Exploit Corner

p. 06   XORtigate : exécution de code à distance pré-authentification sur le VPN Fortigate (CVE-2023-27997)

Pentest Corner

p. 18   Compromission de la solution de 2FA SecurEnvoy
p. 30   Les pièges et les contournements des expressions régulières
p. 44   NYSM : un conteneur offensif basé sur eBPF

Malware Corner

p. 54   Évasion des analyses d’applications sur Android : comment déjouer les outils d’analyse conventionnels !

Réseau

p. 64   Analyse statistique de filtrages réseaux et apprentissage automatique

Système

p. 74   Abus des modes de chiffrement via des fichiers bizarres

L’année 2023 est derrière nous depuis peu. L’heure est désormais aux bilans, aux vœux et aux bonnes résolutions. Bien qu’il soit hasardeux de faire un classement, l’année écoulée fut riche en actualités autour de la sécurité. Pour ma part, les vulnérabilités dans les implémentations open source des composants TPM et UEFI m’ont particulièrement marqué tant ils sont significatifs.

Il s’agit de vulnérabilités bas niveau qui s’attaquent à la frontière entre le matériel et le système d’exploitation. Elles font voler en éclats les limites entre ces deux mondes et permettent par exemple de résister à des réinstallations ou de sortir d’un hyperviseur. Elles sont d’autant plus ravageuses qu’on ne sait pas vraiment où se trouvent les implémentations concernées. Celles sur le TPM, un composant habituellement physique présent sur des cartes mères, touchent des géants du cloud qui utilisent des TPM virtuels. Difficile donc d’évaluer leurs conséquences, et les risques associés. Leurs impacts sont pour le moins dévastateurs.

Ces implémentations open source de référence sont développées en C, sans durcissement particulier, s’exécutent sans protection logicielle ou matérielle et avec des privilèges élevés sur la plateforme. L’attaquant n’est limité que par sa capacité et sa créativité à déboguer son exploit. Elles sont critiques pour nos ordinateurs, mais force est de constater qu’elles n’ont pas été auditées avec les ressources nécessaires. Pire encore, elles sont maintenues avec peu de moyens, et lorsqu’une vulnérabilité est rapportée les délais de correction se comptent en mois.

Loin de moi l’idée de décrier le travail des développeurs open source, tant leur tâche est parfois ingrate, mais le manque de moyens est flagrant. Ces vulnérabilités sont symptomatiques de notre dépendance paradoxale à l’open source. Bien d’autres projets ne sont pas ou peu financés, car le code est librement accessible, mais ils demeurent critiques. La Supply Chain et la SBOM sont au cœur de nombreuses interrogations liées à la sécurité de nos infrastructures. Les réponses sont encore balbutiantes, mais je vous en propose une complètement folle pour 2024 : contribuer aux projets qui nous tiennent à cœur, que ce soit financièrement, en fournissant du code, des tests ou simplement du temps pour délester leurs mainteneurs.

En voilà une bonne résolution pour cette nouvelle année 2024 !

Guillaume VALADON  @guedou – guillaume@miscmag.com