[ad_1]

La plupart des utilisateurs d’ordinateurs comprennent le concept de failles de sécurité dans les logiciels de bureau courants tels que les lecteurs multimédias et les clients de messagerie instantanée, mais les mêmes utilisateurs sont souvent surpris d’apprendre que les outils logiciels mêmes que les attaquants utilisent pour pénétrer dans les réseaux et les ordinateurs sont généralement criblés de leurs propres failles de sécurité cachées. En effet, les bogues qui résident dans les logiciels d’attaque du type vendu aux criminels sont extrêmement précieux pour les responsables de l’application des lois et les pirates dits « chapeau blanc », qui peuvent tirer parti de ces faiblesses pour espionner les attaquants ou interférer avec leur quotidien. opérations.

Page administrative d’un kit d’exploitation Crimepack en direct.

La semaine dernière, des chercheurs français en sécurité ont annoncé qu’ils avaient découvert une multitude de vulnérabilités dans plusieurs « packs d’exploit » largement utilisés, des kits d’outils furtifs conçus pour être intégrés à des sites piratés et malveillants. Les kits – vendus dans le métro pour des centaines de dollars et commercialisés sous des marques telles que Crimepack, Eleonore et iPack – sondent le navigateur du visiteur pour détecter les vulnérabilités de sécurité connues, puis utilisent le premier trouvé comme véhicule pour installer discrètement des logiciels malveillants.

Parlant à la Conférence sur la sécurité Syscan à Singapour, Laurent Oudotfondateur de la société parisienne Sécurité TEHTRI, a publié des avis de sécurité décrivant globalement plus d’une douzaine de failles exploitables à distance dans Eleonore et d’autres packs d’exploits. Selon TEHTRI, certains bogues permettraient aux attaquants de visualiser les données internes stockées par ces kits, tandis que d’autres pourraient permettre à un attaquant de prendre le contrôle de sites modernisés avec l’un de ces packs d’exploits.

« Il est temps d’avoir des capacités de contre-attaque réelles et d’avoir des solutions alternatives et innovantes contre ces problèmes de sécurité », a écrit Oudot dans une annonce à la BugtraqComment liste de diffusion de sécurité.

Oudot dit qu’il hésite à divulguer plus d’informations sur les vulnérabilités jusqu’au mois prochain, date à laquelle il doit discuter des résultats lors d’une autre conférence Syscan en Chine. Mais dans une interview avec BreachTrace, Oudot a déclaré que dans les jours qui ont suivi la publication de son avis, un certain nombre de membres de la communauté de la sécurité se sont prononcés contre l’idée de partager plus largement les informations sur la vulnérabilité du pack d’exploits.

D’une part, affirment les détracteurs, informer le monde de ces failles incitera, selon toute vraisemblance, les créateurs de ces outils vulnérables à fournir des mises à jour qui corrigent les failles de sécurité. La dernière version d’Eléonore, par exemple — version 1.4.1 – fait partie de plusieurs mises à jour expédiées pour Eleonore au cours de la seule année écoulée. Les critiques affirment également que si la divulgation de la vulnérabilité pourrait donner aux responsables de l’application des lois et aux pirates « chapeau blanc » de nouveaux outils pour infiltrer et perturber les opérations de cybercriminalité, ces informations sont tout aussi susceptibles d’être exploitées par des pirates novices aux intentions beaucoup moins nobles.

Pour sa part, Oudot n’est influencé par aucun des deux arguments.

« Nous verrons si les défenseurs seront en mesure de trouver à nouveau des vulnérabilités », a déclaré Oudot, à propos de la probabilité que les fabricants de packs d’exploits corrigent les trous. « Nous pouvons tous décider de riposter ou d’être des victimes. C’est comme dans certains pays, il y a beaucoup de terroristes mais personne ne les attaque. C’est un choix d’avenir.

Oudot a déclaré que son équipe avait reçu plusieurs e-mails d’experts juridiques et de sécurité se demandant s’ils violaient des lois en divulguant les informations.

« De plus, nous avons eu des amis de la sécurité informatique qui nous ont dit qu’il pourrait être intéressant de garder cela un peu secret pendant une courte période, afin que les blackhats qui construisent de tels outils ne puissent pas réagir correctement dans un avenir proche. », a écrit Oudot. « Notre objectif était d’initier de véritables discussions dans le monde sur la cybersécurité et la manière de gérer les cybermenaces. Notre objectif principal était d’offrir une nouvelle vision, un nouveau champ d’action futur. Désormais, les entreprises, les avocats, les organisations internationales, etc. devront faire des choix.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.