avril, 2009

A rien si l’on parvient à l’éviter, nous explique rapidement Thierry Zoller. Et le chercheur Luxembourgeois d’expliquer comment il est possible de camoufler un code dangereux dans un format compressé (zip, Arc ou équivalent) conçu de telle manière que l’antivirus ne sache pas l’ouvrir à des fins d’analyse, mais que rien n’empêche le destinataire dudit fichier de l’extraire et de l’exécuter. Face à un tel problème, le logiciel de protection se contente de laisser passer le document inconnu.

Au niveau du poste local, cette forme de camouflage n’a que très peu d’importance, car l’antivirus attend le malware au tournant. Si l’utilisateur tente d’extirper les données de leur coquille, le logiciel de protection détectera la présence d’un code actif en mémoire dès le début de son exécution. Il en va tout autrement si la protection périmétrique est installée sur une passerelle de messagerie, un proxy, un serveur… Car ainsi séparé de l’utilisateur par un brin réseau, l’antivirus ne peut détecter un agissement suspect dans un espace mémoire qui n’est pas le sien. Pis encore, si le malware en question est stocké sur un serveur –base de données, messagerie, serveur de fichiers etc-, autant de machines qui jamais n’ouvrent ou n’exécutent le moindre fichier-, il risque de se passer beaucoup de temps avant qu’un administrateur découvre l’origine d’une infection chronique d’origine pratiquement indétectable. L’on pourrait d’ailleurs utiliser l’argument de Thierry Zoller et l’étendre à la notion « d’outils de sécurité diffusés en mode cloud computing » : même efficace, un filtrage décentralisé doit nécessairement être doublé d’une instance « locale » du programme de détection d’attaque.

« Pirater, c’est pas bon » chantonne Ryan Naraine, dans le blog sécurité de ZDnet. L’auteur revient sur une vieille histoire, celle d’un troyen de zombification s’attaquant au Macintosh découvert dans le courant du mois de janvier. Le troyen en question se trouverait fréquemment dans des copies pirates de CS4 et iWork. Comme l’on verrait çà et là fleurir des messages et manifestations de victimes, toutes étonnées de s’être faites infectées après avoir récupéré un logiciel sur un réseau P2P, le blogueur interprète immédiatement cela comme la preuve d’une dangereuse évolution des botnets dans le monde Apple. Naraine, bien que se présentant comme journaliste à ses heures, émarge également chez Kaspersky, éditeur d’antivirus.

PDP, sur le blog GnuCitizen, signale à l’attention de ses lecteurs une application pour iPhone développée par une agence immobilière Américaine. D’un revers du pouce, le promeneur peut, en fonction de ses coordonnées GPS (le récepteur est intégré au terminal) découvrir quelles sont les maisons à vendre, admirer quelques photos d’intérieur, récupérer le numéro de téléphone du vendeur etc. Pour un monte-en-l’air, cela se traduit de la manière suivante : localisation des appartements potentiellement en vente, aperçu du plan de la maison et de son voisinage, possibilité de vérifier si une personne est ou non présente dans l’instant, estimation de la « richesse » potentielle du propriétaire…

Certes, rétorque l’un des responsables de l’agence en question, toutes ces informations sont publiques et ne diffèrent en rien de ce qui est généralement fourni par tous les « real estates » de New York à San Francisco. Ce que cette personne n’admet pas, c’est que la « Webdeuzérohisation » de cette application offre une instantanéité que n’avait pas la bonne vieille méthode de la consultation par fiches cartonnées ou par ordinateur situé dans les agences. Tout comme le fichier Edvige n’était jamais que la transcription informatique d’un vieux fichier des Renseignements Généraux, son informatisation aurait pu le transformer en un formidable outil de recoupage et de concaténation d’informations que n’aurait jamais pu offrir l’antique système « aiguilles à tricoter ». Si un service immobilier offre à tout un chacun –personne honnête et malandrin- une base de données relativement indiscrète sur les habitations avoisinantes, il devrait en toute logique assurer un service de protection des biens en question capable d’intervention avec une rapidité équivalente à celle d’un éventuel cambrioleur. L’on comprend que le coût de la sécurité dépasserait alors très largement celui du risque encouru… tant que le procédé ne s’est pas généralisé et que les baluchonneurs ne se sont pas mis au goût du jour. Encore faudrait-il aussi que les statistiques liées à cette forme de « petite délinquance » soient capables de faire ressortir les méthodes utilisées et ainsi signaler les applications « à risque ». Mais çà, c’est une autre histoire…

Le Département de la Justice de l’administration Obama défend bec et ongle, s’étonne le Reg, la politique d’écoutes téléphoniques conduite par la présidence Bush. A l’origine de cette prise de position ferme, un procès intenté par l’EFF contre l’administration Bush -et plus particulièrement la NSA- qui s’est livré à une importante campagne d’écoute visant des citoyens américains. Les procédures très « allégées » autorisant ces écoutes avaient, estime l’EFF, conduit les agents de la NSA à commettre des abus.

Pas du tout, rétorque aujourd’hui le DoJ, dans un document visant à faire abandonner les poursuites. Les personnes écoutées l’étaient en raison de liens avec l’organisation Al Quaida, répète le Ministère de la Justice US. De toute manière, il est hors de question de divulguer quoi que ce soit à propos de ces écoutes, puisqu’elles relèvent de la sécurité nationale.

Il est important de noter que ces écoutes expéditives, ordonnées par un droit régalien accordé au Président en charge, ont entrainé, sur l’initiative de l’EFF, une action en justice visant intuitu personae mm George W. Bush, son Vice Président Dick Cheney, David Addington, Chef de Cabinet de Cheney et l’ancien Attorney General et Conseiller auprès de la Maison Blanche Alberto Gonzales.

Il n’est pas inutile de se rappeler que les pouvoirs discrétionnaires accordés au Président Bush ont fait l’objet d’un vote du Sénat, et que le Sénateur Barack Obama fut du nombre de ceux qui approuvèrent immédiatement et votèrent en faveur de l’établissement de ce pouvoir. Et il est rarissime de voir, une fois en place, une équipe de l’opposition de quelque pays que ce soit remettre en cause tant les procédés de basse police que les services « gris » orbitant autour des grandes agences de renseignements militaires ou civiles. Et ce malgré les déclarations d’intention faites au moment des campagnes électorales.

Milipol Paris se tiendra du 17 au 20 novembre prochain au parc des expositions de Paris – Porte de Versailles – Pavillon 1. Organisé sous l’égide du Ministère français de l’Intérieur, ce salon consacré à la sécurité intérieure devient chaque année de plus en plus technologique et scientifique. Il devrait réunir cette année plus de 1000 exposants en provenance de 42 pays, et accueillir plus de 30 000 visiteurs. Le communiqué de presse annonçant cet événement précise que pour cette seizième édition, sera créé un « espace dédié à la protection des territoires et des populations face aux risques majeurs (environnementaux, climatiques, industriels, etc.). Ce nouvel espace permettra de réunir tous les acteurs de chacun de ces domaines autour de la Direction de la Sécurité Civile (DSC) »

Pas de Radio à Définition Logicielle dans le papier du magazine Science, qui publie les recherches de Pu Wang, Marta C. González, César A. Hidalgo, Albert-László Barabási des Universités de Boston, Notre Dame et Harvard. Ces chercheurs, à la fois biologistes et spécialistes des réseaux, se sont penchés sur les déplacements des possesseurs de téléphones à l’intérieur d’un groupe de cellules GSM, ainsi qu’aux phénomènes de dissémination d’un éventuel virus de type MMS, Bluetooth ou hybride à l’intérieur dudit réseau. Les données très fouillées se sont appuyées sur les métriques exactes d’un opérateur, et des schémas de propagation virale géolocalisés en ont été extrapolés. Les conclusions sont assez édifiantes : si le virus Bluetooth peut connaître un succès local rapide, son mode de communication de proximité limite fortement son flux migratoire à grande échelle. Le virus MMS, quand à lui, se répand bien plus aisément, mais voit son efficacité limitée par la disparité des types de plateformes. En bref, dans l’état actuel de la technique, les virus sans fil sont, comme dit la chanson, « rien que du chiqué, de la crotte de biquet »*

Toujours la vieille question de la « portabilité du code » dans des environnements hétérogènes.

Ces études font bien sûr réagir assez vivement l’un des rares éditeurs d’A.V. qui s’intéresse aux virus « wireless » : F-Secure, qui égratigne les travaux des scientifiques. Avec 65 % de parts de marché sur le secteur des smartphones, rétorque Mikko Hyppönen, l’hétérogénéité invoquée par l’étude est franchement très relative… faut franchement avoir peur ! La communication des scientifiques, ajoute-t-il, ne prend pas non plus en compte les garde-fous techniques qui sont intégrés de plus en plus dans les téléphones intelligents modernes…

Remarques sans le moindre doute passionnantes, certes, mais relativement éloignées du sujet. Car l’équipe de Boston ne traite que de l’aspect épidémiologique de la question. Or, dans une population, il n’y a pas que des énarques et des diplômés de Science-Po. Il y a aussi quelques millions de prolétaires, de professions libérales, de rentiers, de peigneurs de girafes divers –dont quelques journalistes-. Tout comme dans le monde de la téléphonie, il n’y a pas que des smartphones. Ils auraient même tendance à être minoritaires, et 65 % d’un marché vertical n’est pas 65 % de tout le marché, dans un monde de terminaux plus « dumb » que « smart » peuplé de la marée des abonnements à un euro et autres produits d’appel. Ce qui confirme les conclusions de l’enquête : tout ce qui peut recevoir un MMS n’est pas nécessairement capable de l’interpréter, et tout le monde n’est pas obligatoirement équipé d’un étage Bluetooth. En outre, la modélisation de propagation d’une information par des canaux radio est une science très complexe, qui associe des paramètres sociaux, politique, structurel, saisonnier voir climatologique ou géologique. Des variables qui sortent totalement de la façon de voir des éditeurs d’A.V., lesquels se contentent généralement de ne considérer que le comportement « pair à pair » des vecteurs d’attaque.

L’on pourrait ajouter que les facteurs de limitation des virus téléphoniques sont surtout de deux ordres en Europe : le coût d’une attaque d’envergure –car en nos contrées, les MMS sont payant au prix fort- et la complexité des opérations. Pour l’heure, les SMS servant à des intoxications et autres attaques en ingénierie sociale (menaces, intox au kidnapping, phishing sms, arnaques au numéro surtaxé…) offrent un retour sur investissement bien plus élevé.

*NdlC Note de la Correctrice : In l’Amis Zantrope de Bobby Lapointe. Signalons à ce sujet le Printival Lapointe qui se déroulera du 15 au 19 avril prochain à Pézenas (c’est plus près que Caracas). Car bien sûr, tout cet article n’était qu’un prétexte.

Dans la nuit de mardi à mercredi prochain, Microsoft publiera le tout dernier lot de correctifs pour Office 2003 et Windows XP appartenant au « support normal ». De prime abord, cela ne veut strictement rien dire. Car, jusqu’en 2014, MS continuera de fournir les sempiternels correctifs de sécurité du mardi. Seuls seront supprimés le support gratuit, les améliorations des programmes –depuis combien de temps XP n’a-t-il pas bénéficié d’améliorations fonctionnelles notables ?- et les correctifs « cosmétiques », autrement dit non liés à un problème de sécurité. La prochaine date butoir concernant un abandon de support sera celle du 13 juillet de l’an prochain. Durant la période estivale, Windows 2000, le premier NT à ne plus porter le nom de NT, sera définitivement réformé. Il n’existe cependant aucune date précise quant à l’éventuel envoi de tueurs à gages chargés d’achever les quelques millions de Windows 98SE encore utilisés de part le monde.

Enfin corrigé ! Microsoft colmate, parmi les 8 correctifs publiés lors de ce mardi de Pâques, une faille Excel vieille de plus de deux mois et exploitée par quelques malwares depuis une bonne trentaine de jours. Au total, l’on compte ce mois-ci 6 bouchons s’appliquant à Windows XP, à ISA Server, aux services http (des stations aux serveurs, de 2000 à 2008), l’incontournable « cumulatif Internet Explorer », le trou Excel et un patch Office corrigeant les outils de conversion de format de texte.

Les deux failles affectant les produits bureautique ( convertisseur de texte et Excel ) sont qualifiées de critiques et doivent être corrigées d’urgence compte-tenu des risques d’attaques réels. Egalement critique, un défaut DirectShow qui touche toutes les versions de 2000 à 2003 Server, à l’exception semble-t-il de Vista et de 2008. Critique encore le défaut dans les services http, et critique toujours l’éternel correctif I.E., qui compte ce mois-ci pas moins de 6 alertes CVE.

Les commentaires de l’équipe de sécurité de Microsoft aiguillent sur le blog du MSRC/Msec, qui pointe à son tour sur une série d’articles décrivant soit les défauts colmatés, soit les moyens déployés pour résoudre le problème. A noter dans ce déluge d’information un article consacré au fameux « bug du convertisseur de formats de texte », dans lequel les auteurs s’étendent sur l’art de désactiver, ré-activer, installer, désinstaller, bloquer les convertisseurs en question. Certaines de ces explications ne sont pas d’une simplicité absolue. Une fois de plus, l’équipe milite en faveur du téléchargement et de l’usage de Moice, le convertisseur de format « standard Office 2007 ». En effectuant cette conversion, Moice élimine de facto les risques les plus connus reposant sur les anciens documents de la gamme Office.

« Enfin ! On sait ce qu’il fait et à quoi il sert » écrit en substance Brian Krebs. « Il », c’est Conficker, le virus le plus médiatique depuis l’invention du boulier. Selon les chercheurs de Kaspersky, nous apprend l’éditorialiste sécurité du Washington Post, la première « charge » de Conficker est… un antivirus. Un faux antivirus, bien sûr, un de ceux qui appartiennent à la famille des scarewares, qui se déclenchent sur une alerte douteuse, qui se vendent aussi cher que les véritables outils de protection, et qui, l’on s’en doute, se gardent bien d’éradiquer le véritable malware à l’origine de cette détection virale tonitruante. Celui de Conficker s’appelle SpywareProtect2009.

Mais comment être sûr que c’est là la véritable mission de Conficker ? On peut en douter. Que Conficker exploite cette veine des scarewares, cela n’a rien d’étonnant. Ce sont là probablement de nos jours les meilleurs vecteurs financiers du cybercrime organisé, ceux qui rapportent le plus d’argent. A force de « faire peur » sans agir, Conficker aurait très bien pu servir de prétexte à n’importe quel autre éditeur concurrent de ces fameux scarewares. Plutôt que de faire cadeau de cette opportunité à une branche rivale de la cyber-pègre et voir disparaître le moindre espoir de retour sur investissement, l’équipe Conficker a décidé d’organiser elle-même l’exploitation du filon.

Il est toutefois douteux que ce soient les auteurs même du virus qui aient organisé cette opération. Car le business des scarewares est complexe, et comporte de nombreux risques. Il repose notamment sur deux acteurs complémentaires : d’une part le « vendeur » réel du programme, celui qui encaisse l’argent des personnes abusées qui croient acquérir un programme légitime, et d’autre part les « rabatteurs ». Ces derniers sont généralement des Webmestres peu scrupuleux dont le rôle est d’héberger sur leur site –ou sur des sites compromis qu’ils supervisent- les appliquettes qui afficheront les premiers messages d’alertes semblant tout droit sortir des entrailles de Windows. Messages d’alerte qui, à leur tour, convaincront les usagers d’acheter en ligne le programme de protection que semble leur conseiller « leur Windows »… et par conséquent, Microsoft même. Ces webmestres rabatteurs, véritable réseau de distribution des scarewares, sont payés au pourcentage des « licences » vendues. Ce qui implique quelques mouvements monétaires, des mécanismes d’affiliation, des transmissions de programmes à intégrer dans les pages Web des sites faisandés… autant d’agissements qui peuvent ne pas passer inaperçus aux yeux des chasseurs de cybercriminels. Et des yeux de chasseurs de cybercriminels, il y en a toujours un certain nombre d’ouverts depuis que Microsoft a lancé un contrat de 250 000 dollars sur la tête du papa de Conficker.

Il est également important de se souvenir de toutes les étapes qui ont jalonné la vie de ce ver, les mille et uns perfectionnements techniques intégrés à son code, ses centaines de fonctions cachées… en d’autres termes, son « universalité » et son « professionnalisme ». Tant de développement pour une simple vente de scareware ? Ce serait étonnant. Il paraîtrait plus plausible que lesdits vendeurs de scarewares et leurs réseaux d’affiliés soient eux-mêmes clients de la « Conficker Incorporated » et ne fassent précisément que louer les services de cette plateforme. Ce qui serait bien plus logique et conforme à la réalité. Car les botnets sont faits pour être loués. Par tranche, par fonctions, par périodes, les réseaux de machines zombies sont vendus à la tâche, et il est presque impensable que les patrons de Conficker dérogent à cette règle. Tant par prudence que par appât du gain. Dans le monde du crime comme dans celui de l’orpaillage, ce sont généralement les opérateurs d’infrastructure, les « vendeurs de pelles », qui empochent le plus d’argent et le moins de risque. Beaucoup plus rarement ceux qui sont sur le terrain.

Une autre mise à jour de Conficker, en revanche, paraît opérée directement pour le compte des administrateurs du botnet. Cette seconde charge, sinistrement connue, s’appelle Waledac, un autre virus spécialisé dans le vol de données et l’émission de spam. Ce qui confirmerait l’hypothèse initialement émise par les labos de Trend Micro, qui, très tôt, ont décelé une certaine parenté entre ces deux malwares. Parenté établie en analysant les techniques de codage des deux virus, mais également confirmée par l’utilisation commune de certains serveurs « noirs » situés notamment en Ukraine. Rappelons également que Conficker évite d’infecter les ordinateurs Ukrainiens par détection de la configuration de leur clavier.

« Enfin ! On sait ce qu’il fait et à quoi il sert » écrit en substance Brian Krebs. « Il », c’est Conficker, le virus le plus médiatique depuis l’invention du boulier. Selon les chercheurs de Kaspersky, nous apprend l’éditorialiste sécurité du Washington Post, la première « charge » de Conficker est… un antivirus. Un faux antivirus, bien sûr, un de ceux qui appartiennent à la famille des scarewares, qui se déclenchent sur une alerte douteuse, qui se vendent aussi cher que les véritables outils de protection, et qui, l’on s’en doute, se gardent bien d’éradiquer le véritable malware à l’origine de cette détection virale tonitruante. Celui de Conficker s’appelle SpywareProtect2009.

Mais comment être sûr que c’est là la véritable mission de Conficker ? On peut en douter. Que Conficker exploite cette veine des scarewares, cela n’a rien d’étonnant. Ce sont là probablement de nos jours les meilleurs vecteurs financiers du cybercrime organisé, ceux qui rapportent le plus d’argent. A force de « faire peur » sans agir, Conficker aurait très bien pu servir de prétexte à n’importe quel autre éditeur concurrent de ces fameux scarewares. Plutôt que de faire cadeau de cette opportunité à une branche rivale de la cyber-pègre et voir disparaître le moindre espoir de retour sur investissement, l’équipe Conficker a décidé d’organiser elle-même l’exploitation du filon.

Il est toutefois douteux que ce soient les auteurs même du virus qui aient organisé cette opération. Car le business des scarewares est complexe, et comporte de nombreux risques. Il repose notamment sur deux acteurs complémentaires : d’une part le « vendeur » réel du programme, celui qui encaisse l’argent des personnes abusées qui croient acquérir un programme légitime, et d’autre part les « rabatteurs ». Ces derniers sont généralement des Webmestres peu scrupuleux dont le rôle est d’héberger sur leur site –ou sur des sites compromis qu’ils supervisent- les appliquettes qui afficheront les premiers messages d’alertes semblant tout droit sortir des entrailles de Windows. Messages d’alerte qui, à leur tour, convaincront les usagers d’acheter en ligne le programme de protection que semble leur conseiller « leur Windows »… et par conséquent, Microsoft même. Ces webmestres rabatteurs, véritable réseau de distribution des scarewares, sont payés au pourcentage des « licences » vendues. Ce qui implique quelques mouvements monétaires, des mécanismes d’affiliation, des transmissions de programmes à intégrer dans les pages Web des sites faisandés… autant d’agissements qui peuvent ne pas passer inaperçus aux yeux des chasseurs de cybercriminels. Et des yeux de chasseurs de cybercriminels, il y en a toujours un certain nombre d’ouverts depuis que Microsoft a lancé un contrat de 250 000 dollars sur la tête du papa de Conficker.

Il est également important de se souvenir de toutes les étapes qui ont jalonné la vie de ce ver, les mille et uns perfectionnements techniques intégrés à son code, ses centaines de fonctions cachées… en d’autres termes, son « universalité » et son « professionnalisme ». Tant de développement pour une simple vente de scareware ? Ce serait étonnant. Il paraîtrait plus plausible que lesdits vendeurs de scarewares et leurs réseaux d’affiliés soient eux-mêmes clients de la « Conficker Incorporated » et ne fassent précisément que louer les services de cette plateforme. Ce qui serait bien plus logique et conforme à la réalité. Car les botnets sont faits pour être loués. Par tranche, par fonctions, par périodes, les réseaux de machines zombies sont vendus à la tâche, et il est presque impensable que les patrons de Conficker dérogent à cette règle. Tant par prudence que par appât du gain. Dans le monde du crime comme dans celui de l’orpaillage, ce sont généralement les opérateurs d’infrastructure, les « vendeurs de pelles », qui empochent le plus d’argent et le moins de risque. Beaucoup plus rarement ceux qui sont sur le terrain.

Une autre mise à jour de Conficker, en revanche, paraît opérée directement pour le compte des administrateurs du botnet. Cette seconde charge, sinistrement connue, s’appelle Waledac, un autre virus spécialisé dans le vol de données et l’émission de spam. Ce qui confirmerait l’hypothèse initialement émise par les labos de Trend Micro, qui, très tôt, ont décelé une certaine parenté entre ces deux malwares. Parenté établie en analysant les techniques de codage des deux virus, mais également confirmée par l’utilisation commune de certains serveurs « noirs » situés notamment en Ukraine. Rappelons également que Conficker évite d’infecter les ordinateurs Ukrainiens par détection de la configuration de leur clavier.