Exploit Corner

p. 06 Vulnérabilités, Binary Diffing & Crashs

Pentest Corner

p. 12 Rakound : faire les poches de BloodHound

Forensic Corner

p. 22 Description du format de stockage forensique Encase/EWF

Dossier

p. 30 Introduction
p. 31 MCO et MCS d’un parc de VM de grande entreprise
p. 42 Un aperçu de la sauvegarde
p. 48 Sécurité à l’exécution sous Linux

Système

p. 56 Exploitation des ports de débogage USB des SoC

Réseau

p. 64 Techniques de mouvements latéraux en environnement Windows avec DCOM

Organisation & juridique

p. 76 Detection as code

Il y a 8 ans, Edward Snowden révélait les capacités de la NSA en matière d’écoute et d’interception des communications. Le grand public découvrait que les États-Unis d’Amérique réalisaient des écoutes en masse des communications, étaient en capacité de les déchiffrer et avaient un accès direct aux données des principaux fournisseurs de services sur leur territoire.

Suite à ces révélations commercialement problématiques pour les éditeurs américains, ces derniers, et tout particulièrement Apple, ont fait de la question de la protection des données privées un enjeu commercial sur lequel ils ont axé leur communication afin de regagner la confiance de leurs clients [1]. Grâce au chiffrement de bout en bout et aux clefs de chiffrement stockées sur les terminaux dont l’éditeur n’a pas connaissance, il pouvait être raisonnable de penser que des progrès avaient été faits en matière de protection des données. D’ailleurs, même le FBI participait avec enthousiasme au plan de communication d’Apple en se plaignant de ne plus réussir à accéder aux données stockées sur iPhone [2][3].

L’affaire Pegasus vient cependant rappeler qu’il existe d’autres moyens techniques pour accéder aux données et écouter les communications sur un terminal mobile. Pourtant, la simple lecture du programme public de récompenses de Zerodium [4] aurait pu mettre la puce à l’oreille des médias et politiques d’autant que les plus grosses récompenses sont pour les 0days sur mobile et leurs applications de messagerie instantanée. Il eut été raisonnable de penser qu’ils n’achètent pas des exploits pour en faire la collection, mais qu’ils ont des clients à qui les revendre et qu’ils ne sont pas les seuls sur le marché. Aussi, voir des politiques au plus haut niveau avec des téléphones grand public utiliser Telegram ou WhatsApp montre leur niveau de naïveté et de méconnaissance des questions de cybersécurité. Car, quel que soit le niveau d’expertise technique des agences spécialisées, il n’y a pas de solution magique pour sécuriser un smartphone contre des 0day. Si l’on veut sécuriser un terminal, il est nécessaire de réduire la surface d’attaque. Il est impossible de disposer d’un téléphone avec toutes les applications à la mode et espérer qu’il soit inviolable par l’ajout d’une brique de sécurité magique. Comme toujours, la sécurité induit un impact fort pour les utilisateurs, il y a nécessairement un choix à faire entre la sécurité et les usages.

Et si NSO, avec la bénédiction de l’État d’Israël, assure la main sur le cœur, qu’ils ne fournissent leurs services qu’à des États à des fins de lutte contre le terrorisme et le crime organisé, l’usage qui semble avoir été fait de leurs produits laisse à penser qu’ils ont fait preuve d’une certaine légèreté dans le choix de leur clientèle et de l’usage final de leur technologie. Et si Snowden avait fait prendre conscience des capacités opérationnelles en matière d’écoute et d’informatique offensive des États-Unis, l’affaire Pegasus montre que des outils offensifs sont accessibles à n’importe quel pays moyennant quelques millions de dollars. Un État, s’il ne dispose pas des ressources techniques et humaines pour réaliser des attaques élaborées, a juste à sortir son carnet de chèques et acheter sur étagère les briques techniques et le service associé comme n’importe quel logiciel ou matériel informatique. À ce titre, la lecture des pays clients de NSO dans cette affaire est particulièrement éclairante [5], on ne retrouve aucun pays connu pour ses capacités en matière de cybersécurité. Des sociétés telles que NSO rendent accessibles aux pays les moins développés des armes numériques capables d’écouter le téléphone portable d’un chef d’État du G7.

Il faut toutefois souligner qu’il est plus que probable que ce type d’actions offensives soit conduit par les pays disposant du plus haut niveau d’expertise en cybersécurité avec beaucoup plus de discrétion en s’appuyant sur leurs propres équipes. Au regard des capacités opérationnelles qu’a démontré une entreprise de 700 salariés, les dirigeants politiques ou industriels auraient tout intérêt à se méfier de leurs téléphones s’ils veulent éviter les indiscrétions des principales puissances dans le domaine de la cybersécurité.

Enfin, cet épisode montre également que le choix d’Apple et Android d’un système fermé sans accès simple aux logs rend complexe la détection de ce type d’attaques sur un parc de smartphones pour les équipes informatiques.

Cédric Foll / cedric@miscmag.com / @follc

[1] https://www.apple.com/privacy/features/

[2] https://www.apple.com/customer-letter/

[3] Apple a cependant évolué sur la question en annonçant cet été qu’un système de vérification de présence d’images pédopornographiques sur les terminaux allait être déployé : https://www.usine-digitale.fr/article/apple-sous-le-feu-des-critiques-pour-ses-fonctionnalites-de-surveillance-contre-la-pedopornographie.N1131769

[4] https://zerodium.com/program.html

[5] Azerbaijan, Bahrain, Hungary, India, Kazakhstan, Mexico, Morocco, Rwanda, Saudi Arabia, Togo, and the United Arab Emirates : https://twitter.com/tenacioustek/status/1419364914444054529?s=20