La dernière réunion de l’OSSIR s’est déroulée le 9 juillet 2013 dans les locaux de l’INRIA. Les sujets suivants y ont été présentés :
- RSA Security Analytics par Bernard Montel (RSA)
- Sécurité des accessoires Apple par Mathieu Renard (Sogeti)
- Revue d’actualité par Nicolas Ruff (EADS Innovation Works)
RSA Security Analytics (Bernard Montel / RSA)
Bernard Montel, Directeur Technique de RSA France, est venu présenter RSA Security Analytics, le dernier outil proposé par l’éditeur aux sociétés disposant d’un SOC. Analytics est le fruit de la fusion de l’expérience de RSA en matière de traitement des fichiers de log dans le cadre d’un SIEM avec celle acquise par la société NetWitness en matière de capture et de traitement des traces réseau. Cette dernière société avait en effet été rachetée par RSA il y a quelques années.
Avec Analytics, RSA veut réduire la fenêtre de temps durant laquelle des pirates ont le champ libre pour réaliser leurs malversations au sein du Système d’Information de l’entreprise. L’outil permet donc à un analyste sécurité de manipuler avec aisance des quantités de données particulièrement importantes (volumétrie des logs et des traces réseau) afin d’identifier les indicateurs d’une compromission. Pour cela, l’analyse a la possibilité de jouer dynamiquement des « requêtes » complexes permettant d’identifier rapidement des informations à forte valeur ajoutée, contrairement à un SIEM où les règles permettant de lever des alertes sont au contraire « statiques ».
Bernard Montel a ensuite détaillé l’architecture technique de la solution qui s’articule autour de deux briques principales :
- le Data Warehouse qui permet de stocker des données sur le moyen ou long terme ;
- et le modèle de Metadonnée, qui au contraire permet d’accéder très rapidement à des données disponibles à court terme ;
Concrètement, le Warehouse s’appuie sur du Hadoop et le modèle MapReduce pour traiter ces volumes importants très rapidement.
Cependant, afin de trier les informations collectées dans le Système d’Information, Analytics est en mesure de les croiser avec des sources de données externes telles que le RSA Live Intelligence System, une source communautaire, ou encore RSA First Watch, une ressource privée disposant d’information fournie par Symantec et RSA. Ces sources de données externes regroupent des informations telles que des règles de corrélation, des listes noires, des parseurs et bien d’autres encore.
Enfin, Bernard Montel a conclu sa présentation par une démonstration d’Analytics. Celle-ci prend la forme d’une application en ligne au sein de laquelle l’analyse est en mesure de réaliser l’ensemble des tâches nécessaires à l’exécution de son travail : de la recherche d’informations à l’analyse poussée de traces réseau ou de fichier de log.
SLIDES1
SLIDES2
SLIDES3
Sécurité des accessoires Apple (Mathieu RENARD / Sogeti)
Mathieu Renard est venu présenter le résultat de son étude sur la sécurité des périphériques compatibles iDevice. Après avoir étudié le système iOS dans sa globalité, le chercheur s’est rendu compte qu’il était possible de manipuler le noyau du système d’exploitation des smartphones par USB. En effet, une fois le téléphone déverrouillé par son propriétaire, il est possible d’interagir avec différents services permettant d’accéder à des fonctionnalités plus ou moins sensibles. Différents services présentant un intérêt particulier du point de vue de l’attaquant ont ainsi été présentés :
- house_arrest
- installation_proxy
- diagnostic_relay
- ou encore file_relay
Mathieu s’est ensuite intéressé au protocole de communication entre un PC et un smartphone, et plus particulièrement aux services usbmuxd et lockdonwd intervenant dans l’établissement de la connexion aux produits Apple. Il a ensuite présenté la LibiMobileDevice, une bibliothèque C permettant d’interagir avec les smartphones Apple connectés à un ordinateur via le célèbre câble Apple. Cette dernière étant relativement complexe, le chercheur a redéveloppé sa propre librairie en Python.
Mathieu a aussi rappelé qu’en établissant une première fois la connexion avec le smartphone, le système est capable de maintenir cette dernière active grâce à une clef de session (escrow_keychain) permettant de déchiffrer les données présentes sur le smartphone.
Le chercheur a souhaité aller encore plus loin en imaginant une attaque à partir de ces premiers éléments. Pour cela, il s’est intéressé aux périphériques compatibles iDevice. En effet, ces derniers tirent parti du connecteur Apple « universel » pour communiquer avec les produits Apple. Or, en utilisant une version modifiée du connecteur un pirate serait théoriquement en mesure d’accéder aux données utilisateur déchiffrées dès lors que le détenteur du produit Apple aurait déverrouillé son équipement. Cette condition n’est pas réellement défavorable, puisque pour pouvoir être utilisés, certains périphériques tels que des enceintes par exemple nécessitent que l’utilisateur déverrouille son équipement pour pouvoir par exemple sélectionner la chanson qu’il désire écouter, ou passer à la suivante.
Après avoir acheté un radioréveil compatible avec les produits Apple, Mathieu l’a désossé, puis après avoir fait un peu d’ingénierie inverse sur la connectique Apple ; il a modifié le connecteur du réveil de façon à réaliser une attaque de type « Man-In-The-Middle » à l’aide d’un système embarqué du type Rasbery-Pi.
Le chercheur a enfin pu tirer parti de sa bibliothèque Python pour développer le code malveillant mettant en oeuvre son attaque. Résultat, il a été en mesure transformer un simple périphérique compatible avec les produits Apple en véritable espion. En effet, dès lors qu’un utilisateur y branche son smartphone et le déverrouille, le radioréveil s’appaire avec, puis le siphonne de toute des ses données personnelles : photos, SMS et autres.
Enfin, pour montrer le danger existant pour un détenteur de produits Apple de brancher son smartphone n’importe où (à l’hotel, dans les aéroports ou dans les festivals proposant des bases de recharge compatibles Apple), le consultant a réimplémenté une attaque permettant de jailbreaker complètement le téléphone. Une démo et plusieurs redémarrages après, l’iPhone de la victime était compromis : le pirate avait installé une porte dérobée lui permettant de prendre le contrôle complet du smartphone.
Apple semble avoir pris la mesure du danger, pour ses clients, de cette fonctionnalité. En effet, dans la dernière version de l’iOS (7), un message d’avertissement avertit l’utilisateur du risque de brancher et d’appairer un smartphone avec un produit compatible iDevice dans lequel l’utilisateur ne peut pas placer sa confiance.
SLIDES
Revue d’actualité (Nicolas Ruff, EADS Innovation Works)
La réunion s’est terminée, par l’incontournable revue de l’actualité du mois écoulé, présentée par Nicolas Ruff avec comme toujours, la publication de correctifs, les découvertes de failles de sécurité et les informations diverses autour de la sécurité.
- Des pirates ont dérobé un certificat expiré appartenant à l’éditeur du navigateur Opera pour signer des malwares, et ainsi contourner certaines restrictions de sécurité.
- Selon une étude réalisée par WebSense, plus de 90% des internautes sont vulnérables à des attaques sur le plug-in Java, faute de mettre à jour le logiciel.
- Des chercheurs ont découvert une nouvelle façon de prendre le contrôle d’un smartphone reposant sur Android : via l’exploitation du RDS.
- Microsoft a découvert que les pirates tirent parti d’une instruction assembleur non documentée permetant de manipuler le FPU pour identifier les systèmes ou les outils des chercheurs et ainsi complexifier leur analyse.
- L’Europe reconduit le mandat de l’ENISA, et la conforte dans son rôle.
SLIDES
Rendez-vous mardi 10 septembre pour la prochaine réunion du groupe Paris de l’OSSIR.
