Spécial sécurité : MBTA , dénis et RFID, une histoire d’amour qui dure

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, nous racontent les histoires de la falsification des cartes de transport du métro de Boston, du hack de cartes à puces, de la création d’une fausse page VirusTotal, d’une prochaine « prime au trou » délivrée par Facebook, des coûts de la faille TMG et enfin de l’attitude du ministre de l’Intérieur allemand face à la cyber-criminalité.

Sommaire
1 - MBTA , dénis et RFID : une histoire d’amour qui dure
2 - Soyez hard avec les cartes à puce
3 - Un virus dans le plus gros des antivirus… ou presque
4 - Bientôt une prime au trou Facebook ?
5 - Les premiers coûts de la faille TMG ?
6- Internet : le Achtung, Minen de Hans-Peter Friedrich

1 - MBTA , dénis et RFID : une histoire d’amour qui dure
Le site Boston.com révèle l’histoire de cet homme qui, depuis plus de 4 ans, fabriquait de fausses cartes de transport valides sur le réseau MBTA de Boston. L’homme aurait (conditionnel du District Attorney) ainsi fabriqué plus de 20 000 cartes, donc 400 « seulement » auraient été mises hors circuit par la régie. A 175 $ l’abonnement, le faussaire avait de quoi s’offrir quelques voitures de luxe et éviter de prendre le métro de Boston. Les fausses cartes étaient distribuées par divers canaux de vente par correspondance, notamment via Craigslist, le site d’annonce dont tout le monde envie l’élaboration graphique de ses pages.

Le pot aux roses est découvert le jour où un contrôleur remarque les couleurs ternies d’un « pass » qui avait séjourné involontairement dans une machine à laver. Le sous-traitant chargé de la production de ces cartes et de la mise en place du service se trouve dans une position délicate, son « client » lui demandant un dédommagement à la hauteur du nombre de cartes falsifiées. Le sous-traitant comme le transporteur clame à qui veut bien l’entendre que le système était hautement sécurisé… propos douteux, surtout pour ceux qui se souviennent du passé « sécu » de la MBTA.

Car la MBTA, c’est celle-là même qui, afin de garder au secret les catastrophique pratiques de mauvaise sécurité entourant l’intégration de son système de carte d’abonnement, avaient assigné en justice un groupe d’étudiants ayant publié différentes méthodes de hack visant ladite carte. Fort heureusement, la plainte a été retirée, car probablement les avocats de la MBTA ont craint la réaction de l’EFF qui avait volé au secours des chercheurs. L’affaire remonte à 2008… cela faisait déjà plus d’un an que le faussaire fabriquait du faux RFID à la petite semaine, au nez et à la barbe de la police du métro de Boston, laquelle poursuivait des chercheurs plutôt que de véritables escrocs : les premiers sont plus faciles à localiser, puisqu’ils publient et s’adonnent aux plaisirs de la conférence.

Le plus étonnant dans cette histoire, c’est que l’escroquerie ait pu durer plus longtemps. Car 20 000 complices qui ne « parlent » pas, qui jamais ne commettent de bévue ou d’indiscrétion, et qui possèdent des cartes ne nécessitant aucun rechargement de crédit, cela relève de l’exploit. De l’exploit ou de la surdité de la part de la MBTA, qui, à aucun moment, n’est parvenu à recouper ses statistiques d’usagers et ses volumes de cartes vendues. Pourtant, une différence de 20 000 clients sur 4 ans, ça aurait dû passer difficilement inaperçu. D’autant plus que les marchands de RFID orientés transport, mettent précisément en avant le « tracking » des trajets et le flicage des usagers, dans le but de réduire les fraudes aux faux tickets et d’optimiser la régulation des lignes et la fréquence de passage des rames selon les directions et horaires.

L’autre aspect étonnant de cette histoire, c’est que seul Boston semble faire les frais de ces mauvaises pratiques. Il est très probable que d’autres grandes villes utilisant un système de contrôle d’accès (par carte RFID en général et MyFare en particulier) soient également victimes d’escroqueries à aussi grande échelle.

2 - Soyez hard avec les cartes à puce
Il y a la théorie et la pratique, la science du hacker-conférencier-spécialiste qui s’adresse à un petit cénacle de savants, et il y a le lumpenproletariat de l’exploit, le tâcheron de la cyber-escroquerie qui ne s’intéresse qu’aux « low hanging fruits ». Deux optiques qui souvent s’opposent, mais qui parfois se rejoignent avec une précision chirurgicale. C’est le cas cette semaine des appareils de lecture de carte bancaire dotées de puces.

Côté théorique, cette analyse signée Inverse Path/Aperture labs, notamment cosignée par Adam Laurie, le pourfendeur pythonisé des RFID et des centres de calcul hébergés dans des bunkers antiatomiques. De nombreuses carences frappent les cartes de crédit Visa/Mastercard/Europay. A commencer par un déploiement encore loin d’être universel, par des procédures de repli utilisant encore trop souvent la piste magnétique de la carte, depuis longtemps réputée peu fiable…

Viennent ensuite les hack matériels, continue l’étude en question. Comme d’habitude dès qu’il s’agit d’une application « technologique », les promoteurs de la norme ou du procédé clament à qui veut bien l’entendre que le « reverse » de leur technique est d’une complexité digne de l’aéronautique. Hélas, les escrocs ne tentent jamais de briser les mécanismes de protection. Ils les contournent ou les compromettent par une attaque du milieu. C’est le rôle du skimmer, de la façade accolée sur un distributeur de billet, qui photographie le code pin au moment où il est entré, et qui enregistre au passage les données de la piste magnétique. Tout ça relève plus du bricolage que de la « rocket science ».

Puis les pirates du DAB évoluent, s’adaptent. On trouve désormais des skimmers qui intègrent un clavier à membrane, lequel évide désormais toute erreur de lecture du code pin. Brian Krebs a longtemps écrit sur ce sujet et probablement dressé la liste la plus complète des traficotages possibles sur un distributeur de billets Le dernier cri en matière de skimming, c’est le truandage des TPV, ou Terminaux Point de Vente (POS en anglais).

Il y a la technique de la rue, celle réellement utilisée par les truands, et (encore) décrite par Krebs. Le hack consiste, tout comme pour les skimmers de DAB, à ajouter un clavier-membrane intermédiaire et un peu d’électronique pour récupérer les données du lecteur de carte d’origine, stocker les informations et les transmettre via un lien Bluetooth au propriétaire du TPV trojanisé. Un tel appareil est vendu, nous apprend Krebs, entre 2000 et 3000 dollars selon la quantité.

L’équipe Inverse Path/Aperture labs, quant à elle, procède d’une manière toute aussi subtile, grâce à une carte interstitielle qui se glisse entre les contacts du lecteur CP8 et la carte elle-même. Un circuit imprimé de 2 ou 3 dixièmes d’épaisseur, voir un CI souple, peut faire l’affaire. Le tout est alimenté par les piles du TPV lui-même. Une nouvelle façon de concevoir l’attaque « man in the middle » et une astuce électronique vieille comme le monde. Dans tous les cas de figure, ce n’est pas le système de chiffrement ou le niveau de protection du firmware des TPV qui est compromis, c’est l’accès physique au canal d’échange de données entre le TPV et la carte d’une part, et entre le client et le TPV d’autre part.

On pourrait également associer ces deux informations avec un dernier fait-divers, celui relatant l’arrestation d’un certain Rodney Reed Caverly qui, un mois durant, à répandu un « virus sur-payeur » dans plusieurs distributeurs de billets automatiques. Cet informaticien employé par la Bank of America a ainsi pu soutirer un peu moins de 300 000 dollars. Il est condamné, outre une peine de 27 mois de détention, à rembourser les sommes détournées, augmentées de 134 000 dollars, coût estimé par Bank of America pour désinfecter ses systèmes. 134 000 dollars pour nettoyer une petite dizaine d’automates, les salaires de BoA mériteraient peut-être eux aussi un audit de sécurité.

3 - Un virus dans le plus gros des antivirus… ou presque
On a beaucoup twitté et blogué sur ce détournement peu commun : la création d’une fausse page VirusTotal contenant elle-même un vecteur d’infection Java destiné à installer une porte dérobée. L’information a été rendue publique sur la Malware Domain List. VirusTotal est un frontal hébergeant 41 antivirus du commerce, utilisé aussi bien par les spécialistes sécurité que par les professionnels de la grande truanderie informatique. Le score de détection (n/41) donne le degré de visibilité et d’interception qui caractérise un malware. A qui donc peut profiter un malware visant les machines des testeurs de malwares ? Et par qui une telle attaque a-t-elle été lancée ? Autant de questions qui pourraient presque donner le ton d’un cyber-polar contemporain.

4 - Bientôt une prime au trou Facebook ?
Facebook,nous apprend Softpedia, serait en train d’envisager très sérieusement d’offrir une « prime au trou » pour toute faille découverte et communiquée à l’éditeur. Les récentes publications de failles, soit effectivement exploitées à des fins néfastes, soit rendues publiques par des chercheurs indépendants par simple souci d’information, avaient largement défrayé la chronique ces 12 derniers mois et légèrement écorné l’image de marque de l’entreprise. Cette course à la prime défendue par différents éditeurs (du ZDI à Google en passant par Mozilla) non seulement limite les risques de divulgation sauvage puisque la prime n’est versée que dans le cadre d’un échange confidentiel, mais en outre transforme la sécurité en un centre de profit puisque la publicité faite autour des correctifs est une forme de promotion par la qualité que savent désormais largement exploiter les susnommés.

En France, la première réaction consisterait peut-être plus à tenter d’aggraver la situation en poursuivant l’inventeur de la faille, comme nous l’a démontré la récente affaire TMG et plus anciennement les affaires Kitetoa vs Tati ou Tegam vs Guillermito …

5 - Les premiers coûts de la faille TMG ?
La haute autorité, nous apprennent nos confrères de Libération, se lance dans une grande opération de séduction auprès des médias. Une campagne marketing qui vient alourdir le budget de la lutte « antipiratage » dont, pour l’instant, personne ne possède le montant exact ni la rentabilité.

Une récente étude également commentée par nos confrères de Libération, montrait que, malgré les mécanismes de délation automatisés et le système répressif, une majorité d’usagers n’envisageaient pas de changer d’habitude, que dans 84% des cas les téléchargeurs étaient acheteurs de contenus légaux, donc promoteurs économiques. Des chiffres que ne parviennent pas à masquer des questions formulées de manière parfois discutable ou pouvant prêter à interprétation de ladite étude.

6 - Internet : le Achtung, Minen de Hans-Peter Friedrich
Le Ministre de l’Intérieur Allemand Hans-Peter Friedrich (CSU) voit des poseurs de bombes logiques partout. Pour lui, comme nous l’apprend le site Web Golem qui commente une interview publiée dans l’édition dominicale du Frankfurter Algemeine Zeitung, il faut s’attendre à ce qu’explose un jour une « bombe virtuelle » manipulée par des terroristes et des cyberdélinquants. L’argument des sau vageons d’internet avait déjà servi au Ministre en question à relancer la question de la rétention des données par les FAI allemands. Le terme de « bombe » n’est manifestement pas choisi par hasard, les mots « virus informatique », « attaque en déni de service » ou « réseau de bot » n’étant pas assez forts pour émouvoir qui que ce soit. Et pourtant, c’est bien de cela qu’il s’agit.

Une réflexion de Ministre qui s’inscrit, fait remarquer Golem, à l’exact opposé des craintes du Secrétaire général de l’Otan Anders Fogh Rasmussen : « die größte Gefahr im Internet nicht von Kriminellen oder Terroristen ausgehe, sondern von anderen Staaten ». En gros, les criminels et autres terroristes ne sont rien face à la menace que représentent les Etats eux-mêmes. Ce qui est d’ailleurs assez logique. Une armée en mouvement ou un acte de guerre est toujours plus destructeur qu’une révolte des pastoureaux. Mais, le titre de la fonction l’explique clairement, le rôle d’un Ministre de l’Intérieur n’est pas de protéger le pays contre un ennemi extérieur (c’est le travail de l’armée) mais plutôt de chercher l’ennemi au sein même dudit pays. Comme beaucoup de ses homologues, Friedrich joue sur le registre du cas particulier, du fait divers et des statistiques de police, décorellés de toutes autres métriques sociétales.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close