Spécial sécurité : Samsung, un poisson d’avril en avance d’un jour

Sommaire
1 - Samsung : un poisson d’avril en avance d’un jour
2 - Slaac, l’écoute discrète des réseaux Windows
3 - L’art de bien bouchonner selon Microsoft
4 - Attaque SQL LiZamoon ; entre 250 et 500 000 infections… pour l’instant

1 - Samsung : un poisson d’avril en avance d’un jour
Le 30 mars, Robert McMillan, de Network World, signait un scoop assez dévastateur, accusant Samsung d’installer des keyloggers sur ses ordinateurs portable « série R ». La découverte avait été faite par Mohamed Hassan, un spécialiste sécurité bardé de diplômes : MSIA, CISSP, CISA, diplômé de la faculté de Norwich (sciences forensiques informatiques). Généralement, le genre de personnage dont les paroles font autorité. Dans un premier temps, le représentant local du constructeur élève de véhémentes dénégations allant même jusqu’à accuser Microsoft de cet impair puis admet la responsabilité de l’entreprise et la présence du logiciel d’espionnage commercial connu sous le nom de StarLogger pour améliorer les performances des machines». Réponse plus ou moins rejetée par un porte-parole officiel de Samsung qui, quelques temps plus tard, assure que l’entreprise « prend très au sérieux les allégations de Mr Hassan » mais que « nous n’avons aucune connaissance préalable d’une utilisation de ce logiciel (le keylogger) sur nos portables »… affirmation allant même jusqu’à certifier ne pas connaître l’éditeur du logiciel d’espionnage en question.

Notre confrère tout comme Mohamed Hassan évoquent le précédent du rootkit Sony-BMG installé sur certains CD audio diffusés par la marque. Sans pour autant rappeler qu’il aura fallu très peu de temps à quelques reversers pour que ledit rootkit soit transformé en un vecteur d’intrusion pour n’importe quel usager autre que Sony. Car bien entendu, ce qui intéresse un spécialiste sécurité, ce n’est pas la présence d’un espionniciel commercial, c’est la façon dont ledit espionniciel pourrait être détourné. Ce qui implique au moins une rapide analyse du comportement « in vivo » du programme en question, à commencer par l’étude de son mécanisme d’installation, de fonctionnement, de communication des informations à destination de son centre de commande, sans oublier ses méthodes de stockage local des informations collectées. Car un keylogger, ça récupère généralement un sacré paquet d’informations.

A première vue, la morale de cette histoire, c’est que lorsque l’on est client canadien de Samsung, l’on peut acquérir une licence gratuite d’un logiciel de keylogging pour tout achat d’un ordinateur portable.

Mais dans la nuit du 31 mars au premier avril, le soufflé retombe. Samsung dément formellement l’existence de tout spyware, et fait remarquer que le seul indice ayant pu faire penser à la présence de ce keylogger était un répertoire baptisé SL. Mais le support multilingue des applications Microsoft Live crée également un répertoire homonyme, lequel a immédiatement fait hurler les sirènes de l’antivirus de Mohamed Hassan. Le coupable ? L’antivirus Vipre de GFI. Lequel GFI s’excuse platement pour ce faux-positif.

Ce qui est anormal, dans cette épopée fleurant l’espionnite aigüe, ce n’est pas le papier de notre confrère, lequel disposait d’une source réputée fiable, elle-même certifiée par des organismes ayant pignon sur rue, tel l’ISC² ou l’Université de Norwich. Ce n’est pas non plus franchement de la « faute » de GFI. Le faux positif, pour agaçant qu’il soit, fait partie des désagréments de notre vie. Après tout, un antivirus qui réagit, c’est toujours plus rassurant qu’un antivirus qui se tait et laisse passer les attaques importantes (à tout hasard, Lizamoon). Est-ce de la faute de Samsung ? Encore moins… mais le précédent « Sony BMG » pèse encore lourd dans la destruction du capital-confiance que les grands industriels inspirent au public. Sony s’est rendue coupable d’un acte de piraterie, et ce pas de clerc a rejailli sur toute l’industrie informatique de grande consommation. La responsabilité de Monsieur Mohamed Hassan, en revanche, est légèrement plus certaine. Un spécialiste patenté qui crie au loup sur la seule preuve apportée par un antivirus, sans « log » de keylogger à se mettre sous la dent, sans preuve Wireshark d’une tentative de « E.T. téléphone maison » émis par le keylogger, sans même la plus petite capture d’écran d’un System Monitor (de Mark Russinovich, inventeur du spyware Sony-BMG), tout ça est un peu « limite ». Deux jours plus tard, l’affaire aurait fait sourire.

2 - Slaac, l’écoute discrète des réseaux Windows
L’attaque Slaac (pour attaque IPv6 Stateless Address Autoconfiguration) que vient d’élaborer (3 - L’art de bien bouchonner selon Microsoft
Microsoft annonce la publication de la seconde édition du Security Update Guide, ou guide de déploiement bien tempéré des correctifs Système. L’on y trouve des bonnes pratiques d’établissement des priorités, des conseils à propos des tests des mises à jour de sécurité, des guides sur les choix des méthodes de déploiement, des explications sur les « indices de probabilité d’exploitation » ainsi que sur la façon dont sont conçus et testés les correctifs chez Microsoft. Le précédent guide datait de 2009, avant l’institution des indicateurs d’exploitation. Le tout est accompagné de graphiques et organigrammes fonctionnels clairs et pédagogiques. A mettre de côté pour une lecture de week-end, le document comptant tout de même près de 120 pages.

4 - Attaque SQL LiZamoon ; entre 250 et 500 000 infections… pour l’instant
Tout a commencé par une alerte Websense, signalant, sur un ton inquiet, la progression d’une attaque massive en injection SQL. Son nom de code : Lizamoon, en raison du nom de domaine vers lequel pointe une requête de script injectée. « 28 000 sites compromis », clamait l’alerte. Dans la journée du 31 mars, le Sans comptabilisait 226 000 pages frappées par ce mal. L’attaque prenait une ampleur rarement atteinte par le passé. Tard dans la soirée, les requêtes Google culminaient à 380 000, puis retombaient à 240 000, pour repartir de plus belle.

C’est Dancho Danchev qui signe le papier le plus informatif sur le sujet, en dressant, domaine après domaine, la liste des sites liés à cette attaque massive. Tous sont d’origine mafieuse et entrent dans une campagne plus vaste de vente de scareware (faux antivirus). Lequel scareware (en fait un cheval de Troie) aurait un taux de reconnaissance par les antivirus plafonnant à 22%. Un quasi-inconnu. Une simple requête portant sur la chaine script src=http://lizamoon.com donne une petite idée de l’évolution de l’infection.