La semaine dernière, lors de la Black Hat (l'évènement mondial en terme de sécurité informatique, qui a lieu plusieurs fois par an, cette édition s'est déroulée à Barcelone), des chercheurs ont exposé leurs résultats à propos d'une étude concernant les formats d'archivage populaires.
Tomislav Pericin, fondateur du projet de protection de programmes RLPack, a découvert comment y cacher des programmes malins indétectables par la majorité des antivirus. Il assure cependant que la majorité des vendeurs d'antivirus ont récemment mis à jour leurs applications afin de détecter les formats d'archive compromis, comme ".rar" ou ".zip".
Durant sa présentation à la conférence, il est accompagné par Mario Vuksan (chercheur en sécurité indépendant) et Brian Karney (COO d'AccessData).
Les trois experts ont montré comment trafiquer ces formats en y insérant des codes malveillants, par exemple le ver Conflicker, qui s'exécutent ensuite sur l'ordinateur de la victime.
Beaucoup d'entreprises utilisent des solutions de sécurité de type "gateway" qui analysent les pièces jointes. Les pirates se sont aperçus qu'en compressant des fichiers dangereux (packing), ils peuvent parfois tromper les antivirus.
De plus, l'utilisation de plusieurs formats différents ajoute à la confusion et rend encore plus difficile la détection. Au final, c'est dangereux car le propriétaire de l'ordinateur risque de voir sa machine contrôlée à distance par un pirate, si une pièce jointe corrompue est ouverte.
Les vendeurs d'antivirus et ceux d'outils d'archivage ont deux solutions différentes. Ce qui fait que parfois, un utilisateur peut extraire une archive sur sa machine, alors que le logiciel de sécurité n'en est pas capable. Il faudrait donc qu'ils travaillent ensemble.
Les chercheurs ont de plus découvert au moins huit vulnérabilités empêchant la détection d'un exécutable comme Conflicker une fois qu'il est en fonction. Les vendeurs concernés auraient déployé des patchs.
Trente autre vulnérabilités, potentielles cette fois, ont été soulignées dans les produits de sécurité. Pericin et ses collègues attendent qu'elles soient fixées pour voir si les problèmes persistent.
Ils ont aussi montré comment rattacher du contenu caché dans un fichier archivé. La technique s'apparente à la stéganographie, ou à une manière d'écrire des messages secrets connus seulement de l'expéditeur et du destinataire. Au moins deux outils peuvent effectuer cette action sur un fichier ".zip".
Les chercheurs expliquent que le problème avec le stéganographie, c'est qu'elle est détectable seulement si l'on veut bien la chercher. Par exemple, si un terroriste cherche à masquer ses communications ainsi, le gouvernement saura le détecter. Mais dans le cas d'un particulier, si personne ne prête attention aux fichiers qu'il reçoit, l'usage de ce chemin couvert est possible.
Quoi qu'il en soit, les trois hommes ont rendu disponible vendredi un outil gratuit et open-source, NyxEngine, capable de repérer les codes malicieux et les contenus dissimulés dans les formats d'archivage. Il prend en charge les formats ".zip," ".rar," ".gz" et ".cab".
Source : Intervention des trois chercheurs lors de la Black Hat 2010
Soupçonniez-vous de telles vulnérabilités ? Que faire pour utiliser des formats d'archive en toute sécurité ? 
