La lutte contre les pirates change de visage

Outils de découverte des failles, base de données et moteurs de recherche de codes malveillants. La lutte contre le piratage évolue. Des méthodes efficaces, mais cependant à double tranchant. Les firmes de sécurité n’ont plus le monopole de la lutte contre les créateurs de codes malveillants. De plus en plus de groupes ou de chercheurs indépendants entrent dans la bataille et emploient des outils et des méthodes, parfois loin de faire l’unanimité. HD Moore est l’un des précurseurs de ces nouveaux procédés de sécurité informatique. Ce chercheur est principalement connu pour son projet Open Source, Metasploit Framework, un environnement dédié au développement d’exploits et aux tests de sécurité. Moore a d’ailleurs présenté dernièrement la toute dernière mouture, encore en version beta, de son infrastructure de détection des failles, Metasploit 3.0. Parmi les nouveautés, on trouve la possibilité de tester des attaques dites passives, contre des navigateurs ou des systèmes d’IDS/IPS. L’outil doit, de façon globale, permettre d’étudier et copier les techniques employées par les créateurs de malwares. La méthodologie d’automatisation de la détection des failles est également appelée Fuzzing. Le processus consiste à vérifier les entrées possibles pour une application donnée et à forcer des opérations dans le cas où celle-ci réagit de manière anormale. La finalité est ainsi d’inventorier toute action inattendue du logiciel. De multiples outils de fuzzing ou fuzzers, dont beaucoup en Open Source, existent notamment pour détecter des failles dans les navigateurs Web. Certains se spécialisent ainsi dans les tests des failles des objets COM ou des ActiveX. Détection et correction des vulnérabilités HD Moore, toujours, a très récemment mis à la disposition de la communauté son outil de fuzzing sur les ActiveX, AxMan. Il s’agit du logiciel qu’avait utilisé le chercheur à l’occasion de son projet Month of Browser Bugs (MOBB) au cours duquel il avait recensé un très grand nombre de failles affectant les navigateurs Internet. Contrairement à la plupart des fuzzers utilisables uniquement par des experts, en raison de leur complexité, AxMan dispose d’une interface nettement plus accessible. Les composants ActiveX d’une application sont souvent source de failles de sécurité, en ouvrant des portes dérobées exploitables par des pirates via le Web. AxMan, ou un autre logiciel de ce type, pourrait-il être utilisé par des créateurs de virus? Tout à fait, ces derniers y ont d’ailleurs déjà recours depuis plusieurs années. Mais comme le rappelle HD Moore, si la découverte d’une faille peut être relativement rapide, l’écriture d’un exploit prend en revanche beaucoup plus de temps. Ces outils permettent donc avant tout aux chercheurs et aux éditeurs d’intensifier la détection et la correction des vulnérabilités. D’après le chercheur, les brèches ActiveX les plus facilement exploitables seraient en passe d’être toutes résorbées. HD Moore, décidément incontournable ou presque dès qu’il est question de sécurité, avait diffusé le code source de son outil de recherche des codes malicieux sur Internet. Tout comme la société Websense, qui l’avait précédé dans l’élaboration d’un moteur de recherche similaire sans toutefois ouvrir le code, l’expert a exploité l’API de Google. L’application permet de rechercher sur Internet les sites hébergeant, volontairement ou non, des codes malicieux. «C’est un outil précieux pour les chercheurs, mais il peut être dangereux entre les mains d’un auteur de virus», expliquait Websense dans un communiqué. L’initiative de Moore n’avait guère été pour plaire à la firme. La traque des failles Les utilisations malveillantes ne sont bien entendu pas négligeables, mais la publication du code source permet aussi aux membres de la communauté Open Source et aux experts d’accroître les capacités du moteur de recherche et de lutter plus efficacement contre les virus. Là aussi, la méthode s’avère être à double tranchant. Les membres d’un groupe fondé en 1984, au nom pour le moins insolite, Cult of the Dead Cow (cDc), sont allés plus loin encore dans ce qu’ils appellent «offensive computing». Ils ont ainsi conçu un moteur de recherche de malwares permettant aux experts d’analyser 31000 fichiers «hostiles». Le but de leur projet est de contribuer à la connaissance des codes malveillants afin d’accroître leur détection et leur élimination. Le site du cDc permet en outre d’autoanalyser des malwares. 31000 d’entre eux figurent déjà dans cette base de données. Pour accéder au moteur de recherche, il n’est nécessaire que de disposer d’un compte validé par une adresse mail. Les éditeurs comme Symantec, Sophos ou McAfee proposent des archives des vulnérabilités. L’offensive computing va donc bien plus loin, en mettant à disposition directement les codes incriminés. Selon Val Smith, membre du cDc, «le problème progresse et se complique trop rapidement pour les méthodes de défense traditionnelles. Nous devons unir nos efforts et partager nos connaissances afin de protéger nos systèmes. Nous avons beaucoup de respect pour la plupart des éditeurs d’antivirus, mais il est désormais temps de faire plus.» Un avis que partage également Dave Maynor, de SecureWorks. Pour le chercheur en sécurité, ces méthodes de lutte «offrent la possibilité de reprendre à seulement quelques acteurs le pouvoir de rechercher des failles, pour le confier à un plus grand nombre». (Source : JDN)