vendredi 14 mai 2010

Un virus qui vise les fans de jeu sur smartphone

Les smartphones sont bien la nouvelle cible des escrocs. L'éditeur de l'antivirus DrWeb a repéré un nouveau logiciel malveillant, WinCE.Dialer.1.

Installé sur un smartphone fonctionnnant sous Windows Mobile, il passe des appels lui‐même vers des numéros surtaxés dans différents pays.

La phase active du trojan (cheval de Troie) débute deux jours après la contamination du système.

Les fans de jeux doivent être très méfiants car WinCE.Dialer.1 est diffusé sous forme de jeu pour les smartphones.

Faux Torrent et vraie arnaque

L'éditeur d'antivirus Doctor Web a repéré un réseau de faux Torrent‐Tracker et Download‐Portal, développés par des pirates dans différents pays, mais visant pour la plupart les utilisateurs russes.

Les pirates affichent sur leurs sites des liens vers des MP3, des livres et des films. Pour attirer le maximum d'internautes, les pirates font en sorte que ces types de sites occupent les premières places dans les moteurs de recherche comme Google.

Lorsque l’utilisateur tombe sur le site malicieux via le lien proposé ou la publicité, il télécharge une archive sensée contenir ce qui l’intéressait. En réalité, ce fichier à exécuter est un code malveillant défini par Doctor Web comme Dr.Web Tool.SMSSend.2.

Le piège vient de se refermer : l’internaute doit envoyer des SMS payants pour obtenir le mot de passe nécessaire au lancement de l’archive téléchargée, qui, en réalité, ne contient qu’un faux fichier non‐exécutable.

Selon les statistiques, le nombre de tentatives de sa pénétration dans les ordinateurs dépasse déjà 6 000 par jour.

McAfee sort son chéquier

McAfee a décidé de rembourser son bug jusqu'au 31 mai.

Pour rappel, cet antivirus a pris un fichier Windows (svchost.exe)… pour un code malveillant.

C'est ce qu'on appelle un "faux-positif".

Pour en bénéficier, les entreprises et les particuliers qui ont été victimes de cette mise à jour "buggée", doivent remplir un formulaire.

Cette opération vous permet aussi de prolongation votre abonnement de deux ans.

Pas sûr qu'avec les mauvais résultats obtenus par cet antivirus lors de trois tests très sérieux, ce remboursement sera suffisant...

Protégez votre connexion wi-fi sous peine d'amende

Pour l'instant, cette amende ne concerne que les Allemands. La justice de ce pays estime en effet que les internautes doivent sécuriser leur connexion sans fil avec un mot de passe afin d’éviter tout usage frauduleux par un tiers.

Un usager vient de l'apprendre à ses dépens et doit payer une amende de 100 euros.

Cette affaire doit rappeler aux français qu'il est important de protéger son accès wi-fi en prenant différentes mesures :

- Créez une clé WPA « robuste »
Après avoir accédé aux paramètres sans fil de viotre box et/ou carte wi-fi, cliquez sur l'onglet Chiffrement. Une petite fenêtre indique WPA-PSK. Il s'agit des abréviations de « Wi-Fi Protected Access » et du mode « pre-shared key » (connu comme Personal mode). Comme ces protocoles de sécurité peuvent être attaqués, cette clé doit avoir plus d'une dizaine de caractères. Si ce n'est pas le cas, cliquez sur le petit rond à droit pour « Générer une clé ».

La longueur d'une clé WPA2 n'est pas suffisante. Il faut surtout mélanger des lettres (en minuscule et en majuscule), des chiffres et des caractères spéciaux (astérisque, arobase...). Objectif : rendre plus difficile la découverte de ce mot de passe.

- Changez et cachez le SSID
L'acronyme de « Service Set Identifier » est le signal envoyé par la box ou le routeur et qui permet d'identifier le réseau. Il faut le masquer pour le rendre invisible à la détection par une carte WIFI dans "Afficher les réseaux disponibles" ou par un scanner. Attention : si un ami de passage chez vous veut se connecter, il faudra rendre de nouveau visible le SSID

Une petite astuce pour terminer : Un logiciel pour repérer des curieux
Toutes les box et les PC portables utilisent le Wi-fi. Résultat, des petits curieux tentent de s'immiscer dans votre connexion. Pour les repérer utilisez le logiciel
AirSnare (http://home.comcast.net/~jay.deboer/airsnare/index.html). Compatible Windows, il permet de détecter les adresses MAC non autorisées sur votre réseau. Il vous alerte aussi lorsque des requêtes DHCP ont lieu (pour obtenir une adresse IP).

mardi 11 mai 2010

Les chiffres bidons des éditeurs d'antivirus

Dans un article paru sur le site de l'Expansion, Roger Kay, analyste chez Endpoint Technologies Associates, indique : "les éditeurs de logiciels antivirus créent plus de 20.000 nouvelles signatures par jour pour contrer les attaques des pirates."

Mais quel crédit peut-on apporter à ce chiffre car les éditeurs d'antivirus diffusent à l'envi ce genre de données impressionnantes.


Lors de la conférence d'Eicar qui s'est tenue il y a quelques jours, la communauté d'experts en sécurité a remis à leur place les éditeurs qui bidonnent leurs chiffres. Il faut environ 1 heure pour mettre à jour les bases virales. Donc, comment mettre 20 000 nouvelles signatures en 24 heures ? Ils sont plus forts que Jack Bauer !

En réalité, sur les 20 000 ou 40 000 annoncés, il n'y a que trois ou 4 codes malveillants différents. C'est tout.

Mais Christophe Devine, expert en sécurité et vainqueur de la première édition du challenge d'antivirus de l'ESIEA, m'a indiqué que "le chiffre (d'ESET, Ndlr) est probablement vrai. Cela étant, il est à relativiser car, par exemple, une famille de malwares polymorphiques côté serveur peut générer plusieurs dizaines de milliers d'échantillons en apparence unique en une seule journée. Les éditeurs d'antivirus doivent ainsi investir beaucoup dans de nombreuses machines physiques pour automatiser les filtres qui séparent les nouvelles menaces du tout venant. Et c'est une tâche non triviale".

De son côté, Boris Sharov, Pdg de l'antivirus DrWeb, m'a précisé : "nous n'avons pas besoin de ça en vue de notre moteur de traitement des pacqueurs".

lundi 10 mai 2010

Des antivirus incapables de détecter une attaque du kernel

Infecter un ordinateur semble facile. C’est ce que laisse à penser la société Matousec (spécialisée dans la sécurité).

Elle vient de publier les résultats d’une attaque qu’elle a menée sur la majorité des antivirus (sous Windows XP SP3 et Vista SP1).

Aucun n’a été capable de bloquer l’infiltration. Cette attaque baptisée KHOBE (Kernel Hook Bypassing Engine) se fait en deux temps : un premier appel au kernel est repéré par l’antivirus qui le laisse passer car il est anodin.

Mais aussitôt après, un second appel (cette fois malveillant) est envoyé avant que l’antivirus redevienne vigilant. En fait, cette attaque ne remet pas en cause directement les antivirus. Elle pointe du doigt une faille dans ces systèmes d’exploitation de Microsoft qui permet de leurrer les appels au noyau.

Mais pour Eric Filiol, directeur de recherche à l'ESIEA,"les antivirus sont aussi responsables car pour simplifier leur travail ils se reposent sur un mécanisme de hook ssdt (crochetage de ressources noyau). Donc, si ce mécanisme est faible (du à l'OS), toute application utilisant cet appel sera vulnérable. Cela prouve une fois de plus que les antivirus doivent évoluer et faire un peu mieux que d'exploiter des techniques simples".

Challenge PWN2KILL : le palmarès

Voici les petits génies qui ont révélé leurs compétences lors du challenge :

1er prix Guillaume Fahrner (Mastère Supelec)
2eme prix Equipe Jonathan Dechaux - Romain Griveau - Jean-Paul Fizaine - Kenza Jaafar (ESIEA 4eme année)
3eme Prix Baptiste DAVID (ESIEA 1ere année)
4eme Prix Francois Déchelle (indépendant)
5eme Prix Samir Megguedem et Anthony Desnos (ESIEA)
6eme Prix Francois-Xavier Bru et Frederic Bertrand (Mastère Telecom Bretagne)

Prix du mérite Alan Zacardelle (Dimension Data)

Les critères du jury étaient :
- le nombre d'AV contournés
- la qualité technique de l'attaque
- le caractère innovant ou d'élégance (simplicité)

Challenge PWN2KILL : la vérité sur les antivirus

Le Challenge PWN2KILL est terminé. Conclusion : tous les antivirus qui devaient protéger la cible, en l'occurrence un PC sous Windows 7 en mode utilisateur, n'ont pas été capables de bloquer les attaques.

Premier bilan avant différents "off" publiés d'ici à demain (et jours suivants) :

- Les AV payants n'ont pas fait mieux que les AV gratuits
- Certaines attaques étaient simples. Imaginez les conséquences avec des attaques plus sophistiquées...
- Certains candidats étaient étudiants en première année d'une école (ESIEA).

dimanche 9 mai 2010

Challenge PWN2KILL : les antivirus pas assez efficaces

La débacle ! Pour sa deuxième édition, l’iAWACS (International Alternative Workshop on Aggressive Computing and Security) organisé par ESIEA (Ecole Supérieure d’informatique, électronique et Automatisme) a démontré qu’aucun antivirus du marché n’empêche l’exécution de programmes malveillants.

Sur les 7 candidats, seul l’un d’entre eux a vu son programme bugger et se faire bloquer par les 15 antivirus. Les 6 autres vont parvenir à faire aboutir leur attaque sur 12 à 15 des machines protégées.

Commentaire d'Eric Filiol, un des organisateurs de ce challenge :

"Tous les antivirus sont à égalité dans la nullité. Ce n'est pas normal. S'il est indispensable d'avoir un AV (ne serait que pour satisfaire a l'obligation de moyens), ils n'offrent pratiquement pas de protection si ce n'est que contre des attaques génériques connues et choisies par les éditeurs (la Wild List). Cette uniformité prouve que le modèle économique (gagner facilement de l'argent pour certains) et surtout technique -- recherche de signatures ou équivalent qui date de 20 ans-- n'est plus acceptable. Le pire c'est que les "grands éditeurs" qui sont de véritables rouleaux compresseurs marketing imposent aux petits éditeurs sérieux de suivre ce modèle sous peine de disparaitre. Dépenser des fortunes en R&D quand les autres se contentent de faire du marketing condamne celui qui fera ce choix".

On peut se demander pourquoi il faudrait acheter un antivirus alors qu'ils sont mauvais !


A suivre...

EXCLU : Challenge PWN2KILL : le pire est arrivé

Le pire s'est produit. Tous les antivirus sont tombés et TRES rapidement.

C'est donc le scénario catastrophe qui est arrivé. Les candidats ont utilisé des techniques connues. Résultat, ils n'ont pas eu de mal à mettre à genoux les antivirus.

Le cas le plus flagrant et inquiétant a été une attaque reposant sur un code de 3 lignes vieux de 10 ans...

Premier bilan avant plus de détails aujourd'hui : les éditeurs d'antivirus ne font rien pour protéger leurs logiciels !