14 juin 2018

Retours sur le SSTIC – 16e édition – Jour 1

SSTIC

Le Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC) réunit de nombreux professionnels de la sécurité informatique pendant 3 jours à Rennes pour traiter de divers sujets techniques dans l’ensemble des domaines de la sécurité informatique.

Cette année, BSSI était présent à la 16e édition. Dans cet article nous vous proposons des résumés de quelques conférences du premier jour :

Certificate transparency ou comment un nouveau standard peut aider votre veille sur certaines menaces

(Par Christophe Brocas et Thomas Damonneville)

Christophe Brocas et Thomas Damonneville du département de sécurité de la Caisse Nationale d’Assurance Maladie (CNAM), ont présenté leurs travaux autour du projet “Certificate Transparency” (CT).

Il s’agit d’une initiative lancée par Google en 2013, et reprise par l’IETF, visant à obliger les autorités de certification (AC) à consigner tous les certificats publics qu’elles signent au sein de journaux intègres et ouverts à consultation. Le but est d’avoir une visibilité sur toutes les émissions, offrant ainsi la possibilité de vérifier si les certificats publics sont légitimes.

Les conférenciers ont commencé par expliquer le risque que peut couvrir le projet CT, à savoir : la compromission de l’AC par un attaquant qui pourra usurper l’identité d’un organisme en menant une attaque de type Homme du milieu entre le serveur et le client.

Ce premier risque en induit un autre qui est celui du faux sentiment de sécurité quant à l’intégrité du certificat, en l’absence de moyens de notification en cas d’émissions frauduleuses.

La réponse apportée quant à ces risques par le projet CT est celui de contrôler la sécurité des certificats consignés dans les journaux CT, ainsi que de rejeter, dans la réponse du navigateur, tout certificat signé par un AC n’ayant pas suivi les recommandations du projet.

Ensuite, les deux orateurs ont décrit le fonctionnement de ce projet dans le cadre de la mise en place d’un certificat TLS pour un site web :

  • La première étape consiste à faire une demande de certificat auprès de l’AC
  • Ensuite, l’AC envoie un pré-certificat à destination des journaux CT
  • Si la demande est acceptée, les journaux CT renvoient une preuve signée « Signed Certificate Timestamp » (SCT)
  • L’AC signe le pré-certificat et le SCT, et émet le certificat résultant au client
  • Enfin, lors de la communication en HTTPS en utilisant ce certificat, le navigateur vérifie si le certificat a bien été consigné dans un dépôt CT légitime.

L’intérêt de ce projet réside dans deux usages différents :

  • La surveillance des émissions sur les domaines de la CNAM : un feedback d’alerte est envoyé en cas d’émissions frauduleuses sur les domaines légitimes de la CNAM. Dans ce cadre, l’outil “SSLMate” est utilisé pour notifier les équipes de sécurité en cas de présence de certificats non autorisés.
  • La surveillance des émissions sur des domaines dits « proches » : envoi de notifications en cas d’émissions frauduleuses sur les domaines malveillants « proches » des domaines légitimes de la CNAM, souvent utilisés lors d’attaques de phishing.

Enfin, Christophe Brocas et Thomas Damonneville ont évoqué les limites de cette initiative :

  • La surveillance ne permet pas d’alerter en cas d’attaques utilisant des sites en HTTP
  • Si le domaine n’a pas de chaînes de caractères proches des mots clés définis, aucune détection n’est possible
  • Les volumes de données obligent l’utilisation de moniteurs intermédiaires, réduisant ainsi le niveau de confiance par rapport à l’identité de l’émetteur.

Smart TVs: Security of DVB-T

(par Chaouki Kasmi, José Lopes Esteves et Tristan Claverie)

Les intervenants du laboratoire de Rennes de technologie sans fil, ont réalisé une présentation portant sur les protocoles et mécanismes sous-jacents à la radio diffusion de la télévision numérique terrestre (TNT). Le travail de recherche a été fait majoritairement dans le cadre d’un stage de fin d’études à l’INSA Rennes.

La présentation a commencé par une présentation du contexte de la télévision connectée, puis le focus a été porté sur le protocole de communication et services utilisé sur la TNT (DVB-T) ainsi que les applications interactives HBBTV déployées par les chaînes de télévision numériques terrestres.

L’accent a été mis ensuite sur les différents problèmes de sécurités rencontrés ainsi que les contre-mesures normatives émises pour les régler par DVB ainsi que les faiblesses qui ont été omis ou mal traités.

Lors de la conclusion, les auteurs ont évoqué quelques recommandations qui permettront d’améliorer potentiellement le niveau de sécurité du service et insistés sur le fait que les télés connectées ne sont pas adaptées à un déploiement dans un milieu professionnel.

Escape Room pour la sécurité

(par Eric Alata, Erwan Beguin et Vincent Nicomette)

Au cours de cette courte présentation, Erwan, actuellement étudiant au sein de l’INSA nous a présentés un concept de sensibilisation sous la forme d’escape room.

Les escapes room étant particulièrement en vogue en ce moment, l’équipe a fait le choix d’utiliser l’intérêt actuel pour y faire de la sensibilisation au sein de l’INSA grâce à plusieurs scénarios ou les participants se trouvent dans la peau d’un attaquant ou d’un défenseur.

Ce retour a permis de mettre en évidence que même au cours d’un jeu, les principes du social engineering restent bien présents et peuvent amener les participants à réaliser des actions à risques (divulgation du mot de passe par téléphone, insertion d’une clé USB, etc.).

La sensibilisation statique grâce à des slides est importante, mais le fait de mettre les participants au cœur de l’histoire semble avoir encore plus d’impact sur la compréhension des risques.

Three vulns, one plug

(Par Olivier Dubasque)

Olivier a présenté le cheminement décrivant la découverte de vulnérabilités d’une prise de courant connectée.

La présentation a commencé avec la description de l’objet, une “smart” prise. Celle-ci a un fonctionnement assez flou. En effet, celle-ci se connecte “automatiquement” au réseau local, après avoir renseigné le mot de passe de notre point Wi-Fi au sein de l’application mobile contrôlant la prise.

Cependant, la phase de connexion au réseau local n’est pas claire. L’application a été étudiée afin de voir comment il est possible que celle-ci se connecte. Après étude, il a été mis en évidence que des faux paquets sont envoyés, ainsi que des paquets en broadcast contenant des données. Seulement ces données se sont avérées être la clé wifi envoyée, avec un chiffrement par décalage (ou code de César). La clé est envoyée sur plusieurs messages, et ceux-ci ont une longueur égale a une valeur définie plus la valeur ASCII du caractère. Il a donc été facile pour les chercheurs de trouver l’algorithme et retrouver la clé.

Ensuite, ils ont ouvert l’appareil afin de voir comment il était fait. Il s’avère que la puce wifi connectée dispose d’un port UDP ouvert permettant de contrôler l’appareil à distance. En faisant de la rétro-ingénierie sur l’application, il a été possible de trouver une chaîne de caractère permettant au port de répondre aux requêtes, et ainsi contrôler l’appareil. Il est également possible de se connecter en UART à deux connecteurs, et récupérer la clef wifi précédemment rentrée.

Pour conclure, une solution a été trouvée pour utiliser ce matériel sans faire fuiter le mot de passe wifi. La solution consiste à utiliser la fonctionnalité WPS qui n’avait pas été activée précédemment, et brancher le tout a un arduino avec un bouton. De cette manière, il est possible de se connecter via WPS de manière plus sécurisée, bien que l’appareil reste exploitable par d’autres moyens.

Du PCB à l’exploit : Méthodologie et étude de cas d’une serrure connectée Bluetooth Low Energy

(Par Damien Cauquil)

Après avoir réalisé un retour sur la sécurité des cadenas connectés Bluetooth en juin 2017 lors de la conférence Hack In Paris, Damien Cauquil, chercheur en sécurité chez Digital Security, nous a livré cette année une méthodologie ainsi qu’une étude de cas d’une serrure connectée BLE (Bluetooth Low Energy).

Une fois de plus Damien a démontré une absence de sécurité sur les nouveaux objets connectés qui sont en plein essor.

La méthodologie qu’il illustre via l’exemple de la serrure connectée permet d’aiguiller les pentesters qui sont de plus en plus sollicités pour auditer des systèmes de plus en plus variés (ne reposant pas sur un système d’exploitation GNU/Linux).

Cette approche méthodologique part du circuit imprimé (et donc de ses composants) à la recherche et à l’exploitation de ses vulnérabilités.

L’approche technique se base sur celle publiée par Rapid7 et se résume aux six étapes suivantes :

  1. Analyse fonctionnelle de l’équipement à tester
  2. Recherche de vulnérabilités matérielles
  3. Rétro-ingénierie de circuits imprimés
  4. Collecte et désassemblage des micrologiciels
  5. Recherche de vulnérabilités logicielles
  6. Analyse des communications de l’équipement.

Enfin, différents outils open source ont été brièvement présentés afin de faciliter les analyses des circuits et communications liées aux objets connectés.

 

Régis Senet

Régis Senet :
Consultant BSSI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *