Spécial sécurité : le malware mobile se fait attendre
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'amusent des signaux d'alarme qu'agitent régulièrement les éditeurs d'antivirus prédisant l'apparition de malwares sur les téléphones mobiles. Une prédiction de Cassandre qui ne s'est encore jamais vérifiée. Mais CNIS note aussi que les pirates ont désormais une cible de choix : l'iPhone.
Sommaire :
- Le malware mobile se fait attendre
- Microsoft : une bonne pinte de sainte crainte
1) Le malware mobile se fait attendre
Pure coïncidence : Le blog de l’Avert de McAfee et celui de l’équipe de recherche de F-Secure sombrent dans une crise d’angoisse. Une sorte de cri d’alarme que l’on pourrait résumer par « les virus pour téléphones portables, c’est pour bientôt ?! ». Tout d’abord un papier intitulé « Waiting for Mobile Malware Wave » chez F-Secure, qui fait remarquer entre les lignes que la première victime potentielle pourrait bien être l’iPhone. Il faut dire que, des années durant, F-Secure a publié rapports sur études et enquêtes sur analyses laissant entendre que le prochain Tsunami numérique qui nous submergerait serait téléphonique ou ne serait pas. Et pour l’instant, il persiste à ne pas être… ce qui agace quelque peu les pythonisses de l’analyse virale.
Mais il y a un espoir. De plus en plus de navigation en ligne, chez les ados comme chez les adultes, de plus en plus d’interactivité et de téléchargement d’applications, de plus en plus de forfaits illimités, de plus en plus d’appliquettes « web 2.0 » qui sont autant de pièges et propagateurs potentiels de malwares. Avec 40 millions d’iPhone et iPod Touch vendus dans le monde (statistiques Apple), il faut reconnaître que la cible est tentante. L’hégémonie qui transforme un système d’exploitation en cible privilégiée, c’est précisément ce que la communauté Apple reproche depuis des années au monde Microsoft… arguant du fait qu’il est plus sûr d’acheter un Mac pour cette raison… Cela s’applique-t-il également au secteur du GSM et de la 3G ?
Il est vrai que le monde de la téléphonie a tendance à se concentrer autour d’un nombre de plus en plus limité de plateformes. Windows Mobile, le système Apple, peut-être Android dans un proche avenir, Symbian… et c’est pratiquement tout. Il est tout aussi vrai que le prix des communications a tendance à baisser à tel point que la notion de facturation au temps disparaît peu à peu. Il est en train de se passer dans le monde de la téléphonie exactement ce qui est déjà arrivé dans le secteur des communications terrestres. Lorsque l'ADSL a commencé à se répandre et que les connexions de tout un chacun sont devenues quasi permanentes, les auteurs de malware ont radicalement changé leurs méthodes de travail. Avec ADSL ont été créés les premiers grands botnets. Avec ADSL – et les « tarifs plats » des communications - le volume du spam a évolué de façon logarithmique. Avec ADSL, le niveau général de sensibilisation aux principes élémentaires de sécurité est tombé en chute libre. Ce fut également la porte ouverte aux places de marché mafieuses, fruit du travail des gangs spécialisés dans le vol d’identité. En d’autres termes, tant que le coût des communications pouvait impacter directement les grands spammeurs ou limiter le développement de leurs victimes, la cyberdélinquance demeurait marginale, en attendant son heure.
Peut-on prévoir qu’un jour le paysage de la téléphonie « surfante, streamante et téléchargeante » sera semblable à celui de l’informatique traditionnelle « WebDeuxisante » ? Ce n’est probablement qu’une question de temps.
Chez McAfee, l’on se pose strictement les mêmes questions. Mais sous un angle légèrement différent. Car ces téléphones intelligents, ces caméras et magnétophones numériques si indispensables au blogueurs-podcasteurs, ces baladeurs numériques quasi normalisés, qu’ont-ils tous en commun ? demande Kevin Beets. « Mais un espace de stockage USB dont le propre est de sauter de prise en prise,d’ordinateur en ordinateur ». C’est l’évolution socioculturelle et l’adoption massive de ces gadgets communicants qui constituent un formidable vecteur de propagation. L’utilisateur est vecteur d’infection lui-même, une infection qui profite de la généralisation des composants USB. Si, autrefois, un bon virus devait avant tout se camoufler dans un secteur de boot et espérer que la disquette infectée passerait de service en service, le malware moderne, lui, est quasiment certain qu’il trouvera un humain pour le véhiculer là où il le souhaite. Une attente pleine de bon sens. Des années durant, les gourous de la sécurité antivirale – notamment les deux susnommés, McAfee et F-Secure - se sont évertués à combattre un improbable virus se propageant par liaison WiFi ou Bluetooth. C’était voir trop loin, trop sophistiqué, trop technique. Les auteurs d’infections apprécient bien plus la simplicité de l’ordre « copy » et la fiabilité garantie par le comportement immuable des téléchargeurs compulsifs. La seule crainte, pour ces codeurs du mal, c’est qu’une loi du genre Hadopi modifie les comportements de toute une population et tende à limiter l’usage de ces espaces de stockage que sont les téléphones mobiles, les baladeurs, les appareils photos numériques, les clefs USB diverses. Mais à part quelques rares personnes totalement déconnectées de la réalité, qui peut croire à un tel scenario ?
2) Microsoft : une bonne pinte de sainte crainte
Une question que se pose l’Expert Français de Miami, Kostya Kortchinsky, à propos du très fameux et très récent « indice de probabilité d’exploitation » que Microsoft fournit désormais à l’occasion de chaque Patch Tuesday. « C’est une bonne idée », estime en substance l’auteur, « car elle donne au responsable sécurité un indice tangible du degré d’urgence qui caractérise le déploiement et l’application de telle ou telle rustine ». Reste que ce thermomètre de dangerosité n’est pas très fiable. Non pas, précise Kortchinsky, parce que certaines failles sont « minimisées », bien au contraire. Et de se lancer dans l’analyse de faisabilité d’un exploit portant sur une faille étiquetée « critique » dans le tout dernier bulletin Microsoft, indice d’exploitation 1 – le plus élevée sur l’échelle de Richter du Poc. Notre chercheur s’escrime sur le code, déploie les trésors de sagacité qu’on lui connaît… en vain. Le lendemain, ledit bulletin voyait sa cote d’exploitation tomber au niveau 3, accompagné de la mention « remote code execution exploit is very unlikely », correction faite après les insistantes questions de iDefense. Des heures de travail en pure perte. La vie de forgeron du pentesting est un sacerdoce parfois bien éprouvant.
Une aventure qui remet en question la fiabilité des avis du MSRC ? Un simple « trouillomètre » dont les mesures sont liées à l’émotivité du moment ? Ou, plus simplement, une erreur ponctuelle qui ne devrait pas remettre en cause le sérieux du travail effectué par les membres du MSRC. L’immense majorité des non-techniciens qui ne peuvent apprécier à leur juste mesure la subtilité et les interprétations de ces querelles d’experts, aura retenu une seule chose : Microsoft a peut-être poussé ses clients à appliquer un peu trop vite un patch qu’ils auraient éventuellement pu retarder le temps d’un test de régression. Pas de quoi fouetter un compilateur.
Microsoft se retrouve donc dans une situation à nouveau difficile à tenir. Longtemps, ses alertes de sécurité ont été systématiquement minimisées, occultées parfois. Les bugs de Windows étaient aussi officiellement inexistants que les failles exploitables dans le monde Apple. Un « négationnisme du trou » qui devait peu à peu disparaître, sous la pression des membres actifs de la liste de diffusion Full Disclosure : Liu Die Yu, http-equiv, Thor Larholm, Paul (de Greyhat) et tant d’autres. Il faudra plus de 8 ans pour retrouver une certaine confiance de la part du public, à grand renfort de blogs, de bulletins formatés, de rendez-vous fixes les seconds mardis de chaque mois, de promesses de « remise à plat » des noyaux, de politiques de développement à la sauce Software Development Lifecycle, de TPM et de trustworthy computing.
En souhaitant faire preuve d’encore plus de transparence, grâce à ce fameux indice d’exploitation, les équipes sécurité de Microsoft s’exposent une fois de plus aux critiques en cas d’erreur (humaine) de jugement. Critiques d’autant plus justifiées que, si les fausses alertes se répètent trop souvent, ces annonces pourraient provoquer un effet inverse à celui escompté. A force d’entendre crier « au loup », les vigilances s’émoussent. D’autant plus que les vigilances en question sont déjà au plus bas en temps normal. La récente affaire « conficker-downadup » a prouvé qu’au moins 40 % des grands comptes français lisaient lesdites alertes – ou respectaient lesdits avis d’urgence - d’un postérieur distrait, et ce, quel que soit le ton employé par le Microsoft Response Team.
La coupe serait pleine si, par malchance, l’un de ces indices d’exploitation « surévalué » poussait les usagers à déployer une rustine dans l’urgence et que ladite rustine provoque une régression générale. Bien que de plus en plus rare, ce genre de désagrément est déjà arrivé par le passé. Le spectre du « service pack qui tue » ou l’ombre du « correctif qui freeze » demeure encore très présent dans l’inconscient collectif des homo-informaticus.