Une société française qui fait ce qu’on appelle le « buzz » en ce moment, s’est amusée à réaliser – et l’idée, faut l’admettre, est très loin d’être bête – des captchas publicitaires. En gros, l’astuce est de recopier un superbe slogan publicitaire pour valider un formulaire – le captcha – histoire qu’il s’imprime bien dans notre mémoire. Cool, n’est-ce pas ?

Un captcha, qu’est ce que c’est ?

Un captacha est – pour faire simple – un système utilisé pour sécuriser un formulaire web (pour envoyer des commentaires, par exemple) contre le spam. En effet, le spam est généré par des programmes informatiques qui peuvent valider des formulaires automatiquement et donc, envoyer des messages en masse. Les captchas servent donc pour différencier un robot (un programme informatique) d’un humain (avec une réelle intelligence). Vous en avez tous vu, cela ressemble à ceci :

Aujourd’hui, il existe plusieurs types de captchas avec des niveaux de sécurité et de complexité différents. Voici une liste que je pense exhaustive : Des captchas full texte ; « drag’n’drop » (si, si : fail) ; audio ; vidéo ; à challenge ; images ; texte dans une image et de texte – bien déformé – dans une image.

Et les publicitaires arrivèrent.

L’idée de réaliser des Captchas publicitaires, d’un point de vue annonceur – et surtout psychologique, n’est assurément pas bête du tout. Cependant, on peut en dire autre chose d’un point de vue sécurité : la fonction première et réelle d’un tel système.

En effet, lier des slogans publicitaires à des captchas est aujourd’hui une mauvaise idée. Je m’explique. Tout d’abord, le service actuel (et je veux bien croire qu’il ne soit pas assez développé) ne propose pas des milliards de possibilités de publicités, contrairement à une chaine de caractères randomisée, ou, pour une meilleure interprétation mais un rendu moins significatif, les mots du dictionnaire.

Ainsi, il est possible, pour ce qu’on appelle « un pirate informatique » (en fait, dans ce cas là, un autre annonceur voulant spammer à ma méthode « old shool », sic.) de savoir, par le hash de cette dernière, quelle est l’image publicitaire qui est chargée. Voici un petit bout de code pour ce faire :

import re,hashlib,urllib2

server = "http://showcase-left.v1.api.adyoulike.com"

# hash => word to resolv.
resolv = {"c2dfef15b77b7e6e0802f186d805e524" : "meche lover"}

# Fonction lachement repris de :
# http://blog.nexua.org/python-a-day-1-remote-md5sum/
# Moi, j'l'aime bien.
def remote_MD5_sum(url, max_file_size=100*1024*1024):
    remote = urllib2.urlopen(url)
    md5 = hashlib.md5()
    total = 0

    while True:
        data = remote.read(4096)
        total += 4096

        if not data or total > max_file_size:
            break

        md5.update(data)

    return md5.hexdigest()

# Recuperation de la key
connMain = urllib2.urlopen(server + "/showcase/")
key = re.findall('/challenge/(.*)"><',connMain.read())[0]

# Recuperation du token
connToken = urllib2.urlopen(server + "/challenge/" + key)
token = re.findall('token : \'(.*)\',',connToken.read())[0]

# Recuperation MD5
hash = remote_MD5_sum(server+ "/image/" +token)

print "Token   : " + token
print "Key     : " + key
print "MD5     : " + hash
print "Phrase  : " + (resolv[hash])

Possédant une sortie à la con du type :

Token   : TfypawK258aYR2gpKpLqKqM_6cgEQ7hD
Key     : CMllh3nYbWscfzGE7g2ob10E3IDhWoff
MD5     : c2dfef15b77b7e6e0802f186d805e524
Phrase  : meche lover

Ce contournement pourrait lui-même être contourné sans changer l’image d’origine, tout simplement en la bourrant de commentaires Exifs randomisés à chaque appel de cette dernière. Toutefois, cette protection ne suffirait pas car elle pourrait elle-aussi contournée facilement en calculant l’entropie ou la valeur RVB de certaines zones de l’image. Bref, sauf changer à chaque génération le slogan de la publicité, ou la publicité (visuelle) elle-même – ce qui va à l’encontre même du principe de publicité, il est alors impossible de réaliser un système sûr, basé sur une publicité : même pas besoin d’OCR les enfants !

De l’avenir des Captchas publicitaires.

Comme nous l’avons vu, cette idée, bien que sympa pour certains annonceurs aux premiers abords, possède un réel problème de sécurité. Régies publicitaires, ne vous inquiétez pas, l’entropie et les hashs fonctionnent aussi pour des captchas en flash, audios ou vidéos. Enfin, après avoir déformé le street-art en street marketing, les créations artistiques en affiches de publicité, la publicité s’attaque maintenant à des dispositifs de sécurité, stoppons-cela.

Malheureusement, les slides reprennent 20 à 30% de ce qui a pu être évoqué lors de ce cours (faisant des retours techniques sur certaines attaques ou évoquant d’autres pays, problématiques etc.). Bref, ce qui importe c’est que cela a intéressé du monde. Dans un tout autre contexte, je serai aux GSDays à l’espace St Martin (Paris 3e) mardi prochain… si quelqu’un veut prendre une bière… ;)

Je recherche en ce moment un travail (un vrai, de type CDI ou CDD à long terme) dans le domaine de la Sécurité des Systèmes d’Information afin de me pencher sur des problématiques tant opérationnelles – liant de la recherche, des tests d’intrusion et des formations – que tactiques/stratégiques liées à ce domaine – définition de scénarios (LID/LIO etc.), études en Cyberdéfense, études prospectives sur les menaces émergentes etc.

Aujourd’hui, je possède une large expérience dans les différentes branches de la sécurité informatique allant de la recherche bas niveau (recherches de vulnérabilités, sécurité réseaux etc.) jusqu’aux méthodologies de test d’intrusion et renseignement en source ouverte. Je possède en outre une vision globale des Systèmes d’Information et de leur sécurité : ne m’arrêtant pas aux limites du traitement logiciel et des réseaux informatiques mais prenant en compte les acteurs et la sécurité physique des installations.

Intéressé par les problématiques actuelles telles que la cybercriminalité et la cyberdéfense, j’ai su au fil des années capitaliser une réelle connaissance des différents enjeux internationaux liés à la Sécurité des Systèmes d’Information.

Ce blog ne présente pas beaucoup de mes réalisations (rapports, projets etc.) dans le domaine de la sécurité. Cependant, je peux fournir à qui le souhaite, dans le cadre d’une offre d’emploi, un résumé détaillé de ce que j’ai pu réaliser depuis plusieurs années en sécurité afin de vous faire un idée de mon profil polyvalent.

Si mon profil vous intéresse, je vous invite à vous renseigner sur mon parcours grâce à mon Curriculum Vitae et à me contacter.

Voir S02E02, S02E01, S01E03, S01E02, S01E01.

Ça y est, les cours deviennent vraiment intéressants ! On fait quasiment que de la sécurité dans un peu tous les domaines, à raison d’un domaine par semaine. Il y a quelques semaines, nous avons fait un petit tour des failles applicatives sous Linux, alliant tant de la technique sous forme de Wargame que de la théorie allant jusqu’à ce qui se fait en ce moment en termes d’exploitation (Bypass ASLR/Canaries/W^X/NX Bit, ROP, Heap Spraying etc.). J’ai vraiment aimé ce cours, notamment sur son aspect « actuel » lié à l’exploitation des dernières technologies… même si une semaine c’est trop peu pour faire de la pratique dans ce domaine. Enfin, c’était une très bonne introduction qui nous permettra de continuer seul dans ce domaine.

Cette semaine, autre intervenant, autres vulnérabilités. Nous avons vu une grande partie (sinon l’ensemble) des vulnérabilités liées aux réseaux Wireless incluant le WIFI, le Bluetooth et le RFID : de la couche la plus basse à la plus haute. Pour moi, c’était l’occasion de revoir certaines choses approchées dans le cadre de recherches personnelles (sécurité RFID & WIFI) et de découvrir un nouveau playground qu’est la sécurité Bluetooh. Ces cours m’ont permis de remettre certaines briques de connaissances en ordre (par exemple, m’étant juste attardé au lycée sur la sécurité RFID à la duplication de tags mais non à leur émulation etc.). Bref, comme d’habitude, j’ai adoré. Malheureusement, je pense que l’on aura aucun cours sur la sécurité GSM, et vu la pertinence de l’intervenant, c’est bien dommage.

La formation est en ce moment vraiment intéressante et j’ai l’impression que cela se fait ressentir sur le moral de l’ensemble de la promo. En ce qui concerne les certifications, nous avons les accès, donc c’est parti pour le CEH et l’ECSA. (Woot !). Je pense faire un cours « off » quand j’aurai le temps sur les enjeux actuels du domaine, notamment au niveau étatique, intitulé : « La cyberguerre, un cyberFAKE ? » dont les premières slides peuvent être visibles là, là ou même là.

Nous avons évoqué dans une discussion entre étudiants la possibilité de faire un site officiel de la formation afin de mettre objectivement en avant ce qu’il s’y fait, les intervenants, les profs, les projets et les recherches personnelles faites par des élèves. Ceci reste une « idée dans le vent » car nous n’avons pas encore proposé à l’équipe éducative ce projet mais il me semble intéressant de s’y pencher car la visibilité de cette formation sur internet est quasi-nulle.

Enfin, une partie des étudiants – y compris moi – sera à l’event Hackito Ergo Sum 2011 qui aura lieu à Paris début Avril. Les places sont en vente et il n’en reste plus que 10 pour les étudiants intéressés ! Bon, je pense que tout est dit, à bientôt pour un prochain article.

La cyber-guerre fait aujourd’hui partie des grands débats sur le cyberespace. A ce jour, tout le monde en parle, tout le monde essaye de s’armer, de se documenter et de se prémunir envers d’éventuelles attaques contre les systèmes d’information, qu’ils soient civils ou gouvernementaux.

Travaillant d’un côté sur ces problématiques et étant de l’autre passionné, j’ai décidé de réaliser une série d’articles faisant un petit tour de ce thème complexe, alliant tant des connaissances techniques que des analyses sur les doctrines des différents protagonistes actuels. J’ai préféré faire ce premier article – faisant office d’introduction – sous forme de questions/réponses, principalement par soucis de clarté, mais aussi afin d’organiser un peu mieux le contenu…

La cyber-guerre, c’est quoi ? De la guerre de l’information ?

Il ne faut pas confondre « cyber-guerre » et guerre de l’information. La guerre de l’information a toujours fait partie des relations politiques, militaires et économiques entre les hommes pour un contrôle ou un accès à l’information faute de la contrôler. L’un des auteurs les plus connus sur la guerre de l’information – ayant le premier mis en avant des axiomes de la stratégie du renseignement – est sans aucun doute Sūn Zǐ (孙子) dans son célèbre livre « L’art de la Guerre » (à ne pas confondre avec Sūn Bìn (孙膑) et son Traité militaire).

La « cyber-guerre », quant à elle, est en partie[1] le prolongement de la guerre de l’information à l’ère d’internet, prenant racine en même temps que la démocratisation de ce média vers la fin de la guerre froide. Elle ne reprend pas les axiomes des guerres classiques, mais se calque sur plusieurs principes des guerres asymétriques. Aujourd’hui, le mythe encore présent dans les esprits du teenager piratant les systèmes du DoD à la lumière de son écran d’ordinateur est cependant bien loin : on assiste à une véritable course à l’armement des différentes forces milliaires prédominantes aujourd’hui (la Chine, les Etats-Unis, Israël, la France, l’Iran, la Russie, l’Allemagne, la Grande Bretagne, la Corée du Nord, le Brésil, l’Inde etc.).

Le spectre de la « cyberguerre » hante les médias à chaque nouvelle attaque informatique. Ce terme est aujourd’hui utilisé à outrance car il fait vendre. Il regroupe des attaques, souvent des campagnes délimitées dans le temps d’espionnage ou de sabotage utilisant le cyberespace comme vecteur d’attaque. Il n’y a pas un seul théâtre d’affrontement, mais de multiples attaques possédant de multiples belligérants, souvent anonymes.

Mais si c’est sur internet, alors des civils peuvent y participer ?

Oui et non. Aujourd’hui la documentation pouvant amener quelqu’un à pénétrer des réseaux informatiques est ouverte. Tout le monde peut se renseigner en autodidacte et en quelques années posséder un niveau permettant de mettre en œuvre des attaques envers des systèmes d’information stratégiques. Il adviendra ensuite aux personnes s’aventurant dans ce domaine de posséder leurs propres capacités tactiques afin de réaliser des opérations complexes permettant de pivoter dans certains réseaux ou de frapper au moment opportun.

Cependant, ce type d’attaque « one-shoot » et ciblée requiert une véritable capacité d’organisation et de préparation afin d’être sûr de lancer la bonne charge au moment propice où toutes les variables d’environnement sont au vert : contexte politique, relations entre l’entité visée et l’extérieur, infrastructure visée, découverte de failles, agenda des acteurs de l’entité etc. De plus, on ne peut pas être spécialisé dans tous les domaines de l’informatique offensive, car ce champ est vaste et en constante mutation[2]. Il est donc improbable que des civils puissent organiser sur le long terme une préparation à une attaque d’envergure telle que Titan Rain, Ghost Net, Aurora ou Stuxnet par exemple.

Quelques cas isolés de piratages gouvernementaux ont cependant défrayé la chronique, aux États-Unis par exemple avec le cas de Gary McKinnon, ayant piraté une centaine de bastions entre 2001 et 2002. Ces piratages n’ont toutefois fait l’objet d’aucune demande d’un Etat extérieur, il s’agissait pour Gary de simples recherches portant sur l’existence de relations entre l’Oncle Sam et une civilisation extraterrestre.

Les internautes « lambda » réalisent principalement des attaques partielles, axées sur la saturation de certaines ressources. Ce fut le cas par exemple avec les affaires de la Géorgie (2008), de l’Estonie (2007), du Kirghizstan (2009) et de la révolution verte (Iran, 2009) où des DDoS composés tant de Botnet « consentis » (Opt’in botnets) que de Botnets « normaux » (réseaux d’ordinateurs zombies) furent utilisés contre des intérêts gouvernementaux. Toutefois, ce type d’attaques requiert derrière les pouvoirs en place des jeunesses patriotes (ex : Nashis en Russie) ou une véritable opposition internationale (Le cas des révoltes arables récemment réalisées grâce aux réseaux sociaux).

Depuis quelques mois, un groupe nébuleux d’internautes appelé « Anonymous » occupe le devant de la scène hacktiviste, notamment suite à des attaques DDoS organisés contre certaines entreprises américaines. Beaucoup d’articles ont fait écho d’une « cyber-guerre » concernant les agissements de ce groupe, même si, de telles actions se rapportent plus à de cyber-protestations comme ce fut de nombreuses fois le cas durant cette dernière décennie.

Donc les attaques telles que Ghostnet, Aurora et Stuxnet auraient été réalisés par des Etats ?

La crainte de voir un cyber-conflit s’est ravivé l’année dernière avec les affaires Aurora (fin 2009) et Stuxnet (début 2010), deux affaires complètement différentes en termes opérationnels mais également dans les acteurs impliqués. L’une, Aurora, fut une affaire d’espionnage réalisée à l’aide de campagnes de spear-phishing contre de grands groupes occidentaux (Google, Intel etc.). Plusieurs indices (la méthodologie employée semblable à GhostNet – affaire déjà imputé à la Chine, les exploits et RATs utilisés etc.) ont conclu très vite à une implication de la Chine et de deux de ses universités : Shanghai Jiao Tong et l’école professionnelle de Lanxiang.

Stuxnet, de son côté, a été beaucoup plus évolué que les différentes campagnes d’espionnage Chinois. Tout d’abord, il utilisait des failles non connues au moment de leur utilisation, au nombre de quatre[3]. De plus, il agissait comme un vers : un vers ayant une charge utile permettant le contrôle de certains systèmes industriels. Enfin, pour passer inaperçu, il utilisait des certificats d’authenticité de deux éditeurs logiciels. Je ne vais pas faire un article sur Stuxnet, vous en trouverez un très bon par ici. Cependant, sa capacité à attaquer des systèmes industriels (SCADA), notamment utilisés dans le domaine nucléaire a ravivé la crainte de voir lors d’une guerre ou de simples piratages, le sabotage de systèmes vitaux pour notre société (Santé, Gestion Énergétique, Transports, Communication, Eau etc.).

Selon plusieurs sources, la réalisation des trois versions de Stuxnet aurait pris des mois à raison de plusieurs personnes travaillant activement dessus, tant dans la recherche de failles sur Windows qu’au développement même du vers et de sa charge utile.

Alors, qui est derrière ce ver ?

Tout de suite, les esprits se sont orientés vers Israël pour plusieurs raisons. Côté géopolitique, l’Iran, ennemi historique d’Israël a vu ses centrifugeuses nucléaires (Natanz et Bushehr) visées par Stuxnet et nous savons que l’acquisition de l’arme nucléaire par l’Iran est la préoccupation principale d’Israël et de ses alliés pour la stabilité de la région.

D’un point de vue militaire, Israël était l’un des seuls pays ayant une « doctrine militaire » propice à commettre ce genre de faits (et ce n’est pas le premier « fait d’armes informatique » de Tsahal de ce genre). Concernant la Chine, sa capacité cybernétique offensive est depuis des années orientée vers l’espionnage politique et industriel dans le cyberespace. Elle est de plus (avec la Russie) le principal partenaire commercial de l’Iran, notamment sur le point militaire et nucléaire.

De leurs côtés, les Etats-Unis et Grande Bretagne n’ont jamais réalisé d’opérations offensives dans le cyberespace sans prétexte préalable ou sans qu’il y ait en parallèle un conflit physique avec leur ennemi. Il ne reste alors qu’Israël, qui est de plus suspecté au fil des semaines grâce à de nouvelles révélations toujours plus contraignantes pour Tsahal.

Pour conclure sur cette question, il est marrant de voir certains experts en cyber-guerre d’origine israélienne remuer ciel et terre afin de discréditer la thèse envers Israël (comme par ici). Enfin, l’autre jour, au détour d’une recherche, j’ai vu une conférence (très intéressante en passant) d’un ancien de Tsahal aujourd’hui expert en cyber-guerre, qui de façon humoristique a présenté une slide blanche sur Stuxnet [min 36 :20].

Les systèmes « SCADA » seraient donc le nerf de la cyber-guerre ?

Les systèmes industriels (SCADA) et de communication ont toujours été, dans le cadre de guerres la cible de frappes (voir les bombardements sur Bagdad ou Belgrade). La cyber-guerre induit cependant un nouveau vecteur d’attaque : le virtuel. La sécurité des systèmes SCADA est aujourd’hui l’une des préoccupations principales des Etats face à d’éventuelles attaques informatiques. En effet, comme dit plus haut, c’est sur ce type de systèmes que repose l’approvisionnement énergétique de nos sociétés. Attaquer des SCADA c’est donc s’en prendre au cœur du fonctionnement d’une société. Mais c’est plus difficile en pratique que sur le papier…

Ces systèmes donc sont vulnérables aux attaques informatiques ?

Comme l’a prouvé Stuxnet : Oui. Et ce n’est pas un cas isolé. En effet, plusieurs autres pays ont vu leurs systèmes attaqués dont des centrales nucléaires ou réseaux de Smart-Grid (compteurs intelligents). D’ailleurs pour l’anecdote l’un des premiers piratages d’ordre militaire de l’histoire fut effectué contre un pipeline russe pendant la guerre froide [On Cyber Warfare, Page 6] donc cette histoire de SCADA ne date pas d’hier. La principale préoccupation des Etats concernant la sécurité de leurs différentes infrastructures énergétiques s’oriente donc vers les mises à jour de ces systèmes. En effet, les systèmes industriels sont rarement mis à jour, car les logiciels de gestion ont été développés sur des plateformes non évolutives. De plus, dans plusieurs cas, les constructeurs de ces systèmes n’assurent plus ce que l’on pourrait appeler le « service après vente » (publication de patchs etc.).

Cependant, il existe plusieurs limites non négligeables qui relativisent grandement ce type de menaces. Tout d’abord, les faibles connexions des systèmes SCADA avec l’extérieur. En effet, une très large majorité de ces derniers n’est pas reliée à internet. Ils doivent donc être piratés, soit par accès physique, soit en utilisant un vecteur indirect afin d’atteindre la cible (par clé USB par exemple – comme ce fut le cas pour Stuxnet). Ensuite, certains de ces systèmes possèdent des protocoles de communication « exotiques », non basés sur les standards largement développés tels que TCP/IP ou Ethernet, limitant donc la diffusion par le réseau de certains types de menaces. De plus, les systèmes SCADA sont très onéreux et peu de chercheurs en sécurité informatique possèdent la capacité d’effectuer des tests d’intrusion en laboratoires afin de trouver des vulnérabilités exploitables dans le cadre d’une attaque – sans le soutien financier d’un Etat.

Enfin, le temps est la limite majeure des attaques contre les SCADA. En effet, comme nous l’avons vu, il faut plusieurs mois afin de développer et mettre en œuvre un programme d’attaque complexe (voir Stuxnet). Il est donc peu probable qu’un groupe de personnes soit dans la capacité – sans le soutien logistique et financier d’un Etat – de réaliser des opérations cybernétiques offensives d’envergure contre des systèmes industriels d’un pays (tel qu’on peut le voir dans certains films). Le plus simple serait encore d’aller directement, par une intrusion physique, à l’intérieur de ces systèmes en vue de leur sabotage. (Ah, et je ne vous ai pas parlé des sous-sols de Paris ? =)

On a évoqué les systèmes de communication, qu’en est-il de ce côté là ?

Les systèmes de communication sont aujourd’hui le talon d’Achille de nos sociétés. En effet, ces derniers sont très vulnérables car connectés à toutes sortes de réseaux et développés sur des architectures logicielles démocratisées. Une attaque cybernétique contre un système de communication relève plus de la guerre de l’information et peut avoir plusieurs buts tels que le sabotage du système (brouillage, DDoS), le relais de fausses informations (piratages de médias nationaux/agences de presse, injection d’informations, usurpation d’identité), l’espionnage (écoutes satellitaires, piratages de PABX/serveurs mails etc.).

Nous vivons dans une société de l’information : nous sommes constamment connectés. Ce type de piratage, suivant son ampleur (détournement de trafic à grande échelle, piratage de grands médias etc.) peut avoir des effets néfastes pour l’économie d’un pays et ne requiert, dans certains cas, pas de très grandes connaissances techniques de la part de l’attaquant, juste un peu de chance et un bon timing.

Une nation ou un groupe d’individu serait donc dans la capacité de paralyser certains systèmes d’information stratégiques ?

Peut-on paralyser les communications d’un pays ? A cette question, plusieurs réponses peuvent être formulées. Comme nous l’avons vu avec les affaires estoniennes et géorgiennes, la vulnérabilité d’une nation face à des cyber-attaques par saturation est possible. Toutefois, cela requiert une charge très conséquente, charge devant être répartie afin de cibler des centaines de serveurs clés. Les attaques géorgiennes et estoniennes ont touché principalement les sites internet du gouvernement, de certains médias et de certaines banques, mais pas de systèmes « stratégiques », limitant ainsi la portée d’une telle attaque. Ainsi, la médiatisation excessive de ces cyber-attaques résulte de l’effet de surprise lié à ces attaques : jamais auparavant un pays n’avait connu de telles attaques par saturation.

Aujourd’hui, certains réseaux d’ordinateurs zombies s’élèvent à plusieurs millions de machines infectées de part le monde (Confiker, Waledac), pouvant ainsi former un Botnet conséquent afin de paralyser certains organes de communication stratégiques pour un pays (serveurs DNS, gateways etc.). Toutefois, aucun état n’a reconnu officiellement être en la possession d’un Botnet de cette envergure.

La possibilité pour un état de créer un Botnet de quelques millions de machines a cependant été pensée plusieurs fois. L’une des meilleures présentations sur ce thème revient à Charlie Miller, mondialement connu pour son expertise en failles applicatives. Toutefois, sa présentation, intitulée “Kim Jong il and me how to build a cyber army to defeat the U.S.”, oublie un point crucial : la durée de vie des Botnets. Tenir un Botnet de plusieurs millions d’ordinateurs zombies pendant deux ans est une tache très périlleuse et plusieurs facteurs d’environnements sont à prendre en compte : durée de vie des serveurs de commande, load-balancing par FastFlux/P2P, désinfection, enquête internationale, reformatage des ordinateurs contaminés, évolutions logicielles etc.

S’il ne crait pas la mort, il risque d’être tué. (Sun Tzi)

Les cyber-conflits sont aujourd’hui un vaste sujet d’étude. La vision apocalyptique des films hollywoodiens tels que « Die Hard 4 » est très loin de la réalité, notamment technique et logistique. Toute fois, les forces étatiques en présence se mettent véritablement à développer des capacités offensives et défensives dans le domaine des conflits cybernétiques.

Plusieurs doctrines militaires répondant à cette problématique se présentent à travers le monde, reprenant largement les principes de la guerre du renseignement à l’ère d’internet. En parallèle de cela, plusieurs attaques sont perpétrées à travers le monde, ayant comme principal but l’espionnage de certains systèmes (incluant des systèmes civils). A ce jour, une seule attaque délibérée de sabotage hors conflit direct a été perpétrée (Stuxnet). Cependant, ce type d’attaque restera marginal dans le futur : les Etats s’orientant plus, comme dans les cas des « Informations Operations » à des opérations cybernétiques offensives ciblées en parallèle de conflits sur le terrain ou a des campagnes d’espionnage ciblées.

Nous verrons dans un prochain article sur quoi s’articulent principalement les doctrines militaires sur le sujet de la cyber-guerre. Nous permettant de définir en fin d’article un framework pouvant être appliqué par « défaut » dans le cadre de la protection, tant défensive qu’offensive d’un état contre certaines attaques cybernétiques.

[NOTE 1] Car elle permet aussi des manœuvres telles que le sabotage ou la télécommande de certains dispositifs à distance.

[NOTE 2] Une personne peut être extrêmement skillée en exploitation low-level et n’avoir que des bases théoriques dans les autres domaines et vice versa.

[NOTE 3] Une des vulnérabilités utilisées a été publiée en avril 2009 dans le magazine Hacking, mais n’a jamais été corrigée par Microsoft avant que l’attaque de Stuxnet remettre au jour cette vulnérabilité.

Les vacances de Noël sont passées et j’ai un scoop à vous proposer : nous sommes en 2011. Wahou. L’année 2011 rime pour moi avec l’abandon des études pour vivre de mes propres ailes et je n’ai qu’un mot à la bouche : ENFIN ! Cependant, il faut déjà finir cette licence, finir mon stage et trouver quelque chose de stable sur Paris pour l’année.

Vous l’aurez donc deviné : je fais un stage sur Paname me permettant de décompresser un peu. Bon c’est assez ric-rac point de vue argent, car je dois payer deux loyers et le train à cause de cette connerie d’alternance. De toute façon, chercher un stage en Full-sécurité aux alentours de Maubeuge revient à partir en quête du St Graal : cette ville est loin de tout. Je ne comprends pas comment on peut faire une telle formation dans une ville aussi reculée et morte économiquement. *ça, c’est dit.*

La progression des cours

En ce qui concerne les cours, ils commencent à être bon voir même très bon. Au programme, un très bon training sur Scapy de quelques jours, du reversing basique de binaires ELF sous forme de crackme sous gdb, des cours de synergologie/manipulation sous un angle théâtral et encore quelques cours de vulnérabilités « web » et physiques. Les prochaines semaines devraient être principalement consacrées aux vulnérabilités systèmes, ça risque d’être bien sympa également.

Et TinyRAT alors ?

Concernant le projet TinyRAT, ce dernier est terminé. Malheureusement nous ne sommes pas allés jusqu’où on voulait, car une partie du groupe s’est complètement désolidarisée du projet à tel point qu’on a dû le finir à deux.

Du côté client, une grande partie du code reste à faire contre la lutte heuristique mais également sur la persistance du binaire dans un environnement bien configuré (Accès au registre désactivé etc.). Le serveur de commandes quant à lui est fini et prêt à être sujet à quelques modifications futures suivant ce que voudra faire le client (Screenshots, envoi/réception de fichiers etc). Les notes finales sur le projet sont bonnes, mais le résultat aurait pu être encore mieux avec l’investissement de l’autre partie du groupe dans le projet. (Je ne vous cache pas que j’ai vraiment la haine sur ce point-là).

Les certifications

La grande question en suspens pendant les derniers épisodes était celle des certifications. Eh bien j’ai quelques nouvelles ! C’est donc de 170 à 220 euros la certification. A ce prix-là, je me suis dit qu’il était mieux d’en passer deux, CEH et ECSA. La première va surement être facile à passer, après, pour la deuxième Ich Allah, car en passer deux à la suite…

Et puis, vu que ce ce n’était pas assez de travail, j’ai décidé de me mettre en parallèle à apprendre le Chinois traditionnel sur Paris, dans le but de compliquer la chose… Sur ce, Keep update !

Pour la petite explication, le pirate a mis en place son C&C grâce à une porte dérobée écrite en PHP sur un serveur (où s’est-il lui-même fait pirater son C&C ?). Cette porte dérobée (je ne sais par quelle moyen) a été indexée par Google avant sa suppression. Google, pas « con », a suivi les liens permettant de révéler la source de certains fichiers du C&C de SpyEye, dont celui de configuration.

Cette méthodologie, basée sur de simples statistiques est d’autant plus intéressante qu’à l’heure d’internet, beaucoup de personnes possèdent leur propre style d’écriture sur des espaces publics. Rivalisant entre simleys, expressions personnelles – voire familière, absence d’accents, de majuscules et de fautes d’orthographe (et pas que sur 4chan…). Ainsi, il devient possible de remonter jusqu’à un auteur, même anonyme, tant dans l’utilisation d’un pseudonyme masquant sa réelle identité que technologiquement (utilisation de proxies etc.) et ce, avec un nombre de mots plus limités qu’aux origines de la stylométrie.

En effet, les textes sur internet possèdent de plus en plus de spécificités que les textes issus d’une œuvre ou d’une lettre, par exemple. Il devient beaucoup plus facile de déterminer l’auteur d’un texte, même si le passage du texte récupéré pour analyse est relativement court tel qu’un article ou une publication sur un forum de discussion. Le résultat de ce type d’investigations n’est pas assuré à 100%. Cependant, grâce à des regroupements (heures de connexion etc.) et des comparaisons textuelles, il est souvent possible de déterminer l’auteur d’un texte sur Internet, surtout si ce dernier a été publié sur un espace de discussion spécifique.

Ceci est relativement simple à envisager, par exemple, dans le cadre d’un auteur écrivant « anonymement » sur un espace de discussion connu d’un petit groupe (~1000) de personnes. Dans ce cas, nous pouvons suggérer que la personne connait déjà ce forum, il convient donc prioritairement d’analyser et de comparer les messages anonymes avec ceux des autres membres du forum. Souvent, une méthodologie de simple comparaison prenant une à deux heures de travail tout au plus permet de retrouver l’auteur original grâce à certaines spécificités inhérentes aux textes de l’auteur. Personnellement, sur internet, je me base sur plusieurs indices d’étude :

• La ponctuation
• L’emploi de certains temps
• L’emploi des majuscules
• L’emploi de certains acronymes
• Des fautes d’orthographe récurrentes
• L’utilisation de smileys (pour les espaces de discussion)
• Les formulations des phrases
• Les « mots de connexion » entre les phrases.
• L’utilisation récurrente de termes techniques.

Toutefois, dans le cadre d’analyses basées sur des textes bien écrits – telles que lors d’investigations historiques, on se penche majoritairement vers des données mathématiquement quantifiables : la longueur moyenne des phrases et des mots etc. impliquant des échantillons de texte beaucoup plus complets qu’une simple analyse sur Internet.

Une sécurité contre la stylométrie ?

La seule sécurité est de laisser tomber son écriture ordinaire (orthographe compris) lorsque l’on veut écrire anonymement, ce qui n’est pas une chose si facile (si si). Cette sécurité peut paraitre triviale, cependant, elle n’est pratiquement jamais mise en œuvre par des personnes requérant un véritable anonymat. De plus, certaines fautes d’orthographe récurrentes peuvent subsister pouvant corrompre cette dernière mesure.
Personnellement, je pense toujours aux lettres des corbeaux parsemées de fautes présentes dans différentes affaires policières plus ou moins sordides faites de lettres capitales ou de lettres découpées dans des brochures publicitaires (Grégory remember).

Plusieurs recherches au cours des années ont été réalisées dans ce domaine. Les techniques n’ont cependant pas tellement évoluées à l’heure de l’informatique. Si vous voulez en connaitre plus sur la stylométrie, je vous oriente vers quelques papiers de recherche que j’ai trouvé sympa à lire pour en connaitre un peu plus :

Voir S02E02, S02E01, S01E03, S01E02, S01E01.

Ça y est, il fait froid : une vague de froid dans la France entière et le nord n’est pas épargné. La neige arrive, véritable plaie pour ceux qui, comme moi, ont décidé de ne pas posséder de voiture. Mains froides, joues crispées, l’heure de marche à pieds pour aller à la formation (aller-retour) se fait ressentir sur le moral chaque jour.

Première chose, j’ai décidé d’entreprendre un changement d’appartement qui s’est soldé par une démotivation totale/échec à la vue des appartements proposés dans cette ville. Pour vous faire un schéma, j’habite en ce moment un studio avec de multiples problèmes (bruits incessants, crispants, stressants, une peinture intérieure qui n’a rien à envier aux nouvelles prisons ou hôpitaux psychiatriques (si, si vous connaissez cette couleur, le bleu/vert -très- laid porté également par les chirurgiens), humidité, coupures de courant à répétition (environ 5 par jours.) suite à un compteur mal paramétré : le cauchemar total. Enfin, j’essaye de garder le moral, même s’il faut se l’avouer, il n’y est pas du tout.

La formation, elle, continue. Il y a de plus en plus de cours en sécurité même si j’ai l’impression que seule la base est vue dans certaines matières (notamment sur le volet pratique). De nouveaux cours ont fait leur entrée tels que l’anglais ou le Droit. Moi qui pensais être enfin dispensé de cours d’anglais ad-vitam aeternam eh bien je me suis trompé. Au programme, on revoit tout et cette fois : à vitesse accélérée. Au moins, ces cours d’anglais m’auront permis de comprendre pourquoi je n’ai jamais aimé l’anglais scolaire jusqu’en DUT.

Exercices incessants, aucune perspective de l’utilisation de ce que l’on apprend dans la vie réelle, le tout avec des règles de grammaire qu’il faut avoir digéré en quelques secondes pour laisser place aux exercices qui n’ont rien à envier – point de vue maturité – aux fameux manuels « Apple Pie ». (c’est vous dire si ces derniers m’ont terrorisé pendant ma scolarité). J’aime l’anglais, je mange de l’anglais tous les jours (papiers de recherches, livres, posts, actualités, films etc.) mais les cours d’anglais, (à part en DUT SRC) je m’y suis jamais fait.

Concernant le Droit, je dois dire que je suis impressionné de la qualité des cours. Il est très rare d’avoir des cours aussi clairs sur un sujet si vaste – même si nous voyons « uniquement » le droit relatif au Système d’Information et à Internet. J’ai vraiment découvert un nouveau domaine qui m’était – il faut bien le dire – assez inconnu (m’étant jusque-là concentré que sur les textes de loi et non sur leurs interprétations possibles et aux jurisprudences relatives à ce domaine).

Concernant les cours en sécurité, ils sont de plus en plus présents. Nous sommes en train de terminer la « mise à niveau » de la promotion en réseaux, développement et systèmes d’exploitation pour s’attaquer, il faut le dire, à des choses plus intéressantes. Nous avons fini les cours de fingerprinting qui se concluent actuellement par le fingerprinting distant des éléments « stratégiques » d’une université : sympa, même si j’ai la vague impression qu’une partie de la promo n’est pas très enthousiaste. D’autres cours – plus spécifiques – sont donnés, notamment sur la sécurité web. Malheureusement, je n’ai encore rien appris dans ces cours, seules les bases sont présentées et encore, je trouve que les cours relèvent plus d’un simple tutoriel que l’on peut voir un peu partout que de vrais cours (peut être dû à cette notion de « challenge »). C’est un avis strictement personnel.

Les autres cours donnés en sécurité sont plutôt sympas : certains profs abordent en partie la « culture » liée à la sécurité (confs, hackerspaces, zines, actualités etc.) ce qui est intéressant sur beaucoup de points, notamment pour les élèves découvrant cet univers. Cela change de la simple théorique/pratique que l’on peut voir par-ci par-là dans d’autres matières. Mais bon, j’ai l’impression qu’il existe encore un manque d’informations dans cette formation, principalement en ce qui concerne les débouchés liés à ce que l’on nous apprend. Aucun cours n’est fait sur sur la Guerre de l’Information, sur l’aspect social/stratégique/géopolitique de ce domaine et sur les débouchés professionnels autres qu’administrateur réseau ou pentester. Ceci est vraiment dérangeant, surtout que ce domaine est aujourd’hui en pleine explosion…

TinyRAT : Quelques nouvelles de notre projet

TinyRAT avance. Pour rappel, notre groupe, composé de Mathieu Bonnet, Guillaume Duchene, Anais Verdier et moi-même réalise un malware « simple » fonctionnant sur le modèle des SpyEye et autres Zeus : communication par HTTP, C&C présent sur un serveur web distant etc.

Bon, passons à la technique. Un premier draft fonctionne déjà relativement bien au niveau protocolaire (gestion des commandes etc.) et je suis assez impressionné de voir la vitesse de développement de ce projet (notamment pour le client développé en C). Le serveur de commandes, réalisé en PHP5/JS/HTML5/MySQL est pratiquement fini. Seules quelques optimisations d’ergonomie liées au front sont encore à prévoir. Le client est encore à un stade basique mais avance bien au niveau de l’injection dans les processus, persistance, furtivité etc. Pour ne rien vous cacher, je suis très content du travail que nous avons accompli à mi-projet. Peu importe la note finale, cela aura été une expérience enrichissante pour tout le groupe. Après avoir consulté le groupe, je vous montre quelques screenshots du C&C avec des explications complémentaires. Et c’est sur ces images que s’arrête ce troisième épisode ;)

Demande d’authentification

Liste des différents RATs enregistrés auprès du C&C

Gestionnaire de fichier réalisé en jQuery/HTML5/PHP
avec envoi de fichiers en drag’n'drop.

Shell « augmenté » en jQuery/PHP. Ce dernier permet une interaction avec l’invite
de commande de Windows tout en ayant de nouvelles commandes
liées aux fonctionnalités du RAT.

Carte présentant sur une planisphère la géolocalisation des RATs actifs et inactifs. (l’activité est symbolisée par des arcs de cercles reliants les RATs au C&C)

Voir S02E02, S02E01, S01E03, S01E02, S01E01.

Comme promis, je fais un nouvel article sur la formation CDAISI où je suis depuis maintenant pas mal de semaines dans le nord de la France. Bref, si vous n’avez pas lu le premier article, c’est mieux de commencer par le début.

Donc voilà quelques semaines que j’y suis, les cours « commencent » à être intéressants (même si comme je l’ai dit dans le premier article, tout est bon à prendre). Nous voyons de plus en plus de sécurité mais encore peu selon moi, enfin, il faut un début à tout. Au programme de ces dernières semaines : on a fait un peu de sécurité web, d’OSINT et vu les principales techniques de fingerprinting passif sans trop aborder de tricks. D’ailleurs, je vais faire un petit cours sur Maltego pour la formation. Bien que n’ayant aucune « action » dans Parterva, je pense que ce tool, lié à des transforms « perso » est le meilleur dans le domaine de l’OSINT « civil ». Les informations présentes lors de ce cours seront, évidement, présentes sur ce blog. (Je tiens par ailleurs à remercier Andrew pour m’avoir donné gracieusement une licence commerciale pour quelques temps.)

D’autres cours sont plus axés administration réseau et développement même si selon moi, les TP prennent trop de temps dans la formation. C’est un peu 2/3 du temps à installer des choses pour le tiers restant à faire de la vraie pratique dessus (pour l’administration). Je n’ai jamais aimé l’administration réseau au sens premier du terme et je pense que ce ne sont pas des TP pratiques sans aucune théorie qui vont me faire changer d’avis. Il est sûr qu’avoir des compétences en administration réseau est indéniable si l’on veut faire de la sécurité. Mais selon moi, il est inutile de perdre son temps à faire des TP alors que lorsque l’on travaille, on RTFM-man-help-googlelise beaucoup.

Quelques voies s’élèvent face aux stages (voir mon premier billet) et face à certains cours qui ne passionnent pas les masses, cependant, les formations parfaites n’existent pas. Il est donc normal qu’il y ait différents défauts même si je reste sur mes positions concernant les stages « une semaine sur deux ». Selon moi, pénaliser une vingtaine d’élèves pour des formations en alternance se comptant sur les doigts de la main dans une classe, je trouve que c’est dommage.

Notre projet, TinyRAT

Notre projet (nous sommes 4) s’appelle (en ce moment) TinyRAT. Le but est de faire un RAT/Trojan (pour une attaque de type One Shot dans un réseau d’entreprise) reprenant les grandes lignes de furtivité et de persistance de certains malwares de type SpyEye, N0peBot ou Zeus (tout en essayant difficilement d’innover…). Personnellement, je m’occupe de toute la partie documentation (recherches de rapports, malware analysis etc.) et C&C qui sera, comme pour les malwares évoqués, basée sur un serveur PHP/MySQL lambda. Je pense aussi faire un peu de code côté client.

Le projet avance tant bien que mal, même si l’on se trouve face à plusieurs choses assez complexes, notamment pour la synchronisation entre le C&C et le client ou, concernant le client, la partie furtivité et persistance du Schmilblick tout en passant au travers des AV. Mais bon, à tous problèmes existent des solutions !

Les autres projets vont de choses « standards » en sécurité (standard de veut pas dire « facile » à développer pour des non-barbus) telles que de la modification de paquet on the fly grâce à une attaque MiM suivant des patterns définis ou de la recherche d’information sur les réseaux sociaux à des choses plus « inédites » telles que de la géo-localisation de GSM.

Les certifications ?

Comme prévu, j’ai quelques nouvelles concernant les certifications. Une chance pour nous, nous allons pouvoir en passer même si j’attends de réellement commencer à étudier ces dernières pour être sûr. Apparemment, la première est gratuite pour nous (CEH) et il advient de choisir si l’on veut en passer d’autres à prix réduit. Le CEH est plutôt de l’ordre de la culture générale concernant la Sécurité des Systèmes d’Information, où l’on voit tous les domaines sans trop s’attarder violement sur la technique. Donc j’ai décidé de passer également LPT (Licensed Penetration Tester) car pour le prix, c’est toujours cela de pris.

Bref, voilà où j’en suis. Concernant Maubeuge même, je ne m’y fais pas. Il y a quelque chose qui ne va pas mais je ne sais pas quoi, et cela me pourrie littéralement la vie depuis que j’y suis, mais ça, on y peut rien. Je vais tester de changer de studio pour un truc plus calme, c’est p’être cela. (et aller sur Paris plus souvent !)