« Nous achetons du Zero Day accompagné de son exploit, surtout si celui-ci concerne un navigateur, un noyau, un lecteur de fichier multimédia, des téléphones mobiles, des serveurs Web ou d’applications, des applications Web… et tout ce qui pourrait tourner autour, des équipements réseau aux passerelles et produits de sécurité ». Le programme qu’affiche Zerodium sur sa page de garde ne laisse planer aucun doute, Vupen, après son installation aux USA, diversifie sa collecte de matière première.
Jusqu’à présent, l’entreprise de Chaouki Bekrar effectuait ses propres recherches de faille, développait ses propres exploits. Un fonctionnement en interne garantissant à la fois une maîtrise et une cohérence des processus d’écriture. Mais la militarisation intensive du marché de l’exploit nécessite parfois un volume de production qu’il est difficile de maintenir en permanence. «Nous payons beaucoup, nous exigeons des fournitures de qualité, à la hauteur de nos tarifs et des espérances de nos clients, généralement des organisations gouvernementales, financières ou des nouvelles technologies » affirme en substance la FAQ . Mais la valeur d’achat des exploits n’est pas divulguée, chaque travail étant discuté de gré à gré selon son efficacité, la taille de sa cible potentielle et son degré de furtivité.
Cette création d’entreprise (et diversification d’activité) survient quelques semaines après le scandale Hacking Team, après que bon nombre de médias grand public aient littéralement découvert l’existence de ce marché du trou de sécurité et son intrication avec le monde du renseignement.
Un mouvement stratégique et politique
Car il n’y a pas de hasard dans cette création d’entreprise. « Grâce » à l’affaire Hacking Team et plus particulièrement aux courriers mentionnant son refus de traiter avec le Kurdistan, Vupen sort grandi de cette histoire. Son intégrité n’est plus à mettre en doute, l’entreprise se situe bien du côté des « gentils occidentaux ». C’était maintenant ou jamais qu’il fallait lancer Zerodium, même si le projet traînait déjà dans les cartons depuis quelques temps. Le moment est à la fois politiquement bien choisi et stratégiquement opportun.
Stratégiquement, car le marché des cyber-armes est en plein développement d’une part, et commence à soulever quelques questions éthiques d’autre part, surtout depuis la publication des fichiers Snowden et la révélation des activités de Hacking Team. Interrogations qui pourraient bien conduire à l’établissement d’un contingentement des armes et des fabricants d’armes patentés, et par conséquent interdire l’apparition de nouvelles initiatives ou bloquer les développements des sociétés déjà en place.
Pourquoi un contingentement ? Parce qu’indirectement, l’affaire Hacking Team est l’évolution civile et commerciale logique des affaires des écoutes de la NSA ou des armes logicielles à la Stuxnet. Parce qu’il apparaît clairement qu’officieusement, les USA et les principaux Etats d’Europe, parfois par le biais de sociétés privées, pratiquent, sur le front des NTIC, ce que l’on appellerait des « incursions tactiques » chez les uns et « de graves ingérences dans les affaires d’un pays » chez les autres. Et que, pour mieux jeter un voile pudique sur ce marché des armes informatiques et imposer le secret sur les transactions, rien de tel qu’un accord Wassenaar, qui fera taire les journalistes et fuir les curieux. Le contingentement est inévitable, il fait l’objet de campagnes de presse adroitement orchestrées depuis plus de deux mois aux Etats-Unis.
C’est donc maintenant et pas plus tard que Bekrar devait agir. Car le marché est quasiment sur le point de se stabiliser, voire de se figer, autour de deux axes principaux. Les fournisseurs d’exploits « certifiés » par les Anssi et autres DoD, sous-traitants privilégiés des agences à trois (ou quatre) lettres, ayant patente de vente pour les produits finis et licence d’achat pour les matières premières. Et les francs-tireurs, les Hacking Team, les Crypto AG dont le blason, terni pour maintes raisons, ne peuvent trouver d’autres débouchés que sur le marché noir ou gris. A terme, des techno-mercenaires qui travailleront pour le plus offrant que refusent d’alimenter les vendeurs « officiels », mais qui pourraient aussi bien œuvrer pour le compte des 5 ou 8 yeux lorsqu’une implication directe semblerait trop compromettante ou risquée.
L’existence même de ces « gendarmes katangais du code » est parfois comparée à l’activité des « pirates incontrôlés » (ou groupe de patriotes qui agissent spontanément) de Chine ou de Russie et qui font souvent la manchette des journaux. Des troupes de cyber-assaut d’ailleurs spécialisées dans le harcèlement de sites Web et le déploiement d’APT, des troupes qui nécessairement disposent de leur propre marché des exploits, pour l’heure encore très peu cartographié. Garçon, un Coca-Root Beer, à la cuillère, pas au shaker.
Lundi noir pour les Grands Bretons, qui apprennent par le biais du journal télévisé que Carphone Warehouse, l’une des principales chaînes de magasins spécialisés dans la téléphonie mobile s’est fait dérober près de 2,4 millions d’identités. Sur le nombre, au moins 90 000 d’entre elles comporteraient un numéro de carte de crédit, information chiffrée précise l’entreprise, sans mentionner dans quelles conditions. La grande majorité des fiches personnelles comporterait une adresse de messagerie, les risques de phishing massif ne sont donc pas à écarter. La direction demande urgemment à sa clientèle de s’enquérir d’éventuels retraits suspects auprès des banques. Lundi noir, par voie de conséquence, dans le secteur bancaire qui va recevoir d’un coup la bagatelle de 2,4 millions de coups de téléphones affolés. Ou peut-être moins, car la « home page » de Carphone Warehouse ne fait aucune mention de cette mésaventure. Il faut avoir un peu l’instinct d’Arthur Dent pour découvrir, au détour d’une page, la Foire Aux Questions officielle. Et il apparaît que d’autres clients risquent d’être concernés par ce hack : les sites de OneStopPhoneShop.com, e2save.com, Mobiles.co.uk, TalkTalk Mobile et Talk Mobile ont également subit les conséquences de cette intrusion.
Discrétion toute aussi grande pour ce qui concerne les méthodes utilisées par les pilleurs de données. Tout au plus apprend-on que le hack remontait au moins à deux semaines avant sa découverte et que « les failles le permettant ont été immédiatement fermées ».
Yisroel Mirsky, chercheur à l’Université Ben Gurion, présente dans le cadre de la conférence Usenix une méthode d’espionnage assez subtile : l’exfiltration de données par des méthodes « sans-fil » sans que l’ordinateur espionné ne bénéficie de la moindre connexion, qu’elle soit par câble Ethernet ou autre brin radio (Wifi, Bluetooth, Zigbee ou autre). Preuve vidéo à l’appui.
Le principe est assez simple et nécessite tout de même un accès console et un terminal mobile (pas nécessairement un smartphone d’ailleurs). Dans un premier temps, la machine visée est compromise par un keylogger un peu particulier, qui va récupérer l’ascii de la touche enfoncée et s’en servir pour moduler un signal radio… lui-même généré en effectuant des accès mémoire à fréquence élevée. En général, une écriture en RAM ne rayonne que très peu d’énergie électromagnétique, mais en parallélisant plusieurs cycle simultanément, le niveau d’énergie s’élève légèrement. Il devient assez puissant en tous cas pour être reçu par le circuit « bande de base » d’un téléphone GSM (compromis lui aussi) situé dans la même pièce. Précisons au passage qu’il n’est même pas nécessaire que le téléphone soit équipé d’une carte SIM puisque rien, dans ce hack, ne nécessite la présence d’un réseau d’opérateur.
Cette attaque tirée par les cheveux n’est pas particulièrement nouvelle si l’on suit avec attention les différents travaux de Mirsky. Il y a un an environ, une extraction de données utilisant des fréquences plus basses (bande des radios FM, 88 à 108 MHz), donc plus faciles à générer et pouvant porter plus loin, avait été mis au point, utilisant notamment le récepteur FM que l’on trouve de plus en plus souvent sur les téléphones récents. Elle rappelle d’ailleurs la conférence donnée durant Hack in Paris par deux chercheurs de l’Anssi
La probabilité d’une telle attaque est excessivement faible et, dans le large spectre des compromissions utilisant des bidouilles radio, le Poc de l’équipe Mirsky fait partie des moins probables. La portée effective est très faible, l’attaque nécessite deux hacks successifs dont un avec accès console (détectable donc, même si, comme le prétend le chef de projet, l’empreinte du malware est imperceptible) et surtout le débit de transmission est d’une lenteur excessive, de quelques centaines de caractères par seconde au grand maximum. Ce n’est pas avec cette méthode qu’on risque de kidnapper l’intégrale des versions de Windows 10. Mais un simple mot de passe … Pourquoi pas.