l y a déjà eu pas mal de discussions autour des moyens que pourrait imposer HADOPI, prétendument pour la sécurisation de l'accès de l'abonné. En dehors des moyens de protection qu'on connait bien, avait été évoquée l'éventualité d'un mouchard surveillant les activités de l'utilisateur et lui permettant de démontrer son innocence en cas de besoin. Évidemment, ce genre de logiciel pose souvent plus de problèmes qu'il n'en résoud, en particulier dès qu'il s'agit de sécurité...
Pour illustrer cette affirmation, je prendrai comme exemple les récentes mésaventures d'un district de Pennsylvanie. Cet dernier fournit en effet à ses élèves un laptop équipé d'un logiciel d'administration distante, dont certaines fonctions relèvent de la surveillance. Or ce logiciel, installé sur plus de 2000 portables, s'avère présenter des failles de sécurité assez impressionnantes...
Le logiciel en question répondait au doux nom de LANrev. Racheté depuis, il s'appelle à présent Absolute Manage. C'est, comme son nom l'indique, un logiciel de gestion de parc avec des fonctionnalité d'administration distante, principalement destiné aux postes mobiles apparemment.
Si ce logiciel a fait les choux gras de Wired et d'une partie de la presse en ligne le mois dernier, c'est qu'il s'est trouvé impliqué dans une sombre histoire. Il a en effet pu être démontré que ce système avait servi à prendre des photos des étudiants chez eux, à leur insu, à l'aide de la webcam du portable. Alors même que ce genre de fonctionnalité ne devait être activée qu'en cas de vol ou de perte de l'équipement. Pas glop...
Ceci devrait donner du grain à moudre à ceux qui se posent des questions sur de possibles abus d'un tel système. Parce que ce genr d'interrogation s'applique tout autant à un possible mouchard HADOPI. Car une fois installé sur l'ordinateur de Mme Michu, qu'est-ce qui lui garantira ce que fera, ou pas, le logiciel espion en question ? Ce n'est pas comme si une des grosses majors avait été prise la main dans le sac à poser du rootkit sur les machines de ses clients...
Bref, comme je le disais précédemment, LANrev présente de multiple vulnérabilités. La première, découverte par des gars de Leviathan Security, est risible. Vraiment. Le serveur chiffre les messages envoyés aux clients avec une clé codée en dur. Donc extractible du binaire certes, mais surtout commune à tous les clients. On imagine aisément la suite face à une machine équipée du logiciel et dont on serait capable de détourner les flux : déchiffrement des communications à la volée, usurpation de l'identité du serveur, envoi de commandes arbitraires, etc. De même, on pourrait imaginer se faire passer pour un client légitime auprès du serveur et exploiter une éventuelle faille sur la station de management du parc... Et de là, pouvoir pousser du code sur l'ensemble des machines gérées...
Quoi qu'il en soit, le nouvel éditeur dit avoir identifié la faille lors du rachat du produit et travailler sur un correctif "qui utilisera OpenSSL". Il serait disponible le mois prochain. Bon ben si ça utilise OpenSSL, alors tout va bien dans le meilleur du monde. On espère juste qu'ils ne développeront pas sous Debian ;) Plus sérieusement, je ne vois pas en quoi l'utilisation d'OpenSSL puisse rassurer qui que ce soit, sinon ceux qui ne comprennent rien à ce qui passe...
Mais c'est loin d'être fini. La seconde faille est presque meilleure... Ou pire... Question de point de vue...
Des troublions de l'Université du Michigan se sont en effet penchés eux aussi sur la question. Ils ont publié des résultats un peu plus préoccupants. Car en fait, c'est toute la couche cryptographique qui semble pourrie jusqu'à la moelle. Et c'est peu de le dire.
Les messages sont apparemment "authentifiés" au moyen d'une clé dite "SeedValue" contenue dans chaque message. On pourrait s'attendre à ce qu'il s'agisse d'une somme d'intégrité, même de faible facture. Que nenni ! Il s'agit du numéro de série à sept chiffres du serveur, chiffré avec une autre clé... Codée en dur elle aussi... Une habitude apparemment... Si on ajoute cette "SeedValue" d'une entropie d'un vingtaine de bits à la sale manie de chiffrer les messages avec une clé unique commune à tous les clients de la planète, on comprends bien que la protection ne vaut pas tripette. Il est effet assez facile de forger des messages recevables par des clients quelconques, sans même avoir à capturer de communication préalablement à l'attaque comme le scénario initialement proposé par Leviathan Security l'exigeait.
Autant dire que nous avons là une bel exemple d'incompétence dont on aimerait qu'il soit isolé. Malheureusement, nous savons tous par expérience que ce n'est pas le cas.
Or, quand je vois le niveau de compétence des gens qui s'occupent du dossier HADOPI, je m'attends réellement au pire. Je ne peux en particulier pas m'empêcher de penser qu'il pourrait se passer quelque chose de très similaire avec un système de mouchards distribué. Un système qui offrirait via je ne sais quelle faille plus ou moins subtile[1], le contrôle d'une bonne partie des ordinateurs personnels français à quelques gestionnaires de botnets à peine plus malins que les autres...
Botnets dont on imagine aisément la taille ainsi que les utilisations. Y compris, comble de l'ironie, servir de plate-forme de stockage et d'échange de contenus illicites en tout genre...
Notes
[1] Ah ben justement, on parlait du rootkit Sony-BMG plus haut...