avril, 2011

Le 30 mars, Robert McMillan, de Network World, signait un scoop assez dévastateur, accusant Samsung d’installer des keyloggers sur ses ordinateurs portable « série R ». La découverte avait été faite par Mohamed Hassan, un spécialiste sécurité bardé de diplômes : MSIA, CISSP, CISA, diplômé de la faculté de Norwich (sciences forensiques informatiques). Généralement, le genre de personnage dont les paroles font autorité.
Dans un premier temps, le représentant local du constructeur élève de véhémentes dénégations allant même jusqu’à accuser Microsoft de cet impair
puis admet la responsabilité de l’entreprise et la présence du logiciel d’espionnage commercial connu sous le nom de StarLogger pour améliorer les performances des machines». Réponse plus ou moins rejetée par un porte-parole officiel de Samsung qui, quelques temps plus tard, assure que l’entreprise « prend très au sérieux les allégations de Mr Hassan » mais que « nous n’avons aucune connaissance préalable d’une utilisation de ce logiciel (le keylogger) sur nos portables »… affirmation allant même jusqu’à certifier ne pas connaître l’éditeur du logiciel d’espionnage en question.

Notre confrère tout comme Mohamed Hassan évoquent le précédent du rootkit Sony-BMG installé sur certains CD audio diffusés par la marque. Sans pour autant rappeler qu’il aura fallu très peu de temps à quelques reversers pour que ledit rootkit soit transformé en un vecteur d’intrusion pour n’importe quel usager autre que Sony. Car bien entendu, ce qui intéresse un spécialiste sécurité, ce n’est pas la présence d’un espionniciel commercial, c’est la façon dont ledit espionniciel pourrait être détourné. Ce qui implique au moins une rapide analyse du comportement « in vivo » du programme en question, à commencer par l’étude de son mécanisme d’installation, de fonctionnement, de communication des informations à destination de son centre de commande, sans oublier ses méthodes de stockage local des informations collectées. Car un keylogger, ça récupère généralement un sacré paquet d’informations.

A première vue, la morale de cette histoire, c’est que lorsque l’on est client Canadien de Samsung, l’on peut acquérir une licence gratuite d’un logiciel de keylogging pour tout achat d’un ordinateur portable.

Mais dans la nuit du 31 mars au premier avril, le soufflé retombe. Samsung dément formellement l’existence de tout spyware, et fait remarquer que le seul indice ayant pu faire penser à la présence de ce keylogger était un répertoire baptisé SL. Mais le support multilingue des applications Microsoft Live crée également un répertoire homonyme, lequel a immédiatement fait hurler les sirènes de l’antivirus de Mohamed Hassan. Le coupable ? L’antivirus Vipre de GFI. Lequel GFI s’excuse platement pour ce faux-positif.

Ce qui est anormal, dans cette épopée fleurant l’espionnite aigüe, ce n’est pas le papier de notre confrère, lequel disposait d’une source réputée fiable, elle-même certifiée par des organismes ayant pignon sur rue, tel l’ISC² ou l’Université de Norwich. Ce n’est pas non plus franchement de la « faute » de GFI. Le faux positif, pour agaçant qu’il soit, fait partie des désagréments de notre vie. Après tout, un antivirus qui réagit, c’est toujours plus rassurant qu’un antivirus qui se tait et laisse passer les attaques importantes (à tout hasard, Lizamoon). Est-ce de la faute de Samsung ? Encore moins… mais le précédent « Sony BMG » pèse encore lourd dans la destruction du capital-confiance que les grands industriels inspirent au public. Sony s’est rendue coupable d’un acte de piraterie, et ce pas de clerc a rejailli sur toute l’industrie informatique de grande consommation. La responsabilité de Monsieur Mohamed Hassan, en revanche, est légèrement plus certaine. Un spécialiste patenté qui crie au loup sur la seule preuve apportée par un antivirus, sans « log » de keylogger à se mettre sous la dent, sans preuve Wireshark d’une tentative de « E.T. téléphone maison » émis par le keylogger, sans même la plus petite capture d’écran d’un System Monitor (de Mark Russinovich, inventeur du spyware Sony-BMG), tout çà est un peu « limite ». Deux jours plus tard, l’affaire aurait fait sourire.

Tout a commencé par une alerte Websense, signalant, sur un ton inquiet, la progression d’une attaque massive en injection SQL. Son nom de code : Lizamoon, en raison du nom de domaine vers lequel pointe une requête de script injectée. « 28 000 sites compromis », clamait l’alerte. Dans la journée du 31 mars, le Sans comptabilisait 226 000 pages frappées par ce mal. L’attaque prenait une ampleur rarement atteinte par le passé. Tard dans la soirée, les requêtes Google culminaient à 380 000, puis retombaient à 240 000, pour repartir de plus belle.

C’est Dancho Danchev qui signe le papier le plus informatif sur le sujet, en dressant, domaine après domaine, la liste des sites liés à cette attaque massive. Tous sont d’origine mafieuses et entrent dans une campagne plus vaste de vente de scareware (faux antivirus). Lequel scareware (en fait un cheval de Troie) aurait un taux de reconnaissance par les antivirus plafonnant à 22%. Un quasi-inconnu. Une simple requête portant sur la chaine script src=http://lizamoon.com donne une petite idée de l’évolution de l’infection.

Il faut avouer qu’elles n’ont pas un patronyme facile à mémoriser, ces chères sa-20110330-nac et sa-20110330-acs. Mais elles ont au moins l’avantage de libérer la verve des spécialistes. La seconde (acs) concerne la possibilité, pour un utilisateur référencé dans l’identity store (quel que soient ses droits), de pouvoir modifier le mot de passe d’un compte connu. De quoi semer une belle pagaille en peu de temps. Mais, comme l’explique Adrien de Baupré dans le journal de bord du Sans, les restrictions d’exploitation sont tellement nombreuses que ce risque est quasiment inexistant. 2200 signes plus tard, l’on apprend en deux lignes qu’il existe une seconde alerte touchant l’authentification Radius du NAC Cisco. Circulez, il n’y a plus rien à voir.

Brian Krebs a récupéré des mains du Cert US un document listant les noms de domaine desquels serait partie l’attaque visant les serveurs de RSA. Sans surprise, comme semblait déjà l’affirmer la qualification d’APT, une accumulation de « petites » preuves semble désigner la Chine, et notamment certains noms de domaines qui n’ont pas été cachés par des DNS dynamiques lors de l’attaque.

La direction de RSA, pour l’heure, est toujours aussi avare d’informations, espérant probablement que l’affaire Comodo fasse oublier l’intrusion dont ses serveurs ont été victimes …

La nouvelle a été « officiellement » confirmée par le biais d’un groupe de discussion Yahoo : deux autres comptes d’autorité d’enregistrement (RA) auraient été compromis, affirme Robin Alden le CTO de Comodo. Information relayée par Netcraft ou IDGNS entre autres. Jusqu’à présent, seul le revendeur Italien (GlobalTrust.it / InstantSSL.it) semblait à l’origine de la « fuite de certificats » frappant Comodo.

Une fois de plus, l’information parvient au public via des moyens relativement fantaisistes et non officiels (une liste de discussion) sans confirmation de la part de la Direction de la Communication du groupe. Du moins pas à l’heure où nous rédigeons ces lignes. L’identité des deux autorités d’enregistrement est gardée secrète, les éventuelles compromissions desdites autorités sont également laissées dans un brouillard à couper au couteau. Malgré l’affirmation du CTO affirmant que « No further mis-issued certificates have resulted from those compromises », on ne peut, devant l’opacité des méthodes de communication de l’entreprise, que douter du sérieux de ces assertions. En attendant, la direction clame à qui veut l’entendre qu’elle est en train de réorganiser les flux de certification, notamment en limitant les pouvoirs des RA (qui, jusqu’à présent, pouvaient directement émettre des certificats issus de l’autorité racine, sans passer par l’intermédiaire de la maison mère) et en déployant des mécanismes d’authentification à deux facteurs destinés à limiter les risques en cas de nouvelle compromission de ce type (Authentification à deux facteurs : expr. Tech : système d’authentification réputé inviolable. Voir article RSA)

La face cachée de Bill Gates, vue par Paul Allen, dans un article de 7 pages que lui consacre la revue Vanity Fair

Carla Bruni nous apprend un article de Tom’s Guide que la chanteuse de variétés poursuit nos confrères du Midi Libre pour avoir diffusé un court extrait d’une de ses reprises