Les articles de MISC N°88

Image promotionnelle
HTTP/2 : attention, peinture fraîche !
Article mis en avant

Introduction au dossier : HTTP, le protocole qui répond plus vite que son ombre

Les plus anciens d’entre nous avaient l’habitude de commencer leurs tests d’intrusions par des nmap avec trois lignes d’options. L’étape de scan de ports prenait des heures pour vérifier la présence de services accessibles sur les 65536 ports possibles en UDP et TCP. Les yeux s'éclairent à la découverte de toutes les lignes affichant « open » et l’amusement commençait pour vérifier s’il n’existait pas une vulnérabilité recensée sur le service, une erreur de configuration ou des identifiants faibles.

Le mot de passe, ce grand cadavre à la renverse.
Le 10 août 2016, Yue Cao présente à la conférence USENIX une attaque par canal auxiliaire sur le protocole TCP. La vulnérabilité est issue de l’implémentation des noyaux Linux de la RFC 5961 en octobre 2012 [1]. L’attaque décrite par Yue Cao permet, sans être en position d’homme du milieu, et sous réserve de conditions réseau favorables, de déterminer les informations nécessaires à la fermeture ou à l’injection de données dans une connexion TCP établie.
Les audits de solutions connectées nécessitent de savoir évaluer la sécurité des équipements connectés. Cet article présente les outils et les techniques permettant d'évaluer spécifiquement la sécurité des protocoles applicatifs reposant sur la technologie Bluetooth Low Energy.
Cet article détaille l'architecture d'un fichier Flash (format SWF) faisant partie d'un Exploit Kit (EK). Un EK permet de générer différents fichiers obfusqués dans le but d'infecter différentes cibles vulnérables. Le fait que les fichiers générés soient différents rend leur détection et analyse difficile par toutes personnes cherchant à contrer ces attaques. Nous détaillons des outils permettant d'automatiser leur analyse.
Standardisé en mai 2015 [RFC7540, RFC7541], HTTP/2 fait depuis l'objet de nombreuses campagnes « marketing » de la part de Google, Cloudflare ou Akamai. En contre-courant de cette vague (trop ?) enthousiaste se dressent des voix tentant de tempérer les prétendues améliorations en performance provenant de bancs de test biaisés. La communauté sécurité n'est pas en reste, soulignant que HTTP/2 n'est pas le remplaçant de HTTP/1.1 [Snort], mais bien un nouveau protocole à part entière dont la complexité est significative et les enjeux encore mal compris. Cet article détaille les défauts de HTTP/1.1 présentés comme justificatifs pour HTTP/2. Il dresse ensuite un portrait de ce nouveau protocole et de certaines réserves à son encontre.
Assaillie de tout côté, la forteresse HTTPS vacille. Malgré les cadenas affichés par les butineurs et les certificats renforcés, l’épine dorsale du commerce en ligne et de nombreuses autres activités digitales a plus que jamais besoin de consolidation. Nous allons revenir sur quelques épisodes douloureux de son passé récent et orienter notre regard vers l'horizon, là où le salut se trouvera peut-être.
Les Web Application Firewalls (WAF) protègent les applications web contre toute tentative d’attaque. Ils font face à des populations croissantes d'utilisateurs volatiles, imprévisibles et exigeants qu'ils doivent satisfaire au plus vite, sous peine d’engorgements et de plaintes. Ils cherchent des contenus offensifs dont la forme évolue sans cesse avec la nécessité de décider en un instant de leur dangerosité. Nul doute que les personnes qui inspectent nos bagages dans les aéroports comprennent parfaitement la dure vie des WAF...
Historiquement, la sécurité des données au sein des applications web était dévolue aux outils ou aux protocoles utilisés. Elle ne fait que très rarement partie du processus de développement. Reposant essentiellement sur une architecture client-serveur, où ce dernier est le garant de l'intégrité, et optionnellement de la sécurité des données, nous verrons comment les derniers standards du Web permettent aux développeurs de déporter le moteur cryptographique du côté du client et donc d'offrir une réelle confidentialité aux utilisateurs.
Le progrès dans le monde des systèmes embarqués a favorisé l'apparition d'objets dits « intelligents » (de l'anglais Smart Object) ou encore « connectés ». Ces derniers intègrent, dans un contexte de faible consommation énergétique, un microcontrôleur permettant de piloter un capteur et/ou un actionneur alliés à une capacité de communication. Les objets intelligents offrent à leurs usagers l'exploitation de scénarios intéressants induisant principalement deux classes d'interactions : d'une part, capturer et remonter vers le réseau la valeur courante d'une information spécifique à leur environnement immédiat (objet en tant que capteur) et, d'autre part, recevoir du réseau une commande dont l'exécution peut avoir un effet de bord sur leur environnement direct (objet en tant qu'actuateur). Un smartphone, un téléviseur ou un réfrigérateur connecté, une montre intelligente, des systèmes de détection de présence ou de chutes... constituent des exemples concrets d'objets connectés faisant partie de notre quotidien. L'Internet des Objets (IoT) permet de conceptualiser ce nouvel environnement reposant sur les réseaux traditionnels, auxquels sont connectés les objets en tant que composantes particulières du monde réel ayant des contraintes fortes en matière de ressources (mémoire, capacité de traitement, énergie) et disposant de méthodes multiples de communication sans fil. Selon IPSO (IP for Smart Objects), l'adoption massive du protocole IP par les objets devrait à terme conduire à une connectivité directe avec l'Internet, en ouvrant la voie à sa troisième grande évolution (Web 3.0). Ces objets peuvent être découverts, contrôlés et gérés depuis Internet. Cette articulation, qui représente un point fort de l'IoT, le fait aussi hériter de toute la problématique de la sécurité déjà présente dans l'Internet. Cette dernière se repose même avec une acuité renouvelée dans ce nouvel environnement, du fait de ses caractéristiques particulières. Il est important d'analyser la façon avec laquelle les exigences classiques de sécurité (CIA, AAA...) ainsi que celles liées au respect de la vie privée peuvent être déclinées dans ce nouvel environnement.
Les évènements et personnages présentés dans cet article sont entièrement fictifs et ne représentent en rien le quotidien ou l’expérience de l’auteur… Enfin, faut quand même admettre que ça sent le vécu !
Les systèmes de transports intelligents ou ITS sont une nouvelle technologie qui sera implémentée dans un futur proche (Google Car, Tesla…). Le but d’un ITS est de prendre des décisions de manière autonome (contrôler la vitesse d’un groupe de véhicules sur une voie rapide afin d’éviter des collisions ou des embouteillages). De ce fait, cet objectif nécessite l’utilisation de mécanismes de sécurité adaptés.
Les attaques par canaux auxiliaires ciblent généralement des composants matériels et sont souvent perçues comme coûteuses ou même irréalistes. Pourtant, dans certains cas, la collecte de cette source d’information peut être menée sans le moindre équipement et conduire au même résultat.Les caches intégrés aux processeurs offrent une nouvelle source d’information et la présence ou non d’une donnée dans ces caches peut être exploitée pour extraire des secrets. Ce type d’attaque peut même permettre de franchir l’isolation entre machines virtuelles offerte par un hyperviseur.