juillet 22nd, 2010

L’attaque du rootkit lnk –plus médiatisé pour les subtiles innovations qu’il contient plutôt que par sa dangerosité réelle- provoque bien des réactions, certaines attendues, d’autres pour le moins surprenantes. A commencer par celle du principal intéressé, Siemens, éditeur du logiciel de supervision de processus industriel qui conseille, nous apprend un papier de Bob McMillan de Network World, « de ne surtout pas changer les mots de passe de WinCC »… cela pourrait avoir des conséquences sur le pilotage des processus. Qu’un changement de crédence puisse modifier le comportement d’une boucle PID ou un enchaînement logique d’une chaîne de « process control », voilà qui laisse songeur quant aux méthodes SDL mises en œuvre et à l’interdépendance des parties de programmes logiquement indépendantes. Sur le site d’information en langue Française, pas la moindre alerte de sécurité. Sur cette même page d’accueil, le flash d’une icône animée clame « Cliquez ici, nous vous rappelons ! ». L’on clique donc, ce qui provoque, de la part des principaux navigateurs, l’alerte suivante :

Le certificat de sécurité du site a expiré !
Vous avez tenté d’accéder à webbies.siemens.fr, mais le serveur a présenté un certificat arrivé à expiration. Aucune information ne permet de déterminer si le certificat a été compromis depuis son expiration. Cela signifie que Chrome ne peut pas garantir avec certitude que vous communiquez avec webbies.siemens.fr et non avec un pirate informatique. Ne poursuivez pas. Par le plus grand des hasards, le certificat en question est d’origine Verisign, expiré depuis le 11 juillet dernier.
Oserions-nous suggérer à l’équipe de développement de Siemens de demander quelques conseils aux auteurs du « rootkit .lnk » sur l’art et la manière de bien employer les certificats ? Ou plus simplement d’éviter de coller un proto https sur de simples pages d’informations produits… la paranoïa peut rapidement tourner au ridicule.

Si le fait de modifier un mot de passe sur un système supportant WinCC peut potentiellement provoquer des catastrophes, l’on peut imaginer que les modifications de clefs de registre suggérées par Microsoft appartiennent également à la catégorie des actes Ganz Verboten par Siemens. Il faut dire qu’en désactivant toutes les icônes de raccourcis, l’usage d’un Windows conventionnel commence à devenir un peu laborieux. Mais Microsoft persiste et signe. Pour éviter aux glorieux professionnels de l’intégrée-dérivée et du capteur-actuateur d’utiliser l’explosif Regedit, l’éditeur consacre toute une page « Fix It » de la « K-Base » qui automatise l’activation ou l’élimination de la mesure de contournement.

On est moins radical, au Cert Lexsi. D’autant plus, explique Sylvain Sarmejeanne, que l’immolation par Regedit des fonctions WebDAV ne bloque en rien la propagation du rootkit par le biais de clefs USB baladeuses. La solution, explique-t-il, c’est AppLocker, l’une des nouveautés de Windows 7 et 2008 R2. Article fort intéressant traitant donc du blocage des DLL à l’aide des outils intégrés au système. Las, prévient l’auteur, la solution n’est pas absolument parfaite puisque, comme nous le signalions hier, l’invocation d’une DLL peut parfois échapper aux principaux contrôles de filtrage et de localisation effectués par le noyau. S’ajoute également un autre obstacle à l’utilisation d’AppLocker : le monde du contrôle de processus industriel a horreur des nouveautés, considérées par défaut –et non sans une certaine sagesse- comme de véritables nids à bugs inconnus. Là où l’automate programmable et le robot pneumatique règnent en maîtres, c’est surtout du XP SP3 et, parfois, quelques traces de Vista que l’on rencontre. Adieu AppLocker, bonjour les SRP (restrictions logicielles liées à une politique de sécurité), ainsi que le prêche Didier Stevens. Reste que les « policies » restrictives ne sont pas non plus d’une absolue fiabilité, et des mesures de contournement sont toujours possibles.

C’est l’Avert qui boucle ce rapide tour d’horizon du « virus .lnk », avec une FAQ très simple autour de ce rootkit : quelles sont ses méthodes d’exploitation, l’exploit nécessite-t-il un code pour fonctionner, quelles sont les conditions à réunir pour que le risque puisse se présenter.. etc. Un papier utile qui rappelle que, si seuls les industriels utilisant WinCC sont directement visés, toute machine Windows est susceptible d’être frappée par cette infection. Et surtout, insistent les ingénieurs de McAfee, « l’exploit .lnk » a de très fortes chances de faire des émules et d’être employé par d’autres auteurs de malwares moins élitistes et plus entreprenants.

La Federal Trade Commission (FTC) Américaine alerte ses citoyens et porte plainte contre une organisation d’escrocs internationaux spécialisée dans le piratage des numéros de cartes de crédit. Jusque là, rien de très extraordinaire.

Mais les malfrats auraient pu opérer encore longtemps sans se faire remarquer. Le principe de l’attaque, nous apprend la FTC, reposait sur une technique discrète, qui consistait à ne prélever que de très petites sommes sur les comptes compromis. De quelques cents –pour vérifier la solvabilité du compte- à 10 dollars maximum. Le tout débité par des entreprises dont le nom tout à fait anodin ne pouvait éveiller le moindre soupçon : B-Texas European, Confident Incorporation, HDPL Trade, Hometown Homebuyers, SVT Services… des raisons sociales bidon. Qui donc s’inquiète d’un prélèvement unique de 10 dollars ? Là où le montage confine au grand art, c’est lorsque l’on apprend que lesdites raisons sociales fantaisistes possédaient toutes des comptes en banque légitimes, des numéros de téléphone valides, des adresses plausibles, parfois même des sites Web avec numéros de téléphone de support client, voir, dans certains cas, une immatriculation fiscale régulière (sorte de Siret américain), numéro bien sûr récupéré au hasard sur Internet. Toutes les apparences d’une véritable entreprise.
Au total, la FTC a dénombré 16 sociétés-écran, toutes pilotées par des « mules » recrutées via une campagne d’emailing. Le rôle des « directeurs financiers » était, on s’en doute, de collecter l’argent détourné, puis d’effectuer des virements sur des comptes situés en Lituanie, Estonie, Lettonie, Bulgarie, Chypre et au Kirghizstan. Si l’avenir des mules semble fortement compromis, il est peu probable que les foudres de la FTC puissent un jour inquiéter le ou les cerveaux de l’affaire.

TrueCrypt 7.0 est disponible en téléchargement (gratuit). A lire à ce sujet l’article de Cédric Blancher sur l’incapacité du FBI à lire un disque protégé par ce logiciel

La prochaine version d’Acrobat Reader devrait être isolée dans une « boîte à sable », interdisant tout appel de fichier ou de processus en direction du système-hôte (canaux de communication nommés, appels en BDR et lancement de processus compris).

Le blog : outil d’information, de désinformation et de manipulation de l’opinion publique : 30 pages d’un rapport analytique de l’armée US ( Joint Special Operations University) dévoilé par Cryptome.

Itune 9 vulnérable et susceptible d’autoriser une attaque distante. Comme à l’accoutumée, aucun renseignement technique effectif sur cette CVE 2010-1777