Cybersécurité : retour sur les 3 interventions clés du SSTIC 2022

Le 14 juin 2022 |

La 20ème édition du SSTIC (Symposium sur la Sécurité des Technologies de l'Information et des Communications) s’est tenue à Rennes du 1er au 3 juin 2022. Au cours de cet événement, les présentations techniques ont succédé aux échanges informels entre membres de la communauté cyber française. Retour sur les 3 interventions qui ont marqué ce rendez-vous très attendu, après deux éditions digitalisées en raison de la crise sanitaire.

Opérateurs mobiles : des problèmes de sécurité croissants

La présentation de P1 Security, entreprise spécialisée dans le domaine de la sécurité pour les opérateurs mobiles, a commencé par un rappel de la signalisation dans le monde des télécoms et du vocabulaire nécessaire à la compréhension du sujet (IMEI, IMSI, etc.), avant d’aborder les principaux composants d'une infrastructure d'opérateur mobile et les principes liés à l'authentification des abonnés.

Depuis le début des années 2000, les cœurs de réseaux mobiles sont passés en tout IP. Tout d’abord, il est intéressant de noter que ces protocoles s'appuient sur un trafic intégralement véhiculé en clair... à condition toutefois qu'un accès à ce type de réseau ait été obtenu en premier lieu. Si l’on pourrait penser que ces accès sont restreints au cercle très fermé des opérateurs – à savoir 3 à 4 acteurs par pays –, la réalité s’avère assez différente dans la mesure où les acteurs du marché parallèle peuvent tout à fait profiter des faiblesses du système à des fins malveillantes. Ces activités indésirables se caractérisent principalement par l’envoi massif de SMS à des fins publicitaires et il semblerait qu’un simple abonnement permette à ces acteurs d’accéder au réseau pour la somme approximative de 1 000 euros par mois.

S’il peut être pertinent de détailler les modalités de certaines de ces attaques visant à collecter des informations personnelles telles que la localisation géographique d'un abonné, il convient surtout de mettre en exergue les moyens de protection disponibles. Bien qu’il soit possible de se protéger contre ces attaques, il est à souligner qu’aucun régulateur n'existe au niveau mondial pour imposer un standard de protection. Par conséquent, la régulation se fait de façon informelle, notamment par les entreprises elles-mêmes, mais avec des niveaux de sécurité hétérogènes d'un pays à l’autre. Pour se protéger d'une partie des attaques sur les communications mentionnées durant leur présentation, les intervenants ont notamment recommandé l’utilisation de l’application Signal.

Un cadriciel pour la détection d'intrusion sur les échanges Bluetooth

Avec la généralisation de l’IoT, le nombre d’équipements dotés de capacités de communication sans-fil utilisant les technologies Bluetooth est en plein essor. Les besoins en sécurité existent donc pour cette classe d’objets puisqu’ils sont capables de collecter des données, de les partager et surtout d’interagir avec leur environnement. Le protocole Bluetooth Low Energy (BLE), qui dispose d’un modèle de sécurité simplifié, est une variante adaptée aux dispositifs nomades nécessitant une autonomie accrue.

Les travaux entrepris sur les protocoles Bluetooth se concentrent usuellement sur la recherche de vulnérabilités et les moyens d’exploitation. A contrario, une équipe du CNRS a cherché à développer une approche pour ajouter des capacités de détection sur les schémas d’attaque connus sur les échanges Bluetooth (usurpation de connexion, rejeu de messages, etc.). Des puces du commerce ont servi de base pour élaborer un système de détection embarqué sur les contrôleurs Bluetooth.

Que retenir de cette démonstration ? Un tel dispositif nécessite aujourd’hui de réécrire le microcode des contrôleurs : cette instrumentation reste complexe, c’est pourquoi les fabricants de puces de communication Bluetooth Low Energy gagneraient à proposer des mécanismes natifs et standardisés facilitant l’identification d’événements suspicieux. D’autre part, l’impact probable de ces fonctionnalités de sécurité additionnelles sur la consommation énergétique des objets connectés appelle à la prudence : un compromis doit être trouvé entre le besoin de sécurité et le niveau d’autonomie souhaitée, intérêt premier de ces objets.

MVT : un outil pour identifier des traces du logiciel espion Pegasus

Le logiciel espion Pegasus mis au point par la société NSO Group a permis d’espionner des milliers de smartphones iOS et Android. Ce logiciel permet d’accéder aux fichiers, messages, photos et mots de passe de la victime, mais également d’écouter ses appels, de démarrer un enregistrement audio ou encore d’activer la caméra ou la géolocalisation de l’équipement. L’outil a été commercialisé dès 2013, toutefois les premières intrusions n’ont été découvertes qu’en 2016.

Initialement, pour infecter un téléphone, l’outil se basait principalement sur des failles de type zero-day qui touchaient les navigateurs web. La victime recevait un SMS contenant un lien malveillant qui, lorsqu’il était ouvert, compromettait alors le smartphone. Une amélioration de ce logiciel espion a ensuite permis d’exploiter des attaques de type zero-click pour infecter l’appareil sans aucune intervention de l’utilisateur.

Les chercheurs en sécurité de l’Amnesty International Security Lab (AISL) ont procédé à l’analyse de différents smartphones infectés et publié l’outil MVT en open source afin de détecter des traces de Pegasus. Cet outil fonctionne de deux manières : la plus simple consiste à faire une sauvegarde du smartphone, puis à analyser cette sauvegarde par l'outil MVT ; la seconde consiste quant à elle à accorder un accès complet au système de fichiers.

Toutefois, il est important de souligner qu’il reste difficile de s’assurer qu'un smartphone n’a jamais fait l’objet d’une infection par cet outil malveillant dans la mesure où Pegasus peut effacer ses traces après un redémarrage. De plus, une analyse sur les systèmes Android est plus complexe et moins exhaustive que sur iOS.

Auteurs