XMCO a assisté aux deux premiers jours de la 11ème édition de la Hack.lu, qui a eu lieu les 20, 21 et 22 Octobre dernier au Parc Hotel de Luxembourg-Dommeldange.
L’ensemble des supports de présentation est disponible sur le site de la Hack.lu, à l’adresse suivante : http://archive.hack.lu/2015/
Nous ne présenterons ici que quelques-unes des conférences, l’intégralité des résumés sera disponible au sein de l’Actusécu #42.
HackingTeam – how they infected your Android device by 0days, par Attila Marosi
Suite au piratage de la société italienne HackingTeam, spécialisée dans la vente et le développement d’outils d’intrusion et de surveillance d’individus à destination des gouvernements, en juillet 2015 (voir CXN-2015-2136), plus de 400GB de données ont fuité sur la toile.
Parmi elles, 53 dépôts de code source et 6 codes d’exploitation de vulnérabilités 0day. Attila Marosi est revenue sur l’une des solutions d’espionnage vendues par HackingTeam : RCS (ou « Remote Control System »). Le chercheur a porté plus précisément le focus sur l’agent Android de la suite et les deux principaux vecteurs d’infection des terminaux mobiles des victimes utilisés par HackingTeam :
- L’envoi d’emails contenant un lien vers un site web malveillant – ce qui constitue un scénario de phishing classique ;
- L’injection de contenu au sein des flux réseau via des attaques de type « Man in the Middle » à l’encontre des terminaux connectés sur des hotspots Wifi, ou voire même à l’encontre des terminaux connectés sur leur réseau opérateur.
Dans les deux cas, c’est une vulnérabilité qui affecte le composant « Webview » d’Android (CVE-2013-4710 et CVE-2012-6636) qui était exploitée afin de compromettre le périphérique.
Attila a conclu sa présentation en indiquant que des millions de terminaux sont encore affectés par cette vulnérabilité – certains d’entre eux ne pouvant même pas être mis à jour – alors que le code d’exploitation de la vulnérabilité est désormais accessible au grand public.
How not to build an electronic voting system, par Quentin Kaiser
À la suite d’un bug des machines de vote électronique survenu lors du premier vote rassemblant les élections fédérales, européennes, régionales et communautaires en Belgique en 2014, Quentin Kaiser s’est intéressé à leur fonctionnement. Ce bug surnommé « #bug2505 » correspondant à la date du vote (25 mai 2014) avait alors décompté du scrutin 2250 votes des électeurs.
Cette erreur avait obligé le ministère de l’intérieur belge à rendre publique l’intégralité du code source des systèmes de vote afin d’assurer leur fiabilité. L’analyse du code source mis à disposition des citoyens à révélé plusieurs vulnérabilités. Leur exploitation par des individus malintentionnés pourrait facilement permettre l’altération du processus électoral.
Afin de bien comprendre les enjeux concernant la sécurité du vote électronique, Quentin Kaiser a rappelé le concept de vote cryptographiquement sûr. Voici les caractéristiques d’un tel vote d’après lui : confidentialité, non-répudiation, authenticité, intégrité, non-coercition, unicité, traçabilité, simplicité, équité et vérifiabilité.
Ces caractéristiques sont fortement liées aux principes mêmes du vote démocratique. À la différence ici qu’ils doivent être renforcés et assurés par la technologie déployée sur le système de vote.
Après une présentation des deux systèmes de vote Belges, CODI et Smartmatic, et de leur implémentation, Quentin a mis en évidence les pratiques implémentées par les différents constructeurs de système de vote électronique :
- Contournement de la détection des tentatives de fraude ;
- Les résultats du vote sont stockés dans un fichier encodé avec un simple XOR ;
- Des technologies obsolètes comme des disquettes sont utilisées ;
- Les canaux de communication transmettent les informations en clair et enfin les applications distantes avec lesquelles l’urne de vote communique sont affectées par des vulnérabilités web classiques (identifiants de connexion en dur, mots de passe stockés de manière non chiffrée au sein des bases de données, téléchargement arbitraire de fichiers locaux sur les serveurs, etc.).
La conférence s’est conclue par la révélation de vulnérabilités non corrigées et non reconnues par les éditeurs respectifs des systèmes de vote dans l’espoir de les voir corriger pour les prochaines élections belges.
Trusting Files Formats: Illusions or Reality? par Ange Albertini
Ange Albertini est très connu pour son travail sur les formats de fichiers et la création de fichiers polyglottes, qu’il présente sur son site Corkami.com. Au cours de sa conférence, il a de nouveau porté notre attention sur le danger de se fier aveuglément aux formats des fichiers lus. On parle aujourd’hui beaucoup de vulnérabilité 0-days et d’attaques réseau sophistiquées, mais il est important d’après lui de se rappeler que cela repose principalement sur certains formats de fichiers qui sont omniprésents, mais rarement complètement explorés.
Et, c’est ce dont se chargent les auteurs de logiciel malveillant, en général, pour passer au travers du filet. C’est pourquoi Ange à tenu à rappeler qu’il est nécessaire de lire les fichiers d’après les standards qui les définissent. En cas d’erreur ou d’incohérence entre la structure lue et celle attendue, il ne faut en aucun cas tenter d’interpréter en modifiant, corrigeant ou réécrivant la structure de celui-ci pour le traiter.
Ce manque de consistance et de cohérence entre le format attendu et celui qui est implémenté mène à des erreurs qui peuvent être exploitées pour contourner les vérifications réalisées par des antivirus et exploiter des vulnérabilités logicielles au sein des visionneuses de documents.
Comme toujours, nous vous donnons rendez-vous dans le prochain ActuSécu pour le résumé complet des conférences !
