quartz / infos

C’est en 2008 qu’est apparu le premier faux antivirus pour Mac OS X et pendant très longtemps, il n’y a eu aucun autre exemplaire de ce type de programme pour Mac. Mais au cours du deuxième trimestre 2011, les spécialistes de la lutte contre les virus ont détecté plusieurs  » logiciels  » portant des noms évocateurs tels que MacDefender, MacSecurity, MacProtector, etc. et diffusés probablement par les mêmes personnes dans le but de gagner illégalement de l’argent sur le compte d’utilisateurs crédules de Mac OS X.

Vu que les utilisateurs de Mac OS X se trouvent principalement dans les pays développés où la diffusion de faux antivirus peut rapporter le plus aux individus malintentionnés, la géographie de la répartition des faux antivirus pour Mac OS X correspond à la géographie de la répartition des programmes similaires sous Windows dont nous avons parlé plus haut.Ces individus malintentionnés ont estimé qu’il était plus judicieux de se lancer sur le nouveau marché des programmes malveillants pour OS X avec de faux antivirus car de tels programmes confondent plus facilement les utilisateurs.

Pour amener l’utilisateur à installer le faux antivirus, les escrocs ont utilisé des sites qui imitent l’analyse d’un ordinateur. Grâce à des méthodes de référencement désapprouvées (référencement noir), ils ont réussi à placer ces sites dans le haut des résultats de recherche sur Google Images pour les recherches les plus souvent lancées à l’époque. Ainsi, un utilisateur qui lançait par exemple une recherche sur  » photo de la mort d’Oussama ben Laden  » se retrouvait sur une page Web où l’analyse de son ordinateur était effectuée. Ensuite, cet utilisateur recevait un message signalant la présence de nombreux problèmes de sécurité et il était invité à installer un logiciel antivirus  » gratuit « . En cas d’acceptation de l’offre, l’utilisateur devait saisir son mot de passe d’administrateur pour l’installation. Une fois installé, ce faux antivirus, à l’instar des versions existantes sous Windows, fonctionnait selon un scénario bien connu : il décelait des milliers de menaces inexistantes et proposait de  » nettoyer  » l’ordinateur. Il faut d’ailleurs signaler que le nombre de signatures dans ces faux antivirus est plusieurs fois supérieur au nombre de programmes malveillants connus à ce jour pour Mac. Afin de pouvoir réaliser la réparation, il fallait absolument acheter la  » version complète  » du faux antivirus pour un prix compris entre 50 et 100 dollars américains. Il faut savoir que dans un cas pareil, l’utilisateur qui achète le logiciel proposé avec sa carte de crédit transmet toutes les données aux individus malintentionnés qui pourront par la suite retirer pratiquement n’importe quelle somme.

Le 31 mai, soit près d’un mois après l’apparition du premier faux antivirus pour Mac détecté en 2011, Apple a diffusé une mise à jour de sécurité pour le système de protection intégré Xprotect d’OS X qui permet de supprimer automatiquement les faux antivirus. Mais à peine quelques heures plus tard, les individus malintentionnés ont diffusé une nouvelle version de leur programme qui a échappé à Xprotect pendant 24 heures. Si les individus malintentionnés ont déjoué si rapidement la protection, c’est parce que Xprotect utilise une technologie très élémentaire pour détecter les programmes malveillants : l’analyse sur la base de signatures. Il suffit donc aux individus malintentionnés de modifier quelques octets du programme pour rendre leur création indétectable. Par la suite, pour contourner encore plus efficacement la protection offerte par Xprotect, les auteurs du virus ont ajouté au mode d’infection un petit téléchargeur détecté par les logiciels de Kaspersky Lab sous le nom de Trojan-Downloader.OSX.FavDonw. En quoi cette méthode est-elle plus efficace ? Xprotect n’analyse que les fichiers qui ont été téléchargés à l’aide du navigateur. Si le faux antivirus est récupéré à l’aide d’un gestionnaire de téléchargements, il n’est absolument pas détecté. Par conséquent, les individus malintentionnés peuvent contourner sans grande difficulté la protection intégrée : il suffit de mettre à jour en permanence le téléchargeur sans modifier considérablement le fichier principal. Qui plus est, ce mode d’attaque ne requiert pas la saisie d’un mot de passe par l’utilisateur lors de l’installation du programme malveillant.

A l’instar des faux antivirus sous Windows, les faux antivirus pour Mac OS sont diffusés à l’aide des tristement célèbres partenariats. La présence de la ligne  » affid  » (abréviation de affiliate ID) dans les fichiers du téléchargeur en témoigne. Ce paramètre permet au propriétaire du partenariat d’identifier le partenaire à payer pour l’installation du faux antivirus.

Nous supposons que la prochaine étape dans le développement des programmes malveillants pour Mac OS X portera sur des outils de dissimulation de l’activité et des téléchargeurs universels pour Mac ainsi que des chevaux de Troie destinés à voler les informations bancaires comme ZeuS ou SpyEye. Le temps est venu pour les utilisateurs de Mac de penser sérieusement à la sécurité de leur système et d’installer un logiciel antivirus.

Le deuxième trimestre 2011 aura été marqué par un nombre plus important encore d’attaques contre de grandes sociétés. Parmi les victimes, nous retrouvons des grands noms tels que Sony, Honda, Fox News, Epsilon ou Citibank. Dans la majorité des cas, ce sont les données des clients de ces sociétés qui ont été dérobées.

Les données personnelles d’un grand nombre d’utilisateurs peuvent intéresser aussi bien les cybercriminels (pour réaliser diverses attaques, dont des attaques ciblées) que certaines structures commerciales légitimes. Il semblerait également que les pirates n’ont jamais utilisé les données volées à des fins commerciales. Nous ne disposons d’aucune information faisant état de la vente de ces données au marché noir ou de leur utilisation par des individus malintentionnés. Ce comportement des pirates signifie qu’ils ne recherchaient pas en priorité l’enrichissement rapide à l’aide des données volées.

Pour beaucoup de personnes, l’événement marquant du deuxième trimestre 2011 aura été un des plus grands vols de données personnelles suite aux attaques menées contre des services appartenant à Sony : PlayStation Network et Sony Online Entertainment. Selon les estimations de Sony (http://republicans.energycommerce.house.gov/Media/file/Letters/112th/050411Hirai.pdf), les individus malintentionnés auraient mis la main sur les données de 77 millions de comptes (!) d’utilisateurs des services PSN et Qriocity. Les services de Sony ont été inaccessibles dans le monde entier pendant quelques semaines afin de permettre l’enquête et de mettre à jour les systèmes de protection, ce qui a bien évidemment provoqué l’indignation des clients de la société. Une fois que les services furent rétablis, les utilisateurs durent restaurer leurs comptes en s’identifiant à l’aide, entre autres, de certaines données personnelles qui avaient peut-être été volées lors de l’attaque. Il convient de noter qu’aucun utilisateur n’a signalé de problème lors de la restauration des comptes.

Outres les données personnelles, ces services conservent également les données des cartes de crédit utilisées comme mode de paiement par les clients. Après l’attaque menée contre les services de Sony, les forums en pleine ébullition ébruitaient des rumeurs selon lesquelles les auteurs des attaques avaient également volé les codes secrets cvv2, indispensables à la finalisation des transactions. Toutefois, Sony a déclaré que les pirates pouvaient avoir obtenu uniquement une partie des informations relatives aux cartes de crédit, sans le code cvv2, à savoir le numéro de la carte et sa durée de validité. Ici aussi, rien n’indique que ces informations ont été utilisées ou vendues à des fins malintentionnées.

A ce jour, rien ne permet de se prononcer sur les auteurs de ces attaques et sur les motifs. Tout ce qui vient d’être expliqué peut nous amener à penser que le but premier des pirates n’était pas de gagner de l’argent, mais bien de nuire à la réputation de la société. A ce propos, l’association anglaise des vendeurs de jeux et de consoles a signalé que le nombre de retours et d’échanges d’appareils Sony après les problèmes rencontrés par PSN avait sensiblement augmenté. Comme vous le savez, quelques heures peuvent suffire à détruire une réputation bâtie après de nombreuses années d’efforts.

Un parent de DroidDream

Des programmes malveillants ont une fois de plus été détectés à la fin du mois de mai sur Android Market, la boutique officielle d’applications sous Android. A l’instar de ce qui s’était produit au trimestre précédent, il s’agissait principalement de version recompactée d’applications légitimes auxquelles des modules de type cheval de Troie avaient été ajoutés. Au total, ce sont 34 paquets malveillants qui ont été identifiés. Le cheval de Troie ajouté au fichier d’installation était une nouvelle modification de notre ancienne connaissance DroidDream (Backdoor.AndroidOS.Rooter). Afin que le cheval de Troie puisse à nouveau se retrouver sur Android Market, les individus malintentionnés ont du légèrement modifier sa fonction. Le code d’exploitation qui permet au cheval de Troie d’obtenir les privilèges d’administrateur et qui facilitait la détection du paquet malveillant ne se trouvait plus quant à lui dans le fichier d’installation, mais il était téléchargé par le cheval de Troie sur le téléphone infecté.

Porte dérobée KunFu

La deuxième menace pour Android OS qui a connu un développement actif au deuxième trimestre est une porte dérobée détecté par les logiciels de Kaspersky Lab sous le nom de Backdoor.AndroidOS.KunFu. Ce cheval de Troie fonctionne de manière traditionnelle : il se connecte à un serveur dont le nom figure dans le corps du programme. Une fois installé, le cheval de Troie utilise le code d’exploitation connu  » Rage against the cage  » pour obtenir les privilèges d’administrateur. Le cheval de Troie récolte les informations relatives à l’appareil infecté et les envoie à l’individu malintentionné. Il reçoit ensuite des instructions du serveur. Ce programme malveillant peut installer, puis exécuter à l’insu de l’utilisateur des paquets d’applications ou accéder à des pages Web. Ce cheval de Troie se diffuse principalement par diverses boutiques d’applications non officielles. Il vise principalement les utilisateurs chinois. Les serveurs de commande sont également hébergés dans ce pays.

Il convient de signaler que l’auteur de ce cheval de Troie est très intéressé par sa survie et emploie toutes les techniques possibles pour éviter la détection par les logiciels antivirus. En trois mois, ce sont plus de 29 (!) modifications de ce programme malveillant qui ont été détectées. De plus, le code d’exploitation utilisé pour obtenir de plus grands privilèges est chiffré à l’aide d’un algorithme DES. Les dernières versions du cheval de Troie ont été fortement remaniées : la bibliothèque contenant la fonctionnalité principale a été traduite du code Java au code Native. L’auteur du programme voulait visiblement compliquer de la sorte l’analyse du code.

Statistiques menaçantes

A en croire nos statistiques, la croissance du nombre de menaces pour les diverses plateformes mobiles prend de la vitesse.

Nombre de signatures ajoutées pour les nouveaux programmes
malveillants sous diverses plateformes mobiles au T1 et T2 2011

Le nombre d’enregistrements qui détectent les programmes malveillants sous J2ME (programme malveillant pour téléphone portable et smartphone d’entrée de gamme) a doublé au cours du trimestre et le nombre de détections de programmes malveillants pour Android OS a presque triplé.

Le mode actuel selon lequel la majorité des chevaux de Troie pour appareil nomade gagne de l’argent repose sur l’envoi de SMS vers des numéros payants. L’argent est soit retiré du compte de l’utilisateur, soit le propriétaire du téléphone s’abonne sans le savoir à un service payant. Dans ce deuxième cas, plus répandu en Asie, l’utilisateur reçoit un SMS en provenance du service qui confirme l’inscription. Afin que le propriétaire du téléphone ne se doute de rien, ces chevaux de Troie suppriment le message de confirmation de l’inscription dès sa réception. Ainsi, les chevaux de Troie peuvent rester très longtemps sur un appareil et offrir à leur auteur un revenu constant.

Il est inquiétant de constater que les programmes malveillants pour les appareils nomades se propagent non seulement via diverses ressources appartenant à des tiers, mais également via les boutiques d’applications officielles. Il est évident qu’Android Market doit revoir sa politique de diffusion des applications. Mais pour l’instant, les propriétaires des boutiques, qu’elles soient officielles ou non, ne se pressent pas pour changer les règles, ce qui favorise les auteurs de virus. Dans ce contexte, le nombre de personnes désireuses de gagner de l’argent de manière illégale sur le compte des utilisateurs lambda va augmenter, avec un effet sur le nombre de menaces et leur qualité. Pour l’utilisateur lambda, la conclusion est simple : si vous n’avez pas encore installé un logiciel antivirus sur votre appareil nomade, faites-le. Dans le cas contraire, il est fort probable que vous ne serez pas l’unique utilisateur de votre téléphone.

Un autre réseau de zombies, baptisé Coreflood, a été démantelé en avril 2011. Sur décision du juge, le ministère de la Justice des Etats-Unis et le FBI ont obtenu accès à cinq serveurs de gestion, ce qui a permis de s’emparer de l’administration du réseau de zombies. Ce réseau de zombies reposait sur le programme malveillant Backdoor.Win32.Afcore et, d’après le FBI, il était composé de 2 000 000 d’ordinateurs au moment de son démantèlement.

Le démantèlement d’un réseau de zombies est une tâche complexe, non seulement du point de vue technique, mais également du point de vue juridique. Après avoir pris les commandes de Coreflood, les autorités judiciaires avaient la possibilité de supprimer d’un seul clic tous les bots sur les ordinateurs infectés. Mais ces mesures auraient pu violer les lois d’autres pays car les ordinateurs infectés par les bots ne se trouvaient pas qu’aux Etats-Unis. Par conséquent, avant de supprimer les bots, il a fallu déterminer l’emplacement des ordinateurs infectés sur la base de l’adresse IP. Ensuite, les autorités judiciaires américaines ont obtenu l’accord des organisations dont les ordinateurs étaient infectés par le bot ainsi qu’une autorisation du tribunal pour la suppression à distance du programme malveillant. Au final, le réseau de zombies Coredlood a perdu une grande partie de ses ressources. Toutefois, comme dans le cas de Rustock, tant que les véritables propriétaires du réseau de zombies ne sont pas arrêtés, il est fort probable qu’ils reprennent leurs activités clandestines et créent un nouveau réseau de zombies.

Le démantèlement de réseaux de zombies décentralisés comme Kido, Hlux et Palevo peut s’avérer encore plus complexe que la fermeture de réseaux de zombies du type Coreflood, Rustock ou Bredolab. La seule manière de fermer de tels réseaux de zombies consiste à lancer une procédure d’interception de l’administration des bots. Dans la pratique, cela implique une modification des programmes malveillants sur les ordinateurs des utilisateurs répartis dans divers pays. A l’heure actuelle, il existe un vide juridique qui empêche les autorités judiciaires et les experts en sécurité informatique d’agir de la sorte.

Il faut espérer que les autorités judiciaires continueront leurs actions pour la fermeture de réseaux de zombies et que les juristes de divers pays pourront, de leur côté, unir leurs efforts afin de créer les conditions indispensables au nettoyage des ordinateurs infectés dans le monde entier.

Le phénomène de l’hacktivisme qui consiste à s’attaquer à un système en particulier ou à le mettre hors service en guise de protestation face aux actions d’un gouvernement ou d’une grande entreprise continue à se développer. Un nouveau groupe, baptisé LulzSec, a fait son apparition au deuxième trimestre. En 50 jours, il a réussi à compromettre plusieurs systèmes et à publier les données personnelles de dizaines de milliers d’utilisateurs.

A l’instar des actions du groupe Anonimous que nous connaissons déjà, les actions de LulzSec ne sont pas motivées par l’argent. Les représentants du groupe eux-mêmes déclarent qu’ils attaquent les serveurs des entreprises uniquement  » pour le fun « . Mais à la différence d’Anonimous, ce nouveau groupe a eu plus souvent recours aux médias sociaux, dont Twitter, pour annoncer ses actions au monde.

LulzSec s’en est pris à de grandes sociétés telles que Sony, EA, AOL, etc. et à des institutions publiques comme le Sénat américain, la CIA, SOCA UK, etc. Les informations obtenues dans le cadre de ces attaques ont été publiées sur le site du groupe LulzSec, puis diffusées via des réseaux torrent. Dans la majorité des cas, il s’agissait des données personnelles des utilisateurs.

Il sera intéressant d’étudier la manière dont ce groupe a réussi à déjouer les systèmes de protection. Il se peut que de nombreuses attaques aient été menées à l’aide de mécanismes déjà connus pour la recherche automatique de vulnérabilités telles que les injections SQL. Une fois que les pirates peuvent accéder aux données telles que des noms d’utilisateur et des mots de passe ou des caches de mots de passe sur un serveur moins protégé, ils peuvent les utiliser pour la suite de l’attaque car même les personnes qui ont des privilèges d’administrateur utilisent souvent le même mot de passe pour différents services.

Au fil du temps, les attaques de LulzSec ont pris une tournure politique. LulzSec s’est allié à Anonimous pour organiser diverses attaques contre des organismes publics et de grandes entreprises afin de publier des données secrètes. Ainsi, à l’issue d’une série d’attaques sous le nom de code  » AntiSec « , les pirates ont pu accéder aux données de la police d’Arizona. La correspondance des officiers de police, des documents confidentiels ainsi que les données personnelles et les mots de passe de certains agents furent diffusés. Les porte-paroles du groupe ont déclaré que cette attaque avait été organisée en représailles face à la décision du sénat de l’Etat d’Arizona de durcir sa politique d’immigration. ( »We are targeting AZDPS specifically because we are against SB1070 and the racial-profiling anti-immigrant police state that is Arizona. »).

Bien entendu, les autorités judiciaires ne pouvaient pas rester indifférentes face à toutes ces attaques. Trois personnes soupçonnées d’avoir participé aux attaques organisées par le groupe Anonimous ont été arrêtées en Espagne et 32 autres en Turquie. Le groupe LulzSec annonçait son démantèlement à la fin du mois de juin. Il se peut que cette décision ait été prise en raison des enquêtes menées dans plusieurs pays afin d’identifier et d’arrêter les membres du groupes.

La divulgation des données personnelles des utilisateurs pratiquées par les hacktivistes est, malheureusement, un geste irresponsable et amoral. De telles actions, même si elles n’ont aucun rapport avec l’argent à première vue, peuvent avoir des conséquences bien réelles pour les utilisateurs, notamment sur le plan financier. Tout d’abord, nombreux sont les utilisateurs qui, malgré les recommandations des experts en sécurité informatique, utilisent le même mot de passe pour plusieurs services, y compris des services de transactions bancaires en ligne. Ensuite, les données publiées peuvent intéresser des criminels du monde réel et dans ce cas-là, qui peut encore parler d’actions menées  » pour le fun  » ? A ce propos, les membres de ces groupes redoublent d’efforts pour préserver leur anonymat. Dès lors, les appels à la divulgation des informations provenant de personnes qui font tout ce qui est en leur pouvoir pour masquer leur propre identité peuvent sembler étranges.

Les attaques contre les institutions gouvernementales vont certainement se poursuivre même après la dissolution officielle du groupe LulzSec. Les administrateurs systèmes des grandes entreprises et des institutions publiques doivent absolument tester leurs systèmes sans quoi, la prochaine vague d’hacktivistes pourra les toucher également.