Spécial sécurité : le blues du chasseur de bugs; sauveur complice; Bios infecté

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se penchent le blues des chasseurs de bugs ainsi sur une sale ruse de pirate et l'infexion d'un Bios.

cnis logo

Sommaire

- 1 - « Pétrole contre nourriture » réclament les chasseurs de bugs

- 2 - Le coup du sauveur complice

- 3 - Le coup du Bios infecté

1- « Pétrole contre nourriture » réclament les chasseurs de bugs

Il y a longtemps, très longtemps
Il y avait un bon hacker
Qui offrait ses bugs éclatants
Sans avoir…
Sans avoir…
Sans avoir l’air

Ses bugs étaient de qualité
Tous des CVE notables
Et tous ses PoC en vérité
Bien exploitables

Un éditeur vint à passer
Qui collectait ces pacotilles
Avec son avocat flanqué
D’un code si
D’un code si
D’un code civil

Et comme il était de surcroît
Pingre comme un atomiseur
Il prit les bugs et planta là
Notre chercheur

Lequel à ce moment précis
Avait le nez dedans son hard
Ce qui fait qu’il n’y prit
Pas du tout
Pas du tout
Pas du tout garde

L’éditeur obtint alors
Le prix du meilleur « response team »
Et le chasseur mourut de faim
Sans un centime

Et tout s’étant ainsi passé
Suivant la plus saine logique
Sans le concours d’aucune fée
Aux dons magiques
Les clients se crurent protégés
Et périrent tous d’une infection

C’est ainsi qu’il faut raconter
Des plus grands chercheurs les batailles
Si vous voulez éviter
Qu’ils trouvent encore des failles

(d’après Jacques Faizan)

Tout ceci pour traduire le désespoir des chasseurs de bugs. « No more free bugs » manifestaient, durant la dernière CanSecWest, un groupe de trois chasseurs de failles réputés : Dino Dail Zovi, Charlie Miller (interviewé à ce propos par le non moins célèbre Ryan Naraine pour le compte de ZD Net ) et Alexander Sotirov dont les derniers échanges avec Verisign ressemblent plus à une guerre larvée qu’à un échange entre adultes travaillant de concert sur un problème de sécurité.

No more free bug en vertu d’un raisonnement relativement logique : avec la professionnalisation de la conception et édition des « crimewares », la chasse aux bugs est devenue non seulement une nécessité vitale, mais également un signe extérieur de « valeur ajoutée » de la part des éditeurs et équipementiers. La faille possède une valeur commerciale aisément estimable… si ce n’était le cas, certaines sociétés éditrices ne verseraient pas déjà une « prime au bug », et les grands acheteurs de failles –les ZDI et iDefense- ne récompenseraient personne. Car derrière chaque trou de sécurité acheté, c’est un programme de défense périmétrique qui prend de l’avance sur ses concurrents, c’est un industriel du logiciel qui économise des heures de recherche dans le déverminage de ses productions. Et ceci sans parler des risques que prennent chaque jour les chercheurs, qui, en guise de remerciement pour leurs travaux, se font parfois traîner devant les tribunaux et traiter plus bas que criminel. Toute peine méritant salaire, conclut donc Dai Zovi, chaque vulnérabilité affectant un programme commercial sera donc elle aussi commercialisée. Ou plus exactement cédée à son « propriétaire » contre rétribution. Après tout, il existe bien un marché parallèle, légal, qui rétribue parfois grassement certaines découvertes. Les agences de renseignement gouvernementales ou non, les services de police sont les premiers intéressés. Et c’est sans parler des filières plus ou moins grises qui alimentent les spécialistes du « marketing direct » et autres flibustiers du spam.

Il ne s’agit pas, insiste ce « chef des dissidents », de se lancer dans une campagne de chantage ou de remettre en question les principes tacites de la « divulgation raisonnée ».

Des propos, des revendications qui n’ont rien de nouveau. Quelles sont les chances de succès d’une telle initiative ? Assez faibles, admettons-le. Car pour devenir effective, une telle politique devrait être supportée par un mouvement corporatiste parlant d’une seule voix et offrant des procédures d’achat et d’information quasi normées. De telles places de marché commencent à exister, mais du côté des éditeurs de malwares. Chez les White Hats, l’idée même d’une sorte de syndicat professionnel est impensable. Surtout Outre-Atlantique où l’on voit le spectre du communisme primaire se glisser derrière chaque initiative communautaire.

Mais cette action, toute symbolique qu’elle soit, va peut-être faire bouger les choses. En dissuadant notamment quelques inconditionnels de la procédure judiciaire (Adobe, Cisco, Oracle, certaines régies de transport notamment) à réfréner le zèle de leurs meutes d’avocats. En achevant de convaincre d’autres –tout le monde pense à Microsoft, naturellement- d’officialiser cet état de fait.

2- Le coup du sauveur complice

Une variante de la précédente histoire, toujours orchestrée par les spécialistes du faux antivirus, décidément très en verve ces jours-ci. Cette fois, le montage est dénoncé par l’équipe de F-Secure : l’éditeur de faux antivirus ne prospecte jamais directement. Il passe par un réseau de « rabatteurs affiliés » qui, à l’aide d’un botnet, piègent les internautes. Lesquels voient apparaître des écrans d’alerte leur signalant la présence d’une infection dangereuse, laquelle ne peut être éradiquée qu’après achat de l’antivirus seul capable de détecter ladite infection –et pour cause, cette infection est une pure invention. L’antivirus est vendu 50$, le rabatteur est payé 20 $ par victime. La technique du faux agresseur mis en fuite par un sauveur trop opportun pour être honnête est une vieille technique des amateurs de carambouille. L’informatique n’invente rien, elle adapte. Peut-être existe-t-il, parmi les C0d3rZ, des amateurs de l’œuvre de Jean-Paul Belmondo.

3- Le coup du Bios infecté

Un vieux mythe est devenu réalité grâce à Alfredo Ortega et Nico Economou. Ces deux chercheurs de Core Security sont parvenus à développer le premier virus intégré dans le Bios d’un ordinateur. Les détails de la démonstration, effectuée durant la dernière CanSecWest, sont disponibles sur le site du laboratoire. En se situant au niveau de l’amorce système d’une machine, les deux chercheurs sont donc parvenus à développer un vecteur d’attaque totalement indépendant du système d’exploitation installé, et capable de résister à tous les formatages ou changements de disques possibles. L’emplacement idéal pour camoufler un tel virus serait… en lieu et place du « décompresseur de données » (les données Bios sont compressées à l’aide d’un algorithme Lempel Ziv). Le décompacteur en question n’est lui-même pas du tout compressé. A la lecture du fichier PDF décrivant ce hack étonnant, l’on remarque la phrase suivante « Virtual machines also have a BIOS! ». Un Bios géré par l’instance principale de l’hyperviseur, et donc susceptible d’infecter toutes les VM lancées simultanément sur une même machine. Si cela n’inspire pas Joanna Rutkowska…

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close