septembre, 2015

Tout ce qui est « sans fil »ne laisse plus indifférent, la chose est heureuse. Pourtant, depuis plus de 15 ans, de nombreux spécialistes tirent le signal d’alarme. Erreurs d’intégration, mots de passe par défaut, absence de chiffrement ou chiffrement symbolique, authentification approximative, équipements d’une qualité technique proportionnelle aux économies d’échelle imposées aux OEM… s’il y avait un Owasp du sans-fil, le volume de ses recommandations concurrencerait celui de la Comédie Humaine.

Et les preuves de ces erreurs se multiplient depuis ces deux dernières années, pour deux raisons principales. En premier lieu, les vendeurs de gadgets (de la montre pour cyber-jogger à la caméra de surveillance pour nourrisson) croissent et se multiplient, ce qui provoque une augmentation statistique des failles exploitables. Bienvenue dans le monde communiquant et autonome de l’Internet des Objets. L’autre raison de cette vague de « radio-bourdes » à répétition, c’est qu’il est de plus en plus facile, de moins en moins coûteux de surveiller et analyser cette activité sans fil. Une simple radio logicielle (SDR) à 8 euros suffit généralement. Sans un Wireshark branché sur un brin Ethernet, on ignore l’activité des chevaux de Troie, sans SDR (ce Wireshark des ondes), on oublierait presque qu’un périphérique IoT bavarde en permanence et divulgue des informations à qui veut bien les entendre.

La première semaine de septembre a commencé avec un évènement monté en épingle par les médias grand public : le détournement d’un panneau d’affichage au centre de Lille par une attaque en « evil twin » sur un réseau radio non chiffré. Le niveau de difficulté est à la hauteur du vocabulaire utilisé lors du détournement, autrement dit très bas. Le hack des affichages municipaux est assez fréquent et l’absence de protocole de sécurité est un secret de polichinelle. Déjà, il y a plus de 15 ans, une municipalité des environs de Metz subissait un cyber-assaut du même genre, rondement mené par un groupe de collégiens. La « sécurité » du réseau reposait sur une transmission 75/1200 bps « retournée », accessible à tout possesseur de Minitel 1BR. Aujourd’hui, 15 euros de composants, GNU Radio et un ordinateur (ou l’achat d’une carte HackRF si le « hacker » n’est pas doué pour les brasures CMS) et le tour est joué.

Que les élus soient rassurés, l’auteur de cette action médiatique (@ivoidwarranties) s’est montré d’une sagesse et d’une retenue exemplaire. Les panneaux d’affichage ne sont pas les seuls équipements urbains reliés par une infrastructure radio. Il semble donc que les équipes chargées de la SSI au sein des grandes municipalités ne soient jamais consultées lorsqu’un marché d’équipement fait l’objet d’un appel d’offre, ou que les élus confondent les mots « audit sécurité » et « audit financier ».

Electrosensibilité, un terrain juridique sensible

Encore le danger des ondes, mais sous un angle purement médical, cette fois. Le 25 août dernier, le tribunal de Toulouse reconnaissait l’existence d’un handicap provoqué par une hypersensibilité aux ondes électromagnétiques. Le journal Le Monde notamment s’en faisait l’écho.

Toute la question est de savoir si cette décision fera ou non jurisprudence. Jusqu’à présent, les constatations médicales ou les plaintes liées à des nuisances électromagnétiques visaient essentiellement des installations WiFi ou des relais de téléphonie. Nulle mention des émetteurs broadcast ondes longues et courtes de plusieurs centaines de kilowatts et opérationnels depuis près d’un siècle, des infrastructures militaires, des faisceaux hertzien des opérateurs télécom, de la virulence du plus gros émetteur radio que sont le soleil ou la foudre, voir du bruit galactique permanent émis par l’univers.

Il n’est pas question de mettre en doute les conséquences cliniques d’une sensibilité reconnue par le corps médical, mais de s’interroger sur les risques et les interdits qu’une jurisprudence « globale » pourrait entraîner. Que doit-on limiter, de quelle manière appliquer un « principe de précaution » ? Quelles sont les fréquences, quels sont les niveaux de puissance en fonction de la fréquence considérée ? Car le vocable « ondes électromagnétiques » couvre des ondes kilométriques aux rayonnements durs… certains de ces rayonnements étant, par nature, nuisibles à toute forme de vie, d’autres absolument nécessaires, d’autres enfin aussi indispensables à notre civilisation que la roue ou que le feu.

Ce flou, cette absence totale de réflexion technique, d’autres en profitent. A titre d’exemple, le site « architecture of radio » qui prétend vendre une « App » sous IOS et Android capable de « visualiser en temps réel notre « infosphère », cellules GSM, routeurs WiFi, communications (sic), navigation et satellites d’observation et leurs signaux ». Traduisons : « utilise les interfaces LTE-WiFi-Bluetooth-GPS pour afficher des graphiques sans grande signification sur un fond d’écran artistiquement dynamique, le tout accompagné de propos vagues et ambigus destinés à faire progresser nos ventes ». Ce genre d’application en apprend moins sur l’activité radio qui nous entoure qu’une simple clef USB type RTL-SDR, que l’on peut considérer comme le niveau zéro de l’exploration électromagnétique. Architecture of Radio n’est hélas qu’un des nombreux exploiteurs d’ignorance, seulement coupable de proférer les mêmes propos qu’avancent quelques boutiquiers adeptes du business-model de la peur, de l’incertitude et du doute infondé.

Le véritable risque radio vient du fait qu’il s’agit d’une couche de transport longtemps considérée comme « magique et inconnue » par les praticiens de la logique et du binaire. Ce n’est plus le cas de nos jours. Le mystère qui entourait le sans-fil et garantissait une certaine inviolabilité des communications se dissipe, et surtout dévoile, une fois les principes radio de base assimilés et désacralisés, les mêmes erreurs grossières, les mêmes manquements, le même peu de cas que l’on fait de l’utilisateur final et de sa sécurité. Cette semaine encore, Rapid7 publiait une sorte de banc d’essais comparatif de 9 systèmes de monitoring pour nourrissons. Ces successeurs des « bébéphones », bien entendus reliés désormais à Internet, sont un florilège des erreurs les plus communes : mots de passe « hard codés », transmissions en clair tant du contenu que des commandes, vulnérabilités ouvrant sur un « remote shell »… La chose peut se comprendre à la rigueur lorsque les constructeurs viennent du monde de la puériculture. La sécurité informatique ne s’invente pas. Mais lorsque l’appareil est estampillé Philips ou TrendNet, la pilule est plus difficile à avaler. Elle passe encore moins bien lorsque ladite transmission sans fil fait partie d’un système d’assistance de conduite automobile comme il s’en est fait pirater par dizaines lors des dernières Black Hat ou Usenix Conference, d’une pompe à insuline ou d’un stimulateur cardiaque comme le clamait il y a peu Billy Rios, ou d’un système de navigation ainsi que le démontrait la chercheuse Chinoise Lin Huang, de Qihoo 360 (à noter que le spoofing des informations GPS à l’aide d’un SDR n’est pas franchement nouveau).

Comme pour enfoncer le clou, la toute dernière édition du CCC ( Chaos Communication Camp) offrait à chaque participant un badge qui n’était en fait qu’une radio logicielle couvrant de 50 MHz à 4 GHz, réception ET émission. Un proche cousin du SDR HackRF qu’ont utilisé Lin Huang, @ivoidwarranties, Charlie Miller, Samy Kamcar pour ne citer que ceux ayant fait la manchette des journaux ces derniers temps.

Winter is coming !

Tout ce qui est sans-fil est donc susceptible d’être piraté ? En grande majorité, oui, surtout si le contenu n’est pas chiffré. Et encore, les métadonnées et la géolocalisation des correspondant peuvent-elle déjà se montrer indiscrètes. Il a fallu près de 10 ans pour que les constructeurs de routeurs WiFi commencent (et encore bien imparfaitement) à respecter certaines règles d’intégration pour améliorer la sécurité de leurs produits. Autrement dit, un très petit nombre d’industriels spécialistes du monde pourtant abstrus des réseaux, a fait preuve d’une très longue période d’adaptation et de prise de conscience. Comment les boutiquiers de l’Internet de la Ville Connectée, de l’hôpital connecté, de la navigation connectée, de la voiture connectée, de l’épluche-bébé ou de l’atomixer connecté puissent faire mieux ?

Ils bénéficient pourtant tous d’un répit appréciable qu’il ne faut surtout pas gaspiller. Car les hakers susnommés sont encore très loin d’avoir compris la portée de leur geste et les limitations de leurs équipements. Les rares à avoir véritablement appréhendé le niveau de risque effectif ont pour nom Michael Ossmann, Youssef Touil, Oona Räisänen, Philip Covington, Kevin Wheatley… tous savent que les outils de hack actuellement disponibles peuvent être qualifiés de jouets : sensibilité très moyenne, résistance à la transmodulation nulle, puissance ridicule, dynamique trop faible tant que les CAN d’entrée ne dépasseront pas 16 bits au moins, linéarité catastrophique, produits de mélanges trop nombreux pour analyser un spectre sans avoir quelques doutes sur des dizaines de signaux fantôme qui se dessinent à l’écran, taux d’échantillonnage insuffisant… et usagers qui, très rarement, savent que le mot « antenne » ne se trouve ni sur eBay, ni sur Alibaba.

Cette ignorance relative n’aura qu’un temps. A la lecture de certains forums spécialisés, on se rend compte que ces questions sont très souvent évoquées, que des solutions existent ouvrant une foultitude de possibilités. Le hack d’un panneau d’affichage, c’est amusant. La compromission de l’infrastructure de signalisation de tout un centre-ville ou le déni de service d’une centaine de véhicules sur le boulevard périphérique Parisien est nettement moins drôle. Ce n’est qu’une histoire de portée, de traitement de signal, de furtivité des stations initiant une telle attaque. C’est d’ores et déjà possible aujourd’hui avec des moyens conséquents, ce le sera demain avec des appareils à moins de 200 euros.

L’idée même d’un cyber-crime toujours impuni serait-elle en passe de s’étioler ? Il y a encore beaucoup de chemin à faire, les aléas de la politique étrangère viennent parfois entraver les enquêtes, mais la collaboration entre les juges et policiers chargés du cyber commencent enfin à donner des résultats, explique Alexandra Ruiz sur le blog de Lexsi. Et de citer le nombre croissant d’arrestations notamment en Ukraine, un pays longtemps considéré comme l’un des principaux « safe harbor » du cybercrime organisé. Peu à peu, Europol, Eurojust, les accords avec les pays d’Europe Centrale, avec Israël ou les différents Etats d’Afrique du Nord débouchent sur un nombre croissant d’arrestations : démantèlement des réseaux utilisant Zeus et SpyEye et arrestation de 5 suspects Ukrainiens, décapitation d’un réseau d’escroquerie en 2012 en Europe de l’Est avec plus de 60 personnes (dont 34 mules) mises sous les verrous, interpellation en 2014 de responsables de plusieurs « fraudes au Président » puis, en 2015, de deux Franco-Israéliens spécialisés dans la carambouille. Dans bien des cas, les relations avec les pays concernés étaient relativement tendues, mais les décisions de justice ont su passer outre. Parfois, le travail des juges est rendu encore plus difficile, et un froid dans les relations diplomatiques (comme cela est le cas notamment avec le royaume Marocain depuis quelques temps) peut retarder considérablement l’avancement d’une enquête, au risque de voir disparaître des radars certains suspects.

… ou presque

Mais ce que la police bloque à droite reprend de plus belle à gauche. La rédaction de Cnis Mag citait un récent rapport du FBI laissant entendre que les « fraudes au Président », ou BEC en cyberlangage, connaissaient une inflation phénoménale. Cette semaine, l’Ondrp (l’Observatoire national de la délinquance et des réponses pénales) publie un rapport indiquant que les fraudes bancaires en France avaient connu une nette progression de +67% entre 2010 et 2013, avec 840 000 affaires recensées. Des vols en moyenne inférieurs à 240 Euros (il y a quelques notables exceptions dans 17 % des cas) et dont l’augmentation est directement liée avec l’importante évolution des achats en ligne. Peu de plaintes, car les banques remboursent généralement (80% des victimes ont récupéré leur argent). Pas de plainte, pas d’enquête, pas d’enquête, pas de condamnation dans la majorité des affaires.

Des banques qui sont également la cible directe d’attaques contre lesquelles il est difficile de se protéger. Ainsi cet assaut en règle que subissent près de 14 établissements financiers japonais. Le malware utilisé durant cette attaque est une sorte d’hybride obtenu par clonage, mélangeant des bouts de code provenant de plusieurs souches, dont Shiz, Gozi, Zeus et Dridex expliquent les chercheurs de la X-Force IBM. Ce mélange des genres donne naissance à une cyber-arme qui bénéficie des atouts les plus forts de ses géniteurs : furtivité, utilisation de certificats authentiques qui trompent la vigilance des passerelles de sécurité, chiffrement renforcé, mise à jour automatique grâce à un réseau de C&C difficiles à situer, mécanismes d’autodéfense à base d’antivirus (sic) capable d’éliminer d’éventuels malwares concurrents… alors que les méthodes de lutte contre la cyberdélinquance entament leur adolescence, les outils de truands ont depuis longtemps atteint l’âge adulte.

Un long article signé Ellen Nakashima, du Washington Post, nous apprend que la Maison Blanche envisagerait d’imposer des sanctions économiques à la Chine principalement, en réponse à la vague d’espionnage industriel visant particulièrement les entreprises des Etats-Unis.

Ce bruit de couloir savamment orchestré survient deux semaines à peine avant que le Président Chinois Xi Jinping ne vienne en visite officielle sur le sol nord-Américain. Les sanctions prévues, expliquer Nakashima, pourraient aller jusqu’à geler les avoirs et interdire tout échange avec des sociétés commerciales ou des organisations s’étant rendues coupables d’attaques ou d’actes d’espionnage dans le cyberespace US. Des mesures de rétorsion donc très ciblées, ne visant pas spécifiquement l’Empire du Milieu mais ses sujets les plus turbulents. Les opérations de barbouzerie à grande échelle telle que le hack des serveurs de l’Office of Personnel Management qui a touché plus de 22 millions de fonctionnaires et employés d’Etat ne seraient pas pris en compte, car relevant plus des opérations « d’espionnage traditionnel » que de la guerre économique.

Il s’agit donc d’une simple opération d’intimidation diplomatique avec très peu d’effets de bord. Non seulement les preuves permettant d’établir des faits de cyberespionnage industriels sont généralement difficiles à prouver, et d’autre part le sacrifice de deux ou trois « enseignes » permettrait à l’Administration Obama de montrer une certaine fermeté sans compromettre le discours diplomatique. La Chine, qui détient une part non négligeable de la dette des USA et qui menace, depuis quelques semaines, de dévaluer sa monnaie, est en position de force économique. Toute sanction générale visant le pays tout entier compromettrait fortement les espoirs diplomatiques de la Maison Blanche. Il est toutefois intéressant de noter que jamais, jusqu’à présent, l’importance de la sécurité des systèmes d’information n’avait joué un tel rôle et un tel prétexte dans l’équilibre des forces opposant des Etats Nations

Cela fait déjà plus de 5 ans que la gamme d’outils de contrôle de processus Siemens, gamme Simatic, fait l’objet de divulgations et alertes de sécurité dans le landernau de la recherche Scada. Outils et logiciels de supervision associés qui, parfois des années durant, ont exposé leurs usagers (et par conséquent plusieurs Opérateurs d’Importance Vitale) à des risques inconsidérés : mots de passe « en dur et en clair », ou failles affectant toute une gamme d’appareils puisque la dernière alerte publiée par le Cert US et ayant pour origine les travaux de Ilya Karpov de Positive Technologies ne compte pas moins de 9 équipements autorisant une attaque « man in the middle ».

De l’avis des chercheurs Russes ayant inventé ces failles, et conformément aux estimations CVE, l’indice de dangerosité CVSS s’élève à 6.8 sur une échelle de 10.

L’intrusion dans le S.I. des sites de rencontre Ashley Madison semble sortir tout droit d’un opuscule « tout ce que vous avez voulu savoir sur les erreurs à ne pas commettre en matière de gestion de crise ». Mais il est assez peu probable qu’un tel ouvrage soit un jour écrit, pas plus que n’a été écrit un tel guide au lendemain de l’affaire CardSystems. D’ailleurs, qui en a tiré des leçons utiles, qui s’en souvient encore.

Dans un premier temps, il semble que la direction du groupe ait totalement ignoré (ou pris au sérieux) les menaces des pirates. Même si les espoirs de retrouver les coupables alors étaient excessivement faibles, les délais nécessaires aux tractations auraient pu être mises à profit par des enquêteurs.

Vient ensuite la réaction envers les abonnés, lesquels se sont fait proposer une assistance gratuite en cas de risques financiers. Certes, ce geste était la moindre des choses, compte tenu des frais parfois astronomiques que certains établissements demandent pour fournir l’historique d’un compte. C’était déjà avouer, contrairement à ce qui a été affirmé au lendemain de la révélation du hack, que strictement aucune donnée bancaire n’avait pu être subtilisée. Mais surtout, rien, dans les communiqués de l’entreprise, ne laissait transparaître la moindre compassion. Cette froideur vis-à-vis de ses propre clients n’a pas franchement joué en faveur de l’image de marque de l’entreprise Canadienne.

Le troisième stade s’est avéré encore plus catastrophique : aucun contre-feu médiatique intelligent n’a été réellement organisé, donnant l’impression que la Direction toute entière était frappée par la foudre. Pourtant, l’éventail était vaste : victimisation, position volontariste, publication d’une profession de foi… n’importe quoi aurait pu minimiser la condamnation unanime des média nord-américains, généralement très puritains. Il faudra attendre les premières rumeurs de suicide d’un client (rumeurs difficilement fondées d’ailleurs) pour que l’entreprise mette à prix la tête des pirates, promettant une prime d’un demi-million de dollars. Réaction de vengeance, toujours sans le moindre témoignage de sympathie envers les abonnés. Entre temps, les courriels internes de l’entreprise dévoilent certaines pratiques et tendances de la haute direction, et notamment la preuve qu’eux-mêmes se seraient rendus coupables d’intrusion dans les systèmes d’au moins un de leur concurrents. Cet aveu ainsi que quelques indiscrétions sur la vie privée du CEO Noel Biderman, lui vaudront un licenciement à la fin du mois d’août. L’on apprenait la veille que les clients ayant eu la prudence de faire supprimer leurs comptes moyennant 19 $ de frais d’intervention, n’avaient bénéficié de la déléature de leur seul nom et prénom. Toutes les autres données du profil, assez précises pour déterminer l’identité de la personne, demeuraient inscrites dans les bases de données et ont été diffusées sur quelques dizaines de liens Bittorent.

Le difficile métier d’entremetteur implique à la fois une certaine honnêteté (il n’est pas sage de promettre si l’on ne peut tenir une réputation), un niveau de confiance et de discrétion absolus. C’est ce qui faisait la force d’un duc de Richelieu, bêta-testeur expérimenté et conseiller technique de Louis XV. Las, la Direction d’Ashley Madison n’a fait preuve ni de la compétence, ni du jugement, ni l’intelligence de ce grand libertin. Devant tant de manquement, l’entreprise pourrait bien connaître la même fin que CardSystems.