Rapport sur la conférence Black Hat de Las Vegas

5 Août 2013

Las Vegas – Le dernier jour de juillet et le premier d’août, un célèbre hôtel-casino à l’ambiance inspirée de la Rome antique, situé dans le désert Mojave, accueille ce que le directeur de la NSA, le Général Keith Alexander, considère comme la plus grande concentration de talent technique au monde. Deux membres de cette foule ont répondu aux allégations du général pendant un débat houleux, le mercredi matin, en se moquant de lui et en le traitant de menteur – non pas parce que son affirmation était fausse, mais parce qu’il dirige une agence qui pourrait bien surveiller sans distinction toutes les données des citoyens américains. Quoi qu’il en soit, le directeur de la NSA semblait affirmer que son agence possédait les capacités mais pas l’autorité pour mener une telle collecte de données. Dans le passé, des responsables haut placés ont catégoriquement nié ces affirmations devant le peuple américain et le Congrès, qui a ironiquement donné à la NSA cette autorité de son plein gré et ce à plusieurs reprises.

blackhat_conférence

Il existe deux réalités différentes à la conférence Black Hat: d’un côté, l’événement est profondément et complètement corporatif. Les informaticiens et les professionnels de la sécurité de l’information les plus brillants et les mieux payés au monde s’y rendent. La plupart des présentations sont centrées sur le monde de l’entreprise, bien que cette année, nous avons aussi eu la chance de voir un certain nombre de débats dédiés aux consommateurs.

D’un autre côté, cet endroit est complètement envahi de criminels. Si vous avez un ordinateur ou un smartphone ou tout autre objet de valeur, la conférence Black Hat de Las Vegas – en particulier au Caesar’s Palace – est l’un des endroits les plus hostiles de la civilisation occidentale (je cite ici un e-mail que la compagnie qui organise l’événement m’a envoyé). Mieux vaut vous méfier des réseaux Wi-Fi, des distributeurs d’argent et de toute personne que vous n’avez jamais rencontré auparavant. Pour les pirates qui assistent à la conférence Black Hat, les réjouissances consistent à tenter de vous humilier et si possible de vous voler. La salle de presse est un amas de câble Ethernet et c’est le seul endroit sûr pour accéder à Internet. Il peut donc paraître étrange que nous ayons passé la grande majorité de notre temps hors de la salle de presse et de sa connexion Internet sécurisée pour assister à l’une des conférences technologiques les plus célèbres au monde en mode hors-ligne.

Ce qui est encore plus étrange c’est la dichotomie entre les inventeurs sans aucune éducation formelle et les chercheurs possédant des doctorats en mathématiques. La ligne qui sépare les agents du gouvernement fédéral en civil  des cybercriminels est incroyablement étroite- surtout lorsque vous réalisez que les deux groupes essaient d’en savoir plus sur les mêmes techniques d’attaque. Mais ne vous méprenez pas, presque tout le monde est un pirate ici et pirater est la seule chose dont tout le monde parle vraiment.

Pirater des personnes

Malheureusement, Barnaby Jack est décédé une semaine avant son apparition dans une présentation intitulée « Appareils médicaux implantables : pirater les humains ». Le brillant chercheur en sécurité était un leader dans la recherche des appareils médicaux implantables (il s’agit par exemple des pompes à insuline et des pacemakers qui sont implantés dans le corps des patients). Nombre de ces appareils transmettent des signaux et ont la capacité de communiquer par réseau sans fil avec des appareils situés hors du corps du patient. Ils peuvent bien sûr être piratés, la perte de Barnaby Jack est vraiment regrettable. Le très apprécié pirate néo-zélandais avait piraté deux distributeurs automatiques dans un des halls de la conférence il y a quelques années. Pendant le débat, il s’assit devant son ordinateur portable et pirata le distributeur de toutes les manières possibles. Il manipula leurs écrans, fit passer les billets de 20$ pour des billets de 5$, et – bien sûr – clôtura sa présentation avec style en forçant un autre distributeur à cracher de l’argent partout sur la scène.

Pirater des maisons

Il y avait trois présentations dédiées à la sécurité de nos maisons à la conférence Black Hat cette année. Au cours d’une des présentations les plus simples et les plus claires de la conférence, les chercheurs Drew Porter et Stephen Smith ont démontré l’incroyable facilité avec laquelle il est possible de contourner les systèmes de sécurité à domicile ou au bureau. Il existe environ 36 millions de systèmes vulnérables aux États-Unis. Les chercheurs ont quant à eux examinés les éléments suivants : des capteurs de porte et de fenêtre, des capteurs de mouvement, et un clavier. Le clavier, selon eux, est le cerveau de l’opération. Le clavier arme et désarme le système et communique avec un tiers quand l’un des capteurs est activé.

Porter et Smith ont démontré qu’ils pouvaient duper les capteurs avec des objets incroyablement peu coûteux, tels que des aimants et des bandelettes de métal. Les capteurs fonctionnant avec des circuits sont ceux qui créent un circuit quand les deux côtés du capteur se touchent (circuit fermé : bien). Quand ce circuit est rompu (circuit ouvert : mauvais), en ouvrant par exemple une porte ou une fenêtre, le capteur envoie une alarme et communique l’infraction au clavier. Le clavier informe le tiers que l’alarme s’est déclenchée.

Les alarmes des capteurs de mouvement peuvent être trompées très facilement. Les chercheurs n’ont pas expliqué pourquoi, mais pour une raison quelconque, la lumière infrarouge pose des problèmes aux alarmes des capteurs de mouvement. Quand le chercheur a exposé les capteurs à une lumière infrarouge, les capteurs ne pouvaient pas s’activer. Ils ont également réussi à tromper les capteurs de mouvement avec des méthodes simples. Se protéger des capteurs de mouvement grâce à un large morceau de carton ou de polystyrène a sufi pour faire croire aux capteurs qu’il n’y avait aucun mouvement.

Encore plus inquiétant, les claviers sont également vulnérables. En résumé, le clavier reçoit des signaux électriques envoyés par les capteurs. Si les capteurs sont activés, ils en informent le clavier et celui-ci envoie un message au tiers qu’il est censé prévenir. Il peut s’agir aussi bien de la police que de votre smartphone. Les claviers communiquent de trois façons : par téléphone fixe, par mobile ou par transmission de données. Il est possible de trafiquer ou d’intercepter le trafic des claviers fonctionnant avec ces trois systèmes.

Dans une autre présentation, Daniel Crowley, David Bryan et Jennifer Savage ont parlé des risques auxquels nous faisons face quand nous connectons nos appareils domestiques tels que nos appareils de chauffage ou des systèmes de verrouillage de porte à notre réseau domestique. Plus précisément, Behrang Fouladi et Sahand Ghanoun ont montré une attaque ciblant les vulnérabilités des systèmes automatisés à domicile, Z-Wave. Le protocole Z-Wave est de plus en plus populaire et est capable de contrôler les systèmes HVAC, le verrouillage des portes, la lumière, et bien d’autres choses dans votre maison.

La plus grande inquiétude concernant la plupart des systèmes de sécurité à domicile vulnérables est que ces derniers ne peuvent pas être corrigés comme on le ferait sur un ordinateur ou un logiciel. Quand Microsoft apprend l’existence d’un bogue, ils créent un patch et vous l’envoient lors de « Patch Tuesday ». Dans certains cas extrêmes où la vulnérabilité est particulièrement sévère, Microsoft n’attendra pas son « Patch Tuesday » mensuel. Ils publieront un correcteur exceptionnel pour réparer le bogue dès que possible. De plus, si vous connectez votre système à Internet, vous devriez vous assurer qu’il dispose d’une protection contre les attaques à distance. De nombreux fournisseurs ne sont pas encore prêts à  jouer dans cette cour – comme vous le constaterez dans le paragraphe suivant.

Pirater comme un pirate d’Hollywood

Craig Heffner, un chercheur du Maryland (États-Unis) spécialisé en vulnérabilités, a présenté une démonstration dans laquelle il a piraté des caméras de surveillance de particuliers et d’entreprises comme dans les films hollywoodiens. Il affirme que des milliers de ces caméras déployées dans les maisons, les entreprises, les hôtels, les casinos, les banques, même les prisons, les bases militaires et les sites industriels, sont accessibles par Internet et donc vulnérables au genre d’attaques que vous voyez dans les films. Heffner a développé une attaque démontrant ce concept, dans laquelle il pouvait bloquer et manipuler à distance la vidéo sur les appareils.

Pirater des téléphones

Deux débats en particulier pourraient détruire toute la confiance que nous avons en l’écosystème mobile. L’un concernait l’attaque de carte SIM du chercheur allemand, Karsten Nohl de Security Research Labs. L’autre fut celui de Jeff Forristal, intitulé « One Root to Own Them All » et dédié à la très répandue vulnérabilité d’Android sur laquelle je publierai bientôt un post complet.

En bref, une carte SIM est très petite, mais il s’agit d’un ordinateur complet qui stocke et transmet vos données de manière sécurisée sur un réseau cellulaire. Nohl a réalisé que les cartes SIM de peut-être plus d’un milliard de smartphones sont vulnérables car elles communiquent en utilisant un chiffrement de données standard, connu sous le nom de DES. Le DES était, auparavant, considéré comme le chiffrement standard et il était même encouragé par la NSA. Comme un chercheur me la fait remarquer dans un taxi que nous avons partagé en route pour l’aéroport, le DES est très utilisé, car il requiert peu de mémoire et il est très rapide. Malheureusement, il est désormais dépassé et il peut être facilement craqué. Apparemment, ces cartes SIM sont fabriquées de façon à ce que les opérateurs réseau et les fournisseurs de service puissent communiquer avec elles une fois qu’elles ont été vendues aux utilisateurs. Cette communication est nécessaire pour les correcteurs, les factures, et bien d’autres actions. La communication entre les cartes SIM et les fournisseurs de service est constituée, en gros, de SMS qui ne s’affichent pas sur le téléphone mais qui sont directement assimilés par la carte SIM. Presque tous les téléphones dans le monde, selon Nohl, contiennent une carte SIM qui dispose des capacités pour envoyer et recevoir ces messages courts sans que l’utilisateur ne le sache. En trois ans, Security Research Labs a trouvé seulement un téléphone qui ignore complètement ce type de communication (OTA).

Afin de sécuriser ces communications, les messages sont soit chiffrés soit protégés par des signatures chiffrées, ou même les deux parfois. Ces mesures ont fait peu de différence pour Nohl puisqu’il a réussi à craquer ces messages quelque soit la protection utilisée. Les clés sont essentiellement basées sur l’ancien algorithme du DES. Le serveur OTA appartenant aux fournisseurs de réseau et les cartes SIM utilisant elles-mêmes la même clé – probablement une décision prise pour garder de l’espace sur la carte SIM, si vous trouvez la clé, vous pouvez piéger la carte SIM et lui faire croire que vous êtes le fournisseur de réseau. La démonstration de Nohl inclut beaucoup de calculs mathématiques dans lesquels je ne rentrerai pas ici, mais la chose la plus importante à savoir est qu’une fois que Nohl a convaincu ces cartes SIM qu’il était le fournisseur du serveur OTA, il a pu exploiter la situation de diverses manières : envoyer des messages à des numéros surtaxés, contrôler le transfert d’appel, mettre à jour la micro signature de la carte SIM et éventuellement voler d’autres données de la carte SIM, telles que des codes de paiement sécurisé. La bonne nouvelle est que de nombreux opérateurs utilisent des cartes SIM plus sécurisées utilisant le 3DES ou l’AES et grâce à la recherche de Nohl certaines grandes entreprises de télécommunication ont déjà mis en place plusieurs mesures pour réparer ces problèmes.

Pirater la loi

Marcia Hoffman de l’Electronic Frontier Foundation a mené un débat de prévention sur les pièges de la loi auxquels font face les chercheurs quand ils détectent des vulnérabilités liées à la sécurité. L’une des raisons pour lesquelles l’Internet reste difficile à sécuriser est que les pirates bien intentionnés ont souvent des problèmes avec la justice quand ils exposent des systèmes vulnérables. La majorité de sa présentation était centrée sur des cas d’étude spécifiques mais son message général était un message d’avertissement : selon elle, l’utilisation d’un langage vague mène à une application sélective. Ce qu’elle voulait dire c’est qu’un grand nombre des lois utilisées par le gouvernement pour poursuivre les infractions en ligne présumées sont obsolètes, créées à une époque où Internet et les ordinateurs n’avaient rien à voir avec ce que nous avons aujourd’hui, et celles-ci auraient bien besoin d’une sérieuse révision.

Pirater les télévisions

C’est sans surprise que les soi-disant Smart TV, qui ressemblent de plus en plus à des ordinateurs, sont tout aussi vulnérables. Des présentations séparées de SeungJin « Beist » Lee et de Aaron Grattafiori et Josh Yavor ont exposé toute une série d’attaques potentielles contre ces appareils de plus en plus populaires, vendus à des dizaines de millions d’exemplaires chaque année.

Je n’ai pas pu assister à ces présentations, mais j’ai quand même réussi à me rendre à la conférence de presse précédant le débat. Selon Grattafiori et Yavor, il existe un certain nombre de vulnérabilités dans les systèmes d’exploitation sous-jacents de ces télévisions connectées à Internet. Le duo affirme – et l’a démontré lors de sa présentation – qu’un pirate pourrait pirater à distance un certain nombre d’applications sur ces plateformes afin de prendre le contrôle des appareils et de voler les informations des comptes stockés sur ces derniers. De potentielles exploitations pourraient donner aux pirates la capacité de prendre le contrôle de la caméra et du micro intégrés dans ces télévisions afin de réaliser un certain nombre d’activités de surveillance en plus d’utiliser ces systèmes comme un premier pas vers un accès aux réseaux locaux sur lesquels ils fonctionnent.

Pirater des voitures

Vous devrez attendre pour cette section. Charlie Miller et Chris Valasek se sont rendus à la conférence Black Hat mais ils présenteront leur piratage automobile à la DEF CON – la conférence de pirates la plus hardcore – qui commencera le dernier jour de la conférence Black Hat. Je n’y serai pas mais j’écrirai pour sûr  un post sur leur démonstration dès que je le pourrai. En attendant, regardez la blague de Miller et Valasek à l’arrière de la voiture d’un journaliste de Forbes spécialisé en sécurité, Andy Greenberg, qui conduit une voiture piratée par les deux compères. Vous pouvez également en lire davantage sur le piratage automobile dans ce post de Kaspersky Daily.

Pirater Internet

L’une des trouvailles les plus abstraites mais aussi l’une des plus alarmantes présentées à la conférence Black Hat fut une revue des récents progrès réalisés en informatique et en mathématiques qui pourraient mener au piratage de l’infrastructure actuelle de chiffrement et de certificat de tout l’Internet, et cela dans les 2 à 5 ans à venir. Pour éviter cela, presque toutes les compagnies fabricant des produits en relation avec Internet, qu’il s’agisse, par exemple, de navigateurs, de serveurs Web, ou de caméras de sécurité doivent commencer à mettre à jour leurs logiciels pour utiliser des algorithmes de sécurité modernes.

Il est facile de repartir de la conférence Black Hat en pensant qu’Internet est déjà irrémédiablement rompu, mais la vérité est bien plus optimiste : une grande majorité d’hommes et de femmes brillants qui se sont rendus à cet événement travaillent pour réparer Internet et sécuriser tout ce que nous y connectons. Les écouter est vraiment inspirant car ils réussiront peut-être à réaliser ce qui nous semble souvent impossible : créer un environnement en ligne sécurisé, sûr et qui promeut la protection de notre vie privée.