Spécial sécurité : retour sur Hackito Ergo Sum 2011

Sommaire
1 - HES 2011 : Service pâques 2.0
2 - C&esar 2011 : appel à communication sur les communications
3 - Double alerte Cisco
4 - HES2011 : quand l’ONU analyse le cyber-banditisme

1 - HES 2011 : Service pâques 2.0

Essai transformé: avec sa seconde édition, Hackito Ergo Sum confirme que c’est là LA conférence Parisienne orientée « sécurité TIC » qu’il ne faut manquer à aucun prix. Tant par le niveau des présentations que pas sa coloration internationale. Se sont rencontrés là des chercheurs en provenance des USA, d’Italie, d’Israël, de Russie, du Brésil, d’Allemagne, de Grande Bretagne, de Norvège… patchwork faisant regretter peut-être l’absence de chercheurs Français qui semblent jalousement réserver leur savoir pour les SSTIC Rennaises. Un amour immodéré pour les soumissions en LaTeX ? L’un des rares orateurs Français sur la scène Hackito était Eric Freyssinet, Lieutenant Colonel de la Gendarmerie Nationale, chef de la division de lutte contre la cybercriminalité, qui ouvrait la conférence et venait expliquer dans les grandes lignes le cadre juridique Français en matière de délinquance numérique, ainsi que les moyens humains et techniques apportés par les forces de l’ordre. La présence d’un Eric Freyssinet parlant à un parterre d’experts venus du monde entier est probablement l’une des plus belles reconnaissances de sérieux donné à cette édition d’HES 2011 …

Certaines des conférences données à l’occasion, pour certaines, sont la reprise « revue et augmentée » de causeries déjà tenues à d’autres occasions. Allocution très remarquée donc d’une « légende masquée », Marc « Van Hauser » Heuse, que les amateurs de la chaîne de streaming CCC TV (qui retransmet les Chaos Computer Conferences) ont pu déjà entendre sur le sujet : les vulnérabilités, potentielles et avérées, du protocole IPv6. Cela fait bientôt 5 ans que Mark Heuse traite de ce sujet… 5 ans que des perfectionnements sont apportés au protocole, 5 ans qu’apparaissent aussi de nouvelles vulnérabilités, dont certaines liées à ces fameux perfectionnements.

Aussi amusante qu’intéressante, la démonstration de Mate Soos, de Security Research Lab, qui a pris pour prétexte le cracking des clefs de voitures à RFID (Hitag2) à l’aide de Sat Solver, utilisant en partie les travaux de Karsten Nohl. Au prix de la Bentley, même les démonstrations mathématiques les plus ardues deviennent intéressantes.

Hack matériel encore, avec une passionnante causerie de Kevin Redon et Ravishankar Borgaonkar sur le reversing des femtocell GSM, ces microcellules privées destinées à étendre un réseau d’opérateur dans les zones d’ombre. Les deux chercheurs sont parvenus à r00ter certaines de ces microcellules, dont une de SFR, et ainsi sniffer le trafic non seulement des utilisateurs légitimes et propriétaires de l’appareil, mais également de tout terminal pouvant passer à proximité. Une grande partie des trous de sécurité exploités appartiennent à la catégorie des « erreurs d’implémentation », et sont donc susceptibles d’êtres rapidement corrigées. Il reste qu’à la vitesse où évoluent les techniques et les réseaux d’opérateurs, le nombre de failles au niveau des équipements (transpondeurs, cellules, terminaux, infrastructures, routage, chiffrement et translations de protocoles) laisse aux chercheurs un terrain de jeu encore en friche… et pour longtemps.

Les autres conférences relevaient plus du royaume de l’abstraction mathématique et du secteur logiciel. La musique des sphères a probablement atteint son paroxysme avec l’exposé de Sébastien Tricaud, qui pose, d’entrée de jeu, une question science-fictionnesque : comment détecter une tentative d’attaque (un sondage de port par exemple, donc quelque chose qui relève plus du « risque » que de la « menace ») lorsque l’on doit surveiller le trafic d’une région, voir d’un pays tout entier ? Passons sur les modèles mathématiques abstrus, et attachons-nous à la représentation graphique des flux qui, avec la « méthode Tricaud », permet de distinguer et isoler un comportement anormal d’une montagne d’information consignée dans les « logs ». C’est là une première approche, explique le chercheur, mais elle nous montre la voie vers de nouvelles techniques d’analyse comportementale, explique l’auteur. Dans le flux d’un backbone, une simple interrogation de port passe inaperçue. Mais la même interrogation incrémentée de 1, qui, discrètement, vient frapper à chaque point d’entrée IP réponde à une signature qui peut être mise en équation. C’est le prélude probable d’une attaque qui, en temps normal, ne serait jamais remarquée par un administrateur. Tout l’art est de savoir bien configurer les enregistrements de logs et de modéliser les comportements des flux. Même les personnes les plus hermétiques aux modèles mathématiques peuvent comprendre, peuvent « voir » à quoi pourrait ressembler le tableau de bord d’un administrateur de demain…

2 - C&esar 2011 : appel à communication sur les communications

Le C&esar est, de loin, le plus important des cycles de conférences « sécurité des applications sans fil » Français. L’édition de cette année se déroulera du 28 au 30 novembre prochain, dans la salle du Triangle à Rennes. La montée en puissance de la téléphonie mobile « intelligente » (dont le volume dépasse désormais celui de l’informatique personnelle traditionnelle), l’arrivée des tablettes et autres nouveaux terminaux, la naissance annoncée des futurs réseaux flexibles produisent un mélange détonnant, celui d’un réseau de plus en plus complexe utilisé par une clientèle ne maîtrisant pas toujours ces outils techniques et confondant parfois, souvent même, les frontières d’usage et de sécurité séparant le domaine privé de la vie d’entreprise.

C’est dans cette perspective qu’est ouvert l’appel à communication du C&esar 2011. La date limite de soumission est fixée au 5 juin prochain et la sélection des articles sera annoncée aux auteurs dès le 30 juillet, pour une remise au propre définitive le 15 octobre. Les thèmes retenus sont « classiques et contemporains » :
La problématique des objets communicants (ordinateurs portables, tablettes, assistants personnels, smart phones, etc.), de leurs applicatifs et de leur origine (équipement privé ou professionnel)
La mobilité des données
Le partage d’objets communicants entre usagers
Les menaces liées à la mobilité de ces systèmes (en particulier celles liées à la localisation)
La problématique des systèmes embarqués et mobiles, qu’ils soient dans les véhicules (automobiles, avions, trains, etc.) ou sur les personnes (dispositifs de contrôle de santé, de surveillance, etc.)
Les outils de sécurisation (chiffrement, contrôle d’accès, etc.) spécifiques au nomadisme
La gestion de parcs d’équipements hétérogènes
La gestion des utilisateurs nomades (ainsi que des identités associées)
La problématique des technologies réseaux propres à la mobilité (hétérogénéité, infrastructures de support, réseaux mobiles de terrain, etc.)
Les politiques de sécurité adaptées au contexte de mobilité
La protection de la vie privée

3 - Double alerte Cisco

Cisco émet deux bulletins d’alerte, le premier corrigeant 3 risques d’attaques en déni de service du protocole SIP, 2 possibilités d’attaques transverses, et deux injections SQL potentielles. Le second bulletin concerne un scénario d’attaque par avalanche de paquets ICMP dont la conséquence serait le redémarrage intempestif des Wireless Lan Controlers (WLC séries 2100, 526, NME-Air et NM-Air)

4 - HES2011 : quand l’ONU analyse le cyber-banditisme

L’an passé Raoul « Nobody » Chiesa prenait les participants de HES à rebrousse-technologie, en se lançant dans un long descriptif du hacking des réseaux X25. Changement de ton cette année, avec un exposé sur le « profilage des hackers de la scène internationale ». Hackers entendu dans le sens de membres pratiquants de l’intrusion non-autorisée et de l’infection mal tempérée. Des méchants, donc ? Les choses étaient encore claires il n’y a pas si longtemps. Mais depuis quelques temps, tout le monde joue au virus, à l’attaque en déni de servie, au vol d’identité et d’informations. L’image du pirate en T-Shirt opérant depuis un sous-sol obscur est peu à peu remplacée par celle de l’intruder en complet Armani, du saboteur en treillis-rangers et du détourneur de botnet en uniforme bleu. Les attributs et les avatars qui distinguent le grand banditisme sauce cyber, la truanderie financière informatique, les armées des grandes puissances combattant à coups de NTIC et les services de techno-police deviennent indistincts si l’on se limite à la seule analyse des outils et des techniques.

Etude comportemental et profilage d’autant plus intéressant qu’il est le fruit d’un travail effectué par une communauté de chercheurs, services de police, hommes de loi, spécialistes de la finance, tous réunis sous la bannière de l’Unicri, division « anticriminelle » de l’ONU. C’est là l’un des rares organismes dont les métriques peuvent être considérées comme objectives, détachées de toute influence mercantile ou politique, de toute influence économique.

Le principal du travail de recherche à l’Unicri, explique Raoul Chiesa, consiste à replacer la cyberdélinquance dans un contexte criminel général, à côté du trafic de drogue et d’êtres humains, et d’en expliquer les liens étroits. Et de citer en exemple les gangs Nigérian et Roumains qui ont envahi la région Turinoise : Les premiers sont spécialisés dans le trafic de cocaïne, les seconds dans la prostitution et les « skimmers » de distributeurs automatiques de billets. Sous la pression de plusieurs organisations policières, les truands Roumains ont revendu leur activité DAB aux Nigérians, en se faisant payer en cocaïne, laquelle est écoulée auprès de la clientèle des réseaux de prostitution. Les circuits économiques sont toujours interdépendants, continue Chiesa. Ils conduisent parfois à des rebondissements inattendus… Ainsi, toujours dans la région de Turin, toujours en effectuant des écoutes téléphoniques pour surveiller le trafic de cartes de crédit des Nigérians, la police a intercepté une conversation laissant clairement entendre que le réseau en question trempait aussi dans le trafic d’organes. Un marché de la chair humaine plongeant ses racines dans le vol d’identités bancaires et l’industrie de la fausse carte de crédit.

Sur le plan organisationnel, les techno-truands ne sont que le back-end d’une structure, sous les ordres d’un centre de commande mafieux tout à fait traditionnel. Seul, le blackhat n’est rien. Son talent (celui des développeurs d’exploits, d’organisateurs de botnets, des diffuseurs de spywares, des récupérateurs de données collectées par les rootkits ou les attaques en drive by download), ne sert à rien s’il n’est pas parachevé d’une part par un armée de « mules » chargées de récupérer l’argent du monde réel, et d’autre part par une organisation de blanchiment efficace. Des structures telles que celle du RBN (ndlr Russian Business Network, réseau mafieux de la région de St Petersbourg) ne peuvent que progresser, car elles offrent un avantage inégalé pour ses membres : le braquage sans risque physique direct. Un peu comme un militaire pilotant son drone ou aux télécommande d’une action de cyberguerre : impunité garantie. Et gains croissants et assurés, si l’on considère le taux de croissance de l’informatique dans le monde et le nombre croissant également de victimes potentielles. Pour l’heure, le marché du cybecrime tel que chiffré par l’Unicri peut être résumé de la manière suivante : 1 milliard de dollars grâce au vol d’identité, 1,5 milliard sur le créneau des produits pharmaceutiques contrefaits et 250 millions via le business de la pédopornographie. Pour l’heure, une « paille » comparé aux quelques 105 milliards du trafic de drogue –héroïne-cocaïne- entre les différents continents. Mais un chiffre toujours croissant, et une activité dont on ne soupçonne pas toujours l’étendue. La délinquance financière des grandes entreprises (falsification de comptes d’exploitation, les implications politiques, cyberhacktivisme, le vol d’informations technologiques, cyber-espionnage international ou corporatiste), les abus de biens sociaux divers, l’intérêt croissant que portent les armées des grands « blocs » (Chine, USA, Russie, Europe) pour ce qui concerne le développement d’armes logicielles ou de bombes réseau… la typologie est encore loin d’être achevée, le travail de l’Unicri en général, et celui de Raoul « Nobody » Chiesa ne fait que commencer.