L'énorme répertoire Torrent de la Hacking Team récemment divulgué est un cadeau empoisonné qui continue à faire le bonheur des cyber-pirates. Des chercheurs en sécurité travaillant pour FireEye, qui analysent toujours les données récoltées, ont trouvé un nouvel exploit pour une vulnérabilité (CVE-2015-5122 ) jusqu'alors inconnue dans le lecteur Flash d'Adobe.

C’est donc la seconde faille zero-day touchant Flash découverte dans les fichiers et la troisième au classement général – les chercheurs ont également constaté un exploit zero-day avec une vulnérabilité affectant Windows. Rappelons qu’une faille zero-day est une porte d’entrée jusqu'alors inconnue et pour laquelle il n’existe pas de patch.

Deux failles critiques en une semaine 

La première faille zero-day du lecteur Flash a été identifiée mardi dernier, soit moins de deux jours après qu’un hacker ait diffusé sur Internet près de 400 Go de fichiers, - courriels, documents commerciaux, code source et d'autres données internes - d’une entreprise basée à Milan qui vend aux organismes gouvernementaux du monde entier des outils de surveillance et d’intrusion informatique.

Cette 1e faille Flash a été rapidement exploitée par les cybercriminels et intégrée dans des exploits kits avant qu’Adobe ne diffuse un correctif pour la contrer. Les exploits kits sont des outils malveillants utilisés lors les attaques à grande échelle à partir de sites web compromis ou de publicités malveillantes. Si Adobe a patché mercredi dernier cette vulnérabilité, les cyber-pirates l’utilisent encore. Wekby, un groupe de criminels bien connu, a envoyé des courriels à des entreprises pour les informer de la disponibilité du dernier correctif d'Adobe, mais leur lien pointait vers un site web compromis, a signalé le fournisseur en sécurité Volexity. Selon des chercheurs de Trend Micro, la seconde vulnérabilité affecte les dernières versions de Flash Player sur Windows, Mac et Linux et peut être facilement adapté pour exécuter un programme malveillant.

Des failles encore à venir 

Ces exploits ont probablement été fournis par la société Hacking Team à ses clients afin qu'ils puissent déployer l’outil Remote System Control (RCS), un puissant spyware, sur les ordinateurs des utilisateurs ciblés pour la surveillance. Les exploits permettent d’installer en mode silencieux des logiciels malveillants lorsque les utilisateurs visitent un site web. Cette technique d'attaque est connue sous le nom « drive-by download ». On ne sait pas si les deux exploits concernant Flash ont été développés par les employés de l'équipe Hacking ou si elles ont été acquises auprès de tiers. Selon les emails qui ont fuité, Hacking Team achetait bien des exploits auprès de courtiers et de chercheurs individuels, mais la société possède également une équipe de recherche interne pour l'élaboration de ces outils d'attaque.

Ces révélations relancent le débat sur l'exploitation des failles zero-day sur le marché et la position peu éthique des agences de renseignement gouvernementales qui contribuent activement à l'insécurité Internet en incitant des entreprises privées et des chercheurs en sécurité à stocker des failles critiques pour le profit au lieu de les signaler aux fournisseurs concernés. En mai, le département du Commerce des États-Unis a proposé des modifications à un pacte international sur le contrôle des armements baptisé Wassenaar Arrangement afin d’appliquer des contrôles plus strictes quant à l'exportation des exploits et autres d'intrusion. Les changements proposés sont ouverts à une période de discussion de deux mois.