Conférences

SSTIC – Jour 3 (mise à jour 15:45)

Suite de mes notes !

RRABIDS, un système de détection d’intrusion pour les applications Web Ruby on Rails

Romaric Ludinard, Loïc le Hennaf, Eric Totel, Supélec

Projet ANR DALI. Outil Daikon, détecteur d’invariants dynamique. Mais il faut réduire le nombre d’invariants en ne s’intéressant qu’à celles qui dépendent des entrées utilisateurs, grâce à la notion de taint checking (propagation d’une marque apposée). Ensuite, il faut “tisser” dans le code la détection associée à ces invariants. Le coût en nombre de lignes et donc en temps d’exécution est important.

Il leur reste encore à améliorer l’apprentissage (diminution du nombre de faux positifs). Démonstration sur l’application confiée par un client.

Usages offensifs de XSLT

Nicolas Grégoire, Agarri

XSLT réel langage de programmation W3C (permet de transformer automatiquement des structures de données XML en page HTML à partir d’un fichier de transformation). L’objectif des travaux de l’auteur est de découvrir des exploits autour de cette technologie. Ils ont été conduits sur plusieurs moteurs XSLT généralistes et spécifiques. Les risques identifiés sont essentiellement du côté des extensions propriétaires (LibXSLT, Xalan-J et Altova).

Exemples de vulnérabilités: sous libxslt (produits Apple, RIM, distributions Linux à cause du moteur de rendu Webkit et Chrome n’est pas vulnérable), il est possible d’écrire un fichier dans le système attaqué. PHP5 (toujours impacté aujourd’hui).

En résumé, beaucoup de boulot en vue pour les éditeurs d’applications XSLT.

Conférence invitée: Faille de sécurité ou défaut de sécurité

Eric Barbry, Cabinet Alain Bensoussan

Conséquences pénales d’une mauvaise sécurité (article 34 de la loi informatique et libertés). Eric souligne un intérêt croissant de la CNIL pour ces questions. Un guide de la CNIL est disponible ici. Sans oublier les autres obligations (226-22 du code pénal sur la divulgation de données personnelles, 226-13 sur la révélation de secrets).

La victime finale (celle dont les données ont été détournées) est elle victime du professionnel négligent ou de l’auteur de l’intrusion ? Mais pour une affaire comme celle de Sony, les conséquences sont innombrables dans de nombreux domaines (communication et image, remboursements, contrôles. enquêtes…).

Eric évoque ensuite le projet d’ordonnance qui doit implémenter les notifications obligatoires d’incidents de sécurité touchant les opérateurs et d’autres acteurs, mesure issue d’une des directives du Paquet télécoms (on en reparlera). PDF du projet d’ordonnance (voir l’article 38) qui est l’objet actuellement d’une consultation publique.

Typologie des attaques contre nos libertés online

Jérémie Zimmermann, La Quadature du Net

Neutralité du net. Vision d’un Internet comme bien commun. J. Z. définit les attaques comme toute limitation à la possibilité de publier ou d’accéder (aux services, aux contenus,…). Protection des gouvernements autoritaires, protection par les gouvernements des intérêts sectoriels, attaquants purement industriels. Le biais serait parfois législatif ou parfois en contournant les législations. Les vecteurs seraient multiples: inconscient collectif (peurs), complexité et opacité, contournement des chemins traditionnels. Il décrit ensuite des contre-mesures: observer, démontrer.

(Beaucoup d’attaques contre le blocage des sites pédopornographiques, cf. mes articles précédents sur le sujet).

Système de stockage en ligne de photos avec confidentialité des données personnelles

L. Montalvo, S. Defrance, F. Lefebvre, N. Le Scouarnec, P. Perez, Technicolor

La gestion des doublons permettrait d’optimiser le stockage. Confidentialité des données: si l’utilisateur chiffre les informations stockées, l’hébergeur ne pourra pas supprimer les doublons. Le principe du chiffrement convergent est discuté.

Se pose la question de chercher des images similaires, sans avoir accès au contenu chiffré. Les fonctions de hachage classique ne fonctionnent évidemment pas: plutôt fonctions de hachage visuel (empreinte plutôt que digest). Deux grandes classes d’algorithmes sont documents: globales ou locales (+ lentes et robustes contre quasi toutes les distorsions). Elles font un focus sur les points d’intérêt. Si statistiquement le nombre d’empreintes communes entre deux images est important, on dira que les images sont similaires.

Ces fonctions posent deux problèmes: performance et introduction d’une nouvelle faille (sur la confidentialité). Les fonctions les plus efficaces sont les fonctions SIFT classiquement documentées. Toutefois, il est démontré qu’à partir de nombreuses empreintes on peut reconstruire partiellement les images: l’invertibilité n’est pas garantie. On va donc combiner avec la fonction de hachage VLAD (vector of locally aggregated descriptors).

Un framework de fuzzing pour cartes à puces, application au protocole EMV

Julien Lancia (site web), CESTI-SERMA Technologies

EMV est la spécification des cartes bancaires à puce diffusées actuellement. Fuzzing: technique de tests en boîte noire, ici par blocs. Framework Sulley, étendu pour générer des données au modèle EMV, une interface pour les cartes à puce et des spécifications pour la détection d’incidents réussis.

Sulley est dédié au départ au fuzzing de protocoles réseau. Pour la transmission des données, la couche de communication a été remplacée par une API métier TRITON.

Sur 12 produits, 6 ont eu des résultats: anomalies sécuritaires (remise à zéro de compteur avant vérification online) et anomalies fonctionnelles.

Développements futurs: sortir de la spécification stricte, inclusion des spécifications Monéo ou fuzzing des couches basses. Ces techniques pourraient être intégrées en amont au niveau du développement.

Conférence invitée de clôture

Hervé Schauer, HSC

Revue de la philosophie sur le débat liberté-sécurité, repositionné sur la SSI. Constat rétrospectif d’inachèvement: la sécurité aurait peu progressé.

SSTIC – Jour 2 (mise à jour 18:00)

Mes notes de la deuxième journée (ce ne sont que des notes et je prie d’avance les lecteurs de m’excuser si elles ne sont pas claires).

Attaques DMA peer-to-peer et contre-mesures

Fernand Lone-Sang (et Loïc Duflot, Vincent Nicomette, Yves Deswarte)

Il s’agit d’attaques ciblant la mémoire des contrôleurs eux-mêmes et non la mémoire centrale du système. Le contrôleur utilisé pour l’attaque est un contrôleur Firewire. Les tests ont été effectués sur cinq chipsets (Lakeport, Eaglelake et Tylersburg). Noyau d’attaque Linux 64 bits recompilé pour retirer protections sur /dev/mem. dd est ensuite utilisé pour copier la mémoire des contrôleurs. L’architecture de la machine attaquante est classique.

Les chipsets Eaglelake et Lakeport ont des comportements similaires.

Une démonstration a été réalisée pour copier la mémoire de la carte graphique, qui apparaissent quasi en temps réel.

Contre-mesures possibles:

  • I/O MMU (In/Out Memory Management Unit) qui permet de l’isolation entre les régions de mémoire des contrôleurs, restreint l’accès des contrôleurs à leurs domaines respectifs. Implémenté au sein du northbridge dans les chipsets Intel. Certains chipsets AMD intègrent un I/O MMU dans le southbridge.
  • Access control services (ACS): définissent des points de contrôle sur les bus d’E/S. Apparus récemment dans des chipsets Intel x58, désactivés par défaut. Leur activation peut interférer avec certains pilotes de périphériques.

Sticky fingers & KBC Custom Shop

Alexandre Gazet, ESEC Sogeti

De très nombreuses “offres” vendant des mots de passe BIOS “maîtres” qui correspondraient à tel ordinateur. L’orateur découvre dans ses recherches le source d’un générateur de mot de passe correspondant à son ordinateur.

Ses recherches le mènent sur différents forums (mydigitallife.info, csdn.net…) et à adapter Metasm pour prendre en compte le processeur du contrôleur clavier (qui s’avère être un ARCompact).

Cela lui permet d’aller plus loin dans l’analyse du contrôleur de clavier. Il parvient notamment à forcer des mises à jour de la ROM du contrôleur clavier. Il procède ensuite à un débridage de la commande de lecteur pour un accès complet à la ROM et à la RAM du contrôleur clavier, ajouter un loggeur de commandes et une commande d’écriture en RAM.

Il ouvre la voie à l’exécution de code dans le SMM grâce à l’exploitation d’une faille dans le dialogue entre le contrôleur clavier et le handler SMI. Pour la démonstration il parvient à ajouter des fonctions à l’interface 0xB2 pour rendre accessible la SMRAM.

La fonction vulnérable est appelée à chaque démarrage par le BIOS, furtive (tout en mémoire), persistante (même en cas de réinstallation).

“Ça ne sert à rien.”, conclut-il. C’est quand même intéressant de démontrer qu’on peut explorer le fonctionnement des contrôleurs les plus simples et même y découvrir des failles qui ont un impact potentiel sécuritaire sur le fonctionnement central d’un PC et envisager des compromissions en cascade.

Virtualisation d’un poste physique depuis le boot

Stéphane Duverger, EADS Innovation Works

Leçons tirées du développement d’un hyperviseur de type 1 (sans système hôte), Ramooflax. L’objectif de ce travail est d’avoir des méthodes d’observation du fonctionnement d’un OS, y compris d’interagir en direct avec les process en cours (démo de débug en direct avec IDA).

Résultat du challenge SSTIC

Axel Tillequin, EADS, présente sa solution du challenge SSTIC 2011

Attacking and Fixing PKCS#11 Security Tokens with Tookan

Graham Steel (@graham_steel)

Conférence initiale en novembre 2010.

PKCS 11 décrit une interface pour les “tokens” d’authentification (clé USB, carte à puce,…). Les clés sont stockées dans le dispositif, protégées par un PIN.

Explication et démonstration de l’utilisation de Tookan pour tester les vulnérabilités de tels dispositifs de sécurité qui autoriseraient l’accessibilité en clair à des secrets théoriquement protégés dans celui-ci.

Beaucoup de produits ont montré des vulnérabilités (voir le site de Tookan)…

Peut-on éteindre l’Internet?

Stéphane Bortzmeyer (blog, @bortzmeyer)

Méthodes citées:

  • Couper les câbles – coûteux en main-d’oeuvre, réparable, difficile à faire sur une grande échelle
  • Trouver une 0-day, par exemple dans le code d’IOS (Cisco) – mais il faudrait des vulnérabilités multiples (plusieurs équipementiers) et l’attaque impose de ne pas couper l’Internet pour qu’elle puisse se propager
  • Attaque en déni de service – il faut cibler des ressources essentielles (par exemple la racine du DNS)
  • Action autoritaire (exemple de certains pays récemment coupés de l’Internet pendant plusieurs jours)

… facile donc de perturber l’Internet, essentiellement localement et pour un temps finalement assez court.

Pour améliorer la résilience:

  • Repenser Internet? Mais on se heurtera aux mêmes types de défauts intrinsèques aux systèmes complexes.
  • Réglementer?
S. Bortzmeyer croit plus en:
  • La redondance physique (éviter les points de défaillance unique – SPOF);
  • Ecrire des logiciels sans bogues – en tous cas direction à prendre;
  • Coordination des acteurs;
  • Action politique (au sens d’éviter des politiques de censure).

Architecture DNS sécurisée

Guillaume Valadon, Yves-Alexis Perez, ANSSI

Nota: l’ANSSI recrute 🙂

Présentation de DNSSEC (voir aussi article Wikipédia, ou un article précédent de S. Bortzmeyer).

L’enregistrement NSEC (Next SECure) a pour but de signer des enregistrements qui n’existent pas, afin d’éviter des usurpations non signées. La première solution fut d’énumérer ce type d’enregistrements manuellement. NSEC 3 (RFC 5155 ou sur le blog de S. Bortzmeyer)  est une évolution dans laquelle des empreintes cryptographiques sont utilisées à la place des noms.

Rump sessions (extraits)

Billetterie du SSTIC, Nicolas Bareil & Fabrice Desclaux. Signature HMAC-SHA1 du QR Code. Billet produit en Latex/Tikz, généré en Python.

XSS, Erwan Abgrall. Projet ANR DALI. Distinction payload/vecteur. Envisage fingerprinting grâce à ces résultats sans tenir compte du navigateur.

Digital forensics XML, Christophe Grenier. Format créé par Simson Garfinkel simsong@amg.org. Utilisé par scalpel, frag_find, photorec, ewfinfo, md5deep (*deep).

Audits techniques et analyses de risque, Pôle national de compétence SSI Education nationale. Méthodologie maison.

Référentiel d’exigences applicables aux prestataires d’audit de la SSI. ANSSI.

AirScan, Raphaël Rigo. Détecteur de points d’accès Wifi sous Nintendo DS. http://syscall.eu/

Orchids IDS opensource – http://www.lsv.ens-cachan.fr/orchids/

Incident response methodology, Jean-Philippe Teissier, CertSG.

Hack de couteau suisse USB auto-destructeur. 🙂

DGA/MI recrute aussi.

Usages offensifs de XSLT, Nicolas “Nicob” Grégoire.

La légitime défense numérique – Le Cercle

Le Cercle européen de la sécurité des systèmes d’information organisait jeudi 28 avril 2011 à 18 heures une table ronde sur le thème de la légitime défense numérique.

Le débat était animé par Yann Le Bel de la SNCF, et rassemblait Guillaume Tissier de CEIS et Philippe Langlois de P1Sec.

Guillaume Tissier a d’abord résumé le contexte actuel des attaques contre les systèmes d’information, de la cybercriminalité et de la cybersécurité en général, en soulignant les risques particuliers auxquels sont confrontées aujourd’hui notamment les entreprises. Ensuite il a rappelé le cadre juridique de la légitime défense.

Sur le plan pénal, le concept de légitime défense est défini comme une exception, au travers d’une cause d’irresponsabilité. Ainsi dans l’article 122-5 du code pénal il est indiqué:

N’est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d’elle-même ou d’autrui, sauf s’il y a disproportion entre les moyens de défense employés et la gravité de l’atteinte.

N’est pas pénalement responsable la personne qui, pour interrompre l’exécution d’un crime ou d’un délit contre un bien, accomplit un acte de défense, autre qu’un homicide volontaire, lorsque cet acte est strictement nécessaire au but poursuivi dès lors que les moyens employés sont proportionnés à la gravité de l’infraction.

Ainsi, s’agissant dans le domaine de la sécurité sur les réseaux (et en particulier Internet), c’est le plus souvent le second alinéa qui est concerné. Et le but de la légitime défense des biens ainsi défini est limité à l’accomplissement d’un acte de défense, en vue d’interrompre l’exécution du crime ou du délit contre ce bien. Je suis intervenu à la fin du débat pour rappeler que dans tous les cas imaginables aujourd’hui, la véritable légitime défense sur Internet est difficilement applicable puisqu’on pourra soit prendre des mesures pour se protéger qui ne constitueraient pas des infractions (détourner le trafic qui vous attaque par exemple) ou tout simplement déconnecter le système (comme l’a fait Sony la semaine passée), faisant ainsi cesser l’atteinte.

Dans un contexte international, la charte des Nations Unies, à son article 51, a encore rappelé Guillaume Tissier, énonce le principe suivant:

Aucune disposition de la présente Charte ne porte atteinte au droit naturel de légitime défense, individuelle ou collective, dans le cas où un Membre des Nations Unies est l’objet d’une agression armée, jusqu’à ce que le Conseil de sécurité ait pris les mesures nécessaires pour maintenir la paix et la sécurité internationales. Les mesures prises par des Membres dans l’exercice de ce droit de légitime défense sont immédiatement portées à la connaissance du Conseil de sécurité et n’affectent en rien le pouvoir et le devoir qu’a le Conseil, en vertu de la présente Charte, d’agir à tout moment de la manière qu’il juge nécessaire pour maintenir ou rétablir la paix et la sécurité internationales.

Il s’agit bien ici d’offrir la possibilité aux Etats de répondre légitimement à une agression armée. Il sera tout de même très difficile pour l’instant de qualifier d’attaque armée une atteinte numérique, sauf si elle est de nature à porter atteinte de façon grave à la sécurité des personnes et des biens ou à l’intégrité d’un territoire.

Guillaume Tissier a aussi dressé une liste des types de réponse qu’il était possible d’envisager, en soulignant qu’il n’était pas nécessaire de toujours envisager d’aller jusqu’à des actes agressifs, mais qu’il était possible par exemple d’envisager des mesures judiciaires adaptées – y compris de nature à faire complètement cesser l’activité d’un attaquant grâce à la saisie de ses matériels ou l’interruption des services qui lui permettre de commettre ses attaques, ou des mesures de collecte de preuve, pour faciliter l’identification des auteurs de ces faits.

Philippe Langlois quant à lui a cité un certain nombre de cas concrets d’acte de rétorsion numérique suite à ce qui peut être considéré comme une attaque. Le cas de la société HBGary qui s’est vu sérieusement mise en défaut dans la gestion de sa propre sécurité, après s’en être prise aux Anonymous publiquement est un de ces cas. On pourrait aussi citer le cas récent du réseau des Playstation de Sony (voir l’article le plus récent de Numérama), dont l’agression pourrait être une réponse de certains groupes d’attaquants à l’attitude de cette société face à un chercheur indépendant (George Holtz) qui a mis à mal la sécurité de sa console la plus récente (voir l’article de 01Net). Philippe a aussi souligné le risque d’une véritable escalade des réponses entre les belligérants, comme l’un des risques principaux d’une riposte numérique suite à une agression.

Philippe a aussi indiqué, que techniquement il était évidemment possible dans beaucoup de situations – et dans l’esprit de la gamme de réponses possible évoquée par Guillaume Tissier, de prendre des mesures non agressives vis à vis de l’attaquant, en temps réel, de manière à plus facilement l’identifier, grâce à la prise d’une empreinte de l’attaque ou en se connectant simplement avec l’hôte à l’origine de l’attaque si le protocole utilisé le permet.

Enfin, comme l’a rappelé Lazaro Pejsachowicz dans la salle, il n’est pas acceptable d’envisager la légitime défense sous la forme d’une vengeance, il est absolument nécessaire de rapidement impliquer les autorités judiciaires suite à une attaque pour que la collecte de preuves s’exerce dans de bonnes conditions et que l’action légale soit efficace et rapide.

L’autre sujet qui n’a pas été abordé – il me semble – dans le débat, est le recours à une réponse numérique suite à une agression physique. Cela fait partie très clairement des outils dont pourrait se doter un Etat dans le cadre de sa légitime défense au sens de la charte des Nations Unies évoquée plus haut. Et – pourquoi pas – cela pourrait constituer une hypothèse intéressante dans le cadre de la légitime défense des personnes et des biens contre une agression physique, par exemple en se dotant d’outils pour rendre inopérants les commandes d’un véhicule qui foncerait sur une foule.

Merci au Cercle pour l’organisation de cette soirée qui a continué autour d’un buffet indispensable au réseautage interpersonnel.

Atelier de l’AFNIC sur les noms de domaines internationalisés

Le 10 février 2011 à Paris, l’AFNIC – Association française pour le nommage Internet en coopération, organisait un atelier d’étude sur les noms de domaines internationalisés. Ce fut l’occasion de faire le point sur les projets de l’AFNIC dans ce domaine et les différents enjeux que cela ne manquera pas de soulever pour l’ensemble des acteurs.

L’atelier a duré près de 4 heures et s’est déroulé en trois parties: d’abord une introduction sur le sujet par Stéphane Bortzmeyer, suivie de deux tables rondes. La première table ronde a permis d’évaluer les attentes de la communauté des utilisateurs, tandis que la seconde portait sur les aspects opérationnels du lancement de cette nouvelle capacité des noms de domaine en .fr.

Les noms de domaine internationalisés

Stéphane Bortzmeyer (@bortzmeyer, blog) a publié le diaporama de son introduction. Ce qu’il faut retenir selon moi est qu’on est en train de déployer progressivement (depuis la première moitié des années 2000), dans les infrastructures de gestion des noms de domaines, la possibilité d’utiliser des caractères autres que les lettres de l’alphabet latin de a à z et les chiffres de 0 à 9. Ainsi, on voit apparaître des sinogrammes, des caractères cyrilliques ou du sanscrit dans les URL:

  • http://президент.рф/ (site du président russe, on notera au passage le domaine de tête internationalisé aussi “рф” pour “fédération de russie” et en complément du “.ru” classique)
  • http://müller.de/ (93 caractères supplémentaires ont été rajoutés pour le domaine de tête .de de l’Allemagne, y compris le “ß”)
  • ou bien en arabe http://وزارة-الأتصالات.مصر/ ou encore en coréen http://휴대폰.com/

Le domaine de tête européen “.eu” a ouvert la création de noms de domaines internationalisés dans les langues des 27 pays membres de l’Union Européenne en décembre 2009. Ainsi http://www.crimenumérique.eu/ redirige-t-il vers le présent blog 🙂

Sur le plan technique, et normalement de façon transparente pour l’utilisateur, les différentes chaînes de caractères ne sont pas directement implémentées dans le protocole DNS mais sont transformées à nouveau en chaînes de caractères ASCII. Ainsi, le RFC 3490 prévoit un encodage “compatible ASCII” ou ACE des chaînes de caractères Unicode (voir l’article de Wikipédia sur le punycode et le RFC 3492). Un préfixe a été choisi en 2003 pour identifier ces noms de domaines internationalisés, il s’agit de “xn--“. Ainsi www.crimenumérique.eu est-il représenté par www.xn--crimenumrique-ihb.eu.

Résumé de l’atelier

Voici quelques points clés que j’ai retenus de cet atelier:

  • L’AFNIC envisage de lancer les noms de domaines internationalisés pour le domaine de tête “.fr” d’ici la fin de l’année 2011;
  • La décision n’est pas encore prise sur les chaînes de caractères qui seront autorisées. Le débat a permis d’entendre plusieurs arguments pour ou contre la prise en charge – en plus des caractères diacritiques essentiels de la langue françaises, ceux des langues régionales, des langues parlées dans les pays européens voisins ou ceux des langues parlées en France de façon plus générale (comme l’arabe dialectal ou le chinois par exemple). Mon analyse personnelle est qu’il est vraisemblable que dans un premier temps l’ouverture se fera d’abord sur les caractères accentués classiques du français.
  • Il semble se dégager un consensus – en tous cas au cours de cet atelier – pour un lancement le plus simple possible, donc éventuellement sans période de “lever de soleil” et en tous cas de prendre au moins en compte les titulaires préalables des domaines “non accentués” pour l’attribution des nouveaux “avec accents”. Mais la question n’est pas aussi simple qu’il y paraît, les accents apportant des nuances de sens parfois importantes (voir les exemples dans la présentation de Stéphane Bortzmeyer).
  • Les préoccupations des détenteurs de marques sont importantes, et si évidemment cette ouverture crée de nouvelles opportunités en termes de communication, il leur paraîtrait judicieux de ne pas faire débuter toutes les réformes en même temps (l’AFNIC confirmait aussi l’ouverture à venir, au profit des entreprises européennes et des personnes demeurant en Europe, du domaine de tête “.fr”).
  • Deux notes techniques au passage: il restera des subtilités de la langue française qui ne pourront pas être prises en compte telles que certains caractères spéciaux comme les apostrophes ou les majuscules qui donnent parfois un sens différents aux mots en français (différence entre État et état), et si les noms de domaines prennent en compte les polices de caractères avancées, il n’existe pas encore de standard stabilisé pour la gestion de ces caractères dans la partie locale (avant l'”@”) des adresses de courrier électronique.
  • Enfin, Cédric Manara (@cedricmanara, blog) met à disposition des internautes la présentation qu’il a faite et qui comporte une étude des litiges traités par l’UDRP sur des noms de domaines internationalisés.

Enjeux pour les enquêteurs

Les enjeux pour les enquêteurs (mais aussi évidemment, les experts judiciaires, les magistrats ou toutes les personnes qui réalisent des investigations numériques) sont multiples:

  • Bien entendu, il s’agit d’abord de se tenir informé de ces évolutions qui seront de plus en plus rencontrées (on peut aussi citer l’arrivée des adresses IP v6).
  • Ensuite, comme tout un chacun, ils seront confrontés à la non-adaptation des outils du quotidien (navigateurs Internet, logiciels de messagerie) ou des outils spécialisés (de nombreuses interfaces Web de whois ne sont pas encore correctement paramétrées).
  • Enfin, et surtout, cette évolution multiplie les possibilités d’erreurs, notamment lors de la retranscription des adresses. Ainsi, les témoignages des victimes, les copies d’écran, les fax etc. ne permettront pas toujours de distinguer plusieurs adresses semblables. En effet, même si les adeptes du phishing n’exploitent pas réellement les attaques par homographie (mots qui se ressemblent), le risque de confusions est réel. Même si cela est possible aujourd’hui lorsqu’on retranscrit la lettre “l” minuscule plutôt que le chiffre “1”, les variations explosent. Et bien évidemment ce sera plus complexe pour un enquêteur français de recopier des idéogrammes chinois que pour un enquêteur chinois. La recommandation principale sera de favoriser soit les échanges électroniques (que ce soit avec les victimes ou avec les opérateurs auxquels on adresse questions ou réquisitions) et l’utilisation de la conversion en caractères ASCII (les chaînes commençant par “xn--“).

En conclusion, je tiens à remercier l’AFNIC et les participants aux tables rondes pour cet atelier particulièrement instructif, qui m’a permis, même si je connaissais ce problème, d’avoir l’occasion d’y consacrer plusieurs heures de réflexion et d’échanges. Enfin, je ne peux que conseiller à mes lecteurs de continuer de se tenir informés de ces différentes évolutions qu’ils soient de simples utilisateurs et titulaires de noms de domaines ou des personnes chargées de missions d’investigation numérique. L’AFNIC devrait continuer la démarche de dialogue et d’information entreprise dans les mois à venir, avant le lancement effectif de cette nouvelle offre, mais n’oublions pas que c’est déjà aujourd’hui une réalité dans de nombreux domaines de tête et en particulier en Europe…

27C3 – Jour 1

Du 27 au 30 décembre 2010, le 27ème Chaos Communication Congress se tient à Berlin. Le programme de la première journée est accessible en ligne et les sessions diffusées en direct. On peut aussi en suivre l’actualité sur twitter @27c3. Les enregistrements des conférences seront notamment référencés sur ce wiki.

L’an dernier je vous avais proposé de partager mon suivi de la conférence 26C3 en direct ou en différé, au long de quatre billets de ce blog (1, 2, 3 et 4).

Keynote, Rop Gonggrijp, We come in peace

L’ouverture était confiée cette année à Rop Gonggrijp (@rop_g, et sur Wikipédia) avec un retour sur les évènements des années précédentes, son travail notamment sur les faiblesses des systèmes de vote électronique, son point de vue sur les développements de Wikileaks et les errements des Anonymous. Enfin il a conclu sur le souhait de voir le Chaos Communication Congress continuer d’être un succès et ses organisateurs d’être à l’écoute de la communauté.

Voir son billet sur le blog du conférencier.

(MAJ 14:26 27/12/2010)

(MAJ 30/12/2010)

Lexi Pimenidis (idev), Dominik Herrmann (University of Regensburg), Contemporary profiling of Web users, ou comment les techniques d’anonymisation peuvent être contournées

Dans cette présentation, les auteurs montrent

  • l’utilisation de Javascript pour obtenir des informations personnelles comme l’adresse IP réelle de connexion, malgré l’utilisation de proxies d’anonymisation;
  • la collecte d’informations sur les profils des utilisateurs par les proxies d’anonymisation, les serveurs DNS alternatifs (Google, OpenDns) et les points de sortie Tor; l’idée est ici d’analyser statistiquement les sites visités et d’autres caractéristiques au cours d’une session de navigation pour l’associer à un utilisateur donné et ainsi le suivre sur plusieurs sessions, plusieurs jours…;
  • la détection de bots par leur comportement ou leur signature (notamment des exemples intéressants de différences de présentation des champs d’en-tête par différents types de vrais navigateurs en comparaison à des bots qui simulent des navigateurs Web);
  • un type d’attaque locale (donc sur le réseau local de l’ordinateur surveillé) sur Tor qui permet de mesurer quels sont les sites visités à partir de l’analyse du trafic, alors même que ce protocole d’anonymisation est utilisé;

Marc “van Hauser” HeuseRecent advances in IPv6 insecurities

Présentation particulièrement intéressante et fouillée des erreurs de conception inhérentes à IPv6, qui vient compléter celle qu’il avait déjà faite voilà cinq ans (on peut la télécharger sur son site). Ce protocole qui a été conçu voilà une quinzaine d’années a tout d’abord hérité de certaines faiblesses d’IPv4 et évidemment permet de nouvelles formes d’attaques. L’auteur a développé un ensemble d’outils (THC-IPv6) qui permettent de faire différentes expérimentations sur IPv6 et notamment d’exploiter certaines de ces failles. On citera notamment des possibilités d’attaques en déni de service sur des réseaux locaux par le lancement d’annonces de routage et plusieurs façons de rediriger le trafic. Enfin, van Hauser montre de façon particulièrement pertinente que contrairement à l’idée qu’on pourrait en avoir, le nombre réel d’hôtes à scanner sur un sous-réseau est nettement inférieur à son nombre théorique (quelques milliers par rapport à 2^⁶⁴), notamment parce que dans de nombreux cas, les numéros alloués aux hôtes ne sont pas donnés au hasard (adresse MAC, type de serveur par son numéro de port typique comme 80 pour le Web, numérotations proposées dans les documentations…).

Collin Mulliner (@collinrm) & Nico Golde, Berlin Institute of Technology, SMS-o-death

L’idée de cette présentation est de regarder les vulnérabilités liées aux SMS sur les “feature phones”, c’est-à-dire les téléphones mobiles les plus communs encore aujourd’hui, malgré l’essor des smartphones. Moins coûteux, ils ont quand même un grand nombre de fonctionnalités intégrées. Tous ces téléphones étant souvent basés sur une architecture commune, par économie de développement pour les fabricants, un défaut sera reproductible sur de nombreux modèles différents. Ils ont ainsi étudié des téléphones de chez Nokia, Samsung, Sony Ericsson, LG, Motorola et Micromax (populaire en Inde).

Les SMS sont un vecteur évidemment intéressant pour les attaques, puisqu’il peut être émis depuis n’importe quel endroit. L’année dernière, Collin Mulliner avait présenté des insertions de SMS pour attaquer des smartphones. Pour leurs expérimentations, ils ont utilisé OpenBSC (présenté au SSTIC par H. Welte), une implémentation libre de contrôleur de station de base GSM et les ont menées dans une cage de Faraday.

Les failles découvertes montrent qu’il est possible de faire planter tous les modèles de téléphones testés à différents degrés, avec un ou plusieurs SMS, parfois sans nécessiter que l’utilisateur ouvre le message (messages Flash). Dans certains cas le téléphone n’accusant pas réception du SMS, le réseau renvoie le message rendant le téléphone inutilisable tant que le SMS n’est pas accepté en insérant la carte SIM dans un terminal d’un autre fabricant.

Ils ont ensuite conclu sur des scénarios d’attaques massives qui pourraient utiliser ce mécanisme pour s’en prendre à un opérateur ou à une foule d’utilisateurs.

A suivre… (je mettrai à jour ce billet au fur et à mesure du visionnage des conférences ce qui pourrait prendre une bonne semaine !)