Spécial sécurité : hack de satellites, le revival d'un classique

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, notre confrères détaillent les différentes façon de pirater une connexion par satellite . Avant de se pencher sur les attaques dont sont victimes les sites du Web 2.0.

cnis logo

Sommaire

- 1 - Le hack des satellites, un classique qui revient à la mode

- 2 - Les paralipomènes d’un plugin plombé 

- 3 - Heartland : prise de menu fretin 

- 4 - Après Kaspersky, Bit Defender et F-Secure

1) Le hack des satellites, un classique qui revient à la mode 

L’écoute des liaisons montantes des satellites de télédiffusion, le piratage des cartes de déchiffrement (les infâmes codes season qui permettaient d’accéder gratuitement au réseau Sky), tout çà est assez classique et presque banal.

L’attaque en déni de service à la réception demande un peu plus d’inventivité. Le hold-up de satellite par « écrasement » (hétérodynage, disent les spécialistes) de l’uplink officiel exige également quelques moyens peu courants, mais que toute nation se doit de posséder en cas de conflit.

Le « radio squatting » de canaux satellites (à l’insu du propriétaire de l’oiseau), voilà qui est encore moins banal. Il consiste à utiliser, sans débourser un centime, les fréquences laissées libres sur le transpondeur embarqué. Encore faut-il posséder l’équivalent d’une station terrestre pour atteindre le véhicule en orbite géosynchrone. Mais le meilleur du hacking semble bien être l’espionnage des liaisons descendantes des réseaux informatiques véhiculés soit par Vsat, soit par « broadcast général et accès séquentiel » tel que le pratiquent les fournisseurs d’accès Internet par satellite.

Tout ceci fera l’objet d’une causerie d’Adam Laurie, le patron du Bunker, pourfendeur de RFID, à l’occasion de la prochaine BlackHat de Washington. Sam Goodin, du Reg, signale également l’événement et rappelle que déjà, à l’occasion de la dernière Hack in the Box 2008, trois chercheurs Jim Geovedi, Raditya Iryandi et Anthony Zboralski, avaient décrit comment squatter un canal inutilisé sur un satellite de retransmission civile ou, - technique bien plus simple et efficace - comment « planter » ledit réseau en lançant une attaque en déni de service purement radioélectrique côté réception. Il faut admettre que cette forme d’attaque brutale ou de wardriving suivi d’une injection de « rogue station » dépasse quelque peu en moyens techniques ce qu’il est nécessaire de posséder dans le domaine du Wifi. Mais la chose ne présente aucune difficulté insurmontable pour un bon radioélectronicien.

Mais revenons à Laurie. Son hack est diablement intéressant pour plusieurs raisons. En premier lieu, il ne s’attaque qu’au contenu des liaisons descendantes. De ce fait, il peut se contenter d’utiliser un simple démodulateur et une antenne offset tout à fait classique qui ne dépare pas dans le paysage urbain moderne. C’est un détail important. Car le « piratage de canal » suggéré par l’étude de Geovedi-Iryandi-Zboralski nécessite une antenne relativement « pointue » et présentant un gain énorme… donc une taille proportionnelle au gain espéré. Un réflecteur parabolique de 2 à 4 mètres ailleurs que sur le toit d’un hôtel passe rarement inaperçu. Ceci sans mentionner les considérations économiques : une station d’attaque devant émettre coûte plusieurs milliers d’euros, un système d’écoute passif peut être acquis pour une cinquantaine d’euros, neuf, dans n’importe quelle grande surface de bricolage, au rayon « antennes et TV satellite ».

Comble de la simplicité, les démodulateurs modernes possèdent désormais tous une interface Ethernet, et bien souvent un firmware à base de Linux embarqué. Il n’est donc plus nécessaire de s’inquiéter d’éventuelles contraintes matérielles : même sans fer à souder, il est aujourd’hui possible de voir transiter les requêtes Gmail ou les navigations Web qui passent par les « downlink » grand public. Ce n’est plus qu’une question de connaissance des sniffers en vogue et éventuellement de quelques programmes de déchiffrement.

Le hack des satellites est un vieux mythe de la SF moderne. L’un des premiers auteurs à en avoir mentionné quelques aperçus techniques plausibles était Jacques Vallée, dans son roman Alintel. Déjà, à l’époque, l’écoute des « uplink » était un sport pour quelques rares hackers travaillant dans le domaine de l’analogique. Après le petit exercice de vulgarisation auquel va se mener Adam Laurie – et compte tenu de l’acharnement de ce dernier à fournir l’intégralité de ses outils en Open Source - il y a fort à parier que les adeptes du wardriving spatial vont se multiplier. Insistons toutefois sur deux ou trois petits détails qui pourraient tempérer les ardeurs de certains. Les « downlink Internet », Vsat mis à part, ne sont jamais qu’une forme plus rapide du système pseudo-interactif Antiope (les informations videotext diffusées dans l’espace de synchro des trames de la télévision terrestre). Les données descendantes de centaines d’internautes sont expédiées « pêle-mêle » depuis le satellite dans une sorte de mode broadcast légèrement redondant. Seul un identifiant permet à chacun de ne filtrer que ce qui l’intéresse… mais tout le monde reçoit les informations de tout le monde. Ce qui implique qu’il faille sérieusement trier ce que l’on recherche à l’arrivée.

Autre problème, il est très difficile – mais pas impossible - d’effectuer une attaque par « cookie hijacking » pour récupérer, par exemple, une interface Gmail. Tout l’art est de pouvoir atteindre la station de travail, et, en premier lieu, de la repérer et de la surveiller par le biais de sa voie « montante ». Cette voie expédie les ordres vers les proxys de l’opérateur satellite, et est généralement constituée d’une simple liaison IP par RTC ou par ADSL. Ces « voies montantes » sont bidirectionnelles, et donc susceptibles d’attaques par injection. La surveillance de l’adresse IP fait le reste… ou presque.

2) Les paralipomènes d’un plugin plombé 

Dancho Danchev se penche cette semaine sur une forme d’attaque de plus en plus répandue : le piratage des outils de messagerie attachés aux outils « web deuzéro ». L’on connaissait déjà le spam diffusé par le biais des forums php divers, les attaques email lancées à l’insu des possesseurs de comptes Twitter… La dernière trouvaille du genre utilise les commentaires de Digg.com, et véhicule un « faux codec » vidéo. Digg, comme beaucoup d’autres, avait déjà vu ses commentaires détournés par des vendeurs de pseudo programmes antivirus.

Hasards du calendrier, F-Secure entame la phase 0,6 de son programme Exploit Shield. Une préversion d’un logiciel de protection fort intéressant dans le cas présent, puisqu’il est censé protéger les internautes contre toute attaque en drive by download ou XSS. Cela tient plus ou moins de l’esprit des systèmes de défense de type Cloud Computing, à savoir une multitude de programmes clients répondant en temps réel aux instructions d’un moteur d’analyse centralisé chez l’éditeur. La « Beta 0.6 » est compatible avec les versions Vista 32… Le 64 bits n’est pas encore pris en compte. Essentiellement destiné à protéger les postes itinérants et les installations de particuliers et artisans, ce programme n’est pas à proprement parler ni un système de « patch virtuel », ni une « sandbox »… mais il en a bien des aspects. Notons au passage que l’outil utilise la classification CVE pour indiquer les exploits interceptés. C’est là une idée intéressante, qui fait fi du folklore des conventions de nommage des virus et autres malwares.

3) Heartland : prise de menu fretin

La police de Floride aurait arrêté trois suspects dans l’affaire Heartland. Cet intermédiaire bancaire dont les clients sont en majorité des entreprises du commerce de détail s’était, fin 2008, fait pirater son système informatique et dérober des centaines de milliers de numéros de cartes de crédit. Les trois personnes appréhendées ont à peine 20 ans, et utilisaient des numéros de cartes dérobés durant le hack susmentionné. Le vol s’élèverait, dans le cas précis, aux environs de 100 000 dollars dans la seule limite du comté de Leon, au Nord-Est de Tallahassee. Tout laisse donc croire que la police a mis la main sur de petits délinquants dont les pratiques frisent l’amateurisme. Ce qui, l’on s’en doute, laisse supposer que les fichiers issus du hack Heartland sont vendus à la petite semaine à qui veut bien soit jouer les mules, soit acheter ce genre d’information.

4) Après Kaspersky, Bit Defender et F-Secure 

Verra-t-on se développer une sorte de concours à la sauce « MoAWB » (ou Mois du bug Web des éditeurs d’antivirus) ? car après le « hack kaspersky qui n’en était pas trop un », c’est au tour de Bit Defender (du moins l’un de ses représentants) puis de F-Secure de faire l’objet d’une attaque usant des mêmes vieilles ficelles : Injection SQL et Cross site scripting. Le site Roumain à l’origine de ces révélations semble étonnamment bien informé. Côté F-Secure, l’on précise que le serveur touché ne comportait que quelques informations statistiques concernant les signatures de certains virus. Cette affaire tourne au règlement de compte.

Toujours à propos de failles et d’éditeur d’antivirus, il serait triste de passer à côté de cette amusante capture d’écran prise par Thierry Zoller, cet autre pourfendeur – éthique - d’antivirus mal conçus. Après avoir annoncé la disponibilité de BT Crack, son outil de pentesting Bluetooth, voilà que les filtres de contenu de SonicWall semblent bloquer tout accès au site de téléchargement du logiciel en question. Et pour motif de « pornographie » qui plus est.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)