Open source, épée à double tranchant ?
Le code de FileZilla exploité pour créer une version malveillante quasi identique
Le 2014-01-30 17:44:30, par Francis Walter, Expert éminent sénior
Open source, épée à double tranchant ?
Le code de FileZilla exploité pour créer une version malveillante quasi identique
Les développeurs d’Avast ont récemment découvert un programme malveillant dans le client FTP FileZilla. L’étude effectuée sur le malware a été publiée dans un billet sur le blog de l’éditeur d’antivirus.
En effet, il existe des versions du client FTP FileZilla vérolées. FileZilla est un programme open source. Son code source a été modifié par des développeurs malintentionnés en vue de voler les informations d’identification FTP et SFTP des utilisateurs. Les internautes utilisant des serveurs FTP pour leurs téléchargements font face à de grands risques d’infection. « Le client FTP malveillant installé ressemble à la version officielle et il est entièrement fonctionnel ! Vous ne pouvez pas détecter de comportement suspect, y compris concernant les entrées dans le registre système, de la communication ou de changements au niveau de l’interface », peut-on lire dans le billet. Les versions du client FileZilla concernées sont les versions 3.7.3 et 3.5.3. Elles possèdent une interface graphique très semblable à celle officielle. Néanmoins, de fausses informations se sont glissées au niveau de la partie « À propos de FileZilla », concernant la version du SGBD SQLite utilisée.
D’autres dissemblances ont été remarquées au niveau de la taille des versions vérolées qui pèsent seulement 6,8 Mo et la présence de deux nouveaux fichiers dll : ibgcc_s_dw2-1.dll et libstdc+ + 6.dll. « Toute tentative de mise à jour de l’application échoue », explique Avast. Cette version malveillante a été compilée en Septembre 2012.
Le programme est utilisé sur de faux sites de téléchargements avec de fausses informations et est présenté comme étant la version originale. Les utilisateurs peuvent ne pas se rendre compte du téléchargement à l’installation, car le malware procède de la même manière que l’original. La seule différence pouvant être remarquée lors de l’installation se trouve au niveau de la version du logiciel NullSoft utilisée.
Cependant, les développeurs d’Avast ont réussi à obtenir plus d’informations sur le processus de fonctionnement du faux programme : « Nous avons trouvé les détails de connexion des pirates après une analyse approfondie. Les auteurs de malwares abusent souvent du code source ouvert afin d’y ajouter leurs propres fonctions détournées ». L’objectif du programme malveillant serait d’envoyer les informations d’identification dérobées à un serveur se situant en Allemagne. Ils « ont utilisé une méthode très puissante et discrète » permettant au programme de contourner le pare-feu. Ils utilisent des sites web du nom de domaine russe Naunet qui ne fournit pas les informations concernant le client.
Suite aux annonces de la société Avast à propos du malware, FileZilla a invité les utilisateurs à utiliser son site officiel ou celui de SourceForge pour télécharger les versions officielles du client FTP. Un conseil approuvé par les développeurs d’Avast qui demandent aux utilisateurs du client FTP FileZilla d’effectuer leurs téléchargements sur des sites de confiance.
Source : Blog Avast, FileZilla
Et vous ?
Le code de FileZilla exploité pour créer une version malveillante quasi identique
Les développeurs d’Avast ont récemment découvert un programme malveillant dans le client FTP FileZilla. L’étude effectuée sur le malware a été publiée dans un billet sur le blog de l’éditeur d’antivirus.
En effet, il existe des versions du client FTP FileZilla vérolées. FileZilla est un programme open source. Son code source a été modifié par des développeurs malintentionnés en vue de voler les informations d’identification FTP et SFTP des utilisateurs. Les internautes utilisant des serveurs FTP pour leurs téléchargements font face à de grands risques d’infection. « Le client FTP malveillant installé ressemble à la version officielle et il est entièrement fonctionnel ! Vous ne pouvez pas détecter de comportement suspect, y compris concernant les entrées dans le registre système, de la communication ou de changements au niveau de l’interface », peut-on lire dans le billet. Les versions du client FileZilla concernées sont les versions 3.7.3 et 3.5.3. Elles possèdent une interface graphique très semblable à celle officielle. Néanmoins, de fausses informations se sont glissées au niveau de la partie « À propos de FileZilla », concernant la version du SGBD SQLite utilisée.
D’autres dissemblances ont été remarquées au niveau de la taille des versions vérolées qui pèsent seulement 6,8 Mo et la présence de deux nouveaux fichiers dll : ibgcc_s_dw2-1.dll et libstdc+ + 6.dll. « Toute tentative de mise à jour de l’application échoue », explique Avast. Cette version malveillante a été compilée en Septembre 2012.
Le programme est utilisé sur de faux sites de téléchargements avec de fausses informations et est présenté comme étant la version originale. Les utilisateurs peuvent ne pas se rendre compte du téléchargement à l’installation, car le malware procède de la même manière que l’original. La seule différence pouvant être remarquée lors de l’installation se trouve au niveau de la version du logiciel NullSoft utilisée.
Cependant, les développeurs d’Avast ont réussi à obtenir plus d’informations sur le processus de fonctionnement du faux programme : « Nous avons trouvé les détails de connexion des pirates après une analyse approfondie. Les auteurs de malwares abusent souvent du code source ouvert afin d’y ajouter leurs propres fonctions détournées ». L’objectif du programme malveillant serait d’envoyer les informations d’identification dérobées à un serveur se situant en Allemagne. Ils « ont utilisé une méthode très puissante et discrète » permettant au programme de contourner le pare-feu. Ils utilisent des sites web du nom de domaine russe Naunet qui ne fournit pas les informations concernant le client.
Suite aux annonces de la société Avast à propos du malware, FileZilla a invité les utilisateurs à utiliser son site officiel ou celui de SourceForge pour télécharger les versions officielles du client FTP. Un conseil approuvé par les développeurs d’Avast qui demandent aux utilisateurs du client FTP FileZilla d’effectuer leurs téléchargements sur des sites de confiance.
Source : Blog Avast, FileZilla
Et vous ?
-
UtherExpert éminent séniorC'est tout sauf une nouvelle menace et l'open-source n'est absolument pas un risque particulier dans ce cas là : ça fait plus de 30 ans que les virus savent transformer automatiquement n'importe quel exécutable en exécutable malveillant et sans avoir besoin du code source.le 31/01/2014 à 12:01
-
FirwenMembre expérimentéJe rajouterai qu'il n'y a même pas besoin de toucher au binaire.C'est tout sauf une nouvelle menace et l'open-source n'est absolument pas un risque particulier dans ce cas là : ça fait plus de 30 ans que les virus savent transformer automatiquement n'importe quel exécutable en exécutable malveillant et sans avoir besoin du code source.
La méthode de repackager le logiciel dans un "installShield" maison qui vous installera 20 spywares et cochonneries du genre est vieille comme Internet.
Trés en vogue sur la plupart des sites de "Téléchargements" commerciaux.
Mais concernant la news, il semblerait que dvp.com depuis longtemps déjà préfèrent les news à polémiques digne d'un tabloïd bas de gamme au contenu riche et aux analyses interessantes.le 31/01/2014 à 13:02 -
PilruMembre éclairéLe titre de l'article me semble tendancieux. Car le problème n'est pas que Filezilla soit open-source, mais que certains utilisateurs n'aient pas téléchargé le soft depuis le site officiel.
Le problème c'est l'imprudence des utilisateurs.le 31/01/2014 à 12:11 -
Traroth2Membre émériteQuelle raison aurait-on de ne pas récupérer FileZilla sur le site officiel, déjà ?le 31/01/2014 à 10:25
-
Atem18Membre avertiJ'en pense qu'il n'y a pas besoin du code-source pour coder un clone d'un logiciel et le rendre malveillant.Qu’en pensez-vous ?
De plus, avec le code source, il est possible de vérifier si des fonctions malveillantes existent. Avec des logiciels propriétaires, ce n'est pas possible.
Et sinon, si les personnes utilisaient les sites officiels, app store ou dépôts, ce genre de problème n'existeraient pas.le 31/01/2014 à 10:27 -
ShutyMembre éprouvéOkay, je vais de suite relire toutes les sources de la suite office...J'en pense qu'il n'y a pas besoin du code-source pour coder un clone d'un logiciel et le rendre malveillant.
De plus, avec le code source, il est possible de vérifier si des fonctions malveillantes existent. Avec des logiciels propriétaires, ce n'est pas possible.
Et sinon, si les personnes utilisaient les sites officiels, app store ou dépôts, ce genre de problème n'existeraient pas.Sans déconner, personne (les particuliers) ne relisent les sources code des gros projets comme celui-ci.
DAns le cadre de téléchargement de softs open source, il faut absolument le télécharger sur le site officiel et si possible faire un check md5 du fichier. C'est d'ailleurs pour cela que les hash sont mis à disposition.le 31/01/2014 à 10:32 -
Atem18Membre avertiC'est ce que le titre de cet article semble sous-entendre. Mais bon, ce n'est pas la première fois que Developpez.net fait des articles ayant pour vocation de discréditer les logiciels libres.
Ceci étant dit, il existe par exemple, un logiciel chinois nommé Kingsoft Office, qui ressemble comme deux goûtes d'eaux à Microsoft Office. Ces derniers sont tous les deux propriétaires, ce qui n'a pas empêché la copie de l'interface de l'un par l'autre.le 31/01/2014 à 11:48 -
ArnardMembre émériteLe md5 sera testé à la rigueur par un dev ou un connaisseur, qui déjà passera par le site officiel. Le particulier va taper download Filezilla, et ce sera au bonheur la chance de tomber sur un lien valide (parfois on se retrouve avec des url softonic en tête de page).le 31/01/2014 à 10:46
-
laerneMembre éprouvéCasse-toi pas la tête, la partie intéressante du message de Atem18 est là*:
C'est vrai que je comprends pas ce que l'open-source vient faire là, à par rendre plus facile à cloner le logiciel. L'argument c'est que rendre le logiciel plus facile à cloner est une faille de sécurité, c'est ça ?le 31/01/2014 à 11:01 -
JaroddMembre expérimentéOui donc c'est plutôt positif pour l'open source non ? Un programme dont les sources ne sont pas publiques ne peut donc pas contenir de code malveillant ? Et s'il en a, on le découvre probablement plus facilement que sur un programme open source ?
Concernant le conseil d'aller sur Sourceforge, il n'y a pas eu une polémique il y a quelques semaines, car la version d'un programme publié sur SF contenait un spyware (ou une barre à la con qui s'installait avec) ? Mes souvenirs sont flous...le 31/01/2014 à 12:14