mai 7th, 2013

L’annonce de McAfee est officiellement confirmée par l’édition d’un communiqué commun émis le 6 de ce mois. McAfee rachètera le Finlandais Stonesoft pour une somme estimée à un peu moins de 400 millions de dollars. Stonesoft, spécialisé dans le domaine des firewall, des vpn et des IPS, s’était fait connaître ces dernières années pour avoir inventé la notion d’AET, Advanced Evasion Technique, un procédé de camouflage d’attaque consistant à cumuler plusieurs types d’intrusion afin d’en masquer une éventuelle signature unique… et donc reconnaissable par un équipement de filtrage

Avec cette acquisition, Intel/McAfee montre son intérêt toujours croissant pour le secteur professionnel et, peut-être, son désengagement progressif du monde de l’antivirus grand-public, battu en brèche par les gratuits en général et celui de Microsoft en particulier.

Reste à savoir si tous les clients professionnels qui avaient délibérément choisi un équipementier sécurité Européen accepteront aussi facilement de passer sous le giron d’une entreprise des USA.

Sur le Blog d’Eset, un autre billet de blog, à prendre au sérieux semble-t-il, car exploité dans la nature par quelques outils de hack. Cette alerte concerne les serveurs Web Apache, ou plus exactement le remplacement du binaire d’Apache par un autre contenant une porte dérobée. La vérification du binaire par les moyens classiques ne peut s’appliquer, seule la présence d’un « open_tty » dans /usr/local/apache laisse deviner qu’il y a eu compromission. Outre l’infection locale, ce malware baptisé Linux/Cdorked.A utilise d’autres techniques de camouflage, et ne laisse pas de trace disque en rapport avec son C&C. Une fois le serveur compromis, tout visiteur peut être aiguillé vers un autre site à son insu, sur simple et unique envoi d’un cookie, et le serveur est placé sous le contrôle d’un serveur d’exploits BlackHole. Un autre article sur le sujet a été rédigé, par l’équipe de Sucuri qui est à l’origine de la découverte et qui a contribué à l’analyse d’Eset.

Hafei Li, de l’Avert McAfee, vient d’écrire un billet de blog signalant une possible fuite d’information lors de l’appel d’un lien externe depuis un document pdf. En temps normal, un tel appel d’UNC déclenche l’affichage d’une fenêtre d’alerte sur l’écran de l’usager. Mais si l’UNC ne débouche sur rien, aucun dialogue ne vient avertir l’utilisateur, alors que l’API est belle et bien active. Et l’API peut notamment délivrer quelques informations sur la présence et la localisation d’un fichier sur la machine cible. L’exploit aurait déjà été rencontré dans la nature, explique le chercheur, utilisé principalement par des services d’analyse et de suivi de courriel promotionnel (du spam tracking en quelque sorte), mais jamais encore dans le cadre d’attaques mafieuses. Les plus suspicieux peuvent, conseille McAfee, désactiver Javascript dans Acrobat Reader.

L’attaque ne fut ni discrète ni opérée en douceur : LivingSocial, le site mondial d’offfes de biens et services de proximité s’est fait pirater au cours de ce qui semblerait un raid organisé. Cette sorte de Craigslist du petit commerce avec des images compterait près de 70 millions d’inscrits, et plus de 50 millions d’entre eux seraient potentiellement victimes de ce vol d’identité. Les porte-paroles de l’entreprise déclarent, rapportent nos confrères d’IDG-NS, qu’ont été ainsi dérobés les noms, prénoms, adresse de messagerie, date de naissance et mot de passe chiffré. Le déchiffrement du mot de passe serait « compliqué », mais aucun propos n’explique pourquoi ce serait effectivement compliqué. Un salage aurait-il été appliqué ? Dans l’affirmative, on ne comprend pas pourquoi ce genre ce détail technique n’a pas été révélé.