Vulnérabilité 

p. 08 Insécurité des optimisations des moteurs JavaScript

Dossier : Windows & Active Directory

p. 24 Cybersécurité des annuaires
p. 36 Attaques sur le protocole Kerberos en environnement Active Directory
p. 50 Le relai NTLM : fonctionnement et contre-mesures
p. 64 Utilisation des délégations non contraintes pour rebondir entre forêts
p. 78 Techniques de persistance Active Directory basées sur Kerberos
p. 98 Attaques sur SMB

Organisation

p. 110 Biais cognitifs et organisationnels : comment réussir sa sécurité (enfin, essayer)

Web

p. 120 Extensions web : quelles menaces pour les navigateurs ?

iOS ou Android ? Une mauvaise question…

Les idéaux se succèdent, on les dépasse, ils tombent en ruines, et puisqu’il n’y a pas d’autre vie, c’est sur ces ruines encore qu’il faut fonder un idéal dernier - Dostoievski

S’il y a bien quelque chose qui évolue dans le monde de la sécurité informatique, ce sont les affirmations indiquant que tel ou tel système est le plus sécurisé. Même si un système a été structurellement mieux développé du point de vue de la sécurité au départ et que sa surface d’attaque est faible, les attaques évoluent, et l’on ne cesse d’améliorer ce qui hier était considéré comme fragile. Une comparaison extrême serait le système d’exploitation à la fenêtre et celui n’ayant eu que 2 vulnérabilités exploitables à distance depuis un sacré paquet de temps (oui, Windows et OpenBSD). Comme toujours, on ne peut faire fi du modèle de menace ni de l’environnement et des acteurs dans lequel on retrouve un système.

Considéré hier comme ayant une longueur d’avance au niveau sécurité, iOS serait aujourd’hui moins bien qu’Android à ce niveau. Pour ceux qui n’auraient pas suivi, grand bien leur fasse, l’augmentation à 2.5M$ début septembre 2019 du prix d’une chaîne d’exploitation complète pour Android sur une plateforme bien connue (pendant qu’un « 1-click » via Safari baissait à 1M$) est venu reposer la question : quel OS mobile est le plus sécurisé, Android ou iOS ? Pourtant relativement tranchés il y a quelques années (en faveur d’iOS), les contours d’une réponse à cette question sont désormais plus subtils. Au niveau d’iOS : d’une part, contrairement à Android et son mode de développement, il ne facilite pas l’investigation (aurait-on vu [0] plus tôt sinon ?). Son modèle de sécurité est lié à l’usage de la dernière version logicielle et de la dernière version matérielle, une bonne partie des protections apportées étant liées aux fonctionnalités offertes par de nouvelles puces. Aussi, le prix d’1M$ a attiré de nombreuses personnes à faire de la recherche de vulnérabilités ces dernières années sur cet environnement. Ce qui a bien entendu payé, comme on a pu le voir récemment avec la présentation de Natalie Silvanovich à Black Hat et sa démonstration sur iMessage [1]. De nombreux appareils sont donc vulnérables, et la monoculture Apple amplifie grandement ce problème. Cependant, si l’on se repose sur les dernières versions matérielles, il existe un bel écosystème de contre-mesures (pointeurs signés, ASLR, etc.), présenté notamment au dernier SSTIC : « WEN ETA JB? A 2 million dollars problem » [2]. Du côté d’Android, il est bien plus difficile de répondre à la question. Au-delà du fait que les sources soient disponibles, l’écosystème est beaucoup plus varié, entre des surcouches constructeurs (bien souvent complètement trouées) et des environnements matériels extrêmement divers, l’exploitation « massive » en est d’autant plus complexifiée. Quelques acteurs importants (pour ne citer qu’eux, Samsung et Google) ont ainsi réussi à augmenter le niveau de sécurité de leurs appareils, au point d’avoir désormais capté l’attention du marché des 0day et, par conséquent, l’œil des chercheurs de vulnérabilités.

Quoi qu’il en soit, on ne peut pas mettre sur un même niveau l’exploitation massive, les APT, le traçage et l’infection par un malware (via le store officiel par exemple). Il est difficile d’être exhaustif sur les menaces existantes, et seul l’usager sait ce dont il cherche à se prémunir. Son choix final sur l’OS à utiliser est, dans tous les cas, réduit aux seules offres du marché et il n’ira pas reflasher son appareil avec un Android durci « maison ».

Quant aux croyances produites par les demi-discussions sur Twitter et les articles douteux, elles sont tout simplement toxiques et n’aident bien souvent pas l’utilisateur à connaître son niveau de sécurité et l’état réel de la menace.

Émilien GASPAR / gapz / eg@miscmag.com

[0] https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

[1] https://i.blackhat.com/USA-19/Wednesday/us-19-Silvanovich-Look-No-Hands-The-Remote-Interactionless-Attack-Surface-Of-The-iPhone.pdf

[2] https://www.sstic.org/media/SSTIC2019/SSTIC-actes/WEN_ETA_JB/SSTIC2019-Article-WEN_ETA_JB-benoist-vanderbeken_perigaud.pdf