juillet 11th, 2011

Le billet de blog du MSRC signalant la prochaine livraison de rustines est également l’occasion pour l’équipe sécurité de Microsoft de pointer du doigt l’édition d’un nouveau special Security Intelligence Report consacré à l’opération B107, un raid visant à éliminer le botnet Rustock. A télécharger sur la page des SIR.

Déjà, par le passé, Microsoft s’était attaqué à un tel réseau, dans le cadre d’une contre-attaque baptisée B49, et qui visait un botnet de faible importance, Waledac.

Rustock est un plus gros morceau, avec 1,3 million d’adresses IP infectées, 30 milliards de spam émis chaque jour au plus fort de son activité, en août-septembre de l’an passé. En moins d’une demi-heure, expliquent les rédacteurs du rapport, un ordinateur Rustockisé expédie plus de 1400 requêtes DNS visant des stations de travail et plus de 2200 à la recherche d’enregistrements MX, donc de serveurs de messagerie. Durant ce même laps de temps, le virus en profite pour expédier un spam auprès de 1300 serveurs de messagerie devant servir de relais et signale sa présence à près de 22 machines d’infrastructure de bot (C&C, serveurs de stockage, de mise à jour etc.). Achevons ce rapide descriptif pour rappeler que Rustock utilise des adressages par nom de domaine et fait appel à des outils de communication par réseau P2P, contrairement à Waledac qui reposait sur un adressage IP fixe et des liaisons directes. En outre, Rustock pouvait transiter par des serveurs de messagerie tels que Hotmail : force de frappe considérable, chiffrement par SSL, impossibilité de remonter à la source émettrice…

L’aventure de l’opération B107 se lit un peu comme un roman policier. Certains détails fleurent bon la procédure américano-américaine, et donnent à l’aventure un parfum qui rappelle les exploits d’Eliott Ness. La première phase de l’opération, par exemple, a consisté à déposer plainte contre X pour usurpation des marques Microsoft et Pfizer. Plainte pouvant ensuite faciliter les saisies de matériel, et notamment les disques des serveurs et de certaines stations infectées par Rustock.

Car Rustock faisait partie des armes appartenant aux « clans mafieux des cyber-pharmaciens », ceux-là même qui ont récemment connu quelques déboires avec le FSB Russe. L’arrestation récente de Pavel Vrublevsky, cyber-banquier patron de ChronoPay, co-directeur de Rx-Promotion (un des polluposteurs sous bannière Canadian Pharmacy), et la fuite de son associé Igor Gusev, autre « pharmacien Canadien » et spammeur notoire, le tout conjugué avec l’attaque anti-Rustock de Microsoft, ont porté un coup important à l’arsenal cybermafieux. De 230 milliards de spam quotidien durant l’été 2010, l’on est passé à « seulement » 40 milliards en juin de cette année. Chiffres issus d’une récente étude publiée par Symantec. La fuite d’Igor Gusev, alias Spammit, le démantèlement de Rustock, les coups de filet du FSB se « lisent » sur la courbe saisonnière tracée par l’éditeur d’antivirus Américain.

Certes, si les chiffres et les affirmations provenaient d’organismes neutres et officiels, la chose n’en aurait que plus de valeur. Les rapports des polices tant Russes que des Etats-Unis, de France, d’Italie et autres pays d’Europe ayant participé à cette opération sont rares, voir totalement vides de données exploitables. Un détail qui dérange, qui montre les éditeurs sous les dehors flatteurs de redresseurs de torts, de justiciers irréprochables. Trop beau pour être vrai à 100% …

Statistiquement, le prochain « mardi des rustines » signé Microsoft sera l’un des moins importants de l’année : 4 bulletins seulement… une peccadille. Mais si l’on y regarde de plus près, cette fournée risque d’être la plus « massive » jamais livrée depuis la création de l’entreprise : 22 CVE corrigés, soit une moyenne de 5,2 trous par bulletin. Du cumulatif au concentré d’extrait d’essence de vulnérabilité, fait d’autant plus rare que juillet est un mois impair, généralement plus « léger » en termes de volume que les mois pairs (juin : 16 bulletins, 34 CVE). Il faut préciser, à la décharge de Microsoft, que bon nombre de ces failles ne sont que des « variations sur un thème », en l’occurrence la continuation des colmatages des risques de « DLL hijacking », ou détournement de dll selon l’emplacement de celles-ci et la priorité de lecture qu’autorise le système.

Chez Apple, les affaires ne vont pas pour le mieux côté correctifs. La politique de «fermeture du noyau pousse la communauté du hack à multiplier les efforts pour « jailbreaker » les appareils de l’éditeur-constructeur-revendeur-maître à penser, outils destinés à circonvenir l’intégrité du système à des fins honorables… mais potentiellement exploitables dans des buts nettement moins honnêtes. Ce qui, paradoxalement, fait en sorte qu’à la fois les auteurs des outils de jailbreak ainsi que les ingénieurs d’Apple cherchent à publier le plus vite possible des correctifs de sécurité. Chacun ayant quelques légères divergences d’opinion sur l’art de concevoir un bouchon : les uns dans le but de sécuriser sans porter atteinte au jailbreak, les autres dans l’espoir de sécuriser et de recapturer l’usager et son système. Devançant donc l’édition de la prochaine rustine Apple, les auteurs du dernier outil de déplombage à la mode, JailbreakeMe, conseillent à leurs usagers d’installer un correctif du lecteur de fichiers PDF… une vulnérabilité qui visait jusqu’à présent aussi bien les possesseurs de téléphones iPhones que les propriétaires d’iPad et autres appareils sous iOS 4.3.3. A noter que précisément, Jailbreakme utilise ladite faille pdf pour contourner les protections Apple. Le message peut donc être lu comme un conseil : fermez la porte que vous venez d’emprunter.

Pour les autres (ceux qui n’ont pas « libéré » leurs appareils), il ne leur reste plus qu’à espérer ne pas tomber sur un fichier pdf forgé au cours de leurs navigations. Le risque est faible mais l’ironie est forte.