Tremblez, Cyber Citoyens ! Le monde Internet pourrait bien disparaître dans un trou noir (de sécurité) Java. Couleur logique pour un tel breuvage. Un trou ? Non, plusieurs, exploités par les hordes barbares des armées zombifiantes des auteurs d’Exploit kits. En d’autres termes, les messages des vendeurs de défense périmétrique sont d’un alarmisme proportionnel à leurs espérances de ventes.
Et en tête des cris désespérés, l’article de Kurt Baumgartner, du Kaspersky Lab, qui nous dresse une carte rouge sang de l’étendue des dégâts. Et tout en expliquant que les auteurs des kits d’exploits Blackhole, Nuclear et Red Kit ont bel et bien ajouté un « zero day » java dévastateur (CVE-2013-0422), l’auteur s’insurge sur le fait « qu’en plus » l’équipe de Metasploit avait ajouté cet attaque dans la panoplie de son outil de pentest. « Maintenant, tout le monde est armé avec la version Metasploit ». Vrai, quoi… la sécurité, la vraie, c’est celle qui n’est partagée que par des gens biens, qui conservent précieusement l’information pour que jamais elle ne tombe entre les mains du vulgare pecus. Vrai, il pourrait s’avérer aussi dangereux qu’un client Blackhole.
Information plus sérieuse, plus technique sur le blog du chercheur Français Kafeine et sa revue de détail des différents kits d’exploits capables d’intégrer cette « charge utile ». Le titre ne laisse planer aucun doute : « désactivez vos plugin Java maintenant ! ». On notera au passage que l’article de Kafeine a été publié après l’alerte de Brian Krebs. Citons Krebs une fois de plus en conseillant aux non-initiés la lecture de l’article « Comment débrancher Java de votre navigateur ».
Un troisième article de Brian Krebs, qui d’ailleurs repose en partie sur les analyses de Kafeine, rappelle cet intérêt puissant que les auteurs de kits d’exploit témoignent à Java (souvenons-nous de CVE-2012-5076) et des efforts financiers certains qu’ils prodiguent pour que les chasseurs de failles leur réserve l’exclusivité. Un des membres de l’équipe Blackhole, rappelle Krebs, lançait une offre de 10 000 $ pour tout exploit «prêt à utiliser ». C’est mieux payé que le ZDI mais probablement un peu plus risqué. Tout est histoire de chiffre d’affaire, rappelle l’ex-journaliste du Washington Post. Trois mois de location de Blackhole est facturé 700 dollars, offre qui peut être complétée par un service d’hébergement (bulletproof cela va sans dire) d’une valeur de 500 $ par mois. Soit un budget de fonctionnement minimum de 2200 $ par trimestre. Au vu du volume des vagues d’attaques, il faut croire que le client s’y retrouve largement. Symantec estimait d’ailleurs qu’un ransomware (logiciel de chiffrement prenant les données des internautes en otage contre payement d’une rançon) pouvait, en 2012, rapporter un peu moins de 400 000 dollars par mois à son « bot herder » en prenant comme base un parc de 68 000 machines compromises.
La fin du monde ? Certes non… mais l’alerte est chaude, et le risque pourrait perdurer encore un moment, estime le Sans. Achevons ce rapide tour des eschatologies binaires avec un article très clair et très vulgarisé signé Varadharajan Krishnasamy du lab McAfee, qui explique comment RedKit utilise ces charges utiles et parvient à infecter les machines mal protégées via Internet. L’exemple donné repose sur les méthodes d’attaque utilisant les CVE 2012-1723 et CVE 2010-0188, mais qu’importe l’ingrédient, les recettes sont généralement très semblables.