Spécial sécurité : promenade au pays des vulnérabilités

Flash Gorgone 

Une attaque, deux approches analytiques. La première, celle du Cert Lexsi (en très léger différé après l’alerte émise par Adobe), décrit ce qui semble passer pour une remise à jour du Flash Player. Jusque là, rien que de très classique. Ce qui attire l’attention, en premier lieu, c’est le soin apporté par les attaquants à rendre cette mise à niveau vraiment plausible et apparemment authentique. Derrière cette mise à jour infectieuse, l’on découvre sans surprise un très classique Storm qui, détail intéressant, exploite la vulnérabilité « prévisualisation ActiveX des fichiers Access ». L’analyse rapide de Fabien Perigaud est claire, synthétique. Las, il est bien difficile de suivre le conseil qu’il donne… « Surveiller la provenance des mises à jour » est une réaction d’informaticien. Dans 99 % des cas, les usagers font une absolue confiance au Deus Ex Machina qui affiche une série de petits « pop-up » sur l’écran de l’ordinateur. Cette même semaine, notre rédaction a été submergée d’appels à propos d’une soi-disant mise à jour d’Internet Explorer. Un email de phishing également infecté à coup de Storm. Qui donc peut encore croire à un courriel d’alerte envoyé directement par Microsoft ? Apparemment, encore trop de monde. 

Quand on parle de Storm, on se précipite immédiatement sur le blog de son principal chasseur… Dancho Danchev. Lequel, bien entendu, nous tartine une impressionnante dissection du ver caché derrière cette mise à jour de Flash. Encore plus impressionnante est la liste des url « participantes » à l’activité du ver.

Mise à jour ou mise à mort?

Tiens, Thierry Zoller vient de changer de Blog. Et il revient – lui aussi - sur la faille DNS de Kaminsky, mais cette fois avec une perspective qui change légèrement du discours habituel. Il y a quelques temps – deux ans tout de même - Zoller avait épinglé la société Zango – ex 180Solutions et Hotbar -, une entreprise spécialisée dans la diffusion de spywares « marketing ». Une entreprise dont le programme « d’aide aux décisions d’achats » utilise une procédure de mise à jour et de téléchargement de « services ». Voilà qui rappelle étrangement le fonctionnement d’un antivirus. Seulement voilà : Zango n’effectuait à l’époque strictement aucune authentification ou le moindre contrôle de signature, acceptant tout et n’importe quoi tant que ce qui était téléchargé provenait ou semblait provenir des serveurs de Zango. Or, prévenait le chercheur luxembourgeois, une substitution de serveur, c’est une chose tout à fait envisageable si l’on dispose d’un bon outil de DNS "poisoning". Et c’est ce que nous offre sur un plateau d’argent la faille Kaminsky. Nous voici donc dans une expérience de chimie explosive, qui envisage de mélanger deux réactifs puissants : d’un côté, un réseau très étendu dont une vulnérabilité peut transformer l’armée de ses postes clients en un formidable botnet planétaire, de l’autre, une clef d’accès à ce réseau. Nul besoin de recourir à des opérations hasardeuses de social engineering.

Depuis le temps, Zango a été supplanté par d’autres réseaux. Certains outils P2P, des programmes de téléphonie sur Internet, des logiciels de messagerie instantanée… il « suffirait » alors de trouver celui qui, d’entre tous, fera preuve d’un peu de laxisme lors de sa procédure de connexion au serveur central.

Achevons cette promenade dans le pays des vulnérabilités en signalant les travaux de cet autre chercheur russe autour de la faille Kaminsky. Des travaux qui démontrent comment injecter une entrée IN A dans la table des domaines située en mémoire cache. Simultanément, l’Autrichien Bernhard Müller de SEC Consult, publie un "white paper" sur sa façon d’interpréter la faille Kaminsky, communication accompagnée d’une très rapide vidéo de démonstration qui ne dit pas grand-chose.

Du cordon RJ45 à l’espionnage sans fil

Michael Ossmann n’a pas réinventé le fil à couper le beurre, mais son jeu de câbles à tout faire Ethernet et RS232 se fabrique en deux coups de pince à sertir et doit impérativement figurer dans la mallette de tout responsable réseau : cordon patch, câble croisé, liaison par port série droite ou null-modem, cordon de raccordement « console Cisco »... C’est l’indispensable couteau Suisse de première urgence.

Pourquoi revenir sur cette série de « bidouilles » simplissimes mais hélas souvent trop méconnues ? Tout simplement parce ce « kit de survie de l’homme réseau » sera offert à qui, durant la Black Hat/Defcon, parviendra à décoder les signaux radio enregistrés par M. Ossmann en personne. Le mini règlement de ce concours de hacking radio précise que le fichier est au format I/Q Gnu Radio, à télécharger sur le site de l’auteur. L’on trouve également sur ce Web-FTP les transparents de la conférence qui sera donnée à l’occasion de la Black Hat. Rares sont encore les personnes qui, tel Ossmann, ont compris à quel point, à l’aide de « software defined radio », il était simple d’écouter pratiquement toute l’activité numérique d’un lieu sur un rayon d’une centaine de kilomètres : du téléphone Bluetooth au réseau Wifi, en passant par les échanges réseau CPL, les conversations téléphoniques DECT, les communications GSM, les données émises par les claviers sans-fil HF, les codes des télécommandes, voire parfois les fréquences des digicodes… Tout peut s’écouter, et ce, depuis l’avènement des récepteurs à synthèse directe, avec un seul et même appareil.