Le journal de Wall Street cette semaine a couru une excellente série sur les outils de surveillance gouvernementaux à l’ère du numérique. Une histoire regardé FinFisher, un cheval de Troie d’espionnage à distance commercialisé auprès des gouvernements d’Égypte, d’Allemagne et d’autres pays pour permettre la surveillance subreptice d’ordinateurs et de téléphones portables par des responsables de l’application des lois. L’article note que les créateurs de FinFisher ont annoncé la possibilité de déployer le cheval de Troie déguisé en mise à jour pour iTunes d’Apple lecteur multimédia, et qu’Apple a corrigé le mois dernier la vulnérabilité exploitée par le cheval de Troie.
Image : spiegel.de
Mais la série WSJ et d’autres couvertures médiatiques de l’histoire ont négligé un détail petit mais crucial : un éminent chercheur en sécurité a averti Apple de cette vulnérabilité dangereuse à la mi-2008, pourtant, l’entreprise a attendu plus de 1 200 jours pour corriger la faille.
La divulgation soulève des questions quant à savoir si et quand Apple était au courant de l’offre de chevaux de Troie, et son moment choisi pour combler la faille de sécurité dans ce titre de logiciel omniprésent : Selon Apple, à partir de juin 2011il y avait environ un quart de milliard d’installations d’iTunes dans le monde.
Apple n’a pas répondu aux demandes de commentaires. Un e-mail envoyé mercredi matin à son équipe de presse a produit une réponse automatique indiquant que les employés étaient déjà en congé pour les vacances de Thanksgiving aux États-Unis.
je a d’abord écrit sur cette vulnérabilité en juillet 2008, après avoir interviewé un chercheur argentin en sécurité Francisco Amato à propos de « Evilgrade », un nouvel outil de test de pénétration sournois qu’il avait développé. La boîte à outils a été conçue pour permettre à quiconque d’envoyer de fausses alertes de mise à jour automatique aux utilisateurs de titres de logiciels qui ne signent pas leurs mises à jour. J’ai décrit la menace de cette boîte à outils plus en détail :
Pourquoi est-ce un gros problème ? Imaginez que vous êtes dans un salon d’aéroport, attendant d’embarquer sur votre vol, et que vous ouvrez votre ordinateur portable pour voir si vous pouvez sauter sur un réseau sans fil ouvert. Gardez à l’esprit qu’il existe de nombreux outils disponibles qui permettent aux malfaiteurs de créer de faux points d’accès sans fil dans le but d’acheminer votre connexion via leur ordinateur. Vous vous connectez à ce faux réseau, pensant que vous pouvez consulter les résultats sportifs de votre équipe préférée. Quelques secondes plus tard, une application de votre système indique qu’une mise à jour logicielle est disponible. Vous approuvez la mise à jour.
Vous êtes arrosé.
Ou peut-être que vous n’approuvez pas la mise à jour. Mais cela n’a peut-être pas d’importance, car dans certains cas, les fonctionnalités de mise à jour automatique intégrées à certains titres de logiciels iront de l’avant et téléchargeront la mise à jour à ce stade, et continueront de vous harceler jusqu’à ce que vous acceptiez de l’installer à une date ultérieure.
Evilgrade a exploité une faille dans le mécanisme de mise à jour d’iTunes qui pourrait être exploitée sur les systèmes Windows. Amato a décrit la vulnérabilité :
« Le programme iTunes vérifie que le binaire est signé par Apple mais nous pouvons injecter du contenu dans la description lorsqu’il ouvre un navigateur, avec un binaire malveillant pour que l’utilisateur pense qu’il provient d’Apple », a déclaré Amato à propos de son outil d’attaque.
Les e-mails partagés avec BreachTrace montrent qu’Amato a contacté l’équipe de sécurité d’Apple le 11 juillet 2008 pour les avertir que la fonctionnalité de mise à jour d’iTunes pourrait être utilisée de manière abusive pour repousser les logiciels malveillants. Selon Amato, Apple a accusé réception du rapport peu de temps après, mais il ne l’a contacté au sujet de ses conclusions que le 28 octobre 2011, lorsqu’il a envoyé un e-mail pour confirmer son nom et son titre dans le but de le créditer d’avoir signalé la faille. dans son Détails de la version du correctif iTunes 10.5.1. Fait intéressant, Apple a choisi de continuer à ignorer la vulnérabilité même après qu’Amato ait livré une importante mise à niveau de fonctionnalités vers Evilgrade en octobre 2010.
Le temps qu’il a fallu à Apple pour corriger cette importante faille de sécurité est notable. En mai 2006, j’ai entrepris une étude longitudinale du temps qu’il a fallu à Apple pour envoyer les mises à jour de sécurité de ses produits. Dans cette analyse, j’ai examiné deux années de correctifs publiés pour corriger de graves bogues de sécurité dans le système d’exploitation Mac OS X d’Apple, ainsi que dans d’autres applications logicielles Apple comme iTunes. J’ai constaté qu’en moyenne, 91 jours se sont écoulés entre la date à laquelle un chercheur en sécurité a alerté Apple d’une faille non corrigée et la date à laquelle Apple a envoyé un correctif pour résoudre le problème. Dans cette étude, j’ai examiné les temps de correction pour quatre douzaines de défauts, et le temps de correction le plus long de cette période était de 245 jours.
Amato a déclaré qu’il ne savait pas pourquoi Apple avait mis autant de temps à corriger son bogue, ce qui, selon lui, aurait dû être trivial à corriger.
« Peut-être qu’ils l’ont oublié, ou c’était juste au bas de leur liste de choses à faire », a-t-il dit.
L’attention du public sur les outils de surveillance numérique commercialisés auprès des forces de l’ordre du monde entier suscite des discussions sur la question de savoir si les sociétés antivirus font tout ce qu’elles peuvent pour démasquer ces intrus. Mikko Hypponenresponsable de la recherche pour une société de sécurité finlandaise F-Securea d’abord blogué sur FinFisher en mars 2011lorsque des manifestants en Égypte ont pris le contrôle du siège de la sécurité d’État égyptienne et ont eu accès à de nombreux documents confidentiels de l’État, y compris ceux qui semblent montrer que le gouvernement licences achetées pour le programme.
Hypponen a déclaré que F-Secure a déclaré sans équivoque qu’il détectera tout logiciel malveillant dont il a connaissance, que le logiciel malveillant soit ou non activement utilisé par les autorités gouvernementales à des fins de surveillance. Mais il a déclaré que toutes les sociétés antivirus n’avaient pas pris d’engagements publics similaires.
« Il n’y a pas de véritable discussion ou d’accord à l’échelle de l’industrie à ce sujet », a déclaré Hypponen. « La façon dont ça se passe est que [antivirus] les entreprises n’ont aucune idée des chevaux de Troie qu’elles reçoivent sont des chevaux de Troie gouvernementaux ou simplement les trucs habituels. Il doit y avoir beaucoup plus de chevaux de Troie gouvernementaux que nous et d’autres détectons, mais dont nous ignorons qu’ils sont utilisés pour la surveillance gouvernementale.
En ce qui concerne les années qu’Apple a prises pour corriger la faille de mise à jour d’iTunes, Hypponen a déclaré qu’il était perplexe, mais enclin à donner à l’entreprise le bénéfice du doute.
« C’est un temps anormalement long pour patcher quoi que ce soit, donc cela n’a pas beaucoup de sens », a-t-il déclaré.
Pour plus de détails sur FinFisher, voir La couverture fascinante de Der Spiegel comment ce cheval de Troie de surveillance a été commercialisé.
Une mise en garde concernant la mise à niveau de votre logiciel qui, je l’espère, ressort clairement de cet article : rester à jour avec les derniers correctifs de sécurité est l’un des moyens les plus sûrs de protéger votre système contre les logiciels malveillants et les intrus. Mais dans la mesure du possible, essayez de faire votre mise à jour à partir d’un réseau auquel vous faites confiance et que vous contrôlez. Sinon, vous accordez peut-être trop de confiance à la sécurité des mécanismes de mise à jour intégrés au logiciel que vous utilisez.
Mise à jour, 15 h 11 HE : Une version antérieure de cette histoire indiquait à tort qu’Amato était capable d’exploiter la faille de mise à jour d’iTunes sur les systèmes OS X. Alors qu’Apple consultatif déclare que cette faille est présente sur les systèmes OS X dépourvus du correctif iTunes 10.5.1, Amato a déclaré qu’il était incapable de reproduire le problème sur les systèmes OS X au cours de ses recherches.