février 17th, 2009

Fabien Perigaud du Cert Lexsi, nous écrit un véritable roman picaresque sur les mille et une astuces que Conficker déploie pour accroître le nombre de connexions TCP. C’est une longue théorie de boucles conditionnelles : Si NT inférieur à 4.0, alors abandonner… client déjà infecté par un concurrent plus sérieux que nous, l’absence d’argent pour renouveler ses licences. IF NT==2000&XP AND SP<<2, THEN patch HKLMSYSTEMCurrentControlSetServicesTcpipParameters. Voila pour les vieux coucous. IF NT>=5.1 OR SP>>2 AND Windows pas du tout 2003, alors trépanation de tcpip.sys, pour simple lecture des entrailles, puis modification du pilote en mémoire après un très court lancement de service « pirate ». Tout çà dénote d’une certaine complexité d’esprit de la part de l’auteur du ver… et d’une impressionnante sagacité chez les personnes capables de découvrir des mécanismes aussi tortueux. Fabien Perigaud mentionne rapidement en début d’article une autre fonction cachée décrite par les chercheurs du Sans, à savoir la capacité de Conficker de détecter la présence d’une machine virtuelle –code directement inspiré des travaux de Joanna Rutkowska- ainsi que d’une astuce protégeant une clef de registre par une modification des ACL. La détection des VM et des sandbox diverses susceptibles d’être utilisées par des honeypots ou des outils de debugging est une caractéristique commune à biens des malwares ces temps-ci. L’Avert Lab se penchait, la semaine dernière, sur une Toolbar/malware de détournement d’identité spécifique à une application de type « réseau social » Allemande. Là encore, la première réaction du programme d’attaque était de vérifier la présence d’un logiciel antivirus ou d’un sandboxing quelconque.

Remarque méchante d’un « reverse ingénieur » français entendue dans un salon parisien dans lequel se déroulait une grande conférence sur la sécurité : « Si Windows avait été conçu avec autant de minutie que ne l’a été Conficker, il n’y aurait jamais eu Conficker ». Les bug-hunters du langage, les reverse engineers de la sémiotique appellent çà une tautologie et les informaticiens un « coup bas ».

Lors d’une exposition Londonienne, un industriel aurait laissé entendre que la NSA serait prête à payer très cher une solution technique pour poser des « bretelles » d’écoute sur le réseau de téléphonie IP Skype. C’est Lewis Page, du Reg, qui l’assure. Et, sans s’en rendre compte, l’on se fait prendre au jeu du « si tu savais ce que je sais… ». Car Skype, le chiffrement, les écoutes de barbouzes, les backdoors et l’omnipotence de la NSA sont les 5 mamelles chimériques d’Internet.

Skype,tout d’abord, débuta sa carrière comme l’un des plus gros problèmes d’administration, principalement à cause de ses « supernodes » longtemps impossible à museler et de sa gourmandise en bande passante. Skype encore dont le chiffrement et le routage « Peer to peer » rendait totalement hermétique aux passerelles de sécurité le contenu transféré. Car, outre la voix, Skype est un outil de messagerie instantanée intégrant des fonctions d’échange de fichiers.

Les écoutes de barbouzes, et celles de la NSA tout particulièrement, font partie des « légendes ou rumeurs invérifiées » -ou trop rarement vérifiées. Une légende qui pousserait à faire croire que chaque noyau ou programme de communication développé aux USA ou sous obédience américaine serait systématiquement doté d’une « porte dérobée ». Ceci dans le but d’aider les vaillants défenseurs de la Justice et de la Liberté (lesdits barbouzes). Disons-le tout net, ce genre de culte de l’accès secret, tout comme la « collection de failles logicielles exploitables à distance », font partie des choses normales dans ce monde. Et si ce genre de pratiques choque les défenseurs des libertés individuelles, l’on peut toujours agiter l’épouvantail du Club des pédophiles terroristes et révisionnistes réunis, fabricants de bombes artisanales. Invoquer la liberté de pensée sur le Net aujourd’hui, c’est s’exposer à être accusé de collusion –voir de complicité- avec les criminels récidivistes de tous crins. Dans de telles conditions, qui donc oserait encore s’émouvoir qu’un service d’espionnage cherche à écouter les conversations téléphoniques du monde entier ?

En organisant une « fuite » laissant entendre que la « No Such Agency » rechercherait une méthode pour tracer et déchiffrer les contenus véhiculés, les services de renseignements US poursuivent probablement plusieurs buts. Peut-être est-ce pour endormir la confiance de tous ceux qui penseraient que Skype est inexpugnable. Peut-être également parce qu’il est effectivement difficile de déchiffrer certains contenus dans l’état actuel des choses. Mais invoquer l’origine Européenne de l’entreprise pour expliquer cette inaccessibilité au code source –alors que Skype est une filiale de eBay, entreprise 100%US-, voilà qui relève plus du « prétexte politique » que d’une réalité technique.

L’hypothèse du « pont d’or » offert en échange de ce service de déchiffrement et de suivi des communications pourrait effectivement être, comme le laisse clairement entendre nos confrères du Reg, une forme déguisée d’aide gouvernementale à une entreprise privée, eBay ou l’un de ses proches …

Quand à la véracité de l’existence des backdoors dans Skype, le sujet a largement été couvert en juillet dernier par Nicolas Ruff. Il n’y a strictement aucune raison pour que ni les conditions, ni les arguments techniques invoqués alors n’aient fondamentalement changé depuis.

Rappelons toutefois que le Ministère Français de l’Education Nationale recommande vivement, et ce depuis 2005, de ne surtout pas déployer Skype dans les milieux universitaires en général et les centres de recherche en particulier. Simple principe de précaution.

Remettons nous également en mémoire que parfois, le chiffrement de Skype et son protocole de routage pourraient-être contourné, si l’on en croît la mésaventure survenue en 2006 à un certain Kobi Alexander. Souvenons-nous aussi de ces recherches organisées par des Universitaires de George Mason, Virginie, analysant les possibilités de traçage et de lecture de contenu d’une liaison tunnel par le biais de cookies et de chevaux de Troie. On ne dit pas que c’est « fait », on y raconte simplement que c’est possible sous certaines conditions.

Microsoft offre 250 000 dollars contre la tête de l’auteur de Conficker, titre glorieusement Security News. Pas même de quoi s’offrir une bicoque dans une vallée oubliée des Alpes pour échapper aux seconds couteaux de la mafia Russe. C’est donc là un effet d’annonce totalement inutile, destiné à utiliser ce fléau logiciel comme support publicitaire ad majorem dei gloriam. Peu utile également ce consortium qui montre ostensiblement que certaines entreprises font exactement ce pourquoi elles sont payées : et les éditeurs d’antivirus de chasser les virus, les fournisseurs de service internet de filtrer les adresses et domaines indésirables, et les éditeurs de programmes vulnérables d’encourager à la diffusion et à l’application des rustines salvatrices. Le « front commun contre l’internationale virusesque » est une armée assez disparate, regroupant des FAI, des instances administratives, des éditeurs et équipementiers de divers horizons : Microsoft, ICANN, Neustar, Verisign, CNNIC, Afilias, Public Internet Registry, Global Domains International Inc., M1D Global, AOL, F-Secure, ISC, researchers from Georgia Tech, The Shadowserver Foundation, Arbor Networks et Support Intelligence, dixit le communiqué de Symantec à ce sujet.