août 4th, 2014

Est-ce dû à une relative période de calme liée aux trêves estivales ? Ou bien encore une volonté de redorer le blason du monde de la sécurité « commerciale », sérieusement terni en raison de ses longues années de myopie durant la période ante-Snowden ? Ou plus probablement une forme de prélude à l’avalanche d’annonces prévues durant les futures BlackHat, defcon, CCCcamp à venir ?

Toujours est-il que les analyses de code vont bon train. Chez McAfee, François Paget se penche sur KPP-Destroyer, un utilitaire conçu pour modifier le démarrage de Windows 7 et 8.x et désactiver son système de protection Patchguard. Les contrôles d’intégrité disparaissent, et l’appel direct de ntoskrnl est remplacé vers un aiguillage conduisant vers un autre exécutable moins innocent. Patchguard n’est pas à proprement parler un vecteur d’attaque (il fut a priori développé à des fins de hack purement technique et donner accès au mode kernel). Mais, explique le chercheur Français, il y a là matière à inspirer bien des auteurs de malwares.

Encore une drôlerie chez F-Secure, qui se penche sur Backdoor.Gates, un virus multiplateforme, initialement prévu pour attaquer des plateformes Linux, mais ayant également donné naissance à une version Windows baptisée Gates.exe (associé à un vecteur d’attaque Bill.exe bien entendu). Les virus multiplateformes sont des développements quasi mythiques, des codes tenant à la fois de la carpe et du lapin qui ont toujours su faire fantasmer les spécialistes de l’analyse de malwares.

Au Cert Lexsi, c’est un malware bancaire (visant notamment des établissements Français) qui a retenu l’attention. Techniquement parlant, il s’agit là d’un bootkit installé en VBR (enregistrement de boot de la première partition ntfs), la charge utile et ses paramètres de fonctionnement se cachant dans la ruche. Polymorphe, furtif, ce vecteur est installé grâce à un dropper doté d’une fonction de suicide lui permettant d’échapper aux examens poussés. L’équipe du Lexsi a, en outre, découvert deux signatures, l’une peu flatteuse, destinée à Brian Krebs, l’autre tirée d’un épisode de la série des Simpson, ainsi qu’une liste des serveurs C&C à bloquer pour éviter les mises à jour et activations.

Une attaque en élévation de privilège via le logiciel Symantec Endpoint Security serait possible affirment les chercheurs de la société Offensive Security. C’est au cours d’un audit que la faille aurait été découverte. La proximité de la prochaine BlackHat Conference semble avoir fait ressortir cette faille. Offensive Security ne donne, pour l’instant aucun détail technique, mais dévoile la démarche dans une séquence vidéo consultable sur le site de l’entreprise.

C’est la question que se pose Business Insider, un journal que l’on peut difficilement taxer de gauchisme béat ou de positions libertariennes décérébrées (si l’on peut pardonner cette tautologie). A l’origine de cette interrogation, une dénonciation, de la part de Google, d’une personne déjà fichée pour agression sexuelle envers des mineurs. Dénonciation rendue possible grâce à un examen détaillé du contenu des messages transitant sur les serveurs de l’opérateur de services Cloud.

Il n’est pas question de disculper de quelques manières que ce soit les agissements de tels adultes, mais de s’interroger sur la légitimité de cette systématique « fouille au corps » des contenus des correspondances acheminées par Google. Julie Bort, de Business Insider explique : « Le débat fait rage à propos de la préservation de la vie privée que l’on est en droit d’attendre lorsque l’on utilise un service Google tel que sa messagerie. En un mot : strictement aucune ».

Certes, la loi US oblige les sociétés de ce type à dénoncer les agissements des personnes soupçonnées de tels trafics si d’aventure elles étaient témoins de ces échanges. Mais il y a une marge entre signaler une activité répréhensible et mettre en place des outils de datamining perfectionnés pour partir à la chasse aux cyberpédophiles. Car derrière ce prétexte difficilement condamnable, on ne peut perdre de vue que d’autres informations sont ainsi extraites, classées, analysées, et exploitées par d’autres services, voir communiquées à des tiers n’ayant aucun rapport avec l’entreprise.

Tous les brevets des gadgets NSA à la « Mister Q » réunis dans une base de données diffusée via GoogleDoc. Cette compilation est l’œuvre du site Web The Complex.

Emet, l’Enhanced Mitigation Experience Toolkit de Microsoft, est disponible (téléchargement gratuit) en version 5.0. Parmi les nouveautés, un nouveau filtre à plugin Java et EAF, nouveau système de protection contre les attaques en mémoire et fuites d’information

Cnil  : dans un communiqué en date du 1er août, la Commission informe qu’elle a infligé une sanction de 5000 euros à une entreprise de la région Rhône-Alpes pour ne pas avoir respecté les règles d’usage en matière de vidéosurveillance. De telles sanctions sont rarissimes.

Le GCHQ Britannique annonce qu’il « certifiera » désormais certains Masters en sécurité des S.I. délivrés par les Universités du pays.. En France, Passi certain que l’Anssi s’engage un jour dans une telle initiative

Matthieu Suiche sur son Blog : 27 milliards de dollars d’un côté, 1 milliard d’Euros de l’autre, ce sont les budgets prévisionnels à 5 ans que consacreront respectivement les USA et la France en matière de cybersécurité.