Dès sa naissance (voir probablement avant), le cloud computing a fait la joie des Cagliostro de la Catastrophe Annoncée et le bonheur intellectuel de véritables chercheurs en sécurité. C’est plus ou moins avec le cloud computing que sont apparues les premières communications sur les attaques transversales inter-machines virtuelles, c’est avec lui également qu’ont été modélisées des attaques sur des clefs de chiffrement en « brute force massivement parallèle », et c’est toujours avec le cloud computing que l’on a échafaudé les scénarii les plus hollywoodiens sur des attaques man in the middle situées entre l’usager et le centre de calcul « super-protégé ».
Avec Bohu, on quitte les sphères de la recherche pure et du roman noir pour plonger directement dans le véritable cybercrime. Car ce « dropper » s’attaque… aux antivirus en ligne, aux outils de sécurité « dans le cloud » commercialisés notamment par certains prestataires Chinois. L’analyse qu’en fait le MSRC de Microsoft est édifiante.
Sans entrer dans les détails, Bohu modifie les échanges entre le poste client et le serveur de sécurité cloudifié. Ou plus exactement, « brouille » la remontée d’informations dudit client, qui sert généralement à enrichir automatiquement la base documentaire d’attaque tenue par ces serveurs et qui sert à enrichir la panoplie des parades antivirales. Sans ces données, le cloud ne peut échafauder de contre-attaque, et le vecteur d’attaque protégé par Bohu continue son bonhomme de chemin sans être inquiété. C’est donc, par définition, le premier « virus cloud dans la nature » de l’histoire, et ce n’est très probablement pas le dernier. Sans grande imagination, la diffusion initiale de Bohu et son installation sur le poste client prend la forme d’un faux codec, on en pleurerait presque de dépit.
La technique de Bohu n’est pas sans rappeler un autre type de menace agissant dans « l’autre sens », celle visant à corrompre ou à imiter le dialogue entre un poste client et un serveur de mise à jour. Mise à jour de l’antivirus lui-même, du système d’exploitation ou d’un programme (par attaque MIM ou corruption de la base de l’éditeur), ou plus simplement d’autres programmes passant bien en-deçà de la « ligne de détection du radar ». Parmi eux, les nombreux logiciels tiers insignifiants, tels les BHO ( Browser Helper Objects) et autres gadgets aussi inutiles qu’indispensables.
1 commentaire