Après les failles Zero-Day, place aux Any-Day

De quoi s’agit-il ? De failles conceptuelles pour lesquelles il n’existe(ra) aucun correctif, et qui sont pourtant largement exploitées « dans la nature ».

Entre les intrusions ciblées (dites APT) et les failles Java à répétition, tout le monde est désormais familiarisé avec le concept de faille Zero-Day (faille logicielle exploitée dans la nature mais inconnue de l’éditeur) ou Demi-Day (faille publiquement documentée pour laquelle le correctif est encore très peu déployé, comme Exynos, qui existe actuellement sur les smartphones Samsung). La protection contre les failles Zero-Day est un graal que poursuivent de nombreux éditeurs de produits de sécurité, avec un relatif (in)succès. Mais ce n’est pas l’objet de ce billet. Etant confronté quotidiennement à des attaques ciblées d’une complexité plus ou moins importante, j’aimerais toutefois rappeler qu’il existe une famille de failles beaucoup plus dangereuse et largement mise de côté par les défenseurs : celles que je baptise aujourd’hui officiellement sous le nom d’Any-Day.

Aucun correctif possible

De quoi s’agit-il ? De failles conceptuelles pour lesquelles il n’existe(ra) aucun correctif, et qui sont pourtant largement exploitées « dans la nature ».

Prenons un exemple concret qui parlera à tout le monde: Windows. Microsoft vient de publier un guide méthodologique pour contrer l’attaque Pass-the-Hash, officiellement documentée pour la première fois en… 1997 par Paul Ashton. Le principe de cette attaque est le suivant : pour s’authentifier à la place d’un utilisateur, il suffit de connaître le hachage (hash) de son mot de passe. Il n’est plus nécessaire de le casser grâce à des centres de calcul dignes de la NSA.
Le lecteur attentif aura compris de lui-même que ce type d’attaque rend inutile les politiques de sécurité qui consistent à exiger des utilisateurs un mot de passe complexe et changé régulièrement…

Que propose Microsoft quinze ans après ? D’empêcher l’attaquant d’obtenir les privilèges administrateur sur le poste de travail de sa victime (seul prérequis à l’attaque Pass-the-Hash). Notons au passage que la modification des options de sécurité Windows ou l’utilisation des cartes à puce ne permet pas de contrer cette attaque.

Une riposte obsolète

Reste un détail qui n’est pas mentionné dans le document de Microsoft : toutes les versions de Windows conservent le mot de passe utilisateur en clair dans la mémoire, et ce, pendant toute la durée de vie de la session utilisateur. L’attaque Pass-the-Hash est donc inutile aujourd’hui, puisqu’obtenir les privilèges administrateur sur un poste ou un serveur permet de collecter les mots de passe directement en clair via un simple un outil (français !): Mimikatz.

Vous ne le saviez pas ? Pourtant les pirates sont au courant depuis belle lurette. Relisez le rapport d’intrusion de la société DigiNotar (2011). Vous y découvrirez une référence au fichier … « mimi.zip » !

Les attaques techniquement complexes (telles que les failles Zero-Day) sont largement mises en avant dans les conférences de sécurité et la communication des éditeurs spécialisés. Il ne faut toutefois pas oublier que les attaquants professionnels recherchent l’efficacité avant la prouesse technique. Leurs armes favorites sont des techniques éprouvées, simples à mettre en œuvre, difficiles à détecter et impossibles à contrer avec les outils dont nous disposons. Bienvenue dans le monde des failles Any-Day.