Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Antoine Boegli, SCRT : 25C3, 25ème Chaos Communication Congress de Berlin, l’illusion de la sécurité

janvier 2009 par Antoine Boegli, Ingénieur Sécurité, SCRT

La 25ème édition du Chaos Communication Congress de Berlin (CCC) a permis aux 4.500 visiteurs de faire le point sur les nouvelles techniques de piratage, mais aussi de rencontrer tout une faune de spécialistes dans une ambiance « bon enfant ». Entre la démonstration d’un exploit du hachage MD5, les nouveaux algorithmes d’encryptages de flux, le piratage des tags RFID… les visiteurs ont eu de quoi « s’occuper »… Somme toute une bonne édition.

Un peu d’histoire...

Fondé en 1981 à Berlin, le Chaos Computer Club, ou CCC, est l’une des organisations de hacker et de spécialistes de la sécurité les plus influentes d’Europe. Chaque année depuis 1984, aux alentours de Noël, le CCC organise un congrès où sont présentés avancées technologiques, bricolages improbables et fun, état de l’art en matière de sécurité, etc. Ce congrès, le Chaos Communication Congress, est aussi le plus grand rendez-vous européen des hackers, recevant jusqu’à 4500 personnes de tous âges. Du 27 au 30 décembre 2008, sous la bannière 25C3 c’était la 25ème fois qu’il avait lieu, au Berliner Congress Center.

Le chaos et la démographie

Certains d’entre nous se rappellent de la réputation sulfureuse que les médias avaient fait au CCC à la fin des années quatre-vingt, quand quelques uns de ses membres avaient été impliqués, au côté du KGB soviétique, dans la première affaire de cyber espionnage international. Aujourd’hui, les pirates travaillant pour le compte du KGB ont disparus, sont restés les passionnés de tous bords et de toutes générations, parfois accompagnés par leurs familles. Au milieu des t-shirts noirs de rigueurs aux slogans plus ou moins anarchistes ou plus ou moins obscurs, des enfants jouent aux Legos ou louvoient entre les hackers assis par terre un ordinateur sur les genoux, et traversent la foule des adultes en courant et en hurlant, brandissant épées en plastique et pistolets lasers. Beaucoup de personnages hauts en couleurs partagent leurs expériences professionnelles et discutent de leurs passions, et signe des temps, une présence féminine en augmentation et clairement aussi enthousiaste que la majorité masculine telle cette institutrice suisse d’origine africaine, habituée de la démo-scène, venue assister à quelques présentations techniques en compagnie d’amies hackeuses... En règle générale, la population rencontrée lors des conférences sur la sécurité informatique est très consciente des limites de la sécurisation. 25C3 ne fait pas exception à la règle, et le public applaudit aussi bien les démonstrations de failles que la présentation de technologies remédiant à celles-ci.

L’illusion de la sécurité

Un événement marquant de cette conférence aura sans aucun douté été la démonstration pratique d’un exploit sur le hachage MD5. Normalement, une fonction de hachage devrait retourner un résultat différent pour chaque valeur entrée, mais on savait depuis quelques années, entre autre par le biais d’une publication de Dan Kaminsky, que la fonction MD5 n’était pas parfaite sur ce point et pouvait générer des valeurs de hachage identiques pour des valeurs différentes. Jusqu’ici il n’existait pas de démonstration de l’exploitation d’une telle vulnérabilité. C’est désormais chose faite : les auteurs de cette recherche ont démontré qu’il est possible, en se basant sur les collisions de la fonction MD5, de générer un certificat SSL CA valide pour n’importe quel site internet, d’utiliser ce certificat dans une attaque par redirection DNS, et finalement spoofer un site protégé par SSL et obtenir ainsi des données sensibles... Ce n’est cependant pas la fin du monde pour Internet, puisque seule l’acquisition de nouveaux certificats est mise en danger et que ceux déjà émis ne peuvent plus être compromis par ce biais, et que le mouvement pour remplacer MD5 par SHA-1 s’accélère régulièrement. Resteront exposés les inévitables retardataires, et les solutions « budget » souvent moins technologiquement à jour.

Une autre présentation traitait des nouveaux algorithmes d’encryptages de flux. Utilisés entre autre dans le cryptage des données téléphoniques (GSM), les algorithmes d’encryptage de flux traitent des données de longueurs variables et se comportent plus ou moins comme des générateurs de nombres aléatoires dont le flux peut être transformé en données intelligibles par l’application d’une clé de cryptage. Ils sont plus simples et plus rapides que les algorithmes d’encryptage de blocs comme AES, mais ils sont aussi beaucoup plus difficiles à garantir. Le tour d’horizon proposé exposait les principes et les avantages des sept derniers concurrents en lice dans le projet eSTREAM de l’Union Européenne, un huitième concurrent ayant été éliminé peu avant le 25C3.

Autre sujet brûlant, l’utilisation de balises RFID dans des endroits de plus en plus variés, passeports, abonnements de transports publics, accès sécurisés, etc. Plusieurs exposés et ateliers proposaient de découvrir les avantages et faiblesses de cette technologie, j’y reviens dans l’article suivant.

Reste l’aspect bricolages divers... Entre les hélicoptères télécommandés faits maison, les ateliers de crochetage de serrure, les initiations au jeu de Go et les diverses démonstrations lumineuses et chatoyantes du projet Blinkenlight, une immense surface de tables et de connexions réseau était consacrée aux réunions de projets open-sources.


Voir les articles précédents

    

Voir les articles suivants