août, 2010

Intel annonce son intention d’acheter McAfee pour un montant estimé à près de 7,68 milliards de dollars. Le communiqué commun précise que l’offre d’achat a été arrêtée à 48 $ par action, en cash. A la clôture de mercredi dernier, l’action McAfee cotait un peu moins de 30 dollars. Cette offre impressionnante a franchement surpris le monde de la sécurité. Car si la collaboration étroite entre les deux entreprises était connue, l’on imaginait difficilement que le numéro 1 du processeur investisse autant dans le logiciel en général et dans la sécurité périmétrique en particulier.

Certes, les exemples d’intégration des outils de protection dans du « hard » faisait partie des talents McAfiens depuis un certain temps déjà. L’on peut citer pour exemple les accords avec Seagate visant à intégrer directement dans le contrôleur de chaque disque dur un composant de chiffrement dédié. Rien n’interdirait d’imaginer des « implémentations » similaires avec Intel. Et notamment pour tout ce qui pourrait concerner le contrôle des exécutables signés ou la fusion « dans le silicium » de moteurs antiviraux et assimilés, comme cela se fait déjà dans la gamme « Ion » avec les composants d’accélération graphique.

Mais de telles alliances technologiques ou projets de développements communs ne poussent pas systématiquement au mariage, surtout lorsque la mariée coûte aussi cher qu’une danseuse. Si Intel accepte de débourser 7 milliards en cash, c’est que les coûts de ses futurs projets en matière de sécurité dépassent, et de très loin, la valeur de cette mise de fonds. Ce qui élimine de facto le marché de « l’antivirus intégré sur la carte mère », un trop petit argument technologico-marketing en ces temps où l’antivirus gratuit s’impose de plus en plus. C’est donc du côté des marchés professionnels et industriels qu’il faut chercher, et plus particulièrement dans le domaine du Cloud Computing tant interne qu’externe. Il ne serait donc pas étonnant de voir apparaître dans un proche avenir des boîtiers de commutation « Intel & McAfee Inside », que lesdits boîtiers soient virtuels, sous forme de VM, ou matériels au format 19 pouces.

Cette annonce porte un coup relativement violent au principal concurrent de McAfee, Symantec, qui voit d’un coup son frère-ennemi secondé par un partenaire financier important.

HP vient d’officialiser sa demande en mariage avec Fortify, un spécialiste de l’analyse de code statique (vérification au niveau du source) et dynamique (applications compilées et en état de fonctionnement). Ces outils, qui entrent dans le cadre des politiques de «suivi du cycle de vie des logiciels » (SDL). Le montant de la transaction n’a pas été rendu public.

Si cette acquisition va dans le « sens de l’histoire » et confirme l’intérêt des principaux éditeurs en faveur de la fourniture de logiciels sécurisés dès les premières heures de conception, il n’est pas certain que l’intégralité des têtes pensantes de Fortify restera dans le giron de Hewlett Packard. La cote du gourou SDL est très forte ces temps-ci, et l’osmose entre un géant du développement et une petite structure très « high tech » est toujours un cap difficile à franchir.

Across Security publie une série d’alertes débutant toutes par « plantation à distance de binaires dans xxx », xxx pouvant être n’importe quelle application accédant à un partage réseau –lan ou wan-. Deux exemples sont donnés, utilisant les VMware tool et iTune. Le principe de fonctionnement semble simple : il suffit d’adjoindre à un fichier multimédia servant d’appât, une DLL-piège utilisant un nom très particulier. Cela n’est pas sans rappeler la méthode régissant l’ordre de priorité de lecture des DLL par le noyau Windows lorsque celles-ci ne sont pas stockées dans le répertoire System32. Tout comme dans l’affaire de la faille .LNK, les mesures de contournement sont radicales et les experts conseillent de désactiver les ports liés à SMB (445, 139… mais qui donc ne l’a pas déjà fait ?) ainsi que WebDAV, ce qui ne sera pas apprécié par toutes les applications. Depuis le début de la période estivale, l’enfer semble toujours pavé de DL-Hell.

L’on attend la diffusion imminente d’un correctif « hors bande » pour Acrobat 9.3.3 (logiciel « plein » et « reader » seul), tant pour les plateformes Microsoft qu’Apple et autres Unix en général. Cette rustine devrait, promet le bulletin d’alerte, être émise dans la journée de jeudi, heure US (dans la soirée ou la nuit de jeudi à vendredi en France). Un autre correctif, destiné à colmater 6 failles différentes découvertes dans Flash Player sera également du voyage. L’indice de dangerosité de ces deux alertes est considéré comme « critique »… ce qui semble logique pour un correctif paraissant en dehors des calendriers établis. Le prochain rendez-vous trimestriel des rustines Adobiennes est prévu pour le 12 octobre prochain.

Facebook, pour sa part, fait régulièrement la manchette des journaux. Lorsque ce n’est pas pour d’obscures raisons d’atteinte à la vie privée ou de changement de « politique de sécurité » aux conséquences douteuses, c’est pour révéler de nouvelles techniques d’attaques véhiculées par ce réseau social. On ne prête qu’aux riches…
La semaine passée, la communauté sécurité criait haro sur les boutons « j’aime pas » de Facebook, ou plus exactement d’une appliquette censée automatiser les avis négatifs portés sur les messages échangés sur ce réseau social. Une appliquette virale dont le premier soin est d’émettre un message à l’insu du Facebooker souhaitant télécharger ledit bouton. « Je viens de m’équiper du bouton « j’aime pas » qui me permettra de dénigrer tous tes posts stupides » clame le message… lequel est, cela va sans dire, accompagné de l’URL de téléchargement du prétendu redoutable bouton. La diffusion quasi virale de cette application atteint des sommets, nous apprend Graham Clueley de Sophos. Et le bouton, dira-t-on ? Il n’est en rien viral puisqu’il s’agit d’une extension à Firefox tout à fait officielle. L’escroquerie virale est en grande partie psychologique et ne se déroule que durant la première phase de l’opération, avant même le téléchargement de l’add-on en question.

Sean, de F-Secure, s’intéresse aussi à Facebook, mais plus à ces « profils recommandés » de blondes sulfureuses aussi traumatisantes qu’Ingrid Bergman dans Casablanca. Ces accortes correspondantes vantent les mérites d’un « bon plan » destiné à offrir à qui le lira un iPhone dernière génération. Las, une visite du site vantée par les pulpeuses créatures avertit le lecteur que l’offre ne s’applique que dans certains pays –dont ne fait d’ailleurs jamais partie celui de la victime-. Avertissement immédiatement suivi par l’affichage d’une page publicitaire vantant les mérites d’un jeu en ligne édité par une entreprise Allemande. Laquelle se trouve être la victime directe des auteurs de ces faux profils mamo-callipyges, puisque généralement les rabatteurs Webs sont rétribués au nombre de « hits » reconnus provenant d’un « référant » identifié.

Si l’infection des mécanismes de création des pages-parking de Network Solution est une « première » dans l’art de la diffusion de malwares, cela ne diminue en rien l’opiniâtreté des « black hats » qui sans cesse cherchent à profiter des grands réseaux du Web Deuzéro pour s’en servir de relais. Les attaques en ingénierie sociale ou les coups de Jarnac lancés depuis un « URL raccourcie » ne se comptent plus. Les derniers exploits du genre visent les usagers de Google et ont fait l’objet d’une présentation par Samy Kamkar lors de la dernière Black Hat Conference. Intitulée « Comment j’ai rencontré votre petite amie », cette amusante causerie explique comment récupérer l’adresse MAC du routeur ADSL de la victime par le biais d’un site web (compromis) utilisant Javascript. L’identifiant matériel du routeur une fois connu, une rapide requête sur le Google Location Service indique à quelques mètres près où habite la future victime, grâce en soit rendue aux automobiles Google et à leur sniffer WiFi. L’attaque est décrite pas à pas et de manière relativement humoristique (sauce geek) au fil d’un fichier Powerpoint conçu par Kamkar.

Allez, encore un dernier gros botnet officiel, avec deux articles sur les campagnes SEO orchestrées par les vendeurs de faux antivirus. Les SEO, ce sont ces systèmes de pondération-classification utilisés par les moteurs de recherche et qui sont capables de placer en tête de page les résultats de recherche jugés les plus pertinents. Un classement que les spécialistes des faux antivirus tentent de falsifier à l’aide d’une foultitude de sites compromis, pour pouvoir passer avant les Symantec, Sophos et autres Kaspersky.

Le premier papier sur le sujet –est-ce surprenant- est signé Dancho Danchev et traite de l’invasion progressive des sites Web Hollandais et Helvétiques compromis par les marchands de Scarewares. L’autre est écrit par Bojan Zdrnja du Sans Institute. Tous deux décrivent les techniques d’injection qui parviennent à tromper les « Crawlers » des moteurs de recherche et les forcent à indexer des sites franchement marrons en les faisant passer pour d’honnêtes vendeurs d’antivirus. Autant les astuces employées sont subtiles –car devant contourner un nombre impressionnant de mesures de protection mises en place par les Google et Bing du monde entier au fil du temps-, autant les réseaux de diffusion sont colossaux. L’article de Danchev s’étale sur près de 25 pages-écran, et n’est constitué que d’adresses de sites faisandés, d’organigrammes de serveurs mafieux et de liens évidents avec les gardiens du botnet Gumblar. « Google is your friend, and Bing too » ironise-t-on dans les banlieues de Moscou et de Saint Petersbourg.

Network Solution (NS), dans le paysage des registrars du monde entier, fait figure d’ancêtre… presque d’institution. L’histoire n’en est que plus piquante. Car, nous apprend le blog d’Armorize, un widget promotionnel d’origne NS –tout à fait légal- aurait été détourné par des pirates, le transformant en déclencheur de « téléchargeur de troyen ». L’installation de ce widget compromis transformait ipso facto en source de diffusion de malware tout serveur web, tout blog qui aurait été enrichi de cette appliquette par son Webmestre. NS a rapidement réagi en fermant le site growsmartbusiness.com chargé notamment de diffuser cette épique appliquette hippique.

Si l’aiguillon du doute n’avait pas poussé les chercheurs d’Armorize à aller plus loin, l’on aurait conclu à une petite attaque ciblée. Mais devant la grogne d’un nombre croissant de webmestres infectés, l’équipe continue son enquête, et s’aperçoit que ledit Widget –accompagné d’une fausse appliquette de messagerie instantanée- se retrouve avec une fréquence élevée sur un nombre impressionnant de « pages parking » gérées par NS. Pour en avoir le cœur net, les chercheurs du laboratoire d’Armorize déposent un nom de domaine test, lui adjoignent un service d’hébergement, et suivent la procédure standard consistant à activer sans le « remplir » le serveur Web du domaine. Page garée comme tant d’autres sur ces « parking publicitaires » destinés à séduire les internautes égarés ou en recherche d’un site qui n’existe pas.

Une rapide requête Google parvient à dénicher près de 500 000 pages de ce type…. Les moteurs de recherche Yahoo sont bien plus pessimistes, puisqu’ils trouvent plus de 5 millions de pièges au widget corrompu. Piège, doit-on préciser, qui n’est détecté que par un peu moins de la moitié des antivirus commerciaux standards. De son côté, un porte-parole de Network Solution estime ces deux chiffres très exagérés. Une requête Google est pourtant difficile à faire mentir.

« Entre 500 000 et 5 millions de vecteurs d’infection »… quel que soit le chiffre réel, c’est là indiscutablement l’un des plus jolis et des plus discrets botnets de la création. Le troyen –ainsi que la fameuse « fausse UA de messagerie instantanée »- sont spécifiquement conçus pour attaquer des internautes Chinois. Mais l’idée pourrait être reprise par d’autres amateurs d’infections massives plus intéressés par les richesses occidentales.

La charge utile du virus est elle-même un concentré d’efficacité. Outre un espionnage de tout ce qui est visité par la victime à l’aide des principaux navigateurs du marché, le malware détourne les requêtes Google, Ask, Yahoo ! AOL et Bing vers un autre site, et empoisonne la vie de l’internaute en lui assénant des publicités sur le thème « Cialis, pharmacie, casinos… ». A noter également une intéressante procédure de duplication ; ledit virus recherche l’existence de répertoires créés par des logiciels d’échange P2P et autres outils d’échange (Kazaa, eMule, eDonkey,ICQ, Limewire etc) et s’y camoufle sous des noms parfois édifiants : WinRAR v3.x keygen .exe, MSN Password Cracker.exe, K-Lite Mega Codec v5.2.exe ou encore Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe.

Alors, dangereux ou pas dangereux ? Selon Adobe, cette faille affectant Coldfusion était « importante mais pas critique », rustine à appliquer donc, mais sans alarmisme de mauvais aloi. Pourquoi « seulement » importante ? Car, de l’avis du Response Team d’Adobe, toute exploitation à distance était fort improbable. Opinion que contestent plusieurs chercheurs, à commencer par les inventeurs eux-mêmes, qui se fendent d’un communiqué plus qu’alarmiste. C’est un véritable désastre, estiment les chercheurs de la société Britannique ProCheckup. Le correctif Adobe corrige effectivement les dernières versions (8 et 9) de Coldfusion, mais le trou reste béant sur les versions 5 à 7, encore largement exploitées. Le nombre de sites vulnérables dépasserait la dizaine de milliers. Ce danger peut être écarté en interdisant l’accès au répertoire d’administration, précise le rédacteur du blog de ProCheckup.

Adrian Pastor, de Gnu Citizen, abonde dans le sens de Richard Brain, le patron de l’entreprise Britannique susmentionnée et, pour prouver la dangerosité potentielle de cette faille, signale l’existence d’un exploit rendu public sur exploit-db. Auteur anonyme mais menace bien identifiée. Depuis, Adobe est revenu sur sa position et reconnaît que le trou CVE-2010-2861 est bien exploitable à distance.

Exception faite du correctif hors calendrier colmatant la « faille LNK » exploitée par un rootkit « scada », la vie semblait reprendre calmement, sans véritable grosse alerte. C’était sans compter sur le traditionnel « patch Tuesday » qui, ce mois-ci est particulièrement fourni. 14 mises à jour, des failles exploitables et qualifiées de critique dans les formats de fichier multimédia (Silverlight, MS-Mpeg3, codecs Cinepack) et Office… de quoi concocter de beaux vecteurs d’infection. Le blog du MSRC précise que l’indice d’exploitation est au plus haut dans 11 cas sur les 14, et que 8 correctifs sont rangés dans la catégorie « critique ». Ce qui, chez certains observateurs, est interprété de manière légèrement plus pessimiste.

Si l’on excepte l’exploitation active de la « faille LNK » utilisée par le virus Stuxnet, aucun des trous cités ne semble faire partie des panoplies d’attaque des malwares connus. Les hommes sécurité ont donc une petite marge de manœuvre avant de lancer les déploiements. Enfin, petite, la marge. Un coup d’œil rapide sur le blog de Kostya et une vidéo instructive diffusée par Immunity Sec laissent entendre que le danger n’est pas loin.

A ne pas manquer, la lecture passionnante de l’autopsie du « patch LNK » par Sylvain Sarmejeanne, qui découvre par hasard (et par désassemblage) que le correctif « out of band » ne fait pas que colmater une faille. La rustine apporte notamment deux améliorations fonctionnelles concernant la gestion du formatage en ExFat et une désactivation « complète » de l’Autorun pour les périphériques de stockage genre clefs ou disques USB.

Ajoutons à ce florilège de publications Françaises celle de Matthieu Suiche, de Moonsol, crédité pour 3 des CVE comblés ce mois-ci, et qui nous entraîne dans les détails de la faille tcpip.sys.

Toujours à propos du trou LNK, le blog de F-Secure nous apprend comment protéger les anciens noyaux XP « SP2 » qui, depuis un mois, sont sortis de la liste des noyaux maintenus par Microsoft.

Chez Adobe, on n’a, ce mois-ci, corrigé « que » 6 trous, affectant principalement Flash Player. Une mise à jour vers la version 10.1.82.76 est fortement recommandée.

Les divulgations effectuées le jour même ou le lendemain du Patch Tuesday sont devenues une tradition… peut-être pas régulière, mais fréquente. Celle du mois d’août est jugée comme « peu critique mais préoccupante » par Jerry Bryant du MSRC. Elle concerne un défaut exploitable dans Win32k.sys, découvert par la société Française Vupen. De l’aveu même des inventeurs, le trou n’est exploitable que localement et conduit à un crash machine ou « potentiellement » à une possibilité d’exécution de code.