Spécial Sécurité : le crash juridique et technique du RFID

Tout au long du mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Dans cette deuxième livraison, la rédaction de CNIS taille en pièces la sécurité des étiquettes RFID. Avant de glisser sur un sujet connexe : le procès de 11 pirates pour un vol massif de numéros de cartes de crédit aux Etats-Unis. Et de revenir sur l'affaire des journalistes français expulsés de la conférence Black Hat pour... "hacking".

RFID, le crash juridique

L’université catholique de Radboud vient de remporter un double succès juridique. Souvenons-nous: en mars 2008, le Professeur Jacobs et son équipe parviennent à contourner le chiffrement faible qui protège l’une des cartes à RFID fabriquée par la société NXP. Une carte utilisée par un très grand nombre de régies de transports urbains dans le monde. Plutôt que de corriger leurs erreurs, les responsables de NXP engagent alors des poursuites contre les universitaires pour «communication irresponsable», et gèlent la publication de ces recherches, initialement prévue pour octobre prochain.

Dans un jugement en première instance du 18 juillet - récemment publié -, le Tribunal d’Arnhem lave l’Université et ses membres de tous soupçons et déboute NXP, estimant que la responsabilité n’était pas du fait des scientifiques qui ont découvert la faille, mais de l’entreprise qui, avec légèreté, a mis sur le marché un produit très loin d’être parfait.

En toute logique, le résultat des recherches sera donc publié en octobre prochain, conformément au calendrier établi.

Une valse d’étiquettes (intelligentes)

Lorsque le tribunal d’Arnhem s’est prononcé en faveur de Radboud, il a ipso facto donné son avis sur trois points importants. Tout d’abord, la sécurité par le secret (ou sécurité par l’obscurantisme) ne peut être retenue comme un argument commercial ou technique. En second lieu, et par conséquence, toute divulgation publique – d’autant plus responsable que l’équipementier a été prévenu largement avant publication des recherches - ne peut que procéder d’une démarche sécuritaire responsable. Et ce, à la fois en incitant le fabricant ou éditeur à améliorer la qualité de ses produits, mais également en prévenant d’éventuels utilisateurs des défauts du produit en question.

Enfin, ce jugement est une preuve supplémentaire de l’éclatant constat d’échec des RFID dans le domaine de la sécurité. Cette technologie, qui n’est jamais qu’une forme automatisée de la bonne vieille étiquette en papier, est de plus en plus souvent mal comprise, mal utilisée, mal vendue. Elle est présentée par certains de ses fabricants comme une sorte de panacée capable de réduire le nombre d’interventions humaines – donc les coûts - et de tracer des produits. Ce qui est vrai. Mais derrière ces arguments se cachent deux mésusages fréquents. A commencer par une traçabilité des objets «étiquetés RFID» qui se transforme par une «traçabilité des personnes consommant ou utilisant ces objets». De la gestion des stocks ou des franchissements de portillon au flicage et au contrôle des allers et venues des citoyens, il n’y a qu’un pas, difficilement supportable. De ce mésusage découle une kyrielle de mauvaises utilisations, qui sont d’autant plus dangereuses que les informations stockées dans ces RFID et collectées aux points de contrôle sont faiblement protégées, susceptibles d’attaques MIM (par l’homme du milieu) ou par déni de service: confusion entre l’objet – ou la personne - et la trace électronique de cet objet ou de cette personne, absolue confiance en cette technologie alors que certains de ces aspects techniques ne sont pas encore maîtrisés par ceux qui les mettent en place…

Dans l’état actuel des choses, les RFID ne sont ni plus ni moins dangereux que n’importe quelle autre application informatique.

RFID: le crash technique

Cette fois, c’est à la demande de nos confrères du Times Online que le professeur Jeroen van Beek, de l’Université d’Amsterdam, s’est «amusé» à fabriquer des faux passeports britanniques, de la variété réputée inviolable par l’ASGM (Administration de Sa Gracieuse Majesté). Amusé à fabriquer est bien le terme exact. Car ce spécialiste de la recherche en sécurité autour des RFID a modifié, à l’aide de près d’une centaine d’euros d’équipement, les passeports d’un enfant en bas âge et d’une femme d’une trentaine d’années, en y injectant les données biométriques de MM Ben Laden (Oussama) et Hiba Darghmeh (un attaquant-suicide Palestinien). Le Home Office dément tout en bloc.

Le principal danger lié aux RFID intégrés dans les documents de voyage ne se situe pas seulement au niveau des possibilités de falsification. Ce n’est là d’ailleurs qu’un moindre mal, l’art de fabriquer des faux-papiers se pratique depuis des siècles. Ajoutons que bon nombre des réseaux terroristes en question bénéficient souvent soit de complicités actives au sein de certains gouvernements ou administrations gouvernementales, soit agissent sous les ordres directs d’Etats généralement totalitaristes.

Les dangers du technotimisme

Ce qui, en revanche, est difficilement maîtrisable, c’est le degré d’auto persuasion des autorités du monde occidental devant la «magie technologique» de ces fameuses étiquettes intelligentes. Des autorités qui, de Washington à Paris, en passant par Londres ou Berlin, prétendent voir là une solution contre les déplacements des terroristes internationaux. Des terroristes qui peuvent posséder les mêmes moyens techniques que le Professeur Jeroen ou qu’Adam Laurie, le Webmestre-animateur de RFIdiot.

Plus grave encore, il est totalement impossible de maîtriser la manière, les conditions et la durée de stockage desdites données d’identité enregistrées par les administrations douanières internationales. Ce flicage effectué par des pays étrangers est également une forme pernicieuse d’atteinte aux libertés individuelles, et dont les conséquences sont à la merci d’un revirement politique soudain.

Enfin, ce que l’on peut légitimement redouter d’une administration, on peut également le craindre de la part d’organisations mafieuses ou de petits délinquants. Pirater ou intercepter les données d’un passeport à RFID ne relève pas d’un exploit particulier. A l’heure où l’identité d’un voyageur se monnaye au même titre qu’une cigarette de contrebande (voir actualité du 06/08 sur le hack du système Clear), il serait peut-être temps que les responsables politiques prennent une véritable décision politique.

40 millions de cartes de crédit volées (épisode 5, saison 3)

L’affaire TJX connaît une nouvelle phase, avec l’arrestation d’un réseau international de 11 pirates et un bilan estimé à près de 40 millions de cartes de crédit volées. TJX est une des plus importantes chaînes de magasins d’habillement aux USA qui, des années durant, a traité à la légère la sécurité de ses réseaux sans fil au point de devenir pourvoyeur attitré de millions d’identités bancaires auprès de réseaux de pirates biélorusses, chinois, américains, ukrainiens et estoniens.

Certains de ces pirates auraient, estiment les enquêteurs, pu extorquer près de 1,7 millions de dollars à leurs victimes. Les principaux grands quotidiens américains présentent la chose plus ou moins comme une «nouvelle affaire», tel CNN ou Times Online. Associated Press parvient même, par un retournement dialectique étonnant, à transformer en victime cette entreprise laxiste ayant permis cette fuite colossale: «It's also been costly. The hardest-hit retailer, TJX, […] took $197 million in charges to cover losses from its breach, which began in July 2005». On pourrait presque les plaindre. Pas un mot sur les véritables victimes, les clients, pas une phrase sur l’organisation nécessairement complexe et les “mules” ayant servi à siphonner le contenu des comptes dérobés. Rappelons que TJX utilisait, durant les trois ans qu’on duré ce «hack du siècle» (de 2005 à 2007), un réseau WiFi non seulement protégé par une simple clef Wep, mais de surcroît dépourvu de toute procédure de découverte de «rogue station» (ordinateur ou routeur parasite).

Patch Tuesday d’août: pas romantique du tout

7 bulletins avec une qualification «critique», 5 autres considérés comme «importants», la préannonce du futur «mardi des rustines » est, pour un mois de vacances, assez conséquente. Pas plus que les fois précédentes, cet avant-goût des bouchons à déployer ne précise le nombre de rustines cumulatives ou le nombre exact de véritables failles de sécurité ainsi colmatées… Statistiques, quand tu nous tiens…

Black Hat: la presse française accusée de piratage

Trois Français, inscrits comme journalistes à la Black Hat Conference de Las Vegas, viennent de se faire définitivement interdire l’accès à la manifestation pour motif de piratage. C’est Humphrey Cheung, de TG Daily, qui, le premier, a révélé qu’un représentant de Global Security Magazine était consciencieusement en train de sniffer les activités réseau de la salle de presse, et notamment les crédences d’accès de journalistes travaillant pour le compte d’EWeek et News.com. Les détails fournis par Cheung, la relation des faits par C.Net et le rapport qu’en fait l’une des victimes, Brian Prince d’EWeek sont édifiants, consternants et difficilement compréhensibles.

Marc Brami, Directeur de la publication en question, cité dans les articles mentionnés, est réputé dans la profession pour son rigorisme moral quasi religieux, et ne peut être associé à un tel «pas de clerc». Les personnes l’accompagnant au cours de ce reportage ne sont, à la connaissance de notre rédaction, pas détentrice d’une carte de journaliste professionnel.

Il est de tradition, lors des manifestations et conférences internationales, que le réseau informatique des salles de presse soit totalement dissocié des services offerts aux participants et visiteurs. Pas de filtrage, pas de flicage, pas non plus de procédures particulièrement complexes de sécurisation, compte tenu de l’exotisme de certaines configurations personnelles utilisées par les reporters de la presse spécialisée. A chacun d’utiliser ou non qui un VPN, qui un PGP lors des échanges de courriel ou d’articles, voire de ne protéger aucun échange, partant du principe que les choses écrites finissent toujours par être rendues publiques…

Il est également de tradition que les participants de ces manifestations «sécurité» s’amusent à intercepter les communications des journalistes ou à éprouver la solidité de leurs configurations de travail… mais jamais à des fins destructrices. Cela fait partie du jeu, et l’on ne va pas participer aux SSTIC de Rennes, à une Defcon à Vegas ou à un CCC Camp sans s’attendre à quelques facéties. Un journaliste n’est cependant pas un participant comme les autres, et ne peut se permettre d’inverser les rôles. S’il souhaite se lancer dans une démonstration de hacking, il doit abandonner ostensiblement son étiquette d’homme de plume et arborer les insignes de «Keynote speaker» ou d’intervenant officiel.

Le marathon de la Black Hat

A travers la presse déchaînée, quelques échos de la B.H. 2008: Alexander Sotirov et Mark Dowd ( respectivement VMWare et ISS) affirment avoir mis au point une nouvelle méthode d’attaque via des contrôles Java, ActiveX et des objets .Net – donc des assauts via un navigateur Web -, attaques qui contourneraient, sous Vista, toutes les mesures de précaution garanties par ASLR et DEP. Dowd se penche sur cette technique depuis un certain temps déjà.

PDP, de Gnu Citizen, parle depuis un certain temps de l’art de camoufler des fichiers exécutables «zipés» en queue de peloton des fichiers Gif/Jpeg. Une compression peut en cacher une autre… ce qui peut se traduire par un très bel outil d’attaque XSS. L’astuce ne date pas d’hier, mais l’éclairage qu’en donne PDP montre à quel point l’opération est simple… donc dangereuse.

Ah… cela a failli nous échapperKaminsky a fait sa conférence et en publie les transparents. Si Dan Kaminsky avait dû recevoir un dollar par ligne écrite à propos de sa «faille DNS», il serait probablement résident permanent de Las Vegas… certainement pas pour y donner des conférences.

D’ailleurs, il semblerait que la distribution aléatoire des numéros de ports et autres précautions mises en œuvre par les éditeurs d’annuaires ne constituent pas une protection absolue. Cette nouvelle publication de Evgeniy Polyakov, alias Zbr, accompagnée du source de son exploit montre qu’avec un tantinet de bande passante, on peut avec succès empoisonner même les DNS «patchés». Certes, de l’avis même du chercheur, il faut tout de même deux serveurs d’attaque, un lien gigabit, et près de 10 heures d’attente en moyenne. «Une nuit pour empoisonner un serveur, c’est réalisable», estime en substance l’auteur de cet article.

Richard Bejtlich assiste également à la Black Hat. Il y a apprécié notamment l’intervention de Felix Lindner, «Developments in Cisco IOS Forensics». Nos confrères de Security News se sont eux aussi intéressés à Cisco, mais dans le cadre des causeries de Ariel Futoransky, Sebastian Muniz et Gerardo Richarte. A eux trois, ces chercheurs ont développé puis amélioré un Rootkit sous IOS dont les grandes lignes avaient déjà été tracées à l’occasion d’EUSecWest. Ce rootkit, en guise de charge utile, intègre un analyseur… indispensable pour récupérer au passage des traces de trafic, des mots de passe et autres éléments de crédence.

Mais la conférence la plus attendue était, il faut l’admettre, celle de Joanna Rutkowska sur les moyens de compromettre Xen. Bejtlich précise que la présentation de la chercheuse polonaise a dû être amputée de quelques transparents, à la demande d’Intel, qui est sur le point de corriger certains bugs. Paul Roberts parle également des travaux de Rutkowska… mais bien mieux, avec une mise en perspective bien plus intéressante. Il y a, dit-il, plusieurs façons de considérer la sécurité des outils de virtualisation. Comme «capsule» vecteur d’attaque, à la mode «blue pill» de Joanna, mais également comme élément de la chaîne de défense et de protection… c’est le rôle des nouveaux Datacenters, de la migration des équipements de commutation virtualisés, des procédures de sauvegarde/snapshots de machines entières, simulation matérielle et ensemble des processus de traitement y compris… une vision, estime Roberts, qui ne pourra pleinement se réaliser que lorsque les outils de gestion et d’administration adéquats seront réellement disponibles.

Et, parmi les outils d’administration les plus indispensables, il serait souhaitable, continue Roberts, reprenant une idée de Chris Hoff, que l’on puisse efficacement authentifier une VM avant qu’elle ne se connecte au réseau d’entreprise. Un NAC virtuel, en d’autres termes. Virtualiser, ce n’est pas seulement reproduire des modèles existants, explique le dénommé Hoff. Il ne reste plus qu’à attendre la publication de sa conférence dont le titre seul fait rêver: Les quatre cavaliers de l’apocalypse de la sécurité virtuelle.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close