Les Universitaires informaticiens déconstruisent et reconstruisent régulièrement les lois de la physique. Un groupe de 5 chercheurs de l’Université du Michigan viennent de mettre au point une attaque par « injection de pression acoustique » visant les accéléromètres miniaturisés intégrés dans les montres Fitbit et semblables. Les conclusions sont dramatiques : écouter de la musique techno (sans danser) peut, dans 75 % des cas, fausser les informations de mouvement détectées par le capteur en question. Le monde du Fitness parle de guerre civile, les industriels de l’IoT condamnent ce qu’ils appellent une « véritable opération de lynchage orchestré par les publications scientifiques ».
L’attaque peut être plus vicieuse encore, car la lecture d’un fichier musical spécialement forgé peut, en impactant l’accéléromètre du smartphone, rendre totalement incontrôlable une voiture télécommandée ou un drone.
C’est probablement pour cette raison que l’on trouve une très faible proportion de personnes passionnées par le pilotage en réalité augmentée de véhicules radioguidés et également amoureuses des œuvres interprétées par l’ensemble des Percussions de Strasbourg (Miloslav Kabeláč et Yannis Xenakis provoquent de terribles embardées)
Oui, le son, phénomène essentiellement mécanique provoqué par les variations de pression de l’air, peut également servir à tromper des capteurs mécaniques « à déplacement » sensibles. Ce genre d’attaque est-il exploitable dans la vraie vie ? Sans doute, avec un peu d’imagination. Des accéléromètres critiques sont couramment utilisés en avionique, dans certains contrôles de processus industriels et de sécurité du personnel, dans le domaine militaire également. A prévoir dans un prochain épisode de Mr Robot ?
La hausse des budgets alloués à la sécurité informatique est sensible, estime le cabinet d’analyse Gartner, et devraient atteindre 7,6% de plus comparés à l’an passé. Le marché InfoSec mondial devrait donc atteindre 90 milliards de $ fin 2017, avec une croissance plus ou moins constante sur les trois années à venir puisque les ventes d’outils et logiciels sont estimées à 113 milliards de $ en 2020. Le secteur de la « détection/réponse à incident » est, explique l’étude, le domaine appelé à connaître la plus forte demande. L’accent sera donc un peu moins porté sur la prévention, un peu plus sur l’anticipation.
A nouvelle préoccupations, nouvelles offres, s’accompagnant de leur lot de sigles et termes abstrus : outils de « deception » (leurres et autres techniques proches du honeypoting) , endpoint detection and response (EDR), software-defined segmentation (offres Catbird, Cisco, Tempered Network), cloud access security brokers (CASB) et pour finir user and entity behavior analytics (UEBA). A cette liste s’ajoute les services MDR (services de détection et de réponse managés).
16, 17… 18 bulletins dont 5 qualifiés de « critique », pour un record absolu de 140 CVE : ce « mardi des rustines » décalé d’une semaine est l’un des plus fournis de la saga Windows. Avec notamment 5 failles critiques affectant le partage SMB (correctif MS17-010 ) et un défaut dans les composants graphiques MS (risque d’exploitation via une image forgée, MS17-013 ).
Mention spéciale du jury pour la MS17-008, qui comble 11 problèmes dans HyperV, dont une fuite depuis une VM pouvant nuire au système hôte.
En bas de colonne, le bulletin du MSDC prévient de la disponibilité de l’habituel correctif Adobe et de ses 7 CVE liés au très peu indispensable Flash Player. Ce même Adobe prévient également de la présence de quelques défauts corrigés dans Shockwave. Un seul CVE éliminé bloquant une possible élévation de privilèges.
La question que se posait CNIS MAG la semaine passée semble frapper à son tour la presse anglo-saxonne : mais pourquoi diable Wikileaks tarde à communiquer aux différents éditeurs les sources des exploits et autres PoC soi-disant contenus dans les fichiers fuités de la CIA ?
« Oui, quand donc » demande Graham Clueley, tandis que Chris Goettl (Sté Ivanti), renchérit dans les colonnes du HNS par un « pas de patch Tuesday Microsoft ce mois-ci, mais énorme « trou Friday » grâce à la CIA » … ce qui nous promet une collection de printemps riche en rustines tant du côté des éditeurs d’antivirus que d’outils bureautiques populaires » précise-t-il en substance. Michael Heller, TechTarget, rapporte la réaction (plutôt tardive) de Julian Assange, qui promet aux entreprises du monde logiciel un accès à ces données critiques. Notre confrère ajoute que le FBI et la CIA vont se plonger dans une chasse aux fauteurs de fuite. Le contraire eut été étonnant, mais les conclusions d’une telle enquête risquent fort de ne jamais être rendues publiques. Heller a d’ailleurs rédigé un tout autre article reprenant notamment les Tweets inquiets de plusieurs personnalités du monde de la sécurité, réclamant à Wikileaks une divulgation salvatrice.
IEEE Explore, la revue de l’IEEE, organisme de normalisation US, publie une étude portant sur la fiabilité (ou plus exactement l’absence quasi-totale de fiabilité) des compteurs d’électricité intelligents déployés aux Pays Bas. Si dans de très rares cas lesdits compteurs sous-facturaient les clients leur faisant bénéficier d’une économie d’environ 32%, l’immense majorité des appareils installés chez les abonnés auraient tendance à légèrement alourdir la note, jusqu’à plus 582%.
Plusieurs raisons à cela, à commencer par une mauvaise gestion des appels de courant violents, et surtout un manque de fiabilité des capteurs de courant qu’utilisent les compteurs modernes. Dans l’Europe entière, les compteurs ancienne génération utilisent une simple shunt, procédé vieux comme la loi d’Ohm, fiable comme un banquier des îles Caïman. Les compteurs modernes, en revanche, font appel à des capteurs à effets Hall, parfois aveugles à certains appels de courant (ce sont ceux qui sous-facturent les abonnés) et des bobines de Rogowski, capteurs à induction qui sembleraient mal supporter la présence notamment d’alimentations à découpage et autres « switching bidules », explique la revue de l’Université.
Une chose est désormais certaine, ces compteurs sont potentiellement vulnérables à une forme d’attaque par saturation du champ électromagnétique et aux transitoires violentes sur le réseau électrique. Les spécialistes sécurité pourraient faire la fine bouche sous prétexte que ce n’est là qu’un vulgaire déni de service, mais bien des attaques sophistiquées peuvent démarrer avec une telle préparation de terrain.
Pour l’heure, les fournisseurs d’énergie d’Europe et de Navarre ne remettent pas en cause ces recherches Universitaires, mais font parfois remarquer que leurs compteurs ne sont pas en cause… puisqu’absents de la liste des appareils testés. Pour la France, ces petits nuages magnéto-inflationnistes pourraient bien être à l’image des nuages radioactifs : ne pas franchir l’Alsace et la Lorraine.
Hacking caractérisé, tromperie, obstruction à la justice… Manfred Döss, Directeur des affaires juridiques de Volkswagen, sur l’aval de la direction du groupe, a plaidé coupable dans l’affaire du Dieselgate qui l’oppose à la justice US.
Contournement de certificat Notepad++ exploité par la CIA, problème corrigé. Notepad++ ne peut plus charger une dll forgée par les barbouzes des « Five Eyes ».
Les jours de l’IoT se suivent et se ressemblent. Cette fois, le chercheur Pierre Kim est tombé sur un OEM quelque peu fâché avec la « security by design », et dont les étourderies et mauvaises pratiques se sont répercutées sur tous les modèles de ses clients intégrateurs. Au total, plus de 1200 modèles et marques, soit environ 200 000 équipements dans la nature, peuvent être considérés comme faillibles.
Les failles en question sont d’un pur classicisme:
– Mot de passe de maintenance telnet (aka « backdoor ») par défaut : root:$1$ybdHbPDn$ii9aEIFNiolBbM9QxW9mr0:0:0::/root:/bin/sh
– Contournement d’authentification lors des accès aux pages contenant les fichiers de configuration (lesquels contiennent les créances ftp et smtp des usagers)
– Contournement d’authentification permettant l’exécution à distance de code dans le noyau de la caméra, avec privilèges root
– Accès au serveur rtsp, port 10554, sans authentification nécessaire. N’importe qui peut alors voir le flux vidéo que délivre l’appareil
– Vulnérabilité dans le service d’administration distante via Cloud pouvant, après attaque en Brute Force révéler les logins d’accès aux appareils. Pierre Kim estime d’ailleurs que cette vulnérabilité va bien au-delà de l’attaque des caméras en question, mais pourrait servir à attaquer plus d’un million d’appareils IoT utilisant le service.
… parfois, nul n’est besoin d’avoir à lire 8700 pages de fichiers CIA pour espionner son prochain.
Bien qu’une large proportion des espioniciels décrits dans les documents « fuités » de la CIA aient été bloqués grâce aux mises à jours successives des programmes et firmwares, certains risques demeurent, véritable aubaine pour les spécialistes du marketing InfoSec. Les annonces pleuvent dont celle d’Intel qui propose gracieusement un programme d’inventaire de vulnérabilités capable d’analyser les éventuelles atteintes au bios UEFI ciblé par quelque infâme CIAware.
Chipset, plateforme gratuite d’inventaire de failles conçu par les ingénieurs d’Intel, existe depuis un peu moins de 3 ans. Ce logiciel doit être récupéré sur un dépôt Github, et sa toute dernière mise à jour inclus un module python d’analyse des bios par « liste blanche » spécifiquement destinée à l’examen de la chaine de démarrage de l’ordinateur.
La Rand Corporation publie une étude plutôt copieuse de 115 pages, entièrement consacrée aux exploits « Zero Days », travail qui repose sur l’analyse quasi « sociologique » d’environ 200 failles « inconnues et non corrigées » au moment de leur exploitation, le tout sur une période allant de 2002 à 2012. Un formidable travail de bénédictin qui classe les failles en X catégories : les « vivantes », connues publiquement, les « immortelles », qui ne seront jamais corrigées, généralement en raison de la disparition de l’éditeur et de l’absence de maintenance du code, les « décédées », celles pour lesquelles un correctif a été développé et enfin les « zombies », failles corrigées sur des versions récentes des logiciels faillibles, mais toujours actives sur des éditions plus anciennes. Les Zero Day se situent dans un monde parallèle, et parfois franchissent le pas qui va de l’ombre à la lumière, prenant alors de statut de faille vivante.
Combien de temps peut vivre un zéro day ? Longtemps, très longtemps. En moyenne 7 ans, affirment les statisticiens de Rand. Si certains trépassent dans leur prime jeunesse -25% n’ont une espérance de vie de seulement 1,5 an, ce qui n’est déjà pas mal, d’autres ont l’âme chevillée au corps. Sur 200 cas précis, 25% peuvent se maintenir en activité durant 8 ou 10 ans. Mais le moindre mouvement est susceptible de révéler l’existence de l’exploit sur les radars des chasseurs de faille. Et dans ce cas, le malware n’a plus qu’à numéroter ses abatis : en moins de 22 jours, une parade est développée puis déployée. C’en est fini du Zero Day.
Le taux de découverte d’un même ZDE par une équipe de recherche tierce est assez faible, aux environs de 5%. Une sorte d’assurance-immunité qui joue en faveur d’un marché parallèle florissant, dans les allées duquel se côtoient truands et barbouzes, clients prêts à payer très cher ces machines à intrusion. Entre 100 000 $ et un million de dollar (montant d’une panoplie complète d’attaque sur iPhone). Une lecture que l’on ne peut que recommander aux agents de la CIA.