BH 2017 : L’insécurité par les antivirus

Actualités - Conférence - Posté on 25 juil 2017 at 7:32 par cnis-mag

GrumpSec twt Blackhat 2017, Las Vegas : Tout commence avec un Tweet amusant de GrumpSec sur les raisons justifiant le hachage des mots de passe dans une base de données de contrôle d’accès : l’éventualité de voir un jour l’abonné d’un forum utiliser la signature EICAR (chaîne de test destinée à vérifier le bon fonctionnement des antivirus). Que le logiciel de sécurité situé sur le serveur tombe sur la fameuse chaîne débutant par « X5O!P%@AP[4… » et le fichier des mots de passe a de fortes chances de se faire placer en quarantaine… au mieux.

Humoristique également, mais avec une perspective bien plus sombre et préoccupante, la présentation d’un vieux routier de la sécurité, Izik Kotler. Kotler est ce chercheur Israélien connu pour avoir été le premier à inventer un canal de commande inviolable entre le C&C et la charge utile d’un bot, canal reposant sur des serveurs impossibles à clore : le feed Tweeter de Britney Spears ou les petites annonces du Bon Coin. Ce qu’il avait prédit il y a plus de 14 ans fait aujourd’hui partie des caractéristiques les plus commune des botnets modernes.

Cette année, il s’en prend aux outils de sécurité situés dans le cloud. Par défaut, un antivirus est un logiciel capable d’agir à très bas niveau, doté d’un canal de communication extérieur et censé télécharger des mises à jour échappant totalement au contrôle du système d’exploitation. La définition n’est pas rassurante. Elle est bien pire lorsque la chose est cloudifiée, explique Kotler. Car sous des dehors de « super-antivirus multi-éditeurs à la pointe de la recherche », ces nouvelles solutions de protection impliquent l’installation d’un agent sur chaque poste de travail. Et quand bien même les politiques de sécurité interdiraient toute connexion non référencée dans une liste blanche que rien ne viendrait limiter l’échange permanent entre l’agent local et le bac à sable cloudifié. Car lui possède des privilèges extraordinaires.

Qu’un virus dormant ait pu être injecté avant le déploiement de l’agent, et c’est l’agent lui-même qui servira de « pompe à données » pouvant exfiltrer discrètement tous les documents internes et confidentiels d’une entreprise. Une « preuve de conception » devrait être disponible dans les jours qui suivent sur le github de l’entreprise sous le nom de code Spacebin

Laisser une réponse