Spécial sécurité - Virus Android : éditeurs de tous pays, unissez-vous !

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, donne un coup de projecteur sur le premier vrai virus pour Android, RootCager, tout en analysant les réactions des éditeurs d’anti-virus, parfois trop impatients de profiter de l’aubaine. Ils passent en revue le Patch Tuesday de mars puis s’arrêtent sur la ruée des éditeurs de navigateurs à colmater leurs applications, avant le prochain concours P0wn20wn du 9 au 11 mars, à Vancouver.

Sommaire
1 - Virus Android : Editeurs de tous pays, unissez-vous !
2 - MS-bulletin : trois coups en mars, ça repart
3 - Navigateurs : voies d’eau multiples avant abordage

1 - Virus Android : Editeurs de tous pays, unissez-vous !
Il en aura fallu du temps, pour pouvoir enfin bénéficier d’un véritable virus sous Androïd, et non un vulgaire Troyen tem Geimini qui n’était connu qu’en Chine. RootCager est un vrai malware, un dur, un tatoué qui peut enfin justifier l’achat d’un logiciel de protection. Des millions de licences renouvelables annuellement… qui donc ne rêverait pas de cette thébaïde pour éditeurs en mal de reconversion ? Mais revenons à Rootcager. Bien qu’également venu de l’Empire du Milieu, il s’est un tantinet plus internationalisé que son cousin. Ainsi semble en témoigner la liste des « appliquettes » contaminées recensées par Symantec dont toutes ne portent pas de titres en Cantonais. Ledit Troyen est un récolteur d’information (numéros IMEI et IMSI nous apprennent les experts) doublé d’un downloader. Une aubaine pour les vendeurs d’antivirus, qui rament depuis des années en tentant de refourguer du périmétrique pour terminal mobile. Chacun y va de son analyse ou de son billet de blog. Kaspersky, F-Secure nous offrent deux articles sur le sujet, et même le Sans émet un bulletin.

Mais le boutiquier du périmétrique qui parvient à la plus paradoxale des conclusions est sans conteste Vanja Svajcer, de Sophos qui, après une brève analyse du malware, en conclut « The openess of the platform and the availability of alternative application markets makes Android-based devices more difficult to secure ». Autrement dit, s’il y a moins de virus sur iPhone, c’est uniquement parce que le système d’exploitation et les kits de développement d’yceluy sont totalement propriétaires et fermés. L’ennemi, c’est l’ouverture, la tare c’est la mise à disposition publique des mécanismes système et surtout la possibilité de laisser entrer n’importe quel développeur en chambre dans le cénacle des Grands du Logiciel. « Un droit d’entrée de 25 $ seulement pour avoir le droit de publier une application pour Android, c’est la porte ouverte à tous les dangers » continue Svajcer. Probablement comme la majorité des applications sous Debian ont représenté un danger potentiel car n’offrant strictement aucune ségrégation par l’argent. Et l’auteur de continuer : « cette situation me rappelle Windows il y a quelques années. On se demande si l’histoire n’est pas en train de se répéter ». Rappelons qu’il y a précisément quelques années, les contraintes d’orthodoxie d’écriture et les interdictions d’injection de code en « ring zéro » par Microsoft, au moment de l’arrivée de Windows Vista, avaient provoqué une levée de boucliers de la part de ces mêmes éditeurs d’antivirus, sous prétexte que ces contraintes les empêchaient de « bien » faire leur travail. Depuis, il a bien fallu faire avec les UAC.

L’adoption d’un smartphone est un choix… et un compromis. Sans ouverture, pas ou peu d’évolution, avec ouverture, l’on s’expose à un certain niveau de risques qui peuvent être en grande partie maîtrisés par l’adoption d’une politique de sécurité sérieuse.

2 - MS-bulletin : trois coups en mars, ça repart
En mars, 3 bulletins, pas un de plus, nous promet la « notification préalable » du MSRC Microsoft. Une alerte jugée critique, les deux autres importantes.

Le correctif critique concerne les stations XP à Seven, les serveurs n’étant pas affectés. Les deux autres alertes portent sur la « fuite d’information » MHTML, de fin janvier, et qui n’avait pu être intégrée dans le précédent train de rustines de février. L’autre bulletin s’adresse aux utilisateurs de l’environnement P2P Groove, le bébé de Ray Ozzie, sans autre forme d’information.

3 - Navigateurs : voies d’eau multiples avant abordage
Patchera, patchera pas ? Les hackers du monde entier se posent, amusés, la question. L’on parle ici des véritables hackers, des techniciens confirmés, des chasseurs de failles de haut vol, des inventeurs d’exploits « éthiques » qui assisteront au prochain concours P0wn20wn qui se déroulera durant la prochaine CanSecWest, du 9 au 11 mars prochain à Vancouver. Comme de tradition, ce sont les navigateurs qui serviront de cible.

Côté Microsoft, la chose vient d’être annoncée dans le tout récent « pré-bulletin » d’alerte : il n’y aura pas ce mois-ci de quasi traditionnel cumulatif I.E. le 8 mars, veille du concours et jour du « patch Tuesday ». Le fait est d’ailleurs assez inhabituel pour qu’il mérite d’être signalé.

Google, de son côté, colmatait Chrome il y a moins de 8 jours avec 19 bouchons et Apple émettait des correctifs supprimant 16 failles menaçant Safari. Mais le 3 mars, un nouveau chapelet de bulletins long comme un jour sans pain –une cinquantaine de CVE !- sécurisait à son tour iTune… Lequel iTune utilise des composants communs à Safari, et plus particulièrem ent le fameux WebKit, qui à lui seul est à l’origine de 30 failles répertoriées. Il y a fort à parier que l’impact médiatique du concours P0wn20wn fasse passer quelques nuits blanches à l’équipe Sécurité d’Apple et qu’un flot de correctifs en découle avant la date fatidique. L’on doit noter qu’un grand nombre des CVE sont revendiqués par la Team Sécurité de Google. Un Google dont le navigateur utilise également WebKit. Ce qui laisserait penser que les 19 failles comblées l’ont été avec l’assurance d’une certaine primeur.

A la Fondation, la mise à niveau de Mozilla s’est également effectuée le 3 mars, fermant ainsi la porte à 11 CVE d’un coup

.

Pour approfondir sur Menaces, Ransomwares, DDoS