Les GS Days (Global Security Days), comme leur nom ne l’indique pas, se tiennent sur une seule journée. Cette année, c’était le 4 avril et le succès était au rendez-vous avec des conférences de qualité et un public fort nombreux.
Nous étions présent en force avec quatre représentants de l’équipe Gouvernance et Architecture et un de Security Services pour couvrir l’événement. Voici mon retour sur trois des conférences auxquelles j’ai assisté.
*
* * *
Hacktivistes, de la scientologie aux cyber-guerres
Après une conférence plénière particulièrement animée sur la sécurité dans le Cloud (cf prochaine partie des comptes-rendus sur les GS Days à venir), j’assiste à la conférence de Yoann HEDDE, pentesteur chez Lineon, qui dresse un état des lieux du profil des hacktivistes et de leurs actions les plus marquantes de ces 10 dernières années.
Il commence par rappeler qu’un hacktiviste est défini comme une personne utilisant des moyens informatiques pour servir des causes politiques et notamment défendre la liberté d’expression. Pourtant dans la réalité, il y a bien différents types d’hacktivistes dont certains s’éloignent de cette image d’Epinal. Les script-kiddies notamment, sans réelles compétences et avec des agissements dans un but largement orienté provocation ou amusement, peuvent s’autoproclamer hacktivistes et relayer une image particulièrement négative de cette activité. A contrario, de nombreux hacktivistes sont des informaticiens qui vont servir des causes nationales voire des hackers chevronnés qui vont mener des attaques ciblées à but politique contre des organisations, des Etats ou des institutions.
Les causes défendues sont diverses, les hacktivistes sont par exemple très actifs au niveau de la lutte contre la pédophilie (cf opération Darknet). Certains hacktivistes peuvent même se mobiliser dans le cadre de faits divers pour aider à réunir des preuves contre des groupes d’individus coupables par exemple de harcèlement contre une mineure (cf affaire Amanda Todd) et voir ensuite ces preuves utilisées par la justice pour instruire le procès. Dans un autre registre, ils interviennent aussi pour distribuer des kits de connexions ou sensibiliser les populations vivant dans des pays où internet est très censuré et surveillé. Ce genre des kits a été notamment distribué en Tunisie lors du printemps arabe et plus récemment en Syrie.
Mais les moyens utilisés par les hacktivistes pour se faire entendre peuvent aussi être beaucoup plus agressifs, on connait notamment les moyens régulièrement utilisés d’atteinte à l’image (défacement, typosquatting), d’atteinte à la personne (cf cas de la députée Sarah Pallin ou de l’adolescente Jessi Slaughter) voire d’atteinte à l’organisation via des attaques de déni de service (cf opérations Payback contre la fermeture de PirateBay).
L’orateur a conclu en évoquant les polémiques récentes autour des groupes d’hacktivistes. Tout d’abord, celle au sujet des attaques DDoS, portant souvent atteinte à une des causes qu’ils mettent eux-mêmes un point d’honneur à défendre : la liberté d’expression. Cela est fortement décrié par certains grands pionniers du web comme par exemple JP Barlow (fondateur de l’Electronic Frontier Foundation) qui considère ces attaques comme le poison du cyberespace. Ensuite, les Etats s’interrogent sur la façon dont ils doivent considérer les hacktivistes. Le gouvernement actuel des Pays-Bas fait l’éloge de leur action dans le domaine de la traque des pédophiles (bien que celle-ci ait parfois mené à de fausses accusations en masse) quand au contraire les Etats-Unis, par l’intermédiaire de Barack Obama, condamnent haut et fort les groupes comme Anonymous en les pointant comme un danger pour la démocratie.
Réaction
Une conférence plutôt complète sur les grandes actions menées par les hacktivistes, dommage cependant que l’orateur ait survolé la plupart de ces actions et n’ait pas décrit plus en profondeur au moins une de leurs attaques d’ampleur récentes (#opsony par exemple). Par rapport aux risques dans le monde de l’entreprise, j’ai été notamment sensible au rappel de la menace de défacement bien réelle des sites institutionnels particulièrement fréquentés des grands groupes.
*
* * *
*
Extraction de données authentifiantes de la mémoire Windows
J’enchaine sur une conférence plus technique cette fois, animée par Steeve Barbeau, pentester chez HSC. Ce dernier souhaite d’abord nous transmettre tous les prérequis pour la compréhension du système de gestion des identifiants, toutes versions de Windows confondues, avant de rentrer dans le vif du sujet : la récupération des mots de passe de sessions Windows grâce à un outil de sa conception. La première partie ressemble donc plus à un cours magistral qu’autre chose mais rapidement l’orateur s’attaque aux vulnérabilités.
Par défaut les 10 derniers authentifiants saisis sont stockés en local par Windows afin d’être utilisés lorsque l’AD est injoignable. Pour les trouver et les déchiffrer, rien de plus simple, « il y a une appli pour ça » : fgdump (module de metasploit) ! Autre faille assez bien connue : le stockage des mots de passe de session en RAM (pour le SSO), nous avons pour cela le très bon outil Mimikatz qui se charge d’extraire et de déchiffrer ces mots de passe pour nous. Mais comment cela fonctionne-t-il ? L’outil permet en fait d’accomplir trois étapes indispensables: identifier la localisation des clés de chiffrement, extraire les empreintes des mots de passe dans les bibliothèques de LSASSSRV.dll puis déchiffrer des données en mémoire en ayant récupéré préalablement la clé de chiffrement et l’Initialization Vector dans la librairie de chiffrement BCrypt.dll.
Mimikatz a cependant un inconvénient : il doit être installé sur le poste cible pour pouvoir en extraire le mot de passe de l’utilisateur connecté. Seul hic : les antivirus connaissent maintenant bien sa signature et son heuristique et cela se complique alors sérieusement. C’est là qu’intervient l’extension Meterpreter développée par l’orateur : Sessiondump (disponible ici sur le site d’HSC : http://hsc.fr/ressources/outils/sessiondump/). Pouvant être exécuté sur une machine distante prenant le contrôle de la machine cible, il permet l’extraction des hash de mots de passe et des mots de passe en clair de façon totalement silencieuse, démonstration à l’appui !
Pour conclure, l’orateur nous donne quelques conseils de base pour diminuer la vulnérabilité de son parc Windows : désactiver les packages d’authentification et les SSP (Security support provider) non utilisés, limiter l’utilisation de comptes privilégiés et ne pas laisser de session active !
Réaction
Force est de constater la puissance de l’outil présenté et en même temps les faiblesses de conception de l’OS de Microsoft au niveau de la gestion des mots de passe. Finalement l’utilité des mots de passe mais aussi de l’authentification forte avec carte à puce sous Windows sont remises en cause quand on sait qu’elles sont toutes deux vulnérables aux attaques du type Pass the hash. On se consolera en notant que ces attaques nécessitent les droits d’administration sur la machine cible ce qui diminuera assez nettement l’exposition chez les entreprises rigoureuses en termes de gestion des comptes à privilèges.
*
* * *
*
HTML5 et la sécurité, un point d’étape
Après un petit historique des versions d’HTML (HTML a 20 ans cette année!), Sebastien Gioria de l’OWASP se focalise sur les nouvelles API d’HTML5 dont une bonne partie se présente comme de nouvelles surfaces d’attaques potentielles très intéressantes.
Il s’attaque d’abord aux WebSockets, a priori très pratiques (création d’un tunnel http bidirectionnel client/serveur avec possibilité de faire du push) mais pouvant être vecteurs de nombreux scénarios d’attaques : Shell distants, port scanning, Botnet web voire empoisonnement de cache de proxy.
Le Web Messaging est également une belle amélioration fonctionnelle (API de communication entre deux documents html, ex : entre 2 iFrames, 2 fenêtres, 2 onglets) mais aussi une porte ouverte supplémentaire aux attaques XSS, la vérification de l’origine du contenu transmis étant à la charge de l’appli réceptrice.
L’orateur continue avec l’API IndexedDB. Permettant le stockage d’objets en SQL sur le client, ce protocole a été pensé pour le JavaScript et se révèle être injectable. Le Web Storage, quant à lui, permet de stocker tout type de contenu dans le navigateur avec maximum 5 Mo par origine…en théorie ! En pratique, l’implémentation actuelle du standard permet un bourrage du disque en se connectant via un seul site. Exemple concret d’implémentation détournée via www.filldisk.com où vous pourrez remplir votre disque dur en moins de temps qu’il n’en faut pour le dire avec 60Mo…de chats !
L’orateur aborde brièvement les nouvelles possibilités d’applis offline, offrant de nouvelles perspectives pour les APT puis il se penche sur le cas des Web Workers. Censés alléger l’exécution d’une page web et mieux exploiter les CPU multicœurs en lançant des traitements JavaScript en tâche de fond, ils peuvent directement faire des appels XMLHttpRequest et donc être utilisés comme vecteur d’attaques DDoS ou brute force.
Le présentateur en conclue que l’ouverture proposée par HTML5 se fait donc, comme souvent, au détriment de la sécurité : omniprésence du JavaScript exécuté toujours plus en profondeur sur le client, toujours plus de contenu stocké sur le client mais pas forcément effacé, etc. Cependant le standard et son implémentation évoluent pour diminuer les vulnérabilités, d’autant plus que Google, souhaitant le mettre en avant au détriment de ses concurrents, investit pour une plus grande fiabilité d’HTML5.
Réaction
Le présentateur a su allier avec brio technique et fonctionnel pour présenter de façon très parlante les faiblesses actuelles du standard. On en ressort avec un sentiment partagé entre optimisme, quand on sait que certaines vulnérabilités sont déjà en cours de correction, et panique lorsqu’on imagine toutes les nouvelles mauvaises pratiques de développement que les Web Agencies peuvent potentiellement adopter lorsqu’elles se mettront à HTML5. La transmission de guidelines détaillées de développement par l’équipe sécurité, ainsi que des revues de code systématiques avant toute mise en production semblent plus que jamais nécessaires.