Il est de tradition, dans le monde de la sécurité, de mésestimer certaines méthodes d’attaques jugées trop faciles. Le déni de service, par exemple. Ou pis encore, le « user interaction », autrement dit la nécessité d’obtenir un « accès à la console » pour que le vecteur d’attaque puisse remplir ses fonctions. Le beau et le subtil ne s’entendent que via un accès distant.
Billevesées que tout ça, nous apprend le blog de l’éditeur d’A.V. Avira. Et de citer l’exemple de cet exécutable Germanophone se faisant passer pour une feuille Excel (malgré une extension Exe). Laquelle feuille porte le nom de « quittance de ticket gagnant » et s’accompagne d’un document au format TXT. « Cliquez sur l’icône du fichier, puis sur « Accepter » et « Exécuter ». Sous Windows 8 et 10, (ndlr : autrement dit lorsque l’antivirus intégré bloque le téléchargement du fichier) il est nécessaire d’activer le bouton « Plus d’information » puis « Téléchargez quand même » ». La procédure d’installation s’achève avec l’installation d’un somptueux certificat offrant des droits d’accès extraordinaires à son émetteur.
L’exploit (car il s’agit bel et bien d’un exploit au sens épique du terme) est de parvenir à convaincre la victime qu’il est de son devoir d’accepter absolument n’importe quoi. Cette attaque prouve au moins une chose, c’est que les « mitigation factor » invoqués par les éditeurs lors de leurs traditionnels mardi des rustines ne sont que sophismes. Un usager « non technique » peut très bien poser lui-même la tête sur le billot et attendre patiemment le tranchant de la hache, car il n’a en général aucune idée de ce qui constitue sa « tête » informatique, à quoi peut bien ressembler un « billot » numérique et de quelle manière la « hache » du malware pourrait bien le frapper.