Spécial sécurité : Autopsie d’un pseudo antivirus russe
Depuis le début du mois d’août, LeMagIT ouvre ses colonnes à CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, la mise à jour de l’outil d’inventaire de faille de F-Secure, un point sur l’attaque TKIP et l’autopsie d’un pseudo antivirus.
Sommaire
- 1 - Inventaire de failles : gratuit et ressuscité
- 2 - Attaque TKIP, suite sans surprise
- 3 - Humour récidiviste
- 4 - Autopsie d’un pseudo antivirus russe
Inventaire de failles : gratuit et ressuscité
Après une courte interruption de l’image et du son, l’outil d’inventaire de failles « en ligne » de F-Secure vient de refaire son apparition. Nouvelle URL, interface localisée (l’unique bouton de lancement est désormais affublé d’un « vérifier maintenant »), le HealthCheck de F-Secure est aussi gratuit qu’indispensable : il vérifie la validité et la « date fraîcheur » de chaque exécutable installé sur une machine Windows. Contrairement à l’utilitaire de Microsoft, le MBSA, il ne souffre d’aucune déviance autistique. MBSA se limite aux seules failles liées à l’environnement Microsoft. C’est là une fonction très utile pour vérifier l’installation des multiples Service Pack et autres rustines « noyau » sur un serveur ou un petit groupe de travail, mais totalement illusoire si l’on souhaite vérifier l’intégrité réelle d’un poste de travail tout entier : cela fait belle lurette, en témoignent même les études de Microsoft sur le sujet, que les principales attaques visent majoritairement des défauts liés à des programmes tiers. L’application d’une mis à jour Adobe, d’un colmatage de Winzip, d’un correctif Mozilla ou d’un hook Skype est parfois plus importante que la correction d’un défaut mineur affectant Notepad. Seule ombre au tableau –mais qui comblera d’aise les travailleurs itinérants-, HealthCheck nécessite une connexion Internet.
Bien sûr, ce rapide panorama des « assessement tools » gratuits ne serait pas complet si l’on oubliait Secunia et sa déclinaison : OSI, le scanner en ligne, PSI, l’exécutable local, et NSI, la version réseau, professionnelle et payante, concurrente des produits de Shavlick par exemple.
Attaque TKIP, suite sans surprise
Presque rien de nouveau sous le soleil depuis l’annonce des travaux de MM Martin Beck et Erick Tews. Presque rien, si ce n’est la publication complète des travaux des deux chercheurs, Robert Graham modifie légèrement le billet publié sur son blog... L’analyse la plus complète et la mieux vulgarisée est, une fois de plus, à lire sur le blog de Cédric Blancher : WPA n’est pas cassé, TKIP est compromis –quelque soit le protocole auquel il est associé, WPA ou WPA2-, et il est plus que nécessaire de paramétrer les routeurs WiFi avec un mécanisme WPA CCMP/AES par exemple. Seule ombre au tableau, WPA AES impose certaines contraintes et n’est pas toujours compatible avec des modes de transmission un peu « hors habitudes », tel que le WDS. Mais cela ne concerne que très peu de responsables réseau doit-on préciser.
La menace est toutefois à replacer dans un contexte plus général et… nettement moins alarmiste. A moins de travailler sur un réseau sans fil d’entreprise donnant accès à des informations de valeur –autrement dit à autre chose qu’un réseau strictement familial ou en deçà de toute DMZ- cette « menace TKIP » ne représente qu’un très faible niveau de dangerosité vis-à-vis des éventuels pirates du monde sans fil. Non seulement les attaques y sont plus rares que ne veulent bien tenter de le prouver les marchands de matériel WiFi, mais en outre il sera toujours plus simple pour un attaquant de chercher à glaner des informations sur des réseaux « faciles à pirater », soit non protégés, soit mal protégés. Wep demeure encore, dans près de 40 à 80 % des cas selon la situation géographique, le protocole de protection le plus utilisé en France, le plus simple à violer, le plus rapide à spoofer.
Humour récidiviste
Dan Goodin du Reg nous raconte l’histoire abracadabrante de Francis G. Janosko, ex-détenu de la prison de Plymouth (MA) qui, probablement par désœuvrement ou nostalgie, s’est consciencieusement attelé à une tâche relativement complexe : le pillage systématique des identités (noms, adresses, N° de téléphone, de Sécurité Sociale…) des employés de l’établissement pénitentiaire. Le seul accès Internet autorisé aboutissant sur le réseau local de l’établissement était celui du serveur de mise à jour. S’agissait-il d’un SUS Server mal filtré ou d’une passerelle d’antivirus ? Mystère. Mais l’on peut probablement voir là probablement le fruit d’une lecture attentive des œuvres de Thierry Zoller qui, longtemps, a dénoncé la facilité avec laquelle les outils de mise à jour peuvent être dupés. Il suffit généralement d’une attaque en DNS pharming ou spoofing, suivie d’un camouflage d’un header d’exécutable en pseudo fichier Zip ou LZH.
Pour avoir trop lu, Janosko risque d’en prendre pour 12 ans, peine assortie d’une amende de 250 000$. C’est là l’un des rares cas où un hacker parvient à suivre physiquement le trajet de ses propres exploits.
Autopsie d’un pseudo antivirus russe
C’est une saga en deux épisodes, offerte par les membres de l’équipe SecureWorks (les ex du très célèbre Lurqh) : l’analyse d’un faux logiciel de protection dénommé Antivirus XP 2008. Un article qui ne parvient même plus à étonner, lorsque l’on apprend qu’en fait d’antivirus, ce programme ne détecte pratiquement que ses propres versions passées. Que son modèle de vente est associé à des entreprises hébergées, il fut un temps, sur les machines du RBN. Que l’on y retrouve des entreprises mouillées dans des affaires de vol d’identité, de détournement de cartes de crédit et de blanchiment d’argent. Nulle surprise non plus quand les chercheurs de SecureWorks dénombrent une quantité impressionnante de « clones » dudit programme, tous aussi bidonnés que l’original et proches parents de certaines filières de vente de Viagra en ligne.