Spécial sécurité : Botnet : Zeus hait tout

Sommaire :

- Botnet : Zeus hait tout
- Routeurs des FAI : attaque en perspective
- La « config par défaut » m’a tuer
- Cyber-attaques en France : 2,4 Millions d’Euros par casse

Botnet : Zeus hait tout
Zeus et quelques unes de ses variantes fait à nouveau parler de lui. Depuis quelques jours, ce botnet réapparaît à la une des journaux. Parfois avec des accents dramatiques (c’est notamment le cas des médias non spécialisés) souvent avec une note de désespoir dans les titres. Ainsi Brian Krebs qui rappelle que cette vague n’est pas franchement nouvelle et que sa médiatisation tient pour beaucoup des départements marketing de certains vendeurs de sécurité périmétrique. Mais, reconnaissent tous les experts, Zeus demeure dangereux. Krebs (encore lui) rappelle que c’est cette infection qui a presque ruiné une petite société d’assurance du Michigan. Même son de cloche du côté de F-Secure, qui fait au passage des politesses à Krebs et rappelle que nihil novi sub sole : même affublé d’un nouveau nom (Kneber), un Zeus est toujours un Zeus, tonnerre de JeruB !

Mais les plus beaux morceaux d’anthologie sont signés respectivement par Dancho Danchev et par Atif Mushtaq. Danchev chasse les botnets depuis l’époque où le mot même n’existait pas. Son dernier papier (parmi une impressionnante collection) détaille avec précision les réseaux de serveurs vecteurs d’infection et l’organisation que ces campagnes de compromission supposent. L’autre morceau de bravoure, signé Atif Mushtaq du FireEye Malware Intelligence Lab, explique ce qu’est une attaque « Man in the Browser », une nouvelle forme d’exploitation mise en œuvre par ces fameux «  modern password stealer and banking Trojans »… et notamment Zeus. Tout ça se lit comme un roman d’espionnage. C’est de la très bonne vulgarisation, et l’on regrette un peu que les chercheurs français ne prennent pas plus de temps à rédiger de tels scénarii, bien plus persuasifs pour la majorité des lecteurs qu’un exposé sérieux et sobre sur les mécanismes de fonctionnement dudit virus, dump mémoire, captures Wireshark et écrans de Process Explorer à l’appui. Science sans vulgarisation n’est que ruine de l’âme.

Routeurs des FAI : attaque en perspective
Chuck Norris serait une « preuve de faisabilité » développée par un chercheur Tchèque. Une recherche en droite ligne des scénarii d’attaque imaginés par l’équipe de GNU Citizen sur les routeurs WiFi des opérateurs britanniques, et qui s’appuie notamment sur la compromission de routeurs à base de noyau Linux protégés par un mot de passe faible. Or, les mots de passe admin par défaut et autres clefs Web issues des adresses MAC desdits routeurs, cela fait déjà quelques années qu’on en parle, tant à l’étranger qu’en France. Certains de ces Sésames peuvent d’ailleurs être obtenus par simple « social engineering » en se faisant passer pour un ignorant total auprès des services de « ligne chaude » de certains fournisseurs d’accès.

Mais Chuck Norris va plus loin. Plus qu’une simple éventualité d’intrusion, il intègre les mécanismes de base nécessaires à l’établissement d’un botnet, lequel pourra être exploité pour lancer des attaques en déni de service, relayer du pourriel, spoofer du DNS, récolter du mot de passe… ad libitum selon la « charge utile » installée. Le père de Chuck Norris, Jan Vykopal, patron du département sécurité réseau de l’Institut des sciences informatique Masaryk de l’Université de Brno, s’appuie notamment sur quelques vulnérabilités caractéristiques de certains matériels et sur le fait que bon nombre de ces équipements sont paramétrés pour autoriser une forme d’administration ou de prise de contrôle à distance indispensable pour d’évidentes raisons de support, de test et de maintenance. En mettant la main sur un mot de passe par défaut, c’est tout le parc d’un FAI qui peut alors tomber sous la coupe d’un « bot herder ».

Pour l’heure, aucune information technique réelle n’a filtré quand aux détails du ou des exploits nécessaires à cette attaque. Même Gadi Evron se contente de renvoyer le lecteur sur un papier signé Bob McMillan, publié dans PC-World et dénué de toute information solide. Même le conseil donné par notre confrère (demander à chaque usager d’entrer un mot de passe « fort ») ne peut être sérieusement pris en compte, puisque précisément, le mot de passe d’origine n’est connu que du fournisseur d’accès… et de quelques hackers passionnés. A classer dans la catégorie « nonsense mitigating factor ». Un tel scénario d’attaque avait même été évoqué il y a un peu plus de 5 ans par quelques découvreurs de failles qui s’étaient penchés sur les routeurs Linksys et Zyxel aisément « flashables » à distance et trop populaires pour ne pas offrir aux voyageurs sans-fil quelques jolis mots de passe par défaut parmi une multitude d’appareils « wardrivés ».

S’il n’existe pour l’instant aucune preuve tangible de l’existence de Chuck Norris, spécialiste de la faute de frappe et des fleurs bleues contendantes, son existence est plausible. D’autant plus plausible que tout système télé-administrable est, en puissance, un r&ea cute;seau vulnérable par détournement, et que tout routeur utilisant un noyau plus ou moins standard est « riche » d’erreurs de conception compilables sur la liste Full Disclosure ou sur un site d’information tel que Milw0rm. Enfin, il est rare que les utilisateurs de ces routeurs possèdent à la fois la compétence et les informations nécessaires à la mise à niveau de leurs firmwares, ce qui pourrait bien hisser le « Poc » des chercheurs Tchèques au rang de « danger Scada » s’il s’avérait assez universel et adaptable pour être réellement exploitable.

La « config par défaut » m’a tuer
Exceptionnellement, il n’est pas nécessaire de savoir parler binaire dans le texte pour comprendre un article publié sur le blog de Neohapsys. Car «  Configurez TOUS les systèmes » ne traite que d’un problème, simple : la chasse aux mille et une consoles d’administration cachées sur des appareils dont on ne soupçonne pas l’intelligence. Et de raconter l’histoire d’un « Audit » réseau qui, minute après minute, s’est soldé par la découverte d’un serveur Web camouflé dans une carte Ethernet ou dans un onduleur. Un serveur à chaque fois configuré avec des crédences par défaut. Et un accès Admin sur un groupe d’onduleurs, c’est la possibilité de couper le courant à tout un groupe de serveurs. L’article aurait fort bien pu s’étendre sur la diversité des périphériques administrables, voir possédant deux interfaces réseau : imprimantes réseau WiFi/base cuivre, caméras de surveillance IP, routeurs et autres équipements de commutation intégrés ou non… Les backdoors officielles se multiplient au sein des réseaux, ce qui fait dire à l’auteur du billet « Y’a-t-il un employé aigri dans la salle ? »

Cyber-attaques en France : 2,4 Millions d’Euros par casse
Symantec publie son étude annuelle sur les « chiffres de la cyberdélinquance informatique ». Etude reposant sur un sondage auprès de 2100 CIO et responsables sécurité d’entreprises uniformément réparties dans le monde. L’étude dans son intégralité peut être téléchargée sur le site de l’éditeur. Selon ce rapport, les ¾ des entreprises dans le monde auraient été victimes d’attaques durant l’année écoulée (2009). Le communiqué de présentation résume de manière lapidaire : « 100% des personnes interrogées dans cette étude ont indiqué avoir subi des pertes en ligne, que ce soit des informations confidentielles sur les clients, des informations bancaires des clients, ou de la propriété intellectuelle. Par ailleurs, cette étude révèle que les grandes entreprises françaises ont perdu 2,4 millions d’euros en moyenne à cause des cyber-attaques. »