avril 10th, 2009

Brian Krebs, du Washington Post, fait état lui aussi du dernier rapport de Microsoft sur la sécurité des noyaux. Il s’attache tout particulièrement au passage traitant de la montée en puissance des « faux antivirus. Le phénomène n’est pas franchement nouveau. Dancho Danchef fut l’un des premiers, et à une certaine époque le seul, à alerter l’opinion publique sur la dangerosité que représente ces programmes. Non seulement leur vente repose généralement sur de fausses alertes provoquées et destinées à effrayer l’internaute, mais en outre ils ne désinfectent rien… Pis encore, nombreux sont ceux qui en profitent au passage pour infecter la machine-victime à l’aide d’un spyware. Quant au modèle financier sur lequel repose la diffusion de ces marchandises frelatées, il s’apparente plus à celle d’une organisation mafieuse qu’à un véritable réseau commercial. Les webmestres acceptant d’héberger les applets java ou les ActiveX faisant bondir les faux écrans d’alerte –qui poussent à leur tour à l’achat de ces scarewares- sont payés au prix fort par les réseaux mafieux qui organisent ce business. Danchev publie d’ailleurs le 18ème épisode de son long combat contre ce genre d’escroquerie. Comme par le plus grand des hasards, nous apprend-il, les serveurs de ces prétendus vendeurs d’antivirus ont, pour certains, été originellement des membres du réseau cybermafieux Russe RBN, ou encore liés à la diffusion du ver Storm Worm, voir encore mouillés dans la cyberattaque qui a compromis les sites web des ambassades d’Azerbaïdjan au Pakistan et en Hongrie.

Paul Asadoorian de Tenable vient de commettre un billet intitulé « Configurer Nessus pour lancer un scan au travers d’un firewall ». Sont également sondés dans la foulée les crédences des hôtes distants. L’opération doit être temporisée pour ne pas déclencher les mécanismes de sécurité, mais le résultat vaut le temps d’attente.

Snort 2.8.4 vient de paraître. Avec, dans cette édition, un nouveau préprocesseur DCE-RPC, une amélioration du support d’IPv6 et un pré-filtrage automatisé destiné à améliorer les performances.

A peine la grande peur du premier avril oubliée, que déjà apparaît une nouvelle mutation du ver Conficker/downadup. Chez certains, il prend le suffixe « E ». Pour l’heure, très peu d’analyses et opérations d’ingénierie inverse ont pu être menées. Mais l’on est sûr au moins, chez Trend Micro, que cette version « redevient méchante », autrement dit qu’elle chercherait encore à rechercher et exploiter la faille Microsoft, alors que la précédente version ne faisait que « mettre à jour » les machines précédemment infectées. Pour l’instant, la mise à jour se propage par voie P2P, et possède quelques petites modifications par rapport à ses grands frères. Elle cherche notamment à découvrir un accès ouvert sur Internet, en sondant la présence de quelques domaines grand public tels que Myspace, MSN, AOL ou eBay. L’on se souvient que le code originel de Conficker vérifie la date du jour en contactant également d’autres sites grand public, tel que CraigsList, un modèle de création et d’inventivité graphique sur Internet. En cas d’échec, le vers se contente de fouiller les liens locaux pour tenter d’infecter d’autres machines et ressources.

Autre semi-nouveauté –qui avait été également découverte à l’occasion du « réveil » du premier avril, Conficker tenterait de contacter certains domaines communs à un autre virus, Waledac. Paul Fergusson de Trend Micro revient sur cette idée lors d’une interview accordée à nos confrères d’eWeek. Une idée que reprennent les principaux éditeurs d’A.V. liés au « Conficker working Group », ainsi Websense. Chez BitDefender, l’on affirme que la mutation a enrichi son panel de domaines à bannir. Domaines appartenant notamment aux éditeurs d’antivirus et autres organismes de recherche. La preuve ? Les « infectés » par la variante « E » ne peuvent plus désormais se connecter à dbtools.net, serveur qui offrait –et offre toujours- un outil de désinfection adapté. Du coup, il a fallu imiter les habitudes de Downadup et créer un autre nom de domaine. L’anti-Conficker de BitDefender est désormais accessible sur Disinfect tools.

Tout à commencé par un article du WSJ. Un papier reposant essentiellement sur des « on dit » d’agents de la CIA et autres fonctionnaires des services de renseignements US : les Chinois, les Russes, et peut-être d’autres puissances, seraient parvenus à pénétrer dans le système de gestion du réseau électrique US. Et pas qu’une seule fois ! Le fait serait même fréquent, prétend-« on ». Reuter reprend l’information, le Reg –généralement si critique et suspicieux- s’en fait également l’écho, Hellen Messmer, celle qui « fait et défait la sécurité informatique US », reprend le couplet dans les colonnes de Network World. Il faut se reporter au billet de Robert Graham –pourtant d’un esprit généralement très conservateur et alarmiste- pour entendre un son de cloche tendant à désamorcer cette information. Joel Esler du Sans, revient également sur l’information et précise deux points importants : en premier lieu, hacker une machine située à l’intérieur d’un site de contrôle de l’énergie, ce n’est pas nécessairement pénétrer dans les automatismes de régulation et de contrôle de processus eux-mêmes. Et encore, lorsque ceux-ci existent, puisque bien souvent une partie des outils de commande relèvent encore de l’automate programmable et de la boucle de régulation PID pilotée par un microcontrôleur. Pas franchement ce qu’un Conficker aime se mettre sous la dent. De toute manière, de part un décret fédéral, il est interdit au système informatique d’une architecture SCADA d’être relié au réseau public.

Si cette isolation existe sur le papier, il arrive parfois que des interconnexions malencontreuses soient établies, précise un long article de Security News. Long article qui détaille surtout le principal problème des « power grid » américains : son obsolescence. Le moderne et l’ancien s’y empilent au fur et à mesure des évolutions technologiques, et le mariage entre « l’hérité » -qui remonte parfois à l’après guerre- et le contemporain pose de sérieux problèmes de sécurité provoqués par les compromis et les difficultés posées par les adaptations et interfaces. Mais, peut-on lire entre les lignes, tout ceci n’est véritablement qu’une affaire de « gros sous ». La modernisation des infrastructures stratégiques fait parti d’un plan national budgété aux environs de 4 milliards de dollars. Opération de longue haleine et gâteau aiguisant les appétits de bon nombre d’industriels en mal de plan de relance. Dont font partie bien sûr quelques vendeurs de sécurité informatique.

S’agit-il donc vraiment de « journalisme jaune » comme le dénonce Graham ? Est-ce là plus simplement une opération de manipulation utilisant la presse, pour le plus grand intérêt de quelques entreprises souhaitant soumettre leurs offres dans ces fantastiques marchés d’Etat ? Car chaque fois que des hommes politiques ou fonctionnaires des services de police évoquent la présence d’espions Chinois ou Russes, de pédophiles ou de terroristes poseurs de bombes, il n’est pas rare que cela cache les agissements d’intérêts privés, qui viennent proposer leurs bons offices, leurs catalogues de solutions miracles et leurs demandes de subsides.