samedi 7 novembre 2009

Concours antivirus : les secrets de DrWeb



Le monde de la sécurité a été secoué par les résultats désastreux de certains antivirus. Certains logiciels très connus comme McAfee et Norton ont été désactivés en quelques minutes. En clair, l'ordinateur n'était plus protégé contre les virus.

Seul l'antivirus russe DrWeb a tenu jusqu'à la fin impartie aux candidats (1 heure), même si ses défenses étaient amoindries.

Pour savoir pourquoi ce logiciel, qui protège d'ailleurs depuis plusieurs années les ordinateurs de l'armée russe, nous avons posé 5 questions au PDG de Doctor Web, Boris Sharov.

1-Sans dévoiler les secrets "industriels" de Doctor Web, pourquoi votre antivirus a-t-il mieux résisté que les autres lors du concours iAwacs ?

La protection de notre logiciel sur la machine a toujours été une des priorités 
de notre équipe de développement. Dès les premières versions de DrWeb, nous avons attribué une très grande importance à la protection de nos modules, anticipant ainsi les futures attaques.
Aujourd'hui, quand les tentatives de bloquer ou simplement effacer l'antivirus sont devenues quotidiennes dans les logiciels malicieux, nous ne faisons que récolter les résultats de nos efforts d'hier tout en améliorant la protection. Nous considérons que la protection doit être suffisamment puissante pour faire face aux attaques probables dont les origines peuvent être aperçues dans les codes viraux qu'on analyse.
Pour rendre la tâche de nous bloquer encore plus difficile, nous déployons nos modules de protection dans le noyau du système Windows, nos drivers de filtrage des opérations de fichiers et d'auto protection sont l'un des premiers à démarrer au lancement de l'ordinateur. On remarque, non sans satisfaction, que de nombreux experts considèrent l'auto protection de DrWeb comme l'une des meilleures dans l'industrie antivirale.

2-Certains experts ont émis des doutes quant à l'intérêt de ce concours car les candidats avaient un accès direct à Windows en mode Administrateur. N'y a-t-il pas des codes malveillants capables de désactiver des AV à distance ?


Nous considérons, par contre, que cette façon de faire ce genre de tests est la seule correcte et logique. Notre expérience dans le monde de la sécurité ne nous laisse aucune illusion: la grande majorité des utilisateurs ne travaille qu'en mode Administrateur.
Quant aux codes malveillants qui passent facilement de mode utilisateur au mode Administrateur, ils sont abondants, il suffit de se rappeler de trojan.botnetlog.11 qui est aujourd'hui largement présent dans le trafic du réseau mondial.

3-Malgré la résistance de DrWeb, quelques rootkits sont capables d'empêcher votre AV de bien protéger un PC. Est-ce que cela signifie que
les pirates seront toujours plus forts que les éditeurs
?
Les pirates disposent toujours d'un facteur important qui les favorise: ils jouent les premiers. Nous sommes toujours sur la défensive et cela explique que nous soyons toujours obligé de rattraper notre retard.
Mais justement le fait que les joueurs de notre côté aient un niveau supérieur à celui des attaquants nous permet de réduire considérablement ce retard. En même temps, nous ne considérons pas ce retard comme quelque chose de fatal. Maintes fois, nous avons été bien armés à l'arrivée de nouvelles menaces.

4-Quelles sont aujourd'hui les menaces les plus dangereuses : la presse parle beaucoup des faux antivirus, des réseaux sociaux, du phishing... Quels constats font vos chercheurs (photo du labo ci-dessus) en Russie ?



Malgré de nombreuses menaces très sophistiquées  de nos jours, nous n'avons aucune doute : les plus dangereuses sont les attaques très simples d'un point de vue technologique mais qui exploitent le maillon le plus faible de tout système de sécurité : l'individu assis devant son écran. La technologie antivirale la plus performante est très souvent impotente vis-à-vis à l'ingénierie sociale.


5-Que doit faire l'utilisateur pour limiter les risques. Il a le sentiment qu'un antivirus n'apporte, finalement, pas une protection très efficace.

Et il n'est pas loin de la vérité. La sécurité ne peut pas se baser sur un seul produit, même très reconnu par des professionnels. Nous considérons l'éducation des utilisateurs comme un aspect le plus important de la protection des ressources informatiques. Les armes de protection sont aujourd'hui en abondance, le choix est très souvent embarrassant. Reste à apprendre à s'en servir.

vendredi 6 novembre 2009

Les iPhones piratés cibles des pirates ?

Alerte aux iPhone craqués ! Les iPhones “jailbreakés” sont plus sensibles aux attaques de pirates. On pourrait le penser après la mauvaise blague qu'a fait un pirate à quelques clients de l’opérateur T-Mobile aux Pays-Bas.

Le plus inquiétant est que l'attaque est assez simple. Le pirate en question a scanné les adresses IP publiques des abonnés de T-Mobile. Il a ainsi repéré des iPhones jailbreakés.

Or, ces mobiles avaient le même mot de passe.

Des abonnés ont donc eu la mauvaise suprise de recevoir un SMS du pirate qui leur réclamait 5 € sur son compte Paypal pour apprendre comment le débloquer. Si on ne payait pas, il les menacait d'utiliser leur ligne iPhone pour téléphoner gratuitement ou récupérer des données personnelles.

Mais le maitre-chanteur en question a finalement renoncé à son... forfait.

En fait, le pirate n'a rien inventé. Il s'est juste inspiré de techniques révélées il y a quelques temps par des hackers.

Conclusions de cette mauvaise blague :
- la sécurité des iPhones craqués laisse à désirer et il est impératif de changer les mots de passe
- la connexion permanente à un réseau 3G va entrainer les mêmes risques que pour les PC
- installer un antivirus et un parefeu pourrait devenir une "obligation" d'ici quelques temps...

jeudi 5 novembre 2009

Commerce électronique : des connexions pas sécurisées ?

Pour le business, pour le gouvernement, pour les FAI... Pour tous ces acteurs de l'internet en France, il est portant de dire (ou de faire croire...? ) que les connexions sont sécurisées. Pas sûr justement !

Le fameux cadenas a des trous. Oui, ce fameux cadenas que vous voyez en bas de votre écran d'ordinateur lorsque vous vous connectez au site de votre banque ou d'un site de commerce électronique. Officiellement, la présence de ce cadenas et des fameuses lettres https (présentes dans l'adresse du site lorsqu'on passe en mode "sécurisé") signifient que la connexion est protégée.

C'est l'objectif du protocole SSL (Secure Sockets Layer). Or, la sécurité de ce protocole ressemble de plus en plus à "une passoire" comme me l'a confié un expert.

Il n'est pas le seul à le penser et à le démontrer.

Aujourd'hui, sur son blog, Marsh Ray, un développeur travaillant pour la société Phone Factor, indique que ce protocole est vulnérable à un certain type d'attaques de pirates.
Cet informaticien confirme qu'il est possible d'intercepter le trafic SSL effectué entre l'autorité délivrant le certificat numérique et un site.

Ensuite, le pirate peut créer un faux certificat capable de leurrer l'utilisateur qui ne sera pas du tout inquiété (cadenas et barre d'adresse verte visibles). Ce type d'attaque pourrait permettre à un pirate de voler des mots de passe, de contrôler un session bancaire en ligne ou d'installer une mise à jour pour Firefox contenant du code malveillant.

Mais une attaque de ce genre n'est pas simple à mettre en place. Il faut à la fois créer un certificat spécifique à chaque cible (le site dont on va usurper l'identité) et rediriger l'internaute vers l'adresse IP illicite (par exemple, un faux site de banque). Sa difficulté explique pourquoi ce genre d'attaque ne peut être déployée à grande échelle.

N'empêche. Il existe des outils qui pourraient aggraver la situation.

Cet été, lors du Black Hat de Las Vegas mais aussi lors du Hack.lu le 30 octobre au Luxembourg, un hacker dénommé « Moxie Marlinspike » a démontré qu'il existait des outils, dont SSLstrip qu'il a développé, permettant d'exploiter les vulnérabilités du SSL et de créer de faux certificats. Il avait montré l'exemple d'un faux Sésame de Paypal.

Mi-octobre, Microsoft avait publié deux correctifs concernant les failles X.509 révélées au Black Hat par Marlinspike. Les navigateurs web et les clients de messagerie avaient également fait des mises à jour.

Pas sûr que cela soit suffisant. Il y a quelques mois, des experts en sécurité avaient créé de faux certificats qui avaient été tous acceptés par les navigateurs web !

mardi 3 novembre 2009

Module Frefox : l'arme anti HADOPI (suite et scoops)

Suite à mon billet sur ce module Firefox, beaucoup de sites ont repris cette info. Mais il y a eu quelques erreurs ou approximations.

Voici donc quelques précisions et encore quelques scoops.

Premièrement, ce projet n'en est qu'à ses débuts. Compatible avec tous les systèmes d'exploitation (et donc avec Windows contrairement à ce qui a été écrit ici ou là), cette version actuelle ne marche que si les deux (client et serveur) ont le module. Donc, pour fonctionner il faut que le module soit installé aux deux bouts de la ligne. En l'état actuel, ce plug-in ne permet donc que la protection des connexions http en direct download.

Mais d'autres versions vont arriver.

Une version est en cours de finalisation pour intégrer un serveur Apache (parution fin novembre). En clair, cela signifie que tous les sites de P2P et de Bittorent pourront l'utiliser pour protéger les connexions des internautes. Quand cette version sera disponible, ce plug-in sera donc une « arme anti HADOPI ».

Une librairie en « C open source » sera disponible afin que Perseus puisse être utilisée pour tous les flux et pour tous les systèmes. Cette librairie sera disponible au plus tard en mars 2010 mais, si tout va bien, une première version devrait être publiée en décembre. Ainsi, tout développeur pourra l'intégrer au client/serveur pour le protocole de son choix. Cela permettra donc d’appliquer Perseus à tous les autres protocoles de communication (email, FTP…).

Autre précision : contrairement à ce que prétendent certains sites, les éléments initiaux destinés à mettre en place la connexion codée ne sont PAS envoyés "en clair" mais en HTTPS.

Les infos techniques (slides, papier, vidéo) sont disponibles sur le site de l'ESIEA.

Mais, il faut une bonne connaissance technique pour en apprécier tout l'intérêt...

Enfin, il faut rappeler que cet outil a été développé pour éviter que les pirates, contrôlant des réseaux de botnets, ne puissent intercepter les connexions http des internautes.