Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Etat de l'art de la sécurité des messageries

Renaud Lifchitz
November 07, 2017
Research
0
730

Etat de l'art de la sécurité des messageries

Bien que pour l'essentiel les protocoles de messagerie sécurisés sont en pratique cryptographiquement inviolables, il reste plusieurs voies royales pour compromettre toute la sécurité d'un échange sécurisé. Dans un état de l'art que nous souhaitons le plus complet possible, nous passerons en revue les axes de vulnérabilités des messageries instantanées sécurisées et soulèverons les problématiques des modèles existants, tout en formulant des recommandations pour en faire un usage serein.

Renaud Lifchitz

November 07, 2017
Tweet

More Decks by Renaud Lifchitz

See All by Renaud Lifchitz
Les mots de passe sont-ils obsolètes? Les alternatives pour un avenir sécurisé
rlifchitz
0
33
Bitcoin Lightning Network en pratique (v2)
rlifchitz
0
280
Blockchains dans la cybersécurité et cybersécurité des blockchains
rlifchitz
0
380
Bitcoin Lightning Network en pratique
rlifchitz
0
99
Cybersecurity Uses of Blockchains
rlifchitz
0
160
Age post-quantique : quels sont les risques, comment se préparer ?
rlifchitz
0
210
Debunking fake USB flash drives
rlifchitz
0
800
DIY DNA OSINT! or... how to enhance your social engineering skills using recent genomics
rlifchitz
0
1.2k
Ordinateurs quantiques et futur de la sécurité
rlifchitz
0
700

Other Decks in Research

See All in Research
HP (Hitto Point: 筆頭ポイント)
tanichu
0
730
CASCON 2023 Most Influential Paper Award Talk
tsantalis
0
120
言語間転移学習で大規模言語モデルを賢くする
ikuyamada
7
3.4k
2024-01-23-az
sofievl
1
750
Equivalence of Geodesics and Importance Weighting from the Perspective of Information Geometry
mkimura
0
140
Embodied AIについて / About Embodied AI
nttcom
1
560
脳卒中患者・家族からみた循環器病対策推進基本計画の進捗に関する調査
japanstrokeassociation
0
540
F0に基づいて伸縮された画像文字からの音声合成 [ASJ2024春]
nehi0615
0
120
CSC590 Lecture 01
javiergs
PRO
0
130
Julia Tokyo #11 トーク: 「Juliaで歩く自動微分」
abap34
2
1.3k
Prompt Tuning から Fine Tuning への移行時期推定
icoxfog417
17
7k
眠眠ガチャ:ガチャを活用した睡眠意欲向上アプリの開発 / EC71inui
yumulab
0
160

Featured

See All Featured
From Idea to $5000 a Month in 5 Months
shpigford
377
45k
Bash Introduction
62gerente
604
210k
The Cult of Friendly URLs
andyhume
74
5.7k
KATA
mclloyd
15
12k
For a Future-Friendly Web
brad_frost
172
9k
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Become a Pro
speakerdeck
PRO
11
4.5k
Thoughts on Productivity
jonyablonski
58
3.8k
Embracing the Ebb and Flow
colly
80
4.1k
Product Roadmaps are Hard
iamctodd
44
9.7k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
14
1.6k
Making Projects Easy
brettharned
108
5.5k

Transcript

  1. 11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017

    Renaud Lifchitz - [email protected] Etat de l’art de la sécurité des messageries

  2. Digital Security Présentation de l’intervenant P. 2 Digital Security -

    11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017 Renaud Lifchitz, consultant sécurité senior pour Digital Security Activités principales :  Tests d’intrusion et audits de sécurité  Recherche en sécurité informatique  Formations Centres d’intérêts :  Sécurité radio  Sécurité des protocoles (authentification, chiffrement, fuites d’information…)  Cryptographie  Développement sécurisé

  3. Messageries instantanées: une sécurité robuste ?

  4. Deux modèles de sécurité bien distincts Chiffrement et déchiffrement des

    messages sur le cloud :  Google Hangouts  Facebook Messenger  Skype Chiffrement de bout en bout :  Protocole open source d’Open Whisper Systems (OWS) : Signal, WhatsApp (Signal est recommandé par Edward Snowden !)  Telegram (sauf groupes de discussion)  Keybase Messageries instantanées : une sécurité robuste ? P. 4 Digital Security - 11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017 Le modèle « cloud » donne à l’éditeur ou aux états une grande facilité d’interception

  5. Et pourtant de gros doutes… Digital Security - 11èmes rencontres

    de l’ARCSI – Paris – 7 novembre 2017 P. 5

  6. De fausses applications déjà largement diffusées Novembre 2017 : fausse

    application WhatsApp sur le store Android  Téléchargée par 1 million de personnes !  Nommée « Update WhatsApp Messenger »  Usurpation couleur, logo, nom, éditeur, espace Unicode invisible après le nom de l’éditeur  Diffusion massive de publicités et téléchargement d’applications indésirables, dissimulation dans le lanceur Pas la première fois, en 2013, fausse application iMessage Et pourtant de gros doutes ? Incapacité des « géants » à détecter les usurpations Responsabilité des stores ? Digital Security - 11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017 P. 6

  7. Une backdoor dans certaines messageries ? WhatsApp accepte par défaut

    des messages signés avec une clé expéditeur qui vient de changer Clé modifiée si :  Réinstallation de l’application  Changement de carte SIM  Changement de téléphone  … ou usurpation illégitime de l’expéditeur ! Signal, au contraire, nécessite une validation systématique de l’empreinte de clé (ex.: par un autre canal) Et pourtant de gros doutes ? Des faiblesses volontaires, des négligences ou de l’expérience utilisateur ? Digital Security - 11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017 P. 7

  8. Des messageries sécurisées illégales dans certains pays (1/2) Chine :

     Facebook banni depuis 2009  WhatsApp en septembre 2017, filtrage depuis juillet  Préférence pour la messagerie nationale WeChat (1 milliard d’utilisateurs) Novembre 2017 : l’Afghanistan bannit et bloque WhatsApp et Telegram L’Inde et le Brésil filtrent régulièrement Interdiction de la VoIP dans de nombreux pays, affectant ces messageries Et pourtant de gros doutes ? Digital Security - 11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017 P. 8

  9. Des messageries sécurisées illégales dans certains pays (2/2) Le Royaume-Uni

    réfléchit à bannir le chiffrement de bout en bout, cherche des alliés en Europe et propose des backdoors Et pourtant de gros doutes ? Digital Security - 11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017 P. 9

  10. Les contraintes sécuritaires actuelles visent… à affaiblir la sécurité !

    Beaucoup d’états souhaitent intercepter les communications des messageries en clair :  En interdisant le chiffrement de bout en bout  En forçant la mise en place de backdoors cryptographiques  En affaiblissant et cassant le chiffrement … mais craignent que les états ennemis fassent pareil !... Pourtant ANSSI, CNIL et CNNum favorables à un chiffrement fort sans porte dérobée Et pourtant de gros doutes ? Digital Security - 11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017 P. 10

  11. Vulnérabilités des messageries

  12. « Man in the contacts » Vulnérabilités des messageries Digital

    Security - 11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017 P. 12 Concept découvert par Jérémy Matos (août 2016) En principe les applications sont isolées les unes des autres MAIS elles ont accès en lecture/écriture à des informations partagées… notamment les contacts ! Applicable à WhatsApp, Telegram et Signal Une application tierce peut modifier les contacts, notamment en créer un et lui affecter le numéro d’un contact existant Le nouvel identifiant sera présenté à chaque message reçu… L’identifiant pourra (devra) être très similaire à un contact légitime (ex.: Unicode) Usurpation assez simple sans interception active ni modification de l’application Attaque généralisable à des groupes et appels VoIP Les éditeurs ne corrigeront pas…

  13. Le nec plus ultra : attaques SS7 Vulnérabilités des messageries

    Digital Security - 11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017 P. 13 Les messageries OWS fonctionnent sans login/mot de passe mais par reconnaissance du numéro de téléphone de l’utilisateur, notamment pour des raisons de simplicité SS7 : réseau de signalisation des opérateurs téléphoniques Accès facile pour les états (obligation légale des opérateurs), accès illégaux loués sur le darknet (quelques milliers d’euros) Possibilité d’usurpation et de redirection d’appels téléphonique, SMS, et donc de messageries basées sur le numéro de téléphone Attaque quasi indétectable pour l’utilisateur, notamment lors de la mise en contact

  14. Conclusion Vulnérabilités des messageries Digital Security - 11èmes rencontres de

    l’ARCSI – Paris – 7 novembre 2017 P. 14 Messageries en théorie à l’état de l’art cryptographique Grosse différence entre théorie et pratique, entre conception et implémentation, car les modèles de sécurité reposent sur de nombreuses hypothèses De nombreux vecteurs d’attaques existent :  Réseau : métadonnées TCP/UDP, métadonnées push (GCM) et leurs corrélations, SS7  OS : keylogger, « screen overlays »  Applicatif : API hooking, modification des contacts par application tierce  Humain : phishing, usurpation diverses L’arrivée de ces messageries sur desktop rend d’autant plus facile les usurpations et interceptions

  15. Contact Renaud LIFCHITZ Consultant Sécurité Senior [email protected] + 33 (0)1

    70 83 85 72 P. 15 Digital Security - 11èmes rencontres de l’ARCSI – Paris – 7 novembre 2017