Spécial sécurité : quand les pirates écrivent les notes de service de la DSI

Sommaire :

1 - Microsoft Fail (épisode 1)

2 - Microsoft Fail (episode 2)

3 - Arithmétique du trou 

1) Microsoft Fail (épisode 1)

Depuis bientôt 3 semaines, les administrés des serveurs Microsoft Exchange sont systématiquement bombardés de « notes de service » bidon semblant émaner de leur DSI. Voici l’un d’entre eux, pris au hasard du spam

«  Attention!
On October 16, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour.
The changes will concern security, reliability and performance of mail service and the system as a whole.
For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure.
This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That's all. » 

Poulet bien entendu suivi d’une URL empoisonnée semblant émaner précisément de l’un des responsables informatiques.

Après une première vague, que l’on espère rapidement muselée par nos chers « postmasters », une seconde déferlante s’est écrasée sur les plages smtp

« Subject: Microsoft Outlook Notification for the [email protected]
You have (6) New Message from Outlook Microsoft
- Please re-configure your Microsoft Outlook Again.
- Download attached setup file and install. »

Est-il nécessaire de préciser que la famille Borgia elle-même, ne saurait distiller un poison aussi radical que celui injecté dans ladite pièce attachée ?

Comme le faisait remarquer Pierre Caron du Cert-Lexsi les liens d’infection ou les pièces attachées étaient truffées avec de véritables morceaux de Zeus dans le cas des attaques à « pièces attachées », et sur une page de phishing ressemblant à un écran de logon OWA (Outlook Web Access) dans le premier cas.

L’attaque en question semble relativement ciblée. Elle vise effectivement des usagers Exchange, et, dans au moins 5 cas relevés par la rédaction de Cnis Mag, le nom de l’administrateur légitime figurait soit dans le lien, soit dans le corps du texte de phishing. On est donc loin d’une campagne de ratissage « tous azimuts », et ce sont clairement des « institutionnels » qui sont cette fois visés. Cette campagne de récupération de crédences semble trop bien orchestrée pour que l’on redoute une vague d’usurpation d’identités et de vol de documents dans les mois ou les semaines à venir. Serait-il temps de changer de mot de passe ?

2) Microsoft Fail (episode 2)

… mais il n’y a pas que les usagers professionnels des messageries qui sont visés. Le secteur grand public microsoftien fait également l’objet d’une attention soutenue de la part des pirates du login/password. Cela commence avec une annonce, celle de la découverte du vol de plus de 10 000 sésames MSN dont le nom commence par les lettres A et B. Un « scoop » déjà ancien, signé Sophos.

Par quel moyen ce genre de fichier a-t-il pu tomber entre des mains inamicales ? Très probablement par le truchement d’opération de phishing. L’une des filières les plus actives du moment prend l’aspect d’une application Web baptisée «  Pics for MSN Friends 1.1c », hostée généralement chez des hébergeurs chinois, avec des noms de domaine gérés par des registrars chinois, et « poussés » par des vagues de phishing véhiculées via MSN même. Une vague qui succède à une autre campagne qui vantait les mérites de différents services prétendant indiquer «  qui vous a banni de sa liste d’amis Messenger ». Un drame d’ado pour une poignée de crédences.

Il s’en est naturellement suivi une avalanche de communiqués, articles et notes de blogs expliquant combien les gens sont méchants, combien le vol d’identité est une mode ravageuse, combien il est urgent de légiférer sur le sujet.

Un détail cependant semble avoir échappé à tous ces témoins, détail qui nous fait dire « on l’a échappé belle ». Petit retour historique sur les crédences MSN.

C’est au début des années 90 que que Redmond – alias « Corp », alias Microsoft - décide de se lancer dans le business de l’identité numérique. Par hasard ? Que nenni, par désir d’occuper une place convoitée par le ban et l’arrière-ban de l’industrie. Chez Novell par exemple, ça s’appelle DigitalMe, chez les équipementiers qui ont loupé magistralement le marché de l’annuaire d’entreprise, du service Web et des services télécom, ça prend le nom de Liberty Alliance. Du côté de Microsoft, le projet prend pour nom Passport, produit reposant sur un monumental annuaire inspiré d’X500, et essentiellement destiné aux grandes organisations, instances gouvernementales, structures internationales. Pas question, en ce temps là, d’en faire un mécanisme de reconnaissance pour gamins en mal de kikooo-lol-mdr.

En d’autres termes, le Passport des années 90, c’est la carte d’identité numérique que Microsoft tente de vendre avant tout à l’administration Clinton, à Matignon et – au passage - à France Telecom. Lesquels, comme un seul homme, déclinent l’invitation sous prétexte de coûts pharaoniques. Le prix des licences MS ? Non, car sur de tels marchés, on ne vend pas, Monsieur, on offre. On offre parce que la mise en œuvre d’une infrastructure de gestion d’identité nationale ressemble au picon-citron-curaçao du César Pagnol : un petit tiers de logiciel, un tiers d’architecture matérielle/réseau, un très gros tiers de services et un bon tiers de dépenses dérivées imprévues. Les prémices d’un bigbrotherisme transnational des identités reculaient donc devant de vulgaires conditions économiques.

Pourtant, les discours de MM Gates et Balmer ne laissaient place à aucun doute : le système était inviolable, le mécanisme fiable, la protection absolue. Devant le refus dédaigneux des grands clients, Microsoft abandonne le projet et utilise cette danseuse technologique pour sécuriser ses propres services. Et pour commencer sa messagerie instantanée Messenger (à l’origine de MSN) ainsi que l’accès aux abonnements aux divers services tels que le Technet, le Microsoft Developers Network, sa messagerie Hotmail… et peut-être ses futurs services « cloud » ?

En d’autres termes, dans le lot des adresses ainsi collectées, il se trouve statistiquement quelques milliers de mots de passe ouvrant la voie à des licences Windows 7, Office, serveurs d’applications et 2008 R2 « officielles »… Tout ça va faire des heureux au marché noir. Et l’affaire aurait pu avoir des conséquences bien plus désastreuses si Passport avait été autrefois adopté pour servir de base à une hypothétique carte d’identité numérique nationale. On l’a échappé belle.

Rétrospectivement, cette fuite d’information est, sur l’échelle de Richter des sinistres informatiques, aussi déflagrante qu’un essai nucléaire comparé au pétard à mèche d’une faille SMBv2 ou d’un trou ftp/IIS. Fort heureusement, seuls quelques milliers de clients Microsoft et une armée de « chateurs » en ont fait les frais, grâces en soient rendues à la clairvoyance des hommes politiques d’antan. De grands commis de l’Etat qui, bien que ne comprenant rien aux annuaires, n’ayant probablement jamais entendu parler de phishing ou de « social engineering », ont su ne pas tomber dans un tel piège. Les raisons et motivations – purement économiques, répétons le - étaient mauvaises, mais le résultat fut le même. Il reste à espérer qu’en cette période de sensibilisation à la sécurité des systèmes Scada – une base d’identité nationale n’est-elle pas apparentée à un système Scada ? - , les politiques d’aujourd’hui sauront agir avec autant de prudence, malgré l’amour immodéré que ceux-ci semblent vouer au fichage systématique et à l’informatisation du moindre bouton de guêtre.

3) Arithmétique du trou

La semaine passée s’est achevée avec un petit exercice de calcul mental : 33 plus 29 égal… voyons neufétrois-douzej’posedeuxéj’retienzun… 62 vulnérabilités si l’on additionne les failles du dernier Patch Tuesday de Microsoft - 13 bouchons, 33 trous, un reboot obligatoire - et celles d’Adobe, qui manque de peu le record des 30 trous mensuels dans Acrobat. Rappelons que si Microsoft demeure le leader incontesté en nombre de bugs déclarés, Adobe conserve actuellement une bonne longueur d’avance dans la course aux trous réellement exploités. Une chose est certaine, il est urgent de déployer les mises à jour proposées par l’éditeur.

Record également dans la criticité des défauts ainsi corrigés, puisque 8 bulletins Microsoft portant l’immatriculation MS09-xx sont qualifiés de critique, dont notamment le très célèbre gouffre SMB v2 qui a déjà fait l’objet de nombreux commentaires de la part de Kostya, sans oublier l’impressionnante analyse publiée par l’équipe de SecureWorks (ex Luhrq). Egalement bouché, le « trou IIS/ftp » qui a fait l’objet d’une publication d’exploit sur Milw0rm notamment. C’est la première fois depuis plus de deux ans que Microsoft fait patienter ses clients un mois complet avant d’émettre deux correctifs corrigeant des défauts rendus publics et accompagnés d’exploits

Ce mois-ci, l’équipe du MSRC nous offre en prime un tableau très coloré, particulièrement dans les tons chauds, de l’index d’exploitation des failles colmatées. Ça a un petit côté Mondrian absolument adorable… il manque quelques touches de blanc et de vert pour que ce soit parfait. Mais une alerte « verte », ça n’existe pas.