Spécial sécurité : Microsoft SIR 2009, un peu moins de trous, autant d’attaques

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, ont passé au crible le traditionnel Microsoft Security Intelligence Report. Ils y relèvent notamment une baisse de publication des failles critiques. Ils se sont intéressés ensuite à l'ouverture d'une mission parlementaire autour de la prolifération des armes à feu factices en France. Alors qu'Etats-Unis, les malfrats s'amusent à maquiller leurs véritables armes en jouets pour (grands) enfants.

Sommaire
1 - Microsoft SIR 2009 : un peu moins de trous, autant d’attaques
2 - Contrefaçon : Arma virumque cano*

1 - Microsoft SIR 2009 : un peu moins de trous, autant d’attaques
Pas ou peu de surprises au fil de la lecture du huitième rapport semestriel Microsoft Security Intelligence Report. La fréquence de divulgation des failles est en régression de 8,4% (tous niveaux de dangerosité confondus) soit une baisse de 9% des failles publiées qualifiées de « sévères » ou « critiques ». Les alertes concernant Internet Explorer et autres composants de Windows sont devenues, si l’on considère leur exploitation dans le cadre de malwares de tous types, en net retrait comparées aux alarmes provoquées par des programmes tierce partie, notamment Acrobat Reader.

Ainsi, durant toute la période juillet-décembre 2009, le « top ten » des exploits visant Vista et Seven via les navigateurs et leurs accessoires portaient sur deux failles Acrobat (45% des cas via CVE 2009-0927 et 13% des cas CVE-2007-5659), un trou Internet Explorer (CVE2009-0075, 18%), et deux défauts RealPlayer et Quicktime (respectivement CVE 2007-5601 et CVE 2007-0015, gravitant aux environs de 4 à 5% des infections). Tous types de noyaux confondus, XP y compris, la part des attaques browser based est imputable à près de 44% à des fuites Acrobat et à 15,7% au gouffre I.E. CVE 2009-0075 (corrigé par MS 09-002 ). En d’autres termes, 60 % des malwares visant les navigateurs ont exploité majoritairement seulement trois failles majeures.

Le second semestre 2009 a également été marqué par un autre record : celui du plus grand nombre de failles divulguées corrigées depuis le début 2005. 104 CVE colmatées, 47 bulletins de sécurité et leurs correctifs associés, ce qui fait une moyenne de 2,2 bouchons par alerte, en nette diminution, pavoise Microsoft, par rapport à 1H09 qui, avec 85 CVE et 27 bulletins affichait 3,1 rustines par bulletin en moyenne. Ce calcul est fortement biaisé par le fait que les failles I.E. exploitables sont en nette diminution. Or, les correctifs I.E. ont toujours été de véritables « nids à rustines cumulatives », les trous multiples découverts sur un même composant logiciel noyau étant nettement moins courants. Effectuer une moyenne générale des correctifs par alerte n’a donc pour but que de masquer de très forts déséquilibres qui, des années durant, a fait d’I.E. le composant le plus fragile et le plus visé par les attaques de toute la sphère Windows.

Cette remarque est d’ailleurs confirmée par une autre métrique, celle des attaques continuant à viser les anciennes versions du navigateur Microsoft, et plus particulièrement I.E. 6.x. Plus de 55% des attaques exploitant le navigateur visent un composant Microsoft lorsque l’architecture est de type XP (le reste étant une exploitation de logiciels « tierce partie »), contre 24,6 % sous noyau Vista/Seven. L’héritage d’I.E. 6 est encore très lourd à porter.

Si l’on considère l’évolution du nombre des vulnérabilités, tous types confondus, de1H06 à 2H09, il ne fait aucun doute que les programmes applicatifs tierce partie « non Microsoft » constituent le plus grand nombre de menaces (ce qui n’implique pas nécessairement qu’elles soient exploitées). Malgré la baisse de près de 9% des bugs déclarés, énoncée plus avant, les programmes tiers ont compté pour près de 2500 alertes durant le dernier semestre 2009, contre un étiage plus ou moins constant de défauts purement Microsoft se situant en dessous de la limite des 200 failles déclarées.

L’exploitation localisée de ces failles montre d’importantes disparités de traitement selon le pays concerné. Ainsi, dans 50% des attaques, les habitants des USA doivent redouter les chevaux de Troie… tandis qu’au Brésil, ce sont les vers et programmes de récupération de mots de passe. Les vers arrivent en tête également en Espagne et en Corée. En France et en Grande Bretagne, les Troyens frappent le plus souvent, avec une très nette seconde place des adwares au Royaume Uni. En Allemagne, si les Troyens arrivent également en tête, ils sont talonnés par les downloaders et droppers… les usagers Chinois sont, pour leur part, victimes d’une catégorie plus générique et anormalement développée, celle des « logiciels indésirables divers ».

Que visent ces attaques ? Bien sûr les grands « classiques » précédemment énoncés. Mais les failles les plus fraîches ne font pas nécessairement les virus les plus dangereux. 55% des attaques effectuées à l’aide de « boîtes à outils » à malwares sont orchestrées pour violer des systèmes XP. 45% de ces « anti XP » visent d’ailleurs spécifiquement des logiciels ou des éléments de logiciels non-Microsoft… proportion qui grimpe à 75% lorsque la cible est Windows 7 (attaques Web visant des logiciels tiers installés sur le poste client). Ces fameuses attaques contre des programmes réputés fragiles a d’ailleurs adapté le comportement des attaquants. Constatant le succès des attaques contre ces logiciels tiers (Adobe, Real etc), le nombre de charges utiles intégrées par les virus toolkits a fortement diminué, pour atteindre un étiage de 2,3 «  payload » par virus. Chiffre qui n’exclut pas certaines émergences exceptionnelles, tel qu’un vecteur d’infection découvert par Microsoft et contenant 35 exploits différents. Cette tendance risque de perdurer encore quelques temps : tant que le parc des systèmes accessibles sur Internet comportera une proportion significative de noyaux d’origine Windows XP ou de version non mises à jour de programmes tiers fortement répandus, les noyaux Windows 7 et navigateurs I.E. 8.x resteront relativement à l’abri des attaques. Parfaite illustration de la théorie des « fruits les plus faciles à cueillir ».

Le rapport SIR 2H09 confirme très clairement également la rapidité (l’on pourrait parler de polymorphisme) des attaques spécialisées. L’on se souvient de la course au foisonnement de noms de domaines de Conficker/downadup, l’on peut également mentionner les performances du sinistre toolkit Zeus, qui a généré plus de 90 000 variantes de malware pour mieux masquer ses vecteurs d’attaque. Face à une telle avalanche de signatures, il devient de plus en plus difficile pour les programmes de protection périmétrique de se mettre à jour rapidement et parer à ces menaces en perpétuel changement.

2 - Contrefaçon : Arma virumque cano*
 

Depuis quelques jours, une mission parlementaire conduite notamment par le député Bruno Le Roux (PS) se penche sur la prolifération des répliques d’armes à feu plus vraies que nature. Selon les statistiques de la police, près de 3500 braquages par an seraient perpétrés à l’aide de faux Glock, de pseudo Sig Sauer et des Kalachnikov d’opérette. Une synthèse du problème, signée Franck Cognard, a fait la une de France Info, le député missionnaire explique sur son blog les motifs de sa croisade. Ce qui a entraîné la rédaction de différents articles de la part de nos confrères de – Metro, LCI, Metro encore ou TF1. Mêmes témoignages, mêmes statistiques, même exemple dans le choix des faits-divers illustrant ce problème, même informateur et mêmes propos : le faux flingue fait aussi peur que le vrai et peut légitimement entraîner une riposte des forces de police qui, elles, n’utilisent pas de jouets.

Les syndicats de police, quant à eux, attirent l’attention que dans le feu de l’action, rien ne permet objectivement de distinguer une imitation d’un engin de mort réel… les conséquences peuvent en être dramatiques. Les amateurs de guéguerre ludiques (passionnés de « airsoft ») y voient une campagne médiatique injustifiée, des arguments simplistes et un risque d’entrave à leur activité.

Que nenni ! Nous ne voulons léser personne répliquent les politiques chargés de cette mission. Parmi les « solutions » retenues, un marquage visible sur le canon de l’arme devrait faciliter la distinction entre un joujou et l’arsenal d’un truand. Et de citer en exemple le Canada, qui, depuis longtemps déjà, a imposé cette pratique.

Ce qui revient à dire que ce ne seront plus les fausses armes qui devront être commercialisées sous contrôle, mais les pots de peinture. Car qu’est-ce qui pourra bien empêcher les tontons flingueurs de demain de barbouiller leur Beretta (faut en avoir l'usage, sans ça, au prix actuel, on l'amortit pas) ?

Réponse : rien

Pour preuve, ce cri d’alarme poussé par le maire de New York, ville où, contrairement à la France, l’on voit de plus en plus souvent des braqueurs utiliser de véritables pétoires arborant des couleurs pour le moins assimilables à celles des jouets : Rouge carmin, jaune canari… la police de Baltimore propose même un jeu mortel  : spot the real gun. Entre l’AK47 décorée à la «  Hello Kitty » et le Glock rose bonbon, difficile de faire la différence entre de l’usine à doum-doum garantie sur facture et un tue-mouche bidon. D’autant plus que même les amateurs y trouvent matière à dérision. Les clubs de tir de l’Ouest Sauvage apprécient l’artillerie customisée aux couleurs d’outils de chantier ou dans les tons girly. Ces spadassins du dimanche, sous des dehors bon enfant, ont la puissance de feu d’un croiseur et des flingues de concours.

Mais le fin du fin, c’est la véritable fausse arquebuse en imitation d’authentique escopette barbouillée. Un authentique faux maquillé en vrai qui serait travesti en faux. De quoi donner la migraine à tous l’hémicycle.

*NdlC Note du Correcteur : généralement traduit par « Je chante les armes et les hommes », ou plus exactement « je chante le combat et le héro », et non « qui a viré de la pate Arma dans le canon ? ». Premier vers de l’Eneide miné comme une plage de débarquement par des accusatifs ou nominatifs suivis d’un infinitif dont il faut comprendre l’obscure liaison. Et on se demande pourquoi j’ai échoué dans la relecture de textes abstrus plutôt que de couler paisiblement mes jours à parfaire mes versions latines.

Certaines parties de cet article doivent beaucoup aux Tontons Flingueurs… mais était-il nécessaire de le préciser ?

Pour approfondir sur Menaces, Ransomwares, DDoS