Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Destover, le malware signé avec un certificat dérobé à Sony Pictures

Le recyclage est écologique

Destover, le malware signé avec un certificat dérobé à Sony Pictures

Le 10 décembre 2014 à 15h04

Des pirates ont dérobé à Sony de nombreuses données il y a deux semaines. Parmi elles, des certificats de sécurité, dont au moins un servant désormais à signer un malware, causant des difficultés à certains antivirus.

Dans le trésor de guerre du pillage de Sony, plusieurs certificats...

L’attaque contre Sony Pictures Entertainment continue de dévoiler des retombées, et elles ne visent pas toutes l’entreprise. Jour après jour, les pirates des Guardians of Peace ont diffusé une partie des données qui ont été volées il y a plus de deux semaines, notamment quatre films qui ne sont pas encore sortis au cinéma, ainsi qu’un autre (Fury), sorti en septembre mais non disponible sur DVD. Analyses financières, informations personnelles sur les employés et certains acteurs, bilans comptables et autres peuvent se retrouver sur la toile.

 

Parmi les données, on trouvait également de nombreuses informations touchant à la sécurité, notamment des mots de passe et des clés de chiffrement. Plusieurs certificats de sécurité se trouvaient également dans le lot, et c’est là que les choses se corsent. Les certificats sont utilisés en effet pour signer une application ou un site, afin qu’il soit reconnu par un système d’exploitation ou un navigateur comme étant ce qu’il prétend : une création authentique et légitime provenant d’une entreprise.

... dont un sert désormais à signer un malware : Destover 

Or, l’un des certificats est actuellement utilisé par un malware nommé Destover. Il s’agit en fait d’une famille de chevaux de Troie, comme l’explique Kaspersky qui raconte sa découverte. Elle a été utilisée plusieurs fois dans des scénarios d’attaque baptisés DarkSeoul, ainsi que dans l’attaque contre Sony Pictures. Et justement, une variante trouvée par Kaspersky en date du 5 décembre est justement signée avec un certificat authentique provenant de Sony.

 

destover

 

Kaspersky ne dit pas clairement en quoi consiste le fonctionnement de Destover. Le cheval de Troie contient deux portes dérobées et communique avec deux adresses IP correspondant à des serveurs de contrôle, qui doivent lui envoyer des instructions. L’un est situé aux États-Unis, l’autre en Thaïlande.

 

Il s’agit d’un vecteur particulièrement séduisant pour les pirates puisque le certificat permet de faire passer le malware pour un composant logiciel provenant de Sony. Certains antivirus se feront avoir, même si la plupart ont un moteur heuristique suffisamment efficace pour détecter l’activité frauduleuse. Mais le certificat permettra de passer en tout cas à travers des filtres basés sur des listes blanches, la signature de Sony étant globalement acceptée telle quelle.

La problématique des certificats et de la chaine de confiance 

Le cas souligne une fois de plus la problématique qui entoure les certificats et la confiance qui en découle. Ils ont été créés justement pour prouver qu’une création est bien d’une personne morale ou physique, avec une vraie traçabilité. Mais si un certificat authentique est volé, c’est toute la chaine de confiance qui se retrouve brisée.

 

Kaspersky indique sur son blog Secure List avoir contacté COMODO et Digicert pour les avertir. Ces autorités de certification devraient procéder rapidement à la révocation du certificat, qui ne sera alors plus reconnu comme authentique. Le problème évidemment est que pour Sony, cela impliquera d'acheter un autre certificat et de remplacer celui qui a été révoqué, si bien sûr il était utilisé.

 

Ceux qui souhaitent vérifier que leur antivirus bloque bien la menace pourront contrôler la liste fournie par VirusTotal. On peut y voir que toutes les principales solutions de sécurité reconnaissent maintenant le cheval de Troie.

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Rhooo bon ça va, une intrusion pour une telle boite, c’est pas trop grave. Et c’est à la mode.



C’est pas comme si ça leur était déjà arrivé … oh … oh mais attendez …



<img data-src=" />

votre avatar

C’est même Sony qui aurait dû le faire révoquer sans attendre.

Quand tu perds tes clés, faut pas attendre d’être cambriolé pour changer les serrures…

votre avatar







Arcy a écrit :



C’est pas comme si ça leur était déjà arrivé …



… peu de temps après que Sony ait licencié une bonne partie de son équipe système et réseau, notamment ceux qui s’occupaient de la sécurité. <img data-src=" />


votre avatar

Est-ce qu’ils savent vraiment ce qui a fuité?&nbsp; <img data-src=" />



Blague à part, ça craint un peu pour eux. A mon avis leur service informatique console ne discute pas avec leur service informatique cinéma. <img data-src=" />

votre avatar

Le problème de la révocation, c’est que ça ne marche pas en pratique.

Source : https://www.imperialviolet.org/2014/04/29/revocationagain.html via Bortzmeyer

votre avatar

Quelqu’un a une idée du prix d’un certificat ? Merci.

votre avatar

le coup des certificats,c ‘est géré par l’OS (enfin windows) dans une màj système ? Ou c’est indépendant ?

votre avatar

Hum… Je ne sais pas pourquoi, mais je sent que l’on va avoir un leak des clés de la PS3, la PS4, la PSvita, et des Blu-Ray prochainement… <img data-src=" />



Je pensais vraiment pas qu’ils auraient réussit à récupérer des données aussi importantes qu’un certificat, alors pour le reste…

votre avatar

Pour faire bloquer un site, un lein pour leur ayant droit de m*, ce sont les premiers à faire les demandes de blocage



mais pour leur certif tipiaké , y a personne …vu que cela n’est pas leurs données qui peuvent en souffrir …

votre avatar

Très variable et ça dépend de ce que tu veux en faire et de la durée de validité.

Ça va de 0 pour un certificat de serveur web pour 6 mois ou 1 an à plusieurs milliers d’€ pour un certificat “Extended Validation”…

votre avatar

Certaines applis utilisent les certificats de l’OS (oui, il y a des mises à jours WindowsUpdate pour ça), d’autres ont leur propre catalogue (java, certains navigateurs comme Firefox).

votre avatar

&nbsp; Sur ce coup la; Sony :

-s’est pris les pieds dans le tapis,

-a dévalé les escaliers en roulade permanente,

-a rebondi sur le mur (+3 tours sur lui-même),

-a re-dévalé le deuxième escalier,

-a finalement atterri le dentier en premier sur le carrelage du salon,

-a continué en glissade sur la terrasse, puis la pelouse,

-et finalement a été arrêté par le pommier.

&nbsp;



Quoiqu’il en soit on ne peut s’empêcher de penser a ses concurrents qui doivent se frotter les mains.



&nbsp;

votre avatar

C’est dommage, parce que c’est un peu la base pour une sécurité avec chaîne de confiance..

votre avatar







papinse a écrit :



Certaines applis utilisent les certificats de l’OS (oui, il y a des mises à jours WindowsUpdate pour ça), d’autres ont leur propre catalogue (java, certains navigateurs comme Firefox).





<img data-src=" />

me rappelle d’un souci avec un KB de certificat racine sous Seven y’a 1 ou 2 ans..


votre avatar







bingo.crepuscule a écrit :



Hum… Je ne sais pas pourquoi, mais je sent que l’on va avoir un leak des clés de la PS3, la PS4, la PSvita, et des Blu-Ray prochainement… <img data-src=" />



Je pensais vraiment pas qu’ils auraient réussit à récupérer des données aussi importantes qu’un certificat, alors pour le reste…







Ca métonnerait qu’elles soient au même endroit c’est Sony pictures qui a été piraté pas Sony Computer Entertainement.


votre avatar

Et pour les Blu-ray ? <img data-src=" />

votre avatar

XBMC ne va pas tarder à lire les Blu-Rays&nbsp;<img data-src=" />

votre avatar

Ils ont pompé l’idée à Stuxnet&nbsp;<img data-src=" />

votre avatar

ca commence… va falloir se méfier de tout ce qui est signé bientôt^^

votre avatar







coket a écrit :



ca commence… va falloir se méfier de tout ce qui est signé bientôt^^





Surtout des femmes, quand c’est signé Cat’s Eyes.


votre avatar

<img data-src=" />

votre avatar

J’ai quand même eu un bref rictus.

votre avatar



Le cas souligne une fois de plus la problématique qui entoure les certificats et la confiance qui en découle. Ils ont été créés justement pour prouver qu’une création est bien d’une personne morale ou physique, avec une vraie traçabilité.





Et tout ce qu’on a finalement, c’est une preuve que l’auteur de la création connait la clé de chiffrement.

Ce qui est le cas ici.



Bref, les certificats ne remplissent pas leur role. USELESS.

votre avatar

Pas d’accord. La faille est chez Sony Pictures, pas dans le système des certificats.

votre avatar

Le système joue son rôle si l’acheteur du certificat le garde secret, ce dont il a tout intérêt de faire. Alors oui, ça crée des angles d’attaque, mais tout système de sécurité possède une surface d’attaque. Et dans le cas des certificats le temps a montré que la balance bénéfices/risques était avantageuse.

votre avatar

Une clé ou un mot de passe prouve l’identité d’une personne seulement si on a la preuve que la clé/mot-de-passe est connu seulement de cette personne.



Quand bien même NextINpact t’assure que seul qqn qui connait mon user/pwd a écrit ce commentaire, ca ne prouve absolument pas que je suis 127.0.0.1. Je suis peut être sa femme, son fils, un ami de passage, un hacker, un admin du site, un bot, …



&gt;Le système joue son rôle si l’acheteur du certificat le garde secret



Non. Le système joue son rôle si tu as la preuve que l’acheteur du certificat a gardé le secret. Mais ca, le système actuel ne le garantit pas.

votre avatar

Sony à un mal de chien à protéger ses donnée, on dit que beaucoup apprenne de leur erreur mais visiblement Sony ne fait pas partie de cette catégorie, après un PSN piraté deux fois on à le droit a sony picture maintenant ça fait vraiment pas sérieux pour une boite de cette envergure

votre avatar

Tu ne peux pas utiliser un certificat sans les mots de passe qui vont avec =&gt; en clair ET volés chez Sony.

&nbsp;En cas de certificat compromis, tu révoques le certificat et tu en mets un autre =&gt; non réaction de Sony.

&nbsp;Il a bon dos le système ^^

votre avatar

Sony fidèle à lui-même et à son incompétence crasse.









jb18v a écrit :



le coup des certificats,c ‘est géré par l’OS (enfin windows) dans une màj système ? Ou c’est indépendant ?









jb18v a écrit :



<img data-src=" />

me rappelle d’un souci avec un KB de certificat racine sous Seven y’a 1 ou 2 ans..







J’ai d’ailleurs eu une maj W8 concernant les certificats ce matin.


votre avatar







psn00ps a écrit :



Tu ne peux pas utiliser un certificat sans les mots de passe qui vont avec =&gt; en clair ET volés chez Sony.

 En cas de certificat compromis, tu révoques le certificat et tu en mets un autre =&gt; non réaction de Sony.

 Il a bon dos le système ^^





Le système repose sur un certain nombre d’acteurs de confiance : confiance dans les CA, confiance dans le fait que la partie privée reste privée etc.



Ensuite on a mis en place des procédure pour permettre de conserver cette confiance. Si tu n’as plus confiance dans un acteur, oui les certificats ne servent à rien. Mais en même temps tu es censé agir en connaissance de cause dans ce cas.



Pour localhost les certificats ne servent à rien parce qu’il n’a plus confiance en aucun acteur. Cool pour lui. Moi je sais que sur mon PC les acteurs que j’ai autorisé je leur fais confiance et dans ce cas le système de certificat fonctionne comme il est sensé fonctionner.



Quand on se place dans les conditions d’utilisations du système de certificat, celui-ci fonctionne. Si on en sort il ne fonctionne plus. Rien de choquant là-dedans. Par contre il est pertinent de critiquer ces conditions d’utilisation, surtout si on considère que les gens ne sont que très rarement conscient des certificats qu’ils ont sur leur PC.


Destover, le malware signé avec un certificat dérobé à Sony Pictures

  • Dans le trésor de guerre du pillage de Sony, plusieurs certificats...

  • ... dont un sert désormais à signer un malware : Destover 

  • La problématique des certificats et de la chaine de confiance 

Fermer