BlackHat 2006 : les présentations qui ont marqués la conférence

Tous les concernés par la sécurité informatique en ont forcément déjà entendu parler. La Blackhat est la conférence la plus renommée. 3000 participants : développeurs, consultants, RSSI, et les fameux hackers se réunissent dans un endroit prestigieux afin de dévoiler les dernières failles, présenter les nouvelles méthodes d'attaques et les futures technologies du marché. Cette année, l'évènement tant attendu (et souvent craint) par les éditeurs a été organisé à Las Vegas et, pour la première fois, sponsorisé par Microsoft, Cisco et la société Ernst and Young.

De nombreux sujets ont été présentés : VoIP, sécurité Web, Vista, rootkits, forensics, Base de données. Tous les sujets et toutes les problématiques majeures auront été décortiqués par des experts.
Windows Vsta, qui devait être en proie à de nombreuses attaques, a finalement été relayé au second plan derrières les démonstrations de manipulation des puces RFID et la vulnérabilité des pilotes WIFI.

Voici les démonstrations qui ont marqué le salon.

Les pilotes Intel dans la ligne de mire des pirates

Un mac piraté en moins d'une minute

La grande attraction de cette conférence aura été, incontestablement, la présentation de Maynot, ingénieur en sécurité et d'Ellch, étudiant à l'école navale. Ces deux chercheurs, ont pu « démontrer » comment prendre le contrôle à distance d'un Mac équipée d'une carte WIFI vulnérable en moins de 60 secondes. L'exploitation ne se limiterait donc pas au Mac mais à toutes les plateformes. Le choix de la démo s'est porté sur Apple pour descendre la campagne de pub de son nouvel OS qui met principalement en avant sa sécurité. La démonstration reste pourtant controversée puisque seule une vidéo [1] est venue appuyer leurs arguments très théoriques. De nombreux experts doutent de la véracité de cette faille et réfutent les propos des deux chercheurs.[2]

Cette faille a néanmoins ébranlé la communauté des spécialistes en sécurité informatique. N'importe quel ordinateur utilisant certaines cartes WIFI Intel et Atheros pourrait être piraté. Il faudrait seulement que la carte soit activée pour que des pirates puissent s'introduire tranquillement via un exploit sur le poste de la victime. Aucune association ou authentification à un réseau sans fil n'est nécessaire. La vulnérabilité serait liée à des fuites de mémoire sur les pilotes chargés des connexions WIFI. La faille serait enfouie à un niveau très bas, proche du matériel ce qui ne mettrait cependant pas en cause le système d'exploitation. Les deux comparses auraient ainsi réussi à injecter un rootkit qui permettrait d'accéder aux fichiers de la machine cible [3].

Les développeurs au coeur du problème?

Les coupables seraient donc les développeurs de ces pilotes Wifi. Des accords sont souvent passés avec des sociétés spécialisées dans ce domaine (comme pour le MacBook d'Apple). Ces entreprises sont chargées de développer les pilotes pour les constructeurs. Cependant, la forte pression et les timing serrés inhérents à la commercialisation d'un produit engendreraient certaines négligences. John Ellch met en cause les procédures de tests qui ne seraient pas assez poussées ou suivies et qui laisseraient, de ce fait, des trous de sécurité évidents.

Cependant, pas de panique, personne ou presque n'est en mesure d'exploiter cette faille et les chercheurs confirment que l'exploit ne sera pas rendu public.

Plusieurs constructeurs d'équipements WIFI, comme Intel, ont donc pris au sérieux ce problème et ont publié, quelques temps après, une nouvelle version de leurs pilotes Wifi sans spécifiquement préciser pourquoi. Un rapport de cause à effet n'est certainement pas à exclure…

La sécurité des réseaux WIFI n'a donc pas finie d'être controversée. Après la remise en cause de la solidité des algorithmes de chiffrement comme le WEP (Wired Equivalent Privacy), les hackers s'aperçoivent que d'autres problèmes proviennent de niveaux encore plus bas et comme dirait Ellch surnommé Johnny Cash dans la communauté pirate : « Pourquoi bâtir une maison sur des fondations précaires ? » tout le problème repose ici…

[1] Vidéo de la démonstration WIFI
http://news.com.com/1606-2_3-6101573.html?tag=ne.vid

[2] Hypothèses contre la faille WIFI
http://sid.rstack.org/blog/index.php/2006/08/26/113-du-lard-du-cochon-ou-juste-du-flan

[3] Site de Johnny Cash avec la présentation Powerpoint de son intervention à la BlackHat
http://www.802.11mercenary.net/~johnycsh/publications/

La sécurité des puces RFID remise en cause

Un autre sujet passionnant est venu enrichir les présentations de cette année. La sécurité de la technologie RFID serait remise en cause. Les passeports dotés d'une puce RFID pourraient être simplement modifiés ou, pire encore, utilisés comme des bombes et déclenchés à plusieurs mètres ! Inquiétant… ?

Qu'est ce que le RFID?

Rappelons tout d'abord le principe des ondes RFID qui envahissent peu à peu notre vie quotidienne. Cette technologie (Radio Frequency Identification), développée il y a quelques années, est une méthode utilisée afin de récupérer, à distance, le contenu stocké dans des « Tags RFID ». Ces Tags se trouvent sous différentes formes (puces intégrées, étiquettes collées sur des produits…). Ces équipements miniatures sont dotés d'une antenne qui leur permet de recevoir et d'émettre des données.

Les passeports américains au centre des interrogations

Approuvée par le gouvernement américain, cette technologie est aujourd'hui implémentée dans la nouvelle génération de passeports. Ces "passeports intelligents" aideront à lutter contre leur vol et leur falsification. Avec une capacité de mémoire de 65 Ko, la puce pourra stocker des données, telles que le nom, la date, le lieu de naissance et une photo numérique. Tout semble donc réuni pour lutter contre les personnes indésirables, « contrôler » les identités de manière irréfutables et donc combattre le terrorisme…

Premier problème : des passeports RFID explosifs!

Ces belles promesses annonçaient donc un principe imparable pour l'identification des personnes, ce qui est aujourd'hui réfuté par la communauté pirate…

En effet, de nombreux chercheurs se sont donc amusés à trouver les failles dont pourrait souffrir cette technologie. Le résultat est plus qu'alarmant ! Il serait possible de faire exploser un passeport équipé d'une telle puce à plusieurs mètres…Une vidéo [4] réalisée par les chercheurs a été présentée…de quoi effrayer le gouvernement américain qui a décidé de mettre en circulation ces nouveaux passeports dès le mois d'Octobre 2006.

La société Flexilis a prouvé que le scan, à distance, de puces RFID était possible. Kevin Mahaffey, représentant de Flexilis, démontre qu'avec un scanner RFID, il serait en mesure de détecter ces nouveaux passeports partiellement ouverts. Seule l'ouverture du passeport d'un angle minimum permettrait la détection de la puce RFID. Ainsi plus un passeport est ouvert, plus le périmètre pour son identification est élevé.

En théorie, la détection pourrait être réalisée à plusieurs dizaines de centimètres mais il faudrait alors un scanner puissant.
Le vol de données n'est pas au centre des préoccupations car les informations sont chiffrées. Néanmoins, un pirate pourrait savoir si telle ou telle personne possède sur lui un passeport.
En se basant sur ce principe, ces chercheurs ont tourné une vidéo de l'explosion d'une bombe à l'aide de ces puces. [3]
Le principe est relativement simple. Un scanner est placé dans une poubelle avec une charge explosive qui sera déclenchée au moment où il détectera une puce RFID dans un périmètre défini.

Avec un peu de connaissance dans ce domaine, cette technique pourrait être utilisée par des terroristes pour la mise à feu d'une bombe. De plus, le « fingerprinting » (identification du constructeur de la puce via un scan), pourrait laisser penser que seuls les citoyens d'un pays ciblé pourraient devenir les victimes de ces attentats…

Deuxième problème : les malwares dans les tags RFID

Une autre présentation a continué à causer du tort à cette technologie. Melanie Rieback, docteur en informatique à l'université d'Amsterdam et spécialisée en RFID, a expliqué comment un virus pourrait facilement infecter une puce RFID puis se propager dans les réseaux informatiques [5].
Avec des connaissances basiques, des pirates seraient en mesure d'infecter des bases de données et de causer des dommages variés. Parmi la liste des menaces, on recense : la possibilité de causer des débordements de tampon, d'insérer du code, réaliser des injections SQL avec une modification des bases de données…
Bien que la capacité des puces soient limitées à 1024 bits, les débordements sur des systèmes « middleware » sont bel et bien possibles. En effet, certaines normes autorisent l'envoi de plusieurs blocs de données (ISO 15693) ce qui pourrait remplir un tampon alloué du système/lecteur RFID sous-jacent.

De plus, la chercheuse a créé un exemple de ver de 127 caractères seulement soit un peu moins d'un kilobit ce qui lui permet de se loger dans toutes les puces RFID. La démonstration se base sur l'injection de commandes SQL dont la preuve de concept est expliquée en annexes [7].

Plusieurs acteurs de ce secteur ont répliqué et ne considèrent pas cette menace comme effective.
Le président de l'infrastructure RFID au sein de la société Symbol affirme toujours : « Les tags RFID ne peuvent pas contenir des logiciels et des codes exécutables ce qui signifie qu'il n'est pas possible de les infecter avec des virus. De plus, les limitations du stockage restreignent considérablement les menaces. Il est impossible de créer un exécutable de 96 bits ! ». De plus, d'autres personnes confirment que les manipulations SQL ne seraient pas aussi simples à réaliser sur des lecteurs perfectionnées…. Affaire à suivre.

Troisième soucis : la réplication des données

Une dernière démonstration a été réalisée par Lukas Grunwald, ingénieur de la société DN-Systems Entreprise Internet Solutions Gmbh. La présentation vise toujours la sécurité des passeports qui utilisent les puces RFID.
Avec un équipement tout à fait banal trouvé dans le commerce, le consultant aurait été capable de copier le contenu d'un tag RFID sur une puce. Ces informations lues par le contrôle des douanes pourraient donc être « volées » et reproduites. Malgré cela, l'ingénieur allemand confirme la solidité de l'algorithme de chiffrement utilisé. Les données chiffrées peuvent être dupliquées mais en aucun cas modifiées.

Cette menace affecterait des millions d'utilisateurs dès la sortie des passeports RFID ce qui remettrait en cause l'usurpation d'identité possible…

De plus, la copie de données pourrait également être utilisée pour l'accès à des bâtiments.
Le chercheur a appliqué la même stratégie à des cartes RFID d'accès à des entreprises. Un pirate pourrait aisément s'introduire dans un bâtiment sécurisé en possédant une copie de la puce RFID d'un employé !

M.Grunwald s'était déjà fait remarquer en 2004, toujours lors d'une conférence BlackHat. Il avait alors présenté un logiciel capable de lire et de modifier les puces RFID non chiffrées. A l'origine, ce programme baptisé RFDump, a été développé dans le but de protéger les consommateurs. "Chacun devrait avoir le droit de pouvoir effacer les étiquettes RFID une fois l'achat réalisé" dit-il. Supprimer les données de ces puces permettrait de stopper toute traçabilité. Il laissait déjà entrevoir les limites de la technologie RFID qui pouvait être détournée. Ainsi les pirates pourraient modifier les informations des produits stockés dans les supermarchés. Des étiquettes RFID sont déjà utilisées au Etats-Unis. N'importe quel hacker pourrait donc modifier le prix ou changer l'identité des marchandises.

La RFID est au centre de nombreuses préoccupations. Même si l'usage de la cryptographie semble le meilleur moyen contre la modification des données, on peut imaginer qu'après plusieurs années (un passeport est valable 10 ans), cet algorithme pourra être cracké ce qui signifiera l'apparition d'actes de piratage difficilement contrôlables.

[3] Vidéo de la démonstration de l'explosion d'une charge explosive déclenchée via une puce RFID
http://news.com.com/1606-2_3-6103315.html

[4] Analyse technique de la démontration par Flexilis http://www.flexilis.com/epassport.html

[5] White paper de Melanie Rieback : « Is your cat infected with a computer virus ? » http://www.rfidvirus.org/papers/percom.06.pdf#search=%22is%20your%20cat%20infected%22

Les hackers à l'attaque de Windows Vista

Vista déjà piraté

La future sortie du système d'exploitation promet une lutte permanente de Microsoft contre les hackers. Joanna Rutkowska a démontré avec succès comment outre passer les mesures de sécurité prises introduites par Microsoft Windows Vista Beta 2 via deux attaques [7]. Microsoft utilisent des signatures pour les pilotes afin de faire savoir à l'utilisateur que ces derniers sont bien compatibles avec leur version de Windows et que tous les drivers du noyau soient valides.

La chercheuse pour une société singapourienne a réussi à contourner ce contrôle afin d'installer des pilotes non signés, chose impossible normalement avec l'apparition de l'UAC (User Account Control).
L'UAC (méthode sensée protéger le système des actions exécutées avec un compte Administrateur) détecte bien le code malicieux mais une simple confirmation de la boite de dialogue « Accepter » autorise le chargement du code au sein du noyau. L'installation de pilotes malveillants est alors possible…
Une porte est donc ouverte à tout type d'injection de code.
La seconde attaque repose sur l'utilisation d'un rootkit baptisé « Blue Pill » qui exploite la technologie de virtualisation Pacifica d'AMD pour injecter du code dans le noyau. Le programme malicieux devient alors indétectable.

Aucune vulnérabilité n'est mise en évidence, cependant, le cas de figure présenté n'a certainement pas été prévu par les développeurs.

« Le fait que le mécanisme ait été contourné ne signifie pas que Vista n'est pas sécurisé. C'est juste qu'il n'est pas aussi sécurisé qu'on nous le promet », précise-t-elle. « Il est très difficile de mettre en place un dispositif de protection du noyau fiable à 100% ».

Ce problème affecterait toutes les plateformes AMD 64 bits et pas seulement Vista. Microsoft promet de corriger prochainement ce problème en travaillant main dans la main avec les constructeurs. En attendant, Microsoft continue de proposer les dernières versions de Vista aux hackers en tout genre afin de renforcer la sécurité de son OS.

Des flux RSS malicieux

Les flux RSS ont aussi fait l'objet de préoccupations diverses. Un spécialiste de sécurité de la société SPI Dynamics a montré que les fils RSS pouvaient contenir des parties de code malicieuses [8]. La popularité de cette technologie laisserait donc présager le pire. Le but de la manipulation serait de modifier le code du flux RSS afin d'injecter un code Javascript vérolé. flux malicieux et d'inciter les utilisateurs de s'y abonner. Cette première solution est peu probable (personne ne s'abonne à des flux douteux) mais il est possible d'imaginer que les attaquants essayeront de pirater les sites de grande envergure en changeant le code du flux RSS.

Fini les défacements, place au piratage silencieux ! Des actions telles que l'envoi d'informations à un serveur tiers, l'accès au poste de la victime ou des attaques de Cross Site Scripting (vol de session) seraient ensuite possibles. De plus, il faudrait également que le lecteur du flux soit également vulnérable.

Microsoft qui prévoit d'intégrer un lecteur RSS dans la version 7 d'Internet Explorer, est soucieux de ces différentes menaces. Cependant, le filtrage des codes sources afin d'éradiquer tout script malicieux et l'exécution des flux dans une zone protégée, permettent au géant de rester optimiste…mais pour combien de temps ?

[7]"Subverting Vista kernel for fun and profit" de Joanna Rutkowska
http://blackhat.com/presentations/bh-usa-06/BH-US-06-Rutkowska.pdf

[8] RSS security de Bob Auger (SPI)
http://www.spidynamics.com/spilabs/education/presentations/BobAuger-RSS_Security.pdf

Les autres sujets

La valise Bluetooth

Pour terminer sur les technologies sans fils, deux chercheurs italiens ont présenté une invention assez intéressante qui permettrait de scanner les périphériques Bluetooth à plus de 200 mètres. Plusieurs équipements Bluetooth et un ordinateur sont concentrés déns une valise. Ce projet, baptisé "Bluebag", est constituÈ d'une distribution Gentoo et de la pile bluetooth ´ Bluez ‘. L'ensemble peut être gérer à partir d'un équipement WIFI (ordinateur, PDA...).

Cette valise pourrait, selon les concepteurs, envoyer des vers, keyloggers ou autres logiciels malveillants. Actuellement, ce package n'est utilisé qu'en preuve de concept afin de n'envoyer que de simples fichiers. Leur expérience dans un aéroport montre que 70% des utilisateurs d'appareils, disposant de la technologie bluetooth, acceptent les transferts anonymes. Plus d'un milliers d'équipements ont été scannés en moins de 24h dans des lieux publics (centre commercial, gare et aéroports). Seul défaut : tous les réseaux sans fil à proximité de leur "Bluebag" ne sont plus accessibles dès que leur invention est mise en route.

NAC, IPS/IDS, VoIP, Blackberry

Après ces présentations intéressantes, d'autres sujets sont venus compléter cette Blackhat. La technologie NAC (Network Access Control), solution utilisée pour détecter la présence d'un nouveau poste et lui bloquer l'accès au réseau si son statut général de sécurité n'était pas satisfaisant, a été remise en cause. Plusieurs failles ont été montrées du doigt ce qui laisserait la possibilité à des attaquants de contourner le contrôle via l'usurpation d'identité.

David Endler et Mark Colliers se sont penchés sur la sécurité de la VoIP et ont présenté leurs outils Sipscan qui permettent de mener des actions intrusives classiques (prise d'empreinte, scans de ports, exploitation de vulnérabilité..).

L'auteur du célèbre framework Metasploit a présenté la dernière version 3.0. Il a également participé à une démonstration de contournement des outils de détection et de prévention d'intrusion (IDS/IPS).

La sécurité des infrastructures Blackberry a aussi été abordée. Felix Lindner, consultant, a démontré que les « PIN messages » entre les BlackBerry n'étaient pas chiffrés ce qui représente une menace évidente. De plus, d'autres failles, comme le compte SA/NULL installé sur la base de données SQL à chaque mise à jour et l'utilisation de logiciels libres et souvent vulnérables seraient des oints à prendre en compte lors de la configuration de l'environnement.

Enfin, parmi les autres sujets, on remarquera une présentation sur la sécurité Ajax, l'amélioration de la nouvelle pile Wifi de Vista, le bluetooth et d'autres attaques plus intéressantes les unes que les autres.

Cette année, la Blackhat aura donc tenu toutes ses promesses, avec toujours plus de démonstrations et la présentation de nombreuses vulnérabilités. Les Hackers n'ont jamais été aussi actifs. L'année 2007 s'annonce sportive, les éditeurs ont du soucis à se faire...