'année 2011 commence avec son lot de rétrospectives, de prédictions et de Top 10. En dépilant mes abonnements RSS, la liste des dix choses les plus dangereuses de l'année écoulé par Trend Micro trouvée via Korben me laisse pour le moins... perplexe...
Si cette liste a particulièrement retenu mon attention, c'est à cause de la troisième place : "The most dangerous IP". Déjà, on va considérer qu'il manque un mot un énoncé dénué de sens et qu'il s'agit de décorer le protocole IP le plus dangereux de l'année 2010. Le titre reviendrait donc à IRC. Pourquoi ? Non pas à cause de quelque évènement comme la backdoor découverte dans le code de UnrealIRCd, mais parce que 30% des botnets l'utiliserait comme support pour la canal de commande et contrôle...
Un problème avec cette liste est qu'elle ne dit pas pour qui les choses listées sont dangereuses : pour moi, pour vous, pour les époux Michu[1], pour les petites entreprises ou les grandes, pour un gouvernement, pour Internet, voire le cyberespace dans son ensemble ? On n'en sait rien en fait. Mais considérant que c'est Trend Micro, éditeur de solutions antivirus, qui pousse cette liste, on aurait tendance à penser que les dangers évoqués auraient plus tendance à cibler le poste de travail. Ensuite, ce sont les justifications qui tiennent tantôt à des évènements précis ou des buzzz, comme pour WordPress, tantôt à des réflexions plus générales mais non moins bancales, comme pour IRC ou Google...
On se demande bien en quoi IRC, quand bien même il servirait de support à 30% des botnets, représente un risque pour le poste de travail. On peut arguer qu'indirectement c'est le cas, mais que dire alors des protocoles qui supportent les 70% restants ? Ce risque est-il comparable aux facteurs de compromission directe de ces mêmes postes. Autant si les clients IRC étaient connus comme vecteur de compromission, à l'instar d'un navigateur et de ses plugins par exemple, j'arriverais à comprendre. Mais là, j'ai du mal. Car à jouer à ce jeu là, autant dire que le protocole IP le plus dangereux, c'est TCP et basta...
De plus, avancer que bloquer IRC permet d'arrêter de manière efficace les botnets est une ineptie assez monumentale. D'abord parce que ça n'empêchera pas la compromission des hôtes, laquelle se fait via d'autres vecteurs, web en tête. D'ailleurs, on se demande bien ce qu'IRC a de plus que HTTP, comme protocole applicatif, pour mériter le titre, ce dernier étant annoncé au dixième rang comme support de deux tiers des infections. Ne devrait-on pas bloquer TCP/80 à la place ? Ensuite, parce que ça ne bloque par les 70% de botnets restants, ni les quelques botnets qui utiliseraient des serveurs IRC proposant des ports non conventionnels ou des réseaux privés. Auxquels cas il faudra penser filtrage applicatif pour gérer le blocage. Enfin, parce que IRC comme canal de C&C n'a pas vraiment le vent en poupe, et depuis longtemps. Mon sentiment, c'est surtout qu'IRC subsiste comme solution simple, cheap et relativement efficace, mais force est de constater que de plus en plus malwares implémentent leur propre protocole de C&C dont certains sont nettement plus efficaces, en particulier ceux qui s'appuient sur des architectures P2P.
Les autres lauréats non sont pas en reste non plus. Je ne me serais pas permis un WTF sur un seul élément. D'autres sont tout aussi discutables, en tout cas leur justification. Par exemple, élire WordPress CMS le plus dangereux de l'année pourrait se voir justifié par le nombre de failles qui le touchent, bien que cet argument ne soit pas vraiment significatif. Mais le nommer parce que quelques hébergeurs pas à jour se seraient fait pwner leur plate-forme de blogging, c'est un peu fort de café. Quand bien même ces compromissions auraient servi à diffuser des malwares.
Dans le même ordre d'idée, nommer Google site le plus dangereux de l'année est d'une débilité sans fond. Que le moteur de recherche le plus populaire de la toile fasse l'objet de techniques de SEO malveillantes n'est que la conséquence naturelle de la diversification et l'optimisation des techniques d'exploitation du média web. Ça n'en fait pas un site plus dangereux pour ses utilisateurs que d'autres moteurs de recherche qui subissent les mêmes assauts, d'autant que peut intègre StopBadware et le propose sur Chrome... Et gratuitement, contrairement à d'autres services/produits qui font la même chose...
En revanche, primer Facebook aurait pu avoir du sens, avec des options de confidentialité toujours plus ouvertes et difficiles à contrôler, l'impact potentiel des applications ou des vulnérabilités de la plate-forme. Mais sûrement pas parce qu'il a servi de support à Koobface ! En effet, ce ver ne vise pas que Facebook puisque Twitter et MySpace figurent dans la liste des cibles. Seule la popularité de Facebook est responsable de la forte propagation du ver par ce médium, ce qui, comme précédemment, n'en fait pas un site plus dangereux que les autres. En outre, Koobface n'exploite aucune faiblesse particulière de Facebook, se bornant à envoyer des messages aux amis des utilisateurs infectés, voire utiliser leur Wall, pour les pousser à se faire infecter à leur tour par le malware via diverses méthodes. Bref, du bon gros social engineering via le meilleur vecteur qui soit pour ce genre d'opération...
Dans la section Je sais pas de quoi je parle, que dire de co.cc en tant que plus dangereux Top Level Domain ?... Peut-être d'abord que co.cc n'est pas un TLD, pas plus qu'un deuxième niveau de hiérarchie comme pour l'être co.uk par exemple. C'est un effet un domaine des Îles Cocos comme un autre, attribué à une société qui propose, entre autres, des domaines gratuits. Comme pourrait le faire n'importe quelle société disposant d'un SLD national. Qu'elle les file sans rien y regarder et que des criminels en profitent est complètement orthogonal à la gestion du TLD associé.
La palme de l'OS le plus dangereux reviendrait à MacOS X. Choix surprenant, considérant l'exposition et de le taux de compromission du couple Windows/IE, qui se justifie par la livraison en novembre d'un méga patch de plusieurs centaines de méga-octets. C'est un grande première pour ce nouveau critère de sécurité : la taille de patches. On savait déjà que le nombre de vulnérabilités patchées n'était pas un indicateur fiable de la sécurité d'un produit, aussi fallait-il en trouver un autre... Au passage, aucune analyse appuyant les "cycles de correction plus longs" avancés n'est fournie. J'ai un mot pour désigner ce genre d'affirmation : bullshit.
Je ne me prononcerai pas sur le gagnant du titre du matériel le plus dangereux. Pas tant que le titre soit mérité, mais surtout parce que je trouve la catégorie débile. D'ailleurs, la vulnérabilité de la carte d'identité allemande est à mettre amha sur le même plan que celle des passeports électroniques et plus largement des RFID et autres puces contenant des informations sensibles et/ou privées. Pourquoi cette carte plutôt qu'une autre, à part le fait qu'on en ait parlé dans la presse... Enfin, je me bornerai à constater que les trois derniers lauréats touchent le web. Mais que ça ne vaut pas pour autant à HTTP le titre de protocole le plus dangereux de l'année...
Apparemment, chez Trend Micro, on aime bien les Top 10. Alors pour vous détendre, vous pourrez aller parcourir la liste des dix malwares les plus remarquables de 2010. Avec en tête, vous l'avez deviné, Stuxnet évidemment, suivi de près par Aurora[2]. De manière générale, la manière dont l'éditeur voit l'année passée est fort intéressante. D'abord sur les sujets abordés, ce qui reste prévisible compte-tenu de leur activité, ensuite sur la manière dont ils sont abordés et enfin sur la cohérence de l'ensemble...
Notes
[1] Que je remercie au passage pour leurs vœux :)
[2] Bien que la compromission des sociétés cible ait eu lieu fin 2009...
Jeu de briques
Snake
Pacman
Bubble