Pendant Black Hat, on attaque des avions, des trains et des voitures

Un résumé des actus et des recherches en sécurité de la Conférence de hackers Black Hat qui s’est tenue la semaine dernière à Las Vegas.

LAS VEGAS – Chaque année au début du mois d’Août, des experts en sécurité et des hackers en provenance des quatre coins du monde entreprennent un pèlerinage en direction de Las Vegas, Nevada. Ils s’y retrouvent pour un camp de vacances sur la sécurité informatique qui regroupe des habitués de Black Hat ainsi que d’autres conférences telles que DEF CON et B-Sides. Historiquement, Black Hat est principalement axé autour du commerce de matériel de sécurité, mais elle commence de plus en plus à s’orienter vers le consommateur. En effet, elle présente d’avantage d’interventions sur les attaques visant les maisons intelligentes, les infrastructures critiques, les appareils mobiles et autres objets se connectant.

Pour tout vous dire, on n’a même pas parlé de piratage de trains.

Dans son rapport sur Securelist, un des experts de Kaspersky Lab, Roel Schouwenberg, a lancé l’idée d’une conférence Black Hat post-PC. Au même moment, Mike Mimoso de Threatpost écrivait quelque chose de similaire dans son propre rapport :  » Les micrologiciels sont la nouvelle cible et absolument tout, des clés USB, aux routeurs, en passant par les voitures deviennent des objets potentiellement piratables, enclins au vol de données et à la violation de l’intimité. »

D’un côté, du point de vue du public, c’est une bonne nouvelle car cela signifie que la conférence comptera moins (ou autant) de débats au sujet des bugs qu’on trouve sur les plateformes de softwares malveillants, principalement utilisées par des entreprises et plus d’interventions sur les failles des systèmes qu’on utilise au quotidien. D’un autre côté, l’évolution des sujets abordés à Black Hat illustre une tendance alarmante : les failles en sécurité sont effrayantes, car elles affectent de plus en plus notre quotidien.

L’inauguration

BH-IMAGE-2

Le discours d’inauguration de cette année a été prononcé par un gourou de la sécurité Dan Geer. Contrairement à l’an dernier, quand le Directeur général de la NSA, Keith Alexander a prononcé le discours d’ouverture, il n’y avait pas de gardes armés, ni de perturbateurs ou de membres de la famille royale ayant une boîte d’œufs cachés dans son sac à dos. Au lieu de cela, une foule captivée buvait chaque parole du discours de presque 60 minutes prononcé par Geer, le directeur général de la sécurité chez In-Q-Tel (la société de capital risque de la CIA), sur ce qui pour lui seraient les dix commandements à suivre en matière de sécurité informatique.

 

L’essentiel du discours suggérait que, pour contrer les failles du marché, les Etats Unis devraient offrir 10 fois le prix de n’importe quel bug informatique sur le marché, pour ensuite regrouper les informations sur la faille et les rendre publiques, permettant ainsi aux entreprises de réparer n’importe quel bug informatique et  » réduire à néant la liste des armes informatiques. ». Il a aussi mentionné qu’entre la sécurité, la liberté et le confort, on ne peut en choisir que deux à la fois ; que la religion et les logiciels sont les deux seules choses au monde pour lesquelles on n’a aucune garantie ; et que les fournisseurs d’accès internet devraient faire payer ce qu’ils veulent en se basant sur  le contenu, et donc en assumer la responsabilité ou ils devraient opter pour la neutralité du réseau et profiter d’un réseau de protection commun.

 » Choisissez bien  » conseille Geer  » les fournisseurs d’accès Internet devraient avoir l’un ou l’autre, mais pas les deux « .

Piratage d’humains, d’hôpitaux,…

Reconsidérons l’impact de la sécurité sur notre quotidien, comme cela a été fait lors d’une table ronde sur la sécurité des appareils médicaux, car certaines failles sont volontairement intégrées dans nos corps. Les appareils médicaux qui servent dans les hôpitaux sont bien plus répandus et aussi bien plus utiles pour une grande partie de la population que les appareils médicaux qu’on met dans le corps des patients.

Ce n’est qu’une question de temps avant qu’une attaque sauvage ne soit lancée contre un ou plusieurs de ces appareils. La bonne nouvelle c’est que ces appareils sont incroyablement sécurisés. Une pompe à insuline automatique et implantée dans un corps régule et corrige bien mieux le niveau d’insuline qu’un adolescent avec un indicateur de glycémie et assez de seringues d’insuline pour un mois.

Les failles viennent du fait que ces appareils communiquent entre eux, et la plupart du temps avec d’autres appareils à l’extérieur, et ces derniers peuvent être contrôlés par les patients ou par les médecins. Soyons clairs : la probabilité qu’un assassin passe par un ordinateur pour envoyer un choc mortel sur un pacemaker implanté est ridiculement faible. Au risque de paraître sinistre, il y a des centaines d’autres façons plus simples de tuer un homme. Vous avez plus de chances de mourir de la foudre que d’une cyberattaque.

Les micrologiciels sont la nouvelle cible et absolument tout, des clés USB, aux routeurs, en passant par les voitures deviennent des objets potentiellement piratables, enclins au vol de données et à la violation de l’intimité.

Qui s’occupe de produire des patchs pour les appareils médicaux ? Qui prend en charge l’installation de ces patchs ? Qui paie les factures ? Malheureusement, les réponses à ces questions sont un confus mélange entre fabricants d’appareils, hôpitaux et patients. Et quand on utilise le terme  » appareil médical « , on ne prend pas seulement en compte les pacemakers et les pompes à insuline, mais aussi de machine à IRM, à rayons X,  d’échocardiogrammes, en passant par la tablette de votre médecin et même son ordinateur (souvent sous Windows XP) qui gère des quantités de données médicales sensibles. Pourtant, après la table ronde à ce sujet, il a été décidé que le risque le plus extrême auquel nous soyons confrontés dans ce nouvel univers des appareils médicaux ce serait probablement la manipulation de dossiers médicaux, qu’elle soit accidentelle ou autre, qui entraînerait la prescription d’un mauvais dosage ou traitement.

Mais terminons sur une bonne nouvelle: c’est bon signe que nous abordions ce problème avant que le ciel ne nous tombe sur la tête, et ce n’est pas quelque chose de commun dans le secteur des nouvelles technologies.

Avec Yahoo, chiffrez tous vos emails

Dernièrement, Yahoo a fait l’objet de nombreuses critiques pour avoir échoué, entre autres, dans son projet de chiffrer sa messagerie. Suite à cela Yahoo a annoncé que des modifications seraient apportées au cours des prochains mois, voire même des prochaines années. Parmi ces changements, le plus important est celui qui prévoit de chiffrer de bout à bout tous la totalité des e-mails circulant à travers leur messagerie. Cette altération les placera sur le même plan que Google.

Pour en savoir plus sur les modifications apportées par Yahoo à sa politique de sécurité, consultez le

Kaspersky Daily ou le Threatpost.

Voiture télécommandée

BH-IMAGE-5

J’aurais préféré vous parler de l’intervention de deux chercheurs qui expliquent comment pirater une voiture télécommandée. Malheureusement, je vais vous parler de deux chercheurs qui apprennent comment pirater une vraie voiture à distance, les transformant en deux voitures téléguidées de plusieurs tonnes.

À Kaspersky Daily, cela fait plus d’un an qu’on vous parle du piratage de voitures, et on n’est pas prêt d’arrêter. Justement parce que, dans le futur, les voitures seront de plus en plus connectées. Pour l’instant, pirater une voiture c’est quelque chose de difficile. Cela requiert des connaissances très précises sur un protocole lui-même très précis qui en principe s’utilise seulement pour les voitures.

Cependant, bientôt les voitures auront leur propre système d’exploitation, leur propre marché de logiciels et d’applications, et il se peut aussi qu’elles aient leur propre navigateur web. Les systèmes d’exploitation, les applications et les navigateurs sont trois choses que les pirates savent exploiter. De plus, comme pour les appareils médicaux, le développement de patchs pour renforcer les failles de sécurité pose de sérieux problèmes. Est-ce que le conducteur devra amener sa voiture chez le concessionnaire pour lancer la mise à jour ? Si oui, combien de personnes amèneront leur voiture suite à un rappel ? Ou les fabricants choisiront-ils d’élaborer un mécanisme de mise à jour à distance ? Si c’est le cas, qu’arrivera-t-il si l’une des fonctionnalités de la mise à jour ne marche plus, ou pire se fait hacker par un pirate ? La bonne nouvelle c’est que Charlie Miller de Twitter, et Chris Valasek de IOActive (illustré ci-dessous) ont développé un antivirus fonctionnant comme un détecteur intégré, qui vous permet de savoir si quelqu’un essaie de manipuler les connexions entre les différents capteurs et ordinateurs que l’on trouve dans les voitures, et permet de bloquer les trafics malveillants.

USB – Considérez qu’elles sont toutes méchantes

BH-IMAGE-3

Karsten Nohl (en photo ci-dessus) a élaboré une attaque informatique qui profite du fait que presque tous les ordinateurs au monde, commerciaux ou vendus aux consommateurs, reconnaissent et acceptent des données provenant d’une clé USB.

Nohl, scientifique chez Security Research Labs, l’a appelé l’attaque BadUSB. En gros il a repris le micrologiciel présent dans les clés USB afin de lancer l’exécution d’une liste longue et détaillée d’actions malveillantes, y compris (mais pas uniquement) l’injection de codes malveillants dans les machines et de rediriger le trafic.

 » Les clefs USB  ont été construites pour marcher comme ça, personne n’a rien fait de mal.  » a déclaré Nohl.  » Et il n’y a aucun moyen d’y remédier. Tant qu’on utilisera des clefs USB, on pourra faire passer des appareils pour d’autres appareils. C’est un problème de sécurité structurelle.  »

Etant donné que l’attaque exploite l’universalité du modèle USB, il est possible que les milliards d’appareils soient sensibles à cette attaque. Nohl s’inquiète aussi de la nature omniprésence du bug et de que ses potentielles attaques puissent entacher la confiance et renforce la suspicion  car  »  il n’existe pas d’outils pour éliminer ou remplacer les micrologiciels malveillants. Cela facilite les infections et rends les machines plus vulnérables à leurs attaques.  »

Nohl a d’abord entendu parler de l’attaque par le maintenant tristement célèbre catalogue des outils de piratage de la NSA.

La gentille équipe de CryptoLocker

Le groupe de travail à l’origine de la suppression du ransomware CryptoLocker a fait une apparition au cours de la conférence Black Hat. Lors de leur intervention, ils ont présenté  aux membres de CryptoLocker un e-mail de l’une de leurs victimes. Cette mère célibataire ne possédait pas la somme requise par les pirates et leur a demandé de débloquer son ordinateur car elle en avait besoin pour travailler.

Ce sont des histoires comme celle-là qui ont poussé ce groupe de  travail à se réunir pour en finir avec CryptoLocker. Curieusement, ils ont rapporté que les membres de l’équipe de CryptoLocker tenaient toujours parole. Cela fait des mois qu’on vous conseille de ne jamais payer de rançons aux pirates car il n’y a aucune garantie qu’ils débloquent votre ordinateur.  Pourtant l’équipe de CryptoLocker tenait ses engagements.

A la fin de leur présentation, le groupe de travail a expliqué que les arnaques sournoises et brillantes de ce ransomware ne représentaient qu’une faible source de revenus pour d’autres groupes de criminels. Malheureusement ils ne sont pas entrés dans les détails.

Un logiciel qui tourne mal

Le chercheur à Kaspersky Lab (et ami du blog) Vitaly Kamluk ainsi que le co-fondateur de Cubica Labs et le chercheur en sécurité, Anibal Sacco, ont présenté une série de mises à jour traitant une vulnérabilité en sécurité sur un logiciel omniprésent dont nous avons déjà parlé auparavant.

Le logiciel, développé par Absolute Software, connu sous le nom de Computrace, est un produit antivol utilisé par des sociétés de matériel informatique  et recommandé par la plupart des vendeurs d’anti-virus. Et pourquoi pas ? Après tout c’est un logiciel légal.

Pourtant, Computrace est aussi un programme assez mystérieux. Pour des raisons qui restent encore inconnues, Computrace est présent par défaut sur des millions de machines dans le monde. Absolute Software explique que cela ne devrait pas être le cas, car Computrace a été conçu pour être activé par l’utilisateur ou par le département informatique.

De plus, une fois que Computrace est activé, il est extrêmement difficile de le supprimer, malgré une mise à jour du fabricant ou à chaque réinitialisation lors du démarrage de l’appareil.

De plus le produit compte quelques vulnérabilités, sur lesquelles l’entreprise a accepté de travailler manuellement, ce qui rend les machines sujettes à des attaques de type « homme du milieu » qui pourraient permettre de prendre le contrôle des machines infectées.

C’est la faute aux satellites

Reuben Santamarta, chercheur chez IOActive a découvert que presque tous les appareils impliqués dans la communication par satellite (SATCOM) contiennent des vulnérabilités, y compris des portes dérobées, des identifiants codés, des protocoles peu sécurisés et/ou peu chiffrés.

Selon Santamarta, ces vulnérabilités pourraient donner à des attaquants à distance et non authentifiés, la possibilité de compromettre entièrement les produits affectés.

SATCOM joue un rôle critique dans la plupart des infrastructures de télécommunication. Pourtant, ils prétendent que leurs attaques pourraient aussi toucher des bateaux, des avions, du personnel militaire, des services d’urgences, des sociétés de médias et des installations industrielles comme des plateformes pétrolières, des gazoducs, des centrales de traitement des eaux et bien d’autres.

En bref

Les opérateurs, qui peuvent être imités, donnent aux fournisseurs d’accès internet, et potentiellement aux pirates aussi, un contrôle général sur les appareils mobiles ou autres. Un bug majeur sur Android pourrait permettre à un pirate de se faire passer pour n’importe quelle application fiable. Les modems mobiles à haut débit et les cartes mémoires sont des cibles faciles pour les pirates.

BH-IMAGE-4

Malheureusement il y a beaucoup de bonnes interventions à Black Hat et moi, je ne peux pas de me dédoubler et je passe déjà bien trop de temps dans la salle de presse à essayer de comprendre exactement de quoi ces chercheurs parlent (photo ci-dessus). Si vous voulez en savoir plus sur la conférence Black Hat, Dennis Fisher et Mike Mimoso de Threatpost , ainsi que moi-même avons récapitulé la première et la deuxième journée dans deux posts différents. Fisher et Mimoso ont aussi publié un post résumant l’événement en entier et revenant rapidement sur la DEF CON, qui a débuté le dernier jour de la conférence Black Hat.

En plus de ces articles publiés ici et sur Threatpost, on peut aussi trouver d’autres excellents reportages dans la section presse du site de Black Hat. Le hashtag Black Hat (#blackhat) devrait aussi compiler de bons articles. Je vous conseille éventuellement d’effectuer des recherches sur Google sur la domotique et les mesures de sécurité à prendre contre les attaques de nos domiciles.

Conseils