Spécial sécurité : zoom sur la semaine du hack
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, notre confrères reviennent sur les faits qui ont marqué les grandes conférences du hack de ce mois de février. Notamment la BlackHat et la Schmoocon, que se sont tenues toutes deux à Washington.
Sommaire
- 1 - Semaine du hack : et ils dégainent leur code encore fumant…
- 2 - Trou I.E.7 : exploitation minière
1) Semaine du hack : et ils dégainent leur code encore fumant…
Février, c’est le premier mois des « hacking conferences ». Avec la BlackHat de Washington, avec les comptes-rendus de la Schmoocon… un feu d’artifice de communications, d’exploits, de hacks, tous plus médiatisés les uns que les autres. Et ça commence très fort, avec cet exposé de Chris Paget lors de la Schmoocon, qui nous reparle du clonage des RFID... ceux des passeports, bien entendu. Mais cette fois-ci, il s’agit des passeports américains délivrés aux frontaliers qui, chaque jour, traversent l’une des frontières des Etats-Unis pour affaires : Canada, Iles Caraïbes et Bermudes ainsi que le Mexique.
Ce document de voyage un peu particulier se présente sous la forme d’une carte de crédit, et intègre un RFID fonctionnant sur 900 MHz. Une technologie probablement fort utile pour compter du bétail dans un champ, mais considérablement trop indiscrète pour être employée dans une chaine d’identification des personnes. Détectables et lisibles à plus d’un kilomètre de distance, pouvant être aisément perturbés et très probablement piratés lors de l’échange des données entre la carte elle-même et le système d’interrogation légitime, ces RFID ont, malgré de nombreux avis défavorables, été manifestement adoptés par les instances gouvernementales américaines. Au grand bonheur de Paget.
Côté BlackHat, les codes les plus protégés explosent de toutes parts. Joanna Rutkowska et Rafal Wojtczuk signalent l’existence de plusieurs bugs dans le Software Manager Management Mode des processeurs Intel, rééditant l’exploit de l’an passé. Car déjà, un problème du SMM avait permis à ce couple de chercheurs de compromettre un hyperviseur Xen, démonstration faite précisément lors d’une BlackHat. Cette fois, c’est la TXT, Trusted Execution Technology d’Intel, qui est mise à mal par cette petite erreur de conception. Selon les chercheurs, il serait possible d’utiliser plus d’une quarantaine de moyens pour exploiter ce défaut capable de compromettre le processus de boot « sécurisé » de la machine. Or, TXT exécute le lancement d’un noyau ou d’un hyperviseur en partant du principe qu’il peut compter sur l’intégrité de ce fameux SMM… Security News précise que, tant que le constructeur n’aura pas corrigé les erreurs en question, l’équipe d’Invisible Things ne divulguera aucun détail technique concret.
Toujours de la BlackHat, le contournement de SSL par Moxie Marlinspike. Le Reg étale les exploits de ce hacker sur deux pages, qui s’achèvent avec un témoignage d’admiration de la part de Dan Kaminsky, qui lui aussi mis à mal SSL (ou plus exactement une édition particulière de SSL). Dans les grandes lignes, il semblerait que ce hack consiste, à l’aide d’un utilitaire baptisé SSLstrip, à détourner l’internaute victime dès qu’il a reçu la page Web précédant celle qui devrait logiquement activer la liaison sécurisée. Ce n’est pas SSL qui est compromis, mais sa mise en œuvre. Bien sûr, la page injectée par le pirate ayant effectué le détournement devra présenter les mêmes aspects que celle à laquelle s’attend l’internaute, quitte même à afficher une url au format HTTPS à l’aide d’un certificat bidon qui, de toute manière, n’est vérifié par personne. Mise en confiance par les pages Web précédentes, la victime n’aura alors aucun doute quant à l’authenticité des écrans suivants, et fournira sans la moindre hésitation tous les mots de passe possibles. Relatant ce même hack, nos confrères de Security News rapportent cette remarque de Marlinspike « Si vous obtenez le mot de passe d’un site, vous avez de fortes chance que ce même mot de passe soit utilisé également sur dix autres sites ». Un tel piège tendu sur un vague blog sans grand intérêt peut devenir une source d’alimentation d’identités et de crédences également utilisables sur des sites bancaires ou de paiement en ligne.
Achevons ce rapide tour de la BlackHat Washington en mentionnant cet article d’Information Week sur le hack des systèmes de reconnaissance faciale intégrés dans certains ordinateurs Lenovo, Asus ou Toshiba. L’affaire n’est pas nouvelle et avait déjà fait l’objet d’une communication et de plusieurs vidéos de démonstration de la part de l’équipe de Nguyen Minh Duc du BKIS (Bach Khoa Internetwork Security Center) d’Hanoi. Cnis avait publié un article à ce sujet en décembre dernier.
2) Trou I.E.7 : exploitation minière
Plusieurs chercheurs et éditeurs d’antivirus commentent abondamment la divulgation d’un exploit minant Internet Explorer (MS09-002). La première apparition de ce vecteur d’attaque prenait l’apparence d’un document Word expédié en « pièce attachée » explique une rapide description de l’Avert. Ce n’est pourtant en aucun cas une vulnérabilité liée au traitement de texte, mais bel et bien un code provoquant une corruption mémoire via le navigateur Web. Le Sans donne une première analyse du code et décrit succinctement les mécanismes de ce « dropper », tandis que le blog de l’équipe Snort s’étend un peu plus sur les fonctions générales de ce virus ainsi que sur sa provenance manifestement chinoise. Le développement de cet exploit quelques jours à peine après le « patch Tuesday » du mois de février indique clairement le fruit d’un travail de reverse engineering entamé à partir de l’analyse du code de la rustine. Les principaux chasseurs de virus, qui reconnaissent pour l’instant le caractère très « localisé » et limité de cette menace, n’écartent pas le risque que ce virus pourrait rapidement se retrouver dans la collection des panoplies d’exploits équipant les « kits » de fabrication d’outils d’attaque.