Spécial sécurité : Vupen, le Calchas de conscience

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur le buzz qu’a généré la découverte par une équipe française d’un exploit sur Chrome. Un exploit non divulgué qui fait encore des remous dans la communauté des experts en sécurité. Ils s’arrêtent ensuite sur le hack d’un réseau WiFi, avant de terminer sur une série d’articles tournés vers les tests de sécurité.

Sommaire
1 - Vupen, le Calchas* de conscience
2 - Hack sans fil : structurellement inutile, instructif pour la sécurité
3 - Silence, on teste !

1 - Vupen, le Calchas* de conscience
Vupen serait-il l’oracle qui dérange, le Calchas qui clame tout haut les vérités que personne ne veut entendre ? Depuis que l’entreprise Montpelliéraine a émis un communiqué vantant les mérites d’un exploit visant Chrome, la communauté sécurité s’est transformée en générateur aléatoire de réflexions éthiques profondes. Car les réflexions éthiques sont toujours profondes, surtout lorsqu’un chercheur avoue haut et clair ne pas souhaiter divulguer la nature d’un exploit. Du moins à ceux qui ne l’on pas acheté, le trou étant particulièrement réservé aux « acheteurs de services gouvernementaux » (aka espions, barbouzes et autres agents de renseignements).

Jusqu’à présent, cette pratique était connue, répandue, mais toujours occulte. Pour Brian Krebs, cette forme de divulgation sélective, cette sélection par l’argent interdit un colmatage de la brèche et donc… le risque que d’autres hackers moins scrupuleux (les « services spéciaux » seraient-ils eux-mêmes scrupuleux ?) puissent exploiter ladite faille. Google, de son côté, ne peut officiellement se porter acquéreur de la faille, ce serait admettre que la « l33t Prime » connaît deux poids, deux mesures… et une multitude de tarifs.

Côté Verizon, on parle d’extorsion caractérisée et l’on mélange, dans un joyeux concert, des histoires de brevets, de script kiddies… Verizon, grand opérateur, grand acteur du monde de la sécurité, n’aurait jamais été approché par des services de police ou de renseignements ? Voilà qui serait étrange. Mais peut-être est-ce en raison de la situation géographique de l’inventeur de la faille ? Le commerce des failles ne se limite pas aux seuls producteurs de logiciels de pentesting tels que Canvas et Core Impact. Chaque grande entreprise possédant un laboratoire de recherche travaille étroitement avec les différents services de police… alliance objective qui donne à l’un les renseignements techniques nécessaires à l’exercice de son travail, et à l’autre le coup de main et le muscle indispensable, parfois, pour que cesse l’activité d’un groupe devenu trop gênant pour l’économie numérique. Qu’il s’agisse des bureaux des CTO d’ISS, de Sophos, de F-Secure, de McAfee etc., l’on trouve toujours un diplôme, un certificat, un trophée portant l’estampille de la CIA, du FBI ou d’une autre agence, hochets offerts aux techno-geeks en remerciement des services rendus à la Nation. Quels services ? Sur ce point, les langues se délient rarement.

D’ailleurs, existe-t-il une morale du chasseur de failles lorsque ledit chasseur est lié aux lois du marché ? Inutile de fouiller dans les écrits d’André Comte-Sponville ou de Marx : il n’existe qu’une morale, celle du gain, celle de l’entreprise. Ce n’est pas de l’immoralité, mais de l’amoralité... nuance. Celle-là même qui faisait déclarer aux dirigeants de Symantec que leur devoir citoyen leur interdirait de détecter un « spyware d’Etat » tel que Magic Lantern. Vérité en deçà des Pyrénées, mensonge au-delà.

Propos plus mesurés pour Cédric Blancher, qui critique ouvertement le fait que la chose ait été portée sur la place publique. C’est là effectivement une « faute de goût ». Lorsque l’on fraye avec les services en marge de la légalité, cette attitude fût-elle dictée par la Raison d’Etat, on accepte de ne pas dévoiler les secrets de cuisine. Ils sont par nature et généralement assez peu ragoûtants et font partie du « non-dit » du milieu policier ou militaire. Il s’agit là, ajoute Cédric Blancher, d’un tout autre travail, qui ne mérite pas le qualificatif de « sécurité ». Les professionnels de la sécurité, eux, préviennent l’éditeur concerné, car la nature même du métier consiste à réduire la surface de vulnérabilité des systèmes des usagers et clients. Là, on peut parler de morale, d’éthique. Deux mots qui sont totalement inconnus dès que l’on franchit les territoires ténébreux des services spéciaux.

Pour Chaouki Bekrar, la question est un peu moins intellectuelle et se place sur le terrain de la rémunération du travail de chercheur. Un thème souvent évoqué par Charly Miller, Alex Sotirov et Dino Dai Zovi. Car le monde de la découverte de faille est un monde codifié, truffé de règles non-écrites, de menaces d’avocats, de risques de dérive mafieuse… un décalogue subtil, parfois contradictoire, qui pourrait s’énoncer ainsi
- La faille d’un éditeur jamais ne dévoileras à moins qu’une rustine celui-ci publie
- Les tarifs de ton trou jamais ne marchanderas, ou de maître-chanteur on te qualifiera
- Aux barèmes fixés par l’éditeur même tu te conformeras, car ce juge et partie des avocats aura
- Aux services de polices ton exploit donneras car patriotique toujours te montreras
- Certains sujets surtout tu sauras éviter. Un trou dans FlashPlayer n’est plus à disserter.
Et ainsi de suite…


Un exploit « post Stuxnet »
Une tendance pourtant semble échapper aux principaux observateurs du milieu. A moins qu’ils cherchent sagement à éviter d’aborder ce sujet si polémique : le précédent Stuxnet, la poussée médiatique des « APT », l’attitude des militaires américains au fil des dernières grandes conférences sécurité. Petit à petit, même la presse généraliste prend conscience que les « bugs » sont devenus des armes ouvertement employées par nos chères barbouzes, nos bien aimés flics, nos adorés militaires. Réelles ou fantasmées, les attaques des cyber-militaires en Géorgie, les pénétrations des espions Chinois dans les Ministères Européens ou Etats-Uniens, les discours bellicistes des Keynote-Speakers en uniforme prônant « a good offence as the best defense », certains indicateurs politico-militaires (notamment l’internationalisation des manœuvres CyberStorm, la concentration du CyberCommand US englobant la Navy, l’Usaf et l’Army…), tout çà indique que la militarisation de l’exploit binaire n’est plus un délire de journaliste ou d’auteur de polars. Et qui dit militarisation pense marchand d’armes, prix des munitions, contrats d’Etat. Dans cette optique, Vupen serait la version informatique de la Société Nationale des Poudres et Explosifs. Un métier qui, on s’en doute, ne « fournit pas », sans l’aval de son principal et unique client, de renseignements sur les détails de ses bombes. Reste que la SNPE ne diffuse pas ses vidéos publicitaires sur YouTube et préfère des médias plus discrets. La faute de Vupen se résume donc à un mauvais « faire savoir » plutôt qu’à un « savoir-faire » que personne ne condamne.

Cette position purement marchande est d’ailleurs confirmée par un rapide message de Chaouki Bekrar, patron de Vupen, qui déclarait récemment sur Twitter « We reported a pre-auth 0day we found in a SCADA srv. Yes, we report vulns for free when the affected vendor is not a multi-billion $ company ». La vente des failles est un business, avec ses règles et ses obligations marketing et promotionnelles.

NdlC Note de la Correctrice : Calchas (prononcer Calkass) était le devin très clairvoyant d’Agamemnon. Celui que la Belle Hélène appelait le Confident d’papa et le distinguait des cornichons qui, eux, sont confits dans du vinaigre.



2 - Hack sans fil : structurellement inutile, instructif pour la sécurité
Quelques twitts et reprises de blogs à propos d’un hack WiFi concocté par un étudiant de la Rice University (Houston, TX) : Ryan Guerra, souhaitant accroître le rayon d’action d’une liaison WiFi entre un appartement et un hot spot gratuit, s’est ingénié à construire un « downconverter » (en gaulois un mélangeur infradyne) censé accroître la portée du système. Quelques détails techniques sont fournis sur le site Ars Technica.

De manière très schématique, le jeune hacker radio a converti le signal WiFi sur les anciennes bandes UHF autrefois réservées à la télévision, et qui ne sont guère plus utilisées que par quelques transmetteurs de caméras portables et autres microphones «HF ». Aux USA, cette bande a obtenu un statut de « bande citoyenne secondaire », ce qui veut dire qu’il n’est pas nécessaire de posséder une licence d’émission pour pouvoir l’utiliser, mais que certaines restrictions sont imposées. Notamment, chaque émetteur « WiFi UHF » doit être capable « d’écouter » la fréquence avant d’émettre et de cesser son trafic (ou changer de fréquence) si un transmetteur de télévision ou le signal d’un micro est entendu. Une détection qui dépasse largement la simple détection de signal radio, puisque le système doit pouvoir distinguer la nature du signal, analogique ou numérique, de l’occupant prioritaire. En cas de surdité caractérisée, il peut même être demandé que chaque transmetteur puisse être équipé d’un équipement GPS doublé d’une liaison Internet afin de connaître la position exact des derniers émetteurs professionnels à statut primaire encore en service et d’agir en conséquence. Si la bande des 500 MHz offre effectivement des possibilités un peu plus intéressantes en matière de portée, elle est toutefois limitée par les lois de la physique. Le rapport débit/fréquence porteuse limite la bande passante exploitable au quart du débit PHY d’un équipement 2,4 GHz. Le « hack » de notre universitaire étant initialement prévu pour contourner un obstacle physique sur une distance d’un mile (1,6 km), une antenne directive avec un meilleur gain et un calcul d’équation de puissance en Nlos (liaison « non line of sight ») aurait largement pu éviter une suractivité cérébrale et électronique et garantir une exploitation confortable de la bande passante originelle. A cela s’ajoute un autre point en défaveur de la technique utilisée.

Comme le montre une photographie de nos confrères américains, le fameux « downconverter » est raccordé sur une antenne « log periodic », système rayonnant réputé pour la largeur de sa bande passante mais affligée d’une redoutable absence de gain par rapport à une antenne accordée (10 dB max contre 30 dB pour une parabole correctement illuminée). L’exercice de style est intéressant, mais cette débauche de science et de technologie aurait pu être remplacée par un peu plus de calcul, de meilleures antennes et un léger travail de gestion des réflexions.

Cet exercice apporte pourtant sujet à réflexion en matière de sécurité, et montre qu’un simple mélangeur peut expédier sur une autre fréquence un signal WiFi susceptible de faire fuir des données à l’insu d’un administrateur. Surveiller le spectre électromagnétique sur la bande des 2,4 et 5 GHz est totalement inutile… le véritable signal pirate peut très bien se trouver sur 3, sur 5 ou sur 10 GHz, et ce pour un investissement parfois inférieur à quelques euros. Seule une surveillance au niveau MAC/IP peut détecter une station « rogue »… et encore cette méthode est-elle aussi entâchée de limitations. Rien n’interdit, par exemple, d’imaginer un ordinateur officiellement déclaré d’être infecté par un programme chargé de re-router son trafic réseau sans fil. La chose existe depuis des lustres sous Linux et a fait officiellement son apparition sous Windows 7 sous l’apparence de services Mesh. Reste donc pour se protéger l’analyse de trafic et les méthodes traditionnelles, l’examen des logs, la surveillance comportementale…

3 - Silence, on teste !
4 outils gratuits pour vérifier « en ligne » des fichiers pdf douteux, à lire sur le blog de Lenny Zeltser, ce papier qui « parle » à tout le monde et ne s’adresse absolument pas aux gourous. Un Zeltser qui publie par ailleurs un autre tétralogue vulgarisateur, celui des « 4 raisons pour lesquelles les utilisateurs d’ordinateurs renâclent à installer des mises à jour de sécurité » (ouf ! titre compte double, scrabble !). A noter que le quatrième point est « Some update mechanisms fail for non-privileged users »… on pourrait ajouter « Some update mechanisms fail for -privileged users »… certaines mises à jour de Chrome turlupinent les utilisateurs de Seven qui se loguent sous Admin pour déployer leurs correctifs… par habitude ou par prudence ? Signe de l’évolution des mœurs en matière de sécurité, tant de la part des usagers que des éditeurs. Les habituels conseils (Utilisez Wsus ou PSI) achèvent ce rapide articulet.

Encore du test de vulnérabilité niveau « production », avec un papier très « survolé » de John Strand sur PaulDotCom, et intitulé « je débute dans le test Web ». Survolé mais certainement pas bâclé, truffé de liens utiles et d’outils génériques… car les failles les plus courantes ne sont pas celles dont on parle généralement dans les conférences et qui font la première page des revues d’informatique.

Les failles Web … un sujet qui pourrait nous transporter en Irlande, à Dublin plus exactement, où se tiendra le 7 juin la prochaine réunion Owasp Appsec Europe 2011. Les journalistes sont les premiers servis... pour une fois.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)