avril 29th, 2013

La 14ème édition du Security Intelligence Report de Microsoft vient de paraître. Ce rendez-vous régulier est une photographie du paysage des malwares actifs visant les plateformes Windows, et portant sur les statistiques anonymisées renvoyées par les outils de protection des systèmes Microsoft, soit près d’un milliard de points de mesure répartis dans le monde. Le SIR14 analyse le second semestre 2012.

Durant cette période, les « compteurs de hits malware » ont enfin mis en évidence une perte de vitesse des attaques Conficker et Autorun (-37 %). Durant cette même période, 7 attaques sur 10 visant les entreprises provenaient de sites Web compromis. Il s’agit généralement de redirections iFrame et plus particulièrement IframeRef qui détient le record d’attaques Web sur 2H12 avec 3,3 millions de « hits ». Le succès de ces attaques est en partie facilité par le fait que 2,5 machines sur 10 ne sont pas protégées par un antivirus. Les « sondes » Microsoft parviennent ainsi à découvrir qu’entre 20 et 32% des systèmes XP/Vista/W7 (32 et 64 bits) sont ainsi dépourvus de défense (moins de 7% pour les quelques Windows 8 RTM pris en compte par l’étude). Mais les attaques les plus virulentes ne visent pas directement le noyau Windows. BlackHole, avec ses charges utiles Java par exemple, fait encore beaucoup de dégâts.

Par catégorie et répartition géographique, on constate une très forte présence des « adwares » indésirables en France (41% des infections) suivis de près par l’installation automatisée de logiciels non souhaités (34 %). Les véritables virus, à commencer par les Troyens, viennent loin derrière (20%), suivis par les exploits multiples, downloaders et droppers généralement utilisés par les botnets (respectivement 11,7 et 9%). Les virus traditionnels ne passent pas la barre des 2%.

Après les récents émois soulevés par les procès des tombeurs de Sony Entertainment, voici que la police Australienne annonce avoir arrêté la tête pensante du réseau Lulzsec. Tête pensante auto-proclamée puisqu’officiellement, ces mouvements de crackers anonymes se réclament des vieux mouvements anarchistes à la sauce « ni dieu, ni maître ». Tout comme les autres présumés coupables interpelés aux USA et en Grande Bretagne, l’individu est âgé de moins de 25 ans, et occupait un poste de support technique au sein de Content Security, une entreprise de sécurité informatique. Cette entreprise, le détail est savoureux, était chargée du support local de Tenable, société connue pour être l’une des plus fortes concentrations de gourous anti-hackers : Ron Gula, Renaud Deraison, Markus Ranum…

En attendant les suites de l’enquête, l’inculpé Matthew Flannery conserve son emploi mais est dispensé de présence dans les locaux de Content Security, révèlent nos confrères d’IT News Australie.

Plus que deux jours avant l’ouverture de Hackito Ergo Sum, quatrième édition, conférence internationale consacrée à la sécurité dans le monde informatique et des communications. Une manifestation qui se déroulera du 2 au 4 avril prochain. Les retardataires peuvent encore s’inscrire. Une conférence placée cette année tout particulièrement sous le signe de l’impalpable, de l’indétectable, bref du hacking sans fil sous toutes ses formes, si l’on en juge par le calendrier très chargé des conférences (http://2013.hackitoergosum.org/schedule/). Cela débute avec le choix du premier Keynote Speaker, Adam Laurie, contributeur du projet RFCat qui vise à « recevoir, analyser et spoofer tout ce qui se transmet en dessous d’un GHz ». Bien que les orientations matérielles du groupe RFCat semblent un peu fantaisistes sur la partie spoofing (l’émission VHF est une science qui semble échapper à bien des grands hackers issus du monde de la logique), ses résultats en termes de réception et d’analyse sont fort honorables. Sans fil encore avec une présentation de Philippe Teuwen sur les RFID, ainsi qu’une présentation de la plateforme de Michael Mossmann HackRF (aka Jawbreacker) par Benjamin Vernoux.

Il y aura aussi du « hard core » au dessert : Tal zeltzer sur les zero days visant certains VPN-SSL, du camouflage de code et techniques d’évasion avec Ole André Vadla Ravnås, du suspens et de la violence Scada avec Edmond “bigezy” Rogers, du reverse matériel sur des composants (encore une intervention d’Adam Laurie accompagné de Zac Franken) , du plus-que-jailbreaking-for-fun-and-profit de périphériques IOS par Mathieu ‘GoToHack’ Renard, sans oublier quelques « piliers » de Hackito et notamment Raoul Chiesa ou Rodrigo ‘BSDaemon’ Rubira Branco. Cnis, comme chaque année, couvrira cette conférence et tentera d’en rapporter les évènements au jour le jour.