février, 2016

«Surveiller Internet, tout Internet » le but du CGHQ, nid d’espions Britannique selon Cory Doctorow, qui à l’aide d’une nouvelle fournée de documents Snowden, énumère l’arsenal numérique des barbouzes d’Outre-Manche.

« l’Internet des Objets sera utilisé par les services de renseignement pour espionner, recruter et pirater ». Cette petite phrase Orwellienne est signée James Clapper, le Directeur National chargé des renseignements des Etats-Unis. Et c’est Hot for Security qui l’a dénichée

Drame de la vie numérique : le compte Twitter de l’ex Beatles Ringo Starr a été piraté par un hacker surnommé « af », nous apprennent nos confrères de Daily dot.

Prenez quelques centaines d’outils d’espionnage technologique sauce Snowden employés sur cinq ou six milliers de cas d’espèce. Ajouter un peu de concurrence sauvage et une bonne main d’analyse des métadonnées mûries sous le soleil des Gafa. Mélangez énergiquement avec une dénonciation des accords unilatéraux du Safe Harbor par la Cour de Justice Européenne. Epicez avec une dématérialisation des progiciels et une généralisation des messageries Cloud, nappez le tout avec une bonne couche d’OIV et autres acteurs stratégiques qui ont vu s’envoler en fumée tout espoir de « cloud souverain ». Et servez vos données encore chaudes à qui veut se donner la peine d’y goûter.

Voilà très exactement à la fois la clientèle que vise la startup Française Difenso (fondée en juillet de l’an passé), un « Cloud broker » concurrent des CypherCloud ou Adallom. Son DG, Eric Sallou, explique « Mon travail : chiffrer les données depuis le poste de l’usager jusqu’au service Cloud qu’il utilise, rendre opaque tout échange devant transiter sur le réseau public. Mes atouts : être Français, donc échapper aux contraintes juridiques liées à un Patriot Act quelconque, et tout faire pour obtenir une certification Anssi » (ndlr Certification Sécuritaire de Premier Niveau). Et l’on pourrait ajouter « rester abordable ». Les tarifs proposés sont à la portée des PME et professions libérales, aux environs de 5 Euros par poste et par mois pour ce qui concerne les offres Messagerie. La protection des modèles SaaS à la Salesforce reste, quant à elle, établie selon un barème lié au coût de licence utilisateur.

Techniquement parlant, Difenso commercialise un service reposant sur une « appliance », qui intercepte tout trafic destiné à un service en particulier, le chiffre de manière transparente, puis l’expédie à destination. Pour l’heure, le « core system » gère les services Salesforce, Talensoft (service R.H.), les offres Cloud Google (Gmail etc.) et Exchange 365. Exchange seulement ? « Pour l’heure, c’est essentiellement sur cette partie que la demande est la plus forte. Nous commençons à recevoir quelques demandes pour Sharepoint, mais pas encore sur les autres services 365 ».

L’opération inverse est également totalement transparente tant que le destinataire appartient à la même organisation et fait transiter ses échanges via la même passerelle. « Presque » transparente devrait-on écrire. Car s’il n’est pas nécessaire d’invoquer une interface de chiffrement spécifique lors de l’envoi d’un courriel, il faut cependant ajouter un interrupteur pour que la passerelle sache si le courrier sortant est à chiffrer ou non. En général, cet interrupteur est constitué par un groupe de lettres remarquables glissé dans l’intitulé du message. Les services cloud tels que Salesforces et assimilés, quant à eux, sont automatiquement protégés par une session SSL, du navigateur situé sur le poste client jusqu’au service SaaS.

Les contacts de messagerie extérieurs qui ne sont pas client Difenso, quant à eux, doivent faire appel à un service accessible en ligne pour obtenir une clef de déchiffrement. L’opération est gratuite, et devient elle aussi transparente une fois que la personne s’est inscrite sur le portail. « Nous sommes très attachés à cette gratuité d’usage pour les personnes « extérieures », d’autant plus qu’elle est indispensable à certains de nos clients, tels les cabinets d’avocats, qui doivent correspondre en permanence avec des particuliers » insiste Eric Sallou. Apparemment, la chose paraît simple. Il a pourtant fallu adapter les agents « client » à tous les logiciels et services de messagerie les plus courants : imap, smtp, solution dédiées, interface Web ou U.A. spécifique (Outlook et concurrents), en versions poste fixe ou applications mobiles sous Android ou IOS. D’autres développements et services sont en cours, qui suivent l’évolution de l’informatique dans le nuage. Bien sûr, on pense aux services publics de partages de fichiers, à la possibilité de « réponse chiffrée » d’un non-abonné à une entreprise équipée d’une passerelle Difenso, à d’autres outils de communication plus instantanés mais rarement chiffrés.

Toute l’attention de la presse US est retenue par une affaire jugée dans le comté de San Bernardino (Californie). Le juge demande à Apple de fournir à la cour une « mise à jour » du firmware IOS facilitant l’accès aux données d’un terminal modèle 5C.

La demande fait grand bruit car le jugement en question porte sur l’assassinat de 14 personnes par un couple se réclamant combattre sous la bannière de l’Etat Islamique. L’affaire est d’autant plus médiatisée qu’elle est politiquement exploitée par le Gouvernement Obama dans son combat contre la vente libre des armes à feu. Elle pourrait bien servir également dans l’affrontement qui oppose conservateurs d’un côté et défenseurs des libertés individuelles de l’autre.

Nos confrères d’Engadget font discrètement remarquer que la Justice US tente d’exploiter au mieux le pathos qui entoure cette histoire. Plus discrète, effectivement, est une demande d’accès aux données chiffrées d’un autre iPhone par un juge de New York. Là, l’affaire ne concerne qu’un simple trafic de stupéfiants. Exploiter l’émotion pour justifier une systématisation des perquisitions numériques pour des motifs de moins en moins graves, c’est ce que dénoncent les organisations de défense des libertés individuelles. Tim Cook ne s’y est pas trompé et refuse de céder à cette forme de chantage .

Mais le combat est difficile, les affirmations populistes et anxiogènes des faucons conservateurs touchant une large part de l’opinion publique. Situation paradoxale également, car les supporters de ce « droit de perquisition numérique » sont également, pour la plupart, des soutiens indéfectibles de la NRA (National Riffle Association), fer de lance du lobby des armes. La stigmatisation du « coupable numérique » focalise toutes les attentions sur la question du chiffrement exploité par des terroristes, et fait oublier l’origine du problème : dans la plupart des Etats de l’Ouest des USA, il suffit d’un permis de conduire pour acheter une arme automatique.

D’un point de vue purement technique, un billet non signé du blog Errata Sec estime que techniquement, la demande du juge est envisageable, le modèle 5C n’étant pas équipé de la fameuse « secure enclave » (également baptisée « zero knowledge implementation ») qui fait la force du 5S. Et de rappeler les différents mécanismes de protection dont bénéficie le terminal, tel que le nombre limité de tentatives d’entrées de mot de passe ou l’effacement des données en cas d’échecs successifs.

Ni David Maynor, ni Robert Graham n’ont le moindre penchant pour les thèses Républicaines. Pourtant, leurs avis sur la question ne laissent planer aucun doute : toucher à la sécurité des terminaux et contraindre Apple à collaborer à cette fragilisation risque de créer un précédent et une banalisation d’usage.

Le HNS commente une récente décision de la justice Britannique qui pourrait bien avoir d’importantes conséquences en Europe : l’usage d’outils de hacking réseau visant aussi bien des ordinateurs que des terminaux mobiles a été déclaré légal. Il s’agit d’une décision de l’Investigatory Power Tribunal (IPT), une institution juridique qui, seule, est habilitée à traiter des affaires liées aux services de renseignement en Grande Bretagne. Cet arrêté, insiste Scarlet Kim, de Privacy International, octroie au CGHQ le droit de pirater les systèmes de traitement de données « n’importe où dans le monde », et ce, en dépit des lois tant Européennes que Françaises. Une décision dictée par la nécessité de protéger « la vie privée des citoyens » (to safeguard the public and the protection of an individual’s privacy and/or freedom of expression). Des arguments semblables à ceux avancés pour justifier la prolongation de l’Etat d’Urgence en France : limiter la liberté pour mieux préserver la liberté.

Tout cela ne peut qu’encourager les entreprises, particulièrement celles appelées à échanger sur le marché Britannique, à adopter des politiques de chiffrement drastiques appliquées à tous les niveaux de la chaîne de communication et de traitement numérique

Hack IoT encore et toujours, avec la présentation d’une plateforme d’analyse baptisée HardSploit d’Opale Sécurité. Considérablement plus évoluée qu’une simple « bus pirate » ou qu’un OpenBench, bien moins lourde et moins coûteuse que des outils d’analyse du commerce, cette petite carte n’est en fait qu’un FPGA (Altera) bardé de buffers, histoire de ne pas griller les entrées-sorties du composant principal. Toute l’intelligence de l’outil est en fait située dans le logiciel, ou plus exactement dans les bibliothèques de composants que peut émuler ou adresser le FPGA. Depuis son apparition dans le monde de la recherche (Hitb, BlackHat), bien des blogueurs ont assimilé cette plateforme à une sorte de « Metasploit matériel ». Le nom y est certainement pour quelque chose. Mais il serait plus exact de faire un parallèle avec GnuRadio. Car Hardsploit est avant tout un environnement de description graphique, une sorte de jeu de construction qui consiste à associer des signaux et des entrées-sorties de composants… et qui, une fois le travail achevé, va générer un VHDL qui configurera le FPGA. Tout comme le placement de fonctions de traitement de signal dans GnuRadio génère à son tour un code python directement exploitable. Et tout comme avec GnuRadio, l’absence d’un module peut être comblée par l’utilisateur lui-même, tâche plus ou moins complexe en fonction du composant à décrire. La prise en compte d’une eprom I2C absente du catalogue, par exemple, n’est guère plus complexe que ce que demande l’outil de création de composant d’un EDA (outil de CAO électronique) : datasheet d’un côté, souris-clavier de l’autre. L’exercice devient plus complexe lorsqu’il s’agit d’un VLSI « custom design ».

HardSploit cumule à la fois les fonctions d’analyseur logique, de scanner, de sniffer, de capture de signaux ou de contenu mémoire « au fil de l’eau », et ce quel que soit le bus ou l’entrée-sortie considérée : I2C, SPI, Jtag, bus parallèles et séries traditionnels ou propriétaires etc. Les protocoles qui n’existent pas ne demandent qu’à être décrits, et les développeurs d’Opale encouragent leur communauté d’utilisateur à contribuer à l’enrichissement de la bibliothèque.

Pour près de 300 Euros/Dollars, cet environnement s’adresse « officiellement » aux professionnels de l’Internet des Objets qui souhaitent analyser et renforcer la sécurité intrinsèque de leurs propres équipements. En réalité, il s’agit d’un outil de reversing de second niveau, qui sera apprécié par les chercheurs, mais également par les entreprises curieuses de mieux connaître les secrets de certaines productions concurrentes. Cette orientation laisse clairement entrevoir les évolutions prochaines de HardSploit : la génération de transitoires ou de niveaux intermédiaires sur les lignes de bus, sur les alimentations, sur les signaux d’horloge, et autres astuces propres aux « side channel attacks ». Ces fonctions font d’ores et déjà partie des panoplies de produits directement concurrents. On ne peut s’empêcher de penser à ChipWhisperer (USA) ou à GIAnT (Generic Implementation ANalysis Toolkit) (projet « ouvert » soutenu par le Ministère Allemand de l’Education et de la Recherche). L’on pourrait vivement souhaiter une aide ou un encouragement de la part d’une institution telle que l’Anssi. Entre durcissement des Objets de l’Internet et nécessités d’un OS souverain, le premier de ces deux sujets semble légèrement plus immédiat …

La Cité des Anges, son trottoir des célébrités, son « Presbyterian Medical Center » dont les ordinateurs viennent d’être victimes d’une infection généralisée par crypto-virus à mutation ransomware. Un cas navrant mais isolé qui cependant fait écrire à l’équipe McAfee « les ransomwares ciblent le secteur hospitalier », sur le ton de « on vous l’avait bien dit ». Certes, cela fait des années que les prédications catastrophiques des rapports sécurité de fin d’année nous promettent une hécatombe Scada (les hôpitaux en faisant partie). Mais de là à en conclure une vérité générale…

L’affaire fait pourtant grand bruit. Le Reg, le HNS, Graham Clueley et bien d’autres encore s’émeuvent des quelques 3,6 millions de dollars de demande de rançon exigés par les data-ravisseurs. Dans un pays qui ne connaît de médecine que privée et fort liée à un business-model entièrement axé sur la rentabilité (épisodes de Dr House exceptés), on conçoit que cette péripétie inquiète. Espérons que les sauvegardes de l’établissement étaient à jour.

« Hasard du calendrier »qui tombe à point nommé, la très sérieuse et très Européenne Enisa (Agence Européenne pour la sécurité des réseaux et des systèmes d’information), s’est peut-être penchée avec attention sur l’amendement déposé par Madame Kosciusko-Morizet, lequel réclamait à cor et à cris la généralisation des portes dérobées au sein des outils de chiffrement Français. Et de publier un memento qui rappelle les fondamentaux d’un chiffrement dénué de toute vulnérabilité by design.

– Il n’existe aucun système de clefs de séquestre qui soit fiable,

– même s’il est utilisé par des contrevenants à la loi, le chiffrement demeure l’une des seules protections garantissant une activité économique basée sur la confiance des outils de communication,

– Les vulnérabilités qui ont été précédemment laissées suite à des décisions politiques ont toutes été découvertes et exploitées pour lancer des attaques informatiques. Par conséquent, une politique qui limite l’usage du chiffrement au sein des produits du commerce peut mettre à mal l’industrie des Technologies de l’Information.

Bruce Schneier revient sur le sujet au cas bien improbable où quelques élus n’auraient pas très bien compris : compte tenu de la pléthore d’outils de chiffrement existant de par le monde, en compromettre un dans le lot ne servirait qu’à encourager l’usage des autres. Le père de Blowfish/Twofish vient d’achever un rapport mondial sur l’état des outils de chiffrement que l’on peut résumer ainsi :

– Plus de 865 logiciels et matériels de chiffrement ont été recensés dans le monde, en provenance de 55 pays (les deux tiers n’étant pas d’origine US)

– L’Allemagne,à elle seule, en produit 112, suivie de près par la Grande Bretagne, le Canada, la France et la Suède.

– Si plus de 60% des outils de chiffrement proviennent des USA et de ces 5 autres pays, des Etats de plus petite « envergure numérique » possèdent également leur propres moyens : Algérie, Argentine, Belize, Iles Vierges, Chili, Chypre, Estonie, Iraq, Malaisie…

– Sur les 546 outils « non US », 56% sont disponibles à la vente, 44% sont gratuits, 66% sont propriétaires, et 34% sont open source.

On causait « électromagnétique » et hacking matériel, lors du dernier FIC 2016. Timidement, certes. Car le sujet est encore peu vendeur aux yeux des grandes structures. Certes, l’internet des objets (et les multiples hacking en coupe réglée qui font le buzz des DefCon et CanSecWest) est parvenu à attirer l’attention des instances sur la quasi absence de sécurité numérique desdits objets. Dame, on ne transforme pas un équipementier en expert sécurité du jour au lendemain. Les exigences en termes de mise sur le marché, la quasi absence de responsabilité financière, le langage ésotérique des gourous du reversing ne jouent certainement pas en faveur d’une amélioration de la situation.

C’est Renaud Lifchitz (Digital Security), un coutumier des hacks inattendus, qui a le plus fait parler de lui, en décrivant par le menu les multiples erreurs d’intégration d’un verrou « connecté » de fabrication Française. Déjà, par le passé, ce chercheur s’était évertué à tutoyer les systèmes de fermeture VigiK qui équipent la majorité des immeubles d’habitation, entreprises et bâtiments de collectivités… le crochetage (même virtuel) des verrous et loquets est une tradition du milieu. Cette fois, c’est au tour d’une serrure IoT prétendument sécurisée par un chiffrement AES256 « niveau Défense Nationale ». Mais les erreurs de développement et d’intégration s’accumulent. Notamment une question révélatrice posée probablement par l’un des développeurs sur un forum public et aisément retrouvée après un peu de « google hacking ». Ou encore le choix de certaines options techniques (notamment une clef dérivée d’un code PIN à 4 digits (une graine qui n’autorise en fait qu’une clef 14 bits)). Voir un jeton secret directement lisible dans le code source, une URL d’authentification extractible et utilisable ad nauseam… la conférence tenue par Lifchitz est, comme à l’accoutumée, pareille à un feu d’artifice d’absences, d’erreurs humaines, de négligences et de confiance mal placée. Même un spécialiste de la sécurité périmétrique physique ne peut avoir la science infuse et se prétendre compétent en matière de sécurité numérique.

Moins officiellement, l’on parlait également dans les allées du FIC, des vulnérabilités des deux grands opérateurs de réseaux IoT Français. Mauvais choix d’intégrateur pour l’un (choix dont la responsabilité ne dépend pas du concepteur), volonté absolue de tout vouloir contrôler et intégrer, du protocole à la plateforme pour l’autre, avec les risques de sécurité qu’implique cette dispersion des énergies et des compétences. Pour l’heure, la meilleure des attitudes est de considérer que tout objet de l’Internet est faillible « by design », que tout réseau de liaison desdits objets ne peut être considéré comme fiable, tout comme l’étaient les applications et serveurs Web au début des années 2000.