Tribune Renaud Bidou – TrendMicro : « Egalité, insécurité »

RisquesSécuritéVirus
Renaud-Bidou-trend-micro

Les failles de sécurité IT exploitées par des pirates ne seraient pas dues au fruit du hasard. Explications de Renaud Bidou (Directeur technique pour l’Europe du Sud chez TrendMicro).

La très grande majorité des failles exploitées dans le cadre d’actes de piratage est essentiellement le fait d’erreurs de développement, de conception, ou d’implémentation.  A chacune de ces catégories, des célébrités.

La récente star des erreurs de développement est l’injection SQL. Un « oldy but goody » qui a permis à un gamin de 15 ans de dépouiller l’opérateur britannique Talk Talk des données personnelles de 1,2 million de clients.

Mais ce serait une grande injustice d’oublier les « buffer overflows », et une erreur de ne pas considérer les Cross-Site Scripting dont le potentiel reste considérable.

Dans la catégorie des erreurs de conception, la palme revient pour la quinzième année consécutive au WEP, qui a su intégrer au sein d’un seul standard l’ensemble des mauvaises pratiques en termes de chiffrement.

Ne négligeons pas cependant  la compétition sérieuse des systèmes embarqués dans les automobiles et les promesses de l’Internet des objets (IoT). Nous y retrouvons les mêmes erreurs évidentes que sur les systèmes du début des années 90.

Enfin, les erreurs d’implémentation ont jusqu’à récemment su se faire discrètes, et ce pour deux raisons. D’une part, elles sont généralement liées à des développements spécifiques, internes à une organisation, et n’ont donc qu’un impact limité.

D’autre part, elles s’avèrent généralement complexes, ce qui rend leur vulgarisation peu probable, quand bien même elles affecteraient un grand nombre de  systèmes; à l’instar de Slowloris qui n’a jamais eu d’impact qu’auprès d’un cercle restreint d’initiés. Deux contraintes auxquelles Heartbleed n’était pas soumise, redorant ainsi brillamment le blason de cette famille de failles.

Oui, les failles sont le fait des concepteurs. La plus grande faille n’est-elle pas la base elle-même, IPv4 et ses subordonnés que sont TCP et UDP ?

Gardons-nous toutefois d’intenter un procès trop facile qui n’impliquerait que des témoins à charge.

Regardons plutôt si l’herbe est plus verte dans le champs d’à côté.

Un bug dans la matrice ?

En effet, les textes fondateurs de l’image des hackers tels que « Mentor’s last words » ou « The ethic of hacking » ne tarissent pas d’éloges au sujet de ceux qui s’attaquent à nos systèmes d’information. Et la lecture des exploits quotidiens réalisés par des adolescents semble confirmer cette assertion.

La réalité dresse un tableau plus nuancé. Certes, certains sont des génies, ils ont découvert et exploité des failles inconnues. Ils sont des génies au même titre que ceux qui sont à l’origine du monde numérique dans lequel nous évoluons.

Il s’agit cependant d’une minorité, d’une très faible minorité. Les autres hackers ne sont que des utilisateurs de ces technologies, au même titre que les développeurs qui ont conçu nos logiciels troués de failles. Sans plus ni moins de génie. Et les hackers commettent les mêmes erreurs.

Erreurs de développement ? Driddex. Oui, la première version de ce malware, qui sature régulièrement la planète de factures et autres bons de livraison UPS ou DHL vérolés, était buggée.

Une erreur dans le format de la macro Word la rendait visible dans le document sans qu’elle ne soit exécutée. Le malware se révélait ainsi sans même effectuer la moindre opération malicieuse.

Erreur de conception ? Cette année, le prix revient incontestablement a « Hidden Tear ». Très peu connu du grand public, et pour cause, ce crypto-ransomware open-source chiffre les données du disque dur avec un algorithme de chiffrement symétrique, et la clef reste présente en mémoire.

Totalement inutile, même dans un cadre « éducatif », Hidden Tear a probablement été le malware dont la longévité a été la plus courte de l’histoire de l’informatique!

Erreur d’implémentation ? Pkybot est un cas passionnant. Ce malware bancaire, héritier de Zeus et SpyEye s’est propagé durant l’été 2015. Muni d’un mécanisme de détection d’anti-virus et de mise à jour de sa configuration, Pkybot était conçu pour durer.

Or la mise à jour de début août indiquait un certain nombre de serveurs de « Command & Control » hébergés sur des domaines que les attaquants n’avaient pas encore enregistrés.

Un groupe de chercheurs a donc enregistré ces domaines et y a posé des honeypots, permettant ainsi l’analyse approfondie du malware et l’identification des systèmes infectés.

Oui, tout le monde fait les mêmes erreurs, mais ce n’est pas plus rassurant pour autant : le vers de Morris a interrompu tout Internet en 1988 alors qu’il ne contenait aucune charge. Simplement à cause d’une erreur d’implémentation…

Une chronique libre de Renaud Bidou, Directeur Technique pour l’Europe du Sud chez Trend Micro (solutions de sécurité IT).

 

Lire aussi :