Hackito Ergo Sum, festival des attaques mathématiques ? Après la démonstration doctorale de Graham Steel, celle de Renaud Lifchitz avait presque des airs de récréation.  Intitulé « A common weakness in RSA signatures: extracting public keys from communications and embedded devices », il ne pouvait qu’intriguer l’assistance. Pourquoi s’évertuer à découvrir une clef publique, qui, par définition est publique ?
Publiques, mais pas toujours publiées, explique le chercheur d’Oppida. Particulièrement lorsque ces clefs sont utilisées dans des systèmes embarqués, des outils à large diffusion (marché grand public) pour lesquels il est pratiquement impossible de disposer de la moindre information technique poussée. Par ailleurs, bien de ces appareils ne sont pas prévus pour accepter des mises à niveau aussi importantes. En conséquence de quoi il peut arriver que des systèmes théoriquement fortement sécurisés deviennent totalement vulnérables, avec le temps et l’évolution des travaux de cryptanalyse.
Et c’est précisément en extrayant et en analysant la clef publique de ces systèmes embarqués que l’on peut se faire une idée assez précise de la solidité de l’ensemble de chiffrement. Même si, à un moment donné, un algorithme est considéré comme encore inviolé, l’on sait prévoir son espérance de survie. A l’heure actuelle, les experts ne donnent plus que 4 ans de sursis aux clefs de 1024 bits qui constituent le « gros » des standards de sécurité actuellement en service. Ce qui implique que, d’ici 4 ou 5 ans, il faudra envisager un renouvellement progressif du parc de tous les appareils utilisant de telles clefs.
Et de donner deux exemples précis : l’extraction de la clef publique à partir de deux emails signés par PGP et le reverse du système de contrôle d’accès d’immeubles probablement le plus répandu en France, les serrures VigiK.
VigiK est essentiellement une serrure commandée par une carte RFID à courte durée de répudiation (48 heures environ), laps de temps réduit pour limiter les risques d’intrusion en cas de perte ou de vol de la carte « passe partout ». Ses principaux utilisateurs sont les services postaux et les services d’urgence (pompiers, police, EDF/GDF), les seconds bénéficiant de droits d’accès plus larges que les premiers. Car un RFID VigiK peut être paramétré comme un service d’accès distant à un serveur : heures du jour, jours de la semaine, durée du bail, hiérarchie d’accès sont strictement paramétrables.
Le « jeton » détenu par le personnel des services en question n’est autre qu’une carte RFID Mifare, de la catégorie de celles qui sont réputées infalsifiables, mais dont on trouve sans trop de problèmes des équivalents pouvant être clonés sur quelques sites de vente en ligne réputés. En outre, ladite clef est partiellement codée avec une clef (vulnérable) de 48 bits. Ces vulnérabilités ne sont pas nouvelles et avaient notamment fait l’objet de communications de la part de l’équipe « Melanie Rieback et all » de l’Université libre d’Amsterdam ou du team David Naccache Jean-Sébastien Coron quelques temps auparavant. La présentation de Renaud Lifchitz donne d’ailleurs avec assez de précision à ce sujet (notamment le cassage de la clef 48 bits)
L’attaque contre le lecteur de badge, en revanche, est un peu plus complexe… mais pas impossible pour ce qui concerne l’extraction de la clef publique 1024 bits. Statistiquement, elle sera même quasiment certaine à moyenne échéance (entre 4 et 5 ans estiment les spécialistes de la cryptanalyse) et inévitable, le système VigiK étant « plafonné » par cette clef de 1024 bits. Tout prétendu audit tendant à prétendre le contraire ne serait qu’enfumage. Depuis l’aube du chiffrement sur Internet, la durée de vie des algorithmes de chiffrement prévue par les statisticiens de la sécurité s’est toujours vérifiée… parfois même les délais estimés se sont avérés bien trop optimistes en fonction de la découverte d’erreurs d’intégration volontaires ou non, ou d’associations de générateurs d’aléas moins aléatoires que prévus.
Comment pondérer le niveau de risque que révèlent les travaux de Renaud Lifchitz ? Tout dépend du contexte. Le raz-de-marée de cambriolage prévu en 2018 par certains de nos confrères mérite une citation avec palme au Grand Ordre du FUD, tout comme pourrait l’être toute affirmation contraire de la part des concepteurs dudit système. VigiK est un système destiné à faciliter l’accès de certains services d’Etat, et non de garantir de manière absolue la sécurité des foyers. Les adeptes du talonnage (tailgating) le savent bien, et les spécialistes de l’ingénierie sociale, plutôt que de plonger dans la manipulation de modulos et l’émulation de cartes Mifare, travailleront au corps soit la fleuriste de quartier, soit le vendeur de plats à emporter du coin de la rue… leurs carnets de livraison contiennent généralement l’intégralité des digicodes de leurs clients. En région parisienne, l’efficacité très relative de VigiK se mesure au poids de prospectus déposés chaque jour dans les boîtes à lettres par des entreprises de plomberie-serrurerie-charcuterie. Passons également sur les portes cochères dont le digicode/VigiK commande la gâche d’une porte également actionnée par une serrure « old school » qui ne résiste pas plus d’une minute à un rossignol.
Le risque est un peu plus prégnant pour ce qui concerne l’accès à quelques bâtiments d’Etat, bases militaires, services publics… c’est cette relative minorité d’établissements qui devra, tôt ou tard, envisager d’ajouter un second ou troisième facteur de sécurité périmétrique. L’axiome d’Edmond « bigezy » Rogers se vérifie une fois de plus, il est illusoire de vouloir renforcer une sécurité numérique au-delà de ce que peut offrir un périmètre de protection physique.
Si les grandes infrastructures ont franchement marqué la dernière édition de HES, nombreux étaient aussi les orateurs versés dans les recherches purement mathématiques frisant le travail universitaire, les descriptions de classiques attaques de réseaux en mode distant ou les analyses et audits de procédés et outils que l’on croyait (jusqu’à présent) dignes de confiance. Bref, du très classique dans ce genre de manifestation. Mais du classique qui n’est plus présenté avec le moindre accent de geekitude ou de colloration « fun and profit ». La sécurité post-snowden n’est plus « aussi » un jeu intellectuel, c’est une discipline qui doit faire preuve de sérieux, car perçue comme vaine par un public qui se sent chaque jour de plus en plus berné en se rappelant les discours rassurants d’antan. Lorsqu’une faille Heartbleed est ouvertement reconnue par les services de renseignement US comme connue de longue date et intégrée à des outils d’espionnage, comment ne pas se demander « comment une telle affaire a pu demeurer aussi longtemps dans l’ombre ? ». C’est donc un Back to Basic généralisé, comme l’on se plaît à dire dans ce patois fort prisé des X-Telecom-Minards.
Tester ce qui existe, éprouver les socles sécurisés de notre quotidien. Cela commence avec l’organisation d’un génocide visant à éliminer tous les bugs pouvant provoquer un buffer overflow. Une analyse aussi ardue que passionnante conduite par Andreas Bogk. Entre ce que programme un homme de l’art et ce que comprend et interprète (au sens « humain » du terme) un compilateur, il y a parfois des différences qui deviennent des failles conséquentes. Une promenade torride entre pointeurs et déclarations, dans un univers très FreeBSD.
Qui testera les testeurs eux-mêmes ? demande Andrei Dumitrescu, qui dissertait sur le thème « Shell WMI (Windows Management Instrumentation), une nouvelle façon d’accéder au mode commande en exploitant ce service ». L’on pense trop souvent que WMI est limité aux classiques accès « non routables » des ports NetBeui (445), à condition en outre de bénéficier d’un accès autorisé en partage de fichier. A l’aide d’un script shell, l’équipe de Lexsi est parvenu à exécuter des ordres et récupérer les ressorties du programme (via vmic), le tout exécuté sans l’aide de SMB, et, de surcroît, via le port 135. Quelques astuces, telles que l’usage de variables d’environnement « hors norme », permet de contourner certaines limitations de longueur de chaîne de caractère.
Analyse et audit des outils de confiance, encore et toujours, avec une savante intervention de Graham Steel sur les « hardware security module » que l’on rencontre notamment dans les infrastructures des distributeurs automatiques de billets (DAB). Ces HSM, seuls espaces où le code pin est susceptible d’exister à l’état déchiffré, sont des électroniques hautement sécurisées, physiquement protégées, capables de se saborder dès que l’intégrité du blindage les protégeant est compromise. La surface d’attaque est donc très réduite, se limitant aux API devant interfacer ces fameux HSM. Une démonstration mathématique relativement complexe qui passionnera certainement les cryptoanalystes du domaine bancaire mais laissera de glace encore quelques années les gourous du skimming.
Analyse et audit encore, mais cette fois des plateformes administratives capables, au Chili notamment, mais également dans d’autres pays d’Amérique du Sud, de délivrer certains documents d’Etat Civil. Jose Garduno, à force de recoupements, déductions logiques et bases de données administratives, montre à quel point le vol d’identité peut devenir un véritable sport national tant sont fragiles les garde-fous numériques qui protègent les citoyens. Nom, prénom, filiation, adresse, déclarations fiscales, plans de retraite, date de naissance, adresse email, salaire, montant des valeurs patrimoniales etc. Le Chili, c’est le Pérou pour les voleurs de données personnelles possédant un ordinateur, un accès internet et deux sous de jugeote
Parallèlement à Hackito Ergo Sum se déroulait le Hackerspace Fest, seconde édition, un patchwork de démonstrations techniques excessivement variées, allant de l’interface ECG au capteur de pression résistif, en passant par quelques expériences de biohacking ou la supervision électronique d’une antique machine à tricoter reconvertie en métier à tisser des matières « hackeusement hackables » dans la trame du tissus (fil conducteur, fibres optiques etc.).
Ces différentes présentations de travaux réalisées par les membres du tmp/lab ou du Loop étaient émaillées de conférences techniques, tantôt relatives aux travaux exposés, tantôt sur un sujet plus ou moins « tendance ». Ce fut le cas de l’atelier tenu par le chercheur Renaud Lifchitz (Oppida), sur un thème déjà abordé durant les JSSI, journées de la sécurité de l’Ossir : L’environnement radio de plus en plus difficile à protéger .
Depuis ces dernières années, les techniques « sans fil » ont connu un essor comparable à celui que connu Internet dans les années 90 : de médium réservé à un cénacle de professionnels et ne considérant le grand public que sous la forme d’un ensemble protoplasmique de consommateurs passifs de contenu généraliste. Le broadcast n’est pas encore mort, mais l’usager s’est transformé en générateur de contenu. Parfois d’ailleurs à son corps défendant. GSM, RFID, GPS, DECT, cartes d’abonnement à certains services de transport (Vélib, Navigo…), sans oublier les multiples « objets de l’Internet », miraculeuse marotte des politiques et des industriels en mal de débouchés.
Las, pourrait-on dire, si les usages ont évolué, les techniques du sans-fil ont, elles aussi, fortement évolué, particulièrement depuis la généralisation des radios logicielles (SDR, Software Defined Radio) dans le domaine général. Longtemps demeurées dans l’ombre des développements militaires et étatiques, les radio logicielles sont à l’émission-réception ce qu’étaient les « Win-modems » ou Softmodems à la fin des années 80 : des interfaces simplifiées à l’extrême, sans aucune intelligence, sans aucun traitement de signal local, confiant au processeur d’un ordinateur ce qu’aurait traditionnellement effectué un démodulateur « old school » ou un processeur de signaux (DSP). La radio logicielle, c’est exactement la même chose. Une interface simple, une démodulation ne dépendant que d’une partie « soft », généralement rapidement développée. Finis les récepteurs et émetteurs dédiés en modulation d’amplitude ou de fréquence, spécialisés dans la transmission d’images (télévision) ou de signaux numériques complexes. Désormais, une même interface peut, par simple changement de décodeur logiciel, se transformer en émetteur-récepteur télex, fax, FM, télévision, PM, AFSK, QPSK et ainsi de suite.
On comprend aisément l’engouement qui s’en est suivi. Avec de telles techniques, transformer un composant isolé et autonome en composant communiquant ne coûte plus une fortune (les interfaces SDR peuvent se limiter parfois à moins de 10 composants simples). Les marchands d’objets connectés se ruent, sans la moindre réflexion sécuritaire, sur ce pactole reposant souvent sur des besoins totalement artificiels, dont l’espérance de marges bénéficiaires est parfois inversement proportionnelle à l’espérance de durée de vie. Et qui dit marges importantes pense sacrifices techniques et compromis de développement. Les mêmes erreurs commises lors de l’essor du Web sont commises.
Car s’il devait maîtriser un savoir certain et des équipements spécifiques pour réaliser une attaque MIM sur une liaison modem dans les années 80, le hacker moderne n’a généralement besoin aujourd’hui que d’une bonne connaissance de Python et de la pratique de GnuRadio. Le prix des interfaces permettant les attaques radio, même les plus complexes, oscillent entre 8 euros (pour un simple outil d’audit large bande) à 2000 euros pour un système complet d’attaque capable de conduire une compromission en « evil twin » ou susceptible de détourner des informations. Un DDC/DUC capable de traiter 40 Megasamples par seconde et reposant sur un fpga ne coûte pas plus de 130 euros de nos jours. La majorité des systèmes les plus efficaces se trouvent dans la fourchette 150/250 euros et s’avèrent assez sensibles, assez sélectifs et assez puissants pour conduire un assaut numérique à plus de 50 kilomètres de la victime (ce paramètre dépend énormément de la fréquence utilisée). Il ne se passe plus un mois sans que l’on puisse découvrir, qui sur GitHub, qui sur GoogleCode, un nouveau développement lié aux SDR.
A ceci doit s’ajouter un autre point important. Le passage des techniques câblées aux techniques sans fil transforme des échanges autrefois quasiment invulnérables (en raison de l’obligation d’une intervention physique sur un médium parfois très protégé) en liaison tellement facile à perturber (donc à interrompre) qu’un enfant de 12 ans pourrait en être l’auteur. Or, détenir le moyen de contrôler l’accès à une richesse, que cette richesse soir des données, du gaz ou du pétrole, c’est quasiment détenir la richesse elle-même.
En outre, précise Renaud Lifchitz, les couches de sécurité que l’on colle sur les protocoles de transmission sans fil sont généralement issues du monde câblé, sans une trop grande adaptation. Pis encore, l’instabilité potentielle des liaisons radio, les perturbations probables contraignent certains OEM à dégrader les niveaux de sécurité, favorisant notamment les « replay attacks ». De la porte de garage à la demande d’allocation de canal GSM, les scénarii ne manquent pas.
«La sécurité by design n’existe pas, ou très peu, dès que l’on aborde le domaine radio, explique Renaud Lifchitz. Absence de chiffrement, d’authentification, de signature, de mécanismes anti-rejeu ou anti-brouillage (par agilité de fréquence par exemple), faible résistance au fuzzing, protocoles conçus sans prise en compte de certaines règles élémentaires de sécurité, sans oublier le fait que beaucoup succombent à la pression du time to market. Les acteurs du secteur sans-fil doivent faire des progrès, les recettes existent et son connues. »
En attendant ce jour béni où les boutiquiers de l’Internet des objets comprendront que la sécurité est synonyme de confiance, donc de développement du marché, les informations continueront à s’échapper des « tuyaux » d’opérateurs, les identités numériques risqueront de se faire piller et usurper, les contenus seront dupliqués et les outils de contrôle d’accès n’offriront qu’une illusion de protection.
C’est Laurent Ghigonis, de P1 Security, qui a ouvert le feu en s’en prenant aux serveurs d’opérateurs de téléphonie mobile : Home Location Register (HLR) et Home Subscriber Server (HSS). HLR est utilisé dans la totalité des réseaux 2G (qui sont déployés sur la totalité du territoire européen) alors que HSS est utilisé dans les infrastructures 3 et 4G. Sur ces serveurs se trouvent stockés, pour chaque appelant, ses identifiants IMSI, ses clefs de chiffrement, sa position géographique par triangulation de cellule et les « options » d’abonnements propres à leur carte SIM. Si une attaque parvient donc à impacter ces machines, il n’est pas difficile de deviner les conséquences : le réseau tout entier tombe. Après analyse des serveurs en question (des VM Oracle exécutant un noyau « unix like » standard), l’équipe de P1 Security a commencé à collecter un nombre impressionnant de failles, certaines d’entre elles faisant partie des « grands classiques » du genre, notamment des élévations de privilège assez simples, d’autres étant plus spécifiques (fuzzing de la couche SS7, protocole de signalisation téléphonique). Et c’est précisément en expédiant deux paquets SS7 forgés (les MSU, (Message Signal Unit)) que Laurent Ghigonis est parvenu à faire tomber le HLR durant deux minutes entières, deux minutes durant lesquelles aucun abonné, sur l’ensemble du territoire, ne peut recevoir le moindre appel. En injectant ces deux « MSU of death » toutes les deux minutes, le réseau d’opérateur est bloqué en permanence.
Qui peut expédier de tels paquets forgés ? Une machine intruse branchée dans le système de l’opérateur… ou une infrastructure tierce connectée directement à cet opérateur.
Et ce n’est là qu’un aspect des recherches de l’équipe Ghigonis. D’autres protocoles se sont avérés presque aussi destructeurs. Ainsi MAP (Mobile Application Part, une couche applicative SS7) qui, toujours à l’aide de paquets forgés, peut faire tomber un réseau avec l’envoi de moins de 5 MSU par seconde (avec seulement un MSU par seconde, le HLR ne répond plus à plus de la moitié des requêtes MAP, rendant le réseau difficilement utilisable). « Et n’allez pas croire que la redondance des équipements permet d’éviter ou de minimiser quoi que ce soit : même attaque, même crash sur la totalité des front-end de même type. Il suffit d’émettre autant de messages qu’il y a d’équipement ».
Les parades à de telles attaques existent. Encore faut-il les mettre en œuvre : segmenter les zones des systèmes d’exploitation utilisés par ces serveurs (essentiellement Solaris), auditer régulièrement l’infrastructure, inciter les fournisseurs à appliquer le plus rapidement possible les correctifs chaque fois qu’une faille est découverte, améliorer le contrôle et le filtrage du trafic entrant, mettre en œuvre systématiquement des mécanismes de renforcement de la sécurité système, pourtant classiques (ainsi ASLR), installer un firewall sur la machine elle-même pour bloquer des attaques « intra muros » aboutissant sur le réseau d’infrastructure par un moyen insoupçonné…
L’attaque des serveurs est trop complexe ? Cherchons un moyen plus direct et plus pratique, disent Hendrik Schmidt et Brian Butterly  d’ERNW. Leur intervention, intitulée LTE vs Darwin. La norme LTE (Long Term Evolution) ne semble pas franchement suivre avec rigueur les principes du père de l’évolutionnisme et contient en son patrimoine génétique pas mal de défauts pouvant conduire à son extinction. Et l’une de ces vulnérabilités se trouve sur les toits d’immeubles, entre l’antenne et le boîtier 3G/4G qui, comme tous les équipements de ce type, disposent d’une prise Ethernet, porte ouverte au réseau amont de l’opérateur. Le « tout IP », si pratique si économique, peut parfois coûter cher. D’autant plus que de relativement monolithique, les ramifications des réseaux de téléphonie mobile se diversifient. Aux cellules traditionnelles se sont ajoutés des relais, des picocell, des femtocell, autant de points de vulnérabilité potentiels. Schmidt et Butterly avaient déjà présenté leurs travaux durant la dernière Schmoocon et leur intervention filmée. A récupérer dans les fichiers d’Archive.org.
Le troisième et dernier jour de la conférence donnait le coup de grâce à l’apparente invulnérabilité des réseaux d’opérateurs, avec une description détaillée, par Pierre-Olivier Vauboin et Alexandre De Oliveira (P1 Security), des protocoles utilisés lors de l’expédition d’un SMS et une description toute aussi précise des vulnérabilités prévisibles. A grand renfort de scan, les deux chercheurs ont montré comment cartographier un réseau SS7, suivre à la trace certains abonnés et leur expédier des SMS « spoofés » et autres avalanches de spam.
C’en est presque devenu une tradition pour HES, la responsabilité de la conférence d’ouverture a échu une fois de plus cette année à Edmond « bigezy » Rogers. Et une fois de plus, son discours utilisait comme toile de fond les hiatus et les trous (souvent béants) de sécurité rencontrés dans le secteur de la distribution d’énergie. Il faut, explique-t-il en substance, admettre que les défauts existent à tous les échelons, tant numériques que physiques. Pour quelle raison ces défauts de sécurité ne sont pas colmatés dès leur découverte ? L’an passé, Rogers avait abordé les problèmes d’économie d’échelle et les sommes colossales qu’entraînaient certaines mises à jour d’équipement. Mais aujourd’hui, il ajoute la part de réalisme cynique dont font preuve les directions générales. Les chantiers sécurité, explique-t-il, sont trop souvent réduits à un simple calcul de risque. Tant que le risque estimé est pondéralement inférieur aux coûts d’une modernisation, l’infrastructure demeure dans son état d’origine.
Il faut également savoir admettre, ajoute Rogers qu’il est impossible de viser un état de perfection en matière de gestion sécurisée des réseaux de communication ou d’automatisme au sein des infrastructures importantes, Scada ou autres. Et il est difficile de situer les limites de cette quête. « A mon avis, déclare Rogers, (et de montrer un grillage surmonté d’un boudin de chevaux-de-frise protégeant un centre de distribution électrique de la région de Chicago), la sécurité informatique doit être renforcée, mais pas au-delà ce que peuvent assurer les mesures de sécurité physique telles que celle-ci. Perfectionner les défenses numériques au-delà de ce point est inutile et n’est que la traduction d’une peur fantasmée, celle du script-kiddy qui, de sa chambre, peut atomiser l’alimentation en énergie de tout un pays. Il n’y a pas de raison qu’il puisse y avoir plus de risques liés à un accès direct que de dangers de voir se dérouler une intrusion réseau »
Bien entendu, il ne s’agit là que d’une formule, qu’il serait peut sage de suivre au pied de la lettre. « Security is a process » dit le mantra de la profession. Avec la popularisation de l’informatique personnelle, il y a dans la nature plus de personnes capables de pénétrer l’enceinte virtuelle du S.I. d’un centre de distribution en énergie que de gens assez qualifiés pour couper une ligne 400 kilovolts sans se faire réduire en cendres. Mais l’esprit est là  : trop de sécurité informatique non seulement ne sert à rien passé un certain niveau d’investissement humain et financier, mais encore risque de procurer un sentiment de fausse sécurité en faisant oublier que le monde numérique n’est qu’un des aspects de la protection périmétrique.
C’est donc un HES très « OIV/Scada » qui s’est déroulé cette année, pratiquement un virage lof pour lof si l’on se rappelle de la coloration « hardware hack/Sploit SDR » de l’an passé. Les Snowden files ont modifié le paysage sécurité international, les Etats-Nation voient des ennemis (voire des terroristes) partout, les chercheurs en sécurité cherchent là où le vent des inquiétudes de leurs clients les portent, en priorité vers les « bijoux de la couronne » desdits Etats-Nation, les opérateurs d’importance vitale, les infrastructures Scada.
Insomni’hack a achevé son cycle de conférences avec l’intervention très attendue d’Adam Laurie, pour une fois non accompagné de son « hardware guy » Zak Franken. Depuis quelques temps, ce spécialiste des RFID s’est engagé dans le lancement d’un « kickstarter » baptisé RFIDIer, à la fois un lecteur, enregistreur et émulateur d’étiquettes RFID … et qui fonctionne. Laurie clonera, en fin de conférence et en moins de 15 secondes, la carte d’accès d’un OIV important situé en région Grenobloise. RFIDIer n’est rien d’autre qu’un SDR, une radio logicielle, spécialisée dans l’attaque des RFID sur 13 MHz. Le fait que la section analyse-démodulation-décodage-émulation-modulation de signal soit purement logicielle donne à cet outil la capacité de travailler même sur des étiquettes radio hors protocole connu, hors norme définie. C’est d’ailleurs en expliquant les principes de l’analyse des signaux en bande de base que le père de RFIdiot débute sa conférence : afsk, fsk, psk, codage NRZI et autres Manchester ou Bi-phase. Les principaux moments de cette conférence sont détaillés sur le blog de l’auteur, sous le titre évocateur de « the long dard tea-time of the blog ». Les lecteurs du Douglas Adams et les fans de Dirk Gently apprécieront.
En moins d’une heure, le Hacker holistique massacrait allègrement toute trace de confiance aveugle que l’on pourrait encore avoir en ces véhicules de « l’internet des objets ». La généralisation des RFID est probablement la plus grande opportunité offerte par les lobbies du commerce et du micro-payement aux escrocs en tous genres, aux collectionneurs de données personnelles et aux cambrioleurs qui trouvent plus simple de clôner une clef en plastique plutôt que de varapper sur une façade d’immeuble. Car toutes les cartes ne seront pas égales devant les dieux du couplage magnétique. Certaines sont très bien conçues, protégées, chiffrées, très difficilement contournables, d’autres sacrifient la sécurité aux prix de revient ou sont conçues par des équipes qui écartent d’un revers de main toute probabilité d’attaque matérielle. « Trop complexe, trop coûteuse »… Il y avait une époque avant GnuRadio et les SDR d’entrée de gamme. Mais ça, c’était il y a longtemps.
Alors que Laurie copiait sans vergogne cartes d’accès et jetons de péage, Bruno Kerouanton intriguait l’assistance avec une autre forme de hack radio (voir photo). Un court message en AFSK était diffusé sur une portion libre de la bande FM dans le cadre très restreint de l’enceinte de conférence. Le ton était donné : Kerouanton, le plus breton des hommes sécurité Helvétiques a disserté sur l’esprit hacker, sur cette quête perpétuelle de la connaissance intime des techniques en général, sur ce désir de détourner et de comprendre « for fun and profit ». Est-il surprenant alors que Bruno Kerouanton ait joyeusement mélangé le décodage d’un signal « pirate » à l’aide d’un récepteur SDR, la composition d’œuvres musicales numériques ou le monde des jeux époque Commodore 64 ? Une vidéo de cette présentation peut être trouvée en parcourant Internet… aux plus « hackers » dans l’âme de la trouver.
Ange Albertini, un autre habitué des conférences sécurité, avait impressionné l’assistance de Hack in Paris l’an passé sur son art de faire contenir pratiquement n’importe quoi à un fichier EXE. Depuis, ce chercheur s’est évertué à diversifier son art du camouflage et du « même », faisant passer des vessies pour des fichiers pdf et des documents stéganographiques parfaitement chiffrés pour des lanternes parfaitement lisibles par des yeux non experts. Cette science de la structure des fichiers est détaillée au fil de ce qui doit être probablement le « slideware » le plus volumineux de l’histoire des conférences sécurité. Rappelons au passage l’impressionnant travail de reverse engineering que ce chercheur a effectué dans le domaine des jeux d’arcade.
Nicolas Grégoire, dont la réputation de tueur de MSXML a largement dépassé les frontières Européennes, montrait comment gagner honnêtement sa vie de chercheur grâce aux « primes aux bugs » offertes par les entreprises et organisations telles que le Zero Day Initiative, tout en dénichant des défauts ne nécessitant ni analyse poussée à grands coups d’IDA Pro, ni exploitation de vulnérabilité en mode « client side attack ». Quatre « victimes expiatoires », Oracle, Xalan-J, Prezi et YQL ont été ainsi donnés en exemple. Et l’on apprend, par exemple, que certains services en ligne utilisent des versions de code réputé vulnérable, quand bien même des éditions plus récentes corrigées seraient disponibles dans le commerce. Une bonne connaissance de l’histoire des failles, un examen attentif des applications accessibles sur Internet, un travail de bénédictin, la recette qu’applique nicolas « nicob » Grégoire depuis des années fait de lui l’un des chasseurs de failles
Insomni’hack, le rendez-vous Genevois de la sécurité, tourne de plus en plus au cas de conscience. Déjà , l’an passé, le succès de cette manifestation avait contraint les organisateurs à créer deux trains de sessions simultanées. Cette année, trois conférences se déroulaient en même temps, plongeant les participants dans des situations cornéliennes : suivrais-je les propos de Nicob ou ceux de Sébastien Bombal ? Adam Laurie ou Bruno Kerouanton ? Nul ne pourra donc résumer tout ce qui s’est dit avec impartialité, chacun aura le regret d’avoir « manqué » quelque chose, tant les sujets abordés étaient aussi intéressants les uns que les autres
C’est Mikko Hyppönen qui ouvre la plénière en tirant sur tout ce qui bouge, et plus particulièrement sur Google et sur la récupération d’Internet par les agences de renseignement des Etats-nations. «Nous souhaitions un formidable outil de communication et de transparence » explique Hyppönen, « nous ne nous doutions pas que le mot transparence servirait à annihiler la fois tout (ou presque) ce qui constitue notre vie privée et une grande partie de ce qui fait notre richesse professionnelle, et cela en moins de 10 ans». L’internaute, personne privée ou entité professionnelle, est pris entre le marteau des collecteurs de données dans la course au Big Data et l’enclume des partisans d’un internet policé et parfois policier.
Existe-t-il alors un moyen de retrouver un minimum de sécurité ? Peu probable estime le patron de la recherche F-Secure. Outre l’alliance objective qui lie la NSA et les grands éditeurs US (eux ou leurs failles si opportunément exploitables), l’on doit ajouter les attitudes « patriotiques » qui gangrènent plusieurs acteurs du monde de la sécurité. Interrogés sur leur capacité à bloquer des virus « d’agences à trois lettres », plusieurs d’entre eux (dont McAfee et Symantec) ne souhaitent pas répondre. Déjà , au tout début des révélations Magic Lantern (il y a de cela 13 ans), le patron de Symantec avait affirmé sa volonté de «collaborer avec les autorités de son pays et ne volontairement pas souhaiter détecter des armes numériques d’espionnage diffusées par son propre gouvernement». Cela n’a pas franchement, d’ailleurs, modifié les habitudes d’achat des entreprises Européennes… pourquoi en serait-il autrement de nos jours ?
Mais qui doit-on craindre le plus ? Poursuit Mikko Hyppönen. Les barbouzes des pays étrangers, qu’ils soient Chinois ou nord-Américains ou celles de nos propres pays, qui, pour beaucoup, ont signé des accords occultes avec la NSA. Si l’on excepte quelques protestations de pure forme émises au moment des révélations Snowden, peu de choses ont changé. Tout au plus la Maison Blanche a promis de mieux règlementer les écoutes envers ses propres citoyens… le reste du monde demeure encore sous la menace de cette inquisition permanente. Internet s’est transformé en un panoptique policier, et rares sont les pays d’Europe qui en réchappe. La Finlande fait figure de thébaïde, elle qui ne fait partie ni des five eyes de l’alliance originelle UKUSA, ni des nine eyes englobant la Norvège, la France, la Hollande et le Danemark, ni les 14 eyes, qui comptent dans leurs rangs l’Allemagne, la Suède, l’Espagne, la Belgique et l’Italie.
Et cela n’est rien comparé à l’espionnage permanent et « très près du corps » auxquels s’adonnent les géants d’Internet. Hyppönen enchaîne : « … Et Google en particulier, entreprise qui n’est ni un prestataire de services internet, ni un diffuseur de logiciels, ni un moteur de recherche… c’est la plus grande agence de publicité au monde, c’est de là que vient sa fortune. Cette entreprise n’existe que par la vente de réclames visant un public ciblé. Et les méthodes utilisées par Google pour profiler ses cibles sont de plus en plus sophistiquées, de plus en plus performantes, à tel point qu’elle peut, aujourd’hui, se moquer totalement des précautions d’anonymisation et des outils de masquage d’identité. La puissance de ses outils dépasse l’entendement. Rendez-vous compte que la facture annuelle d’électricité de Google est de 100 millions de dollars. Oubliez les investissements en développement, en achat de plateformes de traitement, en recherche, en marketing, ne gardez à l’esprit que ce chiffre : 100 millions de dollars d’électricité par an. Et nous utilisons leurs services logiciels, Google Analytics, leur moteur de recherche, leurs navigateurs qui, tous, sont gratuits. Du moins c’est ce que nous imaginons. Quelle entreprise peut dépenser des milliards de dollars en frais de fonctionnement et survivre en diffusant des produits totalement gratuits ? Mais rien n’est gratuit chez Google. L’entreprise déclarait un chiffre d’affaires de 60 milliards de dollars l’an passé. Leurs bénéfices atteignaient 17 milliards de dollars. Si l’on rapporte ce chiffre au nombre d’usagers des services, j’en conclus que chacun d’entre nous « pèse » 17 $ de bénéfice net pour Google. Il n’y a donc rien de gratuit, certainement pas leurs services. Et encore dois-je préciser que ces grands moissonneurs de données et spécialistes du profilage publicitaire (Google, Facebook, Twitter, Yahoo…) ne sont pas, et de loin, les plus intrusifs, car ils savent les limites à ne pas franchir, celle qui, une fois dépassée, provoquera le départ de l’usager. D’autres, moins connus, moins scrupuleux, et ce particulièrement dans le monde des applications mobiles, obtiennent des profils encore plus précis. De géopositionnement en appliquettes communautaires (voir communautaristes), ces diffuseurs de quasi spywares sociaux pour accro de la mobilité finissent par tout connaître de vous, votre religion, vos habitudes de déplacement, votre métier, vos loisirs, certaines de vos opinions ou actions les moins avouables que même vos proches ne soupçonnent pas.
Le milieu mafieux profite également, et probablement plus encore, de ces nouvelles technologies. Les « mining trojans, banking trojans » et autres malwares non seulement vous profilent mais volent votre argent, vos données, ou les prennent en otage, moyennant rançon. Il est, dois-je préciser, que leur degré de fiabilité et d’honnêteté est très élevé lorsqu’il s’agit de fournir la clef qui déchiffrera les documents chiffrés par leur soin. Leur expertise en matière de profilage également, car plus que toute entreprise de sécurité, ces filières mafieuses savent mieux que quiconque que les victimes les plus vulnérables, les plus promptes à payer sont les entreprises, plus que les particuliers. Des entreprises qui ne possèdent que très rarement des sauvegardes, les pirates d’Internet le savent pertinemment.
Ce qui rend la situation insupportable n’est pas la prétendue découverte de cette délinquance sur Internet. Elle existe depuis longtemps, elle s’adapte techniquement à son environnement, exploite la peur des gens, profite des attitudes et des décisions légales irréfléchies des politiques (combien de virus « chiffreurs » se réclament qui de l’Hadopi, de la police de tel ou tel pays ou de telle célèbre agende de renseignement). Ce qui exaspère le plus les usagers c’est que l’on puisse imaginer que nos propres services de police puissent utiliser les mêmes méthodes que celles employées par ces réseaux mafieux sous le seul prétexte et avec la seule justification que cela est techniquement possible. Une surveillance générale d’autant plus facilité que toutes nos communications s’effectuent « on line » désormais. Nous n’avons pas construit Internet pour qu’il se transforme en un outil de surveillance permanent entre les mains des Etats. Et c’est ce qu’il est devenu. La situation n’est pas Orwellienne, Car Orwell, en écrivant 1984, n’imaginait rien de pire qu’une télévision examinant les spectateurs lorsque ceux-ci regardaient la télévision. Si la surveillance tant des Google, des Etats, des services de police, des organisations mafieuses se limitaient à ça, la vie serait bien plus agréable et nos libertés individuelles bien moins menacées. Pour Orwell, le danger se limitait à la surveillance et à la connaissance des actes des citoyens. Avec les outils d’analyse de données massives, les entreprises et institutions qui exploitent ces outils de surveillance d’Internet parviennent collecter ce que nous pensons, les interrogations que nous nous posons. Le moindre problème personnel ne se résout plus en allant consulter les anciens du village ou quelque parent, mais en posant directement la question à quelque chose « who’s name begins by Go… and who is not God ».
Â
Un thème récurrent qui a encore toute sa place face à l’ouverture du SI. La tendance à la consumérisation des outils de travail, au Bring Your Own Device, au BYO ID dorénavant, l’utilisation intensive des réseaux sociaux dans le business, l’ouverture du SI aux partenaires et fournisseurs sont autant de nouvelles préoccupations en termes de sécurité pour la DSI sans compter l’employé désormais mobile. Quels risques ? Quelles menaces ? Comment se défendre ? Etat de l’art des vulnérabilités potentielles et conseils et solutions.
Exceptionnellement afin de fêter la trêve estivale, à l’issue de cette matinée, autour d’un verre de champagne nous procéderons à un tirage au sort avec à la clé le Nouvel ipad et d’autres tablettes sous Android à gagner.
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question des changements d’habitudes sociétales qui ont permis de faire entrer dans le système d’information les réseaux sociaux, la consumérisation des équipements et ce, en plus de la mobilité des employés quand ils ne travaillent pas de chez eux … Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
Â
Â
Un thème récurrent qui a encore toute sa place face à l’ouverture du SI. La tendance à la consumérisation des outils de travail, au Bring Your Own Device, au BYO ID dorénavant, l’utilisation intensive des réseaux sociaux dans le business, l’ouverture du SI aux partenaires et fournisseurs sont autant de nouvelles préoccupations en termes de sécurité pour la DSI sans compter l’employé désormais mobile. Quels risques ? Quelles menaces ? Comment se défendre ? Etat de l’art des vulnérabilités potentielles et conseils et solutions.
Exceptionnellement afin de fêter la trêve estivale, à l’issue de cette matinée, autour d’un verre de champagne nous procéderons à un tirage au sort avec à la clé le Nouvel ipad et d’autres tablettes sous Android à gagner.
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question des changements d’habitudes sociétales qui ont permis de faire entrer dans le système d’information les réseaux sociaux, la consumérisation des équipements et ce, en plus de la mobilité des employés quand ils ne travaillent pas de chez eux … Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
Â
http://bruno.kerouanton.net/blog/2014/05/07/building-trust-in-a-connected-world/
I was recently invited as a panelist expert at CIO Forum (the VIP event for selected CIOs within EMC World, Las Vegas), in duo with RSA’s chairman Art Coviello, and we were interviewed by CBS News’s famous correspondent Richard Schlesinger (9 Emmy Awards, wow!)
The topic Art Coviello wanted to talk with me, is « intelligence-driven security », as RSA’s vision is now empowering storage and big-data to collect as much data as possible from different sources, analyse them and try to detect abnormal digital behaviors, on servers or networks.
I strongly agree that for now, the only realistic way to detect APT is by doing so. All the infosec industry starts realizing that detecting anomalies on a single device such a PC with an antivirus or isolated detection systems isn’t enough against new forms of cybercrime, and that signature-based detection is just becoming unpractical. Even Symanted told publicly a few days ago that the legacy antivirus concept was dead.
Obviously, that kind of data collection and deep-packet inspection means a total loss of privacy as users are being continuously monitored. Thanks to Richard Schlesinger, I was able to develop this important topic, and how IT industry could help to improve privacy while preventing cybercrime.
I quoted the just-released White House report on Big-data and privacy, explaining that even Obama’s governement started realizing it was becoming hazardous to let private companies and the government do big-data analytics on people as they do it now and in the future. The report gives several recommendations (starting p.68) about what to do, and notably by protecting children, preventing discrimination, and extend privacy to non-U.S. citizens, which is a really good step forward (but those are only recommendations for now).
The reason all non-U.S. citizens are so angry about U.S. Government and private companies collecting data, is that we (Europeans) do not have the same definiton of Privacy. In the States, and contrarily to popular belief, people do care about privacy, but not the same way as us : In Europe, privacy is about personal data collection. In the US, privacy is about personal data divulgation. Which is totally different, because it means Americans do tolerate data collection and analysis of their digital activities and behavior, but are in the same position as europeans if for any reason this data (or related data) is disclosed against their will.
That explains a lot the reason why so many US projects at Google, Facebook, Apple, and everywhere else don’t really care about the negative impact of data collection and analytics : they focus on IT security to protect that data and the resulting analysis, and keep claiming that they really care about privacy. Which is right at some point, because privacy is -for them- only related to unintended divulgation of personal data. That also explains why strong leaders such as Art Coviello, and his company RSA are pushing forward the intelligence-driven security model : for them, doing so is not directly related to privacy, since data collected is not supposed to be disclosed but only serves at detecting and remediating cyber-risk. Like as in an antispam, that scans emails to detect anomalies, but on a much more larger scale as it embraces the whole Internet. So they really feel doing things rights, and I believe their sincerity on that point, when they say they don’t intend to harm people’s lives, but try to protect them (even if the way to achieve it is not the right one, as the consequences can be dramatic).
So the issue is « only » related to a difference of what privacy is really about.
But there’s more ! Let’s talk about trust, and take an analogy with people like you and me : when you fall in love, your blindly trust your partner. If he or she betrays you, it’s a major desillusion that can definitely harm the relation and could take years to forget (or can never be rebuilt), as trust is destroyed. People fell in love with Internet, so they blindly trust it (explaining the reason they put so much private information everywhere on the Internet, starting by search engines that know you better that your beloved partner !). So, Internet has the moral duty not to betray them as it has a special relationship with everyone of us, as would have any partner we love.
All companies, institutions and governments making the Internet happen should act in accordance with this principle.
The solution it to safekeep trust. I’ve changed my Twitter profile as I now no longer use the term « security » in my description : Building trust is much more powerful for me, as it embraces both security and privacy. Bringing trust to individuals and all Internet users, whether or not they are people or companies or institutions, is having the right balance between security (to protect data) and privacy (to protect people).
Thank you for reading. Spread the word, and feel free link to this page or quote the contents. Because trust matters !