Spécial sécurité : les probables attaques de l’impossible (tome 1)
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, donne un coup de projecteur sur des piratages de l’extrême, podslurping et autre détournement de l’accéléromètre, notamment. Ils terminent en pointant du doigt des différences de points de vue entre gourous qui ont animé la communauté des experts en sécurité ces dernières semaines.
Sommaire
1 - Les probables attaques de l’impossible (tome 1)
2 - Les probables attaques de l’impossible (tome 2)
3 - Les probables attaques : quand s’affrontent les gourous
4 - Les probables attaques : quand les gourous sont en courroux *
1 - Les probables attaques de l’impossible (tome 1)
Le chercheur en sécurité est un être étonnamment inventif. Bien plus parfois que ne l’est l’exploitant « black hat » à la recherche d’un profit immédiat. Pour le spécialiste de la détection des hacks vicieux, un rien peut donner naissance à un scénario catastrophe… et c’est pour ça qu’on les aime : Ils nous offrent sur Internet des montages aussi rocambolesques que ceux d’une superproduction hollywoodienne qui, elle, coûte au moins le prix d’une place de cinéma.
Brian Markus, Joseph Mlodzianowski et Robert Rowley ( Aires Security), à l’occasion de la dernière Defcon de Las Vegas, se sont amusés à construire une borne gratuite de rechargement pour téléphones portables. A la différence près qu’il n’y avait pas que les fils Vcc et Vdd câblés sur le connecteur USB de recharge. Cette version moderne du podslurping est une variante connue du « faux kiosque » : distributeurs de billets bidon avaleurs de cartes ou lecteurs de codes PIN et bancaires, affiches publicitaires à « extension Bluetooth » diffuseuses de virus téléphoniques, clefs USB ou CD-ROM publicitaires distribués sur les salons professionnels et pouvant contenir des programmes compromettants… certaines menaces sont bien réelles, d’autres relèvent de l’imagination la plus débridée. Mais la leçon est toujours la même : tout ce qui est public, gratuit ou non, bénéficie d’un niveau de confiance absolu. D’ailleurs, la dernière fois que le rédacteur de ces lignes a emprunté un parking souterrain, il a un bref instant trouvé un air bizarre au lecteur de carte « acceptant Visa, Moneo, CB etc. »… Zut, encore une « prez » et un sujet très « buzz » que l’on aurait pu conserver pour la prochaine Hackito Ergo Sum…
2 - Les probables attaques de l’impossible (tome 2)
Pour deux chercheurs de l’Université Davis (Californie), il est même dangereux de composer un numéro de téléphone (et encore plus un numéro de carte de crédit) sur… un téléphone portable évolué. Certains de ces appareils (l’iPhone par exemple, mais également les Android) intègrent un accéléromètre. Composant indispensable au bon fonctionnement d’un verre de bière virtuelle ou d’un « flipper » numérique. Hao Chen et Lian Cai, les chercheurs en question, ont donc développé un pseudo Troyen chargé de mesurer les variations d’inclinaison des terminaux au moment précis de la composition d’un chiffre sur le clavier. La force pressante et l’appui de la main qui maintient l’appareil crée un effet de levier, lequel imprimera à l’appareil un mouvement d’autant plus important que l’appui sera éloigné du point de repos. Tortueux ? Pas plus que de mesurer les variations d’appel de courant ou les temps de réponse d’un ordinateur pour en extrapoler la composition d’un mot de passe. C’est comme ça, un bon chercheur en sécurité, il invente des trucs que même Ponson du Terrail n’aurait jamais osé écrire. Comment tromper les statistiques dudit troyen ? En posant l’appareil sur une surface dure avant chaque appel. Ou en utilisant la main gauche (ou droite, selon). Voir en perturbant la lecture en n’appelant que depuis un trampoline, un avion de voltige ou un saut en chute libre. Voir en abandonnant les métiers de la sécurité et en se convertissant dans le métier d’astronaute. En impesanteur, les accéléromètres donnent parfois d’étranges résultats.
3 - Les probables attaques : quand s’affrontent les gourous
Bon, parfois, il lui arrive, au gourou, de rédiger des choses qui frisent le « pas trop mûrement réfléchi ». A tout hasard, l’un des derniers « Advisories » de l’US-Cert qui revient sur les principaux défauts que l’on aurait dénombrés sur les automates programmables Siemens de la série Simatic (les points d’entrée de l’attaque Stuxnet). Une analyse qui subit un bombardement en règle de la part du Cert-ICS, lequel explique en quoi le bulletin du Cert-US est inapproprié, que ses erreurs d’interprétation peuvent conduire les lecteurs à commettre d’autres erreurs en voulant apporter des corrections… querelle d’experts qui ne risque pas de réconcilier les usagers avec le langage technoïde de bien des Cert. Cette querelle et cette littérature débordante de menaces potentielles apprendront au moins au lecteur quelques petites choses sur ce qu’est ISO-Tsap, couche de transport des réseaux dans le domaine de l’automatisation et du contrôle de processus (en plus court : TCP, mais rebaptisé par l’ISO peut-être pour faire oublier OSI). Rappelons qu’avant de se plonger dans les arcanes des protocoles, l’impétrant terroriste qui souhaitera rendre fou un processus industriel aura plutôt intérêt à se plonger dans des méthodes de transmission plus simples et pas toujours encapsulées. V24 par exemple, ou HPIB (et successeurs).
Des décennies durant, le monde de l’automatisme industriel a vécu, protégé par un environnement matériel totalement propriétaire. Ce qui n’a pas franchement incité ses fournisseurs à pratiquer régulièrement des audits de sécurité autres que les traditionnelles « évaluations internes » difficilement objectives. Il y a fort à parier que les défauts d’intégration (d’implémentation disent les spécialistes) constatés au niveau bas des protocoles de communication ne soient que le petit bout de ficelle qui sort d’une pelote de bugs. Problèmes d’autant plus lourds de conséquences que l’arriv&e acute;e d’ordinateurs « standards », dotés de noyaux tout aussi « standards », a poussé pratiquement tous les équipementiers à rédiger dans l’urgence des passerelles protocolaires d’interopérabilité. Le PC et Windows ? « One to rule them all ». L’ennui, c’est que certains de ces processus industriels sont de classe Seveso.
4 - Les probables attaques : quand les gourous sont en courroux *
Encore une joute à fleurets démouchetés entre experts, qui oppose cette fois Eugène Kaspersky, patron de la société d’édition d’antivirus du même métal, et le Docteur Phyllis Schneck, sur le blog de l’Avert (McAfee, un autre éditeur d’antivirus pas Russe celui-là). La pointe d’un fleuret n’est pas pointue, mais elle peut faire très mal quand même. Rappelons-nous.
Début août, McAfee publie une « révélation » : Les Chinois nous attaquent avec Shaddy Rat, le botnet spécialisé dans le vol d’information. Shaddy Rat, explique le rapport, c’est de l’APT en barre, de l’espionniciel industriel et économique de haut niveau technologique. Lesdits Chinois protestent de façon véhémente par le biais d’un grand quotidien national, tandis que, moins sensationnaliste mais plus technique, l’équipe Secureworks et celle du Cert-Lexsi laissent clairement entendre que, Chinois ou pas, Htran, une composante de Shaddy Rat est bel et bien un outil de vol massif d’informations sacrément efficace et retord.
C’est là qu’Eugène Kasperky entre en scène, et déclare que l’APT n’est pas si « advanced » que çà, et qu’une bonne protection périmétrique associée à une politique de sécurité intelligente peut fort bien tenir tête à une telle attaque. En outre, voir derrière telle ou telle écriture d’exploit la main gauche d’un Etat est une affirmation plutôt hasardeuse. Deux évidences, deux portes ouvertes enfoncées qui ont souvent fait la manchette des journaux. Particulièrement depuis que les attaques des Anonymous et confrères ont montré à quel point les S.I. de grandes entreprises ou des services d’Etats étaient parfois si poreux. Particulièrement aussi depuis la vague de psychose de cyberguerre aux lendemains des attaques contre l’Estonie, la Géorgie ou plus récemment lors de la supposée cyber-blitzkrieg contre les centrales nucléaires Iraniennes. Autant d’assauts pour lesquels il est difficile de désigner une origine formelle…donc officielle. Quand au côté hautement technique, Stuxnet lui-même, dans un premier temps, avait été présenté comme l’archétype de l’attaque sophistiquée, truffée de ZDE de la plus haute volée. Une estimation très vite revue à la baisse par les principaux spécialistes.
Le tout dernier rebondissement de l’affaire Shaddy Rat tient dans les quelques lignes de réponse faite à Eugène Kaspersky par Phyllis Schneck. Réponse contenant peu ou pas d’arguments techniques, mais qui nous donne l’occasion de découvrir un sigle nouveau : SPT, pour Successful Persistent Threat, autrement dit une APT encore plus APT puisqu’elle est parvenue à ses fins. Alors peu importe que Monsieur Kaspersky ergote sur la sophistication ou non de Shaddy Rat. Parce que le propre des experts sécurité, ce n’est pas seulement d’inventer des scénarii d’attaques rocambolesques. C’est aussi de pouvoir maîtriser l’art difficile de savoir, avec un aplomb remarquable, inventer des néologismes et des expressions capables de nous faire trembler et palpiter.
NdlC, Note de la Correctrice : L’auteur avait initialement achevé son titre par « coucou » …