Bonjour cher lecteur à cette cinquième édition du bulletin de nouvelles Sécur-Info, axé sur la sécurité informatique et destiné aux entreprises et organismes opérant sur le territoire gaspésien, de retour après la pause estivale.
Ce bulletin consiste en un résumé en français de manchettes récentes originalement parues en anglais et triées sur le volet ou d'un blog traitant d'un sujet en particulier sur la sécurité informatique. Le contenu n'est pas très technique en soi et vise surtout à faire prendre conscience de l'ampleur du problème en ce qui à trait à la vulnérabilité des systèmes informatiques que nous utilisons tous les jours et que nous prenons trop souvent pour acquis.
La protection des données informatiques est un enjeu crucial pour les entreprises et organismes, mais malheureusement trop souvent négligé à cause d'un manque de connaissances dans la matière. Le but de ce bulletin de nouvelles est donc de vous initier tranquilement au merveilleux monde de la sécurité informatique et des sujets qui s'y rattachent. Mieux informé, vous serez ainsi plus en mesure de mieux évaluer les risques auxquels vos systèmes informatiques ont à faire face.
En espérant donc que vous trouverez ce bulletin intéressant et pertinent pour votre organisation.
Adam Richard, Consultant en Sécurité de l'Information
En résumé cette semaine : Cette semaine, je vais effectuer un survol rapide de l'actualité survenue en sécurité informatique au cours des derniers mois d'été. Plutôt que d'y aller manchette par manchette comme par le passé, j'ai décidé de couvrir l'évolution de certains dossiers qui sont plus à même de vous concerner au cours de cette période qui fut très fertile en nouveaux développements. On y verra entre autre que les chercheurs de sécurité indépendants qui trouvent et rapportent les vulnérabilités trouvées aux vendeurs concernés commencent de plus en plus à être rémunérés pour le fruit de leurs efforts. Il s'agit d'un petit pas dans la bonne direction pour stimuler la recherche, car 2010 s'annonce comme une année record en termes de nouvelles vulnérabilités trouvées sur les systèmes informatiques que nous utilisons tous les jours. Il n'en demeure pas moins qu'il est toujours plus lucratif pour quelqu'un de mal intentionné d'exploiter ses découvertes pour le profit personnel. Nous verrons également que les nouveaux téléphones cellulaires possèdent exactement les mêmes problèmes que les ordinateurs avaient 10 ans passés. Finalement, nous allons examiner quelques unes des vulnérabilités qui ont eu le plus d'impact sur la sécurité de vos systèmes au cours de l'été.
La manchette qui résumerait le mieux toute l'actualité qui s'est déroulée au cours de l'été est parue sur les fils de presse il y a à peine 3 semaines, au début de ce mois de septembre, et fut reprise partout dans le monde, y compris au Québec ("Les deux tiers des internautes victimes de fraudes" - CyberPresse; "Cybercriminalité: les Montréalais insouciants" - Canoe-TVA). Cette manchette, basée sur un sondage effectué par Symantec, révèle que près des deux tiers des internautes Canadiens (64%) sont victimes de fraude sur Internet sous une forme ou sous une autre. La Chine (83%), le Brésil et l'Inde (ex-aequo à 76%) occupe les trois premières places de ce classement tandis que nos voisins États-Uniens arrivent quatrièmes avec 73% de ses internautes qui se disent victimes de fraude en ligne. Non seulement ces chiffres sont-ils très significatifs, mais ils ne devraient pas représenter une surprise pour quiconque à suivi l'évolution de l'actualité en sécurité informatique au cours des dernières années, et encore plus à la lumière des événements survenus au cours des derniers mois.
Malheureusement, les dommages liés aux logiciels malveillants ne sont pas toujours d'ordre financier ou économique, comme le laisse sous-entendre les derniers détails parus dans l'enquête sur l'écrasement du vol de la SpanAir JK5022 survenu il y a maintenant environ 2 ans. En effet, un maliciel de type Cheval-de-Troie aurait été malencontreusement introduit par l'insertion d'une clé USB dans un des ordinateurs de la tour de contrôle la journée même de l'écrasement de l'avion, et aurait joué un rôle dans le mauvais traitement de signaux de défaillances techniques de l'avion, contrairement à quoi, certaines alertes auraient pû être détectées à temps pour effectuer un atterrissage d'urgence, et ainsi sauver 162 vies humaines. (Article Original - Source : El Païs).
Afin de mettre un peu d'ordre dans le brouhaha de manchettes qui sont dignes de mention au cours des derniers mois, j'ai décidé de les regrouper en quelques thèmes qui apporteront un peu de sens et de recul à ce qui ressemble à première vue à des manchettes sans liens particuliers entres elles.
Mais tout d'abord, puisqu'il sera largement question de vulnérabilités dans ce buletin-ci, je veux prendre quelques mots afin de bien définir ce qu'est le concept de "vulnérabilité" dans le contexte de la sécurité informatique.
Une vulnérabilité, en gros, c'est n'importe quelle faille, erreur de conception, de programmation ou de configuration d'un système ou d'un programme par laquelle une personne au courant de l'existence de cette faille est en mesure de l'exploiter dans le but de contourner les mécanismes de sécurité en place et d'y effectuer des opérations non-autorisées. Une vulnérabilité peut être exploitable localement ou à distance, selon sa nature, et peut donner accès à des niveaux de contrôle différents en fonction toujours de la nature propre à chaque vulnérabilité. Pour cette raison, il n'est pas rare de nos jours de voir des maliciels ou des attaques de piratage ciblées faire appel à la combinaison de plusieurs vulnérabilités qui, une fois exploitées en séquence, finissent par donner un accès complet de votre système.
Je pourrais résumer ceci en comparant l'exploitation de chacune des vulnérabilités comme un vendeur porte-à-porte qui réussit à faufiler son pied pour garder ouverte une porte qui allait se refermer devant lui. Du fait que la première porte lui soit maintenant ouverte ne veut pas dire qu'il a nécessairement accès à toute la maison, mais c'est déjà amplement suffisant pour lui afin de bloquer la prochaine porte avec son autre pied, ou un objet quelconque, et ainsi de suite jusqu'à l'ouverture de la toute dernière porte protégeant l'accès à l'intérieur de notre maison (et de notre tranquillité).
Ces vulnérabilités sont présentes dans tous les systèmes informatiques et logiciels que nous utilisons tous les jours dans le cadre de nos travail et de nos temps libres.
Ce qui me ramène donc aux actualités des derniers mois.
Nouvelle tendance : Des chercheurs indépendants se font rémunérer pour le fruit de leur labeur
Cela pourra paraître surprenant pour les profanes et les néophytes, mais presque tout le travail de recherche de vulnérabilités effectué par des chercheurs indépendants (lire : non employés par la compagnie fabriquant le logiciel vulnérable) depuis les derniers 15 ans a surtout été le fait de contributions volontaires partagées à la communauté par souci de bien commun, quoique certains fabricants de logiciels diffèrent d'opinion sur ce sujet. Dans le meilleur des cas, ces chercheurs étaient à l'emploi d'une compagnie informatique spécialisée en sécurité; dans plusieurs autres il s'agissait pour beaucoup de se faire une notoriété permettant d'aboutir éventuellement à un emploi dans une terme firme de sécurité informatique. Mais à aucun moment les compagnies bénéficiant directement du fruit de ces recherches n'ont jugé bon de récompenser ce travail volontaire par une compensation monétaire, malgré des profits astronomiques dans certains cas.
Cette tendance est cependant en train de changer quand, en début juin, Google a annoncé qu'il venait de payer une somme de 2000 $ à un chercheur qui a découvert une faille dans son navigateur Chrome. Ce montant étant le plus haut montant payé par Google pour ce type d'activité à ce jour, cette nouvelle a non-seulement fait les manchettes, mais à également incité Mozilla un mois plus tard à hausser ses primes pour les chercheurs de bugs à hauteur de 3000 $, ceci dans un effort avoué d'encourager les efforts de recherche indépendants, et par la bande d'améliorer la qualité de leurs produits. Non désireux de rester en arrière-plan, Google annonce la semaine suivante qu'il augmente ses propres primes à 3133.70 $. On est encore loin des niveaux de rentabilité que les pirates atteignent par l'exploitation illégale de leurs découvertes, mais Google et Mozzila espère de cette façon à rendre la voie légale plus rentable et attrayante pour ceux qui empruntent cette voie.
Deux jours après la nouvelle annonce de Google, Microsoft annonce haut et fort qu'il ne planifie pas de suivre cette tendance pour la simple et bonne raison (selon eux) que les montants en question ne représentent pas un incitatif financier suffisamment important pour pouvoir causer quelque changement significatif par rapport à la situation actuelle. Bien que Microsoft a peut-être raison sur le fond, on ne peut que hocher la tête face à un tel manque de leadership et la pingrerie d'une compagnie telle que Microsoft dans un enjeu qui concerne au bout du compte la sécurité des données et systèmes de ses clients.
Bizarrement, cependant, tout aussi riche et voulant bien faire que Google soit, je ne sais que penser d'une manchette parue un peu plus tard, à la mi-août, selon laquelle on apprend que Google a payé une somme de 10 000$ à un groupe de chercheur pour un total de 10 vulnérabilités. Cette somme ne correspond qu'à 1000$ pour chaque vulnérabilité en moyenne, ce qui est bien en deçà du montant annoncé un mois plus tôt. Ce qu'il faut savoir, c'est que Google paie les chercheurs en fontion de la gravité de la vulnérabilité trouvée et en fonction du temps requis pour effectuer la recherche, le paiement minimum étant de 500 $.
On peut donc voir que la seule activité de recherche légale indépendante de vulnérabilités informatiques n'est pas encore si lucrative que ça, même si ces activités profitent directement à des compagnies bien nanties telles que Microsoft, Google, Mozilla ou même Apple ou Adobe, pour n'en nommer que quelques unes.
Hausse dramatique des vulnérabilités trouvées en 2010
Malgré les relativement faibles investissements monétaires en recherche de vulnérabilités, il n'en demeure pas moins que le nombre de nouvelles vulnérabilités découvertes et rapportées chaque année ne cesse d'augmenter de manière plus que significative. J'aurais pu citer en exemple, en plus des autres manchettes similaires que j'ai cité dans les précédentes éditions de ce bulletin, les manchettes concernant les 225 bugs corrigés dans une mise-à-jour de Firefox, ou bien les nombreuses manchettes concernant Apple apportant des correctifs à Mac OS-X, le lecteur multimédia Quicktime, le plug-in du lecteur Flash ou même le système iOS 4 pour ses téléphones portables. Microsoft et Adobe ne sont bien sûr pas en reste.
Cependant, la manchette la plus éloquente sur ce sujet précis concerne la publication d'un rapport de la compagnie Secunia (Secunia Half Year Report 2010) selon lequel l'année 2010 constitue un record en terme de nouvelles vulnérabilités découvertes, ayant atteint en juin 2010 pratiquement un nombre équivalent que pour toute l'année 2009, et laisse donc entrevoir une hausse de près de 100% (le double) du nombre de nouvelles vulnérabilités pour la seule année 2010 par rapport à 2009.
Ces vulnérabilités se chiffrent par milliers dans leut totalité, et selon les systèmes que vous utilisez, seulement une fraction de celles-ci ne vous concernent vraiment.
À titre d'indication concernant l'exposition aux vulnérabilités propre à l'utilisateur typique de PC, le rapport de Secunia nous fournit les quelques métriques suivants. Ils ont tout d'abord dressé un portfolio comprenant les 50 logiciels les plus susceptibles d'être présents sur un ordinateur en environnement d'entreprise, 26 logiciels de Microsoft et 24 provenant de tierces parties pour un total de 14 différents fabricants de logiciels. En comparaison, on nous indique également que typiquement, 50% des ordinateurs de bureau en entreprise ont plus de 66 logiciels installés provenant de 22 vendeurs différents.
De cette liste Top 50, les vulnérabilités présentes sur un PC typique sont passées de 220 en 2007 à presque le double, 420, en 2009. Pour les 6 premiers mois de 2010 seulement, 380 nouvelles vulnérabilités ont été découvertes, ce qui représente 89% du chiffre total de 2009. En extrapolant ces chiffres pour l'année complète, on obtiendrait un total de 760 nouvelles vulnérabilités pour l'année 2010, et ce, pour un ordinateur "typique" roulant sous Windows.
Je parle ici de 760 vulnérabilités susceptibles d'être présentes sur les ordinateurs mêmes que vous utilisez, et ce sans parler de celles qui ont été trouvées dans les années antérieures et qui sont potentiellement toujours présentes également à ce jour. Le nombre de vulnérabilités réellement présentes dans vos systèmes est peut-être moins élevé, en partie grâce aux différents systèmes de mise-à-jour automatique de logiciels, mais vu le manque de standard à cet effet, le nombre élevé et la nature variée des vulnérabilités, il est très difficile de s'assurer d'être complètement à jour en tout temps à moins d'y dédier une ressource humaine exclusivement à cette tâche. Le fait que certaines de ces vulnérabilités peuvent être potentiellement très dommageables, il est très important d'être bien au fait de son niveau d'exposition aux risques. Le consultant en sécurité est là justement pour dresser un bilan exhaustif de la situation, apporter des recommandations comme mesures correctives, jumelée à une analyse de risques afin de prioriser les mesures suggérées. Avec ces informations en main, le client est alors en mesure de prendre des décisions éclairées concernant les mesures qu'il jugera le plus appropriées à sa situation.
Toujours selon ce rapport, 10 compagnies regroupent à elles seules pour 38% des vulnérabilités découvertes au cours de la dernière année. Ce Top-10 est constitué de Apple, Oracle, Microsoft, HP, Adobe Systems, IBM, VMware, Cisco, Google et Mozilla Organization.
Les téléphones intelligents ne sont pas en reste
Les nouvelles générations de téléphones cellulaires telles que le iPhone, le BlackBerry et l'Android comportent maintenant des fonctionnalités similaires à celles contenues dans nos ordinateurs personnels, à un point tel que de plus en plus de gens utilisent désormais un tel téléphone comme principal outil informatique dans le cadre de leurs fonctions professionnelles. Il est vrai que les fonctionnalités présentes dans ces téléphones en font une alternative viable et attractive pour bien des gens. Malheureusement, il semble cependant que les firmes derrière le développement de ces téléphones n'aient tout simplement rien appris des déboires des 15 dernières années de l'industrie informatique en terme de sécurité, et ne font que répéter les mêmes erreurs.
Plusieurs chercheurs ont en effet profité du cycle de conférences de l'été dernier afin de démontrer leurs dernières découvertes en matière de contournement des mesures de sécurité de ces téléphones. Aucun produit n'est épargné. Certaines attaques les plus simples consiste tout bonnement à l'introduction d'application malicieuse de type Cheval-de-Troie dans les magasins d'applications (App Store), qui font l'objet de très peu de vérification du code des applications soumises par de tierces parties. Certains téléphones ne permettent pas l'installation d'applications provenant de tierces parties, mais une technique appelée le Jailbreaking (la sortie de prison) permet justement de contourner ce mécanisme. Ou bien c'est carrément le système d'exploitation qui est vulnérable. En résulte les même problèmes que pour les ordinateurs : bris de la confidentialité des données présentes sur le téléphone, et perte de contrôle du téléphone au profit du pirate. Les mécanismes de localisation GPS et GSM posent également des problèmes au niveau de la protection de la vie privée.
Les attaques informatiques contre ces téléphones ne sont pas encore monnaie courante, bien que certains cas d'infection malicielle ont été rapportés. Il n'en demeure pas moins que ces attaques sont possibles, telles que démontrées par les chercheurs, et que cette situation n'est pas sans ressembler à celle qui prévalait en informatique il y a environ 10 ans de cela. Je vous réfèrerai au tout début de ce bulletin afin de vous donner une idée à ce que pourrait ressembler la situation de la sécurité sur la téléphonie portable dans 10 ans d'ici.
Comme le dit la fameuse expression popularisée par Bernard Derome, "Si la tendance se maintient..."
Importantes vulnérabilités découvertes au cours de l'été
L'été a été très mouvementé question sécurité pour Microsoft, alors que plusieurs failles importantes ont été découvertes dans presque toutes les versions de Windows. Certaines de ces vulnérabilités ont même été découvertes par l'analyse de nouveaux maliciels qui en faisaient l'exploitation. C'est ce qu'on appelle dans le jargon un "0-day" ("0-jours"), c'est-à-dire une vulnérabilité activement exploitée par les cyber-criminels qui était encore inconnue des chercheurs à ce jour, et donc contre laquelle il n'y a pas de parade.
La première vulnérabilité en question concerne le système d'aide de Windows qui est vulnérable à un type d'attaque permettant à quelqu'un de mal intentionné de créer un hyperlien (sur une page web, par exemple) de façon telle à exploiter ce système d'aide et l'utiliser comme porte d'entrée pour faire éxécuter son propre code sur l'ordinateur de la victime qui cliquera ce lien. Bien que cette vulnérabilité soit très importante, relativement simple à exploiter et affecte pratiquement TOUS les utilisateurs de Microsoft Windows, la principale raison qui a fait que cette vulnérabilité à tellement fait parler d'elle tient du fait que c'est un employée de Google, Travis Ormandy, qui en a fait la découverte. Jusque là, pas de problèmes. Le problème est survenu quand Ormandy, qui prétend agir de manière personnelle et non-reliée à son emploi chez Google, a révélé publiquement les détails de la vulnérabilité 4 jours seulement (dont une fin de semaine) après en avoir averti Microsoft. Bien que ce ne soit pas la première fois qu'un tel événement survienne, surtout à Microsoft, la compagnie de Bill Gates a très mal réagit face à ce geste, prétextant (avec raison) que Tormandy n'a pas laissé suffisamment de temps à Microsoft pour apporter un correctif au problème avant d'en dévoiler les détails publiquement. Sachant que Ormandy est un des experts en sécurité des plus réputés chez Google, Microsoft n'a pas hésité à associer ses activités avec celles de son employeur. Sachant également que Microsoft avait déjà, par le passé, trouvé des vulnérabilités dans les produits Google, et qu'ils avaient collaboré avec eux pour en dévoiler les détails publiquement de manière "responsable" (c'est-à-dire une fois qu'un correctif est disponible), nous avons ici tous les ingrédients pour un incident diplomatique de haut niveau entre deux géants corporatifs du logiciel.
Cependant, tout ce débat fut très vite éclipsé lorsque la découverte d'un nouveau maliciel, appelé StuxNet, attira toute l'attention médiatique spécialisée en sécurité informatique, et ce pour plusieurs raisons.
Tout d'abord, une des particularités de ce maliciel est qu'il s'installe au moyen d'un pilote matériel (driver) qui était numériquement signé par un certificat d'authenticité tel qu'émis par la firme VeriSign. VeriSign étant le chef de file dans l'industrie pour ce qui est des technologies d'authentification, cette nouvelle à elle seule est loin d'être banale et à causé tout un remous. VeriSign a depuis révoqué ce certificat.
L'étude approfondie de StuxNet a également permis de révéler une faille présente dans TOUS les systèmes Windows et encore totalement inconnue jusqu'alors. Cette faille concerne les fichiers .LNK, qui sont utilisés par Windows pour le système de "raccourcis" (ces icones sur votre Bureau avec une petite flèche incurvée dans le coin inférieur droit). Cette vulnérabilité fait en sorte qu'une personne mal intentionnée pourrait confectionner une icone de type .LNK de façon à ce que le simple fait de VISUALISER l'icone est suffisant pour éxécuter le code malicieux de son choix sur l'ordinateur de la victime. Il est très important de noter qu'il n'est aucunement nécessaire de cliquer sur QUOI QUE CE SOIT. Par exemple, une clé USB pourrait contenir un tel fichier .LNK. En branchant cette clé dans votre ordinateur, le simple fait de regarder le contenu de la clé est suffisant pour déclencher l'attaque, sans même cliquer sur quelque icone ou programme que ce soit, et ce même si votre système n'est pas vulnérable aux attaques de type AutoRun (je dois mentionner ici que je rencontre constamment des ordinateurs encore vulnérables aux attaques de type AutoRun).
Il ne fallu pas très longtemps par la suite pour que d'autres suites malicielles intègrent cette nouvelle vulnérabilité dans leur arsenal.
Suivant cette découverte, le chercheur HD Moore a entrepris d'étudier plus en profondeur cette vulnérabilité .LNK, et ce faisant a découvert une autre vulnérabilité présentes dans tous les systèmes Windows et qui est tout aussi importante que celle que je viens de vous décrire. Cette vulnérabilité remonte à une ancienne erreur de conception dans Windows, et qui s'est maintenue par la suite pour des raisons de compatibilité entre les différentes versions du système. Cette vulnérabilité permet à une personne mal intentionnée de faire charger en mémoire le code de son choix à travers un fichier .DLL (sous-composantes de programmes) en forçant le logiciel ciblé à charger en mémoire le fichier .DLL du pirate plutôt que le fichier légitime. Bien que la faille concerne les systèmes Windows, la faille est ainsi faite que ce sont les fabricants de logiciels tierces-parties qui doivent apporter des correctifs à leurs logiciels. Une liste faisait état à un certain moment de plus de 40 logiciels affectés, mais le consensus général étant que la liste est en réalité beaucoup plus longue et que pratiquement tous les logiciels fonctionnant sous windows étaient vulnérables à ce type d'attaque. Cette nouvelle a créé un tel impact qu'il a fallu à un certain moment démèler la fiction de la réalité.
Mais des faits encore plus troublants concernant StuxNet ont été révélés. Comme le fait, par exemple, que la confection de ce maliciel semble avoir été commandité par un État-Nation. Le fait que ce maliciel ne comporte aucune composante destinée à obtenir un gain monétaire en est un bon indice. Mais encore plus troublant est le fait que ce maliciel comportait des vecteurs d'attaques destinés à des vulnérabilités présentes dans les systèmes SCADA de Siemens. Ce type de logiciel SCADA est utilisé entre autre dans les centrales électriques, les stations d'épuration d'eau, les chaines de montage, etc., bref il s'agit d'un système de contrôle pour les opérations physiques sur de la machinerie industrielle lourde, donc quelque chose de vraiment spécifique et pas très répandu sur des ordinateurs typiques. Le fait qu'un État-Nation commandite une attaque lui permettant de prendre le contrôle des infrastructures critiques d'un autre État-Nation n'augure rien de bon pour la victime, et nous pourrions être en présence des prémisses de la prochaine Cyber-Guerre.
StuxNet contient encore quelques secrets, et ceux-ci seront dévoilés au grand public lors de la prochaine conférence annuelle Virus Bulletin par des chercheurs de Microsoft, Kaspersky Labs et Symantec.
StuxNet était actif sur Internet depuis au moins 1 an avant d'être finalement découvert et décortiqué.
Finalement, la dernière manchette de l'été que je considère comme étant significative pour vous, cher lecteur, ne concerne pas tant un vulnérabilité en tant que tel, mais plutôt un piratage qui en dit long sur le fait que nul n'est à l'abri d'une attaque malicielle. La compagnie en question ici est Network Solutions. En quoi cette attaque vous concerne-t-elle? Et bien Network Solutions est le leader dans l'industrie en ce qui a trait à l'enregistrement de noms de domaine (par exemple, www.monsite.com) et pour l'hébergement de sites web. Si vous possédez vous même un nom de domaine enregistré sur Internet, ou même juste une page hébergée, il y a de fortes chances que votre enregistrement soit passé par Network Solutions, et ce même si vous avez originalement fait affaire avec une tierce-partie. Le fait que Network Solutions soit victime d'une attaque de piratage informatique devrait donc être un sujet préoccupant pour vous.
L'attaque en question concerne les centaines de milliers de pages "temporaires" associées aux noms de domaine détenus par Network Solutions pour lesquelles personne ne s'en est encore porté acquéreur. Le but principal de ces pages est justement de signifier à quiconque les trouverait par l'entremise d'un engin de recherche que ce nom de domaine est bel et bien toujours disponible à quiconque voudrait l'acheter. Certains clients de Network Solutions ont également été impactés par cette attaque.
L'attaque en question consistait en une petite application web appelée "Small Business Success Index" fournie par Network Solutions et qui a été exploitée de façon à distribuer des maliciels sur les pages de ceux qui ont utilisent cette application, ainsi que sur les pages "stationnées" (parked domains).
Voici donc, chers lecteurs, le survol rapide des principales manchettes liées au domaine de la sécurité informatique survenues au courant de l'été qui vient de passer. Comme vous pouvez le voir, les pirates ne semblent pas prendre de vacances.
Prochaine édition : Dossier Spécial sur les faux anti-virus (Rogue Anti-Malware)
Adam Richard
Consultant en Sécurité de l'Information
Aucun commentaire:
Enregistrer un commentaire