Eusecwest/core07

Les interventions étaient de bonne qualité, comme d'habitude dans les conférence de la lignée Secwest (Cansecwest, Pacsec et Eusecwest). Les deux reprises de Pacsec/core06, à savoir la gestion de de l'intrusion de 2000 chez Microsoft par Greg Galford et le traitement de alertes de sécurité noyau chez RedHat par Marcel Holtmann, ont connu un succès similaire.

Le talk sur le fuzzing par Christian Wieser était également excellent. Co-développeur de la suite PROTOS, il avait déjà proposé à Pacsec/core05 une étude de la robustesse des piles SIP et RTP. Connaisseur du domaine, il a fort bien décrit l'histoire, le contexte et les défis du fuzzing, puis introduit le projet Genome. Un excellent point de départ pour ceux qui veulent découvrir les concepts de base du fuzzing et les axes de développement de ce genre de technique, un peu plus étoffé (heureusement !) que mon billet sur la question. Saumil Shah nous a gratifé d'une très bonne présentation sur la gestion du tas, comme d'habitude. J'ai également trouvé relativement intéressante la présentation du Sun Bing sur les rootkits basés sur la virtualisation.

Côté déceptions, je n'ai pas du tout aimé celle d'Ofir Arkin sur le Network Access Control qui j'ai trouvée relativement creuse. Dommage... De même, les deux interventions de Microsoft se sont transformées en une seule sur deux slots. J'ai trouvé le résultat chiant à mourir...

J'ai pris quelques photos que vous pouvez évidemment retrouver en ligne.

Mais la présentation phare de Eusecwest aura été celle d'Adam Laurie sur les RFID. Auteur de RFIDIOt[1], il a brillamment illustré la mauvaise utilisation de ces puces, démontrant la facilité avec laquelle leur signal peut être cloné. Anecdote amusante : les fabricants de RFID réfutent ce clonage sous prétexte que le device résultant n'a pas la même forme physique !? Comme si les lecteurs de RFID étaient capables de vérifier la forme du truc qui leur envoie le bon signal... Décidemment, la mauvaise foi n'a pas de limite en sécurité informatique... Où encore ce constructeur qui se refuse à lui prêter du matériel pour ses recherches, explicant dans un email très sérieux que le but poursuivi par Adam est contraire aux intérêts de cette société. Genre je fais des trucs pourris et pas de la sécurité, merci de passer votre chemin, votre maman ne vous a jamais dit que la curiosité était un vilain défaut ?


RFID

Cependant, le véritable évènement se déroulait en coulisses, en marge de la conférence, alors qu'une journaliste du Daily Mail le mettait au défi de récupérer les informations contenues dans la puce RFID d'un passeport anglais tout juste sorti des imprimeries de Sa Majesté, encore scellé dans son enveloppe d'expédition. Je vous passe le suspens, il y est parvenu. Comme il devait l'expliquer pendant sa présentation, ces informations sont chiffrées à l'aide d'une clé dérivée du code MRZ[2] situé au bas de la deuxième page du passeport, présent sur tous les passeports depuis les premiers dits "à lecture optique"[3]. Jusque là, tout va bien, puisqu'à moins d'être doué de pouvoirs spéciaux, on ne peut pas le lire à travers l'enveloppe. Sauf que... Sauf que ce code est composé d'éléments qui ne sont pas si difficiles que ça à découvrir :

  • numéro de passeport ;
  • nationalité ;
  • date de naissance ;
  • date d'expiration du passeport ;

Avec un peu de recherche et de force brute, la bonne combinaison devait tomber en quatre heures environ. Quatre petites heures pour récupérer l'intégralité de la page 2, c'est à dire de quoi déchiffrer les données lues depuis le RFID dans un premier temp et pourquoi pas réaliser un faux passeport dans un second. On apprendra en outre que ces informations ne sont pas censées être modifiables, puisque signées numériquement. Pas de quoi, donc, générer le même passeport avec une photo différente ou une autre date de naissance. Sauf que... Sauf que l'infrastructure de PKI sur laquelle s'appuie le dispositif de vérification des passeports numériques n'est pas encore en place. Pas de clés publiques, pas de possibilité de vérifier l'authenticité des données.

Adam est un habitué de la collecte de données personnelles. Après avoir montré combien il était facile de retrouver des données dans les bases des companiges aériennes à parti d'une simple carte d'embarquement, il s'intéresse depuis plus d'un an aux passeports électroniques supposés inviolables en marge de ses travaux sur les RFID. Quel est le problème ? En fait il est double. D'abord le standard s'appuie sur des données relativement simples à retrouver pour générer ses clés de chiffrement. Les passeports sont par exemples numérotés en séquence et la date d'expiration se retrouve facilement puisque forcément comprise dans les dix prochaines années. Si en plus on a affaire à un passeport neuf comme c'était le cas ici, on a de forte chance de trouver la date d'émission dans les dix derniers jours, donc la date d'expiration[4]. Ensuite, il y a ce problème de PKI qui empêche tout simplement la vérification de l'intégrité des données : le standard étant international, comment accéder aux clés publiques françaises lors d'une vérification dans un pays d'Amérique du Sud par exemple. Ou le contraire. Et c'est là que le bât blesse à mon sens. Non seulement on peut lire les données du passeport et les cloner, mais en sus, des indélicats vont pouvoir générer de vrais faux passeport en les modifiant puisque personne ne sera en mesure de vérifier la signature pendant un laps de temp non négligeable. On sent bien le soucis, d'autant qu'avec toute la publicité faite autour de cette technologie, les personnels auront, au moins les premiers temps, tendance à faire plus confiance aux données émises par la puce qu'au passeport lui-même. La fenêtre de tir n'est donc pas nulle, et on sent venir la contrefaçon à grands pas...

Autant de points qui ne manquent pas de susciter l'inquiétude des citoyens d'un côté, et le silence limite coupable des autorités de l'autre. Car à l'instar des machines à voter, l'utilisation des RFID à des fins de sécurité souffre d'un gros problème de compréhension des limites de la technologies de la part de nos dirigeants. Exactement comme les empreintes digitales et autres facteurs d'identification biométriques, les puces RFID ont beau être aussi parfaitement unique que possible, elles n'en sont pas moins copiables, et donc falsifiables, avec d'autant plus de facilité que la lecture du signal peut se faire où on veut et à une distance raisonnable pour peu qu'on possède le bon équipement. Je ne m'étendrai pas sur ceux qui vantent le fait que l'information soit délivrée chiffrée, mais toujours de la même manière, comme facteur de lutte contre le clonage. Décidemment, le déficit de sens commun commence à se creuser de manière inquiétante et laisse envisager les hypothèses les plus folles, comme la carte d'électeur RFID pour s'authentifier sur une machine à voter. Le cauchemar n'est peut-être pas si loin en fait...

D'un autre côté, on commence à trouver des RFID servant de bridge à de vrais puces, permettant de rendre des applications de type cartes à puce contactless. Les échanges sont certes plus longs, plus coûteux en énergie émise, mais ils permettent de mettre en place une réelle authentification du token à l'aide de mécanismes cryptographiques éprouvés, ce qui laisse un peu d'espoir. Mais bon, si on doit laisser son badge trois secondes devant le lecteur, quel est le gain par rapport à l'insertion dans un lecteur ?


Recon 2007 2008

Et oui, Recon 2007 ne sera pas. Malgré le franc succès de la précédente édition, la main d'œuvre volontaire pour supporter la mise en route de l'évènement fait curellement défaut et ne suffit pas à pâlier les indisponiblités des trois principaux organisateurs devant également gérer leur vraie vie à côté. Pas de bras, pas de chocolat. Se tiendra à la place une réunion informelle le temps d'un week-end, la Recon Party, ainsi qu'un training de trois jours en RCE animé par l'incontournable Nicolas Brulez. Par contre, retour aux affaires en 2008 avec une vraie Recon comme les deux précédentes, bien travaillée et tout et tout avec tout le temps disponible pour l'organisation et tout le toutim encore mieux qu'en 2006. Et en parlant de 2006, les vidéos des présentations sont en ligne sur Archive.org.

Déception et inquiétude. Déception de voir ce troisième opus annulé alors qu'on le sentait comme celui de la consécration. Déception aussi parce que, même si la distance m'empêchait de vraiment m'investir dans l'organisation, le comité de programme et les travaux de dernière minute me permettait d'y participer un peu et de m'en sentior proche. Inquiétude ensuite parce l'exemple des RMLLs qui ont peiné à se remettre de l'annulation de l'édition bordelaise 2003, reprise à l'arrache à Metz, me reste à l'esprit. Espérons que Recon ne subira pas le même sort...

Espoir. Si les gens motivés pour assister à une mini-Recon cette année s'y mettent un peu, rien ne s'oppose à ce que l'évènement soit de qualité. Des rencontres comme HAL en 2001 puis WTH en 2005 ont été de francs succès tout en restant très "roots". Je pense en particulier à ceux de nos cousins québécois qui, intéressés par la chose, pourraient filer un coup de patte fort appréciable[5] : idées de salles sympas pour hoster les deux journées, de bar/resto pour la soirée, d'hôtels susceptibles de proposer des tarifs de groupe intéressants pour ceux qui pourraient venir de loin[6]. Le genre de choses pour lesquels la proximité, sans être une nécessité, est un plus non négligeable. À vot' bon cœur, m'ssieurs dames !

Notes

[1] RFID IO tool

[2] Machine Readable Zone

[3] C'est évidemment ce qui lit la machine quand on passe le bas de la page dedans...

[4] 10 ans plus tard

[5] Hint: info at recon dot cx

[6] Genre Bibi ;)