Pour comprendre la raison pour laquelle il est devenu si difficile de protéger des ordinateurs, même face à des attaquants « moyens », il faut s’intéresser au cas de la faille répertoriée CVE-2017-0199. La faille en elle-même n’est pas exceptionnellement dangereuse, même si, selon FireEyes, elle permettait à un pirate de télécharger et d'exécuter un script Visual Basic contenant des commandes PowerShell lorsqu'un utilisateur ouvre un document Microsoft Office RTF contenant un exploit incorporé.
Lors de son traditionnel Patch Tuesday d’avril, qui a eu lieu comme à l’accoutumée le second mardi du mois, Microsoft a corrigé cette faille dans Word.
Cependant, Reuters souligne qu’il s’est écoulé 9 mois entre la découverte de la faille et sa résolution. Un temps que les pirates ont mis à profit pour lancer des attaques en s’infiltrant dans les dispositifs par cette vulnérabilité. « Le 25 janvier 2017, des documents servant d'appât faisant référence à un décret du ministère de la Défense de Russie et un manuel prétendument publié dans la "République populaire de Donetsk" ont exploité le CVE-2017-0199 pour fournir des charges utiles FINSPY. Bien que nous n'ayons pas identifié les objectifs, FINSPY est vendu par Gamma Group à plusieurs clients de l'État-nation, et nous évaluons avec une confiance modérée qu'il était utilisé avec la faille zero-day à des fins de cyberespionnage », a noté FireEye.
Un groupe de pirates s’en est également servi pour renforcer leurs tentatives de voler des millions de comptes en ligne dans des banques australiennes ainsi que celles d’autres pays.
Lorsque les chercheurs en sécurité du projet Google Zero découvrent une faille, ils donnent un délai qu’ils estiment « raisonnable » aux éditeurs pour qu’ils puissent la corriger (généralement 90 jours). Faute de quoi, ils la publient.
Tout a commencé en juillet dernier, lorsque Ryan Hanson, un diplômé de l'Université Idaho et consultant chez Optiv Inc à Boise, a trouvé une faiblesse dans la façon dont Microsoft Word traite les documents à partir d'un autre format. Ladite faiblesse lui a permis d'insérer un lien vers un programme malveillant qui prendrait le contrôle d'un ordinateur.
Reuters assure que Microsoft a confirmé cette série d’évènements.
Combinaison de failles
Hanson a passé quelques mois à combiner sa découverte avec d'autres failles pour voir si elle pouvait devenir plus dangereuse, comme il l’a déclaré sur Twitter. Puis, en octobre, il l’a déclarée à Microsoft. La société récompense souvent financièrement les chercheurs en sécurité qui identifient des failles dans la sécurité.
L’entreprise a reconnu qu’elle aurait pu résoudre le problème peu de temps après, mais que cela n’était pas si simple. En effet, un changement rapide dans les paramètres de Word par les clients aurait fait l’affaire, mais si Microsoft informait ses clients du bogue et des modifications recommandées, cela donnerait également aux pirates des indices sur la façon de contourner cette mesure.
Alternativement, Microsoft aurait pu créer un correctif qui serait diffusé dans le cadre de ses mises à jour mensuelles de logiciels. Mais la société n'a pas corrigé le défaut immédiatement et a opté pour approfondir son analyse : elle n'était pas consciente que quelqu'un utilisait la méthode de Hanson et voulait être sûre d'avoir une solution complète.
« Nous avons effectué une enquête pour identifier d'autres méthodes potentiellement similaires et pour nous assurer que notre solution corrective résout [sic] plus que le problème signalé », a déclaré Microsoft par l'intermédiaire d'un porte-parole qui a répondu aux questions par courrier électronique sous réserve de l'anonymat. « Il s'agissait d'une enquête complexe ».
Un enchaînement qui vient montrer que les progrès de l’industrie logicielle dans son ensemble ne suivent pas forcément le rythme des attaques à une époque où les enjeux augmentent de façon spectaculaire.
Comment des pirates ont-ils fait pour reproduire le bogue découvert par Hanson ? Nous n’avons pas la réponse. Toujours est-il qu’en janvier, alors que Microsoft travaillait sur une solution, les attaques ont commencé.
Les attaques initiales ont été soigneusement limitées à un petit nombre de cibles et sont donc passées sous le radar. Mais en mars, les chercheurs en sécurité de FireEye ont remarqué qu'un logiciel de piratage financier notoire connu sous le nom de Latenbot était distribué à l'aide du même bogue Word. En creusant plus loin, ils ont trouvé des attaques antérieures et ont averti Microsoft. La société, qui a confirmé avoir été mise en garde contre les attaques actives en mars, a lancé un correctif pour le Patch Tuesday du mois d’avril.
Une communication qui coûte cher
Un autre cabinet de sécurité, McAfee, a vu certaines attaques se servir de cette faille dans Microsoft Word le 6 avril. Après ce qu'il a décrit comme étant une « recherche rapide, mais approfondie », le cabinet a établi que le défaut n'avait pas été corrigé, a contacté Microsoft, puis a publié sa découverte le 7 avril.
La publication du blog contenait suffisamment de détails pour que d'autres pirates puissent reproduire les attaques. Raison pour laquelle d’autres professionnels de la sécurité des logiciels ont exprimé leur mécontentement du fait que McAfee n'a pas attendu que Microsoft corrige la vulnérabilité, comme Optiv et FireEye l’ont fait.
En guise d’excuse, le vice-président de McAfee, Vincent Weafer, a déclaré qu’il s’agissait là « d’un problème dans nos communications avec notre partenaire Microsoft », sans élaborer.
Néanmoins le mal était déjà fait. Le 9 avril, un programme visant à exploiter cette faille a été mis en vente sur le darknet, comme l’a expliqué John Hultquist, chercheur de FireEye. Le lendemain, les attaques s’appuyant sur cet outil étaient lancées.
Source : Reuters, FireEye
Êtes-vous pour ou contre le fait de divulguer des failles de sécurité
Avant que les éditeurs n'aient eu le temps de les corriger ?
Êtes-vous pour ou contre le fait de divulguer des failles de sécurité
Avant que les éditeurs n'aient eu le temps de les corriger ?
Le , par Stéphane le calme
63 % | ||
23 % | ||
10 % | ||
3 % |
Une erreur dans cette actualité ? Signalez-nous-la !