Recherche en sécurité : les nouvelles tendances

Le mois dernier s’est déroulée la 16e édition de la conférence Black Hat sur la sécurité à Las Vegas, le plus important rassemblement au monde de chercheurs en sécurité.

Le mois dernier s’est déroulée la 16^e édition de la conférence Black Hat sur la sécurité à Las Vegas, le plus important rassemblement au monde de chercheurs en sécurité. Black Hat et sa conférence sœur aînée DEF CON, qui est dans sa 21^e édition, constituent un excellent forum pour faire le point sur les technologies de la sécurité informatique et donner un aperçu des nouvelles menaces qui ne tarderont pas à déferler.

Mais commençons par nous intéresser aux menaces actuelles : Mark Simos et Patrick Jungles de Microsoft ont animé une conférence passionnante sur la technique « Pass The Hash » (PTH) et recommandé les meilleures pratiques pour minimiser ses effets. PTH est utilisée par les pirates qui exploitent une vulnérabilité et prennent le contrôle d’un ordinateur Windows sur le réseau. PTH, quant à elle, exploite la technologie Single-Sign-On de Microsoft qui permet de restaurer votre environnement de travail chaque fois que vous vous connectez. Pour ce faire, l’ordinateur se souvient d’une version hachée de votre mot de passe stocké en mémoire, et l’utilise chaque fois qu’une machine exige une authentification, par exemple, pour monter des lecteurs partagés ou lancer une impression sur une imprimante partagée.  Les « hashes » stockés sont au cœur de la technique PTH qui y accède et les copie pour s’authentifier sur d’autres machines du réseau, installer du code malveillant sur ces ordinateurs et renforcer ainsi sa présence sur le réseau.

Cadrer le périmètre du compte administrateur

Les hashes sont indispensables au bon fonctionnement d’un réseau Windows. La meilleure contre-mesure possible consiste à réduire au minimum la durée de présence des hashes pour comptes administrateur sur les ordinateurs. Les entreprises peuvent y parvenir en délivrant des certificats standard à tous les utilisateurs et en limitant les accès administrateurs aux seules situations où ces derniers sont vraiment indispensables. Les administrateurs de réseau et de domaine utiliseront donc aussi des certificats standards pour faire leur travail quotidien. Ils n’accéderont à un compte administrateur que si cela s’avère absolument nécessaire. La navigation sur le Web et la consultation de la messagerie, les principaux vecteurs d’attaque d’aujourd’hui, doivent être évités, plus particulièrement en mode administrateur, de même que l’accès à distance à des machines clientes via des privilèges d’administrateur. Le livre blanc de Microsoft sur la technique PTH explique comment appliquer ces suggestions en toute sécurité et sans nuire à la productivité de l’entreprise.

La fragilité des ordinateurs embarqués

Par ailleurs, la conférence a été largement consacrée à de nouveaux sujets, notamment aux attaques et aux exploits contre les cibles plus inhabituelles que sont notamment les voitures, les téléphones cellulaires, les équipements médicaux et les systèmes domotiques. C’est ainsi que Charlie Miller et Chris Valasek ont démontré comment les ordinateurs embarqués dans les véhicules pouvaient être piratés pour manipuler tout un éventail de caractéristiques de la voiture, que ce soit la lecture et la modification de l’odomètre et de la jauge d’essence, le blocage soudain des ceintures de sécurité ou encore la désactivation des freins. Tom Ritter et Doug DePerry ont attaqué une femtocell disponible dans le commerce dans le but d’intercepter toutes les communications d’un téléphone cellulaire dans le voisinage. La femtocell est généralement utilisée par les clients qui rencontrent un problème de puissance du signal dans leur périmètre. Cependant, Tom et Doug ont démontré qu’en installant leur propre logiciel, ce dernier permettait d’espionner, sans éveiller le moindre soupçon, tous les appels d’un téléphone cellulaire, les textos ainsi que les communications de données entre les différentes parties. Les téléphones cellulaires sont également attaqués via leur chargeur. Billy Lau, Yeongjin Jang et Chengyu Song ont expliqué comment ils pouvaient dissimuler un petit ordinateur à l’intérieur d’un chargeur pour iPhone d’apparence anodine qui permet ensuite d’accéder à l’ensemble des informations stockées sur le téléphone lorsque ce dernier est branché sur le chargeur. Il s’agit là d’un procédé à la fois simple et élégant qui invite immédiatement à se méfier de ces stations de rechargement publiques proposées dans les hôtels, voire par certains exposants, notamment lors de la conférence Black Hat.