mai 6th, 2011

Découvert par le Danois CSIS, le « crimekit » baptisé Weyland-Yutani BOT est un générateur de malware visant précisément OS X et qui dépasserait, de loin affirment les spécialistes de CSIS, le simple stade de « preuve de faisabilité ». Ce serait donc le premier vecteur d’attaque de ce type visant les plateformes Apple. Parmi les caractéristiques importantes de cette usine à virus, il serait possible d’exploiter des fonctions de capture de formulaire sous Firefox et Chrome, Safari devant être prochainement intégré dans la liste. Ce qui, raconté d’une toute autre manière, veut dire qu’il est possible de piéger une page Web pour en extraire des crédences de connexion. Une vidéo de démonstration postée sur YouTube par Brian Krebs montrerait que tout ceci paraît fonctionner efficacement. Si c’est un « fake », c’est là un « fake » très bien monté. Le prix de l’application pour les apprentis bot-herders canal Mac historique est de 1000$ payable via Liberty Reserve ou Webmoney, précisent les chercheurs Danois.

L’affaire a immédiatement fait le tour des rédactions. Le papier le plus documenté et le plus précis est celui de Krebs. Le Sans publie coup sur coup deux billets, l’un sur la découverte du kit, l’autre sur le mode de diffusion de ses « œuvres » qui se propagent sous la forme d’un scareware, ou faux antivirus (finement baptisé MacDefender).

SearchSecurity reprend l’information, en débutant l’article par un argument pouvant légèrement prêter à confusion : la « visibilité » du Macintosh a grandi grâce au succès d’appareils tels que l’iPhone ou l’iPad, ce qui aurait incité les auteurs de malwares à s’intéresser aux utilisateurs de Mac. Si cela avait été le cas, le kit aurait plutôt ciblé les noyaux IOS. Reste que ces outils de mobilité sont plus difficiles à atteindre qu’un ordinateur constamment connecté à un réseau haut débit. De tous les appareils sous IOS, seul l’Apple TV pourrait à la rigueur correspondre à cette définition. Et l’ATV2 est un marché très « limité ».

Il est plus probable que le développement du Weyland-Yutani BOT ait été motivé précisément parce qu’Apple a dogmatiquement endoctriné une partie de sa clientèle en la persuadant qu’il n’existait aucun virus capable de s’attaquer à la plateforme OS X, rendant ainsi l’usage d’un antivirus totalement inutile. Paradoxalement, c’est via de faux-antivirus que se propagent les enfants de Weyland- Yutani. Depuis le temps que les cassandre de la sécurité prédisent une infection coordonnée d’OS X, elle a fini par arriver. Cela ne sonne ni la fin du monde, ni la fin du Mac.

Détail intéressant, selon Fabio Assolini (Kaspersky), ce sont parfois des serveurs situés sous un même domaine qui diffusent à la fois les faux Mac Defenders et les spam liés à la mort d’Ossama Ben Laden. Spam (via mail ou mini-url sur Facebook) conduisant l’internaute sur un site de phishing.

L’équipe Hassan Khan, Mobin Javed, Syed Ali Khayam et Fauzan Mirza (CSDU de Los Angeles et School of Electrical Engineering and Computer Sciences d’Islamabad) ont mis au point une technique de camouflage. La technique consiste à noyer les données à cacher dans le capharnaüm des données fractionnées lors de l’écriture de fichiers sur un disque dur. On se rapproche donc d’astuces relevant de la stéganographie ou plus exactement du palimpseste. Nouvelle approche d’une veille idée, mais nouvelle approche qui, expliquent les auteurs, permet de nier sans risque la présence de données « secrètes ». Ce principe de « plausible deniability » est d’autant plus important que certains pays entretenant un climat de suspicion permanente imposent aux frontières un filtrage pouvant aller jusqu’aux perquisitions du contenu d’un disque dur. Dans de telles situations, le recours à un outil de chiffrement ne suffit pas… et les astuces permettant de ranger lesdits fichiers chiffrés dans des espaces non-alloués d’un disque sont connues de ces mêmes services de police.

Le mémoire publié par les quatre universitaires est long, technique, et ne débouche pas encore sur une application utilisable par le grand public. Les chercheurs affirment qu’un analyste forensique examinant le disque dur cluster par cluster ne peut de prime abord soupçonner la présence des données ainsi camouflées, et leur extraction sans la clef permettant leur ré-ordonnancement relève de la plus haute improbabilité. Il doit être cependant possible de remettre en cause le principe « d’ignorance plausible » en extrayant toutes les données « officiellement visibles » et en calculant le delta des données « connues » et des « données restantes ». Pour peu que l’on soit à même de pouvoir distinguer dans chaque bout de cluster les informations appartenant au message secret des résidus de données appartenant à d’anciens enregistrements… ce qui n’est absolument pas certain.

Ndlc Note de la correctrice : dans un accès d’égotisme sournois, l’auteur a oublié de citer sa source d’information. Je cafte : François Lambel, un confrère de surcroît, spécialisé dans le domaine des infrastructures virtuelles.

Kevin Finisterre r00te le réseau vidéo des voitures de police de l’Etat de Géorgie. Lorsque les outils de flicage fliquent les flics eux-mêmes