Le nom charmant d’Aurora fait du bruit en ce moment. Ne cherchez pas la poésie, il s’agirait d’une attaque montée par nos amis extrême-orientaux[1] sur un certain nombre de grosses boîtes informatiques, qui parait sérieusement invraisemblable quand on a tapé un petit peu au clavier.
L’objectif (mais qui faut-il croire?) aurait été de récupérer des mails de dissidents au régime populaire. Mon instinct et mon esprit critique me laissent dubitatif face à cette motivation pourrie - si on veut lire les mails de quelqu’un, il y a bien plus simple que d’attaquer virtuellement une vingtaine de compagnies américaines. D’autres diraient que c’est du code source de Google qui a été visé. J’ai également des raisons d’être prudent sur ce point. Bref. Les informations qu’on a sont suffisamment lapidaires et peu fournies pour qu’on puisse quand même les commenter.
J’ai moi-même la fierté d’annoncer que seulement 15% des visiteurs de mon blog utilisent Internet Explorer, alors que 56% des visites sont faites depuis un navigateur de la fondation Mozilla. Je sais qu’il n’y a pas lieu de l’être, puisque je ne suis pour rien - ou alors, pour peu - dans ces statistiques. Si tous les visiteurs travaillaient pour moi, je tâcherais de les encourager à utiliser un système non pas unique, mais du moins sécurisé et conforme aux différentes normes internationales en terme de logiciel internet. Internet Explorer n’en est pas un. Lors de sa création, Internet Explorer était absolument révolutionnaire en terme de gestion de plugins ("greffons"), de contenu, de communications avec le web. Le recul que nous avons aujourd’hui nous permet de dire que, si l’intégration de Flash et du Media Player dans le navigateur était une bonne chose pour l’utilisateur, la manière dont ceci a été fait était en fait catastrophique.
En effet, depuis la création d’IE, les patchs se multiplient pour répondre aux vulnérabilités, trous de sécurité ambiants, qui étaient découverts par des experts en sécurité - comprendre, des hackers[2], toute sensibilité confondue.
Bien sur, différentes versions d’IE sont sorties, toutes plus sécurisées les unes que les autres. Et Microsoft nous a promis que son cycle de programmation était maintenant certifié. Oui, mais, tout le monde sait maintenant que Microsoft fera tout pour être "backward compatible" (compatible de manière ascendante et descendante...), c’est à dire que ce qui marcherait sur IE 6 devrait également marcher sur IE 7,8 et 9, puisqu’on ne veut pas qu’une page web ne puisse pas être lue. Et plouf! ...
L’attaque a l’air assez rigolote. Accrochez vous, on nage dans du surréaliste. Les "méchants" se coordonnent pour envoyer des mails à des personnes judicieusement choisies, en se faisant passer pour une personne de confiance (attaque classique de personnification), et en envoyant un lien vers un site web - ou un document PDF? les sources divergent[3] - que le receveur se presse de cliquer. Le fait que le destinataire soit choisi rend l’attaque faisable, en envoyant un lien plausible. Et là, paf! le gentil utilisateur, qui utilise Internet Explorer 6, subit la vulnérabilité de plein fouet, et son ordinateur est alors à la disposition des méchants attaquants.
Là, ça devient rigolo. On apprend qu’avec un accès à un ordinateur situé chez Google, les méchants ont tout d’abord volé de la "propriété intellectuelle" - comprendre des documents stratégiques, ou du code source[4]. Après ça, comme ils avaient un peu de temps, ils ont essayé de lire les mails d’un gentil dissident chinois. Mais ils n’ont pas réussi, parce que les gentils de Google ont fait un système de protection super sécurisé. Ils ont juste pu voir la date de création du compte.
Après quoi, il est rentré chez lui manger les restes de dinde au marron de Noël.
Tout ceci est une jolie histoire, où les méchants gagnent, et où les corbeaux, honteux et confus, jurent bien trop tard qu’on ne les y prendrait plus.
Maintenant, j’aimerais savoir :
- pourquoi est-ce que les personnes visées utilisent Windows ?
- pourquoi est-ce que les personnes visées utilisent Internet Explorer ?
- pourquoi est-ce que les personnes visées utilisent Internet Explorer 6 ?
- pourquoi est-ce qu’une personne ayant accès au code source utiliserait un système
- pourquoi avoir monté une attaque un jour de fin décembre, afin de taper pendant que les honnêtes gens digèrent leur buche au chocolat, tout en espérant que les destinataires recevraient le mail et cliqueraient sur le lien?
- pourquoi est-ce que c’est difficile d’avoir accès aux mails d’un autre compte depuis les serveurs google, alors qu’il suffit de voler un cookie?
- pourquoi est-ce que les méchants s’attaqueraient également à d’autres grandes boîtes plus calées (???) en sécurité comme Symantec?
- et pourquoi est-ce qu’ils réussiraient de la même manière?
Si, vous aussi, vous avez le sentiment qu’on se fout ouvertement de vous, eh ben... bienvenue au club :-). Et privilégiez les logiciels open-source reconnus !
Références:
- Alerte du CERTa (recommande d’utiliser un navigateur alternatif, dans un mode d’execution sécurisé)
- Référence Microsoft (détaille les systèmes impactés)
- Message dégoûté de Google (ou comment quitter la scène le menton haut).
- Analyse de McAfee (tiens, ils n’ont pas été touchés, eux?)
- Tutorial Metasploit (reproduire l’exploit pour le comprendre et s’en prévenir)
Notes
[1] Le conditionnel porte ici sur le fait qu’il s’agisse de pirates chinois. Une fois de plus, l’actualité arrange qui ça peut... mais des clients US faisaient également partie de l’attaque.
[2] Ce terme n’est pas du tout péjoratif, bien au contraire. Un hacker n’est pas un pirate, c’est une personne qui gère la programmation, voit les tours et les détours possibles pour arriver à une même tâche, et, en terme de sécurité, est capable de contourner les barrières mises par d’autres.
[3] Il est également connu qu’Adobe n’est pas exempté de vulnérabilités
[4] en fait, les documents stratégiques sont intéressant pour des concurrents, mais la vraie richesse de la boîte, c’est son code source
