Spécial sécurité : iPhone, PIN code P0wn3d code et botnet

Sommaire
1 - iPhone, PIN code P0wn3d code et botnet
2 - La « prime au trou » de Google appliquée à Gmail, YouTube et Blogger
3 - Metasploit devient « pro »
4 - Skimming en hausse de 24 % en Europe : card à vous !

1 - iPhone, PIN code P0wn3d code et botnet
La sécurité des appareils mobiles laisse souvent à désirer. Le dernier « buzz » sur le sujet concerne une série de contournements du code PIN de l’iPhone. Certaines de ces méthodes ne concernent que l’iPhone 4, d’autres également le 3 Gs et peut-être certaines éditions moins récentes, d’autres enfin sur les deux modèles mentionnés.

Toujours à propos d’iPhone, toujours à propos de sécurité mal digérée : depuis quelques jours, le lecteur audio-vidéo multiformat VLC est disponible sur Iphone via iTunes. Mais voilà que Rémi Denis-Courmont, chef de projet de ce programme Open Source, envisage sérieusement de retirer son logiciel du catalogue en ligne, compte-tenu des libertés (ou plus exactement des limitations de liberté) que prend Apple en matière de droits d’utilisation dudit logiciel (et plus exactement en liant VLC à un mécanisme de DRM, contraire à l’esprit de la licence GNU). Rappelons que les DRM sont des mécanismes prétendument de « sécurité » qui ne participent en rien à la protection de l’appareil sur lequel ils sont installés. C’est une révélation Gizmodo et iLounge.

Encore à propos de l’iPhone et de sécurité ce très intéressant billet signé Jimmy Shah de l’Avert, qui fait référence à une communication de Collin Mulliner et Jean Pierre Seifert sur la faisabilité d’un botnet à base d’iPhones. La présentation des deux chercheurs explique dans les grandes lignes la supériorité d’une part, des injections de SMS « binaires » et non plus textuels (ce qui offre l’avantage de « compacter » les commandes) et d’autre part, des modes de fonctionnement reposant sur un protocole P2P pour qui une NAT (table de translation d’adresses IP) est totalement transparente. Car, que ce soit via son port WiFi, soit par le truchement de son accès au réseau GSM, un terminal mobile est pratiquement systématiquement masqué par une NAT, passerelle que n’apprécient pas les botnets traditionnels. Ce botnet de laboratoire, qui était présenté lors de la dernière manifestation Française Malware 2010, n’intégrait pas de mécanisme de réplication de la charge infectieuse… mais ce n’est là qu’un détail. Ces travaux ont prouvé qu’il était possible de faire converser une série de terminaux compromis avec leur C&C (centre de commande), et que pour ce genre d’attaque, l’iPhone avait toutes les capacités nécessaires au bon fonctionnement d’un tel réseau de malwares. L’iPhone et l’absence de filtrage et de mesures de protection contre les envois de binaires sur les réseaux d’opérateurs. Si l’on ne peut pas trop en vouloir à Apple à propos de l’inconsistance technique de ses appareils –trop « jeunes » techniquement pour prétendre à une certaine robustesse- ce n’est en revanche pas le cas des réseaux d’opérateurs qui, eux, existent depuis plus d’un siècle. Et sur lesquels la possibilité d’une série d’attaques binaires est connue depuis fort longtemps… au moins depuis les premiers tests de solidité des réseaux de messagerie X400. Une amnésie, disent certaines mauvaises langues, provoquée par une épidémie de « mise à la retraite anticipée » propre à quelques opérateurs historiques.

2 - La « prime au trou » de Google appliquée à Gmail, YouTube et Blogger
Dans un billet publié sur le blog sécurité de Google, l’équipe annonce que la politique de primes destinée à récompenser les chercheurs ayant trouvé des failles sur Chrome, sera étendue à Gmail, YouTube, Blogger et Orkut. Une recherche de failles qui se propage donc à toutes les applications « en ligne » en question. Les logiciels et noyaux locaux, tels que Android, Picasa, Google Desktop etc sont exclus de ce programme… du moins pour l’instant, précise l’auteur du billet. Un auteur qui rappelle les types d’attaques ou de vulnérabilités visés, et qui précise au passage que cet encouragement ne saurait justifier une attaque en déni de service ou toute autre tentative d’exploitation directe desdits services en ligne. En bref, ceci n’est pas une invitation à pirater YouTube ou autre en toute impunité. Sont naturellement exclus de ce programme les mineurs. Tout de même… si les marmots de Maternelle Supérieure passent leurs récrés à rédiger du bug-report, ça risque de tourner rapidement à la catastrophe et à la banqueroute. Le précédent Mozilla est là pour nous le rappeler. Sont également bannis les développeurs des pays considérés comme dangereux : Cuba, Corée du Nord, Iran, Soudan, Syrie… Et si l’auteur de Stuxnet était Nord-Coréen et avait utilisé un trou Gmail ? On ne sait si une telle réserve tient de la crainte d’avoir à recevoir une information sécurité d’un tel pays, s’il s’agit plus simplement de ne pas souhaiter envoyer les 3133,7$ au ressortissant d’un état-voyou. Ou bien encore, ce refus de voir ces pays « exporter » des failles que leurs chercheurs pourraient découvrir n’est peut-être là qu’une tentative détournée d’aide au développement interne, desdits pays souvent économiquement défavorisés. Une façon peut-être de favoriser la naissance d’une véritable industrie nationale de logiciels de pentesting ou d’inciter à l’ouverture d’écoles capables de sortir des CISSP par wagon …

3 - Metasploit devient « pro »
Tout comme Snort donna naissance à Sourcefire, Metasploit vient de franchir le pas et devient logiciel commercial. Un concurrent de plus sur le marché, déjà occupé par des programmes comme Canvas et Core Impact. La branche « open » du projet continuera à évoluer sous le nom de Metasploit Express.

Cette transition était aisément prévisible, surtout depuis que le projet originel de H.D Moore a été racheté par Rapid7. La communauté des utilisateurs de Metasploit s’inquiétait de voir disparaître ce qui est sans le moindre doute l’outil de pentesting le plus populaire et le plus utilisé dans le monde… tout comme la communauté Snort avait à un moment craint que Sourcefire fasse disparaître son presque jumeau gratuit.

La version « pro » devrait notamment supporter des attaques (ou tests) du niveau 7 (applications Web) aux couches les plus basses (niveau 2), le tout associé à des outils de reporting évolués et de travail « collaboratif » permettant à plusieurs testeurs de coordonner leurs attaques dans le cadre d’un contrat d’audit. Une fonction de décentralisation du moteur d’attaque via VPN devrait même autoriser le lancement d’exploit depuis l’intérieur du réseau « hacké ».

4 - Skimming en hausse de 24 % en Europe : card à vous !
Le dernier ATM Crime Report rédigé par l’EAST (European ATM Security Team) fait état d’une croissance plus qu’importante avec un +24% du volume de « skimming » de cartes de crédit (fabrication de fausses « devantures » de DAB destinées à voler les identifiants contenus sur la carte, son code pin, et parfois même la carte elle-même). De janvier à juin de cette année, 5743 attaques de ce type ont été recensées dans toute l’Europe, contre 4629 durant la même période 2009. Paradoxalement, les pertes provoquées par ces attaques ont été moins élevées (156 à 144 M€). En 2007, ces pertes ont culminé à 315 M€.