Spencer Whyte est un économe. Il aime également se lancer non seulement dans l’analyse des signaux radio, mais également dans le spoofing de tout système utilisant des transmissions sans fil.
Son dernier billet de blog explique comment, avec moins de 37 dollars d’investissement et deux sous de codes GNU-Radio, il parvient à ouvrir des portes de garage et des serrures électroniques de voitures modernes, alors que précisément, tant ces portes que ces véhicules sont protégés contre les attaques en répétition de séquence : une clef numérique différente est générée à chaque ouverture et ne peut être réutilisée.
Seulement Whyte s’est très vite aperçu que si l’on brouillait le récepteur contrôlant le système d’ouverture, la clef n’était pas changée, car elle est considérée comme n’ayant jamais été émise. En enregistrant au vol la séquence d’ouverture, elle pourra être utilisée un peu plus tard. Le brouillage du récepteur est une opération encore plus simple, puisque, pour compenser l’instabilité en fréquence du système de transmission situé dans la télécommande, le récepteur de contrôle « écoute » sur une largeur de spectre bien plus importante que ne le nécessite la transmission des informations de commande d’ouverture. Un signal un peu puissant tombant dans la bande passante du récepteur mais assez éloigné du signal de l’émetteur permettra à l’attaquant de rendre totalement sourd ledit récepteur et de récupérer au passage et sans problème les informations émises par la télécommande.
Pour mener à bien son piratage de portes télécommandées, l’auteur du hack n’a utilisé, côté réception/interception, qu’une clef DVB-T à base de chipset RTL2832U (8 dollars port compris sur eBay), un ordinateur portable et un petit module d’émission AFK (modulation de phase) également commercialisé sur les principaux sites de ventes aux enchères. Coût total, moins de 37 dollars en comptant très large. Le principe de base s’apparente très fortement aux vieilles attaques en « evil twin » sur réseau Wifi, avec un peu plus de subtilité cependant.
Une fois de plus, l’exploitation de cette vulnérabilité a été rendue possible du fait des réductions de coûts imposées par les fabricants de ce genre de télécommandes. Réductions entraînant d’importantes concessions en matière de qualité et de sécurité. Le « sans fil » est à la mode, mais la mode ne peut courber les lois de la physique et de l’électronique. Il existe un point à partir duquel il est impossible de faire à la fois peu cher et performant.
Depuis que le groupe Osmocom a publié le hack de ces petits récepteurs, il ne se passe pas un jour sans qu’un chercheur ou un amateur ne parvienne à décoder tel ou tel type de signal. Oona Räisänen est l’une des plus prolifiques en la matière. Tout y passe, y compris des systèmes que l’on pourrait apparenter à des réseaux Scada ou des liens de communication utilisés par des OIV. Signalisations aériennes, ferroviaires, maritimes/portuaires, transports municipaux, télécommandes d’automates programmables, systèmes de géolocalisation des services de police ou, plus modestement, appareils domotiques et autres objets radio-émissifs de la vie courante.
Ce qui est intéressant dans ce genre d’attaque, ce n’est pas sa technicité. La découverte est somme toute assez triviale. Ce n’est pas non plus son caractère novateur, des chercheurs tels que Räisänen, Karsten Nohl, Charly Miller ou Adam Laurie ont publié des écrits considérablement plus sidérants. Non, ce qui est impressionnant, c’est l’économie de moyen, l’aspect minimaliste de l’investissement de base, et surtout la facilité de reproduire cette attaque et de l’étendre à d’autres champs d’application. Ce genre de hacking radio à la portée des caniches pourrait fort bien inspirer des monte-en-l’air qui, jusqu’à présent, utilisent encore de coûteux systèmes importés de Russie ou font encore confiance à leur pince de carrier. Ce serait probablement un bien qui pousserait les équipementiers d’appareils grand-public d’améliorer la sécurité « informatique » de leurs produits.
Chaque nouvelle révélation tirée des fichiers Snowden semble atteindre des sommets paroxystiques tels que pire n’est pas concevable. C’est pourtant une fois de plus le cas avec Turbine, dont les détails de fonctionnement ont été publiés par The Intercept. De manière lapidaire, Turbine (superbe pseudonyme pour une machine à siphonner des données) est un formidable Botnet, un ensemble d’outils purement offensifs capables d’infecter non pas une, mais plusieurs machines distantes. Et le mot plusieurs sous-entend des milliers de postes.
L’on soupçonnait déjà que la NSA était tout à fait capable de détourner des Botnets mafieux afin de les braquer sur d’autres objectifs. La confirmation d’une telle pratique tombait d’ailleurs cette semaine sur les cyber-téléscripteurs de l’agence Reuters. Rien là que de très normal, même les truands entre eux récupèrent les zombies orphelins dès qu’un botherder disparaît, et Microsoft même, grand chasseur de Botnets, a maintes fois prouvé que la prise de contrôle de réseaux de ce genre faisait presque partie du quotidien. Alors des barbouzes, pensez donc …
Mais Turbine, c’est une cyber-arme d’un tout autre niveau, un botnet dopé aux stéroïdes anabolisants. Il possède de multiples méthodes de déploiement : emails infectés ou de phishing, faux sites Facebook et probablement d’autres méthodes de drive by download. Bien qu’avant tout destiné à espionner les principaux médias informatiques (du simple vol de fichier à l’interception de communications téléphoniques VoIP et de scènes passant dans le champ d’une Webcam), Turbine est également capable de se transformer en système d’attaque et de bloquer ordinateurs et canaux de communications qu’il surveillait l’instant d’avant ou de casser en série des communications chiffrées. Révoltante, l’idée même qu’une infection virale massive puisse frapper n’importe qui, du particulier à l’opérateur télécom, en passant par les services gouvernementaux du monde entier. Tellement révoltante que la NSA, cette autre grande muette s’est fendue d’un communiqué, lequel dit en substance qu’il n’y a actuellement aucun projet de déploiement (ce qui ne signifie pas qu’il n’y en ait pas eu par le passé) et que la diffusion de Turbine s’effectue en accord et en collaboration avec les responsables gouvernementaux des pays concernés. J’espionne tes dissidents, tu me laisses le droit de regarder un peu de partout ? Car en matière d’éthique politique, la NSA ne s’est, par le passé, pas franchement montrée très regardante lorsqu’il s’agissait de collaborer avec les régimes musclés.
Mais ce n’est pas là le plus inquiétant. La partie la plus intrusive de Turbine est son cerveau, un système-expert capable de décider, sans intervention humaine, quelle machine infecter dans le seul but d’enrichir sa propre recherche d’informations. La mise au point de cet automatisme a été rendue nécessaire en raison de l’importance des volumes de flux et de la multiplicité des origines potentielles. Aux commandes d’un appareil aussi complexe, aucun humain ne peut parvenir à appréhender l’ensemble du réseau, en obtenir une image globale, pas plus qu’il ne peut décider avec précision comment disséminer les spywares ou cibler tel ou tel protocole. Et le document révélé par The Intercept de préciser que ce système-expert sera capable de « increase the current capability to deploy and manage hundreds of Computer Network Exploitation (CNE) and Computer Network Attack (CNA) implants to potentially millions of implants ». En d’autres termes, cet automate est techniquement capable de décider, sans la moindre intervention humaine, d’injecter non seulement des spywares, mais également des exploits destinés à détruire un S.I. ou une infrastructure. Et voilà que ressurgit le mythe de la frappe chirurgicale, de la (cyber) guerre automatisée sans victime collatérale, du programme maître infaillible et parfaitement maîtrisé par ses géniteurs.
Comme d’habitude, Vupen a littéralement trusté les premières places lors du concours annuel Pwn20wn, empochant au passage la bagatelle de 400 000 dollars de prix. Une panoplie de 11 « zero day » exploitant I.E. 11, Adobe Reader XI, Chrome, Flash et Firefox sur un Windows 8 64-bits. Et, comme pour faire oublier la polémique de l’an passé, la nature technique de ces ZDE a été communiquée à chacun des éditeurs concernés. Ce geste ne vaut peut-être pas le million de dollars évoqué en 2012, mais il en approche au moins la moitié.
eWeek revient sur cet évènement avec un éclairage qui sort de l’ordinaire. L’article, signé Sean Michael Kerner, met l’accent sur les sommes mises en jeu et le montant total des primes à la découverte offertes par le Zero Day Initiative de Hewlett Packard, ex-Tipping Point : un total de 850 000 dollars de primes, une moyenne de 50 000 dollars par bug Firefox durant l’évènement, chiffre à comparer à la récompense de 3000 dollars octroyée par la Mozilla Fondation en temps normal. Et l’auteur de faire remarquer que le nombre de failles Firefox découvertes chaque année n’a fait que croître depuis que le concours a donné un peu de sel à la compétition entre chercheurs. Le principe du « no more free bug » semble être désormais acquis. Reste à savoir si cette surenchère occasionnelle ne va pas faire grimper les tarifs au cours du marché noir ou gris et assécher le flot des signalisations des défauts donnant droit aux « bug bounty » des éditeurs.
Rendez-vous est donné du 3 au 5 décembre, à Nancy, qui accueillera la seconde édition de BotConf, la conférence sécurité spécialisée dans l’étude et l’analyse des botnets. L’appel à communication vient à peine d’être lancé , la date de rendu des copies est fixé au 15 juillet prochain. Les thèmes abordés seront définitivement connus le 30 octobre.
Cinq bouchons seulement pour ce mois de mars ? Oui, mais des bouchons tellement denses qu’ils seraient bien incapables de flotter à la surface des déploiements. Le traditionnel « cumulatif Internet Explorer » bouche 18 trous, parmi lesquels beaucoup sont exploitables et jugés critiques. Au total, sont ainsi éliminées 23 vulnérabilités, dont 19 exploitables à distance, une élévation de privilèges, un risque de fuite d’information et deux possibilités de contournement de mécanismes de sécurité.
Le cumulatif I.E.est, l’on s’en doute, le plus urgent à traiter. Déjà, le mois précédent, 24 trous qui affectaient le navigateur avaient été bouchés. Cette succession de records de correctifs (42 en moins de 60 jours, soit une découverte moyenne d’une faille toutes les 36 heures) ne doit pas pour autant masquer un bug dans DirectShow (critique uniquement sur les postes clients), un autre moins dangereux dans Silverlight et deux autres affectant le noyau.
La fenêtre de vulnérabilité demeure très large, l’un des défauts d’Internet Explorer étant actuellement exploité dans la nature. Rappelons qu’a priori, ce « patch Tuesday » est l’avant-dernier correctif que les stations Windows XP devraient recevoir.
Chez Adobe, une nouvelle version de Flash Player 12.0.0.77. Les principaux navigateurs à jour devraient a priori effectuer cette mise à jour de manière automatique.
HP a publié l’édition 2013 de son rapport annuel sur les risques informatiques (inscription obligatoire). Un chiffre clef : 80 % des applications vulnérables en raison d’un « défaut de configuration par défaut »
Top4, lancé à l’occasion de la RSA Conf , est un service de test cloudifié gratuit proposé par Qualys et destiné à la sécurité du poste de travail
A la RSA Conf, Palo Alto présentait le PA-7050, un firewall de nouvelle génération rapide. La vitesse de transfert en mode firewall est donnée à 120 Gbps et 100Gbps en mode « protection totale »
Pour chaque App « offerte » de la RSA Conference, un trou gratuit,écrit Gunter Ollmann d’IOactive. L’appliquette pour appareil mobile diffusé durant la RSA Conf contenait une demi-douzaine de vulns.
Le fondateur et organisateur de la conférence de sécurité CanSecWest Drago Ruiu révélait, dans le courant du 9 mars, que la conférence d’Eric Filliol intitulée « Hacking 9/11 – The next is likely to be even bigger with an ounce of cyber » avait été annulée par le Ministère de l’Intérieur. La première réaction de la communauté fut de crier à la censure, et de rappeler que la notion de « sécurité par l’obscurantisme » était un non-sens : le côté obscur de la force réfléchit tout autant, sinon plus et peut même être plus efficace que les chercheurs travaillant en pleine lumière. Par conséquent la mise au secret s’avère rapidement plus dangereuse que sa divulgation car elle interdit de prévenir les seules personnes qu’il faille réellement prévenir du danger : les victimes potentielles.
De son côté, Eric Filliol, Professeur et directeur du laboratoire de l’Esiea rectifiait les propos de Ruiu. Il n’a jamais subi de pression, il a retiré de lui-même son projet de communication après concertation avec le Ministère Français de l’Intérieur et la Défense Américaine. Le contenu de la conférence, explique-t-il, met en relief des défauts affectant des infrastructures critiques qu’il serait assez mal venu de rendre public à l’heure actuelle .
Il faut reconnaître que le fait d’aborder des questions relatives aux opérateurs d’importance vitale (OIV) ou aux infrastructures Scada relevait du doux délire à la sauce Die Hard 4 il y a pas plus de 3 ans, et relève du Confidentiel Défense et du Politiquement sensible depuis les révélations Snowden et les recommandations récemment émises par l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi).
Pourtant, la fragilité des infrastructures vitales n’est un secret pour personne. A la fois levier terroriste et mécanisme d’intimidation politique, leur mise en danger, même hypothétique, fait trembler les gouvernements. Gardons en mémoire la menace de Timothy Leary qui affirmait vouloir verser un baril de LSD dans le « Reservoir » de Los Angeles, et le coût de l’immobilisation policière que provoquera la prise au sérieux de cette plaisanterie d’Universitaire. Plus récemment, souvenons-nous d’Al Quaïda qui menaçait d’expédier des imprimantes laser bourrées d’explosifs et déclenchées par l’horloge d’un téléphone portable. Moins virtuelles, plus récentes encore, les multiples recherches qui prouvent combien sont poreux certains routeurs pourtant réputés inviolables, ou les intrusions par simple google hacking dans des centres de contrôle de processus ouverts aux quatre vents.
De nos jours, il n’est plus nécessaire de transporter un baril de LSD (lequel n’aurait qu’à peine fait rêver quelques poissons rouges compte tenu des taux de dilution). Les drogues dures sont binaires et à portée de liaison Internet ou de communications sans fil. Les maillages de transport d’énergie qui utilisent des protocoles radio chiffrés avec des mécanismes datant des années 80, des vannes de distribution d’eau de villes comme Paris, Lyon, Berlin accessibles par simple communication modem ou paires sèches, des système de péages autoroutiers ou des réseaux de commutation de feux de signalisation régis par des électroniques et des normes qui n’ont pas changé depuis plus de 30 ans et qu’il est totalement impossible de moderniser… et ce ne sont là que quelques exemples. Contre les infrastructures vitales, donc contre des cibles informatiques précises, aucun équipement de protection n’est véritablement infaillible, surtout lorsque l’adversaire peut préparer longtemps à l’avance une panoplie de virus aux signatures inconnues et un arsenal d’attaques non référencées par les IDS et autres passerelles de protection. Il suffit que le vecteur traverse une seule fois les défenses pour que l’ensemble du système s’écroule.
Ce qui soulève à son tour une question encore plus épineuse : comment alors se protéger ? Certes, le gouvernement a entamé un grand chantier de reconstruction des défenses numériques et de protection des OIV. Mais qui sera chargé des analyses de vulnérabilités, des audits de sécurité, des tests de pénétration et de l’application des mécanismes de remédiation ? Les « grandes marques » portant le label Anssi, rompues à l’exercice des grands chantiers de certification, cela est certain. Mais restera-t-il encore de la place pour des prestataires de services de petites et moyennes envergures et souvent à haut degré de compétence ? Pour l’heure, la sécurité des OIV est la chasse gardée de ces grands opérateurs. Lesquels, par le passé, n’ont que trop rarement prouvés qu’ils pouvaient s’adapter à toutes les situations ou proposer des services à des tarifs acceptables pour des PME. Car il existe des PME dans le classement des OIV.
Autre préoccupation, combien de temps durera l’actuelle période de « paix civile numérique » que nous connaissons » ? Même si le contrat de mariage a subi de nombreux coups de canifs, même si la NSA, le GCHQ, la DGSE et autres services de renseignements du bloc de l’Ouest, de l’Est et d’Orient se promènent sur les réseaux d’entreprises et de particuliers comme en terrain conquis, le mot cyberguerre appartient encore soit à l’univers Hollywoodien de Bruce Willis, soit aux fantasmes journalistiques émis par une presse à sensation. Pour l’instant. Et en faisant abstraction des quelques brefs débordements de cyberviolence en Estonie, en Géorgie, dans les enceintes des centrales nucléaires Iraniennes.
Si l’équipe d’Eric Filliol a pu travailler et aboutir sur un sujet manifestement très sensible, peut-on sérieusement croire qu’il soit le seul à avoir travaillé sur ce sujet ? La course aux exploits, le marathon de la cyber-recherche fournit les mêmes résultats, pratiquement aux mêmes périodes, à des endroits différents de la planète. Il est excessivement rare qu’une découverte demeure longtemps unique et secrète. L’occultation de la conférence prévue pour CanSecWest ne marque qu’un sursis dans cette course aux cyberattaques. Toute la question est de savoir sur quelle période s’étendra la sécurité relative liée à cette occultation, combien de temps il faudra pour que d’autres chercheurs aboutissent à des conclusions identiques, et à quelle échéance ce secret pourra être gardé. Une fois tombé entre les mains d’adversaires potentiels, la fenêtre de vulnérabilité sera grande ouverte. Car il est pratiquement certain que bon nombre des vulnérabilités découvertes par l’équipe Filliol ne puissent être colmatées ou supprimées sans une refonte totale des S.I. et des réseaux d’automatisation desdites infrastructures. Dans le monde Scada, il n’y a pas de Patch Tuesday.