agsandrew - stock.adobe.com

Meltdown/Spectre : les maliciels approchent

Près de 140 échantillons de logiciels malveillant exploitant les attaques Meltdown et Spectre ont été découverts par AV-Test. La plupart s'appuient sur des codes démonstrateurs déjà connus.

Jusqu’ici, les fondeurs assuraient n’avoir pas observé de preuve d’exploitation des attaques Meltdown et Spectre pour voler des données. Mais ce confort tout relatif touche peut-être à sa fin.

Les chercheurs d’AV-Test viennent en effet d’annoncer avoir découvert 139 échantillons de maliciels qui « apparaissent liés aux vulnérabilités des processeurs récemment évoquées ». A ce stade, la bonne nouvelle est que la plupart de ces échantillons sont basés sur des démonstrateurs produits par des chercheurs en sécurité. Mais selon AV-Test, le nombre d’échantillons uniques a fortement progressé au cours des dernières semaines.

De fait, le laboratoire de test avait fait état de 77 échantillons uniques le 17 janvier. A cette date, les échantillons visaient plus Spectre que Meltdown. Moins d’une semaine plus tard, le 23 janvier, AV-Test comptait 119 échantillons uniques.

Andreas Marx, Pdg d’AV-Test, pense que les auteurs de ces maliciels sont encore en phase de recherche : « la plupart des échantillons sont des version recompilées/étendues de démonstrateurs, pour des plateformes variées, de Windows à macOS en passant par Linux. A côté de cela, nous avons trouvé les premiers codes démonstrateurs JavaScript pour Internet Explorer, Chrome et Firefox ».

Les équipes des FortiGuard Labs de Fortinet se sont également penchées sur ces échantillons, au point de se dire « préoccupées » par le risque d’attaques Spectre et Meltdown sur les particuliers et les entreprises : « FortiGuard Labs a analysé tous les échantillons disponibles publiquement, représentant environ 83 % de tous ceux qui ont été collectés [par AV-Test], et déterminé qu’ils sont tous basés sur du code démonstrateur ». Le reste n’a pas été partagé publiquement « soit parce qu’ils étaient couverts par des accords de confidentialité, soit pour des raisons qui nous sont inconnues ».

Mais pour Andreas Marx, le nombre croissant d’échantillons n’est pas une raison de s’alarmer tout de suite. Pour lui, « le nombre d’échantillons et leur croissance sont encore relativement faibles ». Et d’indiquer, à titre de comparaison, recevoir « environ 340 000 échantillons uniques de maliciels par jour ».

Selon lui, le premier risque concerne les attaques ciblées. Des opérations plus vastes ne devraient survenir qu’une fois que les cyber-délinquants auront trouvé des moyens plus simples d’exploiter les vulnérabilités permettant les attaques Meltdown et Spectre. A ce jour, distribuer des rançongiciels ou des maliciels de cryptojacking s’avère bien plus simple, et plus profitable.

Des signatures ont été élaborées pour détecter les échantillons connus de logiciels malveillants liés à Meltdown et Spectre. Mais le principal danger est le manque de visibilité : pour les chercheurs de Fortinet, il n’est « probablement pas possible » pour les entreprises ou les consommateurs de savoir s’ils ont déjà été victimes d’attaques basées sur Meltdown et Spectre, car celles-ci « ne laissent pas de trace dans les journaux d’activité traditionnels ». De quoi souligner l’importance d’appréhender la prévention de ces attaques de manière globale, en intégrant des considérations d’architecture au-delà des seules solutions de protection du poste de travail.

Avec nos confrères de SearchSecurity.com (groupe TechTarget).

Pour approfondir sur Menaces, Ransomwares, DDoS