un mécanisme de signature, et ce malgré les dénégations marketing de leurs promoteurs. Cela fait plus de 20 ans que l’on parle de protection heuristique. Il serait peut-être temps que l’on y arrive. L’autre grande question que soulève à nouveau ce genre d’attaque généralisée contre un système en particulier, c’est celle de la responsabilisation d’une « certaine catégorie d’usagers ». Et c’est probablement là le défi le plus difficile à relever. Si l’on a souvent évoqué une dose certaine d’irresponsabilité chez certains usagers d’ordinateurs Apple, on voit se répandre une attitude comparable auprès de la gente Androidisée et de la population IOSisée. Plus une technologie se répand dans le grand public, plus l’empreinte des affirmations marketing est permanente, moins le discours du « minima sécuritaire » est entendu. Et contre ce genre de dérive, aucun antivirus, aucun firewall, aucun IDS ne peut faire quoi que ce soit.

Dans la sphère Apple, le hack des spécialistes du Jailbreak de machines IOS 6.1 autorise la consultation du carnet d’adresse et la composition de numéros de téléphones. Il sert à contourner l’écran d’introduction du code d’accès à l’aide de multiples opérations utilisant notamment la fonction d’appel du « numéro d’urgence ». La succession de manipulation est tellement alambiquée que l’on se croirait presque revivre la période des « easter eggs » cachés dans les applications Microsoft. Soit les hackers de JBN sont des sorciers de l’opération improbable et des dieux de la découverte des séquences de touches diaboliques, soit le trou de sécurité était intégré « by design ».

Deux hacks de « purs hackers » visant des smartphones ont fait l’objet de présentations cette semaine de la part de deux équipes de chercheurs différentes. L’une, Allemande, qui révèle comment casser le chiffrement d’un périphérique Android 4.0 et l’autre, signé JailBreakNation, explique comment contourner les protections d’IOS 6.1.

Le premier hack a fait l’objet d’une communication de MM Tilo Muller et Michael Spreitzenbarth de l’Université d’Erlangen-Nuremberg. Une version expurgée des travaux est également disponible sur le site Web de l’Université. Dans les grandes lignes, les deux universitaires se sont rendus compte que le contenu de la mémoire de travail de certaines machines Android tel que le Galaxy SIII ne se vidait pas brusquement lorsque l’on éteignait l’appareil, mais disparaissait progressivement durant les 6 secondes suivant le « shutdown ». Cette rémanence des informations peut être prolongée avec un procédé vieux comme l’invention de la mémoire C-Mos : le refroidissement. C’est donc en collant leurs téléphones-test dans un congélateur, en le rebootant, puis en interrompant le processus de boot avec un programme de leur composition que ces deux chercheurs sont parvenus à « dumper » la mémoire vive d’avant-boot… pour y récupérer notamment la clef de déchiffrement donnant accès aux données enregistrées dans l’espace de stockage permanent. Les informations disparaissant tout de même complètement après les fatidiques 4 à 6 secondes d’extinction, l’opération de récupération de la clef (à savoir la congélation de l’appareil) doit être largement préalable au reboot du téléphone : il faut le congeler avant de le vider, le téléphone n’a donc aucun lien de parenté avec les poissons.

Si ces conditions sont réunies, les deux chercheurs affirment pouvoir récupérer 100% du carnet d’adresse, des clefs d’accès Wifi, de l’historique des Apps, des « onglets » d’images prises par l’appareil, du code PIN de déverrouillage et bien sûr des clefs de chiffrement des données. Les photos haute résolution, les emails et SMS, les entrés du calendrier peuvent être extraites avec quelques imperfections, la table des appels les plus récents et les coordonnées GPS étant généralement perdues. Il est donc recommandé de se méfier de toute personne qui se promène dans la rue en traînant un congélateur.

Le programme permettant de bloquer la séquence de boot et de dumper le contenu de la mémoire (baptisé Frost, pour Forensic Recovery of Scrambled Telephones) peut être acquis par « les responsables forensique des forces de l’ordre d’Europe ». Rectification du chapitre précédent, le frigo du laboratoire mobile de l’IRCGM devra contenir un peu moins de bière.

Pour l’instant, il ne s’agit que d’une alerte portant sur deux failles distinctes affectant Adobe Reader et Acrobat XI. Alerte considérée comme « critique » car faisant l’objet d’une exploitation au moins dans le monde Windows (mais le communiqué est assez clair sur l’existence du risque sur plateforme Macintosh). Ces deux vulnérabilités peuvent être utilisées pour provoquer un crash de l’application (un déni de service ne justifie que rarement une qualification de « critique »), mais peuvent également être utilisées pour prendre contrôle à distance de la machine cible. Aucun détail technique n’est divulgué pour l’instant de la part de l’éditeur, mais l’inventeur du trou , FireEye, est un peu plus prolixe sur le sujet : l’attaque utilise un Javascript qui s’adapte en fonction de la version d’Acrobat Reader installé, contourne les protections ASLR et DEP, puis récupère une charge utile sous forme de DLL qui se fait passer pour un add-in linguistique.

Un correctif « out of band » doit donc être prévu dans les jours ou les heures qui suivent.

Le premier à avoir diffusé l’information semble être le blogueur Jim Romenesco, qui signalait le piratage des messages d’urgence de la chaine KRTV (Great Falls, Montana). Ces messages, généralement des alertes météorologiques, sont diffusés en incrustation sur les écrans des chaines TV partout sur le territoire des USA. Le 11 février dernier, l’alarme ne concernait pas une avalanche ou un risque de tornade touchant le Montana, mais l’apparition d’une horde de mort-vivants errant dans les rues de Great Falls, petite ville déjà réputée pour ses apparitions d’Ovnis et pour sa « rivière la plus courte du monde ». Le message incitait les habitants à ne surtout pas approcher ces corps, les zombies étant considérés comme extrêmement dangereux.

Le détournement de systèmes d’adressage public est un phénomène vieux comme le monde. En France, nombreux ont été les panneaux électroniques d’affichage municipaux qui ont servi à diffuser des canulars divers et autres contenus souvent provocateurs. Le hack des systèmes de prévention fait fréquemment l’objet de présentations spectaculaires lors de bien des conférences de sécurité (le système RDS notamment, en a fait les frais). Dans pratiquement tous les cas, ces attaques prouvaient qu’aucun mécanisme de protection ou de contrôle d’accès n’avait été prévu par les concepteurs du système, lesquels estimaient que le médium de diffusion était par trop technique pour être compris par d’éventuels hackers. C’est ainsi que des affichages municipaux se sont vus télécommandés par de simples Minitels et que des terminaux GPS ou RDS ont pu prendre les vessies de hackers malicieux pour des lanternes d’opérateurs légitimes.

L’histoire ne dit pas si Georges Romero , célèbre réalisateur de la « nuit des morts-vivants », a alerté le MPAA dans le but de poursuivre les auteurs de ce hack en vertu de cette évidente atteinte au droit d’auteur.

L’exposition publique d’une partie de la correspondance privée de la famille Bush fait la Une de The Smoking Gun. Un hack signé Guccifer, qui lui vaut un taux de 122000 hits sur une requête Google

Un billet sur le blog de Bit9, fournisseur d’outils et de solutions de sécurité, apprend à ses clients que son propre réseau interne fait l’objet d’une attaque en règle, et qu’au moins trois de ses clients auraient été frappés par un malware « garanti » par un certificat portant le sceau de l’éditeur. Les anciens certificats compromis ont été bien entendu révoqués, mais trop tard pour les victimes visées. Selon l’éditeur, les productions mêmes de Bit9 ne seraient pas affectées par ce hack.

Plantureux, ce correctif de février. 12 bouchons, un total de 57 CVE, et 5 rustines estampillées « critiques » laissant entendre un indice d’exploitation élevé. Ces trous dangereux concernent VML, Echange Server, Internet Explorer (13 CVE à lui tout seul), un mécanisme de décompression de fichiers multimédia, le système Windows XP. On remarquera également le bouchon MS13-016, un correctif « fourre-tout » concernant les pilotes bas niveau de Windows et offrant des possibilités d’exploitation débouchant sur une élévation de privilège : 30 CVE en un seul patch

Frère siamois du bulletin mensuel de Microsoft, celui d’Adobe ne compte « que » 17 CVE et concerne toutes les plateformes supportant Flash Player et Air. Il faut dire que c’est la seconde fois de la semaine que l’éditeur « pousse » un lot de correctifs, deux CVE exploités « dans la nature » ayant justifié la publication d’un correctifs hors calendrier. Le Psirt d’Adobe signale, pour sa part, l’exploitation « dans la nature » de failles affectant Adobe Reader ainsi que Acrobat XI (11.0.1) et versions antérieures.

Google, une nouvelle « page de bonne pratique sécurité », en Français dans le texte

MalwareByte, éditeur d’antivirus, se lance dans l’autopsie d’un malware utilisant, à l’instar des Stuxnet/Flame et consorts, des certificats légitimes. L’infection se propage via un pdf forgé et se « met à niveau » après coup.