Ce billet concerne la 2ème journée du SSTIC 2015.
SSL/TLS, 3 ans plus tard — Olivier Levillain
La présentation s’est concentrée sur les vulnérabilités découvertes dans le protocole et les implémentations de SSL/TLS sur les 3 dernières années. On constate que les développeurs font souvent les mêmes erreurs aux mêmes endroits. Il est vrai que les spécifications SSL/TLS sont assez libres et n’aident sans doute pas les développeurs à s’y retrouver. En conclusion, un projet comme FlexTLS permet d’identifier les problèmes de sécurité liés à une mauvaise implémentation et l’arrivée de TLS 1.3 va également apporter des solutions sur les problèmes rencontrés.
Les risques d’OpenFlow et du SDN — Maxence Tury
L’ANSSI a mené des travaux sur le SDN et une de ses implémentations OpenFlow. SDN (pour Software-Defined Networking) ne possède pas de définition exacte, mais le principe est de séparer les fonctions de routage et de transfert des paquets. Dans un réseau traditionnel, le routeur assure cette double fonction. En séparant ces deux fonctions, il est donc nécessaire de mettre en place un nouveau protocole, afin de faire communiquer les fonctions de routage et de transfert ; c’est là qu’intervient OpenFlow. Après une présentation du fonctionnement du protocole OpenFlow, l’ANSSI nous indique quelques faiblesses identifiées sur celui-ci, notamment l’absence de TLS pour les communications et la possibilité de saturer le contrôleur. Il est à noter que pour tester le protocole, l’ANSSI a développé des modules Scapy spécifiques qui ont été publiés.
Quatre millions d’échanges de clés par seconde — Adrien Guinet, Carlos Aguilar, Serge Guelton, Tancrède Lepoint
Cette présentation s’est concentrée sur la possibilité d’améliorer les performances lors de calculs cryptographiques en se basant sur le principe Lattice (https://en.wikipedia.org/wiki/Lattice-based_cryptography). Cette présentation étant très dense, nous vous recommandons de lire les actes.
VLC, les DRM des Bluray et HADOPI — Jean-Baptiste Kempf
Jean-Baptiste, actuel président de l’association VideoLAN, nous raconte comment l’association est née dans les locaux de l’école Centrale Paris. Au début des années 90, les étudiants étaient désireux d’avoir un nouveau réseau en Ethernet (et non pas en token ring). Ils ont donc négocié avec Bouygues de leur en fournir un, en échange de la résolution d’un problème de transmission de vidéos par satellite. C’est ainsi que VLC est né. Pour rappel, VLC est un outil multiplateforme permettant de lire des vidéos sans devoir installer de codecs additionnels. C’est un projet associatif entièrement produit par des bénévoles (n’hésitez pas à soutenir le projet). Jean-Baptiste a ensuite présenté différents DRM mis en place sur les DVD et les Bluray. Enfin, la présentation se conclut sur les échanges entre VLC et Hadopi pour savoir si le projet n’était pas dans l’illégalité, car il est en mesure de contourner les DRM mis en place et ainsi lire les DVD et Bluray. Cependant, HADOPI n’a pas été en mesure de répondre à la question. C’était une bonne présentation, nous vous recommandons de regarder la vidéo de la présentation.
Analyse de sécurité de technologies propriétaires SCADA — Alexandre Gazet, Florent Monjalet et Jean-Baptiste Bédrune
Les orateurs se sont intéressés à un protocole propriétaire de communication entre un PLC et un système de contrôle utilisé dans un système industriel. La présentation a mis en avant la démarche mise en œuvre pour effectuer du reverse engineering sur ce protocole. Bien que certaines vulnérabilités aient été identifiées et remontées au constructeur, les orateurs constatent une une meilleure prise en compte de la sécurité par les constructeurs.
Protocole HbbTV et sécurité : quelques expérimentations — Eric Alata, Jean-Christophe Courrege, Mohammed Kaaniche, Pierre Lukjanenko, Vincent Nicomette et Yann Bachy
Les orateurs ont testé la sécurité d’une télévision connectée (Smart TV). Ils ont identifié différents vecteurs d’attaques sur un équipement de ce type : attaques locales par le LAN, par Internet, via le serveur de mise à jour, via la boucle locale ADSL, etc. Ils se sont intéressés plus particulièrement à la possibilité de perturber le flux de diffusion vidéo TNT. La première idée est de pouvoir remplacer le contenu vidéo affiché sur la télévision. Etant donné que le protocole vidéo ne vérifie pas l’émetteur de la diffusion, mais prend uniquement la source avec le signal le plus puissant, l’attaque est réalisable. Dans un second temps, les orateurs se sont aperçus que le flux vidéo contenait une URL d’application pour chaque chaine. En émettant un flux malveillant contenant une URL avec du code JavaScript, il est possible d’effectuer des requêtes UPNP sur le boitier ADSL de la victime, et d’ouvrir des ports accessibles sur celle-ci pour accéder au téléviseur depuis Internet, et plus généralement au réseau interne.
Compromission de carte à puce via la couche protocolaire ISO 7816-3 — Guillaume Vinet
Cette conférence a présenté une démarche pour effectuer du fuzzing sur les cartes à puce. Dans un souci d’économie, l’orateur a monté une plateforme de test avec un Arduino, un client Python et l’outil Sully pour effectuer le fuzzing sur les cartes à puce. Il a été en mesure d’identifier des buffer overflow sur certaines cartes. L’auteur envisage d’étendre ses recherches sur les cartes sans contact.
Fuddly : un framework de fuzzing et de manipulation de données — Eric Lacombe
Eric a présenté le framework Fuddly qui permet d’effectuer du fuzzing, mais aussi de la manipulation de données. L’orateur a constaté que les fuzzers actuels ne fournissaient pas une flexibilité suffisante et que les frameworks évolués étaient incompatibles avec les contraintes d’Airbus (codes sources propriétaires, compatibles avec des architectures exotiques, etc.). Fuddly supporte les formats suivants : ZIP, PDF, PNG, JPG, descripteurs USB et certains protocoles avioniques. L’outil est disponible sur github : https://github.com/k0retux/fuddly
Avatar: A Framework to Support Dynamic Security Analysis of Embedded System’s Firmwares — Jonas Zaddach
Jonas nous a présenté le framework Avatar qui permet d’effectuer une analyse dynamique de firmwares. L’idée est que l’analyse d’un système embarqué est complexe, car on ne possède pas forcément l’ensemble des éléments pour effectuer l’analyse (toolchain de compilation, sources du firmware, documentation, émulateur, etc.). Avatar agit comme un proxy entre un émulateur et le système embarqué analysé. Il permet ainsi d’analyser les requêtes envoyées et reçues. Plus d’informations sont disponibles sur le site d’Eurecom : http://s3.eurecom.fr/tools/avatar/
A Large-Scale Analysis of the Security of Embedded Firmwares — Andrei Costin
L’orateur a souhaité effectuer une analyse à grande échelle des firmwares des systèmes embarqués. L’idée est de pouvoir faire une étude de masse sur les vulnérabilités présentes. Le problème est qu’il n’existe pas de bases de données publiques recensant l’ensemble des firmwares. La première étape de leur étude a donc consisté à récupérer le maximum de firmwares, ce qui n’est pas chose aisée. Parfois, il est possible de le récupérer sur le site de l’éditeur, d’autres fois l’orateur a dû les extraire via JTAG. Dans un second temps, pour effectuer l’analyse, l’outil BAT (Binary Analysis Toolkit) a été utilisé. Certaines modifications ont été apportées pour l’adapter à leurs besoins. Enfin, de nombreuses vulnérabilités ont été identifiées sur l’ensemble des firmwares analysés. L’ensemble des résultats de l’auteur est disponible sur le site : http://firmware.re/
Résultats du challenge
Comme chaque année, le gagnant du classement qualité a présenté sa solution. Il est à noter que plus de 29 personnes ont résolu le challenge. Le prix de la solution la plus originale et en images a été décerné à Axelle Apvrille (http://static.sstic.org/challenge2015/solutions/equipe_apvrille_lugou.zip)
Nous vous invitons à lire les solutions des différents gagnants : http://communaute.sstic.org/ChallengeSSTIC2015
Rumps
Comme chaque année, nous avons été gâtés ! Pas moins de 33 rumps ! Nous n’allons pas vous faire un résumé de toutes les rumps J Le moment des rumps est toujours un moment spécial. En effet, l’orateur dispose de 3 minutes pour effectuer sa présentation. Si le public n’est pas conquis, il l’applaudit pour lui signifier que la présentation est finie !
Voici quelques rumps intéressantes :
- Donjons, Dragons et sécurité: il s’agit d’un jeu de rôles permettant de sensibiliser des néophytes à la sécurité (https://github.com/tromand/NeoSens)
- HQL – Hyperpasnet Query Language: il s’agit d’une surcouche de SQL utilisée en Java. L’orateur nous explique comment il est possible d’injecter quand même du SQL. En fait, il suffit d’insérer un backslash et deux apostrophes, afin que HQL ignore la suite…
- S(4)u for Windows : il n’existe pas d’équivalent de la commande su sous Windows. Il existe bien runas ou psexec, mais soit cela nécessite de connaitre le mot de passe de l’utilisateur, soit cela permet d’obtenir les droits SYSTEM. S4U est apparu avec Kerberos et permet de récupérer les privilèges d’un utilisateur. L’outil est disponible sur github : https://github.com/aurel26/s-4-u-for-windows
- BreizCTF : un Capture The Flag est organisé à Rennes le 29 juin sur le campus de l’Epitech Rennes.
- FIR : la Société Générale a développé un outil de suivi des incidents de sécurité qui permet également de faire du reporting plus facilement. L’outil est disponible sur github : https://github.com/certsocietegenerale/FIR
- IVRE (Instrument de Veille sur les Réseaux Extérieurs) : ce framework permet d’effectuer des scans réseaux. Les orateurs ont testé leur outil sur tout Internet. Bien évidemment, des résultats intéressants ont été identifiés notamment des interfaces SCADA. L’outil est disponible sur github : https://github.com/cea-sec/ivre
- Netzob : Cet outil qui a déjà été présenté au SSTIC permet de faciliter l’analyse de reverse engineering d’un protocole réseau. Les orateurs nous ont montré en 3 minutes comment analyser une capture PCAP avec NetZob, afin de reconstruire les messages du protocole.
- GreHack 2015 : La conférence GreHack à Grenoble est de retour. Le CFP est sorti. Attention : le site web est maintenant grehack.fr et le compte twitter officiel est @GrehackConf.
- BotConf 2015 : La Botconf aura lieu à Paris dans les locaux de Google du 2 au 4 décembre 2015.