dimanche 27 juillet 2008

Les backdoors dans Skype

Un récent article au titre racoleur prétend qu'il existe des backdoors dans Skype, permettant aux forces de police d'écouter les conversations.

Au delà du FUD, il me semble évident (compte-tenu des informations disponibles publiquement) qu'il est possible d'écouter une conversation Skype.

Parmi les arguments qui plaident en faveur de cette hypothèse:

  • La présence de failles exploitables à distance dans le logiciel. Dont la nôtre :)
Ceci dit, même si les polices française et allemande (entre autres) ont des velléités de "piratage légal", un ex-français travaillant dans la sécurité informatique offensive pourrait confirmer que les "services" sont encore loin du "remote 0day dans Skype" ...
  • Le mécanisme d'authentification, basé sur une signature RSA, repose sur le jeu de clés Skype.
Il a déjà été démontré (cf. slides 101+) que le remplacement de ces clés dans un client Skype "malveillant" (par exemple, via la fonction de mise à jour automatique[*]) permettait de faire tourner un réseau totalement indépendant du réseau "officiel". Le point de connexion entre le réseau "officiel" et le réseau "parallèle" simule un client Skype et peut avoir accès à toutes les communications en clair (attaque en homme du milieu).

Bien entendu si Skype coopère en donnant accès à ses clés privées, c'est encore plus simple.
  • Le système de plugins permettant d'étendre les fonctionnalités du logiciel n'est pas sûr.
En effet, lors de l'ajout d'un nouveau plugin, une confirmation utilisateur est demandée. Mais cette confirmation ne fait qu'ajouter une entrée dans la liste des plugins, authentifiée par un "code de validation". Ce code n'est en aucun cas une signature, et n'importe qui connaissant l'algorithme peut le recalculer. Un malware pourrait donc installer silencieusement un plugin Skype.

Compte-tenu des conférences passées présentant les méthodes de travail de la police, la solution du piégeage semble être la plus couramment utilisée.
  • Enfin, de nombreux pays imposent aux opérateurs télécom la mise en place d'un mécanisme de Lawful Interception. On ne voit pas pourquoi une société américaine aussi importante (Skype est une société du groupe eBay) pourrait décider de se soustraire à cette obligation.
Maintenant chacun fait ce qu'il veut. Mais vous ne pourrez pas dire que vous ne saviez pas.

La question qui reste en suspens est: y a-t-il une bonne vieille backdoor dans Skype, permettant de prendre le contrôle de n'importe quel client à distance ? Un simple netstat -an devrait permettre de répondre à cette question ;)


[*] La fonction de mise à jour automatique est une simple connexion HTTP. Par exemple chez moi:
GET /ui/0/3.6.0.216/fr/getnewestversion?ver=3.6.0.216&uhash=1b37a59b72b99a9ff8158cb6e084efb86 HTTP/1.1
User-Agent: Skype. 3.6
Host: ui.skype.com
Cache-Control: no-cache

HTTP/1.1 200 OK
Date: Sun, 27 Jul 2008 12:40:59 GMT
Server: Apache
Cache-control: no-cache, must revalidate
Pragma: no-cache
Expires: 0
Set-Cookie: SC=CC=:CCY=:LC=fr:TM=1217162459:TS=1217162459:TZ=:VER=0/3.6.0.216/0; expires=Mon, 27-Jul-09 12:40:59 GMT; path=/; domain=.skype.com;
Content-Length: 9
Connection: close
Content-Type: text/html; charset=utf-8
Content-Language: en

3.8.0.139

lundi 14 juillet 2008

Il n'est toujours pas content

(Suite du message précédent, car j'ai oublié de citer quelques personnes qui me font rire - personnes morales, je vous rassure :)

  • La newsletter de mon opérateur mobile
Je me suis toujours demandé si les témoignages clients glissés dans les encarts publicitaires étaient totalement bidonnés (texte et photo), ou juste un peu. Vous voyez de quoi je veux parler : les encarts dans lesquels Michel H., 52 ans, cadre en région parisienne, se dit "accro de la 3G" par exemple.

Mon opérateur mobile fait la même chose, mais avec des stars. Ce mois-ci c'est Zazie qui s'y colle. Et je ne sais pas si c'est le service com' qui a écrit l'interview, mais en tout cas quelqu'un s'est bien raté.


  • La newsletter de ma banque
Echec également. Il s'agissait de promouvoir la banque par téléphone portable.


  • Les utilisateurs de Word
Oui les utilisateurs de Word m'exaspèrent ! Enfin les 98%[*] d'utilisateurs (ça ne vous concerne donc peut-être pas, cher lecteur :) qui se sont retrouvés avec le pack Office installé sur leur PC acheté en grande surface, et qui ont grossi la base des "utilisateurs de Word".

[*] Chiffre approximatif

Le drame, c'est qu'un document Word d'une certaine taille (pas celle d'un CV, mais celle d'un document d'analyse de risques par exemple) sans numérotation automatique, sans styles prédéfinis, sans signets et références, et autres fonctions clés du logiciel c'est juste ... impossible à modifier.

Au moins avec \LaTeX, on peut être sûr que tout utilisateur ne l'est pas devenu par hasard ... (je vous rassure, un document \LaTeX est également impossible à modifier si on ne dispose pas de tous les paquets installés sur le poste de l'utilisateur qui a compilé le document en dernier).
  • Le dernier Hakin9 sur le thème "Data Recovery"
Non en fait il n'est pas mal :) Il y a quelques articles qui tiennent tout à fait la route.

Il n'y a que deux problèmes avec ce magazine : quand ils font appel à des étudiants pour boucler, ou quand ils font appel à des étudiants pour traduire.

Dans le premier cas, ça donne des choses comme "si comme moi vous avez perdu votre table de partitions un matin en vous réveillant, vous pouvez utiliser FileRecovery Pro ou TestDisk pour récupérer vos fichiers". Sachant que le premier est un outil Windows coûtant au bas mot $100, et que le deuxième est inutilisable si Curses n'évoque pour vous qu'un sort niveau 4 à Eye of the Beholder. Aucune explication sur les principes, même généraux, de la récupération de données. Une introduction "I love Linux", suivie d'une liste de produits sous Windows. Au final, un article qui sera périmé dès que les logiciels cités auront changé de version.

(A titre personnel je recommande vivement TestDisk et PhotoRec, qui m'ont sauvé la vie plusieurs fois).

Dans le deuxième cas, ça donne des choses comme (je cite mot pour mot) :
"LDAP est un protocole qui peut être supporté par différentes technologies, telles que XML ou les bases de données traditionnelles."
Ou :
"[...] d'énormes rainbow tables qui peuvent être mis à mal avec des technologies de type torrent."
Quoique dans certains cas, on se demande si l'erreur est réellement imputable au traducteur ...

samedi 12 juillet 2008

Il revient ... et il n'est pas content !

Et oui je suis de retour après pas mal d'activités diverses. Mais j'ai aussi eu le temps de m'énerver sur l'actualité récente.

  • La "faille" DNS
Je ne m'avancerai pas sur le fait de savoir si Dan Kaminsky a trouvé une faille sérieuse dans le protocole DNS ou l'une de ses utilisations (contrairement à d'autres [1][2]). Mais en lisant les blogs, il est amusant de constater que tout le monde prétend avoir trouvé cette faille (D.J.Bernstein, Amit Klein, et même un stagiaire du SANS) ... alors qu'on ne sait même pas encore de quoi il s'agit !

Been there, done that.
  • La "qualité" de l'Open Source
Ou comment laisser un bug 33 ans dans un logiciel que tout le monde a utilisé au moins une fois (ne serait-ce qu'à l'école), à savoir YACC.
  • Le dernier MISC
Un bon opus, même si la virologie reste un sujet de laboratoire, assez loin des préoccupations actuelles des RSSI. Du coup la diversité des auteurs s'en ressent. Notez bien qu'on pourrait dire la même chose du dernier SSTIC. Mais je ne l'ai pas dit :)

Il faudra quand même que je me fasse confirmer (ou infirmer) que la traduction de l'anglais malicious est "malveillant", et non pas "malicieux". En tout cas d'après Google Translate.

Ceci dit, je n'ai jamais compris non plus la différence entre une "problématique" et un "problème", entre "un écart qui nécessite des mesures correctives rapides" et "un projet complètement planté", et toutes ces subtilités de la Novlangue.

Je réserve mon avis sur Hakin9 pour plus tard (je ne l'ai pas encore ouvert).
  • Les Call Centers
En complément à la technique du Grey Listing, la technique de l'Early Abort : si au bout de 3 secondes votre interlocuteur n'a pas dit "allo" et que vous n'entendez qu'un bruit de fond continu, RACCROCHEZ C'EST UN PIEGE ! En effet la numérotation dans les Call Centers est automatique ; lorsque la ligne décroche l'appel est transféré vers un télévendeur - ce qui induit un lag (perceptible) de 3-4 secondes.
  • La sécurité des présidents
Et oui c'est le sommet de l'Union pour la Méditérannée ce week-end. 18,000 policiers sont mobilisés. Et j'ai pris 2 PV de stationnement en 1h30. A ce prix là les terroristes vont avoir du mal à garer une voiture piégée s'ils n'ont pas pris le stationnement résidentiel !

Vive le mois d'août et sa gratuité ...

vendredi 4 juillet 2008

Appel à témoins

Désolé pour le manque d'activité sur ce blog, j'essaie de préparer des articles plus techniques que d'habitude mais c'est beaucoup plus long (mes stagiaires en savent quelquechose :).

L'objet initial de ce billet est le suivant : "j'ai un ami qui cherche des traces PCAP de communications WiFi enregistrées entre septembre 2006 et mai 2008, particulièrement lors de conférences de sécurité type SSTIC".

Si vous avez ça sous la main, vous pouvez me contacter par un commentaire.

Le plus strict anonymat sera respecté :)