mardi 21 octobre 2008

Commodity hacking

Depuis la fin de 2007, il arrive fréquemment que des périphériques standard munis d’un système d’exploitation simple ou comportant un espace mémoire (commodities) soient vendus alors qu’ils sont vulnérables ou même infectés. Ces appareils vont des clés ou lecteurs USB aux équipements d’interconnexion, comme les routers classiques ou sans fil (router), en passant par les cadres photos numériques USB.
Ils sont commercialisés comme de banals articles de consommation en série («common off-the-shelf», COTS), généralement destinés à une utilisation immédiate, sans installation de logiciel ou de matériel. Si certains ont été infectés par inadvertance, d’autres sont fabriqués comme vecteurs de diffusion de maliciels. Cette forme de cybercriminalité porte le nom de «commodity hacking». Une distinction s’impose entre les appareils de stockage et les appareils réseau. Ces deux catégories de périphériques ont en commun d’inspirer aux consommateurs la confiance implicite de pouvoir s’en servir immédiatement (plug and play), sans contrôles de sécurité préalables. Une telle confiance en fait un moyen idéal pour la diffusion de maliciels.

Appareils de stockage

Les appareils usuels de stockage de données sont définis de manière très large. En font partie, d’une part, les clés USB ou les disques durs externes spécialement achetés pour la sauvegarde de données supplémentaires. D’autre part, cette catégorie comprend les cadres photos numériques, les téléphones, les lecteurs médias et beaucoup d’autres appareils dotés d’une puce de mémoire flash. De nombreux ordinateurs sont configurés pour ouvrir automatiquement les répertoires ou les fichiers lors du raccordement d’un tel périphérique USB. Or ces actions définies dans autorun.inf peuvent également servir à installer des logiciels malveillants.
Appareils réseau
la seconde catégorie de périphériques comprend les appareils reliés au réseau. Il peut s’agir d’appareils internes au réseau, comme les scanners et les imprimantes, ou alors de passerelles (gateway) et de routers classiques ou sans fil. Alors qu’un appareil interne est difficilement attaquable à partir d’Internet, les passerelles usuelles reliant le réseau local à Internet sont davantage exposées. Leur maintenance est assurée, dans les moyennes ou grandes entreprises, par des spécialistes des pare-feu et des routers. En revanche, les utilisateurs non professionnels se chargent généralement eux-mêmes de l’installation et de l’entretien de tels appareils. Or une fois installés, il est courant de les laisser fonctionner en permanence, sans contrôle. Cette accessibilité les rend intéressants pour les pirates. Le cas échéant, une attaque fructueuse permettra d’accéder à toute la bande passante dont ils disposent. Les consommateurs devraient garder à l’esprit que ces appareils possèdent généralement des systèmes d’exploitation (systèmes opérationnels) préinstallés. Ils sont produits en série avec des réglages standard, comme les droits d’administrateur que les pirates connaissent bien. La vulnérabilité des mots de passe par défaut est un problème connu de longue date.
Symantec a constaté en début d’année les premiers cas de «drive-by-pharming». Dans ce nouveau type d’attaque de maliciels, pour peu qu’un internaute ait visualisé une page Web incluant un code malveillant, son router domestique est manipulé pour le rediriger vers un faux site quand il introduit un lien URL donné. Cette méthode d’attaque épargne même au pirate le souci de deviner les mots de passe d’administrateur.
Tout porte à croire que les criminels s’en prendront toujours davantage aux appareils usuels dans le commerce. Des indices montrent qu’à côté des pourriels infectés et des infections par drive-by download, ils constituent un troisième moyen attrayant pour répandre des maliciels. Les consommateurs ne pourront donc plus se fier entièrement au fabricant. Lors de chaque achat, il faudra «préparer» l’appareil avant de s’en servir, en le soumettant par exemple à un contrôle antivirus ou en modifiant ses paramètres par défaut (mots de passe, etc.).
source: rapport MELANI 1er semestre 2008

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?