Spécial sécurité : RFID, crash juridique (le remake)
Tout au long du mois d’août, LeMagIT vous propose de découvrir en avant-première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Dans cette troisième édition, la rédaction de CNIS s'amuse des coïncidences de calendrier : alors qu'hier, un tribunal hollandais donnait raison à un chercheur souhaitant divulguer une faille affectant une carte à RFID. Aujourd'hui, pour le même motif, un juge fédéral américain interdit l'entrée de la DefCon à des étudiants du MIT. CNIS analyse ensuite l'état du front (électronique) russo-géorgien.
Alors que les tribunaux hollandais viennent d’estimer que les inconsistances de sécurité liées aux RFID sont de la responsabilité du fabricant, et non de celui qui découvre la faille (voir notre chronique d'hier), les juges américains, dans un premier temps, semblent penser le contraire. Le tribunal de Boston, à la demande de la régie des transports du Massachusetts (MBTA), impose le silence à trois étudiants du MIT, dont les travaux sont intitulés Anatomy of a subway hack. Des travaux devant faire l’objet d’une présentation durant la DefCon de Las Vegas. Il va sans dire que cette tentative de censure a immédiatement provoqué un tollé général dans le milieu de la sécurité, entrainant même une réaction de l’Electronic Frontier Foundation qui, en volant au secours des étudiants, a immédiatement fait appel. Cryptome publie, minute après minute, les documents retraçant cette épopée juridique, Plausible Deniability se joint au cœur des supporters, Infoworld relate sans prendre parti alors que Wired crie au scandale. Chez les Français, Cedric Blancher se penche sur la question…
Accès physique aux infrastructures du métro de Boston, puis à son réseau interne, hacking du ticket à «pistes magnétiques», enfin hacking des cartes d’abonnement à RFID, l’équipe du MIT s’est livrée à une véritable revue de détail. C’est précisément cette approche «horizontale» de l’analyse de vulnérabilité de l’entreprise qui est passionnante. A remarquer également l’usage immodéré – une fois de plus - d’un récepteur SDR (l’usrp de Matt Ettus associée à la base logicielle Gnu Radio). Le tout réalisé dans une ambiance potache et bon-enfant, si l’on en juge par le très humoristique projet de «WarKarting» poussé par ces mêmes universitaires. Le hacking à coup de caddies de supermarché, c’est la sécurité des mobiles à la portée des ménagères…
D’un point de vue politique, la bataille des étudiants du MIT est déjà gagnée. La couverture médiatique de l’événement est telle que les tentatives désespérées du MBTA cherchant à étouffer l’affaire ont aboutie à un résultat inverse de celui escompté. Pis encore, la virulence des moyens mis en œuvre, la hargne procédurière engagée dans cette bataille dessert considérablement toute l’industrie des RFID. Les éventuels clients – et surtout les usagers - ne retiendront de cette histoire que «l’on» cherche à cacher quelque chose autour des RFID, ergo, l’usage des RFID est dangereux. Si Katherine Albrecht, la passionaria de Spychip, avait été à la tête de la MBTA, elle n’aurait pas mieux agi.
Quand les réseaux sans fil
Dans la droite ligne des aventures du MIT contre les étiquettes radio, parcourons un rapide tour d’horizon sur le hacking sans fil. Avec, pour commencer, un court article du Focus sur les interceptions WiFi qui vont bon train dans les allées de la Defcon et de la Black Hat, et les extrapolations de ce «cas particulier» à l’attitude générale de l’industrie. Faut-il absolument voir une relation de cause à effet entre le «gourou» sécurité qui se moque de protéger une machine servant à stocker une présentation Powerpoint, et un TJX dont l’infrastructure réseau est semblable à la cour du Roi Pétaud? Voilà qui est un peu osé. Il est préférable de voir la chose sous son aspect comique. Car qu’est-il de plus amusant qu’un «conseilleur» qui n’observe pas les règles qu’il ressasse à longueur de journée? Un congrès de CSO ou de RSSI est, pour l’amateur de surveillance Bluetooth par exemple, une aire de jeu sans limite.
Toujours sur le ton de la plaisanterie, ce papier (trop sérieux) de Bob McMillan, de Network World, sur un exercice de Wardriving à bord d’un ballon captif. Une tradition propre à la Defcon. Tout cela est plus efficace que les 200 secondes d’écoute et de capture réalisées durant l’opération de «WarRocketing» présenté l’an passé.
La rédaction toute entière tient à avertir les personnes tentées par ce genre d’expérience que ces projets doivent être dirigés et encadrées par des personnes compétentes et formées. Clubs de radioamateurs, associations de recherche spatiale… N’oublions pas que c’est à l’aide d’un cerf-volant – proche cousin du ballon captif - que Benjamin Franklin a inventé le paratonnerre et qu’il a failli en périr. Chaque année, dans le monde, des apprentis artificiers sont accueillis aux urgences pour avoir voulu jouer aux Werner Von Braun (période post-Peenemünde).
Un petit dernier pour le root? Allez, c’est vite lu, et c’est écrit par Robert Graham, l’alter ego de David Maynor d’Errata Security. Il s’agit en fait de la procédure d’installation d’Oswa sur un Asus EEE. Oswa et ses proches cousins sont des outils d’audit sans-fil, un peu moins connu que la suite Metasploit, elle-même plus généraliste, et qui ne nécessite qu’un CD autobootable. Le programme est intéressant, et peut servir de première approche dans le cadre d’un audit sécurité. Mais ne perdons surtout pas de vue que, de facto, ce genre de programme est lié à une base matérielle informatique… et, par voie de conséquence, aux limitations des périphériques qui servent au «sniffing». Une carte 802.11a/g ne pourra deviner l’existence d’un réseau pirate sur 5 GHz, pas plus qu’un sniffer WiFi ne saura soupçonner l’existence d’un espion utilisant un lien Bluetooth.
Ajoute-t-on alors une clef de ce type qu’il faut en plus soupçonner la bande des 40 MHz utilisée par les claviers sans fil… ou pis encore, les appareils WiFi modifiés capables de travailler «hors bande» (ce n’est peut-être pas légal, mais les pirates se moquent de la légalité). Oswa est une excellente base logicielle… mais trop verticale pour prétendre faire ce qu’elle clame savoir faire.
Un audit radio est nécessairement une opération de spécialistes radio. Toute approche purement informaticienne ne donnera jamais qu’une vision parcellaire des menaces éventuelles. Et l’on reparle une fois de plus de l’USRP et de ses petits cousins. Mais juré, ce n’est pas parce que l’on reparle de l’USRP et des développements GNU Radio que nous allons nous vautrer dans le sensationnalisme de bas étage et reparler du «hack des pacemaker». De toute manière, il n’y a rien de nouveau sous le soleil depuis la toute première publication de ces recherches.
Georgie: guerre des communiqués et des communications
Qui se trouve où, et dans quelles conditions? Si la situation sur le front russo-géorgien est aussi peu claire pour les journalistes que la ligne de front pour Fabrice à Waterloo, elle l’est encore moins pour les spécialistes du routage et les gourous de l’attaque en déni de service. D’où provient l’attaque qui, depuis quelques jours, vise l’infrastructure Internet de Géorgie? «C’est indiscutablement un coup du réseau mafieu RBN, le Russian Business Network, sur la demande officieuse du Kremlin» explique l’animateur du blog RBNExploit. Comme par le passé, lors de l’attaque dirigée contre l’Estonie, ou lorsque les «pirates Chinois totalement incontrôlés» s’en sont pris aux serveurs américains lors de l’affaire de l’avion-espion en avril 2001, certains hackers noirs s’étaient senti une fibre patriotique étonnamment virulente. Et étonnamment pro-gouvernementale
Que cette attaque soit ou non l’œuvre indirecte de l’œil de Moscou, les analyses de trafic de Renesys sont là pour prouver qu’effectivement, les trames IP ont des problèmes pour sortir des frontières géorgiennes. Le président Saakashvili organise, pour l’occasion, une téléconférence de presse pour dénoncer cette nouvelle forme d’agression. Le meilleur état des lieux est effectué par Dancho Danchev, qui liste les principaux serveurs qui semblent à l’origine de l’assaut.
Hacker les courriels contre rétribution
Signalé par l’œil de lynx d’un lecteur (merci François) ainsi que par Dancho Danchev, ce site web prétend, moyennant finance, venir à bout des principales protections des services de messagerie en ligne et autres blogs ou réseaux sociaux. Les propositions du Hire2hack sont-elles légitimes? Difficile à dire. Les moyens de paiement ressemblent, de toute manière, à ceux en usage dans le milieu underground, et l’organisation quasi professionnelle qui paraît orchestrer le «backoffice» de cette industrie du piratage n’est pas plus surprenante que les salles de marché en ligne qui vendent de la minute de réseau de zombies à la demi-journée. 150 $ le mot de passe Gmail ou Tiscali, avec un service de spécialistes, «tous étudiants poursuivants leurs études sur les technologies de l’information en Angleterre, France, Italie, Japon, Australie, Canada, Brésil et USA». L’internationale est née, elle sert à payer les études de nos chères têtes blondes.
Impressionner les filles avec la mémoire Vista
Impressionner les filles grâce au contournement des mécanismes de protection mémoire de Vista, tel est le titre de la causerie d’Alexander Sotirov et Mark Dowd, signalée vendredi dernier dans nos colonnes. Un retour nécessaire sur l’art de contourner DEP, puisque les 53 pages de l’article sont désormais disponibles en téléchargement.
Si vraiment les demoiselles ne succombent pas aux charmes des descriptifs mémoire de Sotirov et Dowd, l’on peut alors avoir recours aux armes lourdes: la tendre déclamation de Matthieu Suiche – en C de la première à la dernière ligne - sur un sujet relativement proche. Il s’agit là, entre autres choses, de la nouvelle mouture de Sandman (accès à l’image de la mémoire vive d’une machine via exploitation du fichier Hyberfile.sys) et des transparents accompagnant la démonstration de l’outil durant la présentation faite à l’occasion de la Defcon.
Si, enfin, malgré tous ces efforts amoureux, la conversation laisse ces demoiselles dans une indifférence marmoréenne, il ne reste plus qu’à écouter le discours d’une certaine demoiselle qui, pour sa part, est toujours impressionnant. Il s’agit bien entendu de la trilogie promise par Joanna Rutkowska sur la compromission de Xen, dont l’intégralité des transparents de la conférence est téléchargeable sur les ftp de Invisible Things.