Les dangers de la "Google blacklist"

Utilisée par diverses technologies anti-phishing, une liste d’URLs suspectes est maintenue par Google et consultable sans restriction sur Internet. Il s’agit de la « Google blacklist » :
http://sb.google.com/safebrowsing/update?version=goog-black-url:1:-1

Sur son blog, Michael Sutton indique avoir analysé le lien. Il nous explique que ces informations sont utilisées par l’extension Safe Browsing pour Firefox qui est maintenant intégrée dans la barre d’outil du navigateur.

Le 5 janvier, le site Register annonçait que cette liste publique contenait des informations confidentielles tels que les noms de certains utilisateurs, leur mot de passe ou leur jeton de session (token). Ils écrivaient aussi que le problème était maintenant réglé. Ce lundi (22 janvier) la société de sécurité Finjan a confirmé le problème en expliquant qu’elle est à l’origine de cette découverte.

J’ai donc utilisé mon navigateur favori et fait quelques recherches. Elles sont malheureusement fructueuses. De nombreuses listes établies par Google avant qu’il ne corrige certaines entrées sont toujours consultables sur le Net.

Nous sommes de plus en plus souvent sollicités pour donner – souvent à juste titre - nos données personnelles. Si nous nous laissons une seule fois piéger, ces informations peuvent être transmises à un pirate qui risque de les réutiliser. Cette découverte démontre aussi qu’elles peuvent parfois être disponibles sans restriction auprès d’un large public. Raison de plus de rester vigilant ! 

Cette information est une libre traduction d’une de mes récentes contributions sur le blog de McAfee.

Livre blanc : l'usurpation d'identité

Les entreprises et les administrations nous demandent de plus en plus souvent de leur communiquer des données d'ordre personnel. Ces informations confidentielles sont enregistrées dans de nombreuses bases de données, toujours plus volumineuses. Indispensables au fonctionnement des organisations concernées, leur intérêt indéniable attire toutes les convoitises, et notamment celle des criminels, dont le but est, soit de les exploiter à des fins malveillantes, soit de les revendre à des fraudeurs.

Afin de mieux faire comprendre au public ce phénomène, McAfee m’a demandé d’écrire un livre blanc sur le sujet. Il s’intitule « usurpation d'identité » et est disponible ici pour les personnes qui ont un souci de téléchargement depuis le site de McAfee (certaines versions d'Acrobat Reader n'affichant que la page de garde).

Je débute ce document avec quelques exemples puis montre comment ce délit, commis ou non sur Internet, est défini dans différents pays. Dans une seconde partie j’expose les motivations des criminels et leurs divers modes opératoires traditionnels ou modernes. La troisième partie du document s'intéresse aux victimes et aux conséquences de ce type de délit. Je liste toute une série de conseils de prévention et de protection destinée aux particuliers et aux entreprises.

CLUSIF : panorama 2006 de la cybercriminalité

Dans le cadre de son panorama 2006 de la cybercriminalité, le CLUSIF vient de dresser un nouvel état des lieux de la menace.

La grande tendance derrière les différents points abordés dans ce rapport est la persistance de l’appât du gain sous toutes ses formes avec des cyber-criminels qui cherchent à optimiser leurs affaires. Cela se traduit par :

• une meilleure recherche de cibles potentielles, donc de victimes ;
• l’apparition de nouveaux métiers tels que celui d’intermédiaire dans le blanchiment d’argent sale (les mules) ;
• la recrudescence des vols d’identités vers les particuliers qui permettent ensuite des détournements financiers ;
• la sophistication des attaques et l’appel de plus en plus fréquent à l’exploitation de vulnérabilités non couvertes pour les mener à bien.

Le dernier point du rapport aborde le phénomène des écoutes et des enquêtes à haut risque telle que celle demandée par la présidente du CA de HP après une fuite d’informations en janvier 2005. Comme d'autres, cette affaire montre que, s’il on y prend garde, des pratiques répréhensibles peuvent être engagées un peu trop rapidement pour des motifs qui semblent justifiés. C’est alors que les motivations rencontrent la loi ; d’où l'invitation à la vigilance face à la mise en place de moyens qui peuvent s’avérer par la suite litigieux.

Du côté des programmes malveillants, la situation peut se résumer de la manière suivante :

• En 2003, des virus étaient lancés à grande échelle, certains tentaient de capturer des informations sur les ordinateurs qu’ils atteignaient, mais les cibles n’étaient pas précises, donc le rendement était faible, très faible.
• En 2004, les auteurs de programmes malveillants ont mis au point des techniques de chantage, ils ont commencé à choisir des profils de victimes, tels que des sites de pari en ligne. Ils ont utilisé des machines dites « zombies » pour démultiplier des points d’attaque, restant néanmoins en nombre limité et sous contrôle.
• En 2005, pour déjouer les outils de sécurité, ils ont créé des programmes distincts en les adaptant à chacune de leur victime. Ils ont optimisé leurs outils. Les réseaux de botnets sont aussi devenus des sources de revenu (diffusion d’adwares, mise en place d’activités à la limite du légal).
• Depuis l’an dernier, l'optimisation des outils a laissé la place à l'optimistion des équipes. Les cyber-criminels recrutent et se font approcher par des individus qui cherchent à leurs vendre des programmes performants. La malveillance a maintenant ses acheteurs et ses vendeurs.

Le rapport du CLUSIF 2006 est disponible en téléchargement sur le site de l’association à l’adresse : http://www.clusif.asso.fr/fr/infos/event/#conf070118

Un intéressant compte rendu est disponible ici, sur vnunet.fr

Un tueur à gage est il à vos trousses ?

Un spam inhabituel en provenance d’une personne qui cherche à impressionner ses victimes en espérant leur soutirer de l’argent circule dans la région de Pittsburgh, en Pennsylvanie.

Il s’agit d’une annonce de menace de mort établie par le biais d’un contrat de 50 000 dollars apparemment lancé contre le destinataire du courriel qui le reçoit. Le message annonce que le contrat court depuis 10 jours mais que son exécutant - l’expéditeur du mail - est prêt à l’oublier si on lui remet 80 000 dollars. Dans un premier temps, il demande un premier acompte de 20 000 dollars afin d’apporter au payeur les preuves de ses dires.

Cet email semble provenir d’Irlande. Il a été adressé à diverses personnes ayant un haut revenu ; des docteurs, des avocats, des dentistes, etc. Son objet est « Read this to be safe and a new life in this new year ». Il commence par « Good day » et se termine par « Lucky You ».

Voici reproduit ci-dessous le message envoyé au docteur Mike Dunn, de Castle Shannon (une bourgade de la région). (source : http://harddrivelife.com/2007/01/09/hitmanscam/).

Connaissez vous McAfee Rootkit Detective ?

McAfee vient de mettre à disposition sur son site un nouvel outil gratuit dédié à la détection de rootkits dans les environnements 32 bits de Windows 2000, XP et 2003 serveur. Il est disponible à l'adresse : http://vil.nai.com/vil/averttools.aspx

Aujourd'hui en version bêta, cet utilitaire permet de détecter la présence éventuelle d’un rootkit inconnu sur votre machine. Il permet à des utilisateurs avertis de désinfecter et de supprimer des rootkits de leur système.

Dans l’exemple suivant, j’ai infecté une machine avec une variante de Backdoor-BAC (le fameux Haxdoor de Corpse) ; j’avais pour cela désactivé mon anti-virus. Si celui-ci avait été activé, il aurait interdit l’installation (image 1 à gauche). Mais, une fois celle-ci réalisée, il n’est plus capable de voir les fichiers : la fonctionnalité rootkit joue bien son rôle (image 2 à droite) !

J’ai ensuite exécuté Rootkit Detective. Il  m’a révélé la présence de 6 fichiers et/ou processus cachés (image 3 à gauche) . Il ne m’a pas été proposé de suppression immédiate.  J’ai donc demandé à ce que les fichiers soient renommés à l’occasion d’un reboot de la machine (image 4 à droite) . Celui-ci m’a été immédiatement proposé après ce choix.

Une fois la machine redémarrée, un passage de l’anti-virus m’a confirmé la malveillance des fichiers et indiqué comment Rootkit Detective renommait les fichiers (image 5 ci-dessous - double extension .dll.REN  et .sys.REN).

Le spam dans tous ses états

En ce début d’année, les chasseurs de virus ne sont pas les seuls à faire leur bilan.
Coup sur coup, 3 sociétés viennent de d’analyser l’évolution du spam au cours des derniers mois. Il s’agit de Messagelabs, de Postini et de Secuserve.

Comme le montre la courbe de gauche, et en reprenant leurs chiffres depuis le début 2005, il semble possible d’admettre qu’entre 75% et 95% du courrier reçu est indésirable.

Une quatrième étude vient d’être diffusée par Ironport. Elle met en lumière des méthodes qui s’apparentent au grand banditisme et non pas au commerce. J’en présente ici 3 pages d’un intérêt certain.

MoBB, MoKB et MoAB : le temps des irresponsables

Le monde change. Il y a encore 5 ans de cela, écrire un programme malveillant n’était souvent qu’un jeu. Depuis 2 ans, le processus s’est organisé et s’est professionnalisé. Il en est aujourd’hui de même pour les vulnérabilités.

En premier lieu, on les utilise pour optimiser les attaques : c’est au travers de failles récentes que sont diffusés de nombreux programmes malveillants.
On cherche aussi à les vendre. Des organismes travaillants dans la sécurité ont la mauvaise idée de se proposer comme acheteur. Un marché noir se développe et des acquéreurs clairement malintentionnés cherchent, eux aussi, à s’en procurer pour mieux réussir leurs forfaits.

2006 fut aussi l’année d’autres actes irresponsables avec, en juillet, « le mois des failles sur les navigateurs web », et en novembre, « le mois des bugs dans le kernel ». Le but était d’annoncer une vulnérabilité par jour. En juillet Microsoft fut la principale victime. En novembre ce furent les systèmes d'exploitation compatibles Unix. On se devait donc de ne pas oublier Apple ! Remercions donc LHM (pseudo d’un « hacker » bien connu) et Kevin Finisterre qui nous offrent pour janvier « le mois des bugs Apple ».

Comme il se doit, en date du 1er, voila la première annonce. Elle a été immédiatement jugée « très critique » par Secunia et « critique » par les Français du FrSIRT. Elle touche QuickTime, le logiciel de lecture vidéo, et permet d'exécuter un code malveillant à distance. Comme il fallait s’y attendre, deux autres annonces ont été mises en ligne hier et avant-hier.

C'est une pratique irresponsable qui fait courir le risque d'une exploitation à grande échelle, avant la mise en ligne d'une parade. Les instigateurs de ce chalenge disent en avoir conscience, ils disent aussi s'attendre à voir certaines de leurs annonces rapidement exploitées sur Internet. Au lieu d’en être affecté, ils poursuivent en toute connaissance de cause leur entreprise.