Flux RSS
Virus/alertes
481 documents trouvés, affichage des résultats 181 à 190.
| < Les 10 documents précédents | Les 10 documents suivants > |
(27/07/2010 17:12:57)
Le côté obscur de Twitter au service de l'ingénierie sociale
Au cours d'une conférence intitulée "La boîte à outils de l'ingénieur en réseau social : revenir à des solutions plus simples," Dave Kennedy, responsable de la sécurité dans une grande entreprise américaine, dévoilera la version complète de son SET (Social Ingenieer Toolkit) v0.6 - nom de code "Arnold Palmer," et ses méthodes visant à aider les experts en sécurité à identifier et à corriger les faiblesses dans leur propre environnement professionnel. Ce kit Open Source vient s'intégrer au Framework Metasploit. Selon Dave Kennedy, « il devient de plus en plus difficile de s'introduire dans une entreprise depuis le périmètre extérieur, celles-ci sont plus expérimentées pour gérer la sécurité des applications. Le travail doit désormais se faire au niveau du maillon le plus faible, l'élément humain.»
Aujourd'hui, les dirigeants d'entreprises sont devenus les cibles privilégiées de l'ingénierie sociale et de faux réseaux sociaux professionnels. La conférence de Dave Kennedy apportera des exemples d'attaques possibles en matière d'ingénierie sociale, et notamment celle appelée TabNabbing. L'utilisateur se rend sur un site web sur lequel s'affiche un message du type "merci de bien vouloir patienter." La victime passe à un autre onglet, qui la dirige vers un site cloné : croyant avoir été déconnectée ou pensant s'être trompée d'onglet, elle entre à nouveau ses informations de connexion. Derrière, les pirates ont tout prévu pour récupérer les logs in. Dans une autre technique d'ingénierie sociale liée à celle-ci, l'utilisateur du kit peut cloner automatiquement un site Web et réécrire les paramètres de post afin d'intercepter et de collecter les informations entrées au clavier. Ici, la victime est redirigée vers le site original pour mieux masquer la manipulation. Dave Kennedy a également prévu de faire la démonstration du vecteur d'attaque "Thomas Werth." Présenté lors du ShmooCon 2010, une réunion de hackers, ce vecteur permet de créer une applet Java pernicieuse qui, lorsque l'utilisateur clique sur "Lancer", exécute la mini application sur la machine de la victime.
Allant de pair avec l'ingénierie sociale, les réseaux sociaux - ces nouveaux meilleurs amis des pirates - seront aussi abordés. Ainsi, Paul Judge, directeur de recherche au Barracuda Labs et Dave Maynor, également chercheur au Barracuda Labs et par ailleurs CTO et co fondateur d'Errata Security, traiteront du « côté obscur de Twitter." Comme l'ont indiqué les deux intervenants, pendant plus de deux ans, Barracuda Labs, chargé de collecter les données de Twitter, a analysé plus de 20 millions de comptes utilisateurs afin d'évaluer le "taux de criminalité" du réseau social "depuis sa création en 2006 jusqu'à aujourd'hui." Ceux-ci veulent montrer la célérité avec laquelle les pirates ont répondu à la forte augmentation des utilisateurs, qui ont vu dans Twitter un moyen de gagner en célébrité. Les deux chercheurs traiteront au passage "de la pollution des raccourcisseurs d'URL et de la prolifération des profils imposteur.»
(...)(27/07/2010 17:28:44)Sophos et G Data sortent des palliatifs à la faille Windows utilisée par Stuxnet
Les firmes de sécurité Sophos et G Data lancent chacune un outil capable de bloquer toute attaque exploitant la vulnérabilité critique dans les fichiers raccourcis de Windows. « Sophos Windows Shortcut Exploit Protection Tool » et « G Data LNK Checker » protègent les utilisateurs jusqu'à ce que Microsoft se décide à sortir un patch permanent et officiel pour corriger le problème. Chet Wisniewski, conseiller en sécurité chez Sophos indique que « l'outil remplace le gestionnaire de raccourcis sous Windows, de sorte que si un élément fait appel à ce dernier, nous l'interceptons ». Le palliatif de G Data, pour sa part, contrôle la création de raccourcis et bloque l'exécution de codes lorsqu'ils sont affichés.
Comme à son habitude, lorsqu'un bug peut être corrigé par une application extérieure, « Microsoft ne soutient pas les outils de ce genre » précise Jerry Bryant, directeur de groupe pour le Microsoft Security Response Center (MSRC). « Nous recommandons à nos clients d'appliquer la solution temporaire explicitée dans le Security Advisory 2286198, qui protège des différentes attaques connues ». La vulnérabilité se trouve dans la façon dont Windows décode les raccourcis. Or, ceux-ci, avec le menu démarrer et la barre des tâche, sont des éléments clés du bureau de l'OS.
La faille qui rend les systèmes Scada vulnérables
Le bug avait été décrit il y a plus d'un mois par l'éditeur d'antivirus biélorusse VirusBlokAda. Après avoir attiré l'attention générale, cette faille avait été confirmée par Microsoft, qui avait admis que des pirates l'exploitaient déjà. Toutes les versions de Windows intègrent cette vulnérabilité. Le code malveillant a d'ailleurs été largement distribué à travers Internet, et de nombreuses attaques via cette faille ont été relevées depuis. Les premières utilisant ce problème de raccourcis ont d'abord ciblé les entreprises. Siemens a alerté, il y a deux semaines, les clients de son logiciel de gestion Simatic WinCC que des attaques de ce type ciblaient les ordinateurs utilisant le système Scada. Des hackers ont réussi à s'introduire dans au moins une entreprise allemande par ce biais s'appuyant sur le désormais bien connu vers Stuxnet. Symantec a quant à lui remarqué que 60% des systèmes infectés par ce virus se trouvaient en Iran, et a donc conjecturé que le pays était sa cible originelle.
Microsoft a conseillé de désactiver l'affichage des raccourcis, chose que beaucoup d'utilisateurs pourraient ne pas faire étant donné que cela rend Windows quasiment inutilisable. L'outil Sophos ne touche quant à lui pas aux icônes de ces derniers. « C'est une situation unique puisque nous pouvons nous dresser en travers des attaques. Nous ne disons pas aux utilisateurs de ne pas appliquer le patch Microsoft lorsque celui-ci sera prêt, mais pour l'heure, cet outil ne modifie ni Windows ni quelconque fichier. Ce n'est pas un correctif, juste un palliatif » ajoute Chet Wisniewski. En remplaçant le gestionnaire de raccourcis, il intercepte donc les fichiers concernés (.lnk), et crée une alerte lorsqu'il relève un élément suspicieux. « Il analyse chacun d 'entre eux pour vérifier s'il inclut ou non un code contenant l'appel vulnérable [LoadLibrary ()]. Ensuite, il regarde si l'objet appelé est un exécutable ou un .dll, et si tel est le cas, l'avertissement apparaît ». Le programme de G Data affiche, dans des circonstances analogues, un signal d'alerte rouge.
Un patch qui se fait désirer
La firme de Redmond n'a toujours pas donné de date quant à la livraison du patch. Pour autant, les prochaines mises à jour de sécurité prévues pour Windows sont attendues pour le 10 août. « Microsoft doit corriger le coeur du problème, c'est-à-dire patcher directement « Shell32.dll » » avertit Chet Wisniewski. Shell32.dll est une bibliothèque qui contient de nombreuses fonctions API du Shell (interface de programmation d'application). Il spécule que c'est aussi la raison pour laquelle la firme met tant de temps à le patcher : « s'ils se loupent et altèrent la bibliothèque, toutes les machines risquent de ne plus fonctionner correctement. La plus grosse difficulté, c'est de tester exhaustivement le correctif ». Graham Cluley, consultant en technologie chez Sophos informe dans son blog qu'il suffira de désinstaller l'outil lorsque le patch final aura été délivré. Le programme de la firme de sécurité fonctionne sous XP, Vista, Seven, mais pas sur Windows 2000. Son téléchargement est gratuit.
Sécurité : Cisco tire la sonnette d'alarme
D'après ce rapport semestriel, le paysage de la sécurité des entreprises ne cesse d'évoluer. Les réseaux sociaux, la virtualisation, le cloud computing et un recours massif à des appareils mobiles continuent d'avoir un impact dramatique sur la capacité des départements IT à maintenir une sécurité réseau efficace. Les premiers sont particulièrement mis en cause par l'étude. En effet, des recherches du Cisco Security Intelligence Operations ont démontré que 7% des utilisateurs du monde entier accédant à Facebook passent en moyenne 68 minutes par jour à jouer à Farmville, 52 minutes à Mafia Wars. Bien que la perte de productivité ne soit pas une menace pour la sécurité, il y a de fortes présomptions que les cybercriminels développent des moyens de distribuer des malwares par le biais de ce type de jeux. Par ailleurs, 50% des utilisateurs finaux ont admis ignorer au moins une fois par semaine les politiques de sécurité de leur entreprise interdisant l'utilisation des réseaux sociaux, et 27% ont confirmé modifier les paramètres de leurs appareils pour accéder à des applications interdites.
Plus traditionnel, le spam continue sa forte progression +30% en 2009. Les pays à l'origine des spams sont les Etats-Unis, l'Inde, le Brésil, la Russie et la Corée du Sud. L'étude montre néanmoins une baisse de ces messages depuis le Brésil, en raison du blocage de certains fournisseurs d'accès à Internet du port d'accès 25.
Cisco propose des pistes pour réduire ces problèmes de sécurité :
-Appliquer des règles de sécurité personnalisées pour les accès aux applications et aux données sur les systèmes virtualisés
-Limiter l'accès aux données de l'entreprise
-Création d'une politique de sécurité pour les terminaux mobiles
-Utiliser des outils de gestion et de contrôle des activités dans le cloud
-Donner des conseils sur l'utilisation des médias sociaux en entreprise
(...)(26/07/2010 13:47:22)L'Iran était la cible principale du virus Stuxnet pour Scada
Selon des données recueillies par Symantec, 60% des systèmes infectés par Stuxnet sont situés en Iran. L'Indonésie et l'Inde ont aussi été très touchées par le logiciel espion. Elias Levy, directeur technique chez Symantec Security Response, explique que c'est en regardant les dates sur les signatures numériques générées par le vers que l'éditeur a pu déterminer qu'il devait être en circulation depuis au moins le mois de janvier.
L'Iran, cible plus facile ou aux secrets plus intéressants ?
C'est VirusBlokAda, éditeur biélorusse d'antivirus, qui a le premier découvert l'existence de Stuxnet, le mois dernier, dans un système infecté d'un de ses clients iraniens. Le vers, pour rappel, fonctionne de la manière suivante : il cherche un système Scada de Siemens, utilisé par les sites industrielles, et télécharge ses secrets de production sur Internet. Symantec admet ne pas comprendre pourquoi ces pays sont plus particulièrement touchés que d'autres. « Ce dont nous sommes sûrs cependant, c'est que celui ou ceux qui ont développé ce virus ciblaient des entreprises de ces zones géographiques précises » indique Elias Levy. Il ajoute que du fait de l'embargo des Etats-Unis contre l'Iran, le pays est probablement très peu équipé en antivirus tout en étant en parallèle le plus touché par Stuxnet.
Siemens n'a pas voulu donner le nombre de clients iraniens de Scada, mais affirme que deux entreprises allemandes ont été elles-aussi infectées. Le scanner de virus gratuit mis à disposition par la société la semaine dernière a été téléchargé 1500 fois selon un porte-parole. Plus tôt dans l'année, Siemens avait indiqué vouloir ralentir son activité iranienne forte de 290 salariés qui avait réalisé un bénéfice net de 438 millions d'euros en 2008. Des critiques avaient en effet affirmé que de l'entreprise dans le pays avait contribué au développement du programme nucléaire iranien.
Peu de PC infectés dans le monde
Symantec a recueilli ses données en travaillant de près avec l'industrie, redirigeant le trafic destiné à la commande du virus et celui des serveurs de contrôle vers ses propres ordinateurs. Sur une période de trois jours, ceux-ci ont localisé 14 000 adresses IP tentant d'accéder à ces deux éléments, ce qui indique que peu de PC ont été touchés à travers le globe. Ils seraient en réalité entre 15 000 et 20 000, étant donné que de nombreuses entreprises utilisent une seule adresse pour plusieurs postes de travail. Les IP ayant été relevées par Symantec peuvent désormais être associées aux sociétés effectivement infectées afin de les localiser. « Sans surprise, les machines infectées se trouvent dans des organisations qui utiliseraient en principe des systèmes Scada, ciblés par les attaquants » remarque Symantec sur son blog.
Le vers se propage par l'intermédiaire de dispositifs USB. Une fois inséré dans une machine sous Windows, il se met à la recherche d'un système Siemens et se copie vers tout autre port USB occupé. Une solution temporaire pour le bug de Windows qui rend possible la propagation de Stuxnet peut être trouvée à cette adresse.
Crédit Photo : Symantec
Des malwares sur certaines cartes mères de serveurs Dell
Le problème concerne un nombre restreint de cartes PowerEdge " Le billet indique que "ce malware a été détecté dans le firmware de gestion de serveurs embarqués." Forrest Norrod, vice-président et directeur général des plates-formes serveurs chez Dell, écrit dans un mail que " le problème affecte les cartes mères de remplacement de quatre types de serveurs, les PowerEdge R310, R410, R510 ainsi que les modèles T410." Il ajoute que " le code malveilant ne peut se manifester que dans des configurations spécifiques ou si l'antivirus du client est inactif ou obsolète."
Il précise que "ce virus n'affecte pas les systèmes produits dans nos usines et qu'il est uniquement limité aux pièces de rechange. Dell a retiré de sa chaîne d'approvisionnement toutes les cartes mères touchées et les nouveaux stocks de remplacement ne sont pas infectés par ces logiciels malveillants".
Découvert par hasard et communication superficielle
Le responsable n'a par contre fourni aucun détail sur la nature des malware identifiés, ni sur la manière dont ils affectent les serveurs ou les solutions possibles pour y remédier. Forrest Norrod a néanmoins déclaré que " Dell, conscient du problème, a établi la liste des clients concernés et est en contact avec eux," ajoutant qu'il publierait prochainement plus d'informations à ce sujet sur le site web du constructeur.
La réaction de Dell est intervenue après qu'un client a révélé publiquement avoir été contacté par un technicien qui souhaitait prendre rendez-vous pour nettoyer son serveur de ses logiciels malveillants. Dell a indiqué qu'il ne pensait pas que le problème aurait un impact sur ses clients. "A ce jour nous n'avons reçu aucuns rapports relatifs à la sécurité des données,» peut-on encore lire dans le message publié par Forrest Norrod.
Dell précise également que les systèmes d'exploitation autres que Windows ne sont pas touchés par le virus, et que les nouvelles cartes mères livrées avec les systèmes PowerEdge ne sont pas infectées.
Adobe succombe au sandboxing sur son Reader
Récemment, alors qu'Adobe tentait de verrouiller son programme et de gérer les failles pouvant être exploitées par des pirates, certains experts en sécurité avaient suggéré que le sandboxing pourrait être une idée judicieuse. Sans doute mieux connu pour son utilisation dans le navigateur Chrome de Google, ce procédé permet de cloisonner le traitement des données et même de l'isoler du système de la machine, afin d'empêcher l'exécution d'un code malveillant. Selon Brad Arkin, directeur de la sécurité et de la vie privée chez Adobe, cette solution sera ajoutée dans la prochaine mise à jour importante du Reader (version 10) sous Windows. S'il s'est refusé à communiquer un calendrier précis pour la disponibilité de cette mise à jour, le responsable d'Adobe a néanmoins indiqué que ce serait avant la fin de l'année.
"Avec le sandboxing, toute personne en présence d'un PDF malveillant pourra constater que le code suspect est conservé dans le bac à sable", a déclaré Brad Arkin, à propos de cette technologie, également utilisée par Microsoft dans Internet Explorer 7 et 8, et dans Office 2010. Les attaques restent possibles, mais il faudrait pour cela que le pirate soit en mesure de sortir le logiciel malveillant de la sandbox. Le plug-in du Reader pour navigateur internet permet déjà d'utiliser IE7 et IE8 en mode protégé - Microsoft utilise le terme Protected Mode au lieu de «sandbox» dans son navigateur - et le cloisonnement fonctionne déjà sous Chrome. L'ajout de la sandbox à la version générale, permettra également de protéger les utilisateurs de Firefox et ceux qui utilisent la version stand-alone du Reader PDF.
Des aides extérieures
Dans un premier temps, le Reader triera les requêtes en écriture faites par le programme, de manière à bloquer les tentatives d'inscrire du code dans le système. Une version ultérieure limitera aussi la lecture seule, afin d'empêcher les tentatives de vol d'informations importantes, comme les numéros de carte de crédit ou les mots de passe. " Dans la première version, tout le processus de rendu d'un fichier PDF se passe dans la sandbox," a déclaré Brad Arkin. Cela comprend aussi l'analyse du document PDF et des images associées, et l'exécution de JavaScript qui avait servi à exploiter des failles dans Reader.
Crédit Photo: D.R
[[page]]
La technologie, activée par défaut, sera associée au mode protégé, selon la terminologie utilisée par Microsoft dans IE7 et IE8. Adobe reconnait avoir reçu le soutien de Microsoft et de Google, "qui ont donné beaucoup de conseils", selon le responsable. Celui-ci a également rappelé que Adobe avait basé sa technologie sur des techniques décrites en 2007 par David LeBlanc, un expert en code sécurisé chez Microsoft, et de Michael Howard, développeur dans la firme de Redmond, co-auteurs de Writing Secure Code. Nicolas Sylvain, ingénieur logiciel chez Google, et l'équipe de Chrome, sont également cités pour leur aide dans la mise au point du mode protégé du Reader.
Une offre complémentaire
Cela fait un peu plus d'un an qu'Adobe concentre ses efforts sur ce que Brad Arkin appelle le " processus du courtier ", qui décide quelles fonctions le Reader est autorisé à mener en dehors de la sandbox, comme l'écriture sur le disque ou le lancement d'une pièce jointe ou d'un exécutable à partir du logiciel. "Le "broker" est contraint par des options préréglées - que les utilisateurs peuvent modifier - qui restreignent différentes actions," a indiqué le responsable d'Adobe. Il s'est dit confiant que la sandbox serait "solide comme le roc" lorsque la version 10 du lecteur serait livrée, notamment parce que le "broker" est récent. Depuis l'année dernière, Adobe a adopté une méthode de développement appelée Secure Product Lifecycle (SPLC), une approche similaire au Software Development Lifecycle (SDL) de Microsoft. Les deux impliquent plusieurs étapes spécifiques de sécurité mises en place pour les programmeurs afin que leurs logiciels abritent moins de bugs.
Ces dispositions sont à rapprocher d'autres actions, dont un calendrier trimestriel de sortie de correctifs de sécurité, mises en place en 2009, suite aux critiques à propos du temps mis par Adobe à réagir à corriger une faille de sécurité exploitée par des pirates la même année. " Le mode protégé est un autre aspect de cette campagne," ajoute Brad Arkin avant de conclure "c'est un changement très important pour Reader."
(...)(20/07/2010 14:56:44)
« Ne changez pas les mots de passe Scada » avertit Siemens
Alors que le ver découvert dernièrement donne l'opportunité aux criminels de pénétrer les systèmes d'automatisation industrielle de Siemens en utilisant un mot de passe par défaut, l'entreprise a averti ses clients de ne pas toucher à ce dernier. Cela risquerait de bouleverser tout le système. « Nous allons publier prochainement un guide d'assistance pour notre clientèle, mais sans inclure de modification des paramètres par défaut risquant de perturber le fonctionnement des usines » a annoncé Michael Krampe, porte-parole pour Siemens Industry dans un email. L'entreprise prévoit donc de lancer un site qui fournira de plus amples informations sur le premier virus ciblant spécifiquement les produits Scada. Ces systèmes WinCC de Siemens sont utilisés pour gérer les machines de production industrielle à travers le monde.
Espionnage industriel invasif
La firme allemande se démène pour régler le problème, tandis que dans le même temps, le ver Stuxnet continue de se répandre mondialement. Gerry Egan, directeur de la gestion de produits chez Symantec, informe que l'entreprise a relevé près de 9000 tentatives d'infections par jour. Le programme malveillant se propage par l'intermédiaire de clés USB, de CD ou de fichiers partagés et s'appuie sur une faille non-corrigée de Windows. Cependant, s'il ne trouve pas le logiciel WinCC sur l'ordinateur infecté, il ne fait que continuer à se copier et reste dormant.
Puisque les systèmes Scada font partie de l'infrastructure critique des entreprises, les experts de la sécurité se sont dans un premier temps inquiétés d'une attaque potentiellement dévastatrice. Dans le cas présent, pourtant, le virus ne semble être qu'un programme d'espionnage et de vol d'information. S'il détecte un environnement Scada, il utilise le mot de passe par défaut pour ensuite rechercher, puis copier des fichiers sensibles ou confidentiels vers un site web extérieur. « L'individu ayant écrit ce code connait très bien les produits Siemens. Ce n'est pas un amateur » indique Eric Byres, directeur de la technologie chez Byres Security. En dérobant les secrets Scada d'une usine, les malfaiteurs pourraient prendre connaissance des procédés de fabrication utilisés, ajoute-t-il. Son entreprise est d'ailleurs débordée d'appels de clients Siemens inquiets et désireux de se prémunir face à cette menace.
Des solutions temporaires pour rassurer les clients
L'United States Computer Emergency Readiness Team (US-CERT) a mis en place un comité consultatif concernant Stuxnet, mais les informations ne sont pas encore rendues publiques. D'un autre côté, d'après Eric Byres, et à l'instar des déclarations de Siemens, changer le mot de passe de WinCC empêcherait les composants critiques du système d'interagir avec ce dernier. Or, comme celui-ci les administre, « cela reviendrait en somme à désactiver tout le système si le mot de passe n'est plus reconnu ».
Les clients sont donc entre deux eaux, mais ils peuvent toutefois faire quelques modifications afin que les ordinateurs n'affichent plus les fichiers .lnk utilisés par le virus pour passer d'un système à l'autre. Ils peuvent aussi désactiver le service Windows WebClient qui lui sert à se répandre dans le réseau local. Microsoft a d'ailleurs publié, dans cette optique, un avertissement de sécurité expliquant la procédure. « Siemens est en train de développer une solution qui pourra identifier et systématiquement se débarrasser de Stuxnet » a précisé Michael Krampe, sans dire quand elle serait disponible.
Scada a été conçu « en considérant que personne n'aurait accès à ces mots de passe. C'est une hypothèse qui revient à croire que personne ne s'attaquera jamais à vous » signale Eric Byres. Les noms d'utilisateurs et mots de passe par défaut utilisés par les concepteurs du ver ont en effet été publiés sur le web en 2008 selon lui.
Crédit Photo : D.R.
Les systèmes Scada de Siemens visés par un virus-espion
Michael Krampe, porte-parole de Siemens Industry, a déclaré que « Siemens avait identifié le problème le 14 Juillet. », ajoutant que l'entreprise avait immédiatement rassemblé une équipe de spécialistes pour évaluer la situation. « Siemens prend toutes les précautions pour alerter ses clients sur les risques potentiels de ce virus, » a-t-il écrit dans un mail. Les experts en sécurité disent que le virus ressemble au type d'attaque qu'ils redoutent depuis des années : un logiciel malveillant conçu pour infiltrer les systèmes utilisés dans la gestion des usines et certains éléments sensibles des infrastructures. Certains craignent que ce type de virus puisse être utilisé pour prendre le contrôle de ces systèmes, perturber les opérations ou déclencher un accident majeur. Cependant, une analyse rapide du code semble plutôt indiquer, selon eux, que le virus a probablement été conçu pour voler des secrets sur les sites et autres installations industrielles. «Il a toutes les caractéristiques d'une arme informatique, sans doute à vue d'espionnage, » a déclaré Jake Brodsky, informaticien dans le département IT d'une grande entreprise, qui s'est exprimé en son nom propre.
D'autres experts en sécurité des systèmes industriels ont confirmé son analyse, affirmant que « le logiciel malveillant a été écrit par un attaquant subtil et déterminé. » Le logiciel en question n'exploite pas un bug du système de Siemens pour prendre le contrôle de l'ordinateur, mais plutôt un bug de Windows jamais divulgué pour s'introduire dans le système. Le virus vise en effet le logiciel de gestion Simatic WinCC de Siemens, lequel fonctionne sous le système d'exploitation de Microsoft. « Siemens a informé son équipe commerciale et communiquera directement avec ses clients pour expliquer les circonstances, » a déclaré son représentant. «Nous demandons instamment à nos clients d'effectuer un bilan actif des systèmes informatiques sur lesquels sont installés et utilisés WinCC, et de mettre à jour leurs logiciels antivirus, comme nous leur demandons de rester vigilants sur le plan de la sécurité informatique dans leurs environnements de production. »
Un virus ciblant toutes les versions de Windows
Vendredi dernier, Microsoft a publié un avis de sécurité sur la question, précisant que le bug affectait toutes les versions de Windows, y compris son dernier système d'exploitation Windows 7. Selon Microsoft, le bug n'a été exploité que dans un nombre limité de cas, et dans des attaques ciblées. Généralement, pour des raisons de sécurité, les systèmes exécutant le logiciel de contrôle et d'acquisition de données Scada (Supervision, Control and Data Acquisition
) de Siemens ne sont pas connectés à Internet, mais ce virus se propage lorsqu'une clef USB infectée est insérée dans un ordinateur. « Une fois le périphérique USB connecté au PC, le virus cherche un système Siemens WinCC ou un autre périphérique USB, » selon Frank Boldewin, analyste en sécurité auprès du prestataire de services informatiques allemand GAD, qui a étudié le code. « Il se copie dans n'importe quel périphérique USB trouvé, mais s'il détecte le logiciel de Siemens, il tente immédiatement de se connecter en utilisant un mot de passe par défaut. Sinon, il ne fait rien, » a-t-il expliqué dans une interview réalisée par mail. « Cette technique fonctionne parce que les systèmes Scada sont souvent mal configurés, avec des mots de passe par défaut inchangés, » affirme Franck Boldewin. Le virus a été découvert le mois dernier par des chercheurs du VirusBlokAda, une entreprise de sécurité informatique basée en Biélorussie, et dont s'est fait l'écho le blogueur Brian Krebs.
Une fausse signature Realtrek pour s'infiltrer
Pour contourner les systèmes Windows qui ont besoin de signatures digitales - une pratique courante dans les environnements Scada - le virus utilise une signature attribuée au fabricant de semi-conducteurs Realtek. Le virus est déclenché chaque fois qu'un utilisateur essaie de visualiser le contenu de la clé USB. (voir le PDF expliquant comment agit le virus). On ne sait pas comment les auteurs du virus ont pu attribuer à leur code la signature numérique de Realtek, mais cela pourrait indiquer que la clé de cryptage Realtek a été cassée. Au moment de la publication de cet article, le fabricant de semi-conducteurs taïwanais n'avait pas pu être joint pour commentaire.
À bien des égards, le virus imite les attaques de type proof-of-concept que des chercheurs en sécurité, comme Wesley McGrew, ont mis au point depuis plusieurs années dans leurs laboratoires. Ces virus sont attractifs pour les attaquants, car ils peuvent récolter des tas d'informations sur l'usine ou l'entreprise dans lesquelles ils parviennent à s'infiltrer. « L'auteur du virus peut avoir visé une installation spécifique, » indique Wesley McGrew, fondateur de McGrew Security et chercheur à l'Université du Mississippi. « Si les auteurs avaient voulu pénétrer dans un grand nombre d'ordinateurs plutôt que viser une cible spécifique, ils auraient essayé d'exploiter des systèmes de gestion Scada plus populaire comme Wonderware ou RSLogix, » a-t-il encore déclaré.
Une question d'argent
Selon les experts, les raisons pour lesquelles quelqu'un pourrait vouloir casser un système Scada ne manquent pas. Pour Wesley McGrew, « il s'agit sans doute d'une question d'argent, » ajoutant qu'« en entrant dans un système Scada, le criminel détient un otage qu'il peut monnayer. » Comme l'a déclaré Eric Byres, directeur et conseil en sécurité chez Byres Security, les criminels pourraient utiliser les informations volées à un constructeur utilisant WinCC pour réaliser des produits de contrefaçon. « C'est le must de la récolte IP réussie ! Ça ressemble aussi à une attaque ciblée et bien réelle, » conclut-il.
(...)| < Les 10 documents précédents | Les 10 documents suivants > |