Chronique Renaud Bidou – Black Hat 2017 : entre gigantisme et pertinence

Retour au centre de conventions du Mandalay Bay, le seul dans tout Las Vegas à même de contenir la horde des 6 000 à 8 000 experts, ingénieurs, responsables, chercheurs, développeurs et consultants en sécurité informatique venus pour la seconde journée du « show ».

Car Black Hat est aussi un show. À l’image de cette première conférence qui présente l’avenir comme une apocalypse numérique, non du fait des humains, mais des robots dont l’intelligence progresse vite, très vite. Tellement vite qu’ils seront un jour à même de regarder YouTube et d’y voir les vidéos de chercheurs bousculant, démontant, « maltraitant » des robots.

Attention, « don’t kick the robot », leurs descendants pourraient le prendre mal, et se mettre en colère. Ainsi dans 20 ans, notre métier ne sera donc plus de protéger les ordinateurs, mais notre société.

Retour au présent et aux data centers dont les récentes évolutions ont rapidement changé les principaux paradigmes de la sécurité.

La virtualisation est aujourd’hui adoptée à marche forcée et la containérisation, bien qu’essentiellement expérimentale pour le moment, semble promise à une adoption encore plus brutale.

Et si les architectures d’orchestration réduisent l’intérêt des attaques restreintes à un seul nœud, la compromission au niveau du cluster offre un accès global et persistant à l’ensemble de l’infrastructure.

Certes, les orchestrateurs mettent en œuvre des mécanismes de sécurité. Mais qu’il s’agisse de Swarm, Kubeletes ou DC/OS, tous présentent des failles d’authentification, de restriction d’accès aux secrets, de séparation des plans de contrôle et de données ou de segmentation du réseau virtuel.

L’administrateur doit par conséquent être parfaitement au fait des capacités offertes par son orchestrateur, afin d’en pallier les limites. Expertise rare dans un environnement technologique aussi récent.

Poussons un peu plus loin avec Office 365 qui nous impose une informatique encore plus virtuelle mais déjà très largement mise en œuvre, et si ce n’est le cas cela ne devrait pas tarder…

Certes les bénéfices de cette solution sont considérables et les fonctionnalités offertes (au figuré bien sûr) sont assez extraordinaires. Néanmoins certaines d’entre elles peuvent être simplement détournées via quelques lignes de PowerShell.

Quelques lignes pour se créer un espace de stockage furtif, mettre en place un canal de contrôle, exfiltrer les données au nez et à la barbe des mécanismes de DLP, et faire exécuter n’importe quel code malgré les restrictions qui pourraient être mises en place. Toute la puissance d’Office 365 et de PowerShell au service des attaquants…

À la mode également, les malware Android. Et inéluctablement les éditeurs se sont emparés du « marché ». C’était sans compter sur l’ouverture de la plate-forme et la possibilité d’accéder à l’ensemble du modèle de détection, sur lequel reposent les logiciels antivirus.

Il devient alors possible de tester de manière itérative la résistance d’un malware aux différents étages de détection. Pire, un malware peut ainsi être adapté dynamiquement afin de passer sous les radars et d’apparaître totalement légitime. Pour conclure avec une liste exhaustive des moteurs mis en œuvre par la majeure partie des anti-malware du moment, et de leurs faiblesses. Cas d’école d’une sécurité construite sur un socle vulnérable.

Enfin, Black Hat agit également comme une caisse de résonance des problématiques de sécurité actuelles, aussi « mainstream » soient-elles. Il n’est pas étonnant donc que cette édition voie fleurir les conférences sur les antivirus et leurs limites.

Des conférences qui traduisent d’abord l’agacement face à l’usage massif de buzzwords tels que machine learning, EDR, analyse comportementale ou sandbox. Galvaudage généralisé, marketing effréné et remède indolore à une épidémie qui terrifie, des maux (nécessaires ?) qu’étrille une présentation sans concession et au titre des plus explicites : « lies, lies, and damn lies ».

Brève mise au point avant d’enchaîner sur la difficulté d’évaluer objectivement la pertinence et la viabilité d’une solution dans le monde réel. Une complexité telle que l’on en vient presque à excuser ceux qui se laissent prendre aux arguments des bonimenteurs. Quoique… ils n’avaient qu’à être là.

Après deux jours, cette conférence met en évidence l’ambiguïté, qui frôle parfois la schizophrénie, du milieu de la sécurité. Certes les menaces évoluent au rythme des technologies, c’est-à-dire à une vitesse encore jamais vue.

L’inéluctable corollaire est que le nombre d’experts se réduit notablement, au même titre que les personnes à même de les contredire. Hier une data scientist a proposé une méthode erronée de validation d’un algorithme de machine learning, sans aucune remarque de la part des quelque cinq cent personnes dans la salle. Il y a vingt ans, elle aurait été sifflée…

Ainsi s’achève la vingtième édition de Black Hat, dont on retiendra le gigantisme aussi bien que la pertinence. Pertinence technique bien sûr, mais aussi des tendances de notre milieu qui semble avoir oublié le premier article du credo des hackers: « keep the hands-on imperative ». À défaut, il ne reste qu’à faire confiance aux éditeurs, dont le business hall cette année était plus grand que jamais… Gigantisme et pertinence.

Crédit photo : Trend Micro