Conférence Toulouse Hacking Convention

Le 8 mars le Cert-IST a participé à la Toulouse Hacking Convention. Nous mettons en avant ci-dessous les conférences qui nous ont le plus marquées :

Conférence 1 : Jean-Marc Bourguignon (Nothing2Hide) et Etienne Maynier (The Citizen Lab) : Infosec on the ground : butt naked Journalists & topless NGOs.

L’un des orateurs (ONG Nothing2Hide), présente comment son ONG aide et sensibilise à la sécurité numérique des ONG, des journalistes, hacktivistes… dans divers pays.

Son ONG aide notamment pour mettre en place des contournements contre les mesures de blocage mis en place par des Etats « répressifs » comme ce fut le cas par exemple en Tunisie lors des printemps Arabe. Une autre action de l’ONG est de d'enseigner les bases de la sécurité informatique, et d’apporter les outils nécessaires (VPN, TOR…) pour que les personnes travaillant dans des milieux conflictuels puissent se protéger et protéger leurs informations. En effet, l’orateur explique que les journalistes sont souvent confinés dans des « hôtels à journalistes » où il est facile d’écouter leurs communications et où les ONG sont très surveillées.

Le second orateur (The Citizen Lab), décrit les menaces pesant sur des groupes de la société civile (ONG) et le contexte politique qui peut les motiver. L’organisation a décrit plusieurs campagnes de cyberespionnage ciblant diverses communautés persécutées dans le monde. L’orateur fait ici un focus sur l’évolution des menaces, notamment au Tibet, où il décrit des attaques de spear-phishing dont les pièces jointes exploitent des vulnérabilités anciennes contrairement aux attaques évoluées de type APT exploitant des 0day. L’organisation a suivi pendant plusieurs mois une attaque et a recommandé aux utilisateurs de ne plus ouvrir directement les pièces jointes et d’utiliser plutot des services en lignes tels que Google Drive. Bien sur cette protection n'est pas absolue : elle fonctionnera seulement jusqu’à ce que l’attaquant s’adapte et utilise à son tour des services en ligne pour à nouveau piéger les utilisateurs.

Conférence 2 : Marion Lafon (CEA) : Trap your keybord 101.

L’oratrice présente son sujet de fin d’étude : réaliser une attaque à distance sur un clavier USB, pour lui ajouter une fonction d'enregistreur des touches clavier frappées (keylogger), afin de réaliser des actions nuisibles  .

L’oratrice met en exergue qu’aujourd’hui les claviers que nous connectons à nos ordinateurs sont programmables, ont de grands espaces mémoire et possèdent une puissance de calcul qui est de plus en plus importante. Elle recommande donc de prendre en compte ces nouveaux types d’équipements dans les politiques de sécurité informatique.

L’objectif de l’oratrice était d’enregistrer le mot de passe d’une cible, en mémorisant les touches appuyées, puis de rejouer cette séquence. Les contraintes étaient de ne pas modifier le matériel et de réaliser l’attaque par l'USB (plutot qu'en démontant le clavier). Il devient alors théoriquement possible de réaliser cette attaque à distance.

Pour réaliser l’enregistreur de frappes, l’oratrice a analysé puis modifié le firmware du microcontrolleur du clavier en faisant de la rétro-ingénierie car celui-ci n’était pas chiffré. Le reverse du firmware a été réalisé avec MIASM qui permet d’émuler les fonctions pour connaitre les valeurs d’entrées et celles de sorties. Après avoir compris le fonctionnement de l’adressage mémoire et les différentes fonctions du firmware, l’oratrice a réussi à modifier le firmware pour que celui-ci change la couleur du rétroéclairage d’une touche, enregistre les touches lorsqu’une combinaison de touches est saisie, et enfin rejoue les touches appuyées dès qu'une seconde combinaison de touches est effectuée.

L’oratrice a réalisé une démonstration en direct du fonctionnement de son keylogger, et a également diffusé une vidéo montrant que si le clavier est piégé et connecté à un ordinateur, celui-ci est capable d’enregistrer le mot de passe d’une session Windows. Lorsque la session est verrouillée, il est alors possible de rejouer la saisie des touches appuyées en exécutant une combinaison spécifique de touches, et ainsi déverrouiller la session et prendre la main sur le poste utilisateur.

Conférence 4 : Christophe Broca (SNAM) : CertStreamMonitor : Threat Detection & Certificate Transparency, 9 month later.

L’orateur présente quels sont les risques couverts et les avantages de la technologie Certificate Transparency. Pour comprendre le but de Certificate Transparency, l’orateur présente un certificat datant de 2011, ou un attaquant à compromis l’autorité de certification DigiNotar pour émettre un certificat générique pour Google. Ce certificat ayant ensuite été utilisé par des inconnus en Iran pour mener une attaque de type « man-in-the-middle » contre les services de Google. Pour éviter que ce type d’incident ne se reproduise, les autorités de certification ont désormais l’obligation de déposer les certificats publiques racines et intermédiaires quelles signent, dans des logs opérer par différents opérateurs. Ces logs possèdent des caractéristiques précises (append-only), sont cryptographiquement signés et publiquement auditables.

Cette technologie vise donc à faciliter la détection de certificats frauduleux ou invalides par la journalisation, consultable librement, des certificats émis par les autorités reconnues par les navigateurs et de ce fait protéger les noms de domaines.

Afin de mieux comprendre le fonctionnement de Certificate Transparency, l’orateur présente le schéma de fonctionnement de cette technologie. L’ANSSI a publié un document sur Certificate Transparency ici.

Nota : A l’heure actuelle Mozilla rencontre encore des problèmes avec l’implémentation de Certificate Transparency dans son navigateur Firefox.

Pour terminer sa présentation, l’orateur explique comment ils ont mis en place une surveillance de leurs certificats signés sur leurs noms de domaines légitime à l’aide de Cert Spotter (sslmate) pour recevoir des notifications. En effet, si un certificat sur un domaine leur appartenant est émis et non à l’initiative de leurs équipes, ces dernières pourront alors être alertées et créer un incident de sécurité. L’orateur présente aussi un outil Open Source qu’ils ont développé et baptisé CertStreamMonitor permettant de surveiller des noms de domaines proches en temps réel.

Pour rappel le DHS a publié en janvier 2019 la surveillance des logs Certificate Transparency comme bonne pratique.

Si les autres présentations vous intéressent, celles-ci sont disponibles sur Youtube à cette adresse.

• Stéphane Duverger & Anaïs Gantet : GUSTAVE: Fuzzing OS kernels like simple applications
• Julien Lenoir & Benoît Camredon : Deep Dive into an ICS Firewall, Looking for the Fire Hole
• Pierre Schweitzer & Johanna Harpon : Feedback on end-user web connections cleaning through proxy with TLS bump
• Vincent Nicomette : Vulnerability analysis of ADSL Boxes and Smart TVs