Cyber Watch Report – Mai 2019 : Logiciel espion sur Whatsapp et mots de passe Google en clair

Co-écrit par Matthieu Riche et Guillaume Grabowski, avec l’aide de Florian Boudot.

Ce mois-ci, découvrez une faille de sécurité découverte sur WhatsApp, le stockage en clair de mots de passe G Suite chez Google et l’utilisation de logiciels malveillants de la NSA par un groupe de hackers !

Un appel sur WhatsApp et la porte est ouverte

Début mai, une faille de sécurité majeure a été découverte sur le logiciel de communication VOIP WhatsApp, application qui revendique aujourd’hui plus de 1,5 milliard d’utilisateurs. Celle-ci permettait à un attaquant, via l’exploitation d’une faille de type bufferoverflow, de télécharger sur le téléphone d’un utilisateur visé un logiciel espion permettant de récupérer les données du téléphone et d’activer certaines de ses fonctionnalités.

Le mode opératoire était le suivant : l’attaquant passait un appel à un utilisateur cible et envoyait en parallèle de son appel des paquets de données. Lorsque les paquets étaient reçus par le destinataire, ces derniers venaient saturer la mémoire tampon et la faisaient déborder, avec pour conséquence la réécriture d’une partie de la mémoire de l’application WhatsApp. Cela permettait à l’attaquant de prendre le contrôle à distance de l’application du mobile infecté et d’installer le logiciel espion Pegasus, spyware développé par l’entreprise israélienne NSO Group. Une fois Pegasus installé, l’attaquant était en capacité de lire les messages et mails, collecter des informations sur les appels passés depuis l’application, mais également de récupérer les données de localisation géographiques et d’allumer le microphone et la caméra du téléphone. De plus, il était possible pour l’attaquant de modifier les logs des appels et ainsi de supprimer l’appel à l’origine de l’infection du téléphone, puis d’effacer toutes traces de ses actions.

La veille de la mise en ligne du patch, selon le laboratoire de sécurité en recherche The Citizen Lab de l’université de Toronto, un avocat britannique a été la cible d’une attaque du Spyware Pegasus. L’attaque a pu être empêchée à temps par les équipes de WhatsApp qui travaillaient déjà sur la correction de la faille. L’avocat ciblé était notamment impliqué dans une plainte contre NSO, déposée par des journalistes mexicains et des critiques du régime saoudien.

Contacté par le Financial Times, NSO a nié toute implication directe dans ces actions. D’après eux, cette technologie « est uniquement utilisée par des agences de renseignement et des forces de l’ordre ». Pour preuve, les contrats signés au moment de la vente du logiciel stipulent que son utilisation doit se faire dans un cadre strictement légal. Il a notamment été employé dans le cadre de l’enquête qui a mené à l’arrestation du baron de la drogue El Chapo au Mexique.

Pour autant, les chercheurs du laboratoire The Citizen Lab assurent que le logiciel espion Pegasus aurait déjà été utilisé dans plus de 45 pays et que les attaques viseraient principalement des journalistes, dissidents et membres d’ONG. Il est par exemple avéré qu’en 2017, il a été utilisé au Mexique contre des personnes de la société civiles qui enquêtaient sur le scandale de corruption nommé « Casa Blanca ». La femme de l’ancien président mexicain, Enrique Peña Nieto, était notamment impliquée dans l’affaire.

WhatsApp annonce avoir corrigé la faille le 13 mai dernier avec la sortie d’une mise à jour de l’application.

Des mots de passe G Suite stockés en clair chez Google

Via un communiqué publié le 21 mai, Google a reconnu l’existence d’un bug dans sa G Suite, ayant laissé les mots de passe d’utilisateurs stockés en clair pendant près de 14 ans. Ce problème ne concernerait que les clients de la G Suite entreprise, ne touchant donc pas les utilisateurs Gmail standards. L’origine du bug provient d’un outil de la console d’administrateurs de la base de données qui permettait aux administrateurs de télécharger ou de définir manuellement les mots de passe des utilisateurs. Cette fonctionnalité a été désactivée par Google pour résoudre le problème.

Pour mieux comprendre les conséquences potentielles du bug, il convient de revenir au fonctionnement des mots de passe. Lorsqu’un nouveau mot de passe est enregistré, celui-ci est chiffré via une fonction de hachage irréversible (donnant un résultant tel que « ab4f63f9ac65152575886860dde480a1 »). Lorsqu’un mot de passe est utilisé pour s’authentifier, celui-ci est haché à son tour puis les deux chaines de caractères sont comparées. Ce système permet d’éviter de retrouver les mots de passe originaux à partir des données enregistrées dans la base de données, par exemple en cas de fuite de données ou pour des personnes ayant accès aux données de la base. Elle permet également d’éviter la transmission en clair du mot de passe, qui pourrait être intercepté dans le cadre d’attaques « Man in the Middle ». Le bug avait donc pour conséquence que les mots de passe ne passaient pas par cette fonction de hachage, entrainant le stockage en clair dans la base.

Néanmoins, la base de données où étaient stockés les mots de passe faisait partie de l’infrastructure sécurisée de Google, réduisant les risques de fuite. Ainsi, selon l’entreprise il n’y a pas de preuves qu’un accès ou une utilisation illégitime aient été réalisés. Par mesure de sécurité Google a notifié les entreprises concernées afin qu’elles mettent à jour leurs mots de passe. Celles qui ne prendraient pas par eux-mêmes les mesures nécessaires verront leur compte réinitialisé.

Cette annonce fait écho aux problèmes similaires rencontrés par Facebook en mars dernier, par Twitter l’an dernier, ou par Accenture en 2017. Google a également connu à nouveau ce problème pendant deux semaines en début d’année sur la plateforme G Suite.

Des failles de la NSA utilisées par des hackers Chinois

Des chercheurs de Symantec ont découvert que le groupe de hackers Buckeye (aussi connu sous les noms APT3 ou Gothic Panda), émanation du ministère chinois de la sécurité de l’Etat selon la NSA, utilisait des logiciels malveillants de la NSA dès 2016, soit plus d’un an avant qu’ils ne soient publiés en ligne par les Shadow Brokers. Ceux-ci avaient diffusé EternalBlue en avril 2017, mettant en exergue la vulnérabilité CVE-2017-0143 exploitée par le backdoor DoublePulsar, à l’origine des attaques WannaCry et NotPetya.

Outre l’antériorité de l’utilisation, les logiciels malveillants dérobés utilisaient une vulnérabilité encore jamais découverte auparavant (CVE-2019-0703), affectant comment les serveurs Windows SMB utilisent certaines requêtes, permettant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données, un déni de service et une exécution de code à distance. Celle-ci a permis de développer une version améliorée de l’exploit de DoublePulsar via un outil appelé Bemstour, permettant notamment de cibler des versions plus récentes de Windows (Windows 8.1 et Windows Server 2012 R2) et d’ajouter une protection supplémentaire, le rendant plus difficilement détectable.

L’outil aura été utilisé pendant un an, jusqu’à la diffusion d’EternalBlue par Shadow Brokers, dans le cadre d’attaques contre des organisations en Belgique, au Luxembourg, au Vietnam, à Hong Kong et aux Philippines – habituellement dans le cadre d’opérations de vol d’informations.

Il est difficile de savoir précisément comment ces outils ont pu être récupérés par un groupe de hackers Chinois. Trois hypothèses principales existent :

  • La plus probable, la détection d’une attaque américaine sur des infrastructures chinoises interceptée en temps réel, ce qui aurait permis l’analyse des flux réseaux puis de reconstruire les outils à partir de ces données, ce qui par ailleurs expliquerait les différences avec la version diffusée par les Shadows Brokers un an plus tard ;
  • Le piratage d’un serveur de la NSA sur lequel se trouvait l’outil ;
  • Une source interne à la NSA qui aurait fourni l’outil à la Chine.

Ce qui est certain, c’est que le vol puis l’utilisation de ces outils s’inscrit parfaitement dans la stratégie cyber de la Chine, tel que décrite dans le dernier rapport du Pentagone. Celle-ci vise à deux objectifs principaux : voler des technologies étrangères et servir de force de dissuasion militaire à bas coût.  Le vol d’outils permet à la Chine de combler le retard qu’elle pense avoir par rapport aux Etats-Unis sur ses capacités cyber développées en interne, malgré les moyens importants déployés. Cette révélation rappelle donc la fragilité des armes cybernétiques, difficiles à garder secrètes et qui peuvent être réutilisées contre leur concepteur.