L’une des plus intéressantes caractéristiques de « l’attaque .lnk », c’est la présence d’un certificat authentique, usurpé à la société Realtek. Avec un temps de réaction certain, l’Autorité de Certification a désactivé la validité dudit certificat… ce qui, par réaction, a déclenché une riposte des auteurs du rootkit, qui, immédiatement, ont récupéré un autre certificat tout aussi authentique et tout aussi dérobé, mais appartenant cette fois-ci à JMicron. Ce qui permet à F-Secure d’inventorier ainsi une nouvelle variante de l’infection (Stuxnet.D). Pierre-Marc Bureau, d’Eset, fait judicieusement remarquer que les deux entreprises dont le certificat a été dérobé ont toutes deux des bureaux dans la zone d’activité de Hsintsou à Taiwan.
Costin Raiu, du Kaspersky Lab, a lu, lui aussi, le blog d’Eset et la remarque de P.M.Bureau. Il échafaude quelques hypothèses sur l’origine de la fuite. Notamment une infection du campus par le Bot Zeus, lequel possède une « fonction » de vol de certificats. Si la raison de ce vol pouvait passer pour ténébreuse à l’époque, l’apparition de Stuxnet éclaire l’affaire d’un jour nouveau. Du Zeus, il s’en promène un peu de partout.. c’est l’un des bots les plus répandus ces mois-ci. Ce qui laisserait supposer que la cote du certificat refourgué au marché noir du malware ne doit pas être vertigineuse. Combien de temps faudra-t-il pour que le plus humble spyware commercial soit affublé d’un sceau d’honnêteté numérique garanti sur facture ?
L’on pourrait également ajouter une autre supposition rocambolesque… celle de l’exploitation d’une faille découverte fin juin par Commodo (marchand de certificats), faille qui aurait pu affecter indirectement les certificats de Verisign (https://www.cnis-mag.com/comodo-vales-not-very-good-verisign.html).
L’usage des certificats, leur complexité de lecture, l’absence réelle de contrôle du côté des usagers « postes clients », les défauts (non formellement prouvés, mais plausibles) de leur infrastructure d’exploitation, leur coût d’usage, la confusion toujours possible avec les certificats « auto-signés », le sentiment de fausse sécurité qu’ils provoquent –surtout si le client lui-même est déjà compromis- et désormais l’histoire du « rootkit .lnk » usurpant des blanc-seing numériques « officiellement » attribués par un CA ayant pignon sur rue, tout çà pourrait bien donner le coup de grâce à ce genre d’industrie. Tout compte fait, Symantec n’a peut-être pas fait une si bonne opération que çà…
3 commentaires