décembre 2nd, 2011

Tim Rains, un des patrons du TWC (Trustworthy Computing) de Microsoft, déclarait dans une interview à Infoworld que leur cellule sécurité aurait intercepté 27 millions d’exploits Java entre mi-2010 et mi-2011

La presse en ligne trop vulnérable estime Heat Miser. Pourtant, avant les attaquesbinaires, il existe d’autres types de menaces plus efficaces et courantes : attaques en diffamation, plombiers, pressions publicitaires…

Après the good et the bad, le blog de Trend Micro présente “the ugly”, ou les défauts génétiques de HTML5 : les coulisses de l’exploit

Android sert-il de parafoudre ? Probablement un peu. Car au même moment, si l’on se penche sur la liste des failles publiées sur Bugtraq relative à la plateforme Webkit, l’on se rend compte qu’il ne doit pas falloir chercher longtemps pour trouver un exploit fonctionnel sur une plateforme X ou Y. 331 CVE recensés depuis 2005, dont un nombre élevé de failles non corrigées et exploitables. Or, Webkit est utilisé par une multitude de plateformes, à commencer par IOS. Ce qui ne veut pas dire estiment les spécialistes de NSS labs, qu’IOS soit plus vulnérable qu’une autre plateforme et « impropre à la consommation en entreprise ». Sophisme ou analyse de risques ?

Qui croire ? Tout le monde et personne. A la question « une attaque de mon mobile est-elle possible », la réponse est « oui, indiscutablement ». A celle « faut-il acheter un antivirus pour appareil mobile », les avis commencent à diverger. L’installation de programmes de sécurité a de fortes chances de poser des problèmes de ressources et d’ergonomie, sans oublier le fait qu’un A.V. constitue lui aussi une surface d’attaque certaine et bénéficie « par définition et par construction » de procédures d’audit pas toujours aussi poussées que l’on pourrait le souhaiter. S’il est possible de tromper la quasi-totalité des antivirus à l’occasion de concours tels que Iawacs, il n’y a pas de raison que les protections pour smartphones échappent à cette règle.

« Peut-on sous-traiter la sécurité de nos terminaux aux opérateurs télécom » ? Là encore, personne ne peut répondre par l’affirmative. Bien sûr, chaque opérateur peut effectuer un filtrage minimaliste… mais peut-il filtrer toutes les navigations Web ? En possède-t-il d’ailleurs le droit ? Utilisé en mode ISP, sera-t-il en état d’offrir quelque chose de plus qu’une fonction antivirus/dlp dont on ne connaît pas nécessairement l’efficacité et le niveau de sécurité ? Et quand bien même les Telco se chargeraient-ils de ce travail de salubrité que les plateformes ne seraient pas moins vulnérables. Aucun opérateur, par exemple, n’accepte de « pusher » les correctifs d’un éditeur de plateforme lorsqu’une faille a été détectée : ce serait donner carte blanche à une entreprise de droit privée, étrangère de surcroît, sur une infrastructure Scada d’envergure nationale. Entre la sécurité d’Etat fantasmée et l’insécurité réelle quotidienne, le choix ne tient pas compte de l’utilisateur final.

Mais si l’on demande « cette attaque est-elle probable », il est difficile d’être aussi catégorique. En premier lieu, parce que les canaux d’attaque sont réduits : navigateur, mail, Bluetooth pour les plus paranoïaques. Parce que, aussi, l’interactivité est faible avec l’éventuel « collecteur d’informations ». Pourquoi, en effet, aller chercher à r00ter le tout dernier Samsung ou les armées d’iPhones alors qu’il existe de par le monde des millions d’Internet Explorer non patchés fonctionnant sur les systèmes susceptibles de contenir bien plus d’informations qu’un terminal mobile, et raccordés à une infrastructure réseau considérablement plus rapide que le plus rapide des « hauts débit » des marchands d’abonnements illimités ?

Diverses lectures emplies de tensions et bouillonnant d’avis parfois contradictoires ont agité, cette semaine, la scène sécurité autour des smartphones. Provenant des éditeurs d’antivirus notamment. Ainsi, ces deux articles publiés sur le blog Kaspersky, l’un intitulé « voler des appliquettes, y injecter des suppléments », et l’autre « Des Troyens SMS dans le monde entier ». En France, la mailing list de l’Ossir s’enflamme sur le sujet : quelle est la réalité de la menace virale sur les smartphones ? A qui la faute ? Comment diminuer les risques ? Avec quel sérieux les plateformes utilisées sont-elles construites ?

Sans aller jusqu’à soupçonner l’omniprésence d’applications d’espionnage telle que celle analysée la semaine dernière par Treve, membre du forum XDA-Developers, il faut bien admettre que le niveau d’information sur les risques encourus, offert aux usagers est généralement très bas.

L’origine de cette situation ? Principalement les conflits d’intérêts.

Intérêts des opérateurs qui voient d’un bon œil croître les volumes d’information sur leurs réseaux grâce à l’interconnexion entre le cyber-monde et le domaine de la téléphonie cellulaire.

Intérêt des fournisseurs de matériel qui tentent à tout prix de cumuler le métier de constructeur de matériel, vendeur de plateforme, fournisseur d’applications « propriétaires ». Peut-on d’ailleurs rêver meilleur business model que celui où un éditeur a à sa disposition tout un aréopage de développeurs prêts à travailler sans la moindre rémunération et poussés par le seul espoir de devenir « le » futur millionnaire en dollars qui a connu la gloire en écrivant une appliquette ? Plus les catalogues des « marketplaces » sont fournis, plus les promesses de consommation de contenu sont en hausse, plus les clients (les opérateurs) sont optimistes, plus le chiffre d’affaire des marketplaces est en hausse… le système peut fonctionner dans un cercle financièrement vertueux indéfiniment.

Mais les récentes actualités ont prouvé que cette abondance d’applications, cette surenchère aux plateformes « smartphone » (notamment IOS, Windows Mobile, Android) n’était pas exempte de failles, et que lesdites failles commençaient à être exploitées.

S’en suit alors un nouveau cercle financièrement vertueux, dans lequel tentent d’entrer les éditeurs de logiciels de sécurité (antivirus, DLP…). Lesquels éditeurs sont accusés par les professionnels du milieu, à tort ou à raison, d’amplifier inutilement le « FUD » (peur incertitude et suspicion) autour des malwares mobiles.

FUD d’autant plus persistant que l’énergie déployée par les éditeurs pour colmater ces trous de sécurité ne semble pas toujours être à la hauteur de ce qu’annoncent les communiqués de presse. Un article de The Understatement dressait récemment un tableau stigmatisant le laxisme technique autour de la plateforme Android. Juniper, pour sa part, y rajoute une couche et affirme, au fil de son Malicious Mobile Threats Report (inscription préalable obligatoire), que les malwares Android ont crû de 400 % de 2009 à 2010. Les articles décrivant comment rooter un noyau Android pullulent sur la Toile, code à l’appui, à tel point que bon nombre de spécialistes se plaisent à définir le noyau de Google comme étant « le système par qui les virus ont fini par s’intéresser à Unix ».