juillet 25th, 2011

Mikko Hyppönen s’est lancé dans un intéressant travail de compilation d’articles de presse relatant les récentes attaques « APT » visant les grands sous-traitants Américains travaillant dans le domaine de la défense. Le « coup de Bercy » (le pdf empoisonné utilisé comme vecteur d’intrusion) semble très apprécié des amateurs de fric-frac documentaire, ce qui laisserait penser à une sorte de « signature ». Hypothèse à prendre avec des pincettes, car les failles pdf anciennes et modernes sont si nombreuses qu’y voir un « style » d’attaque serait comme assimiler à une personne précise l’usage de l’arbalète, du canon, de la pertuisane et autres miséricordes.

C’est un petit pas, mais un pas quand même. Google affiche, en cas d’infection du poste de l’internaute, une bannière d’un genre nouveau recommandant au passant d’aller se faire désinfecter. Qu’est-ce qui déclenche l’affichage de cet écran particulier ? Une signature. Celle d’un scareware en particulier, à qui l’on ne connaît pas de nom générique.

L’initiative est saluée par nos confrères du Reg ainsi que par Brian Krebs. Reste que jouer aux chasseurs d’infection de manière ostentatoire avec une seule signature, cela s’apparente plus à une campagne marketing qu’à une véritable opération d’assainissement numérique. Le modèle d’ailleurs est techniquement peu viable. Si Google envisageait sérieusement de se lancer dans l’analyse de signature chaque fois qu’un usager pointerait le bout de son navigateur sur le moteur de recherche, on pourrait craindre un certain accroissement des temps de latence lors de chaque requête. Sans parler du fait que le procédé doit certainement déjà inspirer quelques auteurs de malwares. Une redirection ayant le goût, l’aspect, la couleur de Google et expédiant l’internaute précisément vers un site de diffusion de scareware, voilà qui ne devrait pas poser de gros problème à un spécialiste du drive by download et de l’ingénierie sociale. Ceci sans évoquer les risques accessoires que pourrait représenter l’appliquette de détection elle-même. On a vu par le passé des prétendus codes inviolables qui auraient pu se transformer en redoutables usines à botnet. Dur métier que celui de Google.