Trois jours durant, du 8 au 10 avril dernier, le cycle de conférences Hackito Ergo Sum (HES) a tenu en haleine une centaine de passionnés du pentesting, de l’analyse de failles, du « development lifecycle », du balayage réseau ou de la sécurité des systèmes Scada. Une manifestation organisée par les membres du tmp/lag, sous la houlette de Philippe Langlois (P1 Security, co-fondateur de Qualys). HES est donc, après l’inévitable grand-messe Rennaise que sont les Sstic et le rendez-vous de Besançon FRHack, la troisième grande manifestation sécurité « pointue » Française, et surtout l’unique événement parisien du genre.
Qu’est-ce qui fait marcher la B-Box de l’opérateur historique Belge ? Une question que se pose Benjamin Henrion (FFII.org). Plus qu’un simple hack de « box » adsl d’opérateur, B. Henrion s’est lancé dans une véritable enquête policière pour retrouver les héritages génétiques « open source » du noyau embarqué dans ce routeur multifonctions. Outre les traces de noyau open source et d’extensions jalousement « propriétarisées », de telles enquêtes servent à cerner rapidement les points de vulnérabilité réels et probables, ainsi que les redoutables trous laissés par des configurations par défaut (telnets d’administration ouverts y compris via les ports WiFi). Ou encore, comme c’est souvent le cas dans les appareils fabriqués en grandes séries, des « oublis » souvent bénéfiques aux chercheurs. Ainsi l’absence de verrouillage en écriture de la mémoire flash du routeur. La B-Box 2 parviendra-t-elle un jour à égaler un Linksys ou un Fonera sous OpenWRT ? Pourra-t-on un jour y injecter un Asterisk ?
Les présentations suivantes ont progressivement atteint de sérieux niveaux techniques, avec notamment deux analyses des vulnérabilités réelles et potentielles des liaisons VoIP. L’un exposant les travaux de Philippe Langlois (P1 Security) sur SS7, l’autre de Sandro Gauci, d’EnableSecurity, sur l’examen approfondi du protocole SIP et la manière de transformer une bonne partie des « softphones » en porte d’entrée vers un monde où les communications internationales deviennent gratuites… mais pas nécessairement pour tout le monde. Une visite sur le site d’EnableSecurity s’impose, ne serait-ce que pour y récupérer SIPVicious (une production de l’auteur) et s’intéresser à d’autres outils tels que le honeypot Artémise ou le crawler VoipHunt.
Autre thème majeur de HES, la sécurité au sein des environnements Microsoft. Généralement, ce genre de conférence technique s’avère relativement « Linux centric » ou « BSD read only ». Hackito 2010 a prouvé le contraire en invitant Tim Burrell (Microsoft), Julien Vanegue (Microsoft) et Laurent Gaffié (Stratsec). Tim Burell a fait voyager l’assistance dans le temps, remontant à l’aube de la « prise de conscience sécuritaire » de MS, période Windows XP, avec /GS, le système de vérification de sécurité de la mémoire tampon, puis en déroulant l’historique (DEP, ASLR et les différentes évolutions) de Vista à Windows 7/2008 R2. Julien Vanegue enchaînait sur une méthode d’analyse automatique facilitant la détection des « heap » de taille 0, et Laurent Gaffié achevait ce tour d’horizon Microsoft avec un exposé sur le fuzzing du protocole SMB. En résumant très rapidement, l’on pourrait dire : première faille découverte après deux minutes de fuzzing, 20 trous révélés en moins de 2 mois de travail, 6 d’entre eux étant considérés comme « universels » (présents sur plusieurs versions de Windows) dont 1 propre à SMB v2. Ce serait sans oublier près d’un an de travail à compulser dans le détail la longue documentation de SMB, dont les origines remontent, il faut s’en rappeler, aux développements de l’OS/2 Lan Server d’IBM. Travail de bénédictin, mais également travail de laboratoire, avec la construction d’une plateforme de test associant tout ce qui a un jour supporté ce protocole… depuis Windows pour Workgroup à l’actuel « Seven », en passant par les intégrations exogènes telles que SaMBa. Le résultat est à la hauteur des efforts. Ce mois-ci ouvrait d’ailleurs le début officiel de cette campagne de toilettage réseau avec la publication de la ms10-020.
Ce rapide survol de HES 2010 ne serait pas complet si l’on oubliait les travaux de Matthieu Suiche qui, après s’être penché ces dernières années sur les « memory dump » sous Windows 32 et 64 bits, se lance dans la découverte de l’espace mémoire d’OSX. Rappelons que Matthieu Suiche a créé il y a peu de temps la société MoonSol, et diffuse des programmes commerciaux et communautaires destinés entre autres choses à fouiller dans les fichiers d’hibernation ou la mémoire vive d’une machine. Egalement très suivi, l’intervention de Gloire Gwendal sur le « piratage du GSM ». Les différents exploits de l’équipe Shamir, du Hacker’s Choice, du team de Karsten Nohl, ont souvent provoqué des titres plus qu’alarmistes dans les colonnes de la presse grand public. La réalité est toute autre, explique Gwendal. Non seulement le cassage du A5 n’est pas une opération réalisable sur un « coin de table », mais encore, même si le système de chiffrement a sérieusement été mis à mal, les outils de contournement sont loin de pouvoir être utilisés simplement, rapidement et dès les premières secondes de communication. La séquence vidéo de cet exposé est à suivre sur le site LiveStream. C’est probablement la première fois qu’un homme de la technique consent à vulgariser clairement, sans verbiage abstrus, les principes de base du hacking du GSM et surtout à dégager la notion de risque réel.
« Etes-vous partant pour un HES 2011 ? » à cette question, tous les participants interrogés ont répondu « oui » sans même réfléchir. Et compte tenu du succès de cette première édition parisienne, il y a fort à parier qu’elle se déroulera dans un amphithéâtre encore plus vaste.
Effectivement c’était un super event, on a eu l’occasion de rencontrer des gens vraiment géniaux, les thèmes abordés était captivant, bref partant à 200% pour HES 2011.