Résumé de la réunion du groupe Paris de l’OSSIR du 14 février 2012

Résumé de la réunion du groupe Paris de l’OSSIR du 14 février 2012

Comme chaque mois, la réunion du groupe de travail parisien a donné lieu à la présentation de deux projets, puis à la revue d’actualité du mois présentés par des professionnels de la sécurité.

Authentification forte dans le Cloud (Bruno Abramatic & Olivier Perroquin / In-Webo)

La première intervention d’Olivier Perroquin a permis de présenter un projet d’authentification forte, franco-français, innovant, et « on the cloud ». Après deux ans et demi de R&D, la société lance une solution d’authentification forte à double facteur qui se veut économique, souple et simple à mettre en place pour ses clients.

Comme les différents SoftToken du marché, celle-ci repose donc sur un composant logiciel installé sur les différentes plateformes et intégré aux différents navigateurs Web (IE, Firefox, Chrome et prochainement Safari), mais aussi sur les nouvelles plateformes telles que les Smartphones ou les tablettes. Parallèlement, l’utilisateur à authentifier possède toujours son mot de passe personnel. À l’aide de ces deux éléments distincts, il est en mesure de s’identifier et de s’authentifier auprès de toutes les applications capables d’interagir avec le service d’In-Webo, qui est hébergé dans les nuages.

Mais afin de rendre ce service sûr d’utilisation, In-Webo ne s’est pas contenté de développer un N-ième SoftToken. En effet, ceux-ci souffrent structurellement d’un problème majeur nuisant à la sécurité de la solution d’authentification forte. Contrairement à un token physique, tel que celui que propose RSA par exemple, il est possible de retrouver le PIN de l’utilisateur d’un SoftToken via un processus de rétro-ingénierie et la connaissance d’un OTP (mot de passe unique généré par le SoftToken). Cette faiblesse rend souvent la solution SoftToken inadaptée à l’objectif d’authentification forte recherché. Pour contrer ce problème, In-Webo a défini une solution, reposant sur plusieurs brevets, au sein de laquelle plusieurs secrets sont contenus dans le SoftToken (clés dynamiques en plus d’une clé secrète). L’architecture de la solution n’est pas en reste puisque toutes les données sensibles sont stockées au sein de cartes HSM. Une certification en cours (prévue Q1 2012) devrait confirmer la solidité de cette solution.

Enfin, en déplaçant son service d’authentification dans les nuages, In-Webo est en mesure de proposer une interface unique permettant d’authentifier les utilisateurs auprès de nombreux services de l’entreprise dans différents contextes applicatifs. En effet, grâce à ces différentes API et connecteurs de sécurité, la société est en mesure d’intégrer « simplement » sa solution d’authentification forte aussi bien au sein d’un accès VPN, d’un serveur Radius, d’un CMS, d’un blog ou encore de multiples WebApps telles que les Google Apps, Salesforce, ou encore Office365.

Finalement, en s’assurant de la sécurité du SoftToken, ainsi qu’en déplaçant son service d’authentification dans les nuages, In-Webo propose un service d’authentification innovant, sûr (??), souple et simple d’utilisation aussi bien pour l’utilisateur que pour l’entreprise. Le principal argument de vente repose sur la faiblesse des coûts d’utilisation (facturation à l’utilisation) et l’absence de coût de mise en production. Enfin, cette société ne souhaite pas se limiter au marché de l’authentification forte, mais se présente également comme un hub d’identité en mutualisant son architecture sécurisée pour le stockage de documents fournis par des tiers (ex: facture EDF) ou encore les clés de coffre-fort numérique. Bref, il ne manquerait plus qu’une certification reconnue pour satisfaire les plus crédules.

SLIDES

Attaques sur Mac OS X (Arnaud Malard)

La seconde intervention a été donnée par Arnaud Malard. Intitulée « Attaques sur Mac OS X », cette présentation s’est focalisée sur les différentes faiblesses pouvant être exploitées au sein du système d’exploitation d’Apple, ainsi que sur ce qu’il est possible d’en tirer.

Après avoir rappelé les origines historiques du système, le consultant a introduit la présentation de son architecture en rappelant les notions de kernel monolithique, de microkernel et enfin de kernel hybride, puis en présentant les différents modes de démarrage de l’OS.

Dans la première partie de la présentation, le « Target Mode » a été décortiqué. Ce mode démarrage, accessible en maintenant la touche « T » enfoncée au cours du processus de lancement du système, permet à un attaquant ayant un accès physique au système de le convertir en « disque dur externe ». En effet, via ce mode, il est possible de brancher en FireWire le Mac ainsi démarré à un autre ordinateur, et d’accéder par ce biais à l’ensemble du système de fichiers depuis le second PC. Il est ainsi possible de récupérer l’ensemble des fichiers stockés sur le Mac, tel que les empreintes de mot de passe des utilisateurs (dans /var/db/shadow/hash/). Ensuite, à l’aide de John, il est possible de récupérer le mot de passe de l’utilisateur, et dans ce cas, d’obtenir un accès en tant que simple « utilisateur » sur le système. Cependant, en fonction de la configuration de la commande « Sudo », il est potentiellement possible d’obtenir un accès « root ». Via cet accès en FireWire au système de fichiers, il est aussi possible de récupérer d’autres fichiers tels que les trousseaux de mots de passe des utilisateurs (login.keychain), ou encore le contenu du $HOME des utilisateurs ayant chiffré leurs données avec FileVault ($USER.sparsebundle). Pour accéder à leurs contenus, il suffit de connaitre le mot de passe de l’utilisateur ciblé…

Dans la seconde partie, Arnaud s’est intéressé à l’acquisition du contenu de la mémoire physique d’un système Mac OS, depuis un compte ouvert sur le système, mais aussi via un accès DMA. Ce mécanisme permet d’accéder en lecture et en écriture à la mémoire d’un système sans avoir à passer par le processeur, via des interfaces telles que le FireWire. Il est ainsi possible d’accéder à l’ensemble des informations contenues dans la RAM, alors même que la session utilisateur est verrouillée. Enfin, si les deux précédentes attaques ne sont pas réalisables, il est toujours possible d’accéder au contenu de la mémoire sauvegardée lors d’une précédente mise en veille prolongée du système. En effet, de la même façon que Windows stocke le contenu de la mémoire dans le fichier « hiberfil.sys », Mac OS X stocke ces données (par défaut non chiffrées) au sein du fichier « /var/vm/sleepimage ». En recherchant simplement à l’aide d’outil tel que « Grep » certaines signatures dans l’image faite de la mémoire, il est possible de retrouver certains mots de passe utilisés par l’internaute (7Zip, Web App, VPN, …). Enfin, dès qu’une signature fiable sera trouvée, il devrait être prochainement possible de contourner la mire d’authentification de l’utilisateur en manipulant le contenu de la mémoire via un accès DMA.

Dans la dernière partie, le chercheur s’est intéressé aux différentes options permettant à un attaquant d’obtenir des privilèges utilisateurs, puis de les élever. Par défaut, certaines fonctions de Mac OS simplifient la première partie visant à obtenir les privilèges utilisateurs. En effet, lors de la création du premier utilisateur, celui-ci est configuré par défaut pour se connecter automatiquement. De même, l’identifiant de l’utilisateur est broadcasté sur le réseau local par différents vecteurs, tels que le protocole Bonjour, ou encore la fonction de partage de musique intégrée à iTunes. Le chercheur a rappelé que même si peu de codes d’exploitation ciblant Mac OS X sont disponibles, il en est tout à fait différent pour les applications tierces telles que Safari, iTunes, iChat, QuickTime, Skype. Il est donc enfin possible de compromettre ce système à distance. Enfin, une des attaques les plus basiques pour élever ses privilèges reste de tester les différents mots de passe enregistrés dans le trousseau de l’utilisateur courant. Cela semble difficile via l’interface graphique, puisque le mot de passe de l’utilisateur courant est demandé lorsque l’on souhaite accéder aux mots de passe enregistrés dans le trousseau, cependant, cette protection est plus de l’ordre de l’illusion qu’autre chose. En effet, cette même information peut tout à fait être obtenue en ligne de commande via l’utilitaire « security », sans avoir besoin d’entrer de mot de passe…

Enfin, Arnaud a conclu en rappelant quelques bonnes pratiques permettant de protéger son Mac contre un attaquant ayant physiquement accès au système.

BLOG

PAPER

Revue d’actualité (Nicolas Ruff)

La réunion s’est conclue par la revue de l’actualité du mois écoulé, aussi bien en matière de publication de correctifs et de découverte de faille de sécurité, qu’en matière d’information. Voici un extrait des informations les plus marquantes :

  • Le directeur du développement Windows Phone part travailler sur le Kindle d’Amazon
  • Une BETA publique de Windows 8 est prévue pour la fin du mois
  • Si vous ne désactivez pas la fonction « SFR WiFi Public » sur votre box… tout le monde peut utiliser votre adresse IP publique
  • Internet passe à IPv6 le 6 juin 2012 : AT&T, Bing, Cisco, Comcast, D-Link, Facebook, Free Telecom, Google, Internode, KDDI, Time Warner Cable, XS4ALL et Yahoo
  • La faille FreeBSD/Telnet (CVE-2011-4862) est exploitable sur IronPort
  • Flash Player sandboxé (BETA) pour Firefox 4+ et Vista+
  • D’après « techworld.com », 97% des pertes de données sont liées à des injections SQL
  • Une application pour SmartPhone permet d’écouter les fréquences de la police
  • Symantec a bien été piraté en 2006 (vol du code source de plusieurs produits) et il faut absolument arrêter d’utiliser PcAnywhere
  • Selon le Pentagone, il est impossible de défendre le Pentagone contre les cyberattaques, car le réseau est trop « bordélique »

SLIDES

Enfin, les organisateurs ont demandé aux personnes souhaitant assister aux prochaines JSSI de s’inscrire au plus vite, pour simplifier les dernières tâches liées à l’organisation de la journée. Dépêchez-vous, les places sont comptées !

Rendez-vous le 10 avril prochain pour la prochaine réunion du groupe Paris de l’OSSIR.


Cert-XMCO