Spécial sécurité / Android : allo ? A l’eau
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, se sont intéressés à une série de hacks étonnants réalisés sur des terminaux Android avant de continuer leur tour de piste sur un autre hack portant sur iOS. Ils nous alertent enfin sur une faille chez Adobe avant de revenir sur le piratage de Facebook et de l’exploit Java incriminé.
Deux hacks de « purs hackers » visant des smartphones ont fait l’objet de présentations cette semaine de la part de deux équipes de chercheurs différentes. L’une, Allemande, qui révèle comment casser le chiffrement d’un périphérique Android 4.0 et l’autre, signé JailBreakNation, explique comment contourner les protections d’IOS 6.1.
Le premier hack a fait l’objet d’une communication de MM Tilo Muller et Michael Spreitzenbarth de l’Université d’Erlangen-Nuremberg. Une version expurgée des travaux est également disponible sur le site Web de l’Université. Dans les grandes lignes, les deux universitaires se sont rendus compte que le contenu de la mémoire de travail de certaines machines Android tel que le Galaxy SIII ne se vidait pas brusquement lorsque l’on éteignait l’appareil, mais disparaissait progressivement durant les 6 secondes suivant le « shutdown ». Cette rémanence des informations peut être prolongée avec un procédé vieux comme l’invention de la mémoire C-Mos : le refroidissement.
C’est donc en collant leurs téléphones-test dans un congélateur, en le rebootant, puis en interrompant le processus de boot avec un programme de leur composition que ces deux chercheurs sont parvenus à « dumper » la mémoire vive d’avant-boot… pour y récupérer notamment la clef de déchiffrement donnant accès aux données enregistrées dans l’espace de stockage permanent. Les informations disparaissant tout de même complètement après les fatidiques 4 à 6 secondes d’extinction, l’opération de récupération de la clef (à savoir la congélation de l’appareil) doit être largement préalable au reboot du téléphone : il faut le congeler avant de le vider, le téléphone n’a donc aucun lien de parenté avec les poissons.
Si ces conditions sont réunies, les deux chercheurs affirment pouvoir récupérer 100% du carnet d’adresse, des clefs d’accès Wifi, de l’historique des Apps, des « onglets » d’images prises par l’appareil, du code PIN de déverrouillage et bien sûr des clefs de chiffrement des données. Les photos haute résolution, les emails et SMS, les entrés du calendrier peuvent être extraites avec quelques imperfections, la table des appels les plus récents et les coordonnées GPS étant généralement perdues. Il est donc recommandé de se méfier de toute personne qui se promène dans la rue en traînant un congélateur.
Le programme permettant de bloquer la séquence de boot et de dumper le contenu de la mémoire (baptisé Frost, pour Forensic Recovery of Scrambled Telephones) peut être acquis par « les responsables forensique des forces de l’ordre d’Europe ». Rectification du chapitre précédent, le frigo du laboratoire mobile de l’IRCGM devra contenir un peu moins de bière.
Dans la sphère Apple, le hack des spécialistes du Jailbreak de machines IOS 6.1 autorise la consultation du carnet d’adresse et la composition de numéros de téléphones. Il sert à contourner l’écran d’introduction du code d’accès à l’aide de multiples opérations utilisant notamment la fonction d’appel du « numéro d’urgence ». La succession de manipulation est tellement alambiquée que l’on se croirait presque revivre la période des « easter eggs » cachés dans les applications Microsoft. Soit les hackers de JBN sont des sorciers de l’opération improbable et des dieux de la découverte des séquences de touches diaboliques, soit le trou de sécurité était intégré « by design ».
Adobe, vers un correctif dans l’urgence
Pour l’instant, il ne s’agit que d’une alerte portant sur deux failles distinctes affectant Adobe Reader et Acrobat XI. Alerte considérée comme « critique » car faisant l’objet d’une exploitation au moins dans le monde Windows (mais le communiqué est assez clair sur l’existence du risque sur plateforme Macintosh). Ces deux vulnérabilités peuvent être utilisées pour provoquer un crash de l’application (un déni de service ne justifie que rarement une qualification de « critique »), mais peuvent également être utilisées pour prendre contrôle à distance de la machine cible.
Aucun détail technique n’est divulgué pour l’instant de la part de l’éditeur, mais l’inventeur du trou , FireEye, est un peu plus prolixe sur le sujet : l’attaque utilise un Javascript qui s’adapte en fonction de la version d’Acrobat Reader installé, contourne les protections ASLR et DEP, puis récupère une charge utile sous forme de DLL qui se fait passer pour un add-in linguistique. Un correctif « out of band » doit donc être prévu dans les jours ou les heures qui suivent.
Facebook : le coup du ZDE qui passe l’antivirus
Le troisième (et probablement le plus retentissant) hack mobile de la semaine dernière serait celui de Facebook qui a fait les gros titres de la presse grand public. Que Facebook se fasse compromettre, c’est le lot de tous les réseaux sociaux à usage général : les assurances de fiabilité et de sécurité énoncées par ces entreprises n’engagent que ceux qui les croient. Et en priorité les employés de Facebook eux-mêmes, puisque le trou de sécurité aurait été possible grâce à la compromission du poste de travail d’un ou plusieurs collaborateurs de l’entreprise.
Compromission (via Java) qui reposerait sur un « zero day ». « Le hack a touché des ordinateurs parfaitement mis à jour et protégés par des antivirus » explique le communiqué d’alerte. On peut regretter la légèreté de ces propos, qui entretient encore dans l’esprit du grand public que le « fully patched + antivirus » constitue la ligne de défense principale d’un grand réseau de communication. Certaines idées sur la sécurité ont la vie dure au sein des directions de la communication.
Sans surprise, et avec ce même souci du détail hautement technique et de la rigueur scientifique la plus élevée, ces experts en communication parviennent à la conclusion suivante : il s’agissait là d’une attaque « hautement sophistiquée »… on est à deux doigts de voir dégainer le terme APT.
Sur le blog F-Secure, Sean fait remarquer que l’exploit Java n’aurait touché que des Macintosh, machines généralement possédées par des utilisateurs certains de la quasi inviolabilité de leurs machines. Sentiment, voire certitude, largement répandue par… les équipes marketing d’Apple, d’autres spécialistes de la sécurité des S.I. qui, des années durant, ont affirmé que l’usage même d’un antivirus était chose inutile tant le noyau OS/X était à la fois fiable et consciencieusement mis à jour.
Un autre billet de Sean fait également remarquer une petite phrase Facebookienne, qui affirme en substance que « d’autres entreprises auraient très probablement été frappées par cette attaque ». Ce genre d’annonce est généralement plutôt du ressort d’un Cert ou de l’éditeur lui-même… mais détourner l’attention des usagers pour se disculper d’une erreur de politique de sécurité semble être la dernière arme à la mode. On se souvient que cette tactique avait été utilisée il y a à peine une semaine par Twitter. Il ne faudra pas attendre longtemps pour que, 12 heures plus tard, l’on découvre que l’une des victimes de ce même vecteur d’infection qui avait touché Facebook avait également frappé … Apple.
A quoi sert de développer un malware anti-pomme si ce n’est pour tester son efficacité dans le Saint des Saints de la firme des deux Steve. C’est Reuters qui révèle l’affaire. Histoire de ne pas se couvrir de ridicule, une des personnes « proches de l’enquête » et citée par l’agence de presse invoque la probabilité d’une attaque Chinoise. Il faut bien un adversaire à la hauteur des défenses inexpugnables du Macintosh pour oser faire peur à l’univers OS/X.
C’est en tout cas plus reluisant que de se faire « intruser » par un quelconque c0d3rZ Russe. En toute objectivité, Reuters cite également Charlie Miller, qui rappelle que le Macintosh, du fait de sa faible visibilité dans le monde de la sécurité, et donc de la faible attention qu’il attire, est l’objet de bien des attentions de la part des réseaux mafieux. Kevin Finisterre, père du «MOAb » (Month of Apple Bug) avait, en 2007, prouvé que la découverte de trous exploitables n’était pas, chez Apple, un travail insurmontable.
Facebook ou Apple,peu importe qui gagne dans cette grande course à la vulnérabilité et aux mauvaises pratiques. La multiplication de ces mésaventures et de ces grands hacks d’entreprises et de réseaux sociaux pose à nouveau la question de l’adaptation des systèmes de protection périmétriques face à des menaces non répertoriées. 80 % de nos systèmes de défense reposent encore sur un mécanisme de signature, et ce malgré les dénégations marketing de leurs promoteurs. Cela fait plus de 20 ans que l’on parle de protection heuristique. Il serait peut-être temps que l’on y arrive. L’autre grande question que soulève à nouveau ce genre d’attaque généralisée contre un système en particulier, c’est celle de la responsabilisation d’une « certaine catégorie d’usagers ».
Et c’est probablement là le défi le plus difficile à relever. Si l’on a souvent évoqué une dose certaine d’irresponsabilité chez certains usagers d’ordinateurs Apple, on voit se répandre une attitude comparable auprès de la gente Androidisée et de la population IOSisée. Plus une technologie se répand dans le grand public, plus l’empreinte des affirmations marketing est permanente, moins le discours du « minima sécuritaire » est entendu. Et contre ce genre de dérive, aucun antivirus, aucun firewall, aucun IDS ne peut faire quoi que ce soit.