Technique d’évasion des bacs à sable, un rappel très bien vulgarisé signé Thomas Roccia, Marc Rivero Lopez et Chintan Shah sur le blog McAfee. Détection de signatures Matériel ou environnementales, temps de latence avant déclenchement des charges utiles, tests d’activités « humaines », un vade-mecum de la furtivité.
McAfee publie son traditionnel « rapport des menaces annuelles » de fin de semestre, et sans surprise, les attaques les plus médiatisées et les nouvelles technologies sont toutes présentes dans ce petit musée des horreurs numériques.
Il faudra donc nous méfier :
– Des ransomwares, qui ont déferlé sur nos systèmes durant ces deux dernières années comme autant d’Attila. Si les serveurs locaux sont déjà protégés, craignons les Huns sur les autres.
– Du machine learning. L’on voit apparaître de plus en plus d’outils de protection et de détection auxquels les éditeurs ont ajouté une pointe d’I.A. afin d’améliorer leur vigilance et leur à-propos. Mais l’I.A. pourrait également servir les intérêts des adversaires, en affûtant leurs bases de connaissance en matière de vulnérabilités exploitables ?
– De l’IoT domotique … celle qui prévient les voleurs de nos absences, celle qui déclenche la chaudière en plein mois d’août, celle qui écoute nos échanges wifi en p0wnant la cafetière et qui sabordent nos transports amoureux en fliquant les données Fitbit. Le risque n’est pas nul, mais les probabilités d’exploitation devraient se limiter aux villas de 25 pièces avec vue sur la mer … Simple question de retour sur investissement.
– Les équipements électroniques connectés qui côtoient nos héritiers et mettent leurs identités et leur intimité en danger … Les cyber-barbies sont-elles vulnérables aux My Little Pony de Troie ?
– Des applications « serverless », dont la diffusion et l’absence de centralisation des moyens de sécurité rendent l’élaboration complexe. Pour s’en rendre compte, il suffit de récupérer un vieil article sur les « agents intelligents » des années 90 et de le remettre au goût du jour par un simple « recherche-remplace ». Techniquement, très peu de choses ont changé en termes de sécurité, de risques et de menaces.
C’est en chantonnant l’air d’Offenbach « J’entends le bruit des boot des boot des boot… » que le FBI conseille au monde entier au pire, de redémarrer certains modèles de routeurs et NAS, au mieux, de les initialiser en « configuration usine » en prenant soin de ne pas conserver le mot de passe par défaut.
Car, explique le DoJ, 3 modèles de routeurs Linksys, 3 Mikrotik, 6 Netgear, un TP-Link et au moins deux NAS de fabrication Qnap seraient vulnérables au malware VPNFilter. Lequel est décortiqué par l’équipe de Thalos. Selon les chercheurs, la paternité de cette attaque est probablement signée par le groupe de blackhat Russes FancyBear/APT28, déjà accusés d’avoir trempé dans les attaques durant les dernières élections présidentielles US.
Toujours selon le DoJ, près d’un demi-million d’équipements seraient actuellement infectés (c’est donc encore une « petite » attaque). Ces appareils appartenant en majorité à la catégorie des périphériques grand public, il y a peu de chances que les avertissements et alarmes lancés par la presse spécialisée soient entendus. Les meilleures attaques persistantes ne dépendent pas de la subtilité de leur code, mais du choix de leurs cibles.
Mais tout « grand public » que soient ces boîtiers, VPNFilter les utilise comme plateforme d’analyse du réseau local qui y est attaché, et tente de détecter notamment toute activité Modbus, précise l’Avert Lab de McAfee. Modbus est un bus de commande essentiellement utilisé dans les infrastructures de contrôle de processus, donc des installations industrielles et OIV.
Pour l’heure, les différents OEM cités n’ont pas encore fourni de firmware de remplacement. Le « reboot » des systèmes vulnérables ne fait qu’éliminer la partie résident en mémoire du vecteur de compromission, mais ne garantit pas une éradication totale de l’infection.
« Le phénomène est encore loin d’être répandu, mais il risque de faire école » craignent les chercheurs de McAfee. Le phénomène en question, c’est celui du « cryptovirus as a service », une forme évoluée, en ligne et toutes options comprises des kits de malwares.
Plus d’enregistrement, mais un abonnement. Plus de programmation de haut niveau, mais une interface à choix multiples. « Entrez le montant de votre rançon (de 0,01 à 1 btc) et rédigez votre message de racket » clame la première page du site de Ransomware As a Service (RaaS). Moyennant un léger supplément, les options « évasion/camouflage » vous seront fournies par la maison expliquent en substance les administrateurs de RaaSberry. Il n’en coûtera qu’une portion des rançons récoltées, à peine 10% des gains.
Le site, encore actif en ce début de semaine, ressemble plus à un PoC commercial qu’à un véritable service opérationnel.
Ordinateurs, tablettes, smartphones, lecteurs multimédias connectés, périphériques domotiques sans-fil ou « cloudifiés », drones… Gary Davis de McAfee dresse la liste des présents cyber-vulnérables. Plutôt que de voir, sous le sapin, une caméra, un téléphone, un ordinateur, il imagine un Mirai empaqueté dans du papier doré, un trou ASLR CVE-2016-6689 mélangé avec des truffes au chocolat, un héritier de JerusalemB éclairé aux bougies, une dinde truffée au Ransomware. Et de recommander illico les bonnes pratiques habituelles telles que le changement de mot de passe par défaut, le renforcement du réseau Wifi, l’usage de codes PIN robustes, autant de conseils qui ne sont que très rarement écoutés.
Plutôt que de craindre la faille cachée dans le présent, tel Ulysse dans son cheval de bois, ne serait-il pas plus simple de dire les choses telles qu’elle sont. « Cette année, je t’offre un « sploit » d’enfer emballé dans un système Android » ou « je pense que ce CVE manque à ta collection, le voilà amoureusement niché au sein d’un quad-core 8 Go de RAM /256 de SSD ». Voir « Je connais ta passion pour les backdoor, en voilà une collection cachée dans ce bouquet de caméras ». En accompagnant le tout avec la dernière édition d’un Kali câlin par exemple. L’on y gagnerait en sensibilisation à la sécurité informatique ce qu’y perdrait le sensationnalisme anxiogène des vendeurs de sécurité. Car Noël, c’est aussi la fête des bugs.
« Le dernier périphérique IoT que j’aimerais voir piraté » écrit Matthew Rosenquist, du laboratoire McAfee, en admirant les caractéristiques techniques d’un tracteur agricole monstrueusement grand, abominablement lourd, terriblement autonome… mais pas encore commercialisé puisqu’il s’agit d’un « concept car » pour cultivateurs fortunés. Un tracteur que les plots bétons d’un barrage de police n’effraye pas franchement, et qui, sous-entend notre gourou sécurité, pourrait bien transporter un chargement d’explosif à côté duquel celui de Timothy McVeigh à Oklahoma City ferait figure de pétard de 14 juillet.
Une histoire de cybermenace à ranger dans la catégorie des « scénarii de cinéma totalement irréalistes » qu’affectionne Bruce Schneier. Au prix du tracteur, le budget de l’arsenal des apprentis terroriste friserait le PIB de l’Argentine et surtout remettrait en question le principe même des conflits asymétriques. Espérons qu’aucun Ministre de l’Intérieur ne parcourra ce genre d’article. Il serait capable de filtrer l’accès du Salon de l’Agriculture, classer les production Mc Cormick au rang d’armes de première catégorie, exiger des barrages de police-gendarmerie la fouille systématique des tonnes à purin et, à l’instar des règlementations imposées aux drones, interdire l’approche des villes dans un périmètre équivalent à 5 champs de betteraves (sucrières).
Google entame le long chemin qui conduira au colmatage (partiel) de la faille Stagefright . Dans un premier temps, la famille Nexus sera corrigée , et l’éditeur encouragera les OEM à déployer ce correctif. Samsung annonce, de son côté, une mise à jour pour ses appareils récents
La quatrième minute de paranoïa ordinaire nous est offerte par nos confrères de Tom’s Guide, qui sont parmi les premiers à annoncer les récentes décisions techniques de la Commission Hadopi : Les « chasseurs de pirates » viennent de faire passer légalement la possibilité d’intégrer dans chaque « box » d’opérateur un logiciel de tenue de log enregistrant les moindres faits et gestes des internautes, fichier pouvant être, sur simple suspicion, consultable à distance par n’importe quelle organisation privée à but lucratif (alias un « ayant droit »). Avec cette nouvelle feuille de route, la Commission Hadopi est parvenu à rendre caduque une vieille idée démocratique qui remonte à 1789, celle de la confidentialité des correspondances privées. Bien sûr, cette mesure n’affectera en aucune manière les pirates « industriels » qui, depuis belle lurette, utilisent des clients P2P externalisés à l’étranger et s’y connectent par le biais de VPN solidement chiffrés. Un détail technique qu’aucun membre de la commission ne peut ignorer, ce qui laisse clairement entendre que ces histoires de piratage ne sont qu’un prétexte futile.
Par le plus grand des hasards, la Haute Court de Justice de Sa Gracieuse Majesté (celle qui marie son petit-fils) vient au même moment de rendre son oukaze obligeant British Telecom et un autre fournisseur d’accès à Internet, TalkTalk, à bloquer eux-mêmes les contenus jugés illégaux. Et ce malgré les nombreux appels et recours effectués par les deux FAI. En Bretagne Grande, le Digital Economy Act soutenu par quelques éditeurs de musique a permis au Ministère de l’Intérieur d’établir un filtrage efficace sans pour autant avoir eu à invoquer des prétextes tels que la lutte anti-terroriste, un peu trop éculé et surexploité de l’autre côté du Channel.
Le 30 mars, Robert McMillan, de Network World, signait un scoop assez dévastateur, accusant Samsung d’installer des keyloggers sur ses ordinateurs portable « série R ». La découverte avait été faite par Mohamed Hassan, un spécialiste sécurité bardé de diplômes : MSIA, CISSP, CISA, diplômé de la faculté de Norwich (sciences forensiques informatiques). Généralement, le genre de personnage dont les paroles font autorité.
Dans un premier temps, le représentant local du constructeur élève de véhémentes dénégations allant même jusqu’à accuser Microsoft de cet impair
puis admet la responsabilité de l’entreprise et la présence du logiciel d’espionnage commercial connu sous le nom de StarLogger pour améliorer les performances des machines». Réponse plus ou moins rejetée par un porte-parole officiel de Samsung qui, quelques temps plus tard, assure que l’entreprise « prend très au sérieux les allégations de Mr Hassan » mais que « nous n’avons aucune connaissance préalable d’une utilisation de ce logiciel (le keylogger) sur nos portables »… affirmation allant même jusqu’à certifier ne pas connaître l’éditeur du logiciel d’espionnage en question.
Notre confrère tout comme Mohamed Hassan évoquent le précédent du rootkit Sony-BMG installé sur certains CD audio diffusés par la marque. Sans pour autant rappeler qu’il aura fallu très peu de temps à quelques reversers pour que ledit rootkit soit transformé en un vecteur d’intrusion pour n’importe quel usager autre que Sony. Car bien entendu, ce qui intéresse un spécialiste sécurité, ce n’est pas la présence d’un espionniciel commercial, c’est la façon dont ledit espionniciel pourrait être détourné. Ce qui implique au moins une rapide analyse du comportement « in vivo » du programme en question, à commencer par l’étude de son mécanisme d’installation, de fonctionnement, de communication des informations à destination de son centre de commande, sans oublier ses méthodes de stockage local des informations collectées. Car un keylogger, ça récupère généralement un sacré paquet d’informations.
A première vue, la morale de cette histoire, c’est que lorsque l’on est client Canadien de Samsung, l’on peut acquérir une licence gratuite d’un logiciel de keylogging pour tout achat d’un ordinateur portable.
Mais dans la nuit du 31 mars au premier avril, le soufflé retombe. Samsung dément formellement l’existence de tout spyware, et fait remarquer que le seul indice ayant pu faire penser à la présence de ce keylogger était un répertoire baptisé SL. Mais le support multilingue des applications Microsoft Live crée également un répertoire homonyme, lequel a immédiatement fait hurler les sirènes de l’antivirus de Mohamed Hassan. Le coupable ? L’antivirus Vipre de GFI. Lequel GFI s’excuse platement pour ce faux-positif.
Ce qui est anormal, dans cette épopée fleurant l’espionnite aigüe, ce n’est pas le papier de notre confrère, lequel disposait d’une source réputée fiable, elle-même certifiée par des organismes ayant pignon sur rue, tel l’ISC² ou l’Université de Norwich. Ce n’est pas non plus franchement de la « faute » de GFI. Le faux positif, pour agaçant qu’il soit, fait partie des désagréments de notre vie. Après tout, un antivirus qui réagit, c’est toujours plus rassurant qu’un antivirus qui se tait et laisse passer les attaques importantes (à tout hasard, Lizamoon). Est-ce de la faute de Samsung ? Encore moins… mais le précédent « Sony BMG » pèse encore lourd dans la destruction du capital-confiance que les grands industriels inspirent au public. Sony s’est rendue coupable d’un acte de piraterie, et ce pas de clerc a rejailli sur toute l’industrie informatique de grande consommation. La responsabilité de Monsieur Mohamed Hassan, en revanche, est légèrement plus certaine. Un spécialiste patenté qui crie au loup sur la seule preuve apportée par un antivirus, sans « log » de keylogger à se mettre sous la dent, sans preuve Wireshark d’une tentative de « E.T. téléphone maison » émis par le keylogger, sans même la plus petite capture d’écran d’un System Monitor (de Mark Russinovich, inventeur du spyware Sony-BMG), tout çà est un peu « limite ». Deux jours plus tard, l’affaire aurait fait sourire.
Cela n’aura échappé à personne, Microsoft vient officiellement de lancer son Windows Security Essential, ex Morro, l’antivirus maison. Le HNS, Network World, Slashdot et quelques milliers d’autres se font l’écho de cette nouvelle, soulignant généralement que ce n’est là qu’un “faux lancement” puisque cela fait déjà plus de 3 mois que la bêta marketing du produit pouvait être téléchargée sur bon nombre de serveurs autres que le MS Download Center.
Comme il fallait s’y attendre, les réactions des vendeurs d’antivirus concurrents sont d’une amabilité toute relative. Tant que les « gratuits » se limitaient à un petit clan d’outsiders inoffensifs (AVG, ClamAV, quelques « en ligne » genre Trend Micro…), cela était supportable. Mais avec un « grand nom » dans l’arène qui vient brader la marchandise, les choses prennent un autre tour. Surtout lorsque ce grand nom, après avoir essuyé un échec cuisant en tentant de sortir un OneCare trop lourd, trop gourmand, trop cher, trop voyant et trop mal écrit, revient avec une solution « décapée », guère plus mauvaise qu’une autre, et pouvant satisfaire l’immense majorité des informatisés qui ne renouvellent jamais leur « gabelle antivirus », autrement dit leur licence.
Security Essential est le dernier d’une longue série d’antivirus Microsoft à destination grand public, série qui débuta avec une édition sous DOS initialement conçue par l’éditeur McAfee. Officiellement, ce désintérêt pour les logiciels de défense périmétrique grand public était dû tantôt à la crainte d’attirer les foudres du DoJ et le coût d’un nouveau procès antitrust, tantôt au fait que le marché était « déjà occupé par des tierces parties donc la compétence ne faisait aucun doute ». Peu à peu et dans la plus grande discrétion, Microsoft a intégré à son noyau toute une panoplie de systèmes de protection gratuits : un firewall (dont la version Windows 7 aurait fait pâlir de jalousie les auteurs des premier BlackIce), un antispyware (Windows Defender), un utilitaire de détection de failles (MBSA), des accessoires antispam dans les outils de messagerie, des filtres antiphishing sous Internet Explorer et, depuis cette semaine, un antivirus-antispyware. Ecrire, comme le Sans, qu’Essential est un outil minimaliste car restreint à la seule détection et élimination des virus, c’est oublier tous les satellites de la panoplie déjà intégrés dans Windows, et tous aussi gratuits.
C’est donc à la fois une bonne et une mauvaise nouvelle. Une bonne nouvelle car en proposant un outil gratuit, la Windows Company contribue à améliorer la propreté générale d’Internet et participe à la diminution du nombre de postes zombies susceptibles de menacer les entreprises commerciales « en ligne » ou à inonder les serveurs de messagerie de courriers non sollicités. Car ces zombies, infectent principalement les stations de travail des particuliers pas ou mal protégés. Stations qui serviront ensuite à attaquer, d’une manière ou d’une autre, les stations de travail et les réseaux des entreprises, même si celles-ci sont puissamment sécurisées.
C’est une très mauvaise nouvelle à moyen terme pour le principal vecteur financier des organisations cybermafieuses, à savoir le commerce de « scarewares », ces faux antivirus prenant les couleurs d’un produit Microsoft, Symantec, Kaspersky ou McAfee… surtout si le lancement de cette série « essential » est accompagné d’une installation systématique sur tous les noyaux nouvellement commercialisés. C’est une moins bonne nouvelle pour les principaux concurrents commerciaux du « endpoint security », qui devront trouver un terrain d’accord et de nouveaux arguments marketing pour convaincre les usagers de désinstaller le « petit A.V. Microsoft » et le remplacer par un « super A.V. de marque X ou Y ». Si, dans le monde professionnel, les impératifs techniques (administration centralisée notamment, intégration aux « politiques » NAC) peuvent justifier ce choix, cela risque de ne pas être le cas auprès des particuliers. Pour quelle raison en effet dépenser entre 30 et 60 euros chaque année pour bénéficier d’une protection généralement très consommatrice de ressources CPU et ayant montré ces derniers temps d’inquiétantes carences face à Zeus notamment. Ce Security Essential aurait très bien pu s’appeler « celui-là ou un autre, quelle importance ? »
Il est à noter que Microsoft Security Essential est « compatible » Windows 7 édition 64 bits, ce que ne peuvent prétendre tous ses concurrents, et ce dont a été longtemps incapable son ancêtre Windows Live OneCare, incompatible Vista 64 dès son lancement commercial.
lun | mar | mer | jeu | ven | sam | dim |
---|---|---|---|---|---|---|
« Déc | ||||||
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 |