juillet, 2015

Goodbye SSL, écrit en Français par Stéphane Borzmeyer . Sorte d’oraison funèbre en mémoire d’un protocole frappé de mort clinique il y a plus de 5 ans, et dont le fantôme persiste à hanter bon nombre de serveurs.

Jeh Johnson, le patron du Homeland Security (équivalent de l’Intérieur) évoquait, à l’occasion d’une conférence, la création d’une sorte de loi fédérale d’obligation de divulgation en cas d’intrusions et de fuites de données, rapportent nos confrères du Reg. Et de prononcer cette phrase à double ou triple sens « La clef de la cybersécurité, c’est le partage de l’information. C’est un élément majeur même pour les acteurs les plus importants et les plus techniquement sophistiqués – vous ne pouvez pas rester isolé, et vous devriez collaborer avec le Gouvernement Fédéral » ( Key to cybersecurity is information sharing. It’s key even among the most sophisticated actors – you can’t be out there alone, and should partner with the federal government). Et d’encourager l’auditoire pour intensifier l’adoption d’Einstein, l’IDS développé par le Cert-US.

Cette même semaine, comme pour appuyer ces propos, grand battage était fait, tant par Kaspersky que par Symantec autour d’une nouvelle vague d’attaques visant Apple, Microsoft, Twitter et Facebook et manifestement perpétrée par un groupe baptisé « Wild Neutron ». Dans les grandes lignes, ces attaques pourraient être qualifiées « d’APT non liées à des Etats-Nations ». Les industries TIC des USA sont victimes d’attaques incessantes, telle est la première partie du message. Le second chapitre s’intitule « Protégeons-nous ». Le troisième pourrait bien être « Boutons ces pirates hors d’Internet ».

Encore une révélation Wikileaks signée Julian Assange, Sarah Harrison et Kristinn Hrafnsson qui devrait certainement aboutir sur une absence de réaction « faute de preuves tangibles » : le haut exécutif d’Outre Rhin était écouté depuis des décennies, et les conversations de Schroeder faisaient également l’objet d’enregistrements avant même que l’on parle des « bugs » installés sur les lignes de « Mutti ». Encore un feu de paille qui rapidement sera oublié, tout comme ont été oblitérées les révélations sur les écoutes présidentielles en France, la surveillance des conversations d’Angela Merkel ou les décennies de barbouzerie du réseau Echelon à l’encontre des entreprises tant Françaises qu’Allemandes. C’est le prix de cette nouvelle entente cordiale qui lie les « yeux » étendus de la NSA : un même réseau, mais des informations qui s’écoulent plus dans un sens que dans l’autre, et sans contrôle réel de la part des partenaires de ce qui est espionné réellement.

Hasard du calendrier, Ash Carter, l’actuel Secrétaire (Ministre) de la Défense des USA renouvelait ces jours-ci son appel à la coopération auprès des grands groupes (Apple, Facebook, Amazon, Microsoft, Tesla…) afin de « renouveler et renforcer les liens de confiance établis entre le Pentagone et la Silicon Valley » rapportent nos confrères de Network World.

Répliques plus importantes que le séisme lui-même, si l’on peut considérer que la mise à sac des serveurs d’une agence de cyber-mercenaires est un acte illégal mais pas totalement immoral.

La première réplique vient d’un des outils d’espionnage, ou plus exactement d’un exploit Flash utilisé par Hacking Team et analysé par Kafeine, exploit qui contraint Adobe de publier dare-dare un correctif ce jour même. Le code étant dans la nature, il est tout à fait logique qu’il se retrouve d’ores et déjà intégré dans certains « exploit pack » explique Kafeine, qui cite notamment Angler EK, Fiddler, Neutrino ou Nuclear Pack. Rarement rustine n’aura été plus nécessaire. Le Reg et Brian Krebs en titre sur 5 colonnes.

La seconde secousse est à la fois politique et éthique, et rappelle par certains aspects l’affaire Amesys : les différents gouvernements d’Europe peuvent-ils accepter que certaines de leurs entreprises puissent vendre des cyber-armes à des pays dont les pratiques entrent en totale contradiction avec les principes du Traité Européen, et ce plus particulièrement en matière de démocratie et lois sur la torture et les détentions arbitraires ? Une question écrite a été posée devant le Parlement Européen par Marietje Schaake (dep. Démocrate Néerlandaise) :

->  Peut-on accepter de voir livrer des outils pouvant servir à organiser des opérations de répression dans des pays qui sont généralement frappés par des embargos sur les armes ou dont les relations diplomatiques avec l’Europe font l’objet de certains désaccords ? Et de citer l’Azerbaijan, le Bahrain, l’Egypte, l’Ethiopie, le Kazakhstan, le Maroc, le Nigeria, la Russie, l’Arabie Saoudite, les Emirats Arabes Unis et l’Ouzbékistan, autant d’états listés dans les fichiers clients de Hacking Team.

->  La Commission Européenne a-t-elle été informée par le gouvernement Italien des échanges de l’entreprise en question, et plus particulièrement à propos de la Russie ou du Soudan, et ladite entreprise s’est-elle donnée la peine de vérifier si les contrats qu’elle allait signer étaient en accord avec les directives de la Commission (et par là même, Hacking-Team s’est-il inquiété des sanctions possibles, conséquence de ces contrats ?)

Se repose à nouveau la question d’un Wassenaar des cyber-armes. Ou, ce qui serait considérablement plus sain, d’un traité Européen de non-prolifération des outils de cyber-espionnage, traité qui ne soit inféodé ni au diktat des USA ni à celui des « five eyes ». Les révélations Wikileaks concernant les USA et les pays d’Europe laissent à penser que les accords Wassenaar pourraient ne pas toujours être totalement respectés.

La réplique numéro trois est considérablement plus amusante, et rappelle l’arroseur arrosé des Frères Lumière. Et c’est Schneier qui met le doigt dessus. Les outils de flicage vendus par Hacking Team sont agrémentés d’une porte dérobée, transformant du coup les surveillants en surveillés potentiels. Une version moderne et imprévue du « quid custodiet ipsos custodes » de Juvénal.

Il y a peu de chances, après une telle révélation, que le capital-confiance dont jouissait ce cyber-trafiquant de techno-armes puisse retrouver son lustre d’antan. « Faibles espoirs que l’entreprise puisse y survivre » conclut Schneier. C’est si difficile de convaincre un dictateur et de conserver amoureusement sa pratique, à grands renforts de petits services, de cadeaux et de ristournes…

…et si difficile d’admettre également que des démocraties acquièrent des outils de voyous et adoptent par la même des attitudes propres aux polices dictatoriales. Car la quatrième secousse tellurique pourrait bien venir du fichier-clients lui-même fait remarquer l’article signé FSLab publié sur le blog de F-Secure. La Malaisie, les USA, Singapour, Panama, le Mexique, l’Egypte, l’Equateur sont ou ont été des utilisateurs de ces logiciels d’espionnage.

La cinquième réplique passera probablement plus inaperçue. Car désormais, les multiples Ministères de l’Intérieur qui avaient l’habitude de faire leur marché sur les étals gris du business de l’exploit vont devoir se mettre à « auditer » à la fois fournisseurs et niveau de qualité des produits vendus.

Franchement, Alexei Chachourine (Lexsi), devrait se lancer dans l’écriture de polars. Son dernier article traitant d’AntiBrowser se lit comme un roman. Les faits y sont clairement décrits, les conséquences évidentes, même pour un non-spécialiste de la question. C’est de la bonne vulgarisation, de celle qui, sans FUD ni sensationnalisme, traduit le langage des « gourous sécu » dans une langue que peuvent comprendre immédiatement les décideurs .

Son héros, AntiBrowser, est un système destiné à déjouer le fingerprinting des systèmes d’analyse comportementale qu’emploient généralement les organismes bancaires. Il est capable de faire passer un très malhonnête mafieux caché dans les steppes Russes pour un irréprochable client de la banlieue de Plougastel, grâce à un mécanisme associant la carte de crédit utilisée à un serveur proxy faisant passer l’adresse IP de l’attaquant pour une adresse locale, donc insoupçonnable. Et ce n’est pas la seule force de cet outil de camouflage, puisque quatre autres mécanismes de détection antifraude peuvent également être leurrés affirme l’auteur du malware.

A lire, comme il se doit, sur un quai de gare, ou à l’ombre d’un parasol.

Frapper avant d’être attaqué, compromettre et riposter : l’école nord-américaine de la SSI prône depuis quelques années une approche plus musclée de la sécurité numérique. Et d’employer forces entreprises « spécialisées dans l’infiltration ». Déjà, Mandiant avait fait les frais de la colère des Anonymous pour s’être montrée un peu trop intrusive. Cette fois, c’est au tour de Hacking Team de voir ses propres réseaux mis à sac et le contenu de plus de 400 Go de données subtilisé et en partie divulgué.

Hacking Team est une entreprise transalpine spécialisée dans l’écriture d’exploits d’espionnage. Ses principaux clients sont de respectables hauts fonctionnaires de différentes nationalités. Au nombre desquelles on compte une proportion assez élevée de dictatures et démocratures. Outre un nombre impressionnant de données concernant ses clients, Hacking Team a également laissé fuiter plusieurs de ses kits d’exploitation. La clientèle a été mise au courant et informée qu’il était urgent de cesser toute activité d’espionnage avec lesdits outils.

Durant les premières 24 heures qui ont suivi le hack, l’équipe de Hacking Team s’est montrée totalement incapable de constituer une cellule de crise efficace, se contentant de nier l’évidence, voire de conspuer certains blogueurs dont Bruce Schneier, ainsi soupçonné d’amplifier l’affaire pour soi-disant mieux vendre ses livres (sic).

De source bien informée (un porte-parole d’Akamai), le hack aurait été facilité par une mauvaise politique de crédences*, comptant notamment de nombreux mots de passe réutilisés.

Il existe, en France, quelques entreprises également impliquées dans des pratiques comparables. Espérons pour elles que leurs fichiers ne sont pas directement accessibles par réseau. Un malheur est si vite arrivé.

NdlC Note de la Correctrice : De grâce, évitez à tous prix de vouloir me prendre de l’ouvrage en envoyant moult emails emplis d’ire et de sapience, m’expliquant que le mot crédence (ou crédance, les deux sont acceptés) ne s’applique que pour désigner un adorable petit vaisselier. Le mot vient de « crédit » et concerne bien le sceau de confiance que l’on accorde à une personne… du moins il n’y a pas si longtemps, affirment tant le Furetière que le Dictionnaire Godefroy. Le « credential » anglo-saxon découle d’ailleurs de ce radical.

C’est en août de l’an dernier que se faisait arrêter Ercan Findikoglu, cerveau du « gang des distributeurs de la Saint Sylvestre ». Placé en détention en Allemagne, il vient d’être extradé vers les USA, pays dans lequel il devra faire face à un nombre de chefs d’inculpation digne d’un roman-fleuve.

Findikoglu serait parvenu, en plusieurs opérations successives, à l’aide de fausses cartes de crédit et d’un réseau international de mules, à dérober plus de 55 millions de dollars, « sans armes, sans violence et sans haine »… Curieusement, parallèlement, aucune information concernant l’éventuel colmatage des failles affectant les réseaux bancaires et les distributeurs ne transparaît dans aucun communiqué officiel. Et pourtant la faiblesse de ces appareils est loin d’être une légende, comme nous le prouve cette affaire et également régulièrement certains chercheurs lors de conférences Sécurité

Une journée de conférences Infosec … et une nuit pour l’inévitable CTF, GreHack « 3rd Panick » se déroulera le 20 novembre prochain, après une petite année d’interruption. Novembre, trop tôt pour achever ce périple Grenoblois par une ride-session à Chamrousse, trop tard pour tenter quelques couennes en Chartreuse. Période idéale donc pour écouter studieusement les présentations « sécu » qui se succèderont dans les amphis de l’Ensimag de Grenoble.

L’appel à communication vient d’être lancé. Le programme est en tout point comparable à ce que l’on peut attendre d’une conférence sur la SSI : intrusions logicielles et matérielles, compromissions et PoC divers dans les secteurs de la mobilité, de l’IoT, du Scada (OIV en français), camouflage de code, reverse… toute proposition sera examinée avec attention par le comité de lecture. Un comité et une organisation, doit-on préciser au passage, qui n’est plus exclusivement « universitaire ».

Des « Rump sessions » seront également ouvertes, ainsi que quelques ateliers ne demandant pas une préparation aussi formelle. Déjà, les hackerspace locaux et chercheurs indépendants ont été contactés. Toute autre bonne volonté de participation sera la bienvenue, les organisateurs attendent les propositions de chacun.

GreHack fait partie de cette nouvelle génération de réunions techniques régionales, telle que Botconf l’itinérante ou que Coriin à Lille, qui cherchent non seulement à montrer que les compétences et les recherches SSI ne sont pas exclusivement parisiennes, mais qui représentent également un pôle de compétence locale en matière de sécurité informatique, là où les entreprises se sentent souvent oubliées par les institutions nationales.

D’autres informations suivront, publiées sur le site http://grehack.fr/. L’ancien serveur Web Grehack.org doit être considéré comme « deprecated » (c’est comme ça qu’on parle dans ce milieu de sorciers du code, paraît-il)

* NdlC Note de la correctrice : Terme de Geek tendance dure et « canal historique » issu d’un roman de Heinlein (En terre étrangère) signifiant « comprendre dans sa complétude ». Je groke, donc je hacke. ACK ?

La récente affaire des écoutes Présidentielles et l’assurance de la part de l’Administration Obama que de telles choses ne se reproduiraient jamais plus deviennent soudainement savoureuses après une nouvelle « fuite » Wikileaks qui révèle (parole de barbouze) que la mise sur écoute tant des principales personnalités politiques Françaises que les grandes entreprises des secteurs bancaires, de l’aéronautique, de l’automobile, de la pétrochimie ont coûté à la France un déficit de plus de 200 millions de dollars/Euros sur les 10 dernières années. Parmi les entreprises espionnées, BNP-Paribas, AXA, Crédit Agricole, Peugeot, Renault, Total ou Orange. A raison de 20 millions de Dollars/Euros par an, certaines amitiés finissent par coûter plus chères que le trou de la sécu.

Au nombre des bénéficiaires des informations ainsi volées, les « 5 eyes », et plus particulièrement la Grande Bretagne, pays de la zone Euro, faut-il le rappeler.

L’on se rappelle des cris d’orfraie que poussaient les dirigeants d’Airbus Industries (EADS) lorsque l’affaire du réseau Echelon a été mise au grand jour, révélant à quel point les agents de la NSA censés combattre les ennemis de Washington pouvaient travailler directement pour les intérêts des groupes industriels US. L’on pourrait se poser la question d’un tel silence aujourd’hui ?

Mi-juin, le blog RTS-SDR publiait un article intitulé « vol de clefs de chiffrement à l’aide d’une SDR capable d’écouter les émissions électromagnétiques involontaires ». Encore une « side channel attack » conçue par quatre universitaires de Tel Aviv et qui n’apporte pas grand-chose de fondamental dans le domaine… d’autres s’y sont pris en mesurant les variations d’appel de courant dans l’alimentation du PC cible, ou en surveillant les infimes modifications du courant secteur, voire, pour les plus chevelus, les subtiles différences du bruit des ventilateurs qui laisseraient deviner les instants de brèves surcharges des CPU.

Ce qui, en revanche, est assez amusant, c’est le souci d’intégration et d’autonomie dont ont fait preuve les chercheurs, en associant une de ces clefs USB « large bande » (une FunCube, et non une simple clef DVB-T Chinoise) et un « femto-ordinateur», une carte Rikomagic MK802 (quad core Mali T764). Avec 4 piles AA et un bout de câble coaxial monté en antenne « boucle magnétique », le récepteur espion tient dans une main et enregistre sur sa carte SD tout ce qui fait du bruit électromagnétique dans un périmètre de 50 cm.

Casser une clef de chiffrement en écoutant les émissions Tempest d’un ordinateur dont l’unique tâche est de chiffrer et déchiffrer un texte ne fait pas franchement frémir la profession. La presse, en revanche, s’est soudainement réveillée plus de 15 jours après l’annonce. Wired tout d’abord, les forums de Reddit, nos voisins du Reg, tous se sont précipités sur ce hack d’un pas trop nouveau genre.

La menace que représente une telle attaque (même avec un système de traitement de signal plus puissant et une antenne de plus grande envergure) demeure assez faible. L’ordinateur, cet animal tantôt sauvage, tantôt domestique, est doté d’un solide instinct grégaire et fait preuve d’un comportement omnivore évident. En d’autres termes, même en effectuant un filtrage complexe, de telles attaques deviennent quasi impossibles à conduire si la pièce contenant la machine-cible contient plusieurs autres systèmes (le rayonnement de l’ordinateur visé est en effet difficile à discriminer) et si l’ordinateur en question exécute une foultitude de tâches simultanément aux opérations de chiffrement, le bruit général rend tout discernement des opérations de chiffrement … indéchiffrable. Et c’est, hélas pour les chercheurs, généralement le cas dans la nature.

En revanche, dans le cadre d’attaques moins « glamour » visant des « émissions électromagnétiques volontaires » (clefs Wifi, dongle Bluetooth, extensions GSM et autres accessoires sans fil), un tel équipement peut se montrer d’une efficacité redoutable. Erreurs d’intégration, mécanismes de chiffrement simples à casser (et encore s’ils existent, ce qui n’est pas toujours le cas), vulnérabilité aux attaques en « evil twin »… les SDR pourraient bien devenir le cauchemar des Objets de l’Internet et autres gadgets connectés à l’aide de systèmes de transmission sans fil. Le bruit, en radio, est une source intarissable de renseignements, ainsi nous le démontrent avec talent Oona Räisänen ou Melissa Elliott