Cyber Watch Report – Août-Septembre 2018 : Mauvaises configurations et failles de sécurité

Septembre, c’est aussi la rentrée des hackers ! Ce mois-ci, nous vous présentons des fuites de données, une attaque virale, une nouvelle version de l’attaque Cold Boot ainsi que la mise à mal des clés électroniques des voitures Tesla.

Des mauvaises configurations entraînant des fuites de données

Ce mois-ci nous avons décidé de vous parler de deux fuites de données majeures. Ces deux fuites ont en commun la source de l’incident : de mauvaises configurations.

Le premier cas vient du Mexique, où un chercheur en sécurité (Bob Diachenko) a découvert que plus de 2 millions de mexicains ont vu leurs données de santé exposées sur Internet via un serveur MongoDB, sans aucune restriction d’accès. Ces données étaient composées entre autres de leur nom/prénom, sexe, date de naissance et adresse. Une fois la base de données repérée et le problème remonté par le chercheur, l’accès à la base de données a été sécurisé dans les heures suivantes.

Ces mauvaises configurations nous poussent à nous demander comment est-il possible de trouver une base exposée sur Internet sans aucun mot de passe, alors que MongoDB a mis en place depuis de nombreuses années des mots de passe par défaut pour justement éviter ces erreurs de configurations…

Dans le second cas, nous nous tournons vers des pays anglophones, à savoir le Canada et le Royaume-Uni. L’utilisation d’outils de travail collaboratif comme Trello peut grandement aider à la communication et flexibilité au sein des équipes. Il est cependant difficile pour les administrateurs de contrôler tous ces « tableaux », un espace partagé sur Trello, du fait que n’importe qui puisse en créer un. Ainsi certains espaces peuvent sortir de la supervision et des process IT. Et cela peut mener à une fuite d’informations si ces deniers ne sont pas bien paramétrés.

C’est le cas ici, où une cinquantaine de tableaux ont été publiquement exposées suite à de mauvaises configurations. Sur ces tableaux étaient stockés de nombreuses informations sensibles comme par exemple des contenus d’emails, des lignes de code backend de sites gouvernementaux, des mots de passe de consoles d’administration etc… Ces tableaux ont donc été sécurisés simplement en restreignant leur visibilité aux membres du projet, mais malheureusement des milliers de tableaux sont encore publiquement accessibles…

Un industriel à l’arrêt

Personne n’est à l’abri d’une erreur humaine, et dans certains cas les conséquences peuvent être importantes. L’entreprise TSMC, fabriquant de semi-conducteurs (puces NVIDIA, processeurs etc…) en a fait l’amère expérience. Début Août, lors de l’installation d’un nouvel outil, une mauvaise opération dans le processus d’installation a permis l’infection de nombreuses machines et a ainsi contraint l’industriel à arrêter sa production pendant quelques jours.

Le vecteur d’infection n’a pas été communiqué mais il est fortement probable que le package installé n’ai pas été scanné ou que la validité des sources du package n’ai pas été vérifiée (vérification de l’intégrité du package par comparaison de hash par exemple).

Cet incident de sécurité devrait coûter aux alentours de 3% des revenus du troisième trimestre de l’entreprise, soit environ 250 millions de dollars, ce qui est cher pour une erreur humaine…

Le retour de la Cold Boot Attack

Des chercheurs de F-Secure ont découvert et exploité une faille permettant de récupérer les informations sensibles (mots de passe, clés de chiffrement etc…) stockées sur un ordinateur après avoir rebooté ce dernier.

Cette faille est une variante de la « Cold Boot Attack ». Cette dernière  remonte à 2008 et permettait de récupérer les informations stockées dans la RAM après que la machine ait été arrêtée.  Un mécanisme de sécurité a ensuite été implémenté pour s’en prémunir. Il consiste à écrire des données sur la RAM au moment de son allumage afin d’éviter de pouvoir en lire son contenu. Toutefois, la nouvelle variante permet de le contourner. Les chercheurs ont découvert qu’en manipulant physiquement le firmware de la machine, il était possible de désactiver cette sécurité et de démarrer l’ordinateur depuis un périphérique externe. Il leur est possible d’accéder aux données, même si le disque est chiffré !

Bien que les données potentiellement accessibles soient très sensibles, il faut au préalable que les attaquants aient un accès physique à la machine. Ce qui rend l’exploitation de cette vulnérabilité compliquée.

Tesla de nouveau pris pour cible

Comme de nombreuses voitures aujourd’hui, il n’est plus nécessaire d’introduire sa clé de Tesla dans la serrure afin d’ouvrir et démarrer sa voiture. La voiture émet un signal radio en continu et le propriétaire peut garder son porte-clés dans sa poche tout en ouvrant sa voiture. Afin de pouvoir s’assurer que la personne dispose de la bonne clé électronique, cette dernière envoie à la voiture un code chiffré, qui permet d’en vérifier l’authenticité.

C’est ce mécanisme que des chercheurs d’une université belge ont réussi à exploiter. En effet, la clé de chiffrement utilisée étant faible (40-bit), les chercheurs se sont rendus compte qu’ils étaient capables de retrouver la clé de chiffrement à partir de deux codes envoyés par la clé électronique. Ils ont alors calculé la totalité des clés possibles pour toutes les combinaisons de paires de codes. Avec ces combinaisons, il ne leur restait plus qu’à se rendre à proximité d’une voiture et copier son signal radio. Ils sont ensuite partis à la recherche du propriétaire en diffusant le signal copié. Une fois à portée de la clé électronique du propriétaire, ils ont pu obtenir les deux codes nécessaires et retrouver la clé de chiffrement.

Cette vulnérabilité a été corrigée sur les nouveaux modèles avec l’utilisation de clé de chiffrement plus robustes. Pour ce qui est des voitures plus anciennes, Tesla a introduit l’utilisation d’un code PIN afin de pouvoir accéder au tableau de bord et démarrer la voiture.

Une vidéo de démonstration de l’attaque est disponible ici et elle est assez surprenante de facilité : https://youtu.be/aVlYuPzmJoY

Avec des voitures toujours plus connectés, la sécurité informatique est devenue un enjeux crucial pour assurer la bonne sécurité des passagers et se prémunir contre le vol.

Nos recommandations du mois :

• Mettre en place un processus de vérification de l’intégrité des packages utilisés et déployés
• Mettre un place un processus de contrôle des configurations, et mettre en conformité les ressources lorsque nécessaire

Bonus :

Retour sur la première cyberattaque ciblant les systèmes de sûreté industriels (Safety Instrumented System) : https://www.nozominetworks.com/2018/08/08/blog/black-hat-understanding-triton-the-first-sis-cyber-attack/

Co-écrit par Florian Boudot et Charles Le Reun.