Spécial sécurité : bienvenue dans l'ère du Obama.exe
Depuis le début du mois d’août, LeMagIT ouvre ses colonnes à CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères s'amusent de la vague de malwares tentant d'exploiter l'élection du nouveau Président des Etats-Unis. Avant de s'interroger sur la lenteur d'Adobe à corriger une faille hautement critique.
Sommaire
- 1 - Petits cybercrimes opportunistes (premier tour)
- 2 - Petits cybercrimes opportunistes (second tour)
- 3 - Adobe 8, trou sérieux
- 4 - WPA n’est pas cracké…
1) Petits cybercrimes opportunistes (premier tour)
La rédaction toute entière –correctrice-des-notes-de-la-correctrice y comprise- se demande si ce genre d’alerte est bien nécessaire : les Amériques nous envahissent de malwares électoraux. A peine la nomination du Président d’Outre-Atlantique est-elle prononcée, à peine les processeurs des machines à voter ont-ils refroidi que chauffent déjà ceux des émetteurs de spywares, de troyens, d’hameçonnages, de virus… on va en consommer, dans les jours à venir, du Obama.exe. Ceci expliquant probablement cela, la proportion des spams et malwares associés à la très traditionnelle et très américaine nuit d’Halloween n’a généré que très peu de bruit cette année. Des deux urnes, les funéraires n’ont pas survécu. A lire donc, à ce sujet, un petit florilège de perles collectées par l’équipe de l’Avert.
Toujours sur ce même thème électoral, cette nouvelle, en provenance du Blog F-Secure : les deux candidats se sont eux-mêmes fait hacker, très probablement, estiment les experts du FBI, par les services de renseignements d’une puissance étrangère. Plus de détails dans l’article de NewsWeek qui fut le premier à révéler l’affaire. Il faut dire qu’une campagne présidentielle américaine est une véritable foire aux fichiers nominatifs : des numéros de cartes de crédit fournis par les généreux donateurs d’un bord ou d’un autre, en passant par les fichiers de contacts téléphoniques, sans oublier les adresses des industriels sympathisants, des partenaires politiques, des clubs et associations variées qui gravitent dans l’orbite de chaque présidentiable, il y a là de quoi tirer bien des enseignements, bien des profits, bien des leviers …
2) Petits cybercrimes opportunistes (second tour)
Opportuniste par nécessité, jeune homme pauvre mais honnête souhaiterait devenir riche et franchement truand. Envoyer conseils sur le hack en 10 leçons et l’art de détourner des CC et autres usines à zombies à Ronit. Ce message innocent et désespéré est repris sur le blog de F-Secure, mis en perspective de manière relativement pudique : derrière bien des actes de délinquance se cachent souvent des drames personnels ou une pauvreté qui ne peut se payer le luxe de l’honnêteté. On se bat toujours pour ce qui nous manque le plus. C’est la rançon du libéralisme, c’est surtout là le rappel d’une vérité première, il ne faut pas confondre l’indice de Pareto et le coefficient de Gini.
Si sérieux qu’il fait réagir le Sans, lequel ne bouge généralement pas lorsque les failles ne sont que « moyennement critiques ». Acrobat 8 et Adobe Reader 8 sont touchés. ColdFusion 8 est susceptible d’offrir une possibilité d’élévation de privilège tandis que FlashPlayer nécessite l’application d’une rustine colmatant 6 brèches différentes. Dans l’ensemble, certaines de ces vulnérabilités sont considérées comme « hénaurmes ». Ceux que le doute assaille en seront convaincus après un petit tour sur le blog d’un Expert de Miami. Hénaurmes, mais également tardives, à tel point, s’étonne Sid, que le défaut le plus flagrant méritait même de rentrer au panthéon des failles antiques « connues de tout le monde du hack », puisque les premiers à en avoir signalé l’existence affirment avoir envoyé une alerte à Adobe en janvier dernier.
Alors, pourquoi cette correction toute sénatoriale ? Parce que ce qui n’est pas formellement connu du grand public n’a pas à être rectifié dans l’urgence ? se demande Cedric Blancher… à moins… à moins précisément que cette faille ait fait parti des « outils d’investigation nécessaires » appartenant à la panoplie d’une centrale de renseignements ou toute autre infrastructure policière ou militaire. On ne peut tout de même pas invoquer la stupidité, l’indolence, la paresse ou les sentiments les plus veules chaque fois qu’un défaut évident met un peu trop de temps à se faire corriger. Allez, accordons à Adobe le bénéfice du doute : c’était probablement là une faille « patriotique ». C’est furieusement tendance, ces jours-ci, de l’autre côté de l’Atlantique.
… mais presque nous apprennent successivement Thierry Zoller, le quotidien du Sans, Gizmodo ou encore C-Net. En fait, il s’agit bel et bien d’un tour de force, puisque la clef TKIP est cassée, et, comble de subtilité, sans utiliser une méthode d’attaque par dictionnaire. Les outils employés sont disponibles sur le réflecteur Aircrack, notamment tkiptun-ng et airdecloak-ng.
Comme le font remarquer la grande majorité des experts du milieu, ce n’est pas encore la fin de WPA. On est encore loin de l’accès aux données transmises. Ajoutons enfin que rares, très rares sont les équipements WPA qui ne sont pas également capables de fonctionner en mode WPA2. Un WPA2 qui, lui, est encore à l’abri de toute menace pour des raisons conceptuelles, comme l’explique Robert Graham d’Errata Sec. Les techniciens se sentant le courage de suivre une leçon magistrale sur le fonctionnement de TKIP et sur les implications de ce type d’attaque doivent absolument se plonger dans le long article de Cedric Blancher à ce sujet.