Les principales annonces de la Black Hat USA et de la DEF CON 2018
Hacke moi si tu peux
Le 17 août 2018 à 09h30
17 min
Internet
Internet
En plein mois d'août, le monde de la sécurité informatique était en ébullition avec les conventions Black Hat USA et DEF CON. Comme toujours, de nombreux systèmes sont tombés, d'enceintes connectées à des machines de vote. Les hackers doivent parfois faire preuve d'ingéniosité, alors que d'autres attaques sont simples comme bonjour.
Au mois d'août, deux grosses conventions sur la sécurité informatique se sont enchainées : la Black Hat USA 2018 du 4 ou 9 au casino Mandalay Bay, et la 26e édition de la DEF CON du 9 au 12 août dans les Caesars Palace et Flamingo, à Las Vegas dans les deux cas.
La DEF CON doit son nom au niveau d'alerte américain (DEFense Readiness CONdition) allant de 5 (situation normale) à 1 (plus haut niveau). Lors de cette convention, plus d'une centaine de conférences étaient programmées, avec près de 30 000 personnes attendues. Elles étaient 25 000 à avoir fait le déplacement l'an dernier.
Cette convention est répartie en plusieurs « villages » thématiques, chacun avec une spécialité : machine à voter, biohacking, objets connectés, crypto et vie privée, réseaux sans fil, « r00tz Asylum » pour les enfants, hardware hacking, intelligence artificielle, drones, voitures, etc.
Des attaques tous azimuts, certaines plus complexes que d'autres
Les chercheurs y viennent pour présenter leurs trouvailles en matière de sécurité. Comme nous l'avons déjà détaillé, c'était le cas de Damien Cauquil (Virtualabs) pour un défaut dans le Bluetooth basse consommation permettant de prendre le contrôle d'un objet connecté.
Cette année, les attaques ont de nouveau fusé de toutes parts. Pêle-mêle nous pouvons citer les machines à voter, les caméras-piéton, les smartphones et les applications Android, les enceintes connectées Echo d'Amazon et les processeurs C3 de VIA. Certaines attaques, comme celle sur Alexa, sont très complexes à mettre en œuvre, mais ce n'est évidemment pas toujours le cas.
Dans un autre registre, des chercheurs présentent leurs travaux sur une intelligence artificielle entrainée pour identifier un développeur en étudiant sa manière de programmer. Une analyse du style, comme on peut en trouver en littérature ou en peinture par exemple.
Des machines à voter piratées de toutes parts
En plus des conférences et autres démonstrations, des ateliers « hacking » sont aussi organisés sur place. Durant cette 26e édition de la DEF CON, les machines à voter étaient de nouveau au centre des intérêts avec le « voting village », déjà présent l'année dernière. Il faut dire que le sujet est sensible aux États-Unis depuis l'élection de Donald Trump et l'ingérence russe, d'autant plus à l'approche des élections de mi-mandat.
Ce « voting village » a pris de l'ampleur et ne se contente plus de mettre à disposition des machines de votes électroniques. Une infrastructure complète est désormais déployée, avec une base de données des votes et des sites affichant les résultats.
Cette année encore, les machines ont rapidement rendu les armes... Rachel Tobac, directrice générale d'une société spécialisée dans la sécurité informatique (Social Proof Security), détaille comment elle a obtenu un accès administrateur en moins de deux minutes, sans outil particulier.
At @defcon hacking conference and just learned how easy it is to physically gain admin access on a voting machine that is used in 18 states. Requires no tools and takes under 2 minutes. I’m concerned for our upcoming elections. pic.twitter.com/Kl9erBsrtl
— Rachel Tobac (@RachelTobac) 12 août 2018
Comme l'explique l'EFF sur Twitter, d'autres ont transformé une machine à voter en jukebox diffusant des sons et des images, découvert 1 784 fichiers cachés dans le système d'exploitation (notamment des MP3 de musique chinoise), fait gagner un candidat non inscrit lors d'une simulation, etc.
Tous les détails ne sont pas encore connus, mais certaines attaques nécessitent plus de deux minutes pour être mises en place. Il est parfois question de plusieurs heures.
39 enfants de 6 à 17 ans se sont également attaqués à des répliques de sites web affichant les résultats (ou estimations) des élections. 35 d'entre eux ont réussi à trouver au moins une faille, le plus rapide en seulement 10 minutes (via une injection SQL). Les hackeurs en herbes ont alors modifié les noms des candidats et la répartition des votes.
Pas représentatif de la sécurité mise en place pour la NASS
L'Association nationale des secrétaires d'État (NASS) avait pris les devants en publiant un communiqué le jour de l'ouverture de la convention. Elle applaudit « l'objectif des participants à trouver et signaler des failles dans les systèmes électoraux », mais fait rapidement part de son « principal souci ».
Selon l'association, les attaques de la DEF CON se déroulent dans « un pseudo-environnement » loin de la sécurité physique et numérique mise en place lors des élections. De plus, « la plupart » des machines ne sont plus utilisées et il est impensable d'y avoir un accès physique « sans limite » lors des élections ou de rester plusieurs heures devant une machine à voter.
Des remarques similaires sont formulées pour l'infrastructure et les sites fictifs. « Bien qu'il soit indéniable que les sites sont vulnérables aux pirates informatiques, ceux affichant les résultats des élections ne sont utilisés que pour publier des résultats préliminaires et non officiels destinés au public et aux médias », et ne sont pas directement connectés au système de décompte des voix, ajoute la NASS.
Des caméras-piétons de la police transformées en passoires
Josh Mitchell, consultant en sécurité pour la société Nuix, détaille à Wired les failles – relativement inquiétantes – qu'il a trouvé dans des caméras-piétons pour la police vendues par cinq sociétés : Vievu, Patrol Eyes, Fire Cam, Digital Ally et CeeSc.
« Dans tous les périphériques, à l'exception de Digital Ally, les vulnérabilités permettraient à un attaquant de télécharger les images d'une caméra, de les modifier, puis de les télécharger à nouveau ». Selon le chercheur, il est également possible de supprimer purement et simplement des vidéos. Autre problème, les caméras ne possèdent pas de système pour certifier un enregistrement : « Je n’ai pas vu un seul fichier vidéo signé numériquement » affirme-t-il. Un problème si une vidéo venait à être utilisée dans un tribunal, d'autant plus qu'elle pourrait avoir été altérée.
Ce n'est pas tout : toutes les caméras-piétons passées au crible par Josh Mitchell présentaient des vulnérabilités permettant à un pirate de suivre leur position. Sur les modèles équipés de Bluetooth ou d'une connexion à Internet, le chercheur était même en mesure de récupérer le flux vidéo en direct.
En outre, des virus peuvent être téléchargés sur ces appareils, puis ensuite déployés dans des ordinateurs des commissariats lors de la synchronisation. On imagine aisément les risques qui en découlent...
Les fabricants des caméras ont été prévenus en amont par Josh Mitchell, mais également contactés par nos confrères. Axon (propriétaire de Vievu depuis peu) déploie une mise à jour pour corriger un souci sur le Wi-Fi et comblera d'autres failles au cours du prochain trimestre.
Patrol Eyes enquête sur les révélations du chercheur (sans plus de détail pour le moment), tandis que Fire Cam déclare ne plus vendre et supporter le modèle incriminé depuis maintenant deux ans. Problème, il est toujours proposé par des tiers, notent nos confrères. Advanced Plus Group (CeeSc) assure de son côté avoir comblé les failles, tandis que Digital Ally n'a pas répondu aux sollicitations.
Nouvelle attaque sur Android : « Man-in-the-Disk »
Dans un autre registre, Check Point explique avoir découvert une « lacune » dans la gestion du stockage externe (carte SD par exemple) de certaines applications Android. Ce n'est pas une vulnérabilité d'Android, mais bien un défaut d'applications.
Cette brèche « peut ouvrir la porte à une attaque entraînant des résultats indésirables, tels que l'installation silencieuse d'applications non sollicitées et potentiellement malveillantes sur le téléphone de l'utilisateur, un déni de service pour des applications légitimes et même des plantages, ouvrant la voie à une possible injection de code s'exécutant avec les privilèges de l'application attaquée ».
Selon l'équipe de chercheurs, des éditeurs restreignent trop peu l'accès aux données qu'ils enregistrent sur le stockage externe : il s'agit d'« une ressource partagée entre toutes les applications et ne bénéficiant pas de la protection Sandbox intégrée à Android ».
Google recommande pourtant de considérer ce genre de données avec la même précaution que si elles provenaient d’une source non fiable. Le stockage externe peut en effet être supprimé par l'utilisateur et modifié par toutes les applications : « n'y stockez pas d'informations sensibles » lâche le père d'Android. Problèmes, quelques applications connues – y compris certaines de Google – ne respectent pas ces règles, selon Check Point.
Les chercheurs donnent un exemple pratique : une application enregistre sur le stockage externe des mises à jour, avant de les récupérer. Le problème étant que ces données peuvent être modifiées par une autre application ayant accès elle aussi au stockage externe : « l'attaquant peut surveiller les données transférées entre toute autre application sur le terminal mobile de l'utilisateur et le stockage externe, et les remplacer par ses propres données en temps utile, entraînant le comportement indésirable de l'application attaquée ».
Parmi les applications sensibles à ce genre d'attaques, Check Point cite Google Translate et Voice Typing, Yandex Translate ainsi que le navigateur de Xiaomi. Les éditeurs concernés ont été informés de cette faille et Google a rapidement corrigé le tir, alors que Xiaomi n'a pas encore répondu aux questions.
D'autres applications sont certainement vulnérables à ce genre d'attaque, mais l'équipe a concentré ses recherches sur un petit nombre pour le moment.
ASUS, Essential, LG, ZTE... : des smartphones Android vulnérables
Parfois, il n'est pas nécessaire d'installer des applications sur son smartphone pour le rendre vulnérable : il peut l'être dès sa sortie de boite, même si les dernières mises à jour sont installées. Ce n'est là encore pas la faute d'Android à proprement parler, mais des modifications opérées par les constructeurs et leurs partenaires. C'est la conclusion d'une étude de Kryptowire financée par le département de la Sécurité intérieure des États-Unis, comme l'explique Wired.
Plusieurs smartphones sont directement cités, notamment le ZenFone V Live d'ASUS. Selon les chercheurs, il est possible de prendre le « contrôle complet du système » avec capture d'écran, enregistrement vidéo, appels, lecture et modification des messages, etc.
Dans le cas des ZTE Blade Spark et Vantage, une faille permettrait à n'importe quelle application d'accéder aux messages texte, au journal d'appels et à des fichiers journaux contenant des informations sensibles comme l'adresse email, les coordonnées GPS, etc.
Sur le LG G6, les chercheurs ont pu récupérer des fichiers journaux et même verrouiller le smartphone pour empêcher son propriétaire de s'y connecter. Sur l'Essential Phone, un pirate pourrait effacer toutes les données et provoquer un retour aux paramètres d'usine.
Contacté par nos confrères, ASUS, Essential, LG et ZTE assurent travailler pour combler ces failles, sans calendrier pour ces mises à jour logicielles. Problème, ce processus peut être long, très long même suivant les fabricants.
Le directeur général de Kryptowire rappelle que « ce problème ne va pas disparaître, car beaucoup de personnes dans la chaîne d’approvisionnement veulent pouvoir ajouter leurs propres applications, personnaliser et injecter leur propre code. Cela augmente la surface d'attaque et la probabilité d'une faille ».
Le Galaxy S7 était vulnérable à Meltdown... d'autres smartphones à suivre ?
Toujours dans le domaine des smartphones, des chercheurs de l'université autrichienne de Gratz ont déclaré à Reuters que le Galaxy S7 de Samsung était finalement vulnérable à Meltdown, mais sans préciser la version touchée (SoC Snapdragon ou Exynos). Une conférence sur le sujet était programmée lors de la Black Hat.
Le constructeur donne des précisions à Cnet : « depuis que nous avons été avertis par Google, nous avons rapidement déployé des mises à jour de sécurité pour résoudre les problèmes en janvier 2018, et publié des mises à jour logicielles incluant des correctifs supplémentaires en mai 2018 pour mieux protéger les périphériques au niveau du chipset ». De leur côté, les chercheurs confirment que le Galaxy S7 est désormais immunisé.
Pour Michael Schwarz, membre de l'équipe derrière cette découverte, le risque est bien plus grand : « il y a potentiellement encore plus de téléphones affectés que nous ne connaissons pas encore [...] Des centaines de millions de téléphones sont affectés par Meltdown et pourraient ne pas être corrigés car les fabricants eux-mêmes ne le savent pas ».
Alexa : une faille dans les enceintes Echo, difficile à exploiter
Durant la DEF CON, Wu Huiyu et Qian Wenxiang (Tencent) présentent leurs travaux... nécessitant de savoir manipuler un fer à souder. En bricolant et utilisant une série de bugs sur Alexa et les Echo de seconde génération, ils sont parvenus à récupérer le flux audio d'une enceinte et à l'envoyer vers un serveur distant, sans que l'utilisateur ne s'en rende compte. Amazon a été prévenue en amont et la vulnérabilité est corrigée depuis le mois de juillet, rapporte Wired.
La première étape pour mener à bien cette attaque est de démonter une enceinte Echo, de retirer sa mémoire flash, d'y installer un firmware modifié et de la remettre en place ; une opération qui demande déjà de solides connaissances hors de portée du premier venu.
Ensuite, il faut connecter cette enceinte au même réseau Wi-Fi qu'une autre enceinte Echo, non modifiée cette fois-ci. Les chercheurs utilisent alors plusieurs vulnérabilités du site d'Amazon et des fonctionnalités d'Alexa pour contrôler l'enceinte non modifiée. Ils ont ainsi pu récupérer son flux audio.
Les risques sont très limités pour un particulier puisqu'il faut être à proximité et connecté au même réseau Wi-Fi. Néanmoins, dans le cas d'un hôtel où les chambres sont chacune équipées d'une enceinte Echo, cette technique pourrait faire des ravages.
Rappelons que ce n'est pas la première fois qu'Alexa fait parler d'elle, pas dans le bon sens du terme. En avril dernier, une faille permettait à des applications d'écouter les conversations. Parfois, l'intelligence artificielle fait même n'importe quoi toute seule : elle a enregistré et envoyé une conversation à un contact, sans que personne ne lui demande.
Un mode « dieu caché » sur les CPU VIA C3 ?
C'est parfois dans les vieux pots qu'on fait les meilleures soupes. C'est l'adage que pourrait utiliser Christopher Domas pour présenter sa « trouvaille » sur les processeurs C3 de VIA du début des années 2000. Il déclare en effet qu'avec une seule instruction – .byte 0x0f, 0x3f
– il est possible de passer du ring 3 au 0 (niveau noyau) et donc exécuter des commandes en tant que root.
GOD MODE UNLOCKED: hardware backdoors in some x86 CPUshttps://t.co/Ph0IAL0Pyw
White paper coming tomorrow. @BlackHatEvents pic.twitter.com/qhZ1vFI7pL— domas (@xoreaxeaxeax) 9 août 2018
Le chercheur parle d'une « porte dérobée », expression contestée par des confrères (voir les réactions ici et là par exemple). En effet, cette instruction est détaillée sous le nom d'« Alternate instruction set ». Le fabricant assure que « ce jeu d'instructions alternatif est destiné aux tests, aux débogages et pour des applications particulières. En conséquence, il n'est pas documenté pour une utilisation générale. Si vous avez un besoin justifié d’accéder à ces instructions, contactez votre représentant VIA ». Une porte dérobée documentée (au moins partiellement), c'est antinomique pour certains.
Normalement, cette fonctionnalité n'est pas accessible par défaut et nécessite un accès au noyau pour la mettre en place ; il n'y a donc pas de risque particulier. Problème, Christopher Domas affirme qu'elle est activée par défaut sur certaines séries de processeurs C3.
Cette histoire rappelle une fois de plus que la moindre ouverture peut tout changer en matière de sécurité. Si un tel paramètre, activé lors de tests, reste en place lors du passage à la production, les conséquences peuvent être dramatiques.
Une intelligence artificielle capable d'identifier des développeurs
Dans les romans et autres publications manuscrites, il est parfois possible d'identifier l'auteur en analysant son style (du vocabulaire aux tournures de phrases) et/ou son écriture. Une intelligence artificielle serait capable de faire de même avec les lignes de codes.
Grâce au machine learning, elle pourrait retrouver le développeur à l'aide de son « empreinte numérique ». Rachel Greenstadt et Aylin Caliskan déclarent ainsi à Wired que « le code, comme d'autres formes d'expression stylistique, n'est pas anonyme ».
Bien évidemment, l'IA a besoin de morceaux de code des développeurs pour créer leur empreinte, et ensuite essayer de la retrouver dans d'autres programmes. Par exemple, avec un échantillon de 100 développeurs (et huit morceaux de code pour chacun d'entre eux), l'intelligence artificielle était capable d'identifier le développeur d'un autre code dans 96 % des cas. Le chiffre passe à 83 % avec un échantillon de 600 développeurs.
Pour les chercheurs, cette IA pourrait par exemple servir d'aide pour identifier les auteurs d'un code malveillant, mais pas uniquement. Cette technique pourrait être utilisée pour savoir si un étudiant en programmation a plagié du code ou bien si le développeur d'une société a violé une clause de non-concurrence de son contrat.
IBM, Fortinet et Elon Musk surfent sur la vague DEF CON
Des sociétés profitent également de ces conférences pour faire quelques annonces. C'est le cas d'IBM et de Fortinet : ils unissent leurs forces dans la lutte contre les cybermenaces et mettent en commun leurs connaissances sur le sujet. Il s'agit surtout de profiter de l'exposition médiatique des conventions...
Elon Musk était également présent à Las Vegas pour répondre à quelques questions. Il en a profité pour annoncer (une nouvelle fois) que le système de sécurité intégré aux voitures électriques Tesla serait proposé en open source et utilisable gratuitement par ses concurrents. Reste maintenant à savoir quand et sous quelle forme, deux points qui n'ont apparemment pas du tout été évoqués.
Pour le patron de Tesla et SpaceX, la priorité est d'empêcher un « piratage à l'échelle de la flotte », où un pirate pourrait par exemple prendre le contrôle de toutes les voitures Tesla en circulation. Le fabricant de voitures a d'ailleurs mis à jour sa page sur la « sécurité du produit » pour y ajouter des mentions concernant les chercheurs en sécurité attaquant les voitures de bonne foi.
En cas de briquage de la voiture, le fabricant « déploiera des efforts raisonnables pour mettre à jour ou "rediffuser" le logiciel ». De plus, il n'intentera d'action en justice pour « violation du droit d’auteur en vertu du Digital Millennium Copyright Act («DMCA») contre un chercheur de sécurité préapprouvé et de bonne foi qui contourne le mécanisme de sécurité tant qu’il n’accède à aucun autre code ou binaire ».
Great Q&A @defcon last night. Thanks for helping make Tesla & SpaceX more secure! Planning to open-source Tesla vehicle security software for free use by other car makers. Extremely important to a safe self-driving future for all.
— Elon Musk (@elonmusk) 11 août 2018
Les principales annonces de la Black Hat USA et de la DEF CON 2018
-
Des attaques tous azimuts, certaines plus complexes que d'autres
-
Des machines à voter piratées de toutes parts
-
Pas représentatif de la sécurité mise en place pour la NASS
-
Des caméras-piétons de la police transformées en passoires
-
Nouvelle attaque sur Android : « Man-in-the-Disk »
-
ASUS, Essential, LG, ZTE... : des smartphones Android vulnérables
-
Le Galaxy S7 était vulnérable à Meltdown... d'autres smartphones à suivre ?
-
Alexa : une faille dans les enceintes Echo, difficile à exploiter
-
Un mode « dieu caché » sur les CPU VIA C3 ?
-
Une intelligence artificielle capable d'identifier des développeurs
-
IBM, Fortinet et Elon Musk surfent sur la vague DEF CON
Commentaires (13)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/08/2018 à 13h04
Les devs sont parfois tout puissants aussi, selon la méthode de développement.
Après tout il est facile d’introduire des choses de ce genre pour du debug et de les oublier par la suite.
EDIT : et même avec un process de relecture de code, ça peut passer inaperçu.
Le 17/08/2018 à 14h11
Le 17/08/2018 à 14h45
je rejoins ErGo_404 sur ce point, y’a qu’a regarder les sources de certains gros projets web, pourtant connus et reconnus, il peut y avoir des trucs vraiment pas propre qui pourtant sont utilisés en production.
donc des bout de code “de debug” ou “de test” qui passent en prod, c’est loin d’être impossible.
à moins d’avoir une relecture béton, y’a forcément un moment ou dans l’urgence une relecture est zappée et un code pas censé sortir du cadre des tests peut très bien être présent où il ne devrait pas.
ce qui n’empêche pas que la faille soit corrigé à l’itération suivante et donc avec un impact “limité”.
pour du web c’est relativement facile de le corriger, par contre une appli compilée et déjà fournie à un client qui l’a installé, ça peut être plus délicat, et si c’est dans un firmware dans une puce qui ne peut être mise à jour que via un accès physique n’en parlons pas …
et ça c’est dans les cas où c’est pas volontaire
Le 17/08/2018 à 14h45
Les devs ne sont pas essence black hat ou white hat. Certains le sont, d’autres pas, certains l’ont été, d’autres le seront.
Certains dev profite d’un patron ou d’un client pour faire du minage ou du black SEO, d’autres sauvent des coups ou refusent de participer à un truc louche… quand d’autres acceptent.
C’est la fameuse “revanche du geek” à son extrême. Nous (les devs) avons tous dans nos mains un “god mode”, ne serait-ce que parce que nous avons des accès root, ou des accès à la BDD en open bar. C’est un problème d’hétique, comme pour des avocats, des médecins etc.
https://news.ycombinator.com/item?id=17266970
Le 17/08/2018 à 15h30
Ou à moins de ne pas avoir beaucoup d’expérience en développement.
Franchement, je ne sais pas comment se passe la conception de processeurs, mais niveau logiciel il faut une certaine rigueur pour pouvoir dire avec certitude qu’on n’a rien introduit de douteux. Et cette rigueur, il y a un paquet de monde qui en manque.
Le 17/08/2018 à 15h46
Le 17/08/2018 à 15h48
Le 17/08/2018 à 17h48
Enfin une illustration de pirate informatique sans capuche ! Bel effort !
Le 19/08/2018 à 11h22
oui en effet, je voulais parlé du chef de projet qui a aprouver la demande (ou le donneur d’ordre qui lui a ordonner d’aprouver cette demande), celui qui approuve une backdoor mérite juste la prison, surtout dans des système sensible
Le 17/08/2018 à 09h35
un mode dieu, sérieusement, faudrais les foutres en prison les dev qui ajoute volontairement des portes cachées qui n’ont aucun intéret autre que d’avoir un accès dérober…
Le 17/08/2018 à 09h40
le VIA C3 " />" />
“fichiers cachés dans le système d’exploitation (notamment des MP3 de musique chinoise)” WTF ? qu’est-ce que ça fout là ?
Le 17/08/2018 à 10h21
Le 17/08/2018 à 11h39
tu fais bien de préciser " />" />