août, 2014

Conséquence de l’effet Sino-Snowdenien et d’une longue tradition de méfiance envers tout ce qui ne vient pas de l’Empire du Milieu, l’administration Chinoise, nous apprend le Quotidien du Peuple interdit aux fonctionnaires l’usage des logiciels antivirus édités par Kaspersky et Symantec. La liste officielle des outils de protection est précise : Qihoo 360, Venustech, CAJinchen, Beijing Jiangmin et Rising.

Interviewés par les reporters de Bloomberg, les responsables de Symantec ont affirmé que leurs programmes « ne comportaient pas de fonctionnalité cachée ». La direction de Kaspersky, nettement moins maladroite (et probablement plus au fait des attitudes politiques à observer dans le cadre d’une économie collectiviste) s’est contentée d’un très discret « nous travaillons sur la question ».

La réaction de Symantec est d’autant plus puérile et irréfléchie qu’en matière de sécurité, la dénégation d’une menace non formulée est pire qu’un aveu. Par construction, un antivirus est à la fois un rootkit et une backdoor. Quand bien même il ne comporterait aucun code malveillant, que ce que peuvent « pousser » les serveurs de mise à jour de signatures constituent une menace si l’on n’est pas soi-même maître du contenu expédié par lesdits serveurs. C’est d’ailleurs ce qui avait poussé la France à envisager la création d’un antivirus bleu-blanc-rouge, ni moins bon, ni meilleur que ses concurrents, mais dont l’infrastructure de mise à jour serait maîtrisée.

En outre, des années durant, la direction des différents éditeurs de logiciels de protection périmétrique US ont affirmé haut et fort qu’il était de leur devoir de patriote de se réserver le droit de ne pas bloquer qui un Magic Lantern, qui un Carnivore, qui un des nombreux outils développés par la NSA et récemment dévoilé par la publication des fichiers Snowden. Nul n’est besoin de « backdoor » pour pirater un ordinateur distant lorsque l’on est éditeur d’antivirus. Il suffit de « laisser passer », avec ou sans l’approbation d’un juge, certainement sans en avertir un quelconque ambassadeur. Sur ce point, le gouvernement Chinois est plus pragmatique que ses homologues Européens. Pour Symantec, il est difficile, voire impossible, de se refaire une virginité et tenter de conquérir des marchés étrangers après avoir, des années durant, joué la carte de la collaboration avec les autorités Fédérales.

Chaque année, entre la dernière semaine de juillet et les premiers jours du mois d’août, les thèmes des conférences données à l’occasion des BlackHat, DefCon et autres erratiques CCCcamp font la joie des médias qui affichent du sang numérique sur 5 colonnes à la Une.

Ainsi ComputerWorld, qui titre sur la liste des « automobiles les plus facilement piratables » . Entre RFID et liaisons Bluetooth, l’électronique sans fil est de plus en plus souvent intégrée dans cet univers mécanique. Dans ce cas précis, l’article fait référence aux derniers travaux de Charlie Miller et Chris Valasek (IO Active), qui avaient notamment fait l’objet d’une présentation par Miller à l’occasion de la dernière Insomni’hack de Genève. Rappelons également que l’intrusion d’un véhicule à l’aide de moyens radio de fortune avait été décrite et expérimentée par Adam Laurie (Hackito Ergo Sum 2012) et que la compromission des systèmes antivol via le bus de diagnostic automobile ODB2 avait fait l’objet d’une présentation par Karsten Nohl durant Hackito Ergo Sum.

20 minute, pour sa part, sort un véritable scoop : « Une faille de sécurité permettrait de hacker 2 milliards de smartphones » . Le scoop, tout le monde l’aura compris, c’est l’usage du conditionnel dans le titre. La présentation est signée Mathew Solnik et Marc Blanchou, deux chercheurs qui maltraitent la plateforme Android depuis quelques années et ont acquis une réputation certaine. Cette fois, nous apprend l’article original de Wired,, les deux chercheurs se sont penchés sur les outils d’administration des parcs de terminaux mobiles utilisés par les opérateurs. Les éditeurs de tels logiciels ne sont pas légions. Une faille dans le mécanisme d’authentification entre client et serveur, une femtocell compromise (ou un openBTS), et l’on peut prendre la main sur les terminaux passant à portée d’antenne pour « pousser » des mises à jours maléfiques… ou pas.

D’autres média grand-public trempent avec délice leur plume dans du pur extrait de concentré d’anxiogène. La chaine Canadienne CBC News titre « Les avions peuvent être hackés via leurs bornes Wifi ». Chaque année, l’aéronautique fait les frais d’articles de ce calibre. Inutile de prévoir l’achat d’un parachute ou la fin de l’article pour apprendre que « le risque est très faible » (sic), ce n’est là qu’une énième communication sur la vulnérabilité des femtocell reliées à un uplink satellite qui équipent certaines compagnies. Celui qui pourrait le plus en souffrir serait le directeur financier de l’entreprise télécom chargée de cette infrastructure. Mais soyons rassuré, au prix auquel est vendu la minute de communication dans un aéronef, ce n’est pas demain que ces prestataires friseront le dépôt de bilan.

Cela n’enlève rien à la qualité du travail de Ruben Santamarta (IO Active encore), qui a donc essentiellement travaillé sur les équipements de liaisons satellites, systèmes perclus de failles de sécurité longtemps laissées béantes sous prétexte que leur exploitation exigeait des moyens techniques de haut vol. On disait ça aussi des liaisons Wifi à leurs débuts.

Ouvrons ici une parenthèse pour saluer la prodigalité d’IO Active durant cette édition 2014 de la BH et de Defcon. Pas moins de 7 présentations en 5 jours. Le 7 de ce mois, par exemple, Jason Larsen parlera de miniaturisation dans les attaques Scada… un retour aux codes « one liner » en quelques sortes. Car avec la miniaturisation de l’électronique et l’efficace simplicité des automates, le « hacker industriel » ne dispose généralement que de quelques malheureux kilo-octets pour injecter son code. Refaire du Die Hard4, r00ter du RFID et du compteur à gaz intelligent exige une certaine concision de code digne des peuplades Laconiennes. Le code aussi doit être miniaturisé.

Encore un peu d’IO Active avec un habitué des conférences, Cesar Cerrudo, qui s’attaque aux infrastructures de contrôle de la circulation automobile. En d’autres mots, comment semer une pagaille monstrueuse en perturbant les feux rouges (encore du Die Hard4). A noter que ce genre de vulnérabilité touche le réseau d’au moins une (sinon deux) des trois plus grandes villes de France, notamment celle réputée pour ses cuisses de grenouilles, son tablier de sapeur et sa cervelle de canut.
D’autres présentations plus hard core, tel qu’un fuzzer de fichier ELF (Alejandro Hernandez) ou qu’une attaque des drivers graphiques de Windows (Ilja van Sprundel), moins spectaculaires, tout aussi efficaces, achèvent cette avalanche.

Karsten Nohl, le chercheur qui a fait découvrir les arcanes de l’eavedroping radio et les mystères des radios logicielles en matière de hacking sans fil, s’attaque à une nouvelle forme de plateforme matérielle : les clefs USB. Non pas, à l’instar d’un virus Stuxnet, en cachant un vecteur à l’intérieur d’un code ou d’un fichier stocké dans une mémoire flash directement accessible, mais en utilisant l’espace consacré au firmware du périphérique. Ainsi, claviers, clefs de stockage et autres périphériques (convertisseurs usb/série ou parallèle et autres cousins de la horde de composants FTDI) peuvent devenir, après exploitation, de dangereux propagateurs de charges utiles.

Comment ?Il est encore trop tôt pour en connaître tous les détails, puisque cet exploit fera l’objet d’une présentation lors de la prochaine BlackHat Conference. Mais ce que nous apprend le communiqué originel, c’est que le code de démonstration (qui se fait passer pour un HID, genre clavier ou souris) est capable d’infecter un ordinateur, que ledit ordinateur infecté est capable de compromettre d’autres clefs de la même manière (le Bootkit « track 0 » des disquettes des années 80 est encore vivant). Lequel « bootkit USB » est à son tour dans la position d’injecter un autre bootkit qui s’installera, quant à lui, sur le secteur de démarrage de l’ordinateur cible.

Un mois durant, à partir du 23 juin 2014, un défaut de paramétrage laisse exposés les noms et adresses emails de 76 000 inscrits au réseau des développeurs Mozilla, ainsi que 4000 mots de passe chiffrés et « salés ». Pour l’heure, expliquent la patronne du développement Stormy Peters et le responsable de la sécurité opérationnelle Joe Stevensen, la base de données n’aurait été téléchargée que très peu de fois, en majorité par des membres répertoriés du réseau en question. Le fait que les haschs des mots de passe soient « salés » garantit leur intégrité, sauf bien entendu si ces mêmes mots de passe sont utilisés sur d’autres serveurs et services étrangers au réseau Mozilla qui, eux, pourraient ne pas avoir mis en œuvre une procédure de salage. Un changement desdits Sésames, par mesure de prudence, est donc conseillé.

Est-ce dû à une relative période de calme liée aux trêves estivales ? Ou bien encore une volonté de redorer le blason du monde de la sécurité « commerciale », sérieusement terni en raison de ses longues années de myopie durant la période ante-Snowden ? Ou plus probablement une forme de prélude à l’avalanche d’annonces prévues durant les futures BlackHat, defcon, CCCcamp à venir ?

Toujours est-il que les analyses de code vont bon train. Chez McAfee, François Paget se penche sur KPP-Destroyer, un utilitaire conçu pour modifier le démarrage de Windows 7 et 8.x et désactiver son système de protection Patchguard. Les contrôles d’intégrité disparaissent, et l’appel direct de ntoskrnl est remplacé vers un aiguillage conduisant vers un autre exécutable moins innocent. Patchguard n’est pas à proprement parler un vecteur d’attaque (il fut a priori développé à des fins de hack purement technique et donner accès au mode kernel). Mais, explique le chercheur Français, il y a là matière à inspirer bien des auteurs de malwares.

Encore une drôlerie chez F-Secure, qui se penche sur Backdoor.Gates, un virus multiplateforme, initialement prévu pour attaquer des plateformes Linux, mais ayant également donné naissance à une version Windows baptisée Gates.exe (associé à un vecteur d’attaque Bill.exe bien entendu). Les virus multiplateformes sont des développements quasi mythiques, des codes tenant à la fois de la carpe et du lapin qui ont toujours su faire fantasmer les spécialistes de l’analyse de malwares.

Au Cert Lexsi, c’est un malware bancaire (visant notamment des établissements Français) qui a retenu l’attention. Techniquement parlant, il s’agit là d’un bootkit installé en VBR (enregistrement de boot de la première partition ntfs), la charge utile et ses paramètres de fonctionnement se cachant dans la ruche. Polymorphe, furtif, ce vecteur est installé grâce à un dropper doté d’une fonction de suicide lui permettant d’échapper aux examens poussés. L’équipe du Lexsi a, en outre, découvert deux signatures, l’une peu flatteuse, destinée à Brian Krebs, l’autre tirée d’un épisode de la série des Simpson, ainsi qu’une liste des serveurs C&C à bloquer pour éviter les mises à jour et activations.

Une attaque en élévation de privilège via le logiciel Symantec Endpoint Security serait possible affirment les chercheurs de la société Offensive Security. C’est au cours d’un audit que la faille aurait été découverte. La proximité de la prochaine BlackHat Conference semble avoir fait ressortir cette faille. Offensive Security ne donne, pour l’instant aucun détail technique, mais dévoile la démarche dans une séquence vidéo consultable sur le site de l’entreprise.

C’est la question que se pose Business Insider, un journal que l’on peut difficilement taxer de gauchisme béat ou de positions libertariennes décérébrées (si l’on peut pardonner cette tautologie). A l’origine de cette interrogation, une dénonciation, de la part de Google, d’une personne déjà fichée pour agression sexuelle envers des mineurs. Dénonciation rendue possible grâce à un examen détaillé du contenu des messages transitant sur les serveurs de l’opérateur de services Cloud.

Il n’est pas question de disculper de quelques manières que ce soit les agissements de tels adultes, mais de s’interroger sur la légitimité de cette systématique « fouille au corps » des contenus des correspondances acheminées par Google. Julie Bort, de Business Insider explique : « Le débat fait rage à propos de la préservation de la vie privée que l’on est en droit d’attendre lorsque l’on utilise un service Google tel que sa messagerie. En un mot : strictement aucune ».

Certes, la loi US oblige les sociétés de ce type à dénoncer les agissements des personnes soupçonnées de tels trafics si d’aventure elles étaient témoins de ces échanges. Mais il y a une marge entre signaler une activité répréhensible et mettre en place des outils de datamining perfectionnés pour partir à la chasse aux cyberpédophiles. Car derrière ce prétexte difficilement condamnable, on ne peut perdre de vue que d’autres informations sont ainsi extraites, classées, analysées, et exploitées par d’autres services, voir communiquées à des tiers n’ayant aucun rapport avec l’entreprise.

Tous les brevets des gadgets NSA à la « Mister Q » réunis dans une base de données diffusée via GoogleDoc. Cette compilation est l’œuvre du site Web The Complex.

Emet, l’Enhanced Mitigation Experience Toolkit de Microsoft, est disponible (téléchargement gratuit) en version 5.0. Parmi les nouveautés, un nouveau filtre à plugin Java et EAF, nouveau système de protection contre les attaques en mémoire et fuites d’information

Cnil  : dans un communiqué en date du 1er août, la Commission informe qu’elle a infligé une sanction de 5000 euros à une entreprise de la région Rhône-Alpes pour ne pas avoir respecté les règles d’usage en matière de vidéosurveillance. De telles sanctions sont rarissimes.