Tommy Angello
Administrateur
Sexe: 
Inscrit le: 05 Sep 2006
Messages: 4354
Localisation: dans ton cpu
|
Posté le: Sam Juin 30, 2012 23:09 pm Sujet du message: Les éditeurs d'antivirus participent à une opération armée
| CNIS a
écrit: | « Promis-juré, cette
fois, c’est pas nous » disent non officiellement les services secret US :
Flame, le virus-espion répandu dans les pays du Golfe, est bien une
cyberarme, mais ne porterait pas l’estampille « made in USA ». Bizarre,
vous avez dit bizarre ? Comme c’est pourtant étrange, cette communauté
d’inspiration d’écriture entre Flame et les précédents virus Stuxnet et
Duqu. Le premier Cert à avoir réagi et proposé un outil de détection
anti-flame est le Cert Iranien. Chat échaudé craint l’eau froide. Pourquoi
un Cert ? Parce qu’aucun antivirus n’a pu, jusqu’à présent, détecter
la présence de Flame. Pourtant, jusqu’à présent, ce sont les éditeurs
d’antivirus, des civils donc, et des civils souvent étrangers au pays
supposé d’origine de l’attaque, qui ont été les premiers à réagir
lors des précédents Stuxnet et Duqu, les deux cyber-bombes officiellement
reconnues comme telles. Des découvertes qui ont coûté cher aux
cyberarmuriers qui espéraient bien conserver secrète leurs Techno-Durandal,
et une absence de découverte qui pourrait bien coûter aussi cher aux
éditeurs d’A.V.. Car Flame ne serait pas une rosière. Certains avancent
que les composants de l’attaque pourraient bien avoir été détectés et
ignorés durant plus de 5 ans. Un institut de recherche Hongrois affirme
posséder une souche au moins depuis le début du mois de mai dernier, et lui
donne le nom de sKyWIper, tout en publiant une étude de 64 pages sur le
sujet. Chez F-Secure, Mikko Hyppönen bat sa coulpe et avoue « we were
surprised to find that we already had samples of Flame, dating back to 2010
and 2011 »… Flame est officiellement demeuré au moins deux ans dans les
tiroirs des chasseurs de vers, tueurs de troyens, traqueurs downloaders et
d’autres horreurs binaires. Si encore il pouvait être arrivé à un
éditeur de « passer à côté » de choses pareilles… mais plus d’une
quarantaine d’industriels, de spécialistes, d’Über-gourous du code
malicieux, de notables sorciers du code néfaste ? On peut comprendre qu’un
virus très bien écrit puisse échapper aux regards de beaucoup. Mais de tous
? On ne peut s’empêcher de se rappeler les propos des patrons de Symantec
à l’époque de la découverte publique des codes d’espionnages (flicware)
des polices US « Magic Lantern » et « Carnivore » : « notre rôle de
patriote nous obligera à ne rien révéler » disaient-ils en substance,
estimant que le patriotisme américano-américain était un produit qui
pouvait fort bien s’exporter en Europe comme les boîtes d’antivirus. La
découverte tardive de Flame est-elle le résultat d’une omerta de certains
chasseurs de codes malsains ? Dans tous les cas, l’affaire a des
conséquences sur l’image de marque de la profession. Soit il y a eu
collusion, soit il y a eu incompétence, soit il y a eu incapacité à
communiquer.
Remember Thierry Zoller
Tout comme Stuxnet et Duqu, le désassemblage de Flame s’égrène par
épisodes. Chaque chapitre comporte sa part de révélations, de suspens, de
coups de théâtre. Les deux derniers en date portent l’estampille
Microsoft. Flame montre carte blanche en exhibant un certificat Microsoft,
lequel a, depuis, été révoqué. Des virus utilisant des certificats
étrangers, c’était déjà le cas avec Stuxnet (voir article précédent).
Mais là où la chose devient encore plus intéressante, c’est lorsque
l’on s’aperçoit que Flame, par le truchement de deux modules baptisés «
Gadget » et « Munch », parvient à monter un attaque Man in the Middle
capable de détourner une machine tentant de se connecter à Microsoft Update.
Tous les détails une fois de plus sous la plume d’Aleks, chercheur de
l’équipe Kaspersky. Ce risque de détournement avait été évoqué il y a
déjà plusieurs années par le chercheur Luxembourgeois Thierry Zoller. Ses
recherches avaient notamment mis en évidence le manque de sécurisation des
outils de mise à jour utilisés par quelques addwares assez intrusifs (Gator
notamment), et il devenait alors légitime d’imaginer l’extension de cette
méthode à des mécanismes plus perfectionnés et réputés inviolables. A
commencer par le diffuseur de correctifs le plus connu au monde :
Microsoft/Windows Update.
Si l’on en croit la démonstration des chercheurs de Kaspersky, Flame a donc
profité de la journée portes ouvertes du « second mardi de chaque mois ».
Ce mardi 8 mai, c’était pas ravioli…
Lorsque l’on rapproche cette information et le fait que l’on soupçonne
l’existence de versions préhistoriques de Flame datant de plus de 2 ou 5
ans, et en admettant que les modules Gadget et Munch aient été parmi les
premiers écrits, on peut donc en conclure que cette vulnérabilité « by
design » du protocole Windows Update existe depuis autant de temps. Cette
hypothèse semble logique, puisque les mécanismes de propagation d’un virus
sont plus importants que la « charge utile » qu’il transporte et font
partie des premiers codes écrits. La charge peut être changée, mais le
moyen de voyager constitue la véritable marque génétique d’un vecteur
d’infection. Services secrets de Technolombie 1, Microsoft 0, auteurs
d’antivirus 0.
Much ado about nothing ?
Il serait inconséquent de tirer des conclusions à l’emporte-pièce à
propos de Flame. Le code final est monstrueux (plus de 20 Mo disent les
personnes l’ayant analysé), le secteur géographique de son emprise est
limité, voire très ciblé, Flame ne représente que peu de danger pour les
ordinateurs Européen, et il ne faut pas confondre les cris d’excitation
bien compréhensibles des « reversers » en train d’autopsier ledit virus
avec une alerte rouge carmin annonçant la fin du monde informatique. Mais on
ne juge pas l’importance d’une arme aux nombres de victimes constatées
sur un seul théâtre de conflit. Flame repose la question de la
militarisation du code et de la protection des civils face à ce genre
d’attaque. Flame fait s’interroger également sur le rôle de recherche
que doivent assurer les Cert et les organismes de cyberdéfense
gouvernementaux (Anssi notamment) en matière de détection, de lutte,
d’information lors d’attaques de ce type. Le bruit que soulève Flame est
en grande partie provoqué par des médias grand-public en quête de hits et
de fréquentation. Il serait hâtif pourtant de jeter le réel danger que
constitue Flame avec l’eau du bain de cette
sur-médiatisation. |
Le bilan de l'analyse de Flame:
http://www.crysys.hu/skywiper/skywiper.pdf
autre article à ce sujet:
https://www.f-secure.com/weblog/archives/00002376.html
comment il se répand:
https://www.securelist.com/en/blog/208193558
la réponse de microsoft:
https://technet.microsoft.com/en-us/security/advisory/2718704/
Gadget_in_the_middle_Flame_malware_spreading_vector_identified
Réjouissons-nous, les ordinateurs de toute l'administration, toutes les
entreprises grandes ou PME, l'armée, la diplomatie, utilisent des ordinateur
sous Windows avec de grandes chances d'avoir des antivirus américains.
|
