Meltdown et Spectre: les nouvelles failles de nos processeurs

 

Meltdown: « Rogue Data Cache Load »

 

La faille Meltdown touche la mémoire cache L1 et permet de lire des secteurs de mémoire normalement non

accessible par un autre programme.
Les puces Intel semblent être les seules concernées.

Pour rappel, la mémoire cache L1 contient des données fréquemment utilisées et accessibles rapidement.

L’exploitation est possible en abusant le système d’exécution spéculatif du processeur. En effet, l’exécution des instructions par le processeur n’est pas linéaire afin de gagner en performance.
Grâce à l’algoritme de Tomasulo, le système trie les instructions dans le pipe afin de permettre plusieurs micro instructions de plusieurs processus de s’executer sans avoir à attendre que la fin des instructions
du premier processus soit terminé. Si deux instructions sont en concurrence, la seconde sera exécutée en mode spéculatif et stocké dans le cache L1 pour être reprise ensuite. On appel cela l’éxecution Out-of-order.

; rcx = kernel address
; rbx = probe array
mov al, byte [rcx]
shl rax, 0xc
mov rbx, qword [rbx + rax]

  1. Pour mettre en oeuvre cette attaque, il faut une première instruction qui nous demande de déplacer les donnée d’une adresse kernel protégée dans une adresse accessible.
    Le contenu de cet espace mémoire sera lu mais comme l’accès est protégé, cela provoquera une exception et donc une interruption qui sera traduite
    en ajoutant un flag d’interruption.
    Dans l’exemple, nous déplaçons les byte de rcx dans al (octet faibles de rax).
  2. Puis, nous poussons la contenu de rax de 12 octet vers la gauche.
  3. Ensuite, on récupère la valeur (en utilisant le décalage comme paramètre) pour la copier dans rbx qui peut ensuite être lu.

Cet exemple explique seulement la faille Meltdown, mais pour être mise en oeuvre en situation réelle, il nous faut encore utiliser une technique basée sur le temps d’accès (race condition) au registre pour être sur que les instruction suivant le flag ont bien été exécutées en mode spéculatif.
De plus, il nous faudra créer une boucle itérative si l’on veux faire un dump complet de la mémoire et pas seulement un seul secteur.

 

Spectre

 

Cette attaque est aussi basée sur le système d’exécution spéculatif mais touche les puces Intel, ARM et AMD.
Elle permet de casser la frontière entre les applications lancée sur la machine cible. Elle ne permet pas d’avoir accès à l’intégralité de la mémoire tel qu’il est théoriquement possible avec Meltdown.

Lorsque le mode spéculatif est utilisé, les micro instructions sont exécutées dans le désordres et c’est le processeur qui tente de prédire quelle sera l’instruction suivante à exécuter.
Spectre permet de tromper le processeur afin de lui faire afficher les informations concernant une autre application ou l’application elle-même dans le cas d’une attaque du naviguateur par JavaScript.
Une autre variante permet de déborder de l’espace allouer au programme attaquant pour lire l’espace mémoire suivant.
Pour fonctionner, l’attaquant devra utiliser utiliser un code spécifique à l’architecture de la cible ou utiliser un intépreteur déjà disponible (JIT, eBPF)

En cas de recherche de mot de passe, il faudra être capable de reconnaitre ce qui est un mot de passe et pas un simple mot clé, et savoir à quelle application le relié (c’est bien de savoir que Dauph1 est un mot de passe mais encore faut-il savoir où l’utiliser) ou, dans le cas de Spectre, connaître l’adresse mémoire où seront enregistrées les informations.

 

Conclusion

 

Puisque cette faille touche le kernel, il faut donc que le programme contenant les données à dérober soit en exécution ou que certaines de ses données soit toujours présente dans le cache au moment de l’attaque.
Il faudra aussi de bonne connaissance en forensic et en assembleur pour analyser les données récupérées.
Autant dire que la complexité de ces attaques fait qu’elles ne sont pas accessibles au premier venu.
Ces deux failles sont pour l’instant seulement valable localement, ce qui veux dire qu’il faut de toute façon un vecteur pour infecter la machine cible. Une fois la machine cible infiltrée, il est plus simple pour un attaquant lambda
d’utiliser un exploit d’élévation de privilège pour avoir accès à toute les mémoires et pas seulement la mémoire de travail.
Malgré la complexité et la difficulté à élaborer une outil permettant d’affecter toute les architectures, Spectre peut être la base pour élaborer des attaques très puissantes (spécialement sur des machines virtuelles qui utilisent beaucoup de mémoires virtuelles pour fonctionner, Spectre peut même s’attaquer à l’hyperviseur),
si l’on dispose des moyens suffisants pour mettre en oeuvre et approfondir d’autre variantes. L’un des grand avantages de l’utilisation des ces attaques est qu’elle sont complètement invisible par la machine cible. C’est d’ailleurs pour cela qu’il est impossible de dire si ces failles ont déjà été exploitées.

Afin de se protéger de Meltdown, il existe des patch et mise à jour permettant de diminuer la probabilité de résultat pour l’attaquant (seulement au niveau logiciel).
Pour Spectre, il n’est pas possible de combler la faille, mais un bon antivirus à jour devrait bloquer le code malicieux avant sont déploiement sur la machine cible.
Vous trouverez ci-dessous un lien vers les patch et advisory

 

 

Tomasulo : https://fr.wikipedia.org/wiki/Algorithme_de_Tomasulo
Advisory and patch : https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre-vulnerability-advisories-patches-and-updates/
Meltdown : https://meltdownattack.com/meltdown.pdf
Google Zero Project : https://googleprojectzero.blogspot.ch/2018/01/reading-privileged-memory-with-side.html
Spectre : https://spectreattack.com/spectre.pdf
PoC Spectre : https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6
PoC Meltdown : https://github.com/paboldin/meltdown-exploit/blob/master/meltdown.c

Categories: Informatique

L’adresse IP dynamique est une donnée personnelle

european_court_of_justice_-_luxembourg_1674586821

 

Un internaute allemand a saisi la CJUE (Cours de Justice de l’Union Européenne) contre l’enregistrement et la conservation de son adresse IP lors de sa visite sur des sites des services fédéraux.

La CJUE a rendu son verdict [1] et considère l’adresse IP comme une donnée personnelle au sens de la directive 95-46-ce [2].

Une donnée personnelle sous condition

Pour que l’adresse IP soit considérée comme une donnée personnelle, la CJUE pose la condition préalable que l’éditeur « dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ».

Conservation

Dans l’article 7 de la directive, sous f) indique que « les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si (…) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 ».

Il est donc possible pour l’exploitant d’un site de conserver des données personnelles si celui-ci a un intérêt légitime, par exemple lorsqu’il s’agit de se défendre contre les DDoS ou autres attaques informatiques, afin d’assurer in fine la continuité de son service.

Conclusion

Ce jugement vient donc compléter la réglementation suisse pour qui une adresse IP constitue une donnée personnelle pour les FAI, ainsi que pour les autorités puisqu’elles peuvent exiger l’identification de l’individu selon les art. 14 et 15 de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) [3].

 

[1] https://cdn2.nextinpact.com/medias/c582_14.pdf

[2] http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf

[3] https://francoischarlet.ch/2012/communication-de-donnees-personnelles-par-un-fai-notamment-ladresse-ip/

 

 

Categories: Informatique, Politique

Les enjeux de la cybersécurité au XXIème siècle

cybersécurité

 

Ce travail est réalisé dans le cadre de ma formation d’informaticien généraliste à l’École des Métiers du Valais. Il fait partie de l’examen final de culture générale pour l’obtention du Certificat fédéral de capacité. Le sujet a été choisi de manière personnelle et de façon à s’intégrer dans le thème «Un monde en question ». Il sera traité selon trois aspects choisis parmi les huit aspects de la culture générale.
J’ai choisi un sujet qui me touche de près pour plusieurs raisons que je vais énumérer ici.
Premièrement, la passion de l’informatique ainsi que la formation que je suis actuellement me pousse naturellement à m’interroger sur cette problématique. En effet, ce sujet me sera toujours utile dans ma carrière professionnelle afin de développer des applications et solutions informatiques sécurisées et fiables.

 

La seconde raison est que je pratique l’éthical hacking (piratage éthique) depuis environ 4 ans. J’ai en outre découvert plusieurs failles dans la sécurité du journal «Le Nouvelliste» ainsi que dans des
journaux du groupe Tamedia (20 minutes, le Matin…). De ce fait, la problématique de la sécurité informatique est un sujet que je connais aussi par la pratique et dans laquelle je m’investis aussi durant mon temps libre.
Finalement, je suis un membre actif du «Parti Pirate Suisse» et membre du comité au niveau valaisanen tant que co-président en charge de la partie romande du canton. Ce qui fait que la protection des données ainsi que la sécurité informatique me touchent directement dans cette fonction avec quelques actions concrètes telles que la suspension du dossier électronique du patient en Valais pour des raisons de manquements graves dans la mise en place de la plateforme ou encore un moratoire sur l’installation de Windows 10 dans les écoles valaisannes en collaboration avec le Préposé cantonal à la protection des données.

 

C’est donc pour toutes ces raisons que j’ai choisi ce sujet qui me touche directement et à propos duquel je peux faire partager mon expérience tant pratique que théorique sur les aspects techniques,
économiques et légales dans le but de sensibiliser le plus grand nombre de personne à cette problématique complexe et souvent négligée même par les professionnels.

 

Categories: Informatique, Réflexions

Le rapport sur l’attaque contre RUAG

ruag

 

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) a, sur mandat du Conseil fédéral, publié un rapport avec les éléments techniques du  cas ayant touché RUAG. Ce rapport est destiné aux professionnels de la sécurité, et doit les soutenir dans leur tâche d’identification des risques dans leurs réseaux et de mise en place de mesures de sécurité.

Dans ce rapport, nous découvrons plus en détail la mise en oeuvre de cette attaque.

 

Pas de politique de monitoring et de suivis des log

 

imageGO7HY

 

Premièrement, le virus utlisé est de la famille Turla. Cette famille de virus puissant attaque depuis 2008 plusieurs service gouvernementaux, états et armée dans le monde. On soupçonne la Russie d’être derrière ce virus. Il existe plusieurs variantes de ce logiciel malveillant, dont une utilisant des satellites afin de faire transiter les données volées. La variante utilisée contre RUAG ne dissimulait pas son activité et n’était donc pas couvert par un rootkit. Toute l’activitée du virus est donc enregistrée dans les logs systèmes et ceux du système de monitoring ou du proxy (lorsqu’il y en a un).

Bizarrement, il a fallut à RUAG qu’un service étranger l’informe de l’attaque en décembre 2015 pout que l’entreprise réagisse. Ceci démontre qu’il n’y a eu aucun suivi des journaux logs ni de monitoring qui aurait permis de déceller cette attaque bien plus tôt.

 

Une mauvaise hiérarchisation des réseaux

Le virus a attaqué le service Active Directory (AD) qui est un annuaire pour groupes et utilisateurs de Windows. Pour une bonne pratique, il est important de hiérarchiser et d’isoler les réseaux afin d’éviter qu’une élévation de privilège permette d’atteindre un réseau de plus haut élevé.

Selon le rapport, les auteurs de l’attaque ont réussit a infecter le serveur AD et a effectuer un mouvement latérale permettant d’atteindre un niveau de droits plus élevé. Cela est possible grâce à une mauvaise topologie réseaux et une mauvaise isolation des différents groupes.

 

Date de l’infection inconnue

Nous avons lu dans la presse que l’attaque date de septembre 2014 mais cette information n’est pas vraiment juste. En faite, l’attaque date au-moins de septembre 2014. Les journaux logs n’étant pas conservés assez longtemps, il est impossible de remonter des informations datant d’une date antérieure.

 

Quantitée et nature des données volées inconnue

Comme la totalité des journaux logs n’a pu être récupérée, il est impossible de connaitre la quantité totale, ni la nature des données volée. Nous ne pouvons qu’affirmer qu’environs 20 Gb de données ont été volées depuis septembre 2014.

 

Impossible d’évaluer les dégats

Le rapport note qu’il est extrêmement difficile d’évaluer les dégats. Ceci à cause d’une mauvaise gestion et un non-suivis des fichiers journaux. Alors que les livres de comptes doivent être conservés 10 ans suivant la loi suisse (OLICO), les logs ne sont pas soumis à une réglementation. Dans le cas de RUAG, la durée de conservation des logs parraît tout de même particulièrement courte (environs une année).

 

Aucune info secrète volée ?

Malgré cela, l’entreprise assure qu’aucune donnée secrète n’a été volée, celles-ci ne fesant pas partie d’un réseau ouvert sur l’internet. Par-contre, des données confidentielles se trouvaient sur ces système dans un format chiffré. L’entreprise garanti que les attaquants n’ont pas eu la capacité de les dechiffrer mais comme il leur a été possible d’effectuer un mouvement latéral, rien ne garanti que les clés ne se soient pas retrouvées sur le réseau (il faut de toute façon utiliser la clé à un moment ou a un autre pour pouvoir déchiffrer les données, même poour les employés de RUAG) et que les attaquants ne s’en soient emparés.

L’entreprise minimise aussi l’importance de l’attaque: elle ne concernerait que 1 pour mille des données générées par RUAG. Malheureusement, l’importance d’une attaque ne peut être reliée à la seule quantitée de données volées, c’est la valeur de ces données qui est déterminante. Nous pouvons avoir des milliers d’informations sur le fonctionnement d’une entreprise mais une seule information de valeur quant à un éventuel rachat permettrait de tricher en bourse.

 

Conclusion

Malgré les tentatives de minimisation de la part de RUAG, cette attaque doit être considérée comme une attaque de grande gravité. La cible stratégique qu’est RUAG et son lien avec le DDPS en font une cible critique pour les états étrangers. La complexité du virus utilisé et son histoire privilégie un attaquant de grande puissance avec un soutient étatique. Finalement, le manque de suivis et de contrôle sur les données sortantes des serveurs de RUAG démontre une grande naïveté de l’entreprise face aux menaces informatiques et ruine la possibilité de connaître la nature et la quantité réelle des données volées.

Des mesures ont été prises (gardées secrètes), mais il est important que les entreprises proche de la Confédération puissent avoir un standard commun en matière de cibersécurité. Ceci devrait être dévolu à un organe de la Confédération (peut-être MELANI)  chargée d’établir une stratégie et un standard minimum de protection informatique pour les entreprises et organes affiliés à la Confédération. une pareille structure devrait se retrouver au niveau cantonal.

 

https://www.melani.admin.ch/melani/fr/home/documentation/rapports/rapports-techniques/technical-report_apt_case_ruag.html

http://www.agefi.com/ageficom/news/detail-ageficom/edition/online/article/dans-un-document-ruag-precise-quaucune-donnee-secrete-na-ete-volee-lors-de-lattaque-informatique-ce-type-de-donnees-nest-pas-enregistre-sur-les-systemes-ruag-connectes-a-internet-426573.html

Categories: Informatique, Politique

Rapport sur le DarkWeb

grams31

L’éditeur d’anti-virus G-Data vient de mettre en ligne un rapport sur le marché noir présent sur Tor ou I2P. On y trouve de tout, drogue, armes, cartes de crédit, vente de solution de piratage, faux-papier et même des services de blanchiment d’argent.

Voici quelques prix pour se rendre compte de la rentabilité du trafic :

Carte bancaire : 50 euro
Adresses email : 75 euro le million d’emailComptes email : 20 euro les 40’000 comptes
Spam: 5 euro 20’000 emails
Attaque DDos: de 10 à 200 euro de l’heure
Carte d’identité: 1000 euro

Le rapport complet est disponible ici

Categories: Informatique

Cumulus, le cloud en mode Emmental

emmecloud

En juillet dernier, la Confédération a lancé un appel d’offre en vu de se doter de sa propre plateforme Cloud. Aujourd’hui, l’OFIT rend publique le résultat et son choix c’est porté sur les entreprises américaines Teradata et Hewlett-Packard. Le but de la Confédération de baisser les coûts, d’augmenter l’efficacité et la sécurité est certes louable mais le fait de s’équiper avec du matériel américain vas totalement à l’encontre des mesures de sécurité et de confidentialité que se doit d’avoir ce genre d’infrastructure.

En effet, la firme HP est connue pour implémenter des modules permettant à la NSA et ces différents services de récolter toutes les données transitant par les infrastructures concernées. En 2007, on découvrait un backdoor (porte-dérobée) affectant 23 modèles de laptop de la marque.  En 2008, le service ANT (Access Network Technology) qui fournit aux différents services les outils d’espionnages proposait IronChef, un système touchant directement les serveurs Proliant d’HP.

IRONCHEF provides access persistence to target systems by exploiting the motherboard BIOS and utilizing System Management Mode (SMM) to communicate with a hardware implant that provides two-way RF communication. (HP Proliant 380DL G5 server)

IRONCHEF provides access persistence to target systems by exploiting the motherboard BIOS and utilizing System Management Mode (SMM) to communicate with a hardware implant that provides two-way RF communication. (HP Proliant 380DL G5 server)

En 2010, un nouveau backdoor est apparu dans un système de stockage HP.

Enfin, en 2013, HP doit à nouveau avouer la présence d’un backdoor dans ses systèmes de stockages, une porte ouverte sur un accès administrateur présent depuis 2009.

 

Que faire ?

Malheureusement, HP n’est pas  la seule marque qui connaît ce genre de rapprochement avec la NSA, Cisco ou Dell sont aussi impliquées dans cet espionnage à grande échelle.  Les chinois avec Huawei ainsi les russes prennent part à ce jeu, même si l’on en entend moins parler. Le plus effrayant, c’est que l’on sait maintenant que la NSA implémente ces espions dans le matériel directement, dans les firmwares (des disques dures Western Digital par exemple) ou dans le BIOS des produits américains.

Dès lors, il y a deux pistes à exploiter.

La première consiste à donner le mandat à nos École Polytechniques de développer, en partenariat avec des entreprises suisses, le matériel ainsi que les logiciels indispensable à l’infrastructure d’un Cloud  en se basant sur des logiciels open sources déjà existant. Cette solution a les avantages de donner un superbe essor au développement de la technologie suisse ainsi que que de positionner notre pays sur le marché du Big Data en adaptant la Constitution pour garantir l’identité numérique et en mettant en place un véritable réduit national numérique.

La deuxième solution ou solution du moindre mal consiste à exiger l’inspection des codes sources et du matériel étrangers comme l’a fait la Chine. Mais cette solution ne peut être parfaite car la technologie avançant, il sera de plus en plus difficile de déceler des backdoor infiltrés directement dans les processeurs ou puces électroniques.

La sécurité informatique repose sur 3 axes:
– le facteur logiciel (des entreprises suisses comme Exocloud ou Cloudfoundry sont compétentes dans ce domaine)
– le facteur matériel (un mandat pour l’EPFL serait une bonne solution)
– le facteur humain qui est le plus critique (une formation et un contrôle stricte doit se faire à l’interne)

La Confédération se doit de prendre en compte ces trois axes dans l’élaboration de sa stratégie informatique.  Dans le cas contraire, c’est la porte ouverte à de potentielles attaques sur des infrastructures critiques tel que la défense, la stratégie énergétique et économique. Il faut impérativement se préparer maintenant à faire face à ces nouvelles menaces, lorsque l’on sera mis sous pression par les USA (on à déjà eu un avant goût avec lors de la guerre qu’ils ont remporté sur le secret bancaire)  ou quand l’Union Européenne voudra vraiment affaiblir la Suisse, il sera trop tard…

 

 

Sources :

http://www.ictjournal.ch/News/2015/04/23/HP-deploiera-le-cloud-de-la-Confederation.aspx

Nokia lancerait sa tablette Windows RT en septembre


http://www.itbusinessedge.com/cm/blogs/weinschenk/security-staffs-must-beware-as-hackers-knock-on-the-backdoor/?cs=13603
https://nsa.gov1.info/dni/nsa-ant-catalog/servers/index.html#IRONCHEF
http://www.securityweek.com/backdoor-vulnerability-discovered-hp-msa2000-storage-systems
http://news.dice.com/2013/07/11/hp-keeps-installing-secret-backdoors-in-enterprise-storage/http://www.zdnet.fr/actualites/la-chine-veut-voir-le-code-source-des-logiciels-etrangers-39813834.htm

Categories: Informatique, Politique

ProtonMail

protonmail

ProtonMail a été fondée en été 2013 par des scientifiques qui se sont réunis au CERN et ont été rapprochés par une vision partagée d’un Internet plus sûr et privé. Depuis lors , ProtonMail a évolué dans un effort mondial visant à protéger les libertés civiles et de construire un Internet plus sûr , avec les membres de l’équipe venus de Caltech , Harvard , l’ETH Zurich et de nombreuses autres institutions de recherche .

Aujourd’hui , nous aidons notre communauté à croissance rapide des utilisateurs de plus de 120 pays de protéger leurs données privées en ligne . Plus de 10 000 partisans nous ont aidés dans cette mission en faisant un don pour rendre ce projet possible. Merci à votre soutien , nous continuons à développer l’état de la vie privée de l’art et de la technologie de sécurité de notre base d’accueil de Genève, Suisse.

Avantages

  • serveurs localisé en Suisse
  • full disk encryption (AES-256)
  • aucun accès aux données par des tiers
  • anonyme (n’enregistre aucune donnée de connexion tel que l’IP, HTTP-Header…)
  • encryptions bout-en-bout
  • basé sur des librairies open sources
  • option d’autodestruction des messages
  • SSL

Lien: https://protonmail.ch/

Categories: Logiciels