Spécial sécurité : un botnet sur Macintosh, en terre étrangère

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur le premier kit pour hackers qui vise MacOS X puis s’intéressent à une nouvelle méthode de camouflage de données, dissimulées dans un simple fichier et sur la découverte d’une faille par la société Magix. Enfin, après nous avoir aiguillés sur une couverture vidéo de Hackito 2011, nos confrères pointent du doigt la lenteur du gouvernement US à réagir face à Stuxnet et s’amusent de voir les hackers transformés en nouvelles stars du cinéma hollywoodien.

Sommaire
1 - Un botnet sur Macintosh : en terre étrangère
2 - Cachez ces données que je ne saurais voir !
3 - Magix A.G. : usage de SDL musclé
4 - Hackito 2011 : en images animées
5 - Stuxnet est-il soluble dans la politique ?
5 - Les C0d3rZ sous les feux de la rampe

1 - Un botnet sur Macintosh : en terre étrangère
Découvert par le Danois CSIS, le « crimekit » baptisé Weyland-Yutani BOT est un générateur de malware visant précisément OS X et qui dépasserait, de loin affirment les spécialistes de CSIS, le simple stade de « preuve de faisabilité ». Ce serait donc le premier vecteur d’attaque de ce type visant les plateformes Apple. Parmi les caractéristiques importantes de cette usine à virus, il serait possible d’exploiter des fonctions de capture de formulaire sous Firefox et Chrome, Safari devant être prochainement intégré dans la liste. Ce qui, raconté d’une toute autre manière, veut dire qu’il est possible de piéger une page Web pour en extraire des crédences de connexion. Une vidéo de démonstration postée sur YouTube par Brian Krebs montrerait que tout ceci paraît fonctionner efficacement. Si c’est un « fake », c’est là un « fake » très bien monté. Le prix de l’application pour les apprentis bot-herders canal Mac historique est de 1000$ payable via Liberty Reserve ou Webmoney, précisent les chercheurs Danois.

L’affaire a immédiatement fait le tour des rédactions. Le papier le plus documenté et le plus précis est celui de Krebs. Le Sans publie coup sur coup deux billets, l’un sur la découverte du kit, l’autre sur le mode de diffusion de ses « œuvres » qui se propagent sous la forme d’un scareware, ou faux antivirus (finement baptisé MacDefender).

SearchSecurity reprend l’information, en débutant l’article par un argument pouvant légèrement prêter à confusion : la « visibilité » du Macintosh a grandi grâce au succès d’appareils tels que l’iPhone ou l’iPad, ce qui aurait incité les auteurs de malwares à s’intéresser aux utilisateurs de Mac. Si cela avait été le cas, le kit aurait plutôt ciblé les noyaux IOS. Reste que ces outils de mobilité sont plus difficiles à atteindre qu’un ordinateur constamment connecté à un réseau haut débit. De tous les appareils sous IOS, seul l’Apple TV pourrait à la rigueur correspondre à cette définition. Et l’ATV2 est un marché très « limité ».

Il est plus probable que le développement du Weyland-Yutani BOT ait été motivé précisément parce qu’Apple a dogmatiquement endoctriné une partie de sa clientèle en la persuadant qu’il n’existait aucun virus capable de s’attaquer à la plateforme OS X, rendant ainsi l’usage d’un antivirus totalement inutile. Paradoxalement, c’est via de faux-antivirus que se propagent les enfants de Weyland- Yutani. Depuis le temps que les cassandre de la sécurité prédisent une infection coordonnée d’OS X, elle a fini par arriver. Cela ne sonne ni la fin du monde, ni la fin du Mac.

Détail intéressant, selon Fabio Assolini (Kaspersky), ce sont parfois des serveurs situés sous un même domaine qui diffusent à la fois les faux Mac Defenders et les spam liés à la mort d’Ossama Ben Laden. Spam (via mail ou mini-url sur Facebook) conduisant l’internaute sur un site de phishing.

2 - Cachez ces données que je ne saurais voir !
L’équipe Hassan Khan, Mobin Javed, Syed Ali Khayam et Fauzan Mirza (CSDU de Los Angeles et School of Electrical Engineering and Computer Sciences d’Islamabad) ont mis au point une technique de camouflage. La technique consiste à noyer les données à cacher dans le capharnaüm des données fractionnées lors de l’écriture de fichiers sur un disque dur. On se rapproche donc d’astuces relevant de la stéganographie ou plus exactement du palimpseste. Nouvelle approche d’une veille idée, mais nouvelle approche qui, expliquent les auteurs, permet de nier sans risque la présence de données « secrètes ». Ce principe de « plausible deniability » est d’autant plus important que certains pays entretenant un climat de suspicion permanente imposent aux frontières un filtrage pouvant aller jusqu’aux perquisitions du contenu d’un disque dur. Dans de telles situations, le recours à un outil de chiffrement ne suffit pas… et les astuces permettant de ranger lesdits fichiers chiffrés dans des espaces non-alloués d’un disque sont connues de ces mêmes services de police.

Le mémoire publié par les quatre universitaires est long, technique, et ne débouche pas encore sur une application utilisable par le grand public. Les chercheurs affirment qu’un analyste forensique examinant le disque dur cluster par cluster ne peut de prime abord soupçonner la présence des données ainsi camouflées, et leur extraction sans la clef permettant leur ré-ordonnancement relève de la plus haute improbabilité. Il doit être cependant possible de remettre en cause le principe « d’ignorance plausible » en extrayant toutes les données « officiellement visibles » et en calculant le delta des données « connues » et des « données restantes ». Pour peu que l’on soit à même de pouvoir distinguer dans chaque bout de cluster les informations appartenant au message secret des résidus de données appartenant à d’anciens enregistrements… ce qui n’est absolument pas certain.

Ndlc Note de la correctrice : dans un accès d’égotisme sournois, l’auteur a oublié de citer sa source d’information. Je cafte : François Lambel, un confrère de surcroît, spécialisé dans le domaine des infrastructures virtuelles.

3 - Magix A.G. : usage de SDL musclé
Totalement inconnue il y a une semaine, l’entreprise allemande Magix est parvenue en quelques heures à faire les gros titres de la presse spécialisée. Son secret ? Avoir répondu à la signalisation d’une faille par une injonction d’avocat et des menaces de procès alors bien entendu que l’inventeur avait clairement laissé entendre qu’il ne publierait rien avant émission du correctif. DarkReading détaille l’aventure, le Reg s’en fait également l’écho… Rarement entreprise a sabordé son image de marque avec une telle rapidité et aussi peu de frais. Histoire de confirmer cette position de champion, Attrition.org a immédiatement intégré Magix en tête de son classement des entreprises pratiquant la religion de la Sécurité par l’Obscurantisme renforcée par des menaces et mises à exécution.

Une collaboration intelligente avec des chercheurs en sécurité et une publication des détails sur les travaux d’assainissement du code débouche généralement par un renforcement de l’image de marque et une augmentation du niveau de confiance de la part des clients… et permet au passage de mieux contrôler l’expansivité volubile de certains chercheurs. La lecture de l’article « Coordinated Vulnerability Disclosure: From Philosophy to Practice » publié sur le blog du Microsoft Security Response Center est un parfait exemple de cette nouvelle forme de diplomatie, alors que cet éditeur a longtemps prôné la politique de la riposte musclée et le musellement des recherches.

Las,en Allemagne comme en France, des lois particulièrement répressives inculquent aux entreprises fautives l’instinct de la contre-attaque : la prétendue propriété intellectuelle devient alors plus importante que l’intérêt et la sécurité de l’usager. C’est là une attitude néfaste, une revendication de la victimisation à tout propos, que le législateur n’avait probablement pas prévu ou cherché à prévoir.

 4 - Hackito 2011 : en images animées
Une liste de vidéo YouTube a été postée, regroupant l’intégralité des conférences données à l’occasion de Hackito Ergo Sum 2011. L’occasion de revenir sur des présentations non commentées jusqu’à présent, et notamment celle de Rodrigo Rubira Branco (BSDaemon), dont la voix de stentor a réveillé les consciences des chercheurs en sécurité réunis à l’occasion. Branco s’est lancé dans un plaidoyer sur l’importance des conférences de sécurité, les HITB, les HES, les CanSecWest, lieux de rencontre et surtout d’échange qui sont absolument nécessaires pour que progressent les travaux de chacun. Sujet bateau ? En ces temps de restrictions budgétaires, les déplacements à Singapour ou à Kuala Lumpur sont souvent considérés comme de simples déplacements d’agrément par les entreprises possédant un « research team ».

A ne pas louper non plus, la présentation de Jon Larimer sur les AutoRun potentiellement mortels sous Linux. Larimer est un chercheur de la Xforce d’ISS/IBM. Ses travaux arrivent à point, quelques mois à peine après que les autorun empoisonnés aient été pris en compte dans la sphère Microsoft. A voir également la « prez » de Tarjei Mandt… à laquelle l’équipe de CNIS n’a pas assisté en « live »… mais c’est précisément aussi à çà que servent les after des conférences sécurité : expliquer aux journalistes ignares les arcanes du Kernel Pool.

Grands absents de cette conférence, les organisateurs eux-mêmes, et notamment Philippe Langlois (P1 Security) , Matthieu Suiche (Moonsol) et Jonathan Brossard, qui étaient intervenus l’an passé, et dont les travaux de recherche n’ont pourtant jamais connu de relâche durant l’année écoulée. Espérons que HES 2012 les verra revenir sous la casquette d’orateur, avec encore plus d’intervenants étrangers, encore plus de travaux « hors normes ».

NDLC Note de la Correctrice : un paparazzi local a publié une série de photos compromettantes de l’évènement.

5 - Stuxnet est-il soluble dans la politique ?
ComputerWorld publie un article fort amusant, rédigé après une intervention publique de Janet Napolitano, patronne du Department of Homeland Security (DHS). Elle y dénonce notamment la lenteur avec laquelle le secteur privé a pu réagir au moment de l’attaque Stuxnet. Interrogé par nos confrères de ComputerWorld, un expert en sécurité -Bob Radvanovsky-, réagit à ces propos et rappelle que si Siemens a connu effectivement un certain « retard à l’allumage », le DHS lui-même, durant toute cette histoire, n’a pas particulièrement brillé pour sa célérité lorsqu’il s’est agi de bien « communiquer » et informer les industriels à propos de la menace. Les Cert, pour leurs parts, sont restés cois, imitant ainsi dans cet assourdissant silence les antivirus et autres firewall qui, lorsqu’ils étaient présents dans les infrastructures industrielles visées, n’ont ni bronché, ni désinfecté au passage dudit Stuxnet. Ou alors très tardivement. Et notre expert d’ajouter que les premières réactions et analyses, principalement celles de Ralf Langner, de Kaspersky et de Symantec, provenaient bien du secteur privé, n’en déplaise à Madame Napolitano.

Généralement, lorsqu’un Ministre ou équivalent de Ministre critique de manière générale un secteur particulier de la société –ici celui des industries privées impliquées dans la fourniture d’équipements destinés aux réseaux Scada-, c’est pour faire le lit d’une proposition de loi qui n’aurait aucune chance de passer en temps normal. Cette attitude s’est particulièrement vérifiée durant les périodes de campagne électorales et chaque fois que les sondages indiquaient une baisse de popularité des nombreux « Security Czars » qui se sont succédés à la Maison Blanche.

6 - Les C0d3rZ sous les feux de la rampe
Les hackers , surtout les plus noirs, ont, depuis longtemps, inspirés les réalisateurs. Ceux de War Game, Avalon, ExistenZ, Hackers ou Operation Espadon. Avec Subject : I love You , il faudra également compter avec les malwares, qui méritent eux aussi une parcelle de gloire hollywoodienne. Une belle brochette d’acteurs connus joue l’épopée d’un amoureux éconduit qui écrira le « virus du siècle » par désespoir. I love you (the movie) est assez loin des réelles motivations d’ I love you (the virus), fait remarquer Graham Clueley (Sophos), qui espère au passage que cette bluette façon « série Harlequin sauce binaire » n’ira pas inspirer les jeunes générations. Peut-être notre chez Graham regrette-t-il les œuvres amoureusement diffusées par Gigabyte, hackeuse Belge de talent. Lesquelles œuvres se présentaient sous la forme d’un « jeu d’entartage »* mettant en scène précisément les figures de MM William Gates et Graham Clueley. C’était il y a si longtemps…

Avec Subject : I love you, Hollywood tient là un filon inépuisable. Bientôt, sur nos écrans, une nouvelle version encore plus réaliste de Die Hard XVII intitulé « Insert USB Key : Stuxnet Ready », un remake de Fast and Furious ( RBN, The Russian Mafia strikes again), une suite de Midnight Express ( Turkish skimmers, the fatal ATM), un épisode hard core avec L.o.i.c. en guest star ( OSS117 : Sony ne répond plus), une version geekisée des œuvres de Terry Gilliam ( Phisher King) etc… , chaque sortie provoquant à son tour une série de réflexions profondes de la part des patrons marketing du monde de la sécurité sur le ton « pourvu que ça n’inspire pas les script kiddies ». On parlerait même, dans les milieux autorisés, d’une modification des avis des comités de censure qui, à côté d’un « PG 14 » ou d’un « interdit aux moins de 16 ans » serait accompagné par des précisions du style « scène de nudité de code C++ » ou « écrans IDA Pro non floutés : pour public averti ».

Ndlc Notre de la correctrice : la Belgique n’est-elle pas la patrie du Gloupier? Par solidarité féminine, je me dois de préciser que Gigabyte n’a jamais « diffusé » ses œuvres sous forme de binaire exécutable. Seulement le source en Ascii, comme n’importe quelle autre « proof of concept ». Faute qu’elle a très cher payé d’ailleurs.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)