Pas très « RGPD Friendly » cette nouvelle faille de sécurité découverte le 5 août dernier par les chercheurs éthiques israéliens Noam Rotem et Ran Locar experts en cybersécurité – VPN Mentor. Une vulnérabilité critique touchant l’application Cloud « BioStar 2 » initiée par le géant sud-coréen « Suprema Inc. », leader en solutions de contrôles d’accès biométrique. BioStar 2 est un environnement 100% Cloud qui a pour but d’être facilement intégrable à de nombreux hyperviseurs/superviseur dédiés à la sécurité globale des établissements (contrôle d’accès, alarme, vidéosurveillance…). D’après « The Guardian », la faille a été repérée sur le système de contrôle d’accès « AEOS » utilisé par plus de 5500 entreprises/organisations dans le monde dont également, la police/défense britannique, ainsi que de nombreuses banques et administrations. Une vulnérabilité sans réelle nécessité d’ingénierie ou de tactique d’attaque particulière pour son exécution.
L’exploitation de cette faille s’appuie sur la modification d’une URL permettant in fine, l’édition de différents privilèges utilisateurs tout en apportant un accès à différentes données (mot de passe, données personnelles, photos..) avec des possibilités d’ajout ou de suppression d’utilisateurs par accès à différents rangs à hauts privilèges (admin). Que dire de tout cela ? Des données accessibles « en clair », car non cryptées, à des années-lumière des discours de cybersécurité qu’on nous inculque au quotidien. Une véritable ode à l’usurpation d’identité dans des environnements ultra-sécurisés permettant un accès « physique » à de nombreuses installations présentes aux quatre coins du globe. À vrai dire on pourrait presque imaginer cela comme un vilain cauchemar ou une vulnérabilité 10 à 15 ans en arrière. Une faille critique dont les chercheurs de VPN Mentor indiquent avoir pourtant à de nombreuses reprises tentés d’avertir Suprema Inc. malheureusement, en vain. Il a fallu attendre l’intervention de Andy Ahn, responsable marketing de Suprema Inc. pour « débloquer » cette situation difficilement compréhensible.
En date du 14 août 2019, Andy Ahn informe que cette vulnérabilité critique a été corrigé. Une faille étant tout sauf anecdotique et qui remets très (très) sérieusement en doute, la pérennité des solutions de contrôle d’accès de type SaaS déployées sur le cloud. Pour les lecteurs assidus à ce blog, vous aurez remarqué les nombreuses réserves que nous émettons depuis déjà quelques années sur les environnements « SaaS – Tout Cloud » qui semblent un brin désuets face à des hackers parfaitement organisés et outillés. En 2017, nous évoquions l’absence total de transparence sur les nombreux échanges qui transitent chaque jour à destination des différents serveurs éparpillés aux quatre coins du globe. Nous mettions également un coup de pied dans la fourmilière en évoquant les dangers du Cloud par l’absence encore une fois de transparence sur les « Datacenters » qui peuvent aller d’une véritable infrastructure extrêmement protégée et certifiée à des « centres de données » de taille modeste à peine sécurisée et sans redondance, nichés aux derniers étages d’immeubles parisiens… Une véritable jungle, un sujet houleux qui n’a pas fini de faire parler de lui dans les années à venir.
News : Vulnérabilité critique de Suprema BioStar 2 | 1 million d’empreintes digitales exposées… Présentation de BioStar 2
BioStar 2 est une solution de type « SaaS – Software as a Service » qui utilise la technologie de reconnaissance faciale et/ou de biométrie pour identifier les utilisateurs. Le software BioStar 2, conçu par l’entreprise sud-coréenne « Suprema » est distribué pour être intégré à de nombreux logiciel en toute simplicité. Un marché en pleine effervescence dont la région Europe Middle East & Africa – EMEA est celle où l’on retrouve le plus fort déploiement de solutions biométriques du fabricant Suprema Inc.
« Check out our latest report: security platform BioStar 2 leaked MILLIONS of users’ biometric records. »
VPN Mentor (@vpnmentor) 02 :54 – 14 août. 2019 – Twitter
Cette entreprise sud-coréenne fondée en 2000 a nouée de nombreux partenariats au fil des années dont la très récente association avec « Nedap » (spécialiste de la sécurité basée aux Pays-Bas), permettant l’intégration de BioStar 2 aux solutions de contrôle d’accès « AEOS » utilisés dans près de 83 pays à travers le globe… L’API REST « BioStar 2 » se montre souple et plébiscité des développeurs qui l’intègre aisément à différents logiciels allant du simple superviseur en entreprise à un SCADA complet et détaillé au développement sur mesure. BioStar 2 n’est pas gourmand avec le Hardware et permet un déploiement aisé sur différentes architectures, offrant une très grande polyvalence là ou très souvent, le contrôle d’accès manque cruellement de modularité. BioStar 2 apporte à travers un large panel de fonctionnalité une souplesse à tout type d’entreprises.
News : Vulnérabilité critique de Suprema BioStar 2 | 1 million d’empreintes digitales exposées… Découverte de la faille
Cette faille a été découverte le 5 août 2019 en scannant des ports de manière automatisée puis par exploitation des URL et modification physique de celle-ci. Une méthode basique qui a souvent fait ses preuves. La fin de ce bulletin d’alerte a été levée le 13 Août dernier, après que le fabricant Suprema ait corrigé cette brèche. Une faille qui aura tout de même permis la récupération de 27.8 millions de données avec environ 1,5 million d’installations répertoriées réparties dans le monde selon l’équipe de VPN Mentor. Un petit butin d’environ 23 Giga-octets. Des chiffres donnant réellement le vertige s’appuyant sur des données utilisateurs comportant de nombreux paramètres tels :
Si l’on se réfère à l’analyse de VPN Mentor, cette fuite de données a également montré à quel point les enjeux de la cybersécurité ne semblaient pas vraiment être pris au sérieux. En effet, bon nombre de mots de passe utilisateurs étaient les tristement célèbre « abcd1234 », « motdepasse ». Une hérésie malheureusement impardonnable. Heureusement, une part d’utilisateurs plus scrupuleux et ordonnés ont inculqué des mots de passe dits « forts » qui malheureusement n’ont pas vraiment porté leurs fruits dans l’affaire Suprema. Avant d’avoir été patché, BioStar 2 stockait tous les mots de passe dans une base de données de manière « brute » soit en clair sans l’utilisation de fonctions de hachage… Inconcevable et tout bonnement incroyable en 2019. Cette fuite avant d’avoir été patché a/aurait permis à des utilisateurs malintentionnés/cyberattaquants la prise de contrôle de nombreux comptes administrateurs permettant… tout ce qu’un compte à fort privilège permet de faire !
Outre les ajouts/suppressions ou bien le blocage d’utilisateurs, les risques inhérents liés au niveau de sécurité du site, et autres paramètres pouvaient être édités… La création d’une bibliothèque d’empreintes digitales sans offrir la moindre possibilité de détection aurait (ou ont) pu être créée avec des possibilités d’accès/suppression des journaux de log… Cette fâcheuse faille pourrait également ouvrir la porte à la mise en place de vers/virus à travers les réseaux entreprise en octroyant des droits à des utilisateurs malintentionnés ou tout simplement, la création de campagnes de phishing ou la monétisation de données sensibles dans un but d’espionnage industriel. Cette brèche permet également l’identification d’une structure/hiérarchie d’entreprise… Des données plutôt sensibles et qui ne devrait à ce jour même pas dû avoir fait l’objet d’un article de blog. Le vol d’empreinte digitale est, assez méconnu et l’issu ne semble pas encore bien maitrisée. Toutefois, à défaut d’un identifiant ou mot de passe, nos empreintes ne peuvent malheureusement pas être changées.
News : Vulnérabilité critique de Suprema BioStar 2 | 1 million d’empreintes digitales exposées… Conclusion finale
Ce type de vulnérabilité rendue publique est véritablement une ouverture à toute sorte de jurisprudence que bon nombre d’avocats n’hésiteront plus à exploiter dans différentes situations (vol en interne, etc.) Les solutions Cloud et autres services distants semblent bénéficier d’une réputation de plus en plus entachées épaulées par toute sorte de scandales de plus en plus nombreux et médiatisés. Bon nombre d’entreprises mises pourtant de nos jours, sur des solutions de type « SaaS – Software as a Service » sans réelles connaissances sur le déroulement de la gestion de leurs données. Très souvent, des contraintes d’appels d’offres associés à une confiance aveugle dans cette pléthore de services mènent tout droit à l’échec certaines entreprises qui par ailleurs, ont la plupart du temps des difficultés majeures à remonter la pente en cas de problème.
A l’heure actuelle, une attaque vers des plateformes Cloud a un impact significatif sur des milliers voir millions d’utilisateurs. Les attaques sont automatisées à une cadence « industrielle » et admettre qu’une seule entité peut affaiblir de nombreuses sociétés est une réalité tangible. Le « Hopping Island - Voyage d’îles en îles » est une technique de « cyberattaque » s’appuyant sur l’attaque d’un équipement ou d’un service externe dans le but d’atteindre la cible initiale Cf. Cybersécurité 2019 : Attaque, Technologies, Piratage, failles de sécurité & caméra de vidéosurveillance. Pour clore, nous soulignerons qu’outre les risques inhérents liés au Cloud, VPN Mentor soulignai très justement qu’il était regrettable d’utiliser une copie des empreintes digitales des utilisateurs là ou un identifiant unique généré à partir des empreintes se montrerait bien plus sécurisé. Même les plus grands semblent encore avoir à apprendre. Résilience est de mise encore plus lorsque des milers de données utilisateurs sont en jeu. Attendons le communiqué du GPDR/RGPD qui devrait épingler Suprema dans cette fuite de données colossale paraissant tout simplement invraisemblable. Bonne rentrée 🙂
