L’année sécurité 2017 débutait, le 23 janvier dernier, avec la troisième édition de la Conférence sur la Réponse aux Incidents et l’Investigation Numérique (Cori&in), dans l’amphi de Lille-EuraTechnologies. Cet évènement à caractère technique se déroule traditionnellement la veille de l’ouverture du FIC de Lille, mêlant tantôt analyses générales, tantôt recherches portant sur un défaut de sécurité précis.
Par la technicité de son contenu et la qualité de ses intervenants (et accessoirement son faible coût de participation), Coriin est LA conférence professionnelle à ne pas manquer. Avec d’autant moins de raison que 90% des participants du FIC se déplacent et sont hébergés aux frais de leur entreprise ou de leur organisation gouvernementale.
C’est Benoît Dupont, de l’Université de Montréal, qui ouvrait le ban. Avec une analyse sociologique de Darkcode, un forum de blackhats démantelé en 2015, grâce notamment aux révélations de Xylitol. Dans le monde de la cyber-pègre, il n’y a pas de grands hommes, il n’y a que des seconds couteaux, explique Dupont. Malgré un mécanisme de cooptation (plus égotiste que rigoureusement technique), l’étude laisse apparaître que les membres de ce forum étaient plus des codeurs que des reverseurs, plus des exploitants de malwares et de « kits » que des gourous de l’intrusion. Une faune de délinquants ordinaires qui tentent de vivre d’un business très fluctuant. Et l’universitaire Canadien de narrer les reproches de « ruptures de contrats » que les uns adressent aux autres, voir même le chantage et les épreuves de force qui empoisonnent les relations entre vendeurs et clients. Ainsi le pirate BX1, dépeint par toutes les polices du monde (à commencer par le FBI) comme étant un super-truand au palmarès édifiant : 50 millions d’ordinateurs compromis, le vol d’une foultitude d’identités bancaires d’une valeur estimée à un milliard de dollars, de quoi justifier les 15 ans d’emprisonnement dont il écopera après sa capture. Mais BX1 n’était qu’une « petite frappe » escroquées par ses pairs. Son pactole de 140 000 cartes de crédit, initialement mis en vente 70 000 dollars sur Darkcode, sera négocié à 3000$. Grandeurs et misères du cyber-voyou, campagne d’intox douteuse et anxiogène orchestrée par les services de police. Le FUD (la désinformation sensationnaliste) est une sécrétion endogène du monde infosec. Et par ceux généralement qui dénoncent inlassablement l’exagération marketing de certains vendeurs d’antivirus et services de sécurité informatique.
Reste, explique le chercheur, que certains « handles » de cyber-truands apparaissent encore dans les réseaux actifs. Des personnages moins visibles, plus prudents et probablement plus puissants. Tout juste de quoi alimenter les fantasmes des auteurs de romans cyber-policiers.
Du cyber-policier à l’Anssi, il n’y a qu’un lien de cousinage. Sébastien Chapiron et Thierry Guignard, qui travaillent tous deux au sein de cette agence, se sont penchés sur la possibilité de créer un «pre-bootkit » logé dans le bios… et offrir à l’assistance captivée par tant de sapience, un outil d’analyse disponible sur github. Depuis les travaux d’Endrazine/Goldorak (Hackito Ergo Sum, 2012), les méthodes se complexifient, mais le niveau de risque réel demeure très bas. Notons au passage que les participants ont pu, par deux fois au cours de cette mémorable journée, apprendre tout ou presque de la structure du MBR et du VBR, puisque Solal Jacob, ArxSys, reviendra sur le sujet au fil d’une présentation intitulée RAM Disk EFI Dumper. En langage normal, le conférencier a décrit les affres d’un chercheur tentant d’accéder au contenu d’un disque SSD protégé par un chiffrement Bitlocker et dont l’accès était conditionné par un composant TPM. La mémoire flash étant soudée directement sur la carte mère de l’ordinateur, impossible d’utiliser des techniques presque traditionnelles (réfrigération des mémoires, attaque firewire…). C’est donc grâce à l’UEFI, un système à lui tout seul doté d’un shell directement utilisable, que Solal Jacob est parvenu à dumper le contenu de son disque, racontant au passage ses multiples tentatives, échecs, espoirs, nouvelles tentatives… tenir l’assistance sur un sujet aussi aride en ayant l’air de déclamer un roman policier, avec ses rebondissements et son happy end, c’est presque de l’art.
Art oratoire également de la part de Stéphane Bortzmeyer . Dans un exercice de vulgarisation ni bêtifiant, ni hermétique, le pape Français du chiffrement et des RFC a décrit le subtil fonctionnement des Mixers. Ce sont les outils d’anonymisation des paiements effectués en crypto monnaie qu’utilisent certains intermédiaires du secteur. Toute transaction en Bitcoins étant, par construction, traçable dans ses moindres détails, il peut être dangereux pour un wanabee trafiquant de stupéfiant ou brocanteur de flingues « pas de collection » de voir les cyber-pandores remonter la chaine de l’argent. C’est là qu’intervient le Mixer, qui encaisse le montant, puis le reverse au commerçant dont la pratique se tient sur « Darknet Avenue ». Mais attention, un reversement totalement éclaté en une multitude de petites sommes, étalées dans le temps, afin qu’il ne soit plus possible d’établir une relation liée au montant ou au laps temporel de la transaction. Ces usines à blanchiment, qui, au passage, peuvent parfaitement « partir avec la caisse », sont considérablement plus efficaces, rapides et discrètes que ne le sont les réseaux bancaires (légaux) parallèles tels que les Hawalas.
Inquiétante en diable, l’intervention de Pierre Veutin et Nicolas Scherrmann (TRACIP), qui se sont penchés sur les indiscrétions, traces et contenus rémanents que l’on peut exhumer pendant ou après une session avec un service Cloud Google (Google Doc, Drive, Gmail…). Liste de contacts, données partielles ou intégrales d’un document (voire, sous certaines conditions, portions de texte ayant été effacées), historique des différentes étapes de création d’un fichier… ces deux spécialistes de l’analyse forensique dans le Cloud ont pu fabriquer quelques outils spécialisés dans l’extraction des dites traces. Certaines découvertes semblaient même « trop simples pour être vraies ». L’informatique dématérialisée, expliquent Veutin et Scherrmann, n’est pas, sera même de moins en moins une informatique anonyme et fugace.