Spécial sécurité : Soulographie biométrique et antipodique : toc !

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s’interrogent sur la mise en place de procédures d’identification numérique dans des bars australiens, trop peu réglementées. Un flicage sans parapet pour le bien de tous bien sûr. Mais qu’en est-il en France, se demandent-ils. Ils pointent ensuite du doigt quelques listes sécu liées aux tests de pénétration, pour finir sur deux articles, censés donner un coup de projecteur sur les attaques XSS.

Sommaire
1 - Soulographie biométrique et antipodique : toc !
2 - Pentesting, forensique, on connaît la musique (horoscope 2)
3 - Excès d’XSS et exercices exquis (horoscope 3)

1 - Soulographie biométrique et antipodique : toc !
En Australie, pays plus réputé pour la qualité technique de ses usines de kangourous que pour la qualité de sa bière, les patrons d’estaminets se prennent de plus en plus pour des ministres de l’Intérieur (en activité ou chômage récent) : ils imposent à leur clientèle une prise d’empreinte digitale et le scan d’une pièce d’identité à l’entrée de leur établissement, nous apprend le quotidien SMH. Le tout, comme c’est souvent le cas et pas seulement en Australie, accompagné d’un dress code assez strict pour justifier le refus d’un videur sans risque d’encourir la moindre poursuite pour délit de sale gueule ou discrimination. Mais « ça », c’est presque plus « normal »…

Les identités ainsi collectées numériquement sont, dans certains cas, concentrées sur des serveurs, conservées 28 jours durant (es règles PCI-DSS sont plus strictes que cela) voir indéfiniment si l’intéressé « fiché » est répertorié comme trublion notoire. Une qualification qui, on s’en doute, ne dépend que de l’appréciation du personnel de l’établissement, probablement assermenté et réputé pour sa probité morale et son sens élevé du respect de la personne humaine. Tim Pilgrim, le « Federal Privacy Commissioner » du gouvernement, avoue ne pas avoir le pouvoir d’enquêter sur ce genre de pratique, faute de lois appropriées. L’une des entreprises sous-traitante chargée de cette collecte d’informations précise pourtant que ces identités sont « partagées sous forme d’une liste de fauteurs de trouble, que cette liste soit locale, à l’échelon de l’état, voir nationale ». Comment est on passé du « Paulo, j’t’appelle un sapin, rentre chez toi, ta femme t’attend » à une infrastructure de flicage pesant probablement plusieurs millions de dollars et entretenue par une milice privée ?

Fort heureusement, en France, de telles choses ne peuvent arriver, puisque nous sommes protégés par notre vaillante Cnil. Les récupérations de données biométriques et d’identités effectuées sans demander l’avis des personnes intéressées sont strictement interdites. Ou alors un tout petit peu lorsque l’intéressé passe devant une caméra de vidéosurveillance, pardon, protection. Ou lorsqu’un opérateur exige la copie d’une carte d’identité pour vendre un abonnement téléphonique, sans préciser la période de rétention de ladite information ni ses conditions de stockage et chiffrement. Ou peut-être lorsqu’une compagnie aérienne impose la communication d’un numéro de carte de crédit associé à un numéro de passeport, dans le seul but de le transmettre aux services de renseignements d’une puissance étrangère. Ou lorsque… non, franchement, ce serait médire que de penser à ces détails, lorsque ces petites contraintes qui nous aident chaque jour à lutter contre les pédo-terroristes cybervioleurs récidivistes (et réciproquement).

2 - Pentesting, forensique, on connaît la musique (horoscope 2)
Les natifs placés sous le signe du Test de Pénétration, ascendant forensique, vont avoir de la lecture. Security4All signale deux initiatives intéressantes : l’une est un « repository » collectionnant les signets de tout ce qui se fait dans le domaine du test de pénétration Open Source. Après quelques jours à peine, la liste est déjà conséquente. L’autre initiative est celle du Penetration Testing Execution Standard, une tentative d’approche méthodologique des tests de pénétration. Voilà qui nous permet au passage de rappeler la journée du Honeynet projet le 21 mars prochain à Paris, dans les locaux de l’Esiea.

Tempête dans un cube de silicium, après cette communication très discutée sur les différentes listes « sécu » : les logiciels d’effacement de disque dur les plus sophistiqués (ceux-là même qui sont bénis par le DOD et autres agences à trois lettres) laisseraient intacts quelques pourcents de données. Certains aspects de la communication sont ardus, techniques et très argumentés, d’autres font sourire, tel ce passage expliquant que les chercheurs ont tenté de « dégausser » leurs disques silicium avec un électroaimant. A la rigueur, une décharge EMP, mais un champ magnétique… probablement une interprétation des technologies FET ?

Le problème de l’effacement d’une mémoire flash (ssd ou clefs usb) se présente lorsque le matériel est déconditionné et revendu d’occasion (ou récupéré en fin de période de location/leasing), ou lorsque le disque concerné doit être « débriefé » après un retour de mission, afin de ne conserver aucune information essentielle. Si l’on souhaite écarter la solution quelque peu radicale de la destruction physique du support par broyage, atomisation, réduction par l’acide, estrapade, noyade dans du béton ou incinération par aluminothermie, le chiffrement peut constituer un première parade contre le risque de récupération encore que, comme le précise l’étude, tout ne soit pas parfait en ce domaine, surtout si l’on utilise les « integrated cipher tools » dont l’intégration n’est pas toujours parfaite. Chiffrement qui en outre, dans certaines circonstances, peut s’avérer problématique (passage de frontières notamment). N’oublions pas également que cette technique a longtemps été quasiment interdite en France par la DCSSI, sous prétexte que ceux qui avaient quelque chose à cacher avaient également quelque chose à se reprocher, logique fleurant bon le libéralisme éclairé et encore en usage dans bon nombre de pays. C’est là un sujet digne d’entretenir de longues conversations durant les soirées d’hiver, et de nourrir pour les 5 ans à venir les communications forensiques des prochaines BH, SSTIC, CCC et autres HITB.

3 - Excès d’XSS et exercices exquis (horoscope 3)
Mars (la guerre) qui entre en conjonction avec le signe de la Faille et du Malware sera bénéfique toute la première partie du mois pour les chasseurs de vulnérabilités et les amateurs de fuzzing. GNU Citizen leur apprend la renaissance du projet BeEF le Browser Exploitation Framework qui, comme son nom ne l’indique pas, a été totalement réécrit en Ruby… ce qui facilite par ailleurs son intégration dans Metasploit. C’est donc là une impressionnante collection d’exploits visant les clients http, sujet on ne peut plus à la mode.

Ludovic Courgnaud, pour sa part, rappelle l’existence de XSSFramework, encore une plateforme, mais destinée celle-ci à montrer les dangers des attaques XSS. Et, ho surprise, XSSF s’intègre dans Metasploit. Le sujet n’est pas très « grand public » et Ludovic Courgnaud parvient à expliquer avec des termes simples, sans jargon, les origines et les dangers des attaques en « cross site scripting ». Dangers grandissants avec la généralisation d’appareils mobiles « intelligents » s’appuyant sur des systèmes d’exploitation vulnérables. Tout ça est sur le blog de Conix, en Français, d’une limpidité remarquable : à imprimer et à utiliser dans le cadre des documents de « sensibilisation »… tant l’article lui-même que l’utilisation de XSSF. A noter que les attaques XSS feront également l’objet d’une communication de la part de Nicolas Grégoire à l’occasion des prochaines SSTIC. On attend du « lourd » en la matière.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)