Facebook : le coup du ZDE qui passe l’antivirus

Actualités - Hack - Posté on 20 Fév 2013 at 9:47 par Solange Belkhayat-Fuchs

Le troisième (et probablement le plus retentissant) hack mobile de la semaine serait celui de Facebook qui a fait les gros titres de la presse grand public. Que Facebook se fasse compromettre, c’est le lot de tous les réseaux sociaux à usage général : les assurances de fiabilité et de sécurité énoncées par ces entreprises n’engagent que ceux qui les croient. Et en priorité les employés de Facebook eux-mêmes, puisque le trou de sécurité aurait été possible grâce à la compromission du poste de travail d’un ou plusieurs collaborateurs de l’entreprise. Compromission (via Java) qui reposerait sur un « zero day ». « Le hack a touché des ordinateurs parfaitement mis à jour et protégés par des antivirus » explique le communiqué d’alerte. On peut regretter la légèreté de ces propos, qui entretient encore dans l’esprit du grand public que le « fully patched + antivirus » constitue la ligne de défense principale d’un grand réseau de communication. Certaines idées sur la sécurité ont la vie dure au sein des directions de la communication.

Sans surprise, et avec ce même souci du détail hautement technique et de la rigueur scientifique la plus élevée, ces experts en communication parviennent à la conclusion suivante : il s’agissait là d’une attaque « hautement sophistiquée »… on est à deux doigts de voir dégainer le terme APT.

Sur le blog F-Secure, Sean fait remarquer que l’exploit Java n’aurait touché que des Macintosh, machines généralement possédées par des utilisateurs certains de la quasi inviolabilité de leurs machines. Sentiment, voire certitude, largement répandue par… les équipes marketing d’Apple, d’autres spécialistes de la sécurité des S.I. qui, des années durant, ont affirmé que l’usage même d’un antivirus était chose inutile tant le noyau OS/X était à la fois fiable et consciencieusement mis à jour.

Un autre billet de Sean fait également remarquer une petite phrase Facebookienne, qui affirme en substance que « d’autres entreprises auraient très probablement été frappées par cette attaque ». Ce genre d’annonce est généralement plutôt du ressort d’un Cert ou de l’éditeur lui-même… mais détourner l’attention des usagers pour se disculper d’une erreur de politique de sécurité semble être la dernière arme à la mode. On se souvient que cette tactique avait été utilisée il y a à peine une semaine par Twitter. Il ne faudra pas attendre longtemps pour que, 12 heures plus tard, l’on découvre que l’une des victimes de ce même vecteur d’infection qui avait touché Facebook avait également frappé … Apple. A quoi sert de développer un malware anti-pomme si ce n’est pour tester son efficacité dans le Saint des Saints de la firme des deux Steve. C’est Reuters qui révèle l’affaire. Histoire de ne pas se couvrir de ridicule, une des personnes « proches de l’enquête » et citée par l’agence de presse invoque la probabilité d’une attaque Chinoise. Il faut bien un adversaire à la hauteur des défenses inexpugnables du Macintosh pour oser faire peur à l’univers OS/X. C’est en tout cas plus reluisant que de se faire « intruser » par un quelconque c0d3rZ Russe. En toute objectivité, Reuters cite également Charlie Miller, qui rappelle que le Macintosh, du fait de sa faible visibilité dans le monde de la sécurité, et donc de la faible attention qu’il attire, est l’objet de bien des attentions de la part des réseaux mafieux. Kevin Finisterre (http://www.digitalmunition.com/_/Main.html), père du «MOAb » (Month of Apple Bug) avait, en 2007, prouvé que la découverte de trous exploitables n’était pas, chez Apple, un travail insurmontable.

Facebook ou Apple,peu importe qui gagne dans cette grande course à la vulnérabilité et aux mauvaises pratiques. La multiplication de ces mésaventures et de ces grands hacks d’entreprises et de réseaux sociaux pose à nouveau la question de l’adaptation des systèmes de protection périmétriques face à des menaces non répertoriées. 80 % de nos systèmes de défense reposent encore sur un mécanisme de signature, et ce malgré les dénégations marketing de leurs promoteurs. Cela fait plus de 20 ans que l’on parle de protection heuristique. Il serait peut-être temps que l’on y arrive. L’autre grande question que soulève à nouveau ce genre d’attaque généralisée contre un système en particulier, c’est celle de la responsabilisation d’une « certaine catégorie d’usagers ». Et c’est probablement là le défi le plus difficile à relever. Si l’on a souvent évoqué une dose certaine d’irresponsabilité chez certains usagers d’ordinateurs Apple, on voit se répandre une attitude comparable auprès de la gente Androidisée et de la population IOSisée. Plus une technologie se répand dans le grand public, plus l’empreinte des affirmations marketing est permanente, moins le discours du « minima sécuritaire » est entendu. Et contre ce genre de dérive, aucun antivirus, aucun firewall, aucun IDS ne peut faire quoi que ce soit.

Laisser une réponse