mars, 2011

Une légère brise de nouveauté souffle sur le front des escroqueries en ligne. Brian Krebs rapporte que quelques usagers nord-américains ont été visés par une nouvelle forme d’attaque au scareware, ou incitation au téléchargement de faux antivirus : un appel préenregistré, diffusé par Skype, signale à l’intéressé que son système est infecté, et que le téléchargement d’un correctif est nécessaire de façon urgente. L’installation du bouchon en question nécessiterait l’expertise de techniciens travaillant pour le compte d’une certaine société SOSGT, aussi bidon que pestilentielle. Sans surprise, la visite du site en question –fermé depuis- provoque l’affichage de traditionnelles avalanches de pop-up d’alerte prétendant détecter une profusion de soi-disant vers, troyens et malwares en tous genres.

Jusqu’à présent, les tentatives d’escroquerie par appel téléphonique étaient l’apanage de quelques opérations de phishing ciblé, d’attaques en social engineering et de ces fameux « scam Nigérians ». L’ouverture d’un nouveau front sur le créneau des scareware laisse penser que la « profession » cherche à se diversifier. L’on peut noter au passage la réaction on ne peut plus saine d’un des participants au forum Skype qui se demande pour quelle raison un programme VoIP se mêlerait de détection virale.

Les récents évènements en Egypte, Tunisie, Libye éveillent quelques belles pièces d’anthologie dans le domaine du scam nigérian. Les veuves éplorées de généraux disparus et de banquiers en déroute sont en légère augmentation dans nos boîtes à courriel. A noter que bon nombre de ces escroqueries utilisent des boîtes de messagerie souvent hébergées en Pologne (ce qui ne veut surtout pas dire qu’il s’agit là de l’origine des attaques).

Le récent tremblement de terre au Japon, bien que très récent, est déjà exploité de cette manière. Le blog de F-Secure fait remarquer une quasi disparition des attaques SEO (truandage des cotes de popularité des moteurs de recherche dans le but d’attirer des internautes sur des pages compromises). Le mérite en reviendrait notamment à Google qui prendrait très au sérieux ce genre d’intoxication de l’information. Cette profusion d’actualités catastrophistes pourrait cependant profiter aux spécialistes de l’exploit par « faux codecs » interposés, visant les amateurs de séquences vidéo à sensations. Dans l’immédiat, les principales tentatives d’escroquerie se présentent sous la forme de pseudo-ONG lançant des appels aux dons. Le tout étant généralement rédigé en anglais et usurpant l’identité d’organismes peu connus en Europe, l’impact dans notre pays est assez faible.

Qui a volé le portefeuille de Joanna Rutkowska? Le petit monde de la sécurité est sur les dents et s’attend à être inondé de fausses pilules bleues compilées par des « virtual canadian pharmacy »

John Larimer de la Xforce publie une analyse technique très détaillée du malware Rootcager affectant les versions d’Android « d’avant le patch »

C’est la société Française Vupen qui, en 5 secondes rapportent nos confrères d’Ars Technica, est parvenue à exploiter un Safari 5.0.3 installé sur un OS X 10.6.6 entièrement « patché ». Le communiqué de victoire.

C’est l’Irlandais Stephen Fewer qui est parvenu à faire tomber I.E.8 installé sur un Windows 7 SP1 64 bits. Pour ce faire, il lui a fallu faire appel à 3 exploits différents : deux pour parvenir à exécuter un programme depuis le navigateur (le jeu consistant à exécuter Calc.exe et à écrire des données sur le disque local) et un troisième pour échapper au confinement de la sandbox du « mode protégé »… Trois exploits… c’est exactement le même nombre de ZDE qu’il a fallu pour concevoir Stuxnet. Voilà qui relativise certaines idées sur les « moyens colossaux » mis en œuvre par cette attaque Scada.

Chrome n’est pas tombé ce jour-là… certains de nos confrères y voient la conséquence du correctif de dernière minute provoqué par les révélations de Jon Oberheide. Voilà qui est possible mais peu probable. La rédaction d’un exploit fonctionnel est un travail nécessitant parfois beaucoup de temps. Il se peut en revanche que le trou visé ait fait l’objet d’un précédent correctif lors de la dernière vague de livraison de bouchons destinés à Safari et iTunes.

Pour l’heure, il ne s’agirait que de quelques cas isolés visant des groupes sociaux… une sorte de guéguerre entre hacktivistes de divers camps : la faille MHTML serait actuellement exploitée dans le cadre d’attaque en détournement d’usager vers des pages « infectées ». Rappelons que cette faille a fait l’objet d’un « fix-it » préventif en l’attente d’un correctif plus universel et moins bloquant. Les « fix-it » sont généralement des scripts de désactivation de fonction, assimilables à des « mesures de mitigation » automatisées et provisoires. Ce ne sont en aucun cas des correctifs de code.

Microsoft, par tradition et par nécessité technique, n’émet son traditionnel « cumulatif I.E. » qu’à l’occasion des mois pairs –ceci bien entendu en l’absence de mesures urgentes nécessitant la publication d’un bouchon « out of band »-. Ce laps de temps est nécessaire en raison des procédures de tests de régression relativement lourdes et complexes. Comme c’est actuellement le cas pour la faille MHTML, et en l’absence d’exploitation significative du bug, le bouchon ne devrait pas être émis avant le 12 avril prochain.

Mikko Hyppönen, de F-Secure, profite de la probable preuve d’achat du logiciel de cyber-espionnage FinFischer par les barbouzes Egyptiennes pour discuter du code moral qui régit les éditeurs d’antivirus : doivent-ils, ou non, s’abstenir de détecter et bloquer les spywares gouvernementaux ? C’est une pente très glissante que d’accéder à ce genre de demande, sous prétexte de participer aux efforts de défense d’un pays, dit en substance Hyppönen. Et quelle demande devrait-on favoriser ? Celle des Etats-Unis ? d’Allemagne ? d’Israël ? d’Iran ? Car qui peut prédire à partir de quel moment un service de police luttant contre la délinquance commencera à basculer dans la surveillance politique ? Le raccourci si pratique qui consiste à traiter de criminel le moindre dissident ou de traître à la patrie celui qui n’est coupable que de délits d’opinion est une ficelle souvent utilisée par les états glissant vers la tyrannie. Rappelons que tous les éditeurs ne s’embarrassent pas avec ce genre de question transcendantale. Particulièrement du côté US, et surtout depuis que des programmes tels que le Magic Lantern du FBI ont commencé à défrayer la chronique

Peu de liège, mais du bouchon quand même pour les principaux éditeurs participants au « patch Tuesday de mars ». Mois « creux » pour Microsoft. La faille MHTML reste non corrigée, et les trois bulletins de ce mois ne sont qu’un énième épisode de la longue campagne de nettoyage visant à supprimer peu à peu toutes les possibilités d’attaque exploitant les fonctions de «DLL-Preloading ». L’un des bouchons en question (MS11-015) est considéré comme critique car touchant DirectShow et MediaPlayer, outils largement utilisés, et pouvant d’autant plus facilement faire l’objet d’exploitation par le biais de fichiers forgés (au format ms-dvr).
Flashplayer, la semaine passée, a émis une mise à jour de Flash Player, laquelle porte le doux numéro matricule de 10.2.152.32 (http://get.adobe.com/fr/flashplayer/). 3 ou 4 « sous-numéros de versioning » supplémentaires seraient peut-être nécessaires pour que tous les utilisateurs soient réellement perdus. Pour l’heure, 2 % de la population mondiale parvient encore à suivre… c’est presque trop. Toujours chez Adobe, 21 trous de sécurité ont été bouchés dans Shockwave Player (http://www.adobe.com/support/security/bulletins/apsb11-01.html). Cette fois, le « bon » numéro de version à installer est le 11.5.9.620. Les mises à jour en question concernent aussi bien les plateformes Mac que Microsoft.

Apple, après avoir déclenché la semaine passée une avalanche de correctifs iTunes comptant plus de 50 CVE, « pousse » un bouchon Java pour OS/X 10.6 update 4 et 10.5 update 9. C’est là une correction de cap qui avait déjà été signalée le mois dernier par Oracle et qui n’avait pas encore été intégré.

Google ne fait rien pour enrichir les vendeurs d’antivirus. Dans le courant du week-end, l’éditeur a fait le ménage dans son catalogue d’applications à télécharger –éliminant les brebis galeuses servant de vecteur d’infection pour le malware DroidDream – , et appuyé sur le « kill switch » inhibant, par désinstallation à distance, les programmes infectés déjà téléchargés. Cette opération de désinfection a été possible en « poussant » une application de sécurité sur les terminaux affectés. Jimmy Shah de l’Avert se penche sur ce fameux programme dénommé « Android Market Security Tool », outil de nettoyage par le vide qui ne colmate pas la faille de sécurité exploitée par DroidDream.

Comment perdre 15000 dollars en étant trop honnête ? Jon Oberheide, CTO de Duo Security, a signalé à Google l’existence d’une vulnérabilité pouvant permettre le lancement d’une attaque en cross site scripting. Vulnérabilité rapidement corrigée par l’éditeur. Oberheide touchera la prime « leet » de 1337 dollars, mais aurait bien pu conserver son « scoop » et l’utiliser lors du concours P0wn20wn qui aura lieu le week-end prochain à l’occasion de CanSecWest. Concours commandité par le ZDI et qui, rappelons-le, peut valoir au gagnant une prime de 15 000 $… dix fois la mise pour un simple XSS.

Ndlc note de la correctrice : ah, celle-là, elle a une barbe longue comme çà. La réponse, c’est « archiépiscopaux ». Voilà qui s’imposait pour une production de liège aussi variée.

Selon nos confrères de Paris Match, la Direction du Trésor à Bercy aurait fait l’objet, courant janvier, d’une attaque visant les personnes travaillant sur le dossier du G20. Plus encore que par le passé, le discours de l’Anssi est mesuré et discret. Nul « méchant » n’est précisément montré du doigt … mais l’affaire à un petit goût de PekinLeaks. L’on ne peut dire non plus avec précision quel volume d’information aurait été accédé. Tout au plus sait-on que 150 machines auraient été compromises et que « l’attaque semblait venir de Chine ». Pas franchement de quoi titrer une « Gigantesque » affaire d’espionnage à Bercy. En revanche, l’hypothèse Chinoise revient, pour la troisième fois sur la table, même si c’est à mots couverts. Mais avec un peu plus de « retard à l’allumage » du côté de l’Anssi.

Souvenons-nous. En 2004, un gourou du Sandia National Laboratories, Shawn Carpenter, est le premier à trouver des signes d’intrusions massives semblant orchestrées par Pékin. C’est l’opération Titan Rain, qui ne sera connue des média grand public qu’en 2005. A l’époque, les services de renseignements savaient garder dans l’ombre les aventures malheureuses, pour les divulguer au moment opportun d’un point de vue diplomatique.

L’affaire se reproduit en 2006. Cette fois, pratiquement tous les ministères du monde occidental sont visés. La presse nord-américaine réagit immédiatement, les services de renseignement Français sont bien obligés de reconnaître que, « nous aussi », avons été la cible de cette déferlante. Puis c’est le blitz Goshnet , révélé en mars 2009 : 103 pays, 1200 systèmes compromis. La pression médiatique fait « parler » les gouvernements Européens, qui parfois se font un peu prier. Non, rien ne prouverait que les attaques viennent de Chine, ce sont des choses difficiles à tracer etc. Janvier 2010, c’est l’attaque contre les secteurs industriels de pointe : Google est le premier à en parler, Adobe enchaîne, en trainant des pieds. Puis, après quelques semaines de silence, l’on apprend que des compagnies aériennes et des sociétés pétrolières ont également été « trojanisées », parfois avec succès. Un mot nouveau est créé pour l’occasion : les « Advanced Persistent Threats », ou APT. L’on en profite pour donner un nom à cette toute dernière vague d’attaque dont les prémices remontent à mi-2009 : Operation Aurora . Depuis, les APT se succèdent à un rythme soutenu. La dernière en date avait pour nom Night Dragon , le Dragon Nocturne. Il ne doit probablement pas se passer un mois sans qu’un ministère important essuie quelques coups de feu numérique. Pourquoi Bercy aujourd’hui, alors que l’affaire remonte à plus de 2 mois ? Pourquoi, par le plus grand des hasards, au lendemain d’un remaniement ministériel, au moment précis où la diplomatie Française a besoin de montrer une image plus ferme et plus solide d’elle-même ?

L’affaire Bercy soulève également une autre interrogation : Au lendemain de l’affaire Cablegates, orchestrée par un Wikileaks qui mit sur la place publique des monceaux de dépêches diplomatiques, l’on serait en droit d’attendre des différents gouvernements qu’ils mettent publiquement en place des mesures techniques anti-fuite de données. Les institutions sont, depuis le coup de poker de Julian Assange, des cibles de piratage, au même titre que l’est le fond de commerce d’Universal, Warner ou EMI. MP3, AVI et « bleu du Ministère », même combat. A la différence près que le fruit des rapines ne finira pas toujours sur les pointeurs de Pirate Bay, mais dans les archives d’adversaires économiques. Se pose également la question de la véritable efficacité de telles mesures de protection, sachant que dans ce type de scénario, l’attaquant a toujours une longueur d’avance. Corolaire de la question : est-ce que, dans ce cas précis, la meilleure des défenses ne consisterait pas précisément à attaquer ? Cette question, le Pentagone se la pose très sérieusement. Qu’en est-il en Europe ?

ReCon 2011, qui se déroulera du 8 au 10 juillet prochain au Hyatt Regency de Montréal, lance également son appel à communications. Un CFP de plus en plus focalisé sur les hacks matériels et firmware… c’est ce qui fait bien là l’originalité de la manifestation : reversing et anti-reversing en tous genres, y compris et surtout des DRM, composants embarqués, femtocell, téléphones cellulaires, RFID, Radios à définition logicielle –un sujet vieux de plus de 20 ans que le monde du hack commence à peine à prendre en compte-, contournement des défenses périmétriques physiques, caméras de vidéo-surveillance y comprises… par certains aspects, l’on retrouve le ton «Mission :Impossible » donné à la prochaine Defcon. 2011 semble donc placé sous le signe du Jtag ascendant fer à souder/microcode.

La DefCon 19, qui se déroulera du 4 au 7 août prochain à Las Vegas, émet son appel à communications. Outre les sujets traditionnels relatifs à la sécurité des systèmes d’information, la manifestation de cette année se penchera sur les PET (technologies de défense des données privées) et sur les méthodes à la James Bond capables d’opérer à distance : de la fabrication d’un clef avec pour seul indice une photo « haute définition » prise au téléobjectif, bombes à impulsions électromagnétiques (prévoir un solide backup des ordinateurs portables), cloneurs de passeports RFID, bretelles vidéo à la Mission :Impossible et autres méthodes d’intrusion et d’espionnage à la sauce Hollywood.