Spécial Sécurité : antivirus à la Pyrrhus

Tout au long du mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Dans cette édition, la rédaction de CNIS revient sur une énième faille des machines à voter. Avant de se pencher sur des antivirus qui n'en ont en fait que l'apparence.

cnis logosnoirSommaire :

- 1 - Introduction à l’avis des votes

- 2 - Antivirus à la Pyrrhus (premier couplet)

- 3 - Antivirus à la Pyrrhus (refrain)

- 4 - Antispam, badam, badam (coda)
 

- 1 - Introduction à l’avis des votes

Lorsqu’un bug frappe les mécanismes démocratiques, cela se traduit par un sacré problème de déploiement de patch. Mary Pat Flaherty, du Washington Post, révèle que les machines à voter fabriquées par l’Américain Premier Election Solutions ont parfois tendance à perdre quelques bulletins au passage. Et ce particulièrement lorsque le volume de bulletins à transférer au centre de dépouillement est important.

Pour l’heure, on aurait recensé 1750 circonscriptions utilisant ce matériel défectueux. Lorsque les premiers signes de mauvais fonctionnement sont apparus, l’équipementier aurait tout d’abord incriminé les responsables des installations informatiques, en rejetant la faute sur des antivirus un peu trop « bloquants ». Puis, devant l’absence de preuves confirmant cette affirmation, Premier a alors invoqué la sacro-sainte « erreur humaine », celle qui ne connaît ni patch ni repos. Le défaut était pourtant si discret qu’il aurait été présent depuis plus de dix ans, ont fini par reconnaître les concepteurs de la machine. Car derrière cette très peu connue « Premier Solution » se cache en fait l’omniprésente Diebold, dont les urnes électroniques, ou plus exactement leurs imperfections, font les manchettes des journaux au moins depuis 2004, année des élections contestées du Maryland.

La solution consisterait à appliquer une rustine … qui ne peut se télécharger d’un simple revers de modem, puisque toute modification du firmware nécessite, en toute logique, une nouvelle certification. Rappelons qu’en France, c’est précisément cette non-adéquation entre les versions de firmware installés et agréés qui ont contraint certaines municipalités (Issy-les-Moulineaux, Meylan, Noisy-le Sec notamment) à effectuer des changements de dernière minute. En Hollande, où la rentabilité de la démocratie ne se compte pas en monnaie sonnante et trébuchante, l’ordinateur de vote a été interdit.

- 2 - Antivirus à la Pyrrhus (premier couplet)

Les nuisances Internétiennes exaspèrent… et provoquent parfois de légitimes – quoiqu’inutiles - réactions de la part des victimes. Qui n’a pas, à l’aube des années 90, abreuvé d’injures épistolaires, ces premiers « spammeurs » dont on ignorait encore tout… ou presque ? Plus personne n’oserait commettre, de nos jours, un tel faux-pas, de crainte de se voir frappé par un retour de flamme qu’aucun serveur smtp ne serait capable de juguler. Il en va de même pour les sites de phishing, nous apprend SecureWorks. Et pourtant, combien il est tentant de montrer à ces cybermalfrats l’expression d’un juste courroux en remplissant les champs de crédence par un login « Je m’en phish » et un mot de passe façon « [censuré] ». Las, certains phishers utilisent désormais des dictionnaires capables de distinguer une bordée de jurons ou un mot de passe légitime, un login plausible d’un contrepet douteux. Mais l’histoire ne s’arrête pas là… Car, probablement vexé par cette attitude négative, le polluposteur escroc contre-attaque en jouant la scène du poste infecté et de l’antivirus salvateur qui vient à point nommé. Le scénario est classique, mais cette fois, les mesures de rétorsion sont violentes. Le fond d’écran, par exemple, est irrémédiablement modifié pour afficher un écran d’alerte catastrophiste. L’onglet de paramétrage dudit fond d’écran, par le biais d’une intervention hussarde dans la BDR, a lui-même disparu. Comme à l’accoutumé, le prétendu antivirus opportuniste affiche une EULA (End user Licence Agreement) ne comportant qu’un seul bouton – Agree and Install -, qui n’est pas sans rappeler les hacks humoristiques d’antan… «  All purpose obscure error message : formatting Drive C: -press any key to continue  ».

Mais dans le cas présent, il ne s’agit pas d’une plaisanterie.

La suite de l’histoire sombre dans le classicisme le plus ennuyeux : injection de Troyen, demande de paiement de licence… Jesper M. Johansson, dans les colonnes du Reg, s’est lancé pour sa part dans l’analyse poussée d’un de ces antivirus russes et rusés. Une saga de plus de 8 pages, avec captures d’écran à l’appui, le tout s’exécutant dans le giron protecteur d’une machine virtuelle. Johansson, au fil des pages, va de surprise en surprise. A commencer par cette astuce qui consiste à griser le fond d’écran afin de faire jouer les réflexes pavloviens des usagers de Vista obnubilés par les UAC.

Ici encore, l’on se retrouve confronté à un écran « d’acceptation sans échappatoire », des Eula intéressantes à lire – et à interpréter -, des facturations de licence, et même des procédures de mise à jour tout à fait réelles…. Tout est là, y compris une page de support priant les usagers de signaler tout dysfonctionnement. Probablement pour améliorer plus encore l’efficacité du malware en question. Il y a des quintaux de développement, des tonnes d’ingénierie sociale derrière ce semblant d’antivirus caviardé. Assez, en tout cas, pour que du côté des Microsoft, des Oracle, des Apple, l’on ne puisse plus lire qu’une faille est considérée comme moins dangereuse sous prétexte qu’elle exige une « user interaction ».

- 3 - Antivirus à la Pyrrhus (refrain)

Et pendant ce temps, l’inlassable chasseur parti sur les traces du réseau RBN, Dancho Danchev, entame le quatrième volet de son recensement des softs de sécurité bidon. Car outre une subtilité et une complexité croissante de la partie programme, les voleurs d’identité et autres injecteurs de Chevaux de Troie construisent chaque jour une architecture réseau polymorphe, dynamique et redondante qui feraient, en temps de paix, le bonheur d’un RSSI en quête d’une infrastructure Wan sécurisée.

Entamons le dernier chapitre avec deux billets signés Brian Krebs, du Washington Post. Krebs s’intéresse, pour sa part, à toute la partie backoffice des crimewares, au business organisationnel de ces multinationales de l’escroquerie par Internet. Avec un premier volet plus spécifiquement consacré aux salles de marché qui louent du service Botnet et du kilo de postes zombifiés facturés au temps d’utilisation et à la quantité offensive ( Web Fraud 2.0: Distributing Your Malware ), et une seconde partie qui s’attache plus particulièrement à la cuisine anti-Catpcha. Car, avant de parler de postes infectés, avant d’envisager disséminer des exploits Java ou ActiveX, il faut bien amorcer la pompe à l’aide d’un courriel de phishing. Or, depuis quelques années, le business de l’antiphishing/antispam se porte comme un charme, et les domaines douteux sont blacklistés par les éditeurs avec la rapidité de l’éclair. Ne restent donc que les fournisseurs de services impossible à bannir, les Gmail, Hotmail, Hushmail et proches parents de noble extraction. Des forteresses dont l’accès est généralement défendu par un test de Turing – une reconnaissance de caractères déformés plus connue sous le nom de Captcha. Certes, reconnaît Brian Krebs, on voit de plus en plus de sites « gris » commercialiser des automates OCR que certaines déformations n’effrayent plus. Mais la méthode la plus efficace demeure la détection humaine.

Les grands réseaux de polluposteurs et de phishers –spécialistes de l’hameçonnage - emploient des armées de télétravailleurs chargés de décoder du captcha à longueur de journée. « 20 secondes de temps de latence par code identifié, une capacité de 500 000 à un million de captchas par jour, tout captcha décodé en plus d’une minute est remboursé, tout captcha erroné est remboursé… » c’est un véritable discours marketing, une industrie qui repose sur un esclavagisme insupportable. Car les « opérateurs de saisie » ne valent pas cher, dans le monde de la guerre virtuelle. 1 $ le mille, 100 dollars les 100 000 verrous levés. A ce rythme-là, pour nourrir une famille, même dans un pays du tiers monde, on y laisse ses yeux et son intégrité mentale. Le fait est connu depuis longtemps. Déjà, en mars dernier, le site Ha.Cker dénonçait cette exploitation humaine. Le Clusif Français, au cours notamment de son bilan 2007, attirait l’attention de ses membres sur cette nouvelle forme d’asservissement qui s’étend même aux univers virtuels des jeux de rôle en réseau. Mais un gamin de 11 à 16 ans qui tapote 16 heures durant sur un clavier, auréolé de gloire High Tech, fait moins souvent les gros titres des journaux que ces « baby Nike » ou les petites filles exploitées par les fabricants de tapis d’orient « faits main ». C’est pourtant la même misère, la même cruauté cynique.

- 4 - Antispam , badam badam (coda)

Encore et toujours du spam, encore une action supposée du sinistre Russian Business Network, cette fois dénoncée par Bruno Kerouanton qui témoigne de ce qui se passe dans l’enceinte très discrète de la Confédération Helvétique. La Suisse, ses clubs de milliardaires, ses sommets immaculés et surtout ses 82,4 % de volume smtp spammé, à comparer aux 75% du reste du monde… Dame, on est en Suisse, le pays des banquiers, donc le paradis du phishing.

Et c’est en dénonçant l’activité de ces polluposteurs, avec pourtant moins de virulence que ne le fait Danchef, que Roman Hüssy s’est fait attaquer par les mafieux d’Internet. En le dénigrant, en le faisant passer pour mort nous apprend SwissInfo.

Et Kerouanton d’égrener la litanie des piratages longtemps demeurés dans l’ombre. Ce titre du Matin, par exemple, qui nous apprend que dans le pays du gai Yodle, du cor alpin et de l’horlogerie fine, les installations gouvernementales essuient, elles aussi, les assauts de pirates « de provenance inconnue ». L’attaque, visant le Département Fédéral des Affaires Etrangères, paraissait provenir d’Afrique. Une information que les plus suspicieux pourraient rapprocher d’un entrefilet publié, en 2006, dans l’édition Genevoise du quotidien « 20 minutes » *, qui faisait état d’un nombre alarmant de cas soupçonnés d’espionnage du fait d’étudiants étrangers – les Chinois sont ouvertement désignés -. Un cri d’alarme des fonctionnaires chargés de la Défense Intérieure Helvétique avait même été poussé après que l’on ait constaté un accroissement très net de « reprises d’actifs » de PME et TPE à haute valeur ajoutée par des ressortissants de l’Empire du Milieu.

Statistiquement parlant, la Suisse compte un « taux de CISSP au mètre carré » très supérieur à la moyenne européenne. Logique, pour un pays dont le PIB repose essentiellement sur une industrie tertiaire. Mais des CISSP souvent liés à un devoir de réserve, une forme d’omerta de la respectabilité qui interdit à tous de « parler de ces choses-là ». Cette loi du silence se paye peut-être par un accroissement de la criminalité feutrée, qui, comme les champignons et la calomnie, a besoin d’ombre pour prospérer.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)