Cette semaine en matière de sécurité : l’IA est terrible, les clés Ransomware et Airdrop

Par
François Zipponi
-

Alors tout d’abord, jetez un œil à ce rapport de bug curl. Il s’agit d’un problème de sécurité de gravité 8,6, un débordement de tampon dans les websockets. Potentiellement un très mauvais. Mais c’est faux. Oui un strcpy l’appel peut être dangereux s’il n’y a pas de contrôles de longueur appropriés. Ce code a des contrôles de longueur assez robustes. Il ne semble tout simplement pas y avoir de vulnérabilité ici.

OK, passons à la punchline. Il s’agit d’un rapport de bogue généré avec l’un des grands modèles linguistiques (LLM) comme Google Bard ou ChatGPT. Et cela ne devrait pas être une surprise. De grosses primes de bugs sont versées, donc naturellement les gens essaient de tirer parti de l’IA pour obtenir ces primes. Mais comme [Daniel Stenberg] soulignez que les LLM ne sont pas réellement de l’IA et que le I dans LLM signifie intelligence.

Il y a toujours eu des rapports de vulnérabilité de qualité douteuse, envoyés par des personnes qui soit ne comprennent pas comment fonctionne la recherche de vulnérabilités, soit sont prêtes à faire perdre du temps au responsable en envoyant le résultat brut du scanner de vulnérabilités sans faire de réels efforts. Ce que font les LLM, c’est fournir une illusion de compétence qui met plus de temps à être parcourue par un responsable avant de se rendre compte que l’affirmation est fausse. [Daniel] est plus charitable que moi, ce qui suggère que les LLM peuvent aider à communiquer de vrais problèmes à travers les barrières linguistiques. Mais cela suggère néanmoins que la solution à long terme pourrait consister « simplement » à détecter les rapports générés par LLM et à les marquer comme spam.

C’est pourquoi nous ne pouvons pas avoir de belles choses

Passons maintenant à une autre idée terrible, une clé dynamométrique automatisée avec accès au réseau. Ces dispositifs sont utilisés dans la fabrication pour serrer les boulons au couple approprié – une étape critique dans de nombreux cas.

Donc, en toute honnêteté, il est logique qu’un fabricant veuille enregistrer et transmettre automatiquement l’historique du couple à partir de l’appareil, dans le but de détecter immédiatement les problèmes. Sauf que ces appareils ont du fromage suisse pour le firmware, avec 23 vulnérabilités identifiées. Ce mélange permet une chaîne d’exploitation commençant par un attaquant totalement non authentifié et se terminant par l’exécution du code racine sur l’appareil.

Les chercheurs à l’origine de ce travail proviennent de Nozomine Networks et ont créé quelques preuves de concept (PoC) pour démontrer ce qu’un véritable attaquant pourrait faire. Le premier est un programme de rançongiciel, qui demande un dixième de Bitcoin pour rendre la foreuse à nouveau opérationnelle. La seconde est encore plus sournoise, demandant à l’appareil d’utiliser des paramètres de couple incorrects, tout en signalant les bons à l’écran. Cela donnerait lieu à un sabotage industriel très sournois.

Si l’existence des vulnérabilités a été annoncée, les détails techniques restent encore sous embargo. Des correctifs de sécurité devraient être disponibles d’ici la fin du mois.

Le super cookie de Google

L’une des fonctionnalités les plus pratiques de l’écosystème Google est la possibilité de connecter en permanence un appareil ou un navigateur à un compte utilisateur. Tous ces appareils sont censés être déconnectés lors d’un changement de mot de passe, mais il y a apparemment un problème dans ce schéma. Un chercheur en sécurité Black Hat a découvert que l’ID de compte et les jetons de sécurité extraits de l’état interne d’un navigateur connecté peuvent être envoyés au point de terminaison MultiLogin et que des cookies d’authentification valides peuvent être générés, même après un changement de mot de passe. C’est un gros problème, alors qu’une partie de la solution standard à un problème de sécurité consiste à changer de mot de passe. Dans ce cas, cela ne garantit pas qu’un acteur malveillant soit expulsé du compte.

Il s’agit d’un problème Zero Day qui fait partie de plusieurs boîtes à outils de logiciels malveillants et qui n’a pas encore été corrigé par Google. La raison semble être que le point de terminaison MultiLogin est un élément essentiel du flux d’authentification du compte Google. Pour l’instant, si vous pensez que votre compte Google a été victime de ce problème, la solution consiste à vous déconnecter manuellement de chaque session de navigateur ou d’appareil, à réinitialiser le mot de passe et à vous reconnecter à chaque session.

Ivanti

Deux vulnérabilités de la solution VPN d’entreprise Ivanti sont également activement exploitées. Il n’y a pas encore beaucoup d’informations disponibles, mais nous savons que CVE-2023-46805 est un contournement d’authentification, tandis que CVE-2024-21887 est une faille d’injection de commandes. Ensemble, les deux failles semblent constituer une chaîne d’attaque très efficace conduisant à l’exécution de code externe non authentifié.

Les premiers indices de ces failles remontent au 3 décembre. Une solution d’atténuation est disponible et des correctifs complets devraient être déployés en janvier. L’exploitation limitée a été attribuée à un APT chinois, mais il est probable que les failles seront recréées par d’autres et largement exploitées.

Largage aérien

Airdrop d’Apple est un moyen astucieux de partager des fichiers avec des contacts locaux. Il a même la possibilité de partager des fichiers avec tout le monde à portée WiFi ou Bluetooth. En 2019, des chercheurs ont identifié un problème lié à la manière dont Apple utilisait le simple hachage pour identifier les utilisateurs. Airdrop ne prétend jamais être véritablement anonyme, mais les utilisateurs s’appuient sur l’anonymat fonctionnel, en particulier dans des pays comme la Chine, où le libre échange d’informations est parfois restreint. Cet anonymat fonctionnel s’est avéré incomplet, les autorités chinoises ayant trouvé un moyen d’identifier les utilisateurs qui envoient et reçoivent des messages.

Sur la base des informations disponibles, il semble qu’ils aient réussi cela en construisant une table arc-en-ciel de hachages et d’identifiants possibles.

Les tables arc-en-ciel sont une technique très astucieuse pour réaliser un pré-calcul partiel d’un hachage. Il existe en gros deux manières extrêmes d’inverser un hachage et d’en extraire le secret. D’un côté, vous pouvez simplement forcer le hachage, en essayant toutes les combinaisons possibles et en comparant la supposition hachée au hachage que vous essayez d’inverser. Cela prend un temps extrêmement long, mais pratiquement aucun stockage de données. D’un autre côté, vous pouvez pré-calculer toutes ces suppositions et simplement stocker les résultats dans une table de recherche. Un hachage pourrait être inversé très rapidement, mais les exigences de stockage des données seraient insensées.

Une table arc-en-ciel divise la différence, en stockant très intelligemment une table de recherche beaucoup plus petite et en effectuant une partie des calculs lors de la rupture du hachage cible. Il fonctionne en utilisant une fonction de réduction, destinée à prendre un hachage et à le recalculer en quelque chose qui ressemble à une autre supposition. Lors du précalcul de la table arc-en-ciel, vous commencez par une supposition, puis vous la hachez avec le hachage cible. Vous utilisez ensuite l’étape de réduction pour transformer cela en une supposition différente, puis hachez cette supposition. Ce processus se poursuit pendant un nombre défini de tours, prenons 100 comme exemple. Une fois les tours terminés, la supposition du premier tour et le hachage du dernier tour sont stockés. Ce processus est effectué pour de nombreuses suppositions et l’intégralité du résultat est stockée.

Ensuite, lorsque vous essayez de casser un vrai hachage, le même processus de réduction/hachage est effectué 100 fois. Si après l’une de ces étapes, le hachage résultant correspond à l’un des hachages stockés, vous savez que le secret est probablement l’une des suppositions sur cette chaîne. L’attaquant doit simplement parcourir à nouveau la chaîne correspondante, et le secret et le hachage correspondant sont trouvés. Soit dit en passant, pendant de nombreuses années, les mots de passe des utilisateurs Windows ont été très faciles à déchiffrer à l’aide de tables arc-en-ciel gratuites.

Revenons maintenant au problème d’Airdrop. Fortes de la cryptographie insuffisante d’Airdrop, les autorités chinoises utilisent des tables arc-en-ciel pour retracer les « informations inappropriées dans les lieux publics ». Il convient de noter en particulier que cela ne serait pas très difficile à obtenir. Aux États-Unis, Apple a de bons antécédents en matière de protection de ses utilisateurs, même contre l’accès du gouvernement et des forces de l’ordre. À mon avis, ce serait plutôt accablant si Apple ne parvenait pas à remédier à cette vulnérabilité utilisée par les forces de l’ordre chinoises.

Bits et octets

Coldfusion d’Adobe présentait des vulnérabilités d’exécution de code à distance (RCE) et de lecture de fichiers arbitraires qui ont été utilisées à grande échelle l’année dernière. SecureLayer7 dispose d’informations approfondies sur la cause exacte des vulnérabilités. Il s’agissait d’un bug de désérialisation JSON dans le code Java ColdFusion.

Voici maintenant une idée intelligente. Vous pouvez ajouter du CSS pour thème votre page Office 365. Dans le cadre de ce CSS, vous pouvez inclure un fichier, par exemple une image d’arrière-plan. Si vous hébergez également cette image d’arrière-plan, vous pouvez consulter les journaux de votre serveur en temps réel pour voir de quelle page elle est appelée. Si cette URL est différente de votre URL de connexion réelle, alors vous venez d’être victime d’une attaque de phishing Adversary-in-the-Middle (AitM) !

Nous avons une paire de Twitter X échoue, d’abord parce que la SEC perd le contrôle de son compte X. Le seul message publié par un attaquant affirmait que la SEC avait approuvé un ETF Bitcoin, ce qui a provoqué de fortes fluctuations sur les marchés en réponse à la fois au faux message et à l’annonce selon laquelle il n’était pas réel. Et puis Mandiant a publié les informations promises sur son compte X piraté. Le mot officiel est qu’il s’agissait d’une attaque par force brute et que l’authentification à 2 facteurs a été temporairement désactivée sur le compte.

Et enfin, Wireshark a publié la version 4.2.1, avec une poignée de correctifs de vulnérabilités dans Wireshark lui-même. Nous avons vu des acteurs malveillants cibler les chercheurs en sécurité au cours des deux dernières années. Il n’est donc pas impensable qu’une capture de paquets Wireshark puisse contenir un exploit. Comme pour tout le reste, soyez prudent en ouvrant des fichiers pcap non fiables !

François Zipponi
François Zipponi
http://10-raisons.fr/author/10raisons/
Je suis François Zipponi, éditorialiste pour le site 10-raisons.fr. J'ai commencé ma carrière de journaliste en 2004, et j'ai travaillé pour plusieurs médias français, dont le Monde et Libération. En 2016, j'ai rejoint 10-raisons.fr, un site innovant proposant des articles sous la forme « 10 raisons de... ». En tant qu'éditorialiste, je me suis engagé à fournir un contenu original et pertinent, abordant des sujets variés tels que la politique, l'économie, les sciences, l'histoire, etc. Je m'efforce de toujours traiter les sujets de façon objective et impartiale. Mes articles sont régulièrement partagés sur les réseaux sociaux et j'interviens dans des conférences et des tables rondes autour des thèmes abordés sur 10-raisons.fr.
ARTICLES SIMILAIRESPLUS DE L'AUTEUR