A entendre de nombreux participants à cette conférence Black Hat Europe 2009, les techniques démontrées par les hackers n’avaient rien de très innovantes : des shellcodes, des chevaux de Troies, des injections SQL, un peu d’attaque Man-in-the-Middle… on pourrait se croire en terrain connu.

Mais, et c’est là tout le paradoxe de la Black Hat, plusieurs démonstrations ont malgré tout été spontanément applaudies par l’assistance, sidérée par la simplicité et le degré d’automatisation atteint par la recherche.

Cette édition de Black Hat Europe n’aura ainsi pas révélé de nouvelle vulnérabilité fracassante, mais aura permit de démontrer la maturité de la recherche en matière de sécurité offensive appliquée.

Une démonstration telle celle de Bernardo Damele, par exemple, a montré comment il est possible d’obtenir un accès en ligne de commande complet (et privilégié s’il vous plaît) à partir d’une simple vulnérabilité de type SQL Injection. La démonstration est frappante : en pointant son outil SQLmap vers le champ vulnérable d’une application web, l’outil lui offre un shell sur la machine quelques secondes plus tard. Applaudissements garantis.

Même traitement pour Benjamin Caillat, venu présenter ses travaux avec WiShMaster (Windows Shellcode Mastery). Si les shellcodes et les chevaux de Troie sont difficilement une nouveauté, l’automatisation poussée réalisée par l’outil force le respect. WiShMaster accepte en entrée un code source traditionnel écrit en C et produit un shellcode (binaire autosuffisant exécutable en dehors de tout espace mémoire lui étant alloué) chiffré ou non. Mais ce n’est pas tout, car Benjamin Caillat a déroulé le scénario d’une attaque originale conçue autours d’un triptyque loader / shellcode / module additionnel chiffré en AES 256 bits à l’aide d’une clé partagée entre chaque élément. Ce qui exclue le reverse engineering du code offensif si tous les éléments ne sont pas disponibles pour les enquêteurs (et ils ne le seront probablement pas, le loader résidant uniquement en mémoire, injecté dans une instance cachée du navigateur par défaut). Cauchemar assuré pour le forensics éventuel, mais applaudissements garantis pour Benjamin Caillat.

De même, les interventions de Moxie Marlinspike (utiliser SSLstrip pour automatiser le contournement de SSL en remplaçant de manière transparente tous les appels à des URL sous SSL par leur équivalent en clair) ou de Roelof Temmingh & Chris Bohme (intercepter toutes les connexions à Facebook et GMail au sein d’une entreprise puis siphonner le carnets d’adresses personnel et la liste d’amis Facebook des utilisateurs afin de procéder à des corrélations via l’outil Maltego, dans le but de découvrir des connivences internes) ont également provoqués leur lot d’applaudissements.

Autre conférence à succès, celle de Chema Alonso & Enrique Rando, à laquelle nous n’avons pas assisté mais qui semble devoir battre tous les records d’applaudissements : ils y présentaient l’outil Foca destiné à capturer les informations personnelles dissimulées dans les en-têtes des documents de l’entreprise (bureautique et PDF) et de procéder à leur corrélation afin de révéler bien des informations que l’entreprise aurait préféré garder au secret (noms d’utilisateurs et de machines, imprimantes, chemins d’accès…). Là aussi, la technique n’a rien de très nouveau mais c’est son industrialisation à l’aide d’un outil spécifique qui ouvre de nouvelles perspectives.

Rien de neuf donc à cette édition 2009 de la Black Hat Europe, mais une industrialisation des attaques peut-être plus intéressante et plus utile pour le responsable de la sécurité de l’entreprise.

Nous reviendrons bien entendu plus en détail sur plusieurs de ces conférences passionnantes dans le cadre de prochains articles.