Avec Airbus, Blue Coat travaille à renforcer la sécurité de ses produits

La présentation de Raphaël Rigo, d’Airbus Group Innovations, devait avoir lieu fin mars dernier, lors de la conférence Syscan, à Singapour. Mais sous la pression de Blue Coat, elle avait été annulée. Au point que Thomas Lim, à l’origine de l’événement, avait encouragé les participants à publier d’aimables tweets à l’intention de l’équipementier : « Fuck you, Blue Coat ».  

La hache de guerre a été enterrée depuis, et Raphaël Rigo a présenté son travail d’étude sur les appliances ProxySG de Blue Coat, la semaine dernière, lors de l’édition européenne de la conférence Black Hat. L’occasion pour lui de préciser que le groupe spécialiste de l’aéronautique « discute » avec l’équipementier sur les « prochaines améliorations de sécurité, comme la séparation utilisateur/superviseur ».

Raphaël Rigo s’est penché sur le fonctionnement interne des appliances ProxySG de Blue Coat. Pourquoi ? Parce que c’est l’un des proxy Web « les plus déployés dans les grands groupes », dont Airbus. Surtout, son positionnement dans l’infrastructure est susceptible d’en faire « une cible intéressante pour les acteurs malicieux », pour des attaques de type man-in-the-middle, par exemple. Et Raphaël Rigo de souligner, dans sa présentation, qu’il n’existe pas de recherche antérieure connue : dès lors, le niveau de sécurité des passerelles ProxySG n’est pas plus connu, sinon à se fier à quelques bulletins de sécurité touchant « majoritairement à des bugs d’interface d’administration Web et d’OpenSSL ».

Les travaux de Raphaël Rigo ont quelques objectifs simples : « évaluer le niveau de sécurité global ; écrire des recommandations pour un déploiement sécurisé ; être préparé à enquêter en cas de compromission d’un ProxySG ».

Mais il semble en fait s’agir d’un point de départ. Dans sa présentation, Raphaël Rigo souligne ainsi la complexité d’un code C++ marqué par des « fonctions énormes », des conventions d’appel avec lesquels le désassembleur IDA « peine », et des threads « partout ! »

Au final, Raphaël Rigo relève des faiblesses dans la sécurité au niveau du système d’exploitation propriétaire : « pas de canaris [pour protéger l’adresse de retour en cas de débordement de tampon sur la pile, NDLR] ; pas de randomisation de l’allocation de la mémoire (ASLR) ; tout s’exécute dans le ring0 [avec le plus haut de privilèges, NDLR] ; la call gate  du noyau [qui permet à une fonction à moindres privilèges d’appeler du code à privilèges plus élevés, NDLR] est à adresse fixe ».

Autant d’éléments qui, pour Raphaël Rigo, simplifient l’exploitation, sans compter le recours « à du code uniquement C++, plus propice à des bugs de corruption de mémoire que des langages plus sûrs ou des scripts ».

Si le chercheur indique n’avoir pas trouvé de vulnérabilités – tout en soulignant ne pas en avoir cherché – il invite à examiner de près des redémarrages spontanés auquel Blue Coat fait régulièrement référence dans ces notes d’information de correctifs.

Et de recommander au passage « d’utiliser un VLAN dédié pour l’administration et de surveiller les logs », mais également de protéger physiquement l’accès aux appliances : les mises à jour sont signées ; un accès physique serait donc nécessaire pour changer l’image système.