Un applet Java signé mais... malveillant

Comment passer entre les mailles des filets de sécurité ? En signant sa charge utile malveillante avec un certificat légitime, comme l’a si bien enseigné Stuxnet ! Ou encore l’affaire Bit9, qui a reconnu récemment la compromission de l’un de ses certificats et son utilisation pour signer des logiciels malicieux. 

C’est ce que viennent de faire les auteurs d’une applet Java malicieu se. Et celle-ci passe bien au travers des mailles des anti-virus, si l’on en croît Virus Total. Initialement du moins car, depuis, plusieurs éditeurs l’ont intégré à leurs bases de signatures, à commencer par Avast, Gdata, Kaspersky, Sophos, Symantec et Trend Micro. Dans un billet de blog sur Zataz.com, Eric Romang relève que le JRE 1.6 d’Oracle laisse apparaître l’applet malicieuse comme parfaitement légitime. Les informations complémentaires précisent même que le fichier Jar correspondant a été généré «avec un certificat de confiance ». Le souci ? Le certificat utilisé ici a été compromis et révoqué par GoDaddy début décembre. 

Comment expliquer une telle situation ? Selon Eric Romang, «par défaut, la vérification des listes de révocation de certificat est désactivée et les applets Java signés sont autorisées à recevoir des accès privilégiés ». Heureusement, ces options peuvent être activées manuellement. Mais encore faut-il le savoir. 

Sollicité par nos confrères de Techworld au Royaume-Uni, Oracle s’est refusé à tout commentaire.