Spécial sécurité : nervous breakdown autour d'un trou
Tout, vous saurez tout sur LE trou. La faille d'Internet Explorer - et ses conséquences - sont disséquées par nos partenaires de CNIS Mag, magazine sur la sécurité des systèmes d’information, auquel LeMagIT ouvre régulièrement ses colonnes.
Sommaire
- 1 - Trous Microsoft : des réveils pénibles et des "nervoussse brèkdone"
- 2 - Le call-center du crime organisé
- 3 - Apple copie Microsoft
1) Trous Microsoft : des réveils pénibles et des "nervoussse brèkdone"
Les responsables de parc entament la semaine un peu comme ils ont terminé la précédente : dans une ambiance morose de lendemain de ZDE mal digéré. Avec cependant une lueur d’espoir : il y aura, nous promet Microsoft, un correctif « out of band » dans un délai d’autant plus proche qu’il sera d’autant moins éloigné (en fait dès aujourd'hui, comme LeMagIT l'expliquait ce matin, ndlr). Le rigorisme de cette précision étant directement dépendant des tests de régression qu’effectuent à l’heure actuelle les laboratoires de Redmond. Car il serait malvenu que l’anti-bug s’avère aussi destructeur que le bug lui-même.
Il faut avouer, dit-on du côté de MS-France, que les mesures de contournement actuellement suggérées ne sont pas franchement à la portée du premier primo-informatisé venu. Entre les « Disable XML Island functionality » via la clef HKCRCLSID{379E501F-B231-11D1-ADC1-00805FC752D8} et les « Unregister OLEDB32.DLL » par le biais de la commande « Regsvr32.exe /u "%ProgramFiles%Common FilesSystemOle DBoledb32.dll », l’Homo Sapiens Binaris risque d’y perdre son latin. Pour lui, et pour la quiétude de son âme, il y aura un « patch someday » dans les jours à venir.
Et l’industrie dans tout ça ? Officiellement, « Microsoft a tout fait, dans le cadre de son bulletin d’alerte 961051, pour que les Directions Informatiques puissent se protéger contre d’éventuelles attaques ». En théorie, toute menace est écartée. En théorie seulement. Car le caractère procédurier et tatillon de bon nombre de DSI, nourries au sein des architectures fermées sauce SNA et des déploiements monolithiques planifiés établis à la haute-époque C2I-Honeywell-Bull, a montré qu’il n’en est rien. Le dernier correctif « out of band » du mois dernier, d’une urgence indiscutable et vecteur de plusieurs exploitations, s’est vu « retardé » sine die par certains amoureux de la régularité obtuse. Le résultat ne s’est pas fait attendre : près de 10 entreprises parmi les plus importantes du CAC 40 se sont faites attaquer. Or, le tout dernier ZDE qui frappe Internet Explorer fait, d’ores et déjà partie des vecteurs de pénétration intégrés dans les kits à malware de la famille Zeus. (voir ci-après). On peut donc craindre le pire, pire aggravé par la remontée quasi traditionnelle des attaques aux alentours des fêtes de fin d’année. Mais revenons au défaut lui-même. L’alerte du Sans Institute de vendredi, concernant le fameux « ZDE » Internet Explorer, est confirmée : I.E. 5, 6, 7 et 8, tous les noyaux de Windows, de 2000 à 2008, Vista et systèmes 64 bits y compris sont frappés de cette même peste. Les PoC se multiplient. L’alerte 961051 lancée par Microsoft s’est, depuis son édition originale, légèrement étoffée.
Thierry Zoller, de son côté, s’est intéressé à la rapidité avec laquelle les éditeurs d’antivirus ont réagi face au « Zero Day Internet Explorer ». 5 jours après l’alerte, plus d’un tiers des spécialistes du périmétrique n’étaient pas encore parvenus à intégrer la signature en question. Et pendant ce temps, ces deux superbes trous sont activement exploités, nous confirme l’équipe de Trend Micro, tandis que Shadow Server continue, jour après jour, de dresser la liste des domaines qui « servent » l’exploit I.E..
Et ce n’est qu’un début, pense Fabien Périgaud du Cert Lexsi. Car le ZDE Internet Explorer, c’est un peu comme le dernier modèle d’iPod au moment des fêtes de Noël : il faut absolument qu’il soit intégré aux kits d’exploitation proposés par les vendeurs de « malware as a service ». Ces temps de réaction quasi foudroyants ne coûtent d’ailleurs pas aussi chers que les « hotlines de phishing localisées » : 50 $ par mois, hébergement, pré-configuration du code, charge d’infection « à jour » et interface d’administration comprise. C’est nettement moins cher qu’un abonnement MSDN et très probablement plus rentable.
Pendant ce temps, Nicolas Ruff s’interroge : Où va la sécurité ? Et de gloser de manière fort instructive sur la sécurité dans le développement et le poids du code hérité… voilà qui rappelle tout ce qu’a pu écrire Michal Zalewski dans son Browser Security Handbook. La faille I.E. qui vient d’être découverte – mais vient-elle réellement d’être découverte à l’instant ? - est faite d’un bois qui fait des Sasser. Est-ce un échec de la politique de « secure coding » entamée par Microsoft depuis la remise à plat du code de Vista ? Que nenni ! Car il en est des failles comme du bon vin : certaines sont bien antérieures à ces « bonnes résolutions 2006 », et il serait un peu hâtif de conclure à l’échec d’une politique somme toute récente. Puis, changeant subtilement de sujet, NewSoft nous entraîne dans un petit exercice de dialectique sécuritaire. Ces « über failles » sont, entre autres, l’une des raisons d’être des campagnes de test d’intrusion. Mais pas la seule. Ces tests, explique en substance NewSoft, ne peuvent être remplacés par des audits consciencieux de la « chose écrite », « le (bon) test d'intrusion n'a rien à voir avec l'exploitation de failles d'implémentation ... » insiste l’auteur. Le Buffer overflow nous éblouit, la faille Acrobat détourne un peu trop notre attention, explique-t-il en substance. De toute manière, tôt ou tard, si exploit dangereux il y a, l’éditeur finira bien par publier une rustine. Ce contre quoi il n’existe pas de rustine, ce sont les défauts récurrents mis en évidence par les tests d’intrusion simples : comptes sans mot de passe, défauts de conception… L’autre ZDE, celui qui frappe SQL Server et qui a été découvert pas Sec Consult, semble plus compliqué à éviter qu’il n’y paraît. L’astuce de limitation de risque conseillée par Microsoft - une suppression de procédure stockée - ne peut être appliquée sous SQL Server 2005. Une impossibilité qui nécessite une modification des droits d’exécution sur l’ensemble du rôle. Il n’y aura pas, nous confirme la cellule sécurité de Microsoft France, de correctif « out of band » pour ce trou très précis.
2) Le call-center du crime organisé
Pour l’instant, tout va bien. Paraphrasant les apprentis parachutistes de la « Rue du Mur » en 1929, l’industrie informatique française en général, et les entreprises financières en particulier, appliquent consciencieusement la méthode Coué et évitent officiellement d’évaluer les dangers des scams, dérivés de spam et autres conséquences des vols d’identité. Il faut dire que de Brest à Strasbourg, de Lille au Cap Cerbère, les TIC françaises, le cybercommerce et les institutions bancaires sont protégés par un bouclier que les plus grands experts américains nous envient : la langue française. Véhicule d’une rare complexité, pratiquement aussi difficile à imiter qu’un billet de 100 euros avec ses fils métalliques et ses encres sympathiques, aux accords et formulations plus minées qu’une plage de débarquement, le François tel qu’on le parle protège la population de notre beau pays contre les hordes de scameurs-spammeurs, les déferlantes de phishers, les nuées de hackers. D’ailleurs, il n’y a point de spam en Gaule. Du pollupostage, certes, parfois quelques tentatives d’hameçonnage dans la langue de la perfide Albion, à la rigueur de vagues escarmouches sur le front du piratage, mais de ces menaces anglo-saxonnes, point.
Pourtant, cela pourrait bien changer en 2009. L’année qui s’achève fut notamment l’occasion de voir fleurir, sur les places de marché, des « listes de sites vulnérables » vendues au poids et triés par zone géographique. Le « cent » d’injections SQL en France vendu moins cher que le même modèle, mais d’origine allemande, voilà qui résume bien la lucidité des cybercriminels. Leur vision sur l’état effectif du pouvoir d’achat des ménages est bien plus aiguisée que celle d’un ministre de l’Economie.
Une fois la cible située, encore faut-il savoir l’exploiter. Dancho Danchev nous apprend que, depuis peu, l’on trouve sur le marché de l’escroquerie en ligne, des offres de service de « call center » pratiquant la langue du pays visé. Français, italien, allemand, nos opératrices sont là pour mieux vous voler. Jusqu’à présent, le « relais » téléphonique en français n’était pratiqué que par quelques filières de spécialistes du scam, fortement mâtiné d’accent ivoirien ou ghanéen. Totalement inexploitable dans le cadre d’une campagne de phishing de type Crédit Lyonnais ou SNCF. A 9 $ ou 6 $ l’appel, les choses risquent-elles de changer ? C’est la question que se pose Danchev. Et de conclure : « pour l’instant, les risques demeurent relativement faibles ». Et ce pour une très simple raison, c’est qu’il est pratiquement indispensable de communiquer à cette « société de services » d’un genre nouveau les identités et numéros de téléphones à contacter… autrement dit, la « richesse » de tout bon truand spécialisé dans ce genre de magouille. Or, il est plus difficile d’acquérir la confiance d’un malfrat que d’un rentier… L’on pourrait également ajouter que les tarifs sont un peu surévalués. Car, même en tablant sur un rapport de 1 000 euros par victime (chiffre plus proche de la réalité américaine qu’européenne), il faut, pour l’opératrice de phishing, contacter une moyenne de 110 personnes pour que l’opération arrive à équilibre. Or, le pourcentage de réussite de ce genre de campagne est plus proche de 1 pour 1 000 que de 1 pour 100.
Reste que les escrocs du Net ont toujours la possibilité d’affiner leurs approches psychologiques afin d’accroître le rendement de leurs opérations. Cette phase d’optimisation doit nécessairement passer par une amélioration de la qualité des courriels d’incitation, lesquels doivent être rédigés dans un français non seulement irréprochable, mais encore adapté à la circonstance. Un banquier n’écrit pas comme un fonctionnaire du fisc, qui ne rédige pas ses avis comme un cybermarchand. Chaque acteur possède un champ sémantique propre, dont l’usage sous-entend une maîtrise absolue de la langue. Les entreprises de phoning susnommées pourraient-elles offrir ce genre de service ? C’est très probable. Le second écueil, la « prise en otage » des fichiers du client (le phisher), peut être évité à l’aide d’une simple architecture de redirection VoIP réalisable avec un Asterisk. Un « Phishing Call Center As A Service » reposant sur des bases de données protégées et distantes ne présente donc aucune difficulté technique. Lorsque ces deux conditions seront réunies, les banquiers français auront du souci à se faire : ils auront trouvé des adversaires presque aussi dangereux qu’eux-mêmes et que les Bernard L. Madoff du monde entier.
En attendant ces jours sombres, les cyber-mafieux affinent leurs outils. L’Avert de McAfee, cette semaine, nous offre une analyse de malware « voleur de données géolocalisées » dans un article intitulé From Fake Banking to Regionally Targeted Malware. Le rootkit fouineur d’identités décrit dans les moindres détails correspond à la première étape du montage précédemment décrit. Les informations récoltées suivront ensuite le chemin traditionnel : vente de ces paquets d’identités sur les places de marché mafieuses, puis exploitation de ces données par des spécialistes du phishing ou du détournement de fond par mules interposées, avec ou sans le soutien des fameux « call center » susnommés.
Pâle copie, d’ailleurs, puisque le dernier « jour de patch » que nous offre Apple ne compte « que » 21 trous colmatés, à comparer aux 28 (30 en comptant les ZDE) revendiqués par Microsoft. Les détails sur les probabilités d’exploitation – hormis peut-être un vol de cookies - sont assez maigres. Remarquons toutefois dans le lot le colmatage du « gouffre » Adobe Flash Player, déjà corrigé sur d’autres plates-formes, déjà exploité industriellement par un nombre impressionnant de sites spécialisés dans le vol d’information, mais laissé précieusement de côté par les labos de Cupertino pour des raisons que Jobs seul sait.