Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Vault 7 : Wikileaks aidera les éditeurs, Intel, VLC et Notepad++ réagissent

Il aurait peut-être fallu commencer par ça

Vault 7 : Wikileaks aidera les éditeurs, Intel, VLC et Notepad++ réagissent

Le 10 mars 2017 à 16h24

Face à un certain nombre de critiques, Wikileaks a décidé de travailler directement avec les sociétés concernées par les failles de sécurité trouvées dans les ressources de la CIA. Entre temps, d’autres entreprises ont réagi, notamment Intel qui a publié des outils de sécurité.

Depuis la publication des documents Vault 7 de Wikileaks sur les techniques de la CIA pour espionner de nombreux types d’appareils, l’organisation a été critiquée. Son implication a été remise en cause, certains imaginant qu’elle serait discrètement pilotée par Moscou en tirant parti de l’idéalisme de Julien Assange. Mais de manière plus pragmatique, c’est son attitude face aux failles de sécurité qui a dérangé.

La publication des informations a relancé en effet le débat sur la divulgation responsable des vulnérabilités. Même si des sociétés comme Apple et Google ont indiqué que la plupart avaient déjà été corrigées – prouvant au passage que la réserve publiée avait un certain âge – il n’en reste pas moins que d’autres ne l’étaient pas, attirant immanquablement l’attention de pirates.

Wikileaks aidera à la résolution des failles avant de publier d'autres documents

Julien Assange a donc annoncé que Wikileaks allait non seulement laisser du temps aux entreprises pour travailler sur leurs solutions respectives, mais que l’organisation se tenait prête à travailler discrètement avec elles pour fournir toute information technique supplémentaire qui serait nécessaire.

Une fois que les éditeurs concernés auront mis à jour leurs produits, alors seulement Wikileaks publiera les informations suivantes. Une décision sans doute bienvenue pour éviter d’enflammer une situation qui, même avec des bases communes, est assez différente de 2013, quand Edward Snowden avait publié les premières informations sur le programme Prism de la NSA.

Notez également qu’Assange a accusé la CIA « d’incompétence dévastatrice », les fameux outils transitant entre les sous-traitants sans protections particulières, malgré la sensibilité du matériel.

VLC réagit et prépare une version Windows « anti-CIA »

Hier, l’association VideoLAN a publié un communiqué pour donner quelques indications sur la fausse version de VLC utilisée par la CIA pour l’espionnage des ordinateurs. On apprend qu’elle nécessite Windows XP ou une version ultérieure ainsi qu’un accès physique à la machine, et qu’il s’agit de la déclinaison 2.1.5 Portable.

Surtout, l’association explique que la technique de la CIA ne passe pas par une quelconque faille, ni dans la version Portable, ni même dans la mouture classique. À la place, l’agence a modifié le manifeste de l’application pour lui faire charger une bibliothèque tierce, psapi.dll. Elle contient un malware chargé de trouver des informations sur la machine avant de les expédier à la CIA.

Cependant, le malware utilise une technique particulière pour mener à bien sa mission. L’équipe de VideoLAN travaille donc sur une nouvelle version 2.2.5 qui, quand elle sera disponible, rendra impossible l’activité masquée. La future branche 3.X sera également mise à jour en fonction. Il est recommandé aux utilisateurs de mettre à jour leur lecteur multimédia dès que la mise à jour sera disponible.

Notepad++ corrige un problème équivalent

Notepad++ fait partie de la liste des applications dont la CIA peut se servir pour infecter une machine, si tant est qu’un agent puisse obtenir un accès physique. La technique retenue est la même que pour VLC, avec une DLL remplacée par une version modifiée, ici scilexer.dll.

Sur son site, l’éditeur explique que la nouvelle version 7.3.3, déjà disponible, renforce le contrôle du certificat de la bibliothèque. Si aucun problème n’est détecté, le logiciel se lance. Si le certificat est douteux, il ne se lance pas. Par contre, il précise que si la machine est déjà infectée, installer cette version ne servira sans doute à rien, la CIA ayant déjà la maîtrise de l’ordinateur.

Intel publie des outils de sécurité

Parmi les documents publiés par Wikileaks, certains décrivent comment la CIA parvient à implanter un rootkit dans le firmware de MacBook, là encore avec un accès physique à la machine. En temps normal, l’installation d’un nouveau firmware est en effet pilotée directement via le Mac App Store. Rappelons qu’un rootkit est un logiciel malveillant qui se positionne très tôt dans la chaine de démarrage et reste masqué de la plupart des logiciels de sécurité.

C’est l’Embedded Development Branch de l’agence américaine qui s’est chargée de cette mission. Elle a créé une sorte d’implant baptisé DerStarke agissant sur deux vecteurs : Bokor, un module d’injection de code dans le kernel d’OS X, et DarkMatter, un module chargé d’assurer une persistance dans l’EFI de la machine. Entre les deux, on trouve QuarkMatter, un pilote stocké dans l’EFI chargé de faire le lien.

L’équipe Advanced Threat Research d’Intel vient justement de publier un outil pour son framework open source CHIPSEC pour détecter les faux binaires EFI. Disponible sous Linux, macOS et Windows, il permet via des lignes de commande d’analyser une configuration matérielle, notamment le firmware, dans le cas présent l’EFI.

L’outil n’est pas vraiment à portée du grand public puisqu’il permet par exemple de récupérer une image EFI propre depuis un constructeur, d’extraire son contenu puis de comparer la liste des binaires avec celle présente sur le système. De fait, Intel recommande de générer la fameuse liste blanche après l’achat d’une machine ou quand l’utilisateur est certain que sa machine n’a pas été infectée, afin de s’en servir plus tard comme point de comparaison.

Les outils de la CIA ne sont pas forcément sophistiqués

Certains experts en sécurité sont d’avis que la CIA ne cherche pas nécessairement à être aussi innovante qu’elle le prétend, notamment quand elle rappelle sa mission.

L’agence semble surtout avoir collecté autant de failles de sécurité 0-day qu’elle le pouvait et s’être inspirée de techniques existantes. Par exemple, dans le cas de Weeping Angels pour les Smart TV de Samsung, le chercheur Dan Tentler, également PDG de la société Phobos Group, indique qu’il avait vu cette technique démontrée sur la scène d’une conférence en 2013.

Il pointe cependant que la situation n’est pas surprenante : il est normal que la CIA fasse attention aux techniques présentées afin de s’en inspirer ou de les reprendre en l’état.

Pour d’autres, comme rapportés par Cyberscoop, les malwares utilisés n’ont rien de bien extraordinaire. Certains sont même décrits comme d’un niveau technique assez peu élevé et peuvent être très facilement détectés par des antivirus.

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Les blondasses à forte poitrine, elles font tout sur leur Iphone, pas sur PC

votre avatar

Non, je la laisserai tripoter mon joystick et jouer avec mon ordinateur. C’est l’inverse !



<img data-src=" />

votre avatar

Attention à la Vault face.



<img data-src=" />

votre avatar
votre avatar







PercevalIO a écrit :



On sait si le Démineur ou le Spider Solitaire sont infectés ? :lol:





On sait surtout que sous W10, ils sont payants.


votre avatar







127.0.0.1 a écrit :



Bon, j’attend de voir comment les éditeurs open-source vont faire pour nous prouver qu’une version de soft downloadée ici ou là est authentique.



Un vérificateur “Genuine” à la Microsoft ? Un DRM à la Trusted Platform ? Mystère…





Une empreinte SHA de l’exécutable authentifiée via une PKI open source et des certificats racine indépendants… Tout cela est vérifiable, et ils le font déjà.


votre avatar







Ricard a écrit :



Et donc la signature sera différente de l’officiel.







Quelle importance, du moment que le binaire se lance ?


votre avatar







Cashiderme a écrit :



Quelle importance, du moment que le binaire se lance ?





Si les certificats ne sont pas signés correctement, ta machine refuse de le lancer ou t’informe, normalement.


votre avatar

j’ai&nbsp; “psapi.dll” sur ma bécane.

c’est normal?

&nbsp;

votre avatar

Tant que ce n’est pas dans le répertoire de VLC mais dans un sous-répertoire système ce n’est pas inquiétant c’est même plutôt attendu.

votre avatar

Rien de bien transcendant au final. La plus part du temps il faut un accès physique à la machine…

Ensuite pour ceux qui ont peur des installeurs vérolés, aller directement chercher le binaire sur les sites officiels sans passer par des warez

Et quand vous quittez votre poste de travail verrouillez le, ça évitera les gros mâles poilus en fond d’écran.

votre avatar







33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Une empreinte SHA de l’exécutable authentifiée via une PKI open source et des certificats racine indépendants… Tout cela est vérifiable, et ils le font déjà.







Concrètement, ca veut dire tous les exe et dll de VLC signées avec la technologie Authenticode de Microsoft ?



Ou alors seul vlc.exe est signé en Authenticode , et l’application se charge de vérifier les dll utilisées par un autre mécanisme (genre openssl) ?



Ou alors c’est a l’utilisateur de vérifier son exe et ses dll avec openssl ?



<img data-src=" />


votre avatar







127.0.0.1 a écrit :



Ou alors seul vlc.exe est signé en Authenticode , et l’application se charge de vérifier les dll utilisées par un autre mécanisme (genre openssl) ?





C’est à l’application de vérifier, puisqu’elle ne peut pas faire confiance à du code closed source… Rien ne dit que la CIA ne va pas imposer à Microsoft de modifier Authenticode pour accepter ses propres certificats.


votre avatar







Cashiderme a écrit :



“L’équipe de VideoLAN travaille donc sur une nouvelle version 2.2.5 qui, quand elle sera disponible, rendra impossible l’activité masquée.”



Le logiciel etant libre, qu’est ce qui empechera de le recompiler pour rendre possible “l’activité masquée” à nouveau ?







Impossible de bloquer ce cas. Mais recompiler VLC est compliqué, et signer avec notre signature impossible.







127.0.0.1 a écrit :



Moi, tant qu’il y a un popup qui dit que VLC est authentique, j’ai confiance.

Peu importe que le popup soit codé par JBK ou CIA. <img data-src=" />



Bon, j’attend de voir comment les éditeurs open-source vont faire pour nous prouver qu’une version de soft downloadée ici ou là est authentique.



Un vérificateur “Genuine” à la Microsoft ? Un DRM à la Trusted Platform ? Mystère…







On signe avec Authenticode.







127.0.0.1 a écrit :



Concrètement, ca veut dire tous les exe et dll de VLC signées avec la technologie Authenticode de Microsoft ?



Ou alors seul vlc.exe est signé en Authenticode , et l’application se charge de vérifier les dll utilisées par un autre mécanisme (genre openssl) ?



Ou alors c’est a l’utilisateur de vérifier son exe et ses dll avec openssl ?



<img data-src=" />







Mec, je signe toutes les dll, tous les exe, et les installers avec Authenticode.


votre avatar







jb a écrit :



Impossible de bloquer ce cas. Mais recompiler VLC est compliqué, et signer avec notre signature impossible.







On signe avec Authenticode.







Mec, je signe toutes les dll, tous les exe, et les installers avec Authenticode.







Il y a peut-etre un truc qui m’échappe quant aux signatures sur windows, ceci dit, le propre d’un logiciel libre c’est pas de pouvoir etre modifié / compilé / distribué par n’importe qui ?



Ca change quoi que ce soit pas votre signature à vous ?

Comment c’est possible de ne pas pouvoir signer un binaire quand on a compilé soi-meme le source ?

Vu qu’on parle d’une installation “sauvage” d’un soft avec accès physique à la machine (si j’ai bien tout compris), qu’est ce que ça change qu’il soit signé ou pas ?



Je cherche pas à polémiquer ce sont de vraies intérrogations. Et je parle de VLC parce que je l’utilise beaucoup, ça vaut pour tout soft libre concerné évidement.


votre avatar







jb a écrit :



Mec, je signe toutes les dll, tous les exe, et les installers avec Authenticode.







Ok. merci de ta réponse. <img data-src=" />



Désolé si mon commentaire paraissait agressif. Je posais la question car j’ai signé un soft pour le boulot qui contient des dépendances exécutables (dll) et “non-exécutables” (bdd, scripts, config…). Un peu comme VLC avec ses plugins (dll) et ses scripts (lua).



Du coup je me suis posé la question de la méthode de signature pour les non-exécutables. Avec Authenticode, j’ai du créer et signer un fichier *.cat (catalog file).







Cashiderme a écrit :



Il y a peut-etre un truc qui m’échappe quant aux signatures sur windows, ceci dit, le propre d’un logiciel libre c’est pas de pouvoir etre modifié / compilé / distribué par n’importe qui ?







Tu es toujours libre de compiler VLC et de le distribuer toi même.

Mais tu ne pourras pas reproduire la signature de Videolan… car tu n’es pas Videolan. <img data-src=" />

Cela dit, tu peux le signer avec ta propre signature.





Ca change quoi que ce soit pas votre signature à vous ?

Comment c’est possible de ne pas pouvoir signer un binaire quand on a compilé soi-meme le source ?





C’est signé avec leur signature a eux, et pas celle de Microsoft.



Authenticode est un mécanisme de windows qui vérifie automatiquement la signature des exe/dll sans intervention de l’utilisateur (la signature+certificat est dans les métadonnées de l’exe/dll). Il faut seulement un certificat signé par une autorité reconnue par windows.


votre avatar







127.0.0.1 a écrit :



Tu es toujours libre de compiler VLC et de le distribuer toi même.

Mais tu ne pourras pas reproduire la signature de Videolan… car tu n’es pas Videolan. <img data-src=" />

Cela dit, tu peux le signer avec ta propre signature.







Mais c’est quoi l’interet de reproduire la signature de VideoLan dans le cas qui nous interesse ?







127.0.0.1 a écrit :



C’est signé avec leur signature a eux, et pas celle de Microsoft.







Quand est-ce que j’ai parlé de la signature de Ms ? <img data-src=" />







127.0.0.1 a écrit :



Authenticode est un mécanisme de windows qui vérifie automatiquement la signature des exe/dll sans intervention de l’utilisateur (la signature+certificat est dans les métadonnées de l’exe/dll). Il faut seulement un certificat signé par une autorité reconnue par windows.







Encore une fois, quel rapport avec le cas signalé ici ?



Le monsieur de la CIA/FBI/NSA/SPA entre chez le vilain terroriste, lui colle son binaire pourri, clique sur “oui je suis sur de vouloir lancer ce binaire tout mal signé par mon beau-frère, Ne plus me demander.” Merci au revoir.



Elle intervient où la super protection autentimachintruc ? Je veux bien croire que je me trompe mais faut m’expliquer…


votre avatar







Cashiderme a écrit :



Le monsieur de la CIA/FBI/NSA/SPA entre chez le vilain terroriste, lui colle son binaire pourri, clique sur “oui je suis sur de vouloir lancer ce binaire tout mal signé par mon beau-frère, Ne plus me demander.” Merci au revoir.







Stooooop !! Si qqn a un accès complet à ton PC au point de pouvoir installer et valider l’utilisation d’un programme “nocif” alors ce n’est même plus la peine de parler de sécurité.







Cashiderme a écrit :



Elle intervient où la super protection autentimachintruc ? Je veux bien croire que je me trompe mais faut m’expliquer…







Elle intervient si tu vas sur le site “superdownload.com” et que tu télécharges un “setup.exe” prétendument officiel de VLC (ou autre).



Si tu es consciencieux, tu regardes le certificat du setup.exe (clic-droit, properties, onglet “Digital Signature”).




  1. Y a rien de marqué… c’est pas l’original -&gt; supprimer.

  2. Y a un certificat du site “superdownload.com”… c’est pas l’original -&gt; supprimer.

  3. Y a un certificat du site “videolan.org”… cool -&gt; tu lances le setup.exe



    Une fois lancé, c’est la que Authenticode fait les vérifications (hash du setup.exe, signature dans les métadata, chaine de certificats jusqu’à une autorité reconnue, etc.)


votre avatar







127.0.0.1 a écrit :



Stooooop !! Si qqn a un accès complet à ton PC au point de pouvoir installer et valider l’utilisation d’un programme “nocif” alors ce n’est même plus la peine de parler de sécurité.







Ben c’est bien de cela dont il s’agit, non ?







la newz a écrit :



On apprend qu’elle nécessite Windows XP ou une version ultérieure ainsi qu’un accès physique à la machine, et qu’il s’agit de la déclinaison 2.1.5 Portable.







votre avatar

C’est de cela qu’il s’agit dans le cas où la CIA voudrait “véroler” une version officielle de VLC portable 2.1.5 qui est déjà correctement installée sur ton PC.



Comme dit dans le communiqué:



this exploit is nothing different than installing a trojaned software from an untrusted source





Bref le communiqué dit qu’il y a deux causes pour se retrouver avec un VLC vérolé:




  1. Installation officielle de VLC portable 2.1.5 + un accès physique pour véroler la version installée.

  2. installation d’un VLC portable 2.1.5 déjà vérolé (depuis une source non officielle)

votre avatar

“L’équipe de VideoLAN travaille donc sur une nouvelle version 2.2.5 qui, quand elle sera disponible, rendra impossible l’activité masquée.”



Le logiciel etant libre, qu’est ce qui empechera de le recompiler pour rendre possible “l’activité masquée” à nouveau ?

votre avatar

Avec un DRM !



Oh wait <img data-src=" />

votre avatar

Rien. N’importe qui pourra évidement recompiler et redistribuer VLC. Toutefois seul VideoLAN dispose de la clef de chiffrement des binaires Windows. Un “faux” VLC ne sera donc pas signé et ce sera visible dès le lancement de l’installeur.

votre avatar







etix a écrit :



Rien. N’importe qui pourra évidement recompiler et redistribuer VLC. Toutefois seul VideoLAN dispose de la clef de chiffrement des binaires Windows. Un “faux” VLC ne sera donc pas signé et ce sera visible dès le lancement de l’installeur.







Ils parlent de la version portable, donc pas d’installeur. Et je pense que la CIA à ce qu’il faut pour signer des binaires windows.


votre avatar

C’est le même souci pour Notepad++. La protection vérifie le certificat de la DLL, mais si la CIA a les moyens de modifier la DLL alors ils ont aussi les moyens de modifier l’EXE (et donc contourner la protection).



Je comprends que les développeurs se sentent obligés de réagir, mais j’ai peur que ces annonces fassent croire au grand public que les logiciels sont maintenant sécurisés alors que la situation est strictement identique à celle qu’elle était avant ces révélations.

votre avatar

finalement la CIA n’a qu’à invoquer l’état d’urgence et dire que ce sont des interceptions administratives pour surveiller des potentiels terroristes colporteurs de fake-news.

Personne ne peut leur interdire de lutter contre le terrorisme, non ?



De toutes façons un type qui est sous w10 et qui par peur d’être espionné utiliserait VLC et notepad++ c’est un peu suspect, non ?



voila, pardon aux familles toussa … maintenant circulez !

votre avatar

On sait si le Démineur ou le Spider Solitaire sont infectés ? :lol:

votre avatar







Cashiderme a écrit :



Et je pense que la CIA à ce qu’il faut pour signer des binaires windows.





Non. C’est VideoLan qui signe son soft, pas Microsoft.


votre avatar







KooKiz a écrit :



C’est le même souci pour Notepad++. La protection vérifie le certificat de la DLL, mais si la CIA a les moyens de modifier la DLL alors ils ont aussi les moyens de modifier l’EXE (et donc contourner la protection).



Je comprends que les développeurs se sentent obligés de réagir, mais j’ai peur que ces annonces fassent croire au grand public que les logiciels sont maintenant sécurisés alors que la situation est strictement identique à celle qu’elle était avant ces révélations.





N’importe qui peut modifier une dll et un exe. Il y a pleins de logiciels qui le font très bien comme Ollydbg, mais faut pouvoir le signer après. Et ça c’est autre chose. <img data-src=" />


votre avatar

Tout un plat pour des failles non exploitables à distance et nécessitant un accès physique… En gros ça concerne de grosses affaires et les gens lambda ne sont absolument pas concernées.



<img data-src=" />

votre avatar

Je rappelle à tout hasard que la CIA, contrairement à la NSA qui aspire tout ce qu’elle peut, fait de l’espionnage ciblé de personnes bien précises, en-dehors de ses frontières (et peut-être de quelques étrangers sur le sol US, si ce n’est pas l’apanage du FBI).



Pour ceux qui ont vu la série britannique Spooks (MI-5 en français), on voyait de telles opérations effectuées par le contre-espionnage britannique, la série donnant l’impression qu’ils étaient très forts à ce “jeu” d’infiltration d’ordinateur, avec l’informaticien maison au top évidemment :-) . Série pas mal du tout au demeurant :fr.wikipedia.org Wikipedia .

votre avatar







matroska a écrit :



Tout un plat pour des failles non exploitables à distance et nécessitant un accès physique… En gros ça concerne de grosses affaires et les gens lambda ne sont absolument pas concernées.



Si une espionne américaine blonde à forte poitrine vient chez toi sous un prétexte fallacieux, je suis certain que ta vigilance risque d’être amoindrie et que tu lui laissera tripoter ton ordinateur et jouer avec ton joystick.

Donc tout le monde est concerné, c’est juste le nombre d’espionnes qui est limité.&nbsp;


votre avatar







Ricard a écrit :



Non. C’est VideoLan qui signe son soft, pas Microsoft.







C’est celui qui compile le code qui le signe, pas forcément Videolan.


votre avatar

Moi, tant qu’il y a un popup qui dit que VLC est authentique, j’ai confiance.

Peu importe que le popup soit codé par JBK ou CIA. <img data-src=" />



Bon, j’attend de voir comment les éditeurs open-source vont faire pour nous prouver qu’une version de soft downloadée ici ou là est authentique.



Un vérificateur “Genuine” à la Microsoft ? Un DRM à la Trusted Platform ? Mystère…

votre avatar







Cashiderme a écrit :



C’est celui qui compile le code qui le signe, pas forcément Videolan.





Et donc la signature sera différente de l’officiel.


votre avatar







picatrix a écrit :



Si une espionne américaine blonde à forte poitrine vient chez toi sous un prétexte fallacieux, je suis certain que ta vigilance risque d’être amoindrie et que tu lui laissera tripoter ton ordinateur et jouer avec ton joystick.

Donc tout le monde est concerné, c’est juste le nombre d’espionnes qui est limité.&nbsp;





Moi, la blondasse elle peut jouer autant qu’elle veut avec mon joystick, mais elle foutra pas ses paluches sur mon PC. <img data-src=" />


Vault 7 : Wikileaks aidera les éditeurs, Intel, VLC et Notepad++ réagissent

  • Wikileaks aidera à la résolution des failles avant de publier d'autres documents

  • VLC réagit et prépare une version Windows « anti-CIA »

  • Notepad++ corrige un problème équivalent

  • Intel publie des outils de sécurité

  • Les outils de la CIA ne sont pas forcément sophistiqués

Fermer