Les articles de MISC N°38

Article mis en avant

Les changements climatiques et les logiciels malicieux

Pour s’adapter aux changements d’environnement qui s’accomplissent toujours plus rapidement, les logiciels malicieux sont en perpétuelle évolution. Cette progression est observable en étudiant Storm. Ce logiciel malicieux est un de ceux qui a le plus attiré l'attention des médias ces derniers mois. Les auteurs de Storm investissent beaucoup d'efforts pour y implémenter des technologies novatrices afin de construire un puissant réseau de systèmes infectés tout en évitant d’être détecté par les outils de sécurité. Cet article donne un historique de cette menace, un aperçu des ses spécificités techniques et de ses mécanismes de communication.
La réputation de l’école de virologie informatique des pays de l’est et en particulier de la Russie n’est plus à faire. La plupart des meilleurs produits antivirus sont originaires de ces pays, plaçant ainsi l’Europe en position de leader incontestable dans ce domaine de la sécurité. Si certains de ces produits sont désormais bien connus du grand public, en partie grâce à leur qualité intrinsèque, mais surtout du fait d’un marketing de plus en plus agressif, d’autres moins connus se développent et leur éditeur mise essentiellement sur la recherche et le développement pour produire des logiciels antivirus de tout premier ordre. C’est du moins ce que ces nouveaux « tigres » de la virologie mettent en avant. C’est notamment le cas de l’antivirus Dr Web de la société russe Doctor Web, conçu par Igor Danilov, logiciel antivirus adopté par le ministère de la Défense russe, ainsi que par celui de l’Intérieur. Après quelques recherches, il est très vite apparu que ce produit commence à se tailler de belles parts de marché en Europe et notamment dans le monde gouvernemental et industriel, et ce, dans la plus grande discrétion. Une telle « carte de visite » ne pouvait que titiller notre curiosité et nous inciter à évaluer, sans aucune limite de moyens et d’approches, un antivirus aussi discret. Cet article présente les résultats détaillés et reproductibles, pour la plupart, de l’évaluation technique de cet antivirus, menée en toute indépendance. Au final, force est de constater que si le produit présente globalement certaines des faiblesses de ses concurrents et a pu ainsi être contourné, cela n’a pas été aussi facile que pour certains autres produits pourtant beaucoup plus répandus, et, globalement, ce logiciel est d’une excellente facture, justifiant sa progression discrète, mais certaine, sur le marché des logiciels antivirus.
S'il est une critique que l'on entend souvent à l'égard de Debian, il s’agit bien de celle des modifications réalisées lors du paquetage de logiciels par Debian qui n'ont pas été validés ou incluses en amont par les auteurs du logiciel. Il y a débat sur le sujet, mais les détracteurs disposent maintenant d'un exemple de poids : la faille publiée le 13 mai 2008 par Debian (CVE-2008-0166), qui impacte aussi les distributions Ubuntu et Knoppix, est sans doute l'une des failles dont les conséquences sur le système d'exploitation cible sont les plus importantes.
Le département de la Défense des États-Unis a publié au début du mois de mars 2008 son rapport annuel sur la puissance militaire chinoise. Le rapport insiste sur l’inquiétant développement des capacités militaires et des doctrines et stratégies à connotations agressives de la Chine. Ce pays qui est devenu un partenaire incontournable sur la scène internationale, n’en représenterait pas moins aussi une menace sérieuse à la paix dans le monde. Quel est le portrait que dressent les États-Unis de la Chine militaire en cette année 2008 ? Quelle place tient la guerre de l’information dans la constitution de cette « menace chinoise » (§ 1) ? Le rapport n’est-il pas davantage un révélateur de la perception, de la psychologie ou de la stratégie américaine (§ 2) que la description strictement objective de la réalité chinoise qu’il ambitionne de saisir ?
Le mot « ransomware » est construit par l'agrégation des mots « ransom » et « malware ». Ce mot et le phénomène qui y est associé sont apparus il y a environ 3 ans, dans le courant de l'année 2005, mettant en lumière une classe particulière de malwares qui demandent le paiement d'une rançon en échange de la restitution d'une fonctionnalité volée. La plupart des ransomwares utilisent le chiffrement de fichier comme un moyen d'extorsion. Nous abordons ici la notion de « chantage » appliquée au monde informatique ; ce dernier repose sur un moyen de pression ou moyen d'extorsion.
Les codes malveillants dits « de document » existaient, à ce jour,  essentiellement pour les logiciels de la suite Microsoft Office et, plus récemment, pour ceux d’Open Office. Ce risque est essentiellement attaché, hors vulnérabilités, aux fonctionnalités exécutables des macros. C’est l’une des raisons qui a fait le succès mondial des documents au format PDF (Portable Document Format). Ce format de description de document est actuellement le plus répandu au monde. Il est perçu comme stable, comme le plus portable et surtout comme dénué de risque vis-à-vis des virus. Il s’agit en fait plus que d’un « simple » format de document : c’est avant tout un véritable langage de programmation qui, version après version, a accumulé de nombreuses fonctionnalités puissantes, essentiellement pour la création et la manipulation de document, mais également des fonctionnalités d’exécution. À ce jour, aucune étude exploratoire concernant la sécurité de ce langage n’a été faite, en particulier vis-à-vis du risque viral. De ce point de vue, seuls quelques cas sont connus, lesquels exploitent essentiellement des vulnérabilités des applications gérant les documents PDF. Dans cet article, nous allons présenter les résultats d’une analyse en profondeur de la sécurité du langage PDF et de ses principales primitives, et ce, indépendamment de toute vulnérabilité. Le but est d’explorer de manière la plus exhaustive possible, le risque viral attaché aux malwares écrits en langage PDF qui pourraient agir en détournant et pervertissant certaines de ces primitives pour réaliser des attaques via des documents PDF. Nous présenterons à ce titre deux preuves de concept permettant d’illustrer ces nouveaux risques, d’un point de vue algorithmique. L’article enfin suggérera quelques-unes des mesures de sécurité qu’il est possible de mettre en œuvre pour limiter de telles attaques.
L’objectif de cet article est d’aider l’utilisateur ou l’administrateur à reconnaître l’exécution de programmes malveillants sur un poste compromis lorsque les résultats d’un antivirus se révèlent insuffisants. Les techniques présentées dans cet article se veulent simples et sans ambiguïté pour identifier, voire éliminer, une menace de premier niveau sur un système Windows.
Dans les articles précédents [1, 2], nous avons présenté les techniques de codage de la voix (comment cette dernière est représentée et traitée) et les techniques analogiques de chiffrement de la voix. Alors que ces dernières consistent à modifier structurellement le signal selon divers procédés, mais sans en modifier la nature profonde, les techniques numériques, quant à elles, consistent à transformer le signal en valeurs numériques discrètes, puis à opérer un chiffrement classique sur la séquence obtenue après conversion analogique/numérique. L’aspect critique dans ces techniques réside dans la qualité de la conversion. Non seulement le signal doit être le plus fidèle possible après conversion en numérique, mais ni le chiffrement, ni la transmission (effet de bruit) ne doivent altérer le signal et rendre sa restitution finale du numérique vers l’analogique. La partie chiffrement, quant à elle, ne se distingue en rien d’un chiffrement classique. L’art de l’ingénieur est donc encore une fois essentiel, même si, contrairement aux techniques analogiques, il n’intervient pas directement dans la sécurisation de la voix. Enfin, pour conclure cette série d’articles consacrée à la protection de la voix, nous présenterons un système de cryptophonie utilisé par l’armée de l’air chinoise.