Spécial sécurité : anti-virus - iAwacs, Matousec, les "signés" sont furax

Sommaire
1 - Anti-Virus : iAwacs, Matousec, les « signés » sont furax
2 - Pirater une voiture ? Simple comme OBD

1 - Anti-Virus : iAwacs, Matousec, les « signés » sont furax

Le récent challenge iAwacs ou le dernier exploit Matousec ont ceci de commun : avec deux doigts d’ingéniosité, une « charge » peut franchir sans problème (ou presque) la barrière des antivirus sans réveiller le plus petit octet de ces enceintes numériques. Ceci pour peu que le moyen de poser cette charge ne soit pas « connu des services compétents », en d’autres termes, qu’il ne possède de « signature » répertoriée.

Et c’est précisément sur cet argument que contre-attaquent les éditeurs d’A.V.. Adrian Kingsley-Hughes, dans une colonne rédigée pour le compte de ZD Net, se fait l’écho de leurs propos… lesquels, sans surprise, reposent sur des arguments très discutables. Ainsi, le fait de signaler qu’un « virus en chambre » peut tromper « tous les antivirus » est une façon de voir les choses excessivement alarmiste … dans la bouche d’un vendeur de produits de sécurité qui abreuve régulièrement le public de statistiques dramatiquement montées en épingle et de « bilan de sinistralité mensuel », voilà qui est savoureux. S’il était diffusé « in the wild », l’on en posséderait immédiatement une signature et serions à même de le combattre insiste Graham Clueley. Est-ce en fonction d’un tel principe que l’on se défausse du problème des attaques ciblées ? Si l’on pousse la logique à son comble, il serait donc nécessaire que les éditeurs d’A.V. précisent sur leur publicité « capable de vous protéger contre tous les virus connus, pour les autres, Dieu s’en charge ».

Seules les machines Windows XP sont affectées par le virus Matousec… à l’heure de Windows 7, la belle affaire, semble dire en substance Paul Ducklin, le « Sophos's Head of Technology ». Est-ce avec ces mêmes arguments invoquant la vétusté et l’obsolescence technologique que ces mêmes éditeurs sont immédiatement parvenus à commercialiser des solutions de protection compatibles Vista 64 dès le lancement de ce noyau ? Pas franchement. Au gré de l’actualité, le « trop vieux » l’oppose au « trop moderne », et le lamentoso des éditeurs trouve toujours une source de malheur dans la conception du système d’exploitation.

Chez F-Secure, l’on insiste sur le fait que la menace Matousec n’était pas « connue » des antivirus. « if we would see such an attack, we would simply add signature detection for it, stopping it in its tracks ». Oui, mais zunpeutard.

Pourquoi de telles réactions défensives ? Probablement parce que les éditeurs d’A.V., dont le business-model est en train d’être sérieusement bousculé par l’apparition d’outils « gratuits » de renom, craignent précisément un mouvement de rejet généralisé, une « simplification réductrice » qui pourrait détourner les utilisateurs de leurs logiciels. Rassurons-les : en premier lieu, les virus « en chambre » ne sont qu’une poignée à être connus des médias… les autres ne sont employés que par les blackhats spécialistes des attaques en « spear intrusion » ou par les fonctionnaires des mille et une officines étatiques de barbouzes. Pas de quoi s’inquiéter, donc, car ces personnes-là se confient rarement à la presse, et les victimes ne se rendent compte de rien. Le business-model est donc préservé. Ensuite, à l’exception de quelques spécialistes du sujet, ce genre de révélation n’a que très peu d’influence à moyen terme. Dans moins de deux ou trois semaines, le monde entier aura oublié Matousec et les antivirus poreux. Dans le cas contraire, les éditeurs pourront même modifier leurs accroches et retourner la situation à leur profit : « protège de tous les virus connus, y compris ceux de Matousec que même les « mécréants » n’utilisent pas ! ». Rien de nouveau sous le soleil, donc. Les techniques utilisées par les concepteurs d’A.V. sont et seront encore régies par un système de « blacklist ». Les exploits d’un Matousec ou d’un concours iAwacs ne semblent pas pouvoir infléchir la position de ces marchands de sécurité ou les inciter à réfléchir à de nouveaux modes de fonctionnement.

Par le plus grand des hasards, une association « indépendante », l’Amtso (Antimalware Testing Standard Organisation) publie cette semaine un communiqué condamnant les auteurs qui créent et publient des « échantillons de virus destinés aux tests ». Un morceau de bravoure qui, si l’on sait lire entre les lignes, laisse clairement entendre que seuls ceux qui « savent » peuvent probablement se livrer à ce petit jeu. Les « bench », c’est une histoire de pros. Le directoire, ainsi que la liste des membres laissent planer quelques doutes quand à l’objectivité de l’étude. Mais reste que tous les arguments avancés dans cet article ne sont pas à ignorer.

2 - Pirater une voiture ? Simple comme OBD

Si les électroniciens ne trouvent strictement rien d’étonnant à cette communication, les gens de la sécurité, en revanche, s’émeuvent. Une dizaine de chercheurs de Seattle et de La Jolla (USA) nous apprend qu’il est presque facile d’interdire ou autoriser à distance le freinage d’une automobile moderne, d’immobiliser le véhicule voir d’enfermer ses passagers, et même simuler, en piratant l’affichage du tableau de bord, un programme d’autodestruction du voiturin.

Tout ceci grâce à une règle de sécurité industrielle qui a la vie dure : la sécurité par l’obscurantisme. Depuis quelques années déjà, les ordinateurs de bord permettent un contrôle de pratiquement tous les paramètres d’une voiture : injection, freinage, démarrage et antivol, température, console autoradio etc. Des accès dépendant de protocoles dont notamment le fameux CAN (Controler Area Network), réseau partiellement documenté, ce qui ne veut pas dire qu’il soit chiffré ou protégé d’une quelconque manière. Un outil adapté (CarShark, le WireShark des réseaux embarqués) et un peu de patience viennent généralement à bout des « boîtes noires » les plus rebelles.

Car il faut savoir que l’accès à ces ordinateurs de bord via ces bus est toujours physiquement possible grâce à un connecteur de diagnostic, dit « prise Obd2 ». Les données disponibles sur cette sorte de « Jtag de la bagnole » sont décrites et normalisées seulement pour les plus importantes. Tout comme l’intégration du langage Java ou du format HTML, chacun voit midi à sa porte et reste libre d’ajouter des « compléments propriétaires » dont la documentation n’est pas obligatoire. Une prise de Mercedes ne donne pas strictement les mêmes informations que celle d’une Peugeot ou d’une General Motors… il faut bien vendre les valises de diagnostic et protéger un peu son réseau de concessionnaires.

Et c’est grâce à la prise Obd et à CarShark que nos dix chercheurs ont décortiqué ces protocoles, documentés ou non. Puis, en « patchant » un véhicule avec une électronique servant à pirater le port Obd et accessible via WiFi ou lien GSM, les universitaires sont parvenus à littéralement détourner une automobile en déplacement, truander son compteur de vitesse, interdire tout freinage et emprisonner les testeurs en bloquant les portes. Le tout avec moins de 150 lignes de code et un testeur avec un cœur « gros comme çà »… car il fallait bien un conducteur dans la voiture « hackée ».

Peut-on paisiblement P0wner la Papamobile ? Rien de plus simple, explique l’étude. L’employé d’un garage peut aisément accéder aux bus CAN… ou toute personne sachant ouvrir un capot moteur. Autrement dit un spécialiste du vol de voiture. Les proches également, ou une personne pouvant avoir accès à un véhicule d’entreprise « partagé » par plusieurs personnes.

Mais contrairement aux attaques informatiques, qui peuvent immédiatement déboucher sur des vols d’information relativement intéressants (numéros de cartes de crédit, login réseau, données personnelles…), le hack des automobiles frise le cas d’école. A l’exception d’un attentat prémédité visant une personne précise lorsque celle-ci est au volant, le piratage du CAN d’un véhicule nécessite encore la présence d’un hack matériel qui peut toujours être découvert puis débranché. Il ne reste donc que peu de « débouchés applicatifs » pour ce « proof of concept » : élément de scénario pour les scénaristes de Speed 3, avec ou sans Sandra Bullock, ou arguments pour avocats d’une compagnie d’assurance en mal de versement de prime.