Spécial sécurité : Cocorico, le mouchard de clavier qui ne se voit pas

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se penchent sur le dernier Patch Tuesday et reviennent largement sur le Symposium sur la Sécurité à Rennes. Avant de s'intéresser à l'écoute distante des claviers et une faille iTunes

Sommaire

- Cocorico : le mouchard de clavier qui ne se voit pas
- Prochain MS-Patch Tuesday : bureautique tique, tique
- Sstic09, analyses post-mortem
- Apple Itune, attention au pépin …
- Un outil pour chasser les clauses léonines

Cocorico : le mouchard de clavier qui ne se voit pas
L’écoute distante des claviers n’est pas une technologie franchement nouvelle. Sans remonter à la préhistoire des écoutes Tempest, les keyloggers sans-fil font, depuis quelques temps, les gros titres des sites de hack matériel. L’on se rappelle de la démonstration de l’EPFL, l’Ecole Polytechnique de Lausanne qui utilisait l’USRP, le récepteur SDR de Matt Ettus. Un gadget qui n’est pas franchement à la portée de toutes les bourses. Pas plus que ne l’est d’ailleurs l’analyseur de spectre qui, dans le cadre de cette démonstration, n’a qu’une valeur pédagogique.

Mais voilà que l’équipe de Remote Exploit nous offre une variante encore plus intéressante, puisqu’à la portée de toutes les bourses ou presque. Précisons toutefois que Keykeriki –c’est le nom du sniffer de claviers- intercepte et déchiffre les signaux des claviers sans fil à transmission radio. C’est donc une technique totalement différente de celle exploitée par l’EPFL qui, pour sa part, « écoute » les rayonnements électromagnétiques émis par le balayage de tous les claviers… y compris, et surtout, ceux qui sont reliés à l’ordinateur avec un câble.

Alors, Keykeriki marque-t-il une étape dans le domaine du hacking matériel ? Indiscutablement, oui. S’il est beaucoup plus limité que le hack de l’EPFL, ce montage offre toutefois la possibilité d’écouter tous les claviers sans fil émettant sur 27 MHz (ce qui élimine les périphériques Bluetooth, qui ne sont guères plus compliqués à pirater). La réception, le décodage, le stockage, voir la retransmission des informations saisies s’effectuent par le truchement d’une petite carte électronique à base de microcontrôleur (un atmega 64). Les composants sont standards, le circuit imprimé et son fichier Gerber sont offerts –hélas sous Eagle, qui n’est pas un logiciel Open Source- de même que le firmware nécessaire au fonctionnement de l’ensemble. Les données interceptées sont soit stockées sur une carte mémoire SD, et peuvent même être retransmises à très longue distance, puisque ce sniffer possède une sortie compatible iphone. Les possesseurs de claviers sans fil Microsoft ou Logitech peuvent envisager le remplacement de leurs équipements.

Un fichier PDF d’explication envisage les extensions futures. Et notamment un étage d’émission (qui manifestement semble utiliser deux MMIC en cascade, voir en fin de document). Cet addendum ouvre la porte à l’injection de données à distance. Une phrase peu sibylline indique que le Remote-Exploit pense également développer une version 2400 MHz (bluetooth/wifi). Là encore, les composants sont standards, faciles à trouver –certains même sont fournis gracieusement par les constructeurs, à titre d’échantillon- et fort bien documentés.

L’on pourrait éternellement gloser sur les différences conceptuelles qui opposent une technique d’écoute « large bande » à base de SDR (technique EPFL) et « monofréquence » (procédé Remote Exploit). C’est là une simple histoire de moyens. L’approche EPFL est plus proche de l’esprit Nessus, autrement dit d’une conception du pentesting tous azimuts, tandis que la vision Remote-Exploit est plus verticale, plus limitée, et surtout nettement moins coûteuse. L’efficacité n’en est pas moins grande. Ces deux hacks nous enseignent une chose : il est vain, dans un milieu informatique traitant des données sensibles, de ne faire confiance qu’à une analyse de la sécurité focalisée sur l’approche binaire, sur la solidité des programmes, des outils de filtrage IP ou tout autre mécanisme de sécurité périmétrique. Il faut savoir également maîtriser le périmètre électromagnétique de l’entreprise. Las, cette approche a été depuis longtemps corrompue par les simplifications des prétendus spécialistes de l’informatique sans fil, vendeurs de procédés de chiffrement, de cartographie des réseaux WiFi (cartographie limitée à la qualité des sondes utilisées… souvent déplorable) ou de brouilleurs de réseaux GSM. Dans l’informatique moderne, tout est radio. Du combiné Dect au transmetteur CPL, du scan-code des claviers au rayonnement du bus PCI, du câble RS232 à la sortie du boîtier ADSL, et bien sûr du Wifi au périphérique Bluetooth, en passant par les extensions Wimax ou les connexions GPRS/3G. Prochain MS-Patch Tuesday : bureautique tique, tique
Word, Excel, Office… l’inévitable lot de failles Internet Explorer, soit au total six failles, dont deux critiques, trois importantes et une modérée. Le bulletin de pré-annonce du MSRC précise que la consolidation de Direct-Show est encore en chantier. Cette vulnérabilité constitue probablement le sujet de préoccupation le plus important au sein du team, car son exploitation via des fichiers Quicktime forgés a été remarquée de nombreuses fois sur Internet. C’est donc une course contre la montre qu’entame l’éditeur, course qui pourrait bien s’achever par la publication d’un correctif hors calendrier. Sstic09, analyses post-mortem
«  Un crû de qualité  » clament les participants blogueurs. Un crû qui, comme par le passé, a un goût de trop peu en raison des contraintes logistiques et de sécurité imposées par l’Université de Rennes, qui héberge traditionnellement. Situation paradoxale que celle de cette manifestation d’une qualité rare, d’un niveau technique toujours très élevé, poussé par d’infatigables organisateurs, mais dont le nombre de places accessibles au public transforme cette manifestation en réunion presque confidentielle.

Comme par le passé, ce sont encore ceux qui y sont allés qui en parlent le mieux, et pour tout savoir à propos du Symposium sur la Sécurité des Technologies de l’Information et des Communications, il faut immédiatement se précipiter sur les sites de Nono et de Sid, ainsi que sur celui de Bruno Kerouanton focalisé sur le contenu des Rump Sessions. Tout çà en attendant que soit publiée l’intégralité des actes de cette année. Mais les actes, c’est un peu comme les sous-titres d’une V.O. sans le talent des acteurs. L’air de Renne, de la Rue de la Soif, des présentations et des rumeurs de l’amphi principal, les témoignages de tous ceux qui y sont allés font dire à chacun «  l’an prochain, j’en serai ! » Apple Itune, attention au pépin …
Tout çà tient en quelques lignes : il est conseillé de télécharger la dernière version d’iTune pour éviter de tomber dans un trou. Comme de coutume, les informations techniques données par Apple sont relativement spartiates. Mais il existe déjà un fichier pour Metasploit prouvant que, parfois, il peut être utile d’acheter un antivirus pour l’installer sur un Macintosh. Précisons qu’il s’agit là d’un buffer overflow injecté dans une url, un procédé que l’on ne rencontre plus dans l’univers Wintel depuis une bonne dizaine d’années. A installer, également, un correctif Quicktime qui fait également l’objet d’une publication sur milw0rm.

Un outil pour chasser les clauses léonines
L’ajout d’éventuelles clauses abusives -ou leurs suppressions- des contrats d’utilisateurs est un sport généralement réservé aux avocats et aux chevaliers blancs qui luttent pour la défense des consommateurs. Mais il faut avouer que, hormis quelques spécimens hors norme, rares sont les utilisateurs qui se plongent dans l’analyse sémiologique des « petites lignes » des EULA (End User Licence Agreement). A tous les humains normalement constitués, l’EFF (Electronic Frontier Foundation) offre un outil de comparaison et d’alerte signalant tout changement d’Eula de la part des principaux prestataires et éditeurs de logiciels publics. Mieux encore, chaque alerte peut être suivie en temps réel grâce à un flux RSS. Les archives des précédentes versions des documents sont précieusement stockées sur les serveurs de l’EFF, et une sorte de fonction « grep » donne au lecteur une version abrégée ne mettant en exergue que les différences constatées. Il est vraiment dommage qu’un tel outil ne puisse être employé pour classer et filtrer les promesses électorales, les programmes des partis politiques, les prétentions marketing des éditeurs ou les cahiers des charges des constructeurs de matériel informatique ou automobile.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)