Spécial sécurité : phish and cheap (hameçonnage et malbouffe)

Régulièrement, LeMagIT ouvre ses colonnes à ses partenaires de CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères se livrent à une analyse de la résurrection des robinets d'alimentation des réseaux de PC zombies, après la fermeture de l'hébergeur McColo. Avant de s'amuser d'un phishing visant les aficionados de McDo.

cnis logo

Sommaire

- 1 - Joyeux noël (rootkit edition)

- 2 - Joyeux noël (rootkit edition 2)

- 3 - Phish and cheap (trad : hameçonnage et malebouffe)

1) Joyeux noël (rootkit edition)

Entre les véritables présents et les cadeaux empoisonnés, il est difficile de s’y retrouver, en cette période de fêtes.

Elle est pourtant la bienvenue, cette annonce faite par Dan Goodin, du Reg : Srizbi, le botnet qui, tel les morts-vivants des films de Romero, devait revenir d’entre les morts après la décapitation de l’hébergeur véreux McColo… ne reviendra pas. Du moins, pas immédiatement. Son mécanisme de résurrection pointait sur un certain nombre de serveurs situés en Estonie, et il semblerait que des décisions rapides aient été prises pour enfoncer un pieu de buis béni dans le cœur de ce vampire de la bande passante. Seul, en Allemagne, un serveur-spammeur subsiste. Sera-ce pour longtemps ?

Toujours est-il que la trêve fut de courte durée. Les boîtes de courriel recommencent à être envahies par des offres pharmaceutiques intitulées « Bonjour », les propositions d’adhésion à certains casinos en ligne redoublent… les fêtes de noël et leurs dépenses associées intéressent également les cyber-magouilleurs. Il est à craindre que cette chasse aux McColo et autres gros robinets d’alimentation à botnet ne débouche sur un éclatement des ressources, une atomisation plus discrète des machines dédiées à la mise à jour de ces réseaux de bots. La chasse aux héritiers de McColo pourrait bien devenir un sport difficile, en 2009. En attendant ces jours maudits, certains experts jouent les Cassandres et nous prédisent l’arrivée d’un nouveau Botnet, encore plus gros, encore plus dangereux, encore plus envahissant que tout ce que pouvait diffuser McColo. Il s’agirait, nous expliquent nos confrères de ComputerWorld, d’un botnet reposant notamment sur la faille MS08-067, la fameuse « hors cycle » qui fit déjà tant couler d’encre. Le petit nom de son exploit varie en fonction des éditeurs d’antivirus : Downad.a chez les uns, Downadup chez les autres, Conficker.a chez Microsoft… ce serait tellement plus compliqué d’utiliser une nomenclature unique. Par exemple, Exploit-CVE-2008-4250. Mais franchement, avec un nom pareil, difficile de « sensibiliser » l’usager et de le convaincre d’acheter un indispensable outil de protection périmétrique. Les auteurs de scarewares n’ont pas de tels scrupules, eux qui inventent des infections aux noms apocalyptiques…

Toujours à propos de ces histoires de vulnérabilité et de propagation virale, Christian Seifert pose une fois de plus, dans les colonnes de son blog, l’éternelle question relative à la responsabilité de Microsoft dans l’établissement de ces fameux botnets. En invoquant la lutte contre le piratage de ses productions, l’éditeur justifie le fait qu’il puisse contrôler le téléchargement des « service pack » et autres rustines de sécurité. Les vilains profiteurs ne bénéficieront pas du « service après vente » d’une chose qu’ils n’ont pas achetée. De prime abord, la réaction peut paraître logique. Mais, fait remarquer Seifert, cet argument de suffit pas à motiver les intentions d’achat, et les postes piratés demeurent des postes piratés. Et vulnérables… puisque non « patchés ». Ergo, chaque poste piraté fragilisé contribue un peu plus à rendre Internet peu sûr, et vient gonfler les armés de zombies enrôlés dans les botnets.

Seifert oublie toutefois une composante essentielle du jeu de la sécurité et du renouvellement de parc : à l’heure actuelle, même des licences légalement acquises représentent un danger monumental. C’est notamment le cas de l’innombrable armada de postes Windows 98 encore en service… ce sera bientôt celui des générations de XP qui ne seront plus supporté par MS. Ce qui est scandaleux, dans cette situation, c’est la totale irresponsabilité du budget des utilisateurs, qui ne sait pas adopter une plasticité indéfiniment extensible.

2) Joyeux Noël (rootkit edition 2)

Trend Lab,pour sa part, attire l’attention des hommes sécurité sur… un logiciel utilisant des méthodes de rootkit. L’éditeur de ce petit programme de surveillance n’en est pas à son coup d’essai, puisqu’il avait déjà été épinglé pour avoir écrit, à la demande de Sony Music, un programme d’espionnage destiné à fliquer l’attitude des « bons » clients et des « vilains » duplicateurs de CD. Le logiciel en question, explique l’équipe de Trend, logue les activités à surveiller dans un répertoire caché, totalement invisible, qui pourrait, estiment les experts, être utilisé par d’autres programmes, plus malveillants. Ces méthodes de pirate, estiment en substance les chasseurs de virus de l’équipe Trend, sont indignes d’un éditeur qui se respecte. L’on pourrait ajouter qu’un antivirus/anti rootkit qui serait incapable de détecter la présence d’un répertoire caché serait indigne d’un éditeur d’A.V.

Au secours : Apple change d’avis ? Dans une courte annonce technique, immédiatement commentée par Brian Krebs du Post et Robert Lemos du Security Focus, la Jobs Company affirme l’utilité des logiciels antivirus. Sur le coup, on a cru à un revirement de position dialectique dont on ne saisit pas très bien les motivations profondes. Une brusque prise de conscience de la vulnérabilité des choses ? Un appel à l’aide de la part des éditeurs d’antivirus, lourdement frappés par les restrictions d’équipements ces temps-ci ? La crainte de n’être plus un « outsider » oublié des c0d3rZ déchaînés ? Qu’importe. Le soleil d’Austerlitz se levait sur une bonne résolution : Il faut sortir couvert.

Comme toutes les bonnes résolutions, celle-ci fut de courte durée. La journée à peine terminée, que l’avis de sécurité avait disparu des écrans. Pourquoi ? Heise enquête, fouine, interroge, et obtient la réponse à ce mystère. «  The Mac is designed with built-in technologies that provide protection against malicious software and security threats right out of the box » persiste et signe un porte-parole d’Apple. Qui ajoute, mi-janséniste, mi-jésuite (deux cultures pourtant assez étrangères au monde dogmatique des deux Steeve) «  Since no system can be 100% immune from every threat, running anti-virus software may offer additional protection  ».

Traduction libre et très probablement inexacte : «  Notre service marketing remercie la presse internationale d’avoir, à moindre frais, mentionné une bonne centaine de fois notre marque de fabrique… un encart dans le “Washington Post” est si coûteux de nos jours. Toutefois, le contenu sémantique de ladite campagne est contraire à notre politique, établie il y a de cela quelques décennies. Le Mac est inviolable, c’est là un principe qui ne peut être discuté. Cependant, à la demande de notre service juridique, et dans le but d’éviter toute « class action », nous préciserons que le fait d’ajouter une couche de protection ne peut faire de mal, car nous ne sommes pas à l’abri des inconséquences d’un développeur-stagiaire incompétent ou d’un saboteur windowsmaniaque infliltré dans nos équipes »

Traduction en langage « d’jeuns » :« Oui, mais bon ! »

Il serait pourtant très intéressant de voir avec quelle rapidité les usagers du monde Mac pourraient respecter ce nouveau mot d’ordre s’il avait été maintenu, eux, qui, des années durant, se sont faire ressasser que les virus, çà n’existait que dans le monde Wintel. Un monde Wintel qui, lui-même, n’est toujours pas parvenu à oublier le mantra « antivirus+firewall=sécurité absolue ». La première irresponsabilité des éditeurs, c’est leur implication dans la propagation d’idées dogmatiques générées par leurs équipes marketing. Et Apple n’est certainement pas le premier à avoir succombé à ce travers.

3) Phish and cheap (trad : hameçonnage et malbouffe)

Encore une découverte faite par l’équipe des laboratoires Trend Micro : un email de phishing visant les consommateurs des restaurants McDonald et leur faisant miroiter une prime de 75 $ à toute personne répondant à une enquête de consommation. Bien sûr, pour faciliter le versement de cette prime, il était nécessaire de fournir nom, prénom, numéro de carte de crédit, date d’expiration et code pin. « Do it Ronnie Way » disait le slogan de « Mc Do » dans les années 80. Un moto détourné et repris en cœur par les opposants américains à Ronald Reagan, élu Président à cette même époque… et qui pourrait également se faire recycler par les auteurs de malwares.

Les laboratoires CNIS-Mag, généralement plus prospectifs que ceux de Trend, craignent cependant une localisation de ce genre d’attaques. Certains bruits, récoltés sur les canaux IRC du Bas-Larzac et du Black-Périgord, laisseraient entendre qu’il se prépare une campagne de phishing visant spécifiquement une clientèle Française. Sous l’intitulé « Enquête de Satisfaction Gastronomique », l’on aurait vu des brouillons d’email débutant ainsi :

Lucas-Carton offre 150 Euros et une entrée au choix à toutes les personnes acceptant de répondre à cette enquête rapide…

Plusieurs variantes, usurpant indignement les noms de Ferdinand Point, Marc Veyrat, Fifi Moulin ou Michel Troisgros devraient suivre cette honteuse campagne de vol d’identité. Campagne qui risque hélas de s’avérer fructueuse car, outre la légère différence de qualité qui distingue ces restaurants des établissements de Monsieur Ronald McDonald, le montant des comptes en banque des victimes potentielles serait lui aussi légèrement plus confortable que celui des amateurs de viande hachée trop cuite.

Que d’efforts de développement, que de trésors d’ingéniosité pour récupérer une identité bancaire, un code d’accès, une crédence magique. Au Container Store, on a trouvé bien mieux et bien moins cher : le «  Password Directory », un carnet à spirales spécialement étudié pour y noter tous les mots de passe nécessaires, tous les codes PIN indispensables. Un cadeau de fin d’année que chaque hacker ne manquera pas d’offrir à son administrateur préféré. Ironie mise à part, il est à remarquer qu’un lot de mots de passe écrits sur un support papier est plus difficile à pirater à distance et via TCP/IP que cette même information stockée sur un disque dur. Reste qu’il n’est pas impossible à un valeureux voleur d’identité d’ajouter à ses talents celui de pickpocket. Ceci est l’occasion pour rappeler l’existence d’un excellent utilitaire originellement conçu par Bruce Schneier et, depuis, distribué au format Open Source : PasswordSafe. Ce programme, chargeable sur une simple clef USB, existe soit en code Wintel, soit en Java, et donc totalement indépendant de la plateforme utilisée. Bien sûr, l’accès au coffre à mots de passe est lui-même protégé par un sésame « maître » qu’il est conseillé de ne jamais oublier.

Pour approfondir sur Menaces, Ransomwares, DDoS