Compte-rendu de la conférence FRHACK01 2009

La première édition de la conférence FRHACK01 s'est tenue du 7 au 8 septembre 2009 à Besançon. C’est la première fois qu’une conférence de ce type est organisée en France. FRHACK tente ici de s’inscrire dans la lignée de conférences « underground » plus connues telles « BlackHack », « DefCon », « ToorCon », ou encore plus proche de nous le « Hack.lu ». Un public très varié s’y est donné rendez-vous, à la fois, des professionnels de la sécurité, des amateurs de la sécurité, des curieux du « hacking », mais surtout de férus de technologie, les « hackers » au sens primitif du terme.

D'un point de vue pratique, plusieurs présentations se déroulaient en parallèle, et il n’était donc malheureusement pas possible pour une seule personne d’assister à toutes celles-ci. Bien que la conférence soit dite francophone, la quasi-totalité des présentations ont été faites en anglais. Le présent compte-rendu s’attache donc à donner un aperçu des présentations auxquelles nous avons pu assister.

• Psychologie sociale et cognitive appliquée au fuzzing de l’être humain

Dans cette présentation, Bruno Kerouanton aborde de nombreux points de la psychologie de l’Homme. Il montre notamment comment il est possible d’abuser notre cerveau, c'est-à-dire nos sens via des stimuli particuliers. Une bonne connaissance de la psychologie, et du fonctionnement de notre cerveau, permettent à des techniques spécifiques de mettre en défaut notre raisonnement, notre vue, etc. Issues du monde de la guerre, ces techniques « MICE » (Money Ideology Constraint  Ego) ou en français connue sous l’acronyme « SANSOUCI » (Solitude Argent Nouveauté Sexe Orgueil Utilité Contrainte Idéologie) permettent d’obtenir de l’information par ingénierie sociale.

Rapporter à la sécurité de l’information, l’orateur présente à travers la pyramide dite de besoins (pyramide de Maslow) comment certaines organisations gouvernementales mais aussi mafieuses peuvent utiliser de façon ciblée ces techniques afin de compromettre un individu. Il décrit notamment l’impact des canaux de communications (la vision, la gestuelle, l’apparence, etc.) qui peuvent impacter sur le résultat de la compromission.

• OpenVAS – Open Vulnerability Scanning

Viatko Kosturjak présente l’outil OpenVAS (Open Vulnerability Assessment System). Cet outil (très connu) est un scanner de vulnérabilités développé sous licence GPL basé initialement sur le très célèbre scanner de vulnérabilité Nessus (aujourd’hui commercial). Son moteur s’appuie sur une base de plus de 10000 tests de vulnérabilités réseaux.

• Reverse engineering et erreurs de cryptographie

Philippe Oechstin, l’inventeur des fameuses tables « Rainbow » (qui permettent d’accélérer considérablement le cassage des mots de passe en utilisant des dictionnaires pré-calculés),, explique comment les clés USB biométriques « FIPS140-3 » peuvent être facilement abusées du fait d’un défaut d’implémentation dans les composants cryptographiques. Ces défauts sont principalement dus à des erreurs de développement.

• HostileWRT – Abusing embedded hardware platforms for covert operations

Philippe Langlois et Nicolas Thill du projet HostileWRT, présentent comment ils ont transformé des équipements Wifi trouvés dans le commerce en Point d’accès Wifi autonomes, susceptibles d’être utilisés à des fins malveillantes. Basés sur les points d’accès OpenWRT et FONERA2, cette transformation permet de disposer d’une plateforme d’audit de sécurité (au sens intrusif). A l’aide de scripts spécialement conçus, les développeurs ont ainsi pu doter ces points d’accès Wifi « standards » d’une panoplie d’outils d’attaques impressionnante (aircrak-ng, etc…), et ce malgré les limitations techniques de ces équipements (CPU, puissance, mémoire, etc.). Ces équipements modifiés, couplés à d’autres matériels tels que les GPS, permettent également de faire de la géolocalisation.

• Internet Explorer default weaknesses

Lors de cette présentation, Cesare Cerrudo démontre que les vulnérabilités liées au comportement « automatique » d’Internet Explorer (version 7 et précédentes) induisent de graves lacunes dans le navigateur de Microsoft. Il démontre notamment que certains comportements par défaut du navigateur, couplés à certaines fonctionnalités peu connues du navigateur, permettent de camoufler des écrans invisibles susceptibles d’imiter graphiquement des contextes particuliers (mires de logins, popup de session, fonds d’écrans, etc.) et peuvent être utilisées afin de duper l’utilisateur pour capturer par exemple son mot de passe. La démonstration finale simulait un écran de login Windows dans Internet Explorer à l’aide d’une fenêtre invisible (popup) sans barre d’état, sans barre de titre, en plein écran : une sorte de « Desktop Phishing ». Un utilisateur peu vigilent n’aurait pas remarqué que l’écran de login était en fait affiché par son navigateur.

• Memory forensic and incident response for live virtual machine

Nguyen Amh Quynh présente « Outspect », une « trousse à outils » qu’il a développé afin d’analyser en temps réel le comportement de certains malwares ou de certaines attaques réseaux dans une machine virtuelle. Partant du constat que les malwares sont désormais de plus en plus « intelligents » et qu’ils sont capables d’inhiber leurs fonctions malicieuses s’ils se sentent « observés », son projet n’altère aucunement l’intégrité du système virtualisé. Complètement transparent du point de vue de l’environnement virtualisé invité, Outspect est basé sur deux outils distincts.

Le premier appelé “XenDoor”, permet l’accès direct à la mémoire “physique” de l’hyperviseur et à celle de l’environnement invité. Le second appelé “EagleEye” permet de restructurer la mémoire brute du système d’exploitation capturé, sous forme d’objets (objets mémoire, ports, handles, fenêtres, connexions, processus, etc.). Ces objets peuvent ensuite être manipulés à des fins d’analyses forensic par divers outils.

A titre de démonstration, une attaque connue pour être furtive est effectuée avec le framework « Metasploit » entre 2 machines virtuelles. L’outil la met clairement en évidence, bien que celle-ci exploite une injection de DLL en mémoire avec camouflage des processus et détournement des « hooks ».

Nota : Bien que « Outspect » ne soit pas encore disponible, l’auteur envisage de le rendre public prochainement.

• W3af

Andres Riancho présente son framework « W3AF » (Web Application And Audit Framework) dédié aux tests d’applications web.  Ce framework est un ensemble d’outils exploitant diverses techniques de tests logiciels d’applications web comme par exemple le « fuzzing » ou le « spidering ». W3AF est composé de nombreux outils d’audit et d’exploitation de vulnérabilités (XSS, XST, injection SQL, etc.). Il peut également être enrichi à l’aide de plugins permettant d’étendre ses fonctionnalités initiales. Il existe actuellement plus de 135 plugins (attaque MITM, parser, request editor, fuzzer, etc.).

Lien : http://w3af.sf.net

• All browsers MITM keylogging on remote

Mathieu Lombard, un jeune autodidacte de la sécurité, présente une panoplie d’outils qu’il a développés, permettant de tester et de camoufler des attaques web telles que XSS, CSRF, etc. Diverses techniques d’encodage et de transformation (packers) permettent notamment de contourner les politiques dites de « Même Origine » (SOP, Same Origin Policy). Il aborde à l’aide de démonstrations, diverses techniques de camouflage (obfuscation) et notamment celle basée sur la technique dite du « paradoxe du compresseur sans perte » qui permet de camoufler des scripts malicieux (ex ; JavaScript) par compression dans des flux de données encodées à l’aide de « packers », de « base64 », ou encore d’Unicode.

Ses travaux l’ont conduit à développer un outil (un "keylogger") de capture des saisies clavier du navigateur web d’un utilisateur navigant sur Internet. L’outil permet l’enregistrement de toute l'activité de saisie d’un navigateur comme Internet Explorer, Firefox, Chrome ou d’autres à l’insu de la victime. Les informations collectées sont stockées dans une base de données SQL que le pirate peut ensuite consulter a posteriori, ou même la suivre en direct à l’aide d’un couplage à l’API « Google Earth ».

• Unified Communications Security

Cette présentation d’Abhijeet Hatekar traite de la sécurité liée aux communications unifiées (Unified Communications Security) telles que celles basées sur MOCS (Microsoft Office Communication Server). Pour rappel MOCS est une plateforme Microsoft permettant d’unifier de nombreuses technologies de communication telles que la messagerie instantanée (Instant Messaging), la visioconférence, les appels par VoIP, les agendas, les webcast, etc.

Cette présentation tente d’alerter les utilisateurs vis-à-vis des dangers et menaces liés à de telles solutions. Il est notamment rappelé les vulnérabilités liées aux matériels, aux défauts d’implémentation des piles de protocole,  et surtout à ceux d’authentification et de chiffrement. L’auteur rappelle les possibilités d’attaques par « flooding » des mécanismes de signalisation, de fuzzing, d’injection de messages malicieux, de détournement de session, d’usurpation d’identité lors des phases d’enregistrement etc.

L’orateur met notamment à disposition l’outil qu’il a développé par reverse engineering. Nommé « OAT» (OCS Assessment Tool) cet outil permet de « tester » les serveurs MOCS R1/R2 par diverses techniques telles que : attaque par dictionnaire, attaque des utilisateurs connectés, vols de contacts, saturation de la messagerie instantanée, parcours d’appels en cours, déni de service, etc.

Enfin l’auteur rappelle que les recommandations (best practices) publiées par Microsoft permettent de limiter considérablement les vulnérabilités de MOCS, si bien sûr elles ont été implémentées.

Lien : http://voat.sourceforge.net/

• The Good, the Bad, and the Ugly of Crypto

David Hulton de la société “Pico Computing” présente le projet « Openciphers » dont le but est d’explorer les composants ASICs (Application-Specific Integrated Circuit) et FPGA (Field-Programmable Gate Array) afin d’exploiter leurs capacités de calcul cryptographiques. Il est communément admis que l’un des principaux problèmes pour casser des clés ou des mots de passe est que les algorithmes cryptographiques nécessitent de grosses puissances de calculs mais aussi d’énormément de temps.

David Hulton présente plusieurs études de cas visant à réaliser des systèmes pour casser des clés cryptographiques de mobiles GSM. , Il analyse pour chacune les coûts induits (matériel et logiciel), les consommations électriques, le temps de calcul, et les performances obtenues. Il passe en revue les avantages et inconvénients de diverses solutions comme par exemple celles basées sur des clusters de machines dédiées, celles des systèmes basés sur des cartes FPGA dédiées ou encore celles composées de PC classiques dotés de cartes graphiques surpuissantes et dont la capacité de calculs peut être exploitée. Certaines solutions à faibles coûts, celles notamment des PC dotés de cartes graphiques surpuissantes, peuvent obtenir de très bons résultats à l’aide des processeurs graphiques (GPU) programmables via le langage CUDA (Computer Unified Device Architecture).

Il conclut enfin en expliquant que la métrique utilisée par les hackers pour casser des clés cryptographiques n’est pas forcément la même que celle utilisée traditionnellement par les concepteurs d'algorithmes cryptographiques. Par conséquent, les hackers ingénieux privilégieront peut-être une solution qui n'avait jusque là jamais intéressé le monde des cryptographes. Qui aurait pensé il y a quelques années d’utiliser les processeurs GPU pour casser des mots de passe ?

Lien : http://openciphers.sourceforge.net/oc/

• SS7

Philippe Langlois présente rapidement le protocole SS7 (Signaling System #7), qui est un protocole de signalisation des appels dans le monde des télécommunications mobiles. Il explique, en extrapolant le modèle de la « bluebox » (dispositif électronique permettant de frauder les télécommunications), que certaines techniques d'attaque existent également avec le protocole SS7. Cette technique aurait d’ailleurs été utilisée en 2004 pour couper la côte est des Etats-Unis, par abus des fonctionnalités du protocole. Apparemment le protocole permettrait de nombreux cas d’attaques, comme l’évoque le présentateur dont : des injections de signaux protocolaires, des usurpations d’IAM (Initial Address Message), le scanning GTT (Global Title Translation), ou les scans des SSN (Subsystem Numbers) du protocole SCCP (Signaling Connection Control Part).

• Mystification de la prise d'empreinte (OS Fingerprinting Defeating)

Guillaume Prigent (société Diateam) présente son projet IPMorph basé sur le principe de « la sécurité par l’obscurité ». Déjà présenté lors du SSTIC 2009, IpMorph est un outil Open-Source dont l’objectif est de camoufler l’identité d’un ou de plusieurs systèmes réseaux (s’il agit en tant que passerelle) en altérant les entêtes des flux IP échangés entre machines, afin que les outils de prise d’empreintes à distance ne puissent pas identifier les systèmes qui communiquent. Par exemple, il est ainsi possible de mystifier l’identité d’un système Windows XP et de le faire passer pour un serveur Novell. L’outil est actuellement en mesure de « duper » les outils les plus connus dont Nmap, SinFP, p0f ou Ring2, afin de ralentir la progression d’éventuels attaquants distants dont le premier réflexe est de cartographier l’environnement et les systèmes cibles.

Lien : http://blog.hynesim.org/fr/ipmorph/

• Free Software in Ethics and in Practice

Richard Stallman présente sa vision du « futur » et les raisons qui ont conduit à la rédaction des licences « GPL » (Gnu Public Licence). Il corrige à cette occasion l’erreur (ou plutôt l’inexactitude) largement répandue, selon laquelle Linus Torvalds serait le créateur de Linux, alors qu’il n’est que le développeur du noyau. Il rappelle aussi qu’il ne faut pas dire un système « Linux » mais « GNU Linux ». Sans rentrer dans les détails internes de la « guerre » que se livre ces figures emblématiques de l’informatique (dont les visions de l’informatique et du monde libre divergent clairement), Richard Stallman analyse ensuite les objectifs de la licence GNU. Au travers de nombreuses anecdotes et après un  clin d’œil à notre hymne national « Liberté, Egalité, Fraternité », il rappelle qu’un logiciel libre répond quant à lui à  4 libertés fondamentales ; « 1 - Liberté d’exécuter un logiciel », « 2 – Liberté de modifier le code source », « 3 – Liberté de partager avec son voisin un logiciel » et enfin « 4 – Liberté de redistribuer un logiciel modifié ».

Après 2 longues heures de « prêche », il conclut finalement lors des réponses aux questions que « Logiciel Libre » ne signifie pas gratuit, et que les sociétés peuvent légitimement se faire payer pour les modifications qu’elles apportent. Elles doivent par contre également redistribuer à la communauté les versions modifiées. Il donne plusieurs exemples de solutions commerciales incluant des « portes dérobées » (backdoors) dont « Amazon Kindle », une solution matérielle payante de lecture de livres électroniques ayant installé une porte dérobée pour empêcher la lecture de certains ouvrages.

• Wireless Sensor Networking as an Asset and a Liability

De façon plus anecdotique, Travis Goodspeed est un « hacker » (au sens bidouilleur) dans le domaine de l’électronique. Ses principaux challenges sont de relier tout ce qui est électrique à un port USB via un microcontrôleur dont il connait par cœur les « entrailles ». En moins de 5 minutes il soude et connecte un mini-bras robot de jouet à un ordinateur qu’il peut ensuite piloter.

• Audit et sécurisation d'applications PHP

Philippe Gamache, l’auteur du livre “Sécurité PHP 5 & MySQL”, présente ses retours d’expérience dans le domaine des processus d’audit de code PHP, et comment les conduire pour obtenir de bons résultats en termes de fiabilité et sécurité. Il aborde à la fois les audits « boîtes noires », notamment utilisés dans des phases intrusives (pentests), et les audits qu’il nomme « opencode » dans lesquels l’auditeur dispose d’informations telles que les sources, des documents techniques, etc… Pour lui ces deux formes d’audits sont complémentaires. Ils évitent en effet des coûts inutiles et du temps passé à colmater par des rustines (qui souvent elles mêmes induisent de nouvelles vulnérabilités). Il conclut enfin sur le fait que l’un des problèmes majeurs qu’il rencontre lors de l’audit d’applications web, vient des faiblesses liées aux développeurs et notamment du manque de sécurité dans leur cursus d’apprentissage (universitaire ou autre). En effet au-delà des prouesses informatiques qu’ils sont capables de coder, de nombreux développeurs ne mesurent pas du tout l’impact des vulnérabilités et plus généralement les menaces liées à leur développement. C’est aussi pourquoi cette population ne comprend pas toujours la nécessité d’auditer leurs codes.

Lien : http://www.ph-il.ca/fr/

• Flash Remote Hacking

Jon Rose de la société Trustware expose dans cette présentation différentes façons d’exploiter les serveurs Flex de Adobe. Bien que peu d’applications existent actuellement, les services de données Flex peuvent aisément être exploités via des programmes écrits spécifiquement en langage Flash et peuvent permettre d’outrepasser des restrictions d’accès telles que celles dites « crossdomain » (équivalent de politique de même origine). A l’aide d’outils particuliers qu’il présente, il montre qu'il est possible d’accéder à certains services par simple attaque « force brute » sur les « Flex Data ». Il devient alors possible de décompiler les codes et de découvrir les méthodes utilisées. Une autre technique consiste à récupérer des fichiers SWF, à extraire leurs contenus avec des outils tels que « swfdump », pour ensuite à  rechercher les fonctions vulnérables.

Conlusion

Sans prétention, FRHACK se voulait marcher sur les traces de ces pairs (Blackhat, Defcon, etc..), avec un niveau tout aussi technique, réunissant des orateurs du monde entier. Ce contrat est rempli si l‘on considère la qualité technique des présentations et malgré le désistement de personnalité dont Joanna Rutkowska. On regrettera cependant quelques sujets un peu en marge de la sécurité comme par exemple celui du « lock picking » ou les « hackerspaces » (non présentés dans ce compte-rendu) qui n’apportent rien à la conférence. Enfin le choix géographique du lieu de l’évènement (Besançon) a probablement induit un désintéressement pour cette conférence. La conférence se termine donc sur une note incertaine. On ne sait pas s’il y aura une seconde édition.