Spécial sécurité : grippe porcine, cochon qui s'en dédit
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'amusent du déluge de spams qui a suivi la psychose entourant la grippe porcine. Avant de se pencher sur une faille affectant Acrobat Reader.
Sommaire :
- 1 - Cochon qui s’en dédit
- 2 - Adobe : la faille qui tuera Javascript ?
- 3 - Sécurité Windows 7 : le suffixe qui tue
Il était bien trop tôt pour que le tout dernier « spam report » de MessageLabs puisse prendre en compte la brutale progression du spam à base de grippe de cochon reconstitué. La tendance n’est pas très heureuse car, après une très nette chute des courriels cochons et pharmaceutiques, fin 2008, suite à la fermeture de l’hébergeur McColo, le niveau de spam est très nettement remonté, atteignant en moyenne 85 % du volume général des emails. Ce niveau serait d’ailleurs légèrement supérieur à l’ère « après-McColo », durant laquelle il plafonnait aux environs de 82%. A noter également, au fil de ce rapport, la confirmation chiffrée prouvant la nette diminution des attaques directes (virus, spywares) véhiculées par courriel. Les pourriels poussent plutôt les internautes à visiter des sites qui, à leur tour, infecteront les postes de travail dans le cadre d’un « drive by download » ou assaut similaire. Eternelle guerre d’usure que pratiquent les blackhats contre les gens bons.
Depuis, la grippe porcine a légèrement accru les volumes de spam. Ces pourriels porcins parcourant le pays poussent, patibulaires, les passants au faux pas. Symantec en donne un exemple frappant, qui incite les surfeurs à remplir civilement un formulaire d’information sanitaire… Si, dans ce cas précis, l’opération vise à soutirer des informations personnelles aux plus naïfs des cybernautes, d’autres cherchent avant tout à en retirer un profit direct. Le spam pharmaceutique fait la manchette du blog de l’Avert, avec des techniques que l’on aurait pu croire éculées : la combinaison d’un nom de célébrité (Obama, Madonna, Gore…) et d’une maladie capable de décimer la population de la planète – à tout hasard la grippe porcine. Le tout redirigeant vers… un célèbre vendeur de Viagra. Glissons au passage qu’il ne se vend pas là la moindre ampoule de Tamiflu. Un précédent billet de ce même Avert avait attiré l’attention des lecteurs sur une autre technique - assez abjecte et racoleuse - visant à attirer la victime vers un site infecté dans le but d’injecter un spyware de vol de crédences bancaires. Carders, spammers, vendeurs de fortifiants sexuels, hébergeurs marrons, mules et autres malfrats du Web sont toujours copains comme cochons.
Une dernière tranche de spam qui pourrait arriver à bon "porc" : celle détectée par F-Secure, et qui contient une simple pièce attachée au format PDF. Pièce attachée frappée d’une toxine botulique (encore un programme de vol de crédences), laquelle lance à son tour un second fichier, aussi blanc et pur que le porcelet qui vient de naître, afin de faire diversion. Toute tentative de détection virale envers cet innocent fichier s’achève en eau de boudin.
2) Adobe : la faille qui tuera Javascript ?
Ce trou qui affecte Acrobat Reader aura fait parler de lui… non seulement parce que l’alerte est sérieuse, émise par l’éditeur et commentée par l’ensemble des spécialistes, de Qualys à F-Secure, sans oublier le très éducatif billet de Sid, mais surtout parce que, une fois n’est pas coutume, Adobe recommande de « disable JavaScript in Adobe Reader and Acrobat ». Depuis le temps que les principaux Cert de la création entonnent cet air là, on est tenté de se demander quel est ce virus ou troyen qui, par un malin plaisir, passe son temps à réactiver Javascript une fois le dos de l’usager tourné.h
Par mesure de précaution, l’on peut effectuer un filtrage et une désinfection de tous les fichiers « truffés au script » grâce à PDFiD, l’utilitaire de Didier Stevens.
3) Sécurité Windows 7 : le suffixe qui tue
Windows 7 Fail titre F-Secure. Titre que reprend Brian Krebs dans les colonnes du Washington Post. Dans l’état actuel de la pré-version, le futur système d’exploitation renferme toujours des erreurs de conception monstrueuses, vitupère Mikko Hyppönen, le patron du labo Finlandais. Car malgré les nombreux signaux d’alarme émis par les spécialistes sécurité, Windows Explorer septième édition persiste à masquer le véritable suffixe d’un fichier si celui-ci possède plusieurs extensions. Ainsi, un « readme.txt.exe » sera affiché « Readme.txt »… Le simple fait d’ouvrir ce que l’usager croira être un document Texte provoquera l’exécution du programme ainsi masqué. C’est la vengeance des noms de fichiers longs, la faute à l’absence de véritable vérification de cohérence, par l’Explorer, entre le type de fichier affiché par son nom et la structure réelle de son en-tête… De quoi faire regretter le bon vieux temps de DOS et de ses noms de fichier 8+3.