Nos confrères de l’Express révèlent qu’un fichier appartenant au syndicat de police Alliance a fuité et se retrouverait sur le (sic) « darknet ». Moins de 500 identités se retrouvent « dans la nature », ce qui classe ce sinistre dans la tranche basse des accidents de cette nature, mais les données contenues sont véritablement compromettantes : noms, emails, numéro de téléphone, parfois même affectations.
Alliance, syndicat historiquement situé à droite et généralement assez favorable au fichage et à l’exploitation de ce genre d’outil, devient à son tour victime des dangers immédiats que peuvent provoquer la mauvaise gestion de ces bases de données. Le secrétaire général adjoint de l’organisation, Frédéric Lagache, explique aux journalistes que « …nos fichiers sont maintenant entièrement chiffrés et sécurisés ». Ce qui laisserait entendre qu’il y avait un «avant » dépourvu de la moindre protection. D’autres indices permettent d’imaginer qu’une bonne lecture des recommandations Owasp auraient pu éviter cet accident. En pleine polémique sur la pertinence du fameux « fichier S », un an après l’hémorragie des 2600 identités d’agents du Renseignement Français, cette mésaventure rappelle que ces « cyber-armes » sont à double tranchant, et que les deux côtés sont aussi bien aiguisés l’un que l’autre.
Certificats périmés, infrastructure hétéroclite entravant l’application de processus de sécurité cohérents, politique de déploiement de correctifs imparfaite, accumulation d’initiatives personnelle et de « shadow IT », le tout baignant dans une totale désorganisation managériale, telles sont en substance les conclusions de l’enquête conduite par une délégation de la Chambre des Représentants des Etats-Unis. 96 pages de faits et chiffres, des dizaines d’auditions devant le Sénat, après la fuite de près de 148 millions d’identités détenues par cette entreprise de notification de crédit.
En filigrane, ce rapport demande que les élus travaillent à l’élaboration d’une loi fédérale qui contraigne les entreprises et organisations à respecter un « délais de colmatage » des failles une fois que ledit trou de sécurité a été signalée à leurs services techniques.
Pas de spyware matériel sur les cartes Supermicro, conclut un audit commandité par la direction de l’entreprise.
En octobre dernier, une rumeur avait été répandue par Bloomberg Business Week laissant entendre qu’un sous-traitant Chinois aurait modifié l’électronique des cartes fabriquées pour le compte de Supermicro, afin d’y ajouter des composants capables d’espionnage. Cette hypothèse, qui semblait déjà totalement fantaisiste à l’époque, s’est pourtant répandue comme une traînée de poudre, à tel point que certaines administrations fédérales US l’ont prise au pied de la lettre, sans même chercher à vérifier la source de l’information et la plausibilité d’une telle assertion. Les rares dénégations, à l’époque, ont été émises par les utilisateurs de machines Supermicro, Apple et Amazon principalement, plus pour écarter les risques d’une atteinte à leur propre image de marque que pour rétablir une vérité technique.
Cette mésaventure a coûté cher au constructeur de super-ordinateurs, les audits en ce domaine n’étant pas particulièrement gratuits. Cette mésaventure est l’occasion, pour Supermicro, de rappeler, à l’aide d’une séquence vidéo pédagogique, qu’un processus de fabrication électronique est soumis à une succession de contrôles qualité et de tests statiques et dynamiques qui ne peuvent « laisser passer » l’ajout d’une « puce espion ».
Fuite de fichier des serveurs du Ministère de l’Europe et des Affaires Etrangères. La twittosphère (notamment Nicolas Arpagian @cyberguerre) s’interroge sur les méthodes de communication du Quai d’Orsay, lequel a prévenu les intéressés via un courriel. En effet, le service Arianne, qui répertorie les coordonnées des personnes à prévenir en cas de difficulté rencontrée par toute personne voyageant dans un pays « à risque », aurait été siphonné. Noms, prénoms, numéros de mobile, adresse email, il y a là matière à conduire une belle attaque en spear phishing ou une campagne d’intoxication.
Il faudra attendre deux bonnes heures avant que ne soit publiée une communication officielle. La manière dont le premier courriel a été rédigé laisse entendre que le mot chiffrement ne fait pas partie des éléments de langage compatibles avec l’exercice quotidien de la diplomatie.
La dernière fournée 2018 des correctifs Microsoft est épurée : à peine 38 CVE, dont seulement 9 qualifiés de « critique » par Microsoft et 10 selon le Sans. Citons, par degré d’urgence de déploiement, CVE-2018-8611 qui pourrait autoriser une élévation de privilèges, CVE-2018-8626, un heap overflow dans le serveur DNS (lequel donne des droits LocalSystem). C’est là probablement la faille la plus aisément exploitable, sa remédiation est donc pressante. Potentiellement exploitables également, CVE-2018-8631(Internet Explorer) et CVE-2018-8624 (Edge).
Adobe ferme également une douzaine de défauts qui viennent compléter le « hors calendrier » du début de semaine, émis en urgence en raison de la découverte d’un exploit actif dans la nature. CVE-2018-19716, inclus dans le lot mensuel Adobe, est exploitable et emporte les honneurs d’une analyse signée par Aleksandar Nikolic, de l’équipe de recherche Talos.
Non, il ne s’agit pas d’une attaque capable de déchiffrer et de permettre l’écoute des conversations téléphoniques « mobiles ». Mais un collectif de chercheurs Helvético-Germano-Norvégiens vient de découvrir une faille dans le protocole « Authentication and Key Agreement » (AKA). Lequel, malgré de récentes améliorations et notamment l’abandon d’un chiffrement symétrique, utilise toujours un SQN (SeQuence Number) vulnérable. Et c’est ce SQN qu’ont exploité les 4 chercheurs, non seulement parce que ce SQN ne dépasse pas 48 bits de longueur, mais qu’en outre son changement à chaque nouvelle séquence se limite à une incrémentation (+1).
En pratique, la fuite d’information résultante concerne la localisation du mobile attaqué, ainsi que le nombre d’appels et de SMS échangés. Et, par voie de conséquence, la possibilité de voir refleurir la fièvre des « Imsi-catchers » à laquelle succombent à période régulière les forces de l’ordre. Et c’est précisément ce qu’en théorie la nouvelle version du protocole AKA cherchait à éviter, en supprimant l’émission non-chiffrée de cet Imsi. Mais un trou colmaté peut en cacher un autre.
Concrètement, l’exploitation de la faille et la récupération des données nécessitent un ordinateur de faible puissance (qui peut être remplacé par un Raspberry Pi précise l’article), une compilation d ’OpenLTE et d’un SDR. Pour les besoins de la cause et un certain confort, c’est un Usrp B210 qui a été utilisé : 1200 USD pièce, un fpga Spartan 6, un composant « tout intégré » ( AD9361 ) avec un ADC 12 bits 110 MSPS… une approche plus ciblée pourrait aisément diviser ce coût par 10.
Cette attaque serait, de l’avis même des chercheurs, plus « intrusive » que celle menée par les Imsi-catchers, car une fois lancée, le fait de s’éloigner de la cellule intruse ne fait pas disparaître la compromission. Certes, la localisation et l’historique des activités ne sont plus transmis tant que le terminal est hors de portée de l’OpenLTE espion, mais les informations sont stockées et peuvent être récupérées dès que le téléphone repasse à portée de ses antennes. La criticité de l’exploitation est donc bien plus élevée que celle des Imsi-catchers, qui ne récupèrent des données que de manière temporaire et ne peuvent obtenir le moindre indice sur ce qui a pu se passer hors de leur couverture.
En attendant une remise à plat par le 3GPP de cet AKA un peu trop indiscret (en soumettant l’incrémentation du SQN à un générateur d’aléa par exemple), les terminaux mobiles de nouvelle génération seront « potentiellement vulnérables » à ce genre d’attaque assez peu probable.
Faisant écho aux récentes recommandation du BSI concernant la sécurisation des routeurs Soho, voici que Akamai, dans un billet plutôt désabusé, revient sur les statistiques d’Upnproxy, un vecteur d’attaque génétiquement dérivé d’un exploit conçu par les équipes de la NoSuchAgency. Un exploit qui vise une faille dans le mécanisme « universal plug and play » installé sur la plupart des routeurs d’entrée de gamme. Depuis l’affaire des fuites massives des cyber-armes de la NSA et de la CIA (mises sur le marché par le gang Shadow Brokers), bon nombre de ces outils sont réapparus sous de virus variés, exploités cette fois non plus par des barbouzes, mais par des cyber-truands… la différence est subtile, les conséquences ne le sont pas du tout.
Il y aurait actuellement, affirment les techniciens d’Akamai, 277 000 équipements vulnérables « visibles sur Internet », dont 45 000 déjà compromis. Lesquelles donnent accès aux ports 139 et 445 du protocole SMB. Sur ces 45 000 foyers, il est probable que moins de 5 à 10% des propriétaires aient connaissance des procédures nécessaires à la désactivation de Upnp et à la mise à jour du microcode. Ce qui permettra à Akamai de relancer un cri d’alarme fin 2019 sur le même air et les mêmes paroles.