Spécial sécurité : Conficker, Kaspersky, Alcootest
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, retour (encore et toujours) sur Conficker Downadup, zoom sur la cyberguerre, et polémique autour du code source... des alcootests.
Sommaire :
1 - Conficker, encore des nouvelles
2 - Faits divers : Kaspersky, suite et les Cybersoldaten
3 - Alcotests : le hola de Bellovin
1 - Conficker, encore des nouvelles
Les experts semblent prendre un malin plaisir à égrener les analyses, découvertes et considérations diverses concernant Conficker Downadup. Il faut dire qu’à la lecture de ces travaux de reverse engineering, on est pris d’un certain respect pour la méticulosité avec laquelle ces auteurs ont conçu ces mécanismes de réplication. Bojan Zdrnja du Sans, s’est rendu compte que la réaction et le « téléchargement » des éléments du ver variait selon qu’il s’exécute par RunDll32 ou via le service netsvcs. Autre détail relativement retors, Conficker corrige la fonction NetpwPathCanonicalize() de netapi32.dll, afin qu’une infection concurrente ne puisse à son tour exploiter cette vulnérabilité. Le patch en question est un branchement de la fonction directement sur le ver lui-même. Enfin, outre les tentatives de désactivation d’antivirus et autres logiciels de protection périmétrique, Downadup efface tous les points de restauration créés auparavant par le système. Il devient ainsi impossible de reconstituer une version antérieure du noyau enregistrée à une époque qui n’aurait pas encore connu cette infection.
Jose Nazario d’Arbor Networks, de son côté, applique la méthode F-Secure de comptabilisation du nombre d’IP infectées, et parvient à un total de près de 12 millions de victimes en date du 14 janvier dernier. Les plus importantes concentrations géographiques de Conficker se situent au Brésil et en Russie. Nazario rappelle que les machines possédant un paramétrage de clavier Ukrainien ne semblent pas affectées par l’invasion –le MSRC de Microsoft avait longuement décrit cette particularité. Durant toute cette période d’examen, la progression du ver était à l’époque quasi linéaire. Autre bizarrerie technique, il semblerait que Downadup utilise des domaines communs avec un autre botnet, Asprox, spécialisé dans la diffusion de spam et de mails de phishing.
OpenDNS, nous apprend Security News, grâce au reverse engineering de Kaspersky, promet de bloquer gratuitement et en temps réel touts les domaines de mise à jour « générés » par Conficker. Ainsi, le virus ne pourra évoluer et les administrateurs auront un répit supplémentaire pour tenter d’éradiquer l’invasion. En outre, une console d’administration spécifique permettra de prévenir les administrateurs utilisant ce service en cas de « requête » émise en direction desdits domaines. C’est là un moyen pratique et rapide pour détecter la présence d’un ordinateur infecté dans un réseau, quelque soit sa taille.
2 - Faits divers : Kaspersky, suite et les Cybersoldaten
En bref, la réaction « officielle » de Kaspersky après la revendication d’un hack touchant l’un de ses serveurs US :
« On Saturday, February 7, 2009, a vulnerability was detected on a subsection of the usa.kaspersky.com domain when a hacker attempted an attack on the site. The site was only vulnerable for a very brief period, and upon detection of the vulnerability we immediately took action to roll back the subsection of the site and the vulnerability was eliminated within 30 minutes of detection. The vulnerability wasn’t critical and no data was compromised from the site »
Les termes « a hacker attempted an attack », « vulnerable for a very brief period » et « no data was compromised » montrent à quel point la dialectique positiviste peut faire bon ménage avec la logorrhée marketing car, si l’on en croit le rapport de Dan Goodin du Reg, le hacker –les hackers même- n’ont pas fait que « tenter » une attaque, la période de vulnérabilité n’a pas été aussi brève que prétendue, et les données ont bel et bien été atteintes… Mais tout est relatif. Les serveurs ont été pénétrés mais pas trop, durant un temps d’autant plus court qu’il n’a pas été trop long et sans trop compromettre les données des clients.
Pendant que les Russes rusés comptent les tickets en caquetant et critiquant ce conte de toqué*, l’Armée Allemande, nous apprend Heise Online ouvre en grand secret une caserne de cyber-combattants. Après les sapeurs, les artilleurs, les fantassins, les cavaliers, les aviateurs, voici du « boudin » pour les hackers. Les recrues fraîchement émoulues de l’université de la Bundeswehr verront leurs quartiers installés à Bonn. Les révélations sur la création de cette nouvelle unité créent déjà quelques émois. Car ce ne seront pas là de simples « DSI en uniformes » chargés de protéger la sécurité des foyers informatiques. Ce Cyberstaffel devrait être capable de porter des coups, d’opérer sur le terrain des conflits virtuels, et, par voie de conséquence, en dehors des limites frontalières de l’Allemagne. Or, à l’exception des corps détachés dans le cadre d’opérations internationales –notamment humanitaires-, l’armée Allemande était interdite d’intervention en dehors du territoire national. Une idée de plus en plus contestée depuis quelques années. Nos confrères de Heise signalent que la constitution de ce corps est d’autant plus justifiée que les conflits informatiques « sans victime » d’Estonie notamment prouvent que la cyberguerre est bien une forme moderne d’affrontement. L’histoire ne dit pas dans quelles conditions seront entrainés les techno-pioupious du « premier régiment des armes informatiques », mais il y a à parier que la sélection physique sera aussi dure que celle exigée chez les commandos « traditionnels ». C’est qu’il en faut, du muscle, pour, le 3 octobre –jour de la Fête Nationale Allemande-, défiler en ordre serré tout le long de l’avenue Unter den Linden, en portant à bout de bras un serveur quadri-processeur-quadricore et sa baie Raid en configuration de combat.
Ndlc Note de la Correctrice : Plus ou moins Lapointe, une fois de plus !
3 - Alcotests : le hola de Bellovin
Steve Bellovin, en mal de polémique, tue le temps en revenant sur deux plaidoiries ayant défrayé les chroniques juridiques américaines. Deux procès pour alcoolémie au cours desquels les accusés ont souhaité obtenir le « code source » des alcootests électroniques utilisés par la police. Un bug est si vite arrivé… Il faut dire qu’aux Etats Unis, la prison est systématique après la seconde infraction de ce type et les amendes fort élevées. Dans les deux cas, la cour n’a pas estimé que les preuves apportées par l’accusé puissent remettre en cause la culpabilité de la personne ou encore faire douter de la fiabilité de l’éthylomètre. Bellovin, prenant alors en exemple les problèmes rencontrés par un autre « firmware insoupçonnable », celui des machines à voter Diebolt, explique comment le simple examen du code source ne peut révéler qu’un tout petit aspect du problème. Chaque jour, conclut-il, naissent de nouveaux appareils qui, jusqu’à présent, reposaient sur des principes essentiellement mécaniques. Les téléphones, les voitures, le machines à coudre… et même les toasters reposent désormais sur une couche logicielle. Un logiciel qui est souvent entaché d’erreurs. Or, conclut-il, il est dangereux de condamner qui que ce soit « sans l’ombre d’un doute » sans remettre en question le logiciel qui est censé apporter la preuve cruciale de la culpabilité