Les consultants XMCO ont eu la chance de pouvoir assister à l’édition 2016 de la Hack In Paris. La conférence se déroulait à la Maison de la Chimie, à Paris, en plusieurs étapes.
[distance2]
- La première partie était constituée de trainings, permettant d’aborder d’un point de vue pratique des sujets techniques aussi divers que variés :
- CCISO,
- Corelan « Advanced »,
- Offensive IOT Exploitation,
- Websecninja: Master The Lesser Known Webattacks,
- Introduction To Advanced Physical Digital Forensics For Law Enforcement / Corporate,
- Advanced Web Security Testing With Burp Pro,
- Hacking Web Applications – Case Studies Of Award-winning Bugs In Google, Yahoo, Mozilla And More,
- Hardware Hacking Training With Hardsploit Framework.
- La seconde partie était constituée des conférences à proprement parler.
- Enfin, la HIP s’est conclue par la Nuit du Hack.
Cet article détaille 4 des conférences auxquelles nous avons pu assister, et qui nous ont paru particulièrement intéressantes. Nous vous invitons à lire le prochain numéro de l’ActuSécu, qui détaillera l’ensemble des présentations.
[distance2]
Voting between sharks, Jesus Choliz (@jesuscholiz) et Sandra Guasch (@sandra_guasch)
SLIDES / VIDEO
La présentation d’ouverture de la conférence Hack in Paris concernait le vote électronique. Deux membres de la société SCYTL présentaient une étude des différentes problématiques associées au vote électronique, ainsi qu’un modèle de résolution.
Le vote électronique présente plusieurs avantages : il permet d’augmenter la participation, de diminuer les coûts de gestion, de faciliter l’accès au vote pour les personnes à mobilité réduite et d’obtenir des résultats plus précis qu’un vote traditionnel. De plus en plus de pays choisissent cette méthode de vote. Il devient donc important de proposer une solution sécurisée.
Leur modèle s’applique pour les machines au sein des bureaux de vote, ainsi que pour les terminaux personnels (ordinateurs, smartphones). De ce fait, les problématiques suivantes ont été identifiées :
- Le modèle doit permettre de s’assurer que le vote reste confidentiel et anonyme. La confidentialité peut être assurée par un chiffrement de bout en bout. Les données relatives au citoyen (informations d’authentification, IP, horodatage) peuvent être supprimées par un service tiers.
- L’intégrité du vote doit également être assurée, par un mécanisme de suivi jusqu’au déchiffrement. Le votant est capable de vérifier le contenu de son vote. Les organisateurs peuvent également s’assurer que le vote s’est correctement déroulé de bout en bout via une preuve à divulgation nulle de connaissance (Zero Knowledge Proof).
- Les clefs de déchiffrement doivent être tenues par les membres administratifs locaux, équivalents de ceux des personnes en charge du dépouillement. L’accès aux clefs de déchiffrement ne peut être possible que grâce à une méthode de secret partagé, comme un partage de clef secrète de Shamir. La génération des clefs est effectuée depuis un lieu isolé, sous le contrôle des membres responsables de l’élection.
- Les risques de manipulation et de coercition de vote sont les mêmes que pour un vote traditionnel. SCYTL propose de rendre ce type de pratique plus difficile en passant par l’usage de mots de passe à usage unique (OTP) via un canal de communication différent de celui du vote, rendant toute attaque massive relativement coûteuse. Ils suggèrent également d’utiliser un système dans lequel de multiples votes sont possibles pour un même votant, et dont seul le dernier vote peut être pris en compte. Enfin, il est également possible de mettre en place un système répondant de la même façon que les identifiants soient corrects ou non, mais de prendre en compte uniquement les votes dont les identifiants ont été validés côté serveur.
Une démonstration de leur outil était également proposée durant la conférence Hack In Paris.
Cette présentation a permis de montrer que le choix de mettre en œuvre un vote électronique est aujourd’hui techniquement possible, et qu’il ne se limite qu’à un choix moral et politique.
Des questions ont été soulevées sur la problématique de la sécurité physique des terminaux. Les orateurs ont botté en touche, en faisant comprendre que leur modèle prenait en compte le risque de terminal vérolé.
Making and breaking machine learning anomaly detectors in real life, par Clarence Chio (@cchio)
SLIDES / VIDEO
Cette présentation a permis de faire le constat de l’utilisation de l’apprentissage automatique (ou Machine learning) dans le cadre de la cyber sécurité. À ce jour, rares sont les entreprises utilisant l’apprentissage dans des cas concrets. Les rares exemples pouvant être cités sont les mécanismes de détection de spam comme ceux utilisés par Google qui intègrent ce genre de mécanisme, ou encore le mécanisme de proposition d’articles de shopping d’Amazon. L’apprentissage se fait par la reconnaissance de motifs au sein de la donnée, combinée à des études statistiques et d’heuristiques.
Cette méthode est relativement intéressante, car elle est dynamique, peut s’adapter suivant le contexte, et n’exige que peu d’intervention humaine (dans la théorie).
Le constat aujourd’hui est qu’il existe très peu de produits disponibles sur le marché utilisant cette méthodologie. Par exemple, le traitement des logs de serveur web pourrait être analysé automatiquement de cette manière dans le cadre d’une analyse de trafic.
Plusieurs problèmes sont rencontrés dans le cadre d’analyse d’attaques web :
- Le principal problème est que l’apprentissage est dépendant du contexte d’utilisation (architecture, type de données, etc.).
- Il est nécessaire d’identifier les nouvelles attaques, n’ayant encore jamais été constatées.
- Aussi, les produits retournent aujourd’hui beaucoup de faux positifs. De par la variété des entrées fournies, il est difficile de suivre et nettoyer les résultats obtenus. L’intervention humaine reste nécessaire.
- Les attaquants essayeront toujours de contourner le système, et identifieront des cas non considérés par celui-ci.
- Enfin, les modèles d’apprentissage automatiques peuvent être faussés en soumettant suffisamment de motifs malveillants qui finiront par être considérés comme valides (model poisoning).
Ainsi, la mise en place d’un système d’apprentissage automatique nécessite dans un premier temps d’évaluer le système courant, puis d’en dégager un modèle représentatif. Il est ensuite nécessaire d’entraîner ce modèle dans le cadre d’une utilisation normale, sans échange de données malveillantes. Cela permet d’en dégager des motifs sains. Enfin, dans le cadre d’une utilisation ouverte à tout type de données, le système doit enfin être en mesure de qualifier la donnée via des méthodes statistiques et d’établir si elle se situe dans un cadre normal ou malveillant.
La recherche du domaine de l’apprentissage automatique est en avance sur les utilisations professionnelles qui restent aujourd’hui trop peu nombreuses, car elles sont encore difficiles à mettre en oeuvre techniquement.
The titanic methodology, par Jayson E. Street (@jaysonstreet)
SLIDES / VIDEO
Habitué des conférences présentant les différents échecs rencontrés dans le domaine de la sécurité, Jason Street a cette fois-ci choisi d’évoquer ses propres échecs et nous a proposé son retour d’expérience.
- Blue Team Fails
Jayson a dans un premier temps évoqué ses échecs en termes de communication et d’attitude en tant que membre d’une Blue Team. Il a souligné l’importance de cultiver les relations sociales avec tous les employés, de rester positif en toute situation, et surtout d’inviter les salariés à participer globalement à l’effort de sécurité. L’objectif est de ne pas faire percevoir la sécurité comme un frein ou un élément contraignant, mais comme étant une des nombreuses composantes de l’entreprise. Il est en effet indispensable d’être capable de transmettre, mais aussi d’écouter, d’intégrer les éléments métiers développés au sein de la société pour obtenir de meilleurs résultats.
- Red Team Fails
Dans un second temps, il a rappelé l’importance de ne pas juger, de ne pas limiter son action à détruire la Blue Team lors des tests d’intrusion en Red Team. Il est indispensable de les aider à corriger les vulnérabilités par le biais des rapports et d’échanges. Dans certains cas, il invite même parfois à rendre les attaques plus verbeuses ou plus évidentes en fin de mission, pour permettre à la Blue Team de jouer un véritable rôle durant les tentatives d’intrusion.
- Community Fails
Enfin, il a évoqué l’importance de ne pas juger les acteurs de la sécurité pour leurs erreurs plus que l’on aimerait être jugé si nous en étions les auteurs. L’important est de participer, de partager ses expériences et ses connaissances avec la communauté.
From zero to SYSTEM on full disk encrypted Windows system, par Nabeel Ahmed (@NabeelAhmedBE) et Tom Gilis (@tgilis)
SLIDES / VIDEO
Inspirés par la MS15-122 présentée à la BlackHat 2015, les intervenants travaillant chez Dimension Data ont décidé de poursuivre les travaux afin de contourner le mécanisme de chiffrement BitLocker et de s’authentifier sur un système Windows.
L’année dernière, le chercheur Ian Haken était parvenu à déverrouiller une station de travail, même si le disque dur de ce dernier était chiffré. La vulnérabilité CVE-2015-6095 exploitée provenait du fonctionnement de Windows. Ce dernier injectait une entrée MSCache avec un nouveau mot de passe, sans vérifier que l’authentification était effectivement validée. Le patch permettait en conséquence au système de s’assurer que l’entrée ne serait injectée que lorsque l’utilisateur était « réellement » authentifié, c’est-à-dire suite à l’obtention d’un ticket TGS valide, émis par le contrôleur de domaine AD.
Les conférenciers Navel Ahmed et Tom Gilis ont trouvé un moyen de contourner l’authentification Windows et d’élever leurs privilèges au niveau SYSTEM. Les conditions d’exploitation sont les suivantes :
- le système doit avoir été mis au moins une fois en hibernation;
- la victime doit être membre d’un domaine Windows.
L’attaque se déroule en deux temps.
Dans un premier temps, l’attaquant contourne l’interface d’authentification Windows. Pour ce faire, il met en place un serveur de domaine qu’il contrôle. Au sein de l’AD, il configure le compte ciblé comme ayant un mot de passe expiré. Au démarrage du poste ciblé suivant, Windows demande ainsi à l’utilisateur de changer son mot de passe avant de continuer. Le mot de passe utilisé en cache est alors mis à jour par ce nouveau mot de passe ; la session est déverrouillée.
Dans un second temps, l’attaquant pousse une GPO spécifiquement forgée depuis le serveur de domaine malveillant. La GPO en question est une tâche planifiée qui exécute NetCat afin d’établir une connexion entre ce service et l’utilisateur authentifié. Ceci permet à l’utilisateur alors authentifié de disposer d’un Shell ayant les privilèges SYSTEM sur la machine.
Cette vulnérabilité a été corrigée par Windows le 14 juin 2016 (MS16-072 / CVE-2016-3223), 8 mois après avoir été rapportée. Les deux chercheurs ont toutefois annoncé qu’il restait toujours un moyen de contourner l’authentification Windows, non corrigée en l’état.
[distance2]
En attendant la prochaine édition de la HIP, vous pourrez retrouver d’ici peu l’intégralité des résumés des conférences dans notre prochain numéro de l’ActuSécu (#44) !
