Rechercher sur ce blogue

mercredi 6 novembre 2013

Les antivirus ferment-ils les yeux sur les malwares des Etats ?

Sécurité : Dans une lettre ouverte, une coalition de défenseurs de la vie privée demande aux éditeurs d’antivirus de faire la transparence sur leurs pratiques à l’égard des programmes malveillants développés par les Etats.

Le scandale Prism a révélé la participation des géants du Web à la collecte de données par les services 
de renseignement américains. Mais d’autres acteurs technologiques pourraient-ils eux aussi collaborer avec des Etats, trompant pour cela la confiance de leurs utilisateurs ?
C’est la question que se pose, au sujet des éditeurs d’antivirus, une coalition composée de défenseurs de la vie privée, parmi lesquels le spécialiste de la cryptographie Bruce Schneier. Dansune lettre ouverte, ces derniers demandent ainsi aux fournisseurs de ces solutions de sécurité de faire la transparence sur leurs pratiques passées et présentes.
Un aveu qui rimerait avec suicide commercial
Selon les membres de cette coalition « plusieurs gouvernements prévoient d’accorder ou ont accordé par la loi aux forces de police le droit de s’introduire à distance dans des ordinateurs, tant étrangers que nationaux, ce afin de procéder à une surveillance dans le cadre d’enquête. »
Or pour cela, les forces de l’ordre devront exploiter des vulnérabilités logicielles et installer des programmes malveillants. Ces partisans de la vie privée s’interrogent donc sur le rôle que pourraient jouer les éditeurs d’antivirus dans cette surveillance.
La lettre ouverte demande ainsi aux éditeurs de préciser s'ils ont déjà détecté l'usage de tels logiciels par des gouvernements, s'ils ont déjà été sollicités afin de prévenir toute détection, et si oui quelle a été leur réponse.
Déjà un précédent : Magic Lantern  
En clair, des antivirus ont-ils déjà volontairement fermé les yeux, à la demande ou sous la pression d’Etats. Il est peu probable que des éditeurs américains, compte tenu de l’interdictionqui leur est faite, révèlent de telles pratiques dans le domaine du renseignement.
En revanche, ils pourraient le faire, s’ils le décidaient, en ce qui concerne les écoutes réalisées par les services de police. Pas sûr néanmoins, qu’en termes d’image, ils trouvent un intérêt manifeste à une telle transparence.
La question de la collaboration ou non des antivirus avec des gouvernements ne date pas de l’affaire Prism. D’ailleurs, des fournisseurs d’antivirus américains auraient déjà apporté un tel appui logistique au FBI au sujet du cheval de Troie Magic Lantern. Le nom de McAfee était ainsi cité.
Mais les Etats ont-ils nécessairement l’obligation de travailler de concert avec les antivirus pour assurer le succès de leurs opérations ? Pas forcément. Des exemples concrets comme Stuxnet et Flame, mais aussi des travaux de chercheurs en sécurité comme ceux l'ESEIA en France, démontrent qu’il est tout à fait possible d’échapper, souvent facilement, à toute détection par les antivirus et sans coup de pouce de leur part.


mardi 5 novembre 2013

Malware: badBIOS, le malware dont l'existence même fait polémique !

C'est le ramdam du jour : un malware, appelé badBIOS, serait capable d'effectuer des choses que certains ne peuvent même pas imaginer, comme infecter les firmwares des ordinateurs (BIOS, EFI, UEFI), les firmwares des clés USB et même se propager sans que la machine soit connectée.

Un malware « omnipotent »

Selon Dragos Ruiu, un chercheur en sécurité réputé, badBIOS a plusieurs fonctions. Le malware aurait infecté son MacBook Air il y a 3 ans, et empêcherait la machine de démarrer d'un CD. Il attaquerait plusieurs systèmes d'exploitation (Mac OS X, OpenBSD, des distributions Linux, Windows) et communiquerait en utilisant du trafic réseau en IPv6 même si la technologie est désactivée.
Plus étonnant, le malware arriverait à s'implanter dans le firmware des ordinateurs, que ce soit un BIOS, un EFI (comme chez Apple) ou un UEFI, comme sur les PC récents. Et un des vecteurs de transmission serait des clés USB, badBIOS serait capable de modifier le firmware des clés USB pour se répliquer. L'autre technique serait encore plus étonnante : le malware serait capable de communiquer en utilisant la carte son de l'ordinateur, en envoyant des données à hautes fréquences qui serait récupérées par le micro d'un autre ordinateur.
Le principal problème, qui fait douter beaucoup d'experts, c'est qu'il n'y a pas de preuves tangibles de l'existence du programme. Il n'y a pas de dump d'une ROM avec un BIOS infecté, le malware serait capable de supprimer les données compromettantes que l'on essaye de graver, etc.
Ce qui est intéressant dans les analyses, c'est que beaucoup considèrent que ce que présente Dragos Ruiu ne peut pas exister en l'état, mais que toutes les techniques présentées existent bien. Expliquons.

Des techniques possibles

Infecter le firmware de plusieurs ordinateurs différents est une gageure : il existe différents types de BIOS, différents types d'UEFI et même quelques firmwares (comme chez Apple) qui sont propriétaires. Qu'un logiciel soit capable de flasher un firmware et de s'intégrer dans le code n'est pas une nouveauté : des firmwares modifiés existent, que ce soit pour la carte mère, une carte Ethernet ou même un contrôleur Bluetooth. Qu'un logiciel soit capable de flasher différents modèles de firmware sans se faire détecter et sans planter une partie significative des machines (ne serait-ce que parce que les firmwares évoluent) est considéré comme irréalisable. Une des raisons est que le fonctionnement des différents firmwares varie énormément, mais la principale est plus pragmatique : les puces qui stockent le firmware ont une capacité limitée. Dans le meilleur des cas, la puce fait 8 Mo, et une partie est occupée par le firmware. Qui plus est, il est assez simple de dumper le contenu d'une ROM et de l'analyser, ce qui n'a pas été effectué ici.
Pour les clés USB, les mêmes limites se posent : s'il est techniquement possible de modifier le firmware d'une clé USB (ou même d'un lecteur optique externe), il y a énormément de modèles de contrôleurs et la puce contenant le firmware ne permet pas de stocker un logiciel aussi perfectionné. Et si le malware s'installait sur une partie de la mémoire flash, il serait détectable d'une façon ou d'une autre.
De même, si les technologies qui permettent de communiquer en utilisant les ondes sonores sont courantes — c'est le principe des modems, et des appareils aussi anodins qu'un Furby communiquent de cette façon —, ce que le chercheur présente est assez inhabituel. La première raison, c'est que les firmwares n'ont généralement pas accès aux contrôleurs audio directement : un BIOS ne peut tout simplement pas utiliser votre micro ou vos haut-parleurs directement. Dans certains cas (rares), il est possible d'émettre un son au démarrage (le fameux bong des Mac) mais il faut que les données soient dans la ROM de la machine, ce qui les rend détectables. L'autre raison, pragmatique, c'est que les haut-parleurs et microphones des ordinateurs sont tout simplement souvent incapables de travailler dans des fréquences inaudibles. Si certains modèles sont capables d'atteindre 24 kHz, les micros sont souvent limités à 14 kHz. Plus simplement, dans la majorité des cas, il faut émettre un signal audible pour que ça fonctionne, et les débits restent très faibles.

Un malware ou un accès de paranoïa ?

Le vrai problème est donc là : tout est techniquement possible, mais il y a des limites qui semblent insurmontables pour certains. De plus, il n'y a pour le moment pas de preuves concrètes de l'existence même de ce malware, alors qu'il serait possible d'en fournir assez simplement. On peut donc supposer, comme certains, que badBIOS n'existe tout simplement pas, ou — comme d'autres — émettre des doutes. Ou tout simplement attendre que la personne qui a découvert badBIOS fournisse des preuves tangibles de ce qu'il avance. En attendant, on peut considérer cette annonce du FUD (peur, incertitude, doute) tout en gardant à l'esprit que les techniques que badBIOS utiliserait existent toutes.
P.S. les fabricants se font t'il hacker leurs propres bios par des ingénieurs corrompus,ou bien par des intermédiaires douteux,qui font du reverse-ingenering pour donner en pâture au scrip-kiddies?