Spécial sécurité : comment protéger (ou spammer) un blog
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'intéressent aux façons de protéger un blog ou un réseau social pollué par des commentaires en forme de spam. Reviennent sur les prédictions de McAfee en matière de délinquance information. Puis s'attardent sur la cyberguerre menée contre le Kirghizstan : une opération pilotée par les Russes ?
Sommaire
- 1 - Comment protéger un blog, comment spammer un blog
- 2 - Raccourcis empoisonnés et lanceurs compromis
- 3 - McAfee : mauvais vœux pour 2009
- 4 - Les politiques et Internet : échecs et maths
- 5 - Sécurité et politique : Symantec à la Maison Blanche
- 6 - Politique et sécurité : les couacs du piratage
1) Comment protéger un blog, comment spammer un blog
Websense vient d’annoncer le rachat de Defensio, pour un montant inconnu à ce jour. Personne, ou presque, ne connaît Defensio (http://www.karabunga.com/), programme développé par une petite entreprise Canadienne, Karabunga. Il s’agit pourtant d’un logiciel original, un antispam vendu sous forme de service et s’adressant aux usagers du Web 2.0. Car le spam frappe de plus en plus souvent les blogueurs et les administrateurs de réseaux sociaux. Lesquels sont généralement démunis face à ce genre de menace, et doivent souvent opter pour la fermeture pure et simple des « commentaires ». C’est d’ailleurs au « commentaire » traité qu’est facturée la version entreprise – environ 5 $ pour 100 000 messages par mois, spam compris. Les licences utilisées dans le cadre de blogs personnels sont entièrement gratuites.
Cette information est à rapprocher d’une nouvelle race de logiciels, les outils de spamming visant les « webdeuzeries ». Ils ne sont pas encore très nombreux, mais leurs effets sont dévastateurs. Ainsi TweetTornado.com, qui prétend « créer un nombre illimité de comptes Tweeter, ajouter un nombre illimité de « followers », générer un trafic Web illimité, gagner de l’argent à ne plus savoir qu’en faire ». Et tout çà pour la modique somme de 50 dollars par mois – un outil de spamming commercial est nettement plus cher qu’un antispam -, tarif promotionnel, avant application du prix définitif de 250 $ par mois… achetez vite ! Cela ne durera pas longtemps ! Passons sur les clauses léonines du contrat de vente qui sentent l’escroquerie à plein nez. Derrière chaque tweettornado qui apparaît officiellement sur le devant de la scène, il sort hélas 4 ou 5 produits concurrents spécialement étudiés pour polluer les Wordpress et serveurs assimilés.
2) Raccourcis empoisonnés et lanceurs compromis
L’histoire des virus est un éternel recommencement, nous explique Shinsuke Honjo de l’Avert. Dans un article intitulé « Abusing Shortcuts files », le chercheur nous entraîne sur les chemins des « raccourcis » Windows qui, soit sont chargés de lancer un virus, soit intègrent eux-mêmes une charge létale.
Tout le monde a encore en mémoire les « autorun » des clefs USB et autres mémoires amovibles que Conficker/Downadup utilise pour se répandre de ressource en ressource. Le principe est strictement le même. Chez W32/Mokaksu, c’est même devenu une spécialité. Le virus recherche tout raccourci passant à sa portée, et modifie illico le chemin de lancement du programme en y ajoutant sa propre position sur le disque. Ainsi, en croyant lancer un Acrobat Reader ou la calculette Windows, l’usager lancera tout d’abord l’exécutable du virus, puis, dans un second temps, le logiciel initialement désigné par le « shortcut ». Le tout, bien entendu, sans que rien d’anormal ne semble se produire à l’écran.
Mais ce n’est pas tout, raconte Honjo. Pour le troyen Downloader-BMF, la modification du raccourci sert également à exécuter non plus un programme, mais un script. En l’occurrence, un script FTP qui va à son tour récupérer un second script – mais en VBS -, lequel VBS se chargera du téléchargement des fichiers complémentaires nécessaires au Troyen.
Ces techniques sont intéressantes à plus d’un titre. En premier lieu, exception faite de l’exécutable chargé de modifier le raccourci, il est rare qu’un antivirus ou que les mécanismes de protection du noyau s’affolent lorsqu’un shortcut est activé. Après tout, ce n’est jamais qu’un ordre lancé par l’utilisateur, dans le cadre restreint de ses droits, ordre qui ne viole généralement aucun adressage mémoire ou la moindre restriction d’exécution. Il fait ce que n’importe qui est autorisé à faire. Ce sont les conséquences de son action qui sont dangereuses, et non l’action elle-même.
Ceci rappelle certains virus antiques sous Dos, déclenchés tantôt par un nom d’exécutable caché dans le « volume label », tantôt amorcé à l’aide d’une séquence Ansi, ou bien encore venant polluer l’Autoexec.bat de la machine. Cela rappelle également les exécutables destructeurs camouflés par une extension PIF, un fichier descripteur plagié par Microsoft et inventé par IBM pour les besoins de TopView. Sur des pensers anciens, faisons des vers nouveaux*.
*Ndlc : ver d’André Chénier
3) McAfee : mauvais vœux pour 2009
Chaque année, l’Avert Lab de McAfee se livre au jeu de la boule de cristal, et tente de prévoir les grandes tendances à venir en matière de délinquance informatique. A quelle sauce allons-nous être mangés ?
Sauce financière, avant tout. Car, estiment les experts du laboratoire de recherche, la crise économique mondiale actuelle va très probablement se révéler un terreau favorable au développement de fausses « bonnes affaires », allant de l’investissement mirifique à la transaction frauduleuse, en passant par les embrouilles légales les plus sombres. Croissance également sur le marché du travail… des mules. Face à un taux de chômage croissant, il ne sera bientôt pas très difficile de recruter des hommes de paille chargés du blanchiment d’argent sale, d’exploitation de vol d’identité bancaire et autres achats illégaux masqués par les activités d’un prête-nom complaisant. Entre l’hypothétique menace d’une condamnation pour escroquerie et la certitude immédiate d’une visite d’huissier, les scrupules ne pèsent jamais très lourds.
Les méthodes d’attaques, quand à elles, ont déjà entamé leur changement, et ces tendances ne pourront que s’accentuer dans les mois à venir. A commencer par une nette augmentation des vecteurs d’attaque injectés sur les serveurs. Côté postes clients, les mécanismes développés deviennent de plus en plus subtils. Certains virus (troyens, rootkits …) évitent certaines configurations. Les chercheurs du MSRC de Microsoft ont à ce sujet signalé que certaines versions de Downadup, par exemple, évitaient d’infecter les ordinateurs russes ou ukrainiens. Principalement pour ne pas éveiller l'ire des autorités locales et jouer sur l’impunité d’une totale « extraterritorialité de l’attaquant par rapport à sa victime ». Autres améliorations techniques, l’usage massif de techniques aléatoires ou à grands nombres de changements, dans les noms de serveurs de mise à niveau, dans les adresses mémoires, dans l’apparence binaire, dans les liens Internet utilisés, dans les protocoles de routage des postes zombifiés (protocoles P2P), dans les localisations IP des serveurs d’attaque – fast flux notamment.
Encore plus inquiétantes – mais est-ce parce qu’inconsciemment nul ne doute de la véracité de ces prédictions -, l’Avert nous promet encore plus de malwares « ne parlant plus anglais ». Qu’il s’agisse de spam, de phishing, voire de programmes frauduleux genre scarewares, les cybertruands tentent de « localiser » leurs productions afin de gagner en efficacité. Elles deviennent lettres mortes, les lamentables tentatives de phishing prétendument émises par le Crédit Lyonnais ou la Banque de France, rédigées dans une langue qui n’a de Shakespeare qu’une lointaine apparence. Désormais, les outils d’attaque s’expriment « dans la langue du pays » (notons au passage que cela confirme l’analyse de Dancho Danchev sur la spécialisation des « places de marché » du cybercrime, dont les ventes sont de plus en plus découpées en fonction des pays visés, du niveau social des victimes, de leurs centres d’intérêt).
Plus d’ingénierie sociale aussi. Avec l’apparition brutale, courant 2008, d’attaques basées sur des événements d’actualité. Hier, on recevait un courriel intitulé « I love You », aujourd’hui, on apprend que Barack Obama se désiste et refuse de prendre la Présidence des Etats Unis… Le piège social repose sur des ressorts légèrement différents, dont l’immédiateté événementielle offre une certaine crédibilité.
4) Les politiques et Internet : échecs et maths
C’est le « buzz » de ce milieu de semaine : les fiers cavaliers kirghizes sont violemment attaqués par des ordinateurs des « pirates russes ». Certains média en tartinent plus de 3 pages sans rien dévoiler, d’autres résument la situation en quelques mots. C’est le cas notamment du labo de SecureWorks, qui synthétise les faits ainsi : une attaque en déni de service semble lancée par des hackers manifestement pilotés par le gouvernement russe. Cet assaut, qui passe presque inaperçu aux yeux des médias, serait probablement motivé par le désir du Kremlin de voir fermées les installations aériennes militaires américaines basées au Kirghizstan. Ces bases font partie de l’infrastructure logistique nécessaire à la présence des troupes US en Afghanistan. Le Président du Kirghizistan est perçu comme étant proche des Etats-Unis. De nombreux accords économiques ont été signés entre ces deux pays, accords pris par Moscou comme une intervention directe des USA dans la sphère d’influence de la Fédération de Russie.
On ne peut bien entendu que penser aux nombreux précédents qui ont mis en évidence le rôle des « groupes incontrôlés de patriotes » russes, soupçonnés d’être noyautés par le FSB, et qui ont été notamment responsables d’une partie des « cyber-guerres » dirigées contre l’Estonie, la Lituanie ou, plus récemment, la Géorgie. Bien sûr, il n’existe strictement aucun lien officiel prouvant que le Gouvernement russe soit mouillé dans cette affaire. Le strict cloisonnement des activités officielles et des actions officieuses, la « mobilisation spontanée » de milices patriotiques sont des caractéristiques typiques des sociétés collectivistes. S’il existe peu de documents militaires prouvant à quel point le Haut Commandement de l’ex-armée Soviétique s’intéresse de près aux mécanismes de la cyber-warfare et du recrutement de troupes compétentes dans les milieux du hack « noir », de nombreux rapports concernant sa proche voisine, la Chine, montrent qu’il existe un lien étroit entre ces deux mondes. Encore et toujours cette notion d’alliance objective si chère à la pensée marxiste. Les militaires ont besoin des groupes d’hacktivistes, lesquels hacktivistes acceptent cette collaboration en échange d’une certaine « liberté d’action ».
Il y a déjà plus de 8 ans, Toshi Yoshihara publiait une analyse d’une cinquantaine de pages intitulée « Chinese information Warfare : a phantom menace or emerging threat ? ». A lire à la lumière du rapport « Globalization and asymmetrical warfare » du Major William J. Hartman de l’Armée de Terre US, de l’étude « Cyber Warfare, an analysis of the means and motivations of selected nation states » du Collège de Dartmouth. On peut également ajouter à cette liste fort instructive, le rapide résumé d’un exposé sur l’ « unrestricted warfare » pensé par deux colonels de l’Armée Populaire de Libération chinoise.
5) Sécurité et politique : Symantec à la Maison Blanche
Elles se font de plus en plus insistantes, les rumeurs qui laissent présager la nomination de John Thompson, CEO de Symantec, à la tête du Department of Commerce. Cette nomination surviendrait donc peu après le départ de Thompson de la direction du groupe. Thomson avait déjà joué le rôle de conseiller « sécurité » durant l’Administration Bush, comme membre du National Infrastructure Advisory Committee.
Ces rumeurs de nomination font suite à celles concernant l’éventuelle promotion de Padmasree Warrior, ex CTO chez Cisco et Motorola, au poste de Chief Technology Officer du gouvernement Obama.
6) Politique et sécurité : les couacs du piratage
Le gouvernement abandonne la riposte graduée … Britannique, le gouvernement. Motif invoqué : cela irait à l’encontre des intérêts de l’industrie toute entière et coûterait cher aux fournisseurs d’accès, lesquels refusent de jouer les miliciens-chasseurs de pirates. C’est là un témoignage de nos confrères Custom PC. En France, précise un article de Marc Rees, publié dans PC-Inpact, seul Illiad (alias Free) y met de la mauvaise volonté et invoque tant des problèmes de coût que des questions d’éthique. Il faut dire qu’en nos contrées, une success story telle que celle des Monthy Python n’est pas très politiquement correcte. Convertir des pirates en acheteurs aiguillonnés par un désir de qualité et de culture est terriblement subversif. Pensez donc, c’est plus ou moins admettre que le piratage est nécessaire. Et puis, il y a les mots qualité et culture… bien plus difficiles à dupliquer qu’un fichier MP3.
Pendant ce temps, en Hollande, Jart Armin, d’Internet Revolution, se penche sur les statistiques du piratage dans son pays. Sur quelque 16 millions de Bataves recensés, 4,7 millions d’entre eux – sur une population de 15 ans et plus - ont téléchargé illégalement de la musique ou un film sur Internet durant l’année écoulée. Les Pays-Bas : 25 % de pirates ? Plus encore si l’on tente de moyenner ce résultat en éliminant les nourrissons ou les personnes âgées qui estiment « qu’Internet, c’est pas de ma génération ». Reste que cette étude, commanditée par l’Institut pour l’information du Droit de l’Université d’Amsterdam, ajoute que ces « 25 % » de la population représentent 45 % des consommateurs achetant de la musique légalement. Ce qui implique que 75 % de la population n’est consommateur que d’un peu plus de la moitié des ventes de reproductions audio et vidéo. Une impressionnante mise en évidence de la loi des « 80/20 ».
Question : si 100 % de la population hollandaise passait immédiatement dans le camp des honnêtes gens, de combien plongerait l’industrie du disque, qui prétend chaque jour qui passe, ressentir les affres de l’agonie ?
Dans cette tourmente de chiffres, d’attitudes contradictoires et d’arguments plus souvent passionnés qu’objectifs, on aurait presque raté cet acte manqué du Gouvernement français, que relèvent nos confrères de ZD Net : pas de taxe pour les ordinateurs pouvant recevoir les émissions de télévision. Précisons qu’il s’agit là d’une taxe touchant uniquement les machines capables de recevoir des émissions de télévision par voie hertzienne. Cette dérogation spécifique – alors que la loi jusqu’à présent concernait tous les appareils équipés d’un tuner, magnétoscopes compris - n’est qu’une fausse reculade. Le problème de l’assujettissement des ordinateurs familiaux à la redevance TV reviendra sur le tapis dès lors que se multiplieront les offres TV-IP. Rappelons qu’originellement, l’amendement Dionis sur la redevance TV-informatique devait concerner la totalité des ordinateurs… y compris ceux non-équipés de tuner et appartenant à des personnes n’ayant souscrit aucun abonnement « triple play ».
Le rejet de la taxe – pourtant justifiée - visant les systèmes possédant un tuner TV, ne semble donc qu’une réaction à l’outrance et à l’iniquité des précédents projets.