pixel_dreams - Fotolia
NSA : questions sur les mécanismes de remontée d’échantillons de maliciels
Des tiers peuvent-ils intercepter les échantillons de logiciels malveillants ou seulement suspects remontés par les antivirus à leurs éditeurs ? Selon certains experts, cela ne semble pas impossible.
L’agence américaine du renseignement a été victime d’une fuite de données en 2015. Des pirates seraient parvenus à mettre la main sur des échantillons de outils de cyberdéfense offensive, par le biais d’un employé ayant fait l’erreur d’avoir ramené du travail à la maison. Son ordinateur domestique était équipé de l’antivirus de Kaspersky. Selon l’une des hypothèses plausibles, ce dernier aurait identifié les maliciels de la NSA. Ce qui ne va pas sans soulever la question de la manière dont l’antivirus – et d’autres également – communique avec l’infrastructure de son éditeur, notamment pour la remontée de métadonnées sur les menaces, mais aussi pour celle d’échantillons de logiciels malveillants. A savoir : ces remontées sont-elles susceptibles d’être interceptées par des tiers ?
La remontée d’indicateurs ? Une pratique répandue
Car le fait est beaucoup de produits de protection du poste de travail procèdent à ce genre de remontées, même si bon nombre de clients entreprises les désactivent. Début 2015, Thibault Signat, alors en charge de l’équipe avant-vente de FireEye pour l’Europe du Sud, expliquait, lors d’une table ronde organisée au FIC et consacrée au partage du renseignement sur les menaces, qu’environ 70 % des plateformes FireEye déployées dans le monde étaient configurées pour autoriser le partage d’information.
Et ce n’est pas un cas isolé, loin s’en faut. En 2012, Sourcefire, depuis racheté par Cisco, lançait son service d’analyse de code malveillant dans le Cloud, AMP, basé sur la technologie d’Immunet, racheté un an plus tôt. Le service renseignement sur les menaces de Palo Alto Networks, Autofocus, est lui-même notamment alimenté, notamment, par les informations issues du service Wildfire. La liste est en fait très longue ; Windows Defender, dans Windows 10, y figure. Kevin Beaumont, sur Twitter, le souligne d’ailleurs : « il n’y a rien de mal là, cela permet une meilleure protection pour tout le monde ». Toute la question est de savoir comment se fait la remontée.
Quelle sécurité pour la remontée d’indicateurs ?
Kevin Beaumont s’est justement penché sur le sujet, aidé par l’outil d’analyse de trafic réseau Wireshark. Premier résultat : « Microsoft a un serveur de métadonnées pour lequel, sous Windows 10, c’est toujours http plutôt que https ». Et de souligner au passage que « les éditeurs d’antivirus poussent encore largement les mises à jour sur http. On peut faire mieux ».
The last two providers I've looked at today, BitDefender and Kaspersky, run updates over HTTP. I guess it's legacy or CDN concerns. pic.twitter.com/MhE8b11G54
— Kevin Beaumont 🙃 (@GossiTheDog) October 9, 2017
Cela vaut notamment, d’après ses recherches, pour Bifdefender et Kaspersky. Selon un autre expert, Eset ne procède pas différemment. Avec ironie, Kevin Beaumont suggère à la NSA de ne pas installer Cisco AMP sur des postes utilisés pour le développement de maliciels. En fait, pour lui, le souci n’est pas dans ces communications entre systèmes de protection et leur fournisseur, c’est l’absence de transparence ou d’audit de ces processus.