'il y a bien une pratique qui je trouve d'une débilité sans fond, c'est bien lancer des défis, pratique utilisée par des éditeurs de solutions de sécurité dans le but de démontrer l'efficacité de leur dernière trouvaille. Comme j'ai pu l'expliquer auparavant, quand bien même ils susciteraient quelque intérêt, au mieux ils ne démontrent rien, au pire ils vous collent la honte complète, avec les conséquences qu'on imagine.
C'est ce que vient d'apprendre à ses dépens Darren Berkovitz, CEO de StrongWebmail, après avoir lancé un challenge à 10kUSD qui s'est fait plier pas plus tard que jeudi, c'est à dire moins d'une semaine après son ouverture. Même si d'autres CEO sont passés par là avant lui, dans le jargon, on appelle encore ça un Epic Fail...
L'apport majeur de StrongWebmail est une double authentification, par login et mot de passe dans un premier temps, puis par l'envoi hors-bande d'un code de sécurité complémentaire par SMS vers un numéro de votre choix, parmi ceux que vous aurez fournis. Ce genre de système n'est pas nouveau. Nous hébergions chez Cartel une plate-forme d'authentification fonctionnant de la même manière pour des systèmes bancaires. Quelques banques utilisent également ce type de fonctionnalités pour la gestion des virements. Pour autant, c'est la première fois que je vois ce mécanisme déployé sur une webmail, et c'est intéressant pour lutter contre pas mal de techniques de vol d'identifiants.
Tout fiers de leur système, ils ont donc lancé un challenge en fin de semaine dernière. On vous met au défi de compromettre la mailbox du patron, et comme c'est super difficile, on vous fournissait même ses identifiants. L'interview de Berkovitz par Dancho Danchev sur Zero Day vaut d'ailleurs le détour, en particulier sous l'éclairage de cet échec. Sauf qu'ils ont oublié un léger détail dans l'histoire : contourner l'authentification n'est pas le seul moyen de compromettre une webmail...
Et c'est précisément ce que viennent de leur démontrer Aviv Raff, Lance James et Mike Bailey en accédant à la-dite boîte aux lettres. Comment ? En exploitant un XSS persistant bien sûr ! Avec à la clé une jolie prise de contrôle du compte. Oh oh oh... Voilà qui aurait pu donner un exemple de choix à Pierre Gardenat pour son talk de vendredi matin sur le sujet...
Mais au delà de l'embarras dans lequel se trouve aujourd'hui StrongWebmail, il y a nettement plus intéressant. C'est le côté pinailleur qu'on retrouve assez souvent. Si Berkovitz confirme bien les dires de nos trois compères, leur victoire n'est toujours pas validée. Certains évoquent quelques discussion réthorique autour du concept de XSS pour savoir si ça tombe ou non dans la notion de compromission du compte. Quand vous ne pouvez pas gagner par la technique, jouez sur les mots, la forme est bien plus maléable que le fond... De plus, les règles du concours leur interdisent de publier les détails de leur attaque, sans aucune limite de temps. Ce qui veut dire qu'on pourrait bien ne jamais avoir le fin mot de l'histoire. Ce qui se révèle bien pratique pour StrongWebmail...
Mais le pire dans cette histoire, c'est que l'idée derrière le système StrongWebmail est bonne. On sait tous ce que valent les authentifications web par login/password, et les méthodes qui permettent d'ajouter simplement une couche de sécurité supplémentaire sont les bienvenues. Le soucis, c'est que l'authentification n'est qu'une partie du problème, même si c'est un soucis majeur. Et alors que l'attaque réussie de Raff, James et Bailey ne remet pas en cause le principe de base de cette webmail, ce que les gens retiendront, c'est qu'ils se sont fait trouer en moins d'une semaine. Ce qui risque de leur coûter largement plus que 10kUSD sur le long terme...
Dans un style approchant, je vous recommande chaudement la lecture de cet article de Wired sur Marc Weber Tobias, célèbre spécialiste du crochetage de serrures, et ses travaux sur les serrures de haute sécurité, en particulier ceux fabriqués par Medeco. En particulier, le cylindre Medeco³ qui est qualifié de "quasiment incrochetable". Tout au moins, ils sont censés tenir au minimum les dix minutes exigées par leur niveau de certification.
Or, comme il le montre dans le livre qu'il a co-écrit avec Tobias Bluzmanis, ces cylindres ne sont pas vraiment du niveau attendu... Une vidéo vous montrera Bluzmanis en forcer six de suite dans des temps compris entre deux et huit minutes. Tobias, quant à lui, en forcera un avec une bump key en huit secondes. Ce qui la fout un peu mal, tout autant que se faire bumper en trente secondes par une gamine de treize ans à la dernière Defcon...
Je vous conseille également la lecture des slides de la présentation qu'ils ont faite avec Matt Fiddler à cette même Defcon. C'est... édifiant...