7 juin 2019

Retours sur le SSTIC – 17e édition – Jour 2

SSTIC

Article mis à jour le 08 juin 2019

Le Monitoring de BGP : où la sécurité rencontre la géométrie Riemmanienne [Conférence invitée]

Par Kavé Salamatian (Université de Savoie)

La conférence invitée a porté sur le sujet de monitoring BGP et a été présentée par Kavé Salamatian. Cette conférence particulière et originale mêlait à la fois mathématiques avancées, informatique et géopolitique.

Le professeur a débuté sa conférence en définissant ce qu’est un graphe. Il peut être défini comme un modèle abstrait de dessins de réseaux reliant des objets. Ces modèles sont constitués de nœuds et de liens.

La problématique posée par le conférencier est simple : Comment déterminer si un changement local aura un impact global sur le graphe (réseau) ?

Pour répondre à cette question, il est nécessaire de sortir des outils avancés de mathématiques, notamment, pour passer de la géométrie à la topologie tel que le théorème de Gauss-Bonnet. D’autres outils tels que la courbure de Ricci ou encore le théorème de Poincaré sont mentionnés.

D’autres problèmes similaires présentés par le passé ont été évoqués. Parmi eux, il a été cité la brouette de Monge qui pose le problème de transport avec le moindre coût de la matière d’un remblai vers un déblai ou encore le problème posé par Kantorevitch.

La finalité de tout cela est la surveillance de graphe qui permet ainsi d’observer comment évolue un graphe global suivant des différences locales. Les applications de cela sont diverses, mais celle présentée concerne BGP.

BGP (Border Gateway Protocol) est un protocole (utilisé sur le réseau Internet) d’échange de routes externes. Son objectif est d’échanger des informations de routage et d’accessibilité de réseaux entre AS (Autonomous Systems).

Dans sa théorie, les AS sont les nœuds du graphe. Ainsi, il est possible surveiller le graphe représentant Internet. Pour la détection des évolutions et changements, il est nécessaire de définir un seuil de déclenchement (issu de la norme de Frobenius).

La distribution des anomalies détectées peut être corrélée à des faits historiques et géopolitiques. Parmi celles-ci, il a été mentionné :

  • Google leakage (25/08/17)
  • Brazil leakage (27/10/17)
  • Russia Hijack (12/12/17)

Pour conclure, l’utilisation de nouvelles approches de géométrie différentielle et de topologie semble être très prometteuse pour la cyber-sécurité. De plus, ce domaine du suivi de graphe reste jeune et dispose encore d’une grande marge de progression.

Watermarking électromagnétique de drones

Par José Lopes Esteves

Introduction

José, venant de l’ANSSI a présenté ses recherches sur une des menaces liée à la sécurisation de l’information, et qui a pour origine les phénomènes électromagnétiques. Dans un premier temps, le présentateur a défini ce qu’est le watermarking électromagnétique. Ensuite, il a expliqué comment l’appliquer lors du « forensic tracking » sur des drones.


Watermarking électromagnétique

Le watermarking électromagnétique permet d’exploiter des perturbations électromagnétiques qui vont altérer directement ou indirectement l’état interne de la cible de manière persistante. Toutes les perturbations ne sont pas utilisables. En effet, il faut que les effets soient reproductibles et transitoires. Si cet effet est journalisé, il est possible de trouver un canal caché de stockage afin d’insérer un marqueur chez une cible non coopérative. Ce canal varie en fonction de la cible et du contexte. Le temps d’écriture sera plus ou moins rapide ainsi que sa capacité maximale.

 
Forensic Tracking

C’est un ensemble de procédés qui retrace l’activité d’une cible pour la localiser dans l’espace et le temps. Par exemple, il y a le tatouage numérique pour les salles de cinéma. En injectant un marqueur dans un film qui est projeté, il est possible de savoir quand et où ont été capturées les images du film. Aussi, la localisation dans le cinéma du périphérique qui a été utilisé pour diffuser ce film peut être connue.


Application sur les drones

Ce “forensic tracking” est idéal pour la lutte contre les drones dans les zones sensibles. Les moyens de neutralisation sont encore peu nombreux, mais inclus la dégradation du système GPS ou encore, des armes à énergie dirigée électromagnétique. Ce dernier permet d’atteindre un drone qui survole une “no-fly” zone et c’est ce dernier cas qui a motivé ce chercheur de l’ANSSI. Sur un drone test, piégé dans une cage de Faraday, l’auteur a récupéré une partie des effets exploitables liés au capteur de l’accélération verticale. Le canal observé est de 7,5 bit/s, la distance parcourue par le drone pendant 1 octet est d’environ 16 mètres. C’est un cas d’étude satisfaisant qui serait amené à être poursuivi en situation réelle.

Conclusion

En conclusion, l’utilisation des perturbations électromagnétiques pour marquer un drone non coopératif demande beaucoup d’efforts. Il faut d’abord reconnaître des effets pouvant être exploitables.

Aussi, il y a une forte dépendance à la cible. Il n’y a pas de maîtrises du signal dans lequel nous allons transmettre l’information. Globalement, c’est une preuve de concept qui fonctionne et cette technique peut être associée à d’autres perturbations physiques comme les fautes, le brouillage ou le leurre de capteurs pour obtenir de meilleurs résultats.

Mirage, un Framework offensif pour l’audit du Bluetooth Low Energy

Par Jonathan Roux et Romain Cayre

Jonathan introduit le sujet en indiquant la quantité de problèmes de sécurité au sein des objets connectés (IOT). Cela serait en partie dû à la grande diversité des technologies développées dans le cadre de l’IOT. Jonathan et son équipe ont développé un système de détection d’intrusion (IDS), c’est pourquoi ils voulaient le tester en lançant des attaques. Pour cela, ils ont fait appel à Romain qui a effectué son stage de fin d’études au sein de leur organisation.

Romain a ensuite présenté l’architecture de son outil, Mirage, un Framework offensif pour lancer des attaques par Bluetooth Low Energy. Celle-ci se compose des briques suivantes :

  • Core : cœur du Framework, en charge de la gestion des entrées, des tâches de fond, de la prise en compte des fichiers de configuration, de l’appel des différents modules.
  • Libs : contient les éléments de l’affichage, les piles protocolaires et les fonctions de communication
  • Modules : implémentation des actions simples sur les protocoles et des attaques
  • Scénario : les scénarios permettent de gérer plusieurs contextes en faisant évoluer le comportement d’un module sans réécrire son code

L’architecture de communication a par ailleurs été présentée. Afin que celle-ci soit compatible avec tous les modules, ils ont développé des composants majeurs : l’émetteur et le récepteur. Grâce à cette architecture, l’outil peut intercepter les trames Bluetooth et y répondre.

Le Bluetooth est ensuite présenté par Jonathan qui explique que les trames Bluetooth peuvent être transmises selon 2 modes sur les couches basses :

  • Mode d’advertising : lorsqu’un appareil arrive dans un environnement, il signale aux autres qu’il est joignable. Ce mode est similaire à une diffusion en broadcast.
  • Mode connecté : ce mode met en place une topologie de communication maître/esclave.

Sur les couches plus hautes, il existe les couches GATT et ATT parmi lesquelles sont gérées les caractéristiques des appareils. Ces couches permettent également de fournir des zones de stockage où il est possible de lire et d’écrire.

D’autre part, il existe une couche au même niveau que GATT et ATT appelé « Security Manager » en charge de gérer les mécanismes de sécurité pour les communications. L’initialisation de communication en mode connecté est effectuée en 5 étapes :

  1. Phase d’appairage : négociation d’une clé commune à partir d’un code PIN
  2. Génération des Short Term Key (en dérivant la clé précédemment négocié)
  3. Génération de Long Term Key
  4. Chiffrement de Long Term Key à partir de Short Term Key
  5. Échange de Long Term Key chiffré entre les appareils.

Romain a ensuite présenté les modules de Mirage. Cet outil vient se placer entre une émulation d’un smartphone Android. Ces modules permettent de réaliser des actions simples et des attaques telles que :

  • Scanner l’environnement pour trouver des appareils
  • Envoyer des advertisement pour signifier sa présence
  • Réaliser le mécanisme d’appairage
  • Envoyer, recevoir des communications
  • Réaliser des attaques Man In The Middle (MITM)
  • Effectuer des attaques Bluetooth Low Energy Hijack

Une démonstration a ensuite été réalisée. Le scénario montre un Smartphone émulé sur un ordinateur portable. Ce smartphone va se connecter à une lampe connectée (Bluetooth). L’outil est ainsi capable d’intercepter les flux et d’en visualiser le contenu.

Mirage a par exemple permis à Romain de rejouer une trame permettant de changer la couleur de la lumière émise par la lampe.

En pratique ce Framework a permis de tester l’IDS développé par Jonathan en automatisant des comportements offensifs. Toutefois, des points d’évolution ont été pointés par les présentateurs tels que l’ajout de nouveaux protocoles, de nouvelles attaques, ainsi que l’utilisation des modules offensifs du côté défensif.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *