Spécial sécurité : les malwares en progression de 300 %
Régulièrement, LeMagIT ouvre ses colonnes à ses partenaires de CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères se livrent à une explication sur l'amnésie des serveurs de validation de l'éditeur SonicWall, s'interrogent sur la progression fulgurante des malwares, reviennent sur l'histoire d'EstDomains ainsi que sur l'arrivée du SP2 de Vista.
Sommaire :
1 - SonicWall m’a tuer !
2 - Malwares : Progression de 300 %
3 - Estdomains, un faux cadeau au vrai goût de curare
4 - Une « RTM » pour le SP2 Vista/2008
1 -SonicWall m’a tuer !
On n’apprend pas à un éditeur de sécurité comment l’on doit se protéger. Pour SonicWall, le meilleur moyen d’éviter le piratage de ses œuvres consistait à effectuer un contrôle « en ligne » permanent de la validité des licences logicielles acquises par ses clients. Or, dans la nuit du 2 décembre, le serveur de validation a littéralement rayé de la planète une partie des programmes de l’éditeur. Une amnésie informatique qui a coûté cher. Car contrairement aux pratiques généralement admises, cette absence de validation ne se contente pas d’interdire la récupération d’une mise à jour : elle évapore le système. Car le programme, en l’absence d’aval du serveur, se considère comme non payé. Pas d’argent, pas de protection. Du coup, les usagers légitimes ont été, une journée durant, exposés aux 4 vents, explique, dans les colonnes de ComputerWorld, un administrateur apoplectique. Insistons sur le fait que seuls les usagers légitimes ont été lésés. Les administrateurs ayant déployé des logiciels piratés, et donc dotés d’un « crack » évitant cette incessante requête de validation de licence, n’ont pas le moins du monde souffert de cette situation.
Dans la soirée du 3, les serveurs de SonicWall semblaient peu à peu reprendre le goût de la vie. Le site Web de l’éditeur, durant toute la durée de la panne, n’a affiché strictement aucun message d’alerte ou d’information sur sa page de garde. La seule information accessible était cachée au détour d’une navigation hasardeuse.
Se lance, aujourd’hui, un débat sur le sexe des anges : n’aurait-il pas été préférable que la protection de SonicWall se soit mise en position « passe rien » plutôt que « passe tout » ? Epineuse réponse qui laisse au constructeur, à l’équipementier, à l’éditeur le droit de décider ce qu’il y a de mieux pour le client en cas de défaillance de ses serveurs de validation. Car ce qui est préférable pour l’un ne l’est pas nécessairement pour l’autre. Un filtre « passe rien » sur la validation d’un système d’exploitation aurait des conséquences mondiales incalculables… Microsoft l’a d’ailleurs fort bien compris et n’a pas attendu que survienne un accident planétaire. D’autres, en revanche, partent du principe que le client est coupable par défaut... Par contumace, pourrait-on dire. Allons bon… la catastrophe SonicWall n’était donc pas une première du genre ? Des signes avant-coureurs auraient déjà été constatés ? Voilà qui est surprenant. Reste que, dans tous les cas cités, les usagers les moins concernés demeurent ceux qui utilisent une licence illégale et correctement « crackée ». Moralité : il n’y a plus de moralité.
2 - Malwares : Progression de 300 %
En 2007, les laboratoires F-Secure ajoutaient 250 000 signatures à leur base de détection. En 2008, ce chiffre a franchi la barre du million. 2009, estiment les chasseurs de virus finlandais, pourrait dépasser la barre des 500 % de croissance.
Sur les rivages des botnets, la situation n’est guère plus enviable. Les derniers recensements font état d’environ 1,2 milliard de machines zombies, soit une moyenne de 12 millions de réseaux de bot. Seul détail légèrement rassurant, une grande partie des bots seraient orphelins, machines infectées appelant sans cesse un C&C qui n’existe plus. Il arrive toutefois –le cas McColo en est un bel exemple-, que ces zombies soient capables, à périodes régulières, de rechercher un autre nom de domaine « maître », et soient récupérées soit par leurs propriétaires d’origine, soit par un successeur en mal de croissance. Cette infiltration permanente de programmes discrets a, parfois, provoqué des instabilités ou justifié des opérations exceptionnelles. L’étude mentionne notamment le cas de trois hôpitaux londoniens paralysés, la décision du DoD américain de suspendre l’usage de clef USB le temps de désinfecter ses réseaux internes, ou l’affaire plus médiatique que dramatique du virus découvert sur un ordinateur portable embarqué dans la station ISS. Rares, en temps normal, sont les utilisateurs qui découvrent la présence de tels agents dormants.
Bien sûr, parmi les nouveautés 2008, F-Secure salue l’arrivée des « scarewares », ces faux antivirus qui combinent à la fois l’escroquerie, l’infection à distance et, dans certains cas, la constitution de botnets (bis repetita placent). Mention spéciale également pour une légère remontée des attaques en injection SQL visant les sites chinois durant les jeux Olympiques, ou les opérations de hacking divers ayant tenté de tirer parti des élections présidentielles américaines. F-Secure mentionne le hack des serveurs démocrates et autres « Obamawares » plus ou moins dangereux, mais aucune mention du hack du courriel de Sarah Palin.
Ce bilan s’achève avec un petit chant de victoire, la cessation des activités d’Estdomain, la fermeture de McColo –un bonheur de courte durée-, et une mélopée d’inquiétude : celle des risques attendus pour l’année à venir. Entre les menaces visant les smartphones (une vieille marotte chez F-Secure) et les Macintosh (un vieux regret chez tous les éditeurs d’A.V.), l’équipe de Mikko Hyppönen nous reparle de la « professionalisation » croissante de l’industrie du Crimeware, avec ses serveurs, ses places de marché, ses sous-traitants, ses plans de reprise d’activité, ses optimisations d’investissement dans le domaine du développement… Les botnets, aussi, changeront de physionomie en voyant leurs architectures centralisées disparaître au profit d’une structure P2P, rendant encore plus difficile l’éradication de ce qui fait office de C&C. Une lecture pessimiste des choses que l’on ne peut que déconseiller aux administrateurs avant une nuit de repos.
3 - Estdomains, un faux cadeau au vrai goût de curare
L’Icann, le régulateur suprême des noms de domaine et des registrars, vient de désigner le successeur du défunt Estdomains. Ce sera Directi Internet Solutions. Cadeau empoisonné, car cet héritage sulfureux est toujours soupçonné de contenir une part importante de domaines mafieux. D’ailleurs, certaines mesures montrent bien que cette reprise de clientèle demeure sujette à condition. Habituellement, lors d’un transfert d’activité, le registrar-repreneur remet tous les compteurs à zéro et « offre » une année entière de gestion du compte à ses nouveaux abonnés. Ce ne sera pas le cas cette fois. En d’autres termes, Directi espère que les possesseurs de sites douteux ont déjà déposé de nouveaux noms, pointant sur de nouvelles structures, et qu’ils ne chercheront pas à récupérer leurs anciens meubles. Il faut dire que, dans l’industrie du phishing et du spyware, une interruption de service coûte cher.
Le raisonnement inverse risque également d’être observé. Paré d’une nouvelle virginité, l’on peut craindre que les plus turbulents administrés d’Estdomains profitent de l’étiquette Directi pour se lancer dans un dernier baroud, lavés de tout soupçon et rayés des blacklistes en raison de ce « changement de syndic ».
4 - Une « RTM » pour le SP2 Vista/2008
Après une phase bêta entamée en octobre, voilà que le Service Pack 2 de Vista et de 2008 Server s’engage dans la dernière ligne droite avant diffusion. Ce stade s’appelle CPP, pour Customer Preview Program, l’équivalent d’une RTM ou d’une bêta Marketing. Il n’est donc pas encore nécessaire de s’inquiéter et de verrouiller les SUS Servers… on est, nous assure Mike Nash, toujours en période de tests et d’essais.
Ce Service-Pack sera téléchargeable sur les serveurs du Technet, destiné essentiellement aux usagers qui souhaitent entamer, le plus tôt possible, leurs tests de régression. Toute installation de ce code sur des machines de production, stations de travail et, à plus forte raison, serveurs, est fortement déconseillée. Cette nouvelle mise à jour pèse un peu plus de 600 Mo en version 64 bits. Outre quelques supports très « gadgets », telle une amélioration des outils RSS de la sidebar ou le support de Bluetooth 2.1, le SP2 permettra l’usage des lecteurs DVD « Blue Ray », une amélioration du service de recherche/indexation, une amélioration de l’intégration d’Hyper-V. Le bug fonctionnel qui frappait la gestion des anciennes licences RDP Terminal Server serait, paraît-il, résolu. Le nouveau TSE serait également capable de prendre en compte les vieilles licences Citrix.