Cyber Watch Report – Mars 2019 : Vote en ligne avec backdoor et concours de tests d’intrusion

Co-écrit par Matthieu Riche, Guillaume Grabowski et Florian Boudot.

Ce mois-ci dans notre veille mensuelle, nous verrons une nouvelle attaque sur un acteur supply chain majeur à savoir Citrix, une faille inquiétante dans le système de vote en ligne Suisse et enfin un résumé de l’événement annuel Pwn2Own !

Une fuite de données chez Citrix

Citrix est une entreprise américaine proposant des outils de collaboration, de virtualisation, de mise en réseau et de cloud computing, notamment pour faciliter le travail mobile. Ses clients sont essentiellement des agences fédérales, comme le FBI, et de grandes entreprises américaines, dont 99% du Fortune Global 500.

Le 6 mars, le FBI découvre une fuite de données et prévient l’entreprise. On ne sait pas encore quelle quantité exacte de données a fuité, estimée entre 6 et 10 térabytes, ni si des données personnelles sont concernées. Une grande partie de ces données seraient liées à des communications privées avec des organismes gouvernementaux au sujet de divers projets informatiques sensibles impliquant entre autres le FBI, la NASA, la Maison-Blanche et la Defense Information Systems Agency (DISA).

Citrix aurait déjà été prévenue de la fuite de données le 28 décembre par Resecurity. Celle-ci désigne Iridium comme responsable de l’attaque, un groupe qui serait lié à l’Iran et également soupçonné d’être derrière la cyberattaque ayant visé le parlement Australien en janvier et février dernier. Il convient toutefois de prendre ces informations avec prudence, de par le peu d’informations disponibles sur les dirigeants de Resecurity, et d’autre part car nous connaissons les difficultés qu’il y a pour identifier la source d’une attaque.

L’attaque aurait été perpétrée par « password spraying ». Cette technique consiste à tester un nombre restreint de mots de passe basiques (par exemple ‘qwerty12345’) sur un grand nombre de comptes utilisateurs, afin de limiter le risque que des comptes utilisateurs soient bloqués et que l’attaque ne soit repérée. La compromission initiale selon cette technique pourrait avoir eu lieu dix ans auparavant, avant de voir les attaquants lentement contourner les différents niveaux de sécurité.

Cette fuite de données soulève plusieurs questions de sécurité. Tout d’abord, il est étonnant que la compromission initiale, puis les contournements des sécurités sur le réseau, n’aient pas été détectés par les systèmes de surveillance. Cette fuite met également en exergue la faiblesse intrinsèque des systèmes de sécurité via mots de passe. Les systèmes de double authentification et d’authentification biométrique, bien que plus difficiles à contourner, ne sont pas infaillibles.

Un backdoor trouvé dans le système de vote en ligne Suisse

La pratique du vote par internet connaît un développement croissant dans le monde, et plus particulièrement en Suisse. Apparu en 2003 pour des référendums d’ampleur limitée, il prend depuis lors une place de plus en plus importante dans la vie démocratique du pays, avec comme objectif d’être utilisé pour des élections au niveau fédéral. Évidemment, au vu de la criticité que représente cette méthode de vote, de nombreuses réglementations en limitent son application.

Le système de vote électronique sVote de la Poste suisse (SwissBank), développé par la société Scytl, est le premier à avoir passé la certification autorisant un usage jusqu’à une proportion de 50% des votants d’un canton. Seulement, ces systèmes de vote sont extrêmement difficiles à auditer, notamment car ils s’appuient sur des systèmes cryptographiques complexes.

C’est ainsi que début mars des chercheurs ont trouvé un problème critique au sein du code source de sVote. La faille consiste en un backdoor cryptographique dans le système qui vérifie que le vote décompté pour l’élection est bien similaire au vote émis par les votants. Il est alors possible pour quelqu’un possédant les droits nécessaires de prédire le résultat du système de vérification de l’intégrité, et donc de modifier les votes de manière indétectable.

SwissPost a bien confirmé l’existence de la faille en assurant y avoir remédié. Elle précise que pour l’exploiter il aurait fallu avoir un contrôle de leur infrastructure IT… ce qui laisse loisir à l’entreprise propriétaire de modifier un vote. Si aucun élément ne permet d’affirmer que ce backdoor est du à autre chose qu’une erreur humaine, il laisse toutefois entrevoir les risques possibles de manipulation des systèmes de vote en ligne.

Par ailleurs, seule une partie du code a été révisée par les chercheurs, laissant planer des doutes sur l’intégrité du système de vote. Un audit grandeur nature regroupant plus de trois mille hackeurs a d’ailleurs eu lieu entre le 25 février et le 24 mars 2019.

De nouvelles vulnérabilités découvertes lors d’un concours de sécurité informatique

Pwn2own est un concours organisé tous les ans par Zero-Day Initiative. Zero-day Initiative est une organisation de chercheurs en sécurité informatique créée par Trend Micro et dont le but est de collecter des vulnérabilités zero-day. Cette collecte se fait en récompensant financièrement ceux qui ont découvert ces failles. Ces vulnérabilités sont ensuite transmises aux éditeurs dont les applications ou logiciels sont concernés par celle-ci. Ces mêmes éditeurs ont ensuite 120 jours pour livrer des patchs avant que les vulnérabilités ne soient rendues publiques, sans toutefois donner de détails permettant de les exploiter.

Lors de ce concours, des éditeurs de solution mettent à disposition d’équipes d’attaquants leurs applications, machines virtuelles ou encore navigateurs web sur des ordinateurs récents. Ces solutions sont rangées dans plusieurs catégories : virtualisation, navigateurs web et applications d’entreprises (ex : Adobe Reader). L’équipe qui réussit à exploiter une vulnérabilité lors d’une démonstration remporte le support attaqué mais aussi une somme d’argent dépendante de la manière avec laquelle les attaquants se sont introduits sur le système. L’objectif de ce concours est donc pour les éditeurs de tester la robustesse de leurs solutions aux attaques informatiques.

La nouveauté de cette année était la création d’une catégorie automobile avec une Tesla Model 3 qui était mise à disposition pour que son système informatique soit mis à l’épreuve d’attaques. Ayant déjà subi plusieurs attaques sur ses voitures connectées, Tesla cherche ainsi renforcer leurs sécurités.

L’équipe « Fluoroacetate » a réussi à s’introduire sur le système de télé divertissement de la Tesla Model 3 durant sa démonstration en exploitant une faille dans le mécanisme de compilation à la volée utilisé pour le rendu photoréaliste et y afficher un message pour prouver la réussite de l’attaque. Cette équipe a aussi réalisé des démonstrations d’exploitation de vulnérabilité sur Apple Safari, Oracle VirtualBox, VMware Workstation, Mozilla Firefox et Microsoft Edge.

L’équipe « Fluoroacetate » a remporté le concours avec $375,000 à la clé sur les $545,000 remportés au total lors de la compétition et a aussi pu repartir au volant de la Tesla Model 3 grâce à sa démonstration réussie.

A l’image du concours de cette année avec l’apparition de la catégorie automobile, on peut voir qu’au-delà des seuls logiciels et applications pour ordinateurs, ce sont désormais tous les systèmes contenant de l’informatique embarquée qui sont concernés par la sécurité informatique.

Nos recommandations du mois :

  • Définir et appliquer une politique de mot de passe fort, y compris pour les comptes de services, formations, invités…
  • Intégrer la sécurité dans les développements, et effectuer des audits réguliers