septembre, 2014

Faille de sécurité pour la sécurité intérieure US. Selon le quotidien The Blaze , plus de 25000 identités appartenant à des fonctionnaires du Homeland Security Department (DHS) auraient été dérobées lors du hack des serveurs de la société Usis , un sous-traitant « sécurité » de l’administration Fédérale.

La note d’instruction interministérielle numéro 300 relative à la protection contre les signaux compromettants (document de travail rédigé par l’Anssi), est disponible sur SSI.gouv pour les DSI peu pressées ou recherchant un train de téléchargement sénatorial, et sur Cryptome, site d’information situé de l’autre côté de l’atlantique mais semblant disposer d’une bande passante un peu plus sérieuse et fiable que celle de nos serveurs pour ronds de cuir.

Cette note s’adresse essentiellement aux Administrations, aux Opérateurs d’importance vitale, et, par extension, toute entreprise qui travaille sur des sujets sensibles et souhaiterait prendre en compte le risque d’écoutes électromagnétiques. Si, il y a quelques années, le danger Tempest ne concernait que quelques sites militaires et de rares DSI nourries au lait de pur extrait de James Bond et d’OSS117, il faut bien admettre que les progrès en matière de traitement de signaux (DSP, fpga, radios logicielles etc.) ont mis l’écoute électromagnétique à la portée du moindre amateur d’informatique.

Or, en matière de rayonnement, il est toujours plus facile d’intercepter un rayonnement que d’interdire ou confiner ledit rayonnement. Particulièrement lorsque les équipements des sites sensibles, pour d’évidentes raisons économiques, sont achetés sur les canaux traditionnels de la grande distribution et non plus auprès d’intégrateurs spécialisés dans la fourniture d’appareils durcis.

Comment procéder, comment sont qualifiés les systèmes répondant aux normes Tempest, de quelle manière doivent-ils être installés, quelles sécurités complémentaires (notamment en matière de filtrage des « fluides ») doivent être apportées, tels sont les points qu’aborde avec méthode la note 300

Les 22 premières pages sont à survoler rapidement. Les choses sérieuses débutent avec le premier chapitre consacré au zonage des bâtiments devant abriter les systèmes à protéger, qui consacre 5 pages sur la « faradisation » des salles, les distances d’isolation physique desdits bâtiments, les méthodes de mesure des rayonnements et l’interprétation des mesures.

Le chapitre suivant se penche sur le durcissement des équipements, soit grâce à des règles de conception sévères, soit par modification ou isolation d’un équipement du commerce. Le troisième volet est consacré au raccordement et à l’installation des équipements, car c’est principalement la présence de ces fils de liaison (câbles électriques, brins réseau, baies de brassage, proximité d’équipements tiers et zones de couplage) qui facilite l’espionnage radio. Les dernières sections du document de l’Anssi traitent des méthodes de blocage ou de suppression des rayonnements grâce à l’adoption de multiples procédés techniques. A commencer par le filtrage drastique des alimentations courant faible et secteur (l’écoute des variations de tension ou de signaux véhiculés par les fils de terre mal raccordés est un grand classique des conférences sécurité). Sont également abordées des solutions telles que l’usage intensif de fibres optiques (non rayonnantes dans le spectre électromagnétique), l’installation de cages de Faraday plus ou moins lourdes à mettre en œuvre, les règles de mise à la terre et de respect des équipotentialités des installations…

50 propositions du Conseil d’Etat visant à pacifier Internet, ces technologies qui « dérèglent les conditions d’exercice des droits fondamentaux et les mécanismes traditionnels de leur conciliation ». Une telle introduction donne le « la » des doctes avis du Conseil. Selon ce rapport, la notion même de neutralité du Net (si tant est qu’elle puisse exister) est « a priori » une notion qui doit être relativisée en fonction des nécessités de gestion du trafic. Une sorte de cote mal taillée qui ménagerait tantôt les usagers pour que ceux-ci ne souffrent pas trop d’une dégradation manifeste des services, tantôt les opérateurs qui auraient la possibilité de facturer les gros consommateurs de bande passante… Des opérateurs, rappelons-le, qui ont lancé leur business Internet sur l’incitation au piratage et à l’usage massif des techniques de téléchargement. Cette question avait déjà été soulevée, il y a plus de 20 ans, par les responsables d’infrastructure Internet avant même que les grands fournisseurs de services ne fassent leur apparition. Mais à l’époque, il était plus important d’établir des accords de peering et de voir en Internet une formidable vache à lait qui aurait permis de facturer l’information à la fois au « temps » et au « paquet ». Nul sénateur, ni aux USA, ni en France, n’avait alors pensé se pencher sur la question. Une certaine réactivité aurait pourtant permis d’éviter précisément les problèmes de tentative de mainmise qui se posent aujourd’hui, ainsi que les questions relatives à la neutralité du Net, à la souveraineté des réseau d’opérateurs nationaux, à la sécurité des grands concentrateurs de données nationaux ou Européens (services Cloud « souverains »), et aux bénéfices et dangers liés à l’analyse des données massivement collectées (Big data).

La situation n’est toutefois pas totalement désespérée, puisque le Conseil d’Etat vient de comprendre qu’en matière d’analyse, la neutralité des données était une illusion et la notion d’anonymisation un leurre. Il recommande toutefois d’imposer, par des dispositions légales, un cadre stricte de l’usage des outils de calcul prédictif… mais à quoi donc peut servir une loi lorsque l’acte est commis en dehors de nos frontières, dans des pays qui font du big data un big business, et qui vendent de l’analyse comme d’autres des produits manufacturés ? Ce qu’Isaac Asimov n’avait pas pu prévoir, en 1942, c’est que ce qu’il appelait la psychohistoire (et que l’on nomme aujourd’hui Big Data) ne serait pas un moyen de défense des citoyens contre des états de plus en plus autocratiques, mais l’arme principale de ces mêmes états autocratiques au dépend de leurs citoyens. Mais tout ceci n’est que de la politique-fiction, bien entendu …

Une seule vulnérabilité MS14-053 (non exploitée) dans .Net, un petit défaut MS14-054 dans le Task Scheduler (également non exploitée), trois CVE isolés relatifs à Lync Server… le patch Tuesday aurait pu discrètement se limiter à ces annonces. C’était sans compter le lot de rustines Internet Explorer qui, ce mois-ci, est frappé d’une inflation digne de la crise Allemande de 36. Au total, 37 trous, certains étant largement exploités « dans la nature » et qualifiés de « critiques ».

A préciser, aucune faille n’est affublée d’un « patch now » de la part du Sans. Une chance si l’on considère que la moyenne d’I.E. frise ce mois-ci les 1,23 trous par jour.

A titre anecdotique, puisque l’on parle de task scheduler et d’escalade privilège, signalons cette trouvaille du « Threat group 0416 » commentée par les chercheurs de Dell Secureworks. L’ordre AT de NT est utilisé ici de manière inattendue et fort instructive.

Critique, en revanche, serait le lot de correctifs d’Adobe qui, avec ses 12 CVE, expose toutes les plateformes à un risque certain.

« Berne n’extraderait pas Snowden s’il venait en Suisse » titre Le Matin. L’emploi du conditionnel dans le titre du quotidien Helvétique d’expression Française mérite que l’on s’y arrête. Car si ce que « sait » Snowden pourrait sans le moindre doute servir un juge dans le cadre d’une enquête parlementaire, « des obligations étatiques supérieures pourraient relativiser le refus de Berne d’extrader l’informaticien Edward Snowden s’il était amené en Suisse et réclamé par la justice américaine » précise le Ministère Public de la Confédération. Relativiser le refus… en d’autres termes, ce pays neutre qui sert depuis longtemps de terre d’asile aux centres d’écoute UKUSA du réseau Echelon refuse d’extrader un ressortissant étranger au seul motif de ses opinions ou actes politiques… sauf si les intérêts supérieurs politiques de la Nation l’exigent. Si Edward Snowden avait eu, par le plus grand des hasards, l’envie de chercher asile au royaume des coucous et des comptes en banque, le voilà clairement averti.

Encore une histoire de scan de ports, signée cette fois Rob VandenBrink, du Sans, mais avec un peu plus de travaux manuels comparativement à l’usage d’un Hacienda. A l’aide de Nmap, d’un peu de python et deux doigts de ike-scan, l’auteur se lance à l’attaque des services udp. La démonstration est « causante » et montre à quel point quelques sondes bien placées peuvent faire parler un ordinateur sous la torture. Si, pour les besoins de l’exercice, c’est ntp qui a fait les frais de l’opération, il faut garder à l’esprit que des compromissions et fuites d’information toutes aussi simples peuvent mettre à mal le travail d’administrateurs distraits qui auraient, par mégarde, laisser traîner des motd, des chargen et autres finger.

L’auscultation d’un ordinateur à distance (prolégomènes à l’exploitation également distante) est un classique de la sécurité réseau. Thibaut Gadiolet, sur le blog du Cert Lexsi, revient sur ces anciennes pratiques remises au goût du jour… par la NSA et l’un de ses mille-et-un gadgets d’espionnage baptisé Hacienda. Cette version hispanisante du principe « barbouze, téléphone maison » n’est rien d’autre qu’un outil de scan massif de l’espace IPv4, un peu comme le fait Zmap. Son but est de balayer Internet et inventorier, pays par pays, les machines vulnérables, de les situer géographiquement (plus ou moins), afin de faciliter la phase suivante qui consiste à exploiter d’éventuelles failles propres à telle ou telle version de service ou noyau. Selon la source originelle d’information qui, la première, a révélé l’existence de Hacienda ( CT magazine, édition Heise) 27 pays au moins auraient été ainsi auscultés par les espions britanniques du GCHQ.

Hacienda ne se contente pas de dresser un simple inventaire. Sont également collectées les informations complémentaires délivrées par le verbiage des « handshake » TCP, ainsi que le contenu des « bannières », parfois très indiscrètes sur la nature, la version, l’âge d’un service TCP (et par conséquent sur ses failles probables. Autant de renseignements qui, une fois triés, offriront à l’agresseur la possibilité soit de mettre en œuvre des exploits capables de compromettre la machine cible pour en extraire des informations sensibles, soit, si l’ordinateur ne contient aucun donnée digne d’intérêt, de la transformer en proxy qui pourra, par la suite, servir à masquer les traces d’une future attaque et brouiller les pistes permettant d’identifier la provenance de l’attaque. Est-il utile de préciser que sont visés en priorité les serveurs des services gouvernementaux de l’adversaire.

Contre ce genre d’agression, il existe peu de parades. Filtrage et détection des scans de ports, fermeture de tous les services tcp (et udp !) qui ne sont pas vitaux, saupoudrage de honeypots, modification « à la main » des signatures afin d’embrouiller un peu plus les analyses de fingerprinting… Côté protection légale, en revanche, les choses sont nettement moins claires. Si une intrusion attire les foudres de la loi, un scan de port n’est pas juridiquement considéré comme un acte illégal « Suivant l’interprétation des textes de loi, il ne constitue qu’un acte préparatoire et n’est pour le moment sanctionné par aucune jurisprudence. Même s’il est peu probable que la révélation du programme Hacienda fasse bouger les lignes, il n’est cependant pas impossible qu’un juge en décide autrement un jour » précise Thibaut Gadiolet.

Il est à craindre qu’un juge un peu trop influencé par un mouvement politique radical serait enclin à faire basculer le scan de port dans la catégorie des actes répréhensibles. Cela s’est déjà vu. Ce serait un levier de plus à l’encontre des usagers « normaux » d’Internet, mais en aucun cas un bouclier contre les organisations mafieuses ou les services de renseignements étrangers. D’Echelon à Carnivore, de Prism aux mille et un gadgets de flicage téléphonique ayant touché tant les citoyens que les infrastructures gouvernementales Françaises, jamais l’on a vu, jamais l’on a entendu le moindre magistrat à mortier décider d’ouvrir une enquête visant le GCHQ, une agence à trois lettres ou un « ring » de botherders slaves. Vérité en deçà des Pyrénées, mensonge au-delà.

A qui appartiennent-elles ? nul ne sait. D’où viennent-elles ? C’est un mystère. A quoi servent-elles ? Les supputations les plus folles vont bon train. Elles, ce sont des tours hertziennes qui se multiplient aux Etats-Unis (et probablement dans d’autres pays), s’indigne Popular Science. Chose étrange, ces tours se comportent très exactement comme des cellules de téléphonie cellulaire, à ceci près qu’elles ne diffusent pas l’identifiant d’un opérateur et qu’elles forcent les terminaux qui s’y connectent à se replier sur des modes peu sécurisés (en 2G notamment). Pis encore, ces cellules d’interception seraient capables d’attaquer les étages « bande de base » des téléphones cellulaires, ce qui laisse à penser que leurs mystérieux propriétaires entretiennent de très étroites relations techniques avec les fabricants de circuits intégrés spécialisés. Car les détails intimes de ces modules bande de base sont très souvent recouverts d’une chape de silence et de fonctions secrètes, connues des seuls OEM et opérateurs.

Si l’on ajoute que ces cellules fantômes ont une fâcheuse tendance à se multiplier à l’approche des terrains militaires, on peut y voir la main invisible des services de renseignement surveillant les conversations des citoyens US sous le prétexte rebattu d’une intense chasse aux terroristes.

Les ingrédients sont réunis pour écrire un grand roman d’espionnage, d’amour et d’aventure… ou faire la première page d’un prochain numéro de Wired illustré par l’écusson de la NSA ou du Department of Defense.

En radio, tout peut se résumer à une histoire de bande passante et d’énergie dissipée dans cette même bande passante. Cette « vérité » (ce truisme diraient les électroniciens radio) fait l’objet d’un article de très bonne vulgarisation publié par Spectrum, le journal de l’IEEE.

En matière de guerre électronique, explique cet article, les attaques EMP (ou saturation par impulsion électromagnétique) ne sont généralement efficaces que si elles ciblent un service ou une fréquence précise. Les fréquences des voies descendantes des satellites GPS par exemple. Simple question d’économie. Car il est plus facile de faire rayonner un émetteur de brouillage de « x » kilowatts sur une bande de fréquence restreinte capable de perturber un périmètre de « n » kilomètres, que de réaliser cette même attaque sur l’ensemble du spectre radio utilisé (autrement dit de 1MHz à 50 GHz par exemple). La débauche d’énergie nécessaire pour perturber tout et n’importe quoi est titanesque, et stratégiquement inutile. Il est plus simple de ne viser que les services critiques les plus indispensables au bon fonctionnement de l’infrastructure de l’adversaire. Wifi, GSM, GPS, uplink satellite, faisceaux hertziens d’infrastructure, réseau de signalisation…

En conséquence de quoi, la taille d’une « bombe électromagnétique spécialisée » à faible étalement de spectre gagne non seulement en efficacité mais encore en taille et en énergie consommée. Ce qui sous-entend qu’elle pourrait être contenue dans le volume d’une petite valise.

Mais tout n’est pas si simple, explique l’auteur de ce voyage dans les attaques radio. Perturber un équipement par surcharge électromagnétique est d’autant plus difficile que l’équipement visé travaille sur des fréquences élevées. En d’autres termes, là où un pc originel à 4,77 MHz succombe, une machine moderne utilisant une horloge à 3 GHz ne bronchera pas.

Autre limitation technique des attaques EMP, la présence ou non de câbles d’alimentation ou de raccordement réseau capable, par induction, de véhiculer l’attaque au cœur même de l’équipement visé. Un appareil mobile est généralement dépourvu de câbles de liaison, et se montre donc nettement moins vulnérable qu’un ordinateur de bureau ou qu’un équipement de commutation réseau.

Si l’on a recours aux bombes large bande ou hyperbande, les multiples essais réalisés dans à peu près tous les pays du monde ont démontré qu’une impulsion de 2kV/m durant 200 picosecondes fait planter un ordinateur. A 5 kV, des dommages irrémédiables mettent hors service les appareils soumis à de tels champs (composants carbonisés, pistes de liaison vaporisées). Rappelons au passage que réduire au silence les équipements électroniques en général et les appareils de transmission militaires en particulier fait l’objet de recherches intensives depuis le milieu de la seconde guerre mondiale. De l’explosion d’une bombe nucléaire aux tentatives plus ou moins ciblées de déclenchement de la foudre, les moyens les plus brutaux ont été envisagés.

Comment se protéger contre de telles attaques ? C’est quasiment impossible, conclut en substance l’article de Spectrum. Equipements « durcis » mis à part, les systèmes de protection visant à diminuer les transitoires, blinder l’électronique, filtrer les lignes d’alimentation ou de raccordement réseau des appareils vendus dans le civil ne sont pas assez efficaces. Or, c’est précisément ce type d’équipement qui est utilisé dans les chaines de contrôle de processus industriel, les infrastructures Scada et les réseaux de service grand public (l’Internet des objets et ses différents avatars notamment). Des remèdes existent pourtant. A commencer par l’installation de parasurtension sur toutes les lignes convergeant vers un même bâtiment. Lorsque l’ensemble de l’immeuble ne peut être protégé et isolé, il n’est pas irréaliste de rassembler les équipements dans une pièce unique, blindée d’un point de vue électromagnétique, protégé par un réseau d’alimentation électrique et télécom filtré… si l’idée de « salle informatique » et de « groupe d’onduleurs » n’est pas nouvelle, le filtrage large bande n’est que très rarement mis en place. Tout est prévu pour contrer les surtensions ou les coupures, mais là s’arrêtent les premières lignes de défense.

Enfin, conclut l’auteur , il n’existe quasiment aucun équipement capable de détecter des attaques électromagnétiques conduites aussi bien sur des fréquences précises et étroites ainsi que sur un spectre large bande ou hyperbande. Or, seul un équipement de détection peut témoigner d’une telle attaque, et, par conséquence, déclencher un processus de reprise ou de continuité d’activité.

Les identités bancaires des clients du plus grand magasin de bricolage US auraient été pillés par des activistes russo-ukrainien, nous apprend Brian Krebs. Deux « lots » de cartes d’origine nord-américaine et un troisième lot de cartes appartenant à des clients Européens seraient déjà diffusés via le site Rescator.cc, site hébergeant un forum de carding relativement actif.

Les pirates ayant perpétré ce vol massif affirment que leurs motivations sont essentiellement politiques et qu’il s’agit là d’un acte en rétorsion des récents embargos économiques instaurés à l’encontre de la Russie est des séparatistes Ukrainiens. L’annonce de ce hack intervient le jour même où l’Otan annonce la prochaine signature d’un accord de cyber-assistance mutuelle entre les 28.

Dans un pays ou l’immense majorité des habitants occupent des maisons individuelles entretenues et même parfois entièrement bâties par leurs propriétaires, le marché du bricolage et de la fourniture de matériaux est l’un des plus importants du secteur de la distribution. Home Depot détient, sur ce créneau, la toute première place. Le piratage de plus de 2000 de ses magasins pourrait donc bien battre tous les records en matière de vol d’identités bancaires et dépasser les 80 ou 100 millions de comptes.