Spécial sécurité : Heartland détrône TJX pour le hack du siècle
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, pleins feux sur l'affaire Heartland, cet intermédiaire financier qui a admis s'être fait dérober d'importants volumes de données via l'installation d'un programme espion sur ses propres ordinateurs. Nos confrères reviennent également sur Downadup, et les façons d'éradiquer ce fléau.
Sommaire
- 1 - Heartland : comme TJX… mais en plus grand
- 2 - Downadup et le désinfectant masqué
- 3 - Danchev balance, les scarewares ont peur
- 4 - Ozdok l’œil de Caïn, les 3,5 To d’Obama
1) Heartland : comme TJX… mais en plus grand
Qui n’a pas déjà entendu parler du « scandale Heartland » ? Cet intermédiaire bancaire américain, dont près de 40 % du volume de transaction est réalisé par de petites et moyennes structures (restaurants, boutiques etc), aurait été victime d’un « hack du siècle » ayant permis l’installation d’un programme actif au sein même de ses ordinateurs. Comment opérait ledit programme, quand a-t-il été probablement installé, comment est-il entré (insider, injection, à quel niveau ?), combien de transactions ont-elles été compromises, depuis combien de temps les faits étaient réellement connus des dirigeants… ? Aucune information sérieuse ne filtre. La presse, les consommateurs, les clients mêmes sont dans l’ignorance totale de l’étendu du problème.
Le Post s’étend largement sur le sujet. Un chiffre donne la chair de poule : Heartland compte 250 000 clients. Un quart de million de commerces, d’entités commerciales, qui chacun doit traiter les comptes de centaines, de milliers d’acheteurs toutes les semaines. Ce sont donc potentiellement plusieurs centaines de millions d’opérations de cartes de crédit qui auraient pu être trafiquées. Ou peut-être considérablement moins. Security Focus, le Reg, Security News, HNS, tout comme la direction de l’entreprise, insistent sur le fait que les « Social Security numbers, unencrypted personal identification numbers (PIN), addresses or telephone numbers were involved in the breach ». Ce qui veut dire implicitement que les voleurs sont très probablement en possession des noms, numéros de compte, dates d’expiration de carte des victimes. Un site web monté par l’intermédiaire financier pour les besoins de la cause, accompagné d’une Foire Aux Questions, ne donne pas plus d’information. Une chose est au moins certaine : dans le domaine de la maîtrise des fuites d’information, le DirCom semble plus compétent que le CTO et que la DSI. Il sera intéressant de voir si, en ces périodes de troubles économiques et de passage aux normes PCI-dss, ce faux-pas sera, à l’instar de CardSystems, fatal à cet intermédiaire.
2) Downadup et le désinfectant masqué
Dans un superbe ensemble, les principaux chasseurs de virus publient leur programme d’éradication Downadup. Voilà qui est rassurant. Las, le logiciel salvateur est généralement inaccessible. Inaccessible car l’une des premières précautions que prend le virus au moment où il s’installe est de bannir tout appel DNS en direction des domaines des éditeurs. Microsoft, F-Secure, avp, McAfee, Symantec….au total, près d’une soixantaine de sites « interdits » par Conficker. Même CastleCops, qui a fermé boutique depuis quelques temps déjà, est mis à l’index par ce virus.
Soit l’administrateur prudent réinstalle une machine « from scratch » en bénissant le dieu des ordinateurs virtuels et des images ISO, puis emploie ce système sain pour filer tout droit sur les pages HTML de son éditeur préféré, soit il emprunte les chemins de traverse. Les FTP, par exemple, tel que celui de f-Secure, en prenant soin de remplacer le nom de domaine par l’adresse IP dudit site… ça donne quelque chose comme çà : ftp://193.110.109.53/anti-virus/tools/beta/f-downadup.zip. Secureworks, dont le nom ne figure pas pour l’instant au nombre des interdits de navigation, offre également sa version d’anti-downadup ainsi que l’URL directe du serveur de contenu du MSRC (initialement, le fameux download.microsoft.com). Comme le mot « microsoft.com » ne figure pas dans ce lien, downadup laisse aimablement passer cette requête, et avec elle la récupération de son propre arrêt de mort.
3) Danchev balance, les scarewares ont peur
C’est la quatorzième ( !) édition du billet intitulé A Diverse Portfolio of Fake Security Software. Une fois de plus, Dancho Danchev braque les projecteurs sur les noms de domaine des vendeurs de faux antivirus et prétendus antispywares. Un papier d’autant plus important qu’en ce tournant d’année, bien des utilisateurs peuvent être tentés de « passer à la version 2009 » de leur logiciel de protection.
Pour corser un peu plus le contenu de sa harangue, Danchev y ajoute cette fois les coordonnées des propriétaires des domaines faisandés, information récupérée par une simple requête Whois. Sao Paulo, Moscou… sans oublier quelques noms américains ou chinois : l’origine de ces nids de guêpes logiciels n’offre aucune surprise. Et c’est peut-être là le principal danger : passé les effets d’annonces du procès « anti-scareware » intenté par Microsoft, et une fois apaisés les remous médiatiques de décembre dernier, le scareware est devenu une nuisance quasi quotidienne à laquelle le monde TIC semble s’être habitué. La banalisation de cette menace ne doit pas faire oublier qu’elle existe toujours. Un chasseur de faille français laissait entendre que ce genre de faux programmes pourrait bien constituer une menace majeure à la fin 2009. « Lorsque Microsoft aura officiellement adopté le modèle « gratuit » pour diffuser son antivirus, les auteurs de scareware spécialisés dans la diffusion camouflée de spywares et troyens imiteront cette attitude. Cela risque de centupler les téléchargements irréfléchis. Pour une personne étrangère au sérail informatique, il est d’ores et déjà impossible de faire la différence entre un véritable auteur de « gratuit », tel AVG ou Avast, et l’œuvre d’un escroc ».
4) Ozdok l’œil de Caïn, les 3,5 To d’Obama
Ozdok est loin d’être un inconnu. C’est même probablement l’un des vecteurs de botnet les plus actifs du moment. Et c’est précisément en récoltant le contenu d’une moisson d’Ozdok stockée sur les disques d’un C&C que SpamHaus et Secureworks ont découvert une fonction cachée de ce virus : un utilitaire de capture d’écran.
Le fait n’est pas très nouveau, et l’on pourrait pratiquement remonter jusqu’à BackOrifice si l’on devait recenser tous les virus ou rootkits voyeurs. Dans un spambot, la chose est cependant nouvelle. Elle permettrait notamment, expliquent les chercheurs de l’ex Luhrq, de voir du premier coup d’œil si le programme est exécuté à l’intérieur d’une VM, si le bureau est « trop propre et rangé pour être honnête ». Avis aux chasseurs de bots « live », semez un certain b…azard sur vos papiers peints ou dans l’organisation de vos répertoires… un œil noir vous regarde peut-être.
Barack Obama est loin d’être un inconnu dans les logs d’administration réseau. Déjà les spams utilisant son image sont classés premier au hit parade des calamités SMTP. Arbor Networks nous apprend que l’Obamania a également été responsable, le jour de l’investiture, d’un formidable pic de trafic, notamment sur les ports TCP 1935 et UDP 8247 : ce sont là les traces des échanges Flashplayer entre les internautes et les sites d’information, CNN en tête. Au plus fort de la demande, le flux aurait frisé les 3,5 Teraoctets. De quoi faire pâlir d’envie un bot herder, spécialiste du chantage au déni de service. Deux opérateurs télécom seraient d’ailleurs allés au tapis en recevant cet uppercut de trames. Obama est plus fort que l’ouverture du dernier US Open, clame Arbor Networks. La popularité des chefs d’Etat peut donc, en théorie, être mesurée à l’aide d’un sniffer. Fort heureusement, le désintérêt relatif du reste du monde pour la politique locale des Etats Unis a limité les dégâts. L’Asie et l’Europe n’ont contribué ensemble qu’à 1 % dans l’élévation du volume de données échangées.