Des pirates ont dérobé à Sony de nombreuses données il y a deux semaines. Parmi elles, des certificats de sécurité, dont au moins un servant désormais à signer un malware, causant des difficultés à certains antivirus.
Dans le trésor de guerre du pillage de Sony, plusieurs certificats...
L’attaque contre Sony Pictures Entertainment continue de dévoiler des retombées, et elles ne visent pas toutes l’entreprise. Jour après jour, les pirates des Guardians of Peace ont diffusé une partie des données qui ont été volées il y a plus de deux semaines, notamment quatre films qui ne sont pas encore sortis au cinéma, ainsi qu’un autre (Fury), sorti en septembre mais non disponible sur DVD. Analyses financières, informations personnelles sur les employés et certains acteurs, bilans comptables et autres peuvent se retrouver sur la toile.
Parmi les données, on trouvait également de nombreuses informations touchant à la sécurité, notamment des mots de passe et des clés de chiffrement. Plusieurs certificats de sécurité se trouvaient également dans le lot, et c’est là que les choses se corsent. Les certificats sont utilisés en effet pour signer une application ou un site, afin qu’il soit reconnu par un système d’exploitation ou un navigateur comme étant ce qu’il prétend : une création authentique et légitime provenant d’une entreprise.
... dont un sert désormais à signer un malware : Destover
Or, l’un des certificats est actuellement utilisé par un malware nommé Destover. Il s’agit en fait d’une famille de chevaux de Troie, comme l’explique Kaspersky qui raconte sa découverte. Elle a été utilisée plusieurs fois dans des scénarios d’attaque baptisés DarkSeoul, ainsi que dans l’attaque contre Sony Pictures. Et justement, une variante trouvée par Kaspersky en date du 5 décembre est justement signée avec un certificat authentique provenant de Sony.
Kaspersky ne dit pas clairement en quoi consiste le fonctionnement de Destover. Le cheval de Troie contient deux portes dérobées et communique avec deux adresses IP correspondant à des serveurs de contrôle, qui doivent lui envoyer des instructions. L’un est situé aux États-Unis, l’autre en Thaïlande.
Il s’agit d’un vecteur particulièrement séduisant pour les pirates puisque le certificat permet de faire passer le malware pour un composant logiciel provenant de Sony. Certains antivirus se feront avoir, même si la plupart ont un moteur heuristique suffisamment efficace pour détecter l’activité frauduleuse. Mais le certificat permettra de passer en tout cas à travers des filtres basés sur des listes blanches, la signature de Sony étant globalement acceptée telle quelle.
La problématique des certificats et de la chaine de confiance
Le cas souligne une fois de plus la problématique qui entoure les certificats et la confiance qui en découle. Ils ont été créés justement pour prouver qu’une création est bien d’une personne morale ou physique, avec une vraie traçabilité. Mais si un certificat authentique est volé, c’est toute la chaine de confiance qui se retrouve brisée.
Kaspersky indique sur son blog Secure List avoir contacté COMODO et Digicert pour les avertir. Ces autorités de certification devraient procéder rapidement à la révocation du certificat, qui ne sera alors plus reconnu comme authentique. Le problème évidemment est que pour Sony, cela impliquera d'acheter un autre certificat et de remplacer celui qui a été révoqué, si bien sûr il était utilisé.
Ceux qui souhaitent vérifier que leur antivirus bloque bien la menace pourront contrôler la liste fournie par VirusTotal. On peut y voir que toutes les principales solutions de sécurité reconnaissent maintenant le cheval de Troie.
Commentaires (30)
Rhooo bon ça va, une intrusion pour une telle boite, c’est pas trop grave. Et c’est à la mode.
" />
C’est pas comme si ça leur était déjà arrivé … oh … oh mais attendez …
C’est même Sony qui aurait dû le faire révoquer sans attendre.
Quand tu perds tes clés, faut pas attendre d’être cambriolé pour changer les serrures…
Est-ce qu’ils savent vraiment ce qui a fuité? 
" />
" />
Blague à part, ça craint un peu pour eux. A mon avis leur service informatique console ne discute pas avec leur service informatique cinéma.
Le problème de la révocation, c’est que ça ne marche pas en pratique.
Source : https://www.imperialviolet.org/2014/04/29/revocationagain.html via Bortzmeyer
Quelqu’un a une idée du prix d’un certificat ? Merci.
le coup des certificats,c ‘est géré par l’OS (enfin windows) dans une màj système ? Ou c’est indépendant ?
Hum… Je ne sais pas pourquoi, mais je sent que l’on va avoir un leak des clés de la PS3, la PS4, la PSvita, et des Blu-Ray prochainement…
" />
Je pensais vraiment pas qu’ils auraient réussit à récupérer des données aussi importantes qu’un certificat, alors pour le reste…
Pour faire bloquer un site, un lein pour leur ayant droit de m***, ce sont les premiers à faire les demandes de blocage
mais pour leur certif tipiaké , y a personne …vu que cela n’est pas leurs données qui peuvent en souffrir …
Très variable et ça dépend de ce que tu veux en faire et de la durée de validité.
Ça va de 0 pour un certificat de serveur web pour 6 mois ou 1 an à plusieurs milliers d’€ pour un certificat “Extended Validation”…
Certaines applis utilisent les certificats de l’OS (oui, il y a des mises à jours WindowsUpdate pour ça), d’autres ont leur propre catalogue (java, certains navigateurs comme Firefox).
Sur ce coup la; Sony :
-s’est pris les pieds dans le tapis,
-a dévalé les escaliers en roulade permanente,
-a rebondi sur le mur (+3 tours sur lui-même),
-a re-dévalé le deuxième escalier,
-a finalement atterri le dentier en premier sur le carrelage du salon,
-a continué en glissade sur la terrasse, puis la pelouse,
-et finalement a été arrêté par le pommier.
Quoiqu’il en soit on ne peut s’empêcher de penser a ses concurrents qui doivent se frotter les mains.
C’est dommage, parce que c’est un peu la base pour une sécurité avec chaîne de confiance..
Et pour les Blu-ray ?
" />
XBMC ne va pas tarder à lire les Blu-Rays 
" />
Ils ont pompé l’idée à Stuxnet 
" />
ca commence… va falloir se méfier de tout ce qui est signé bientôt^^
J’ai quand même eu un bref rictus.
Le cas souligne une fois de plus la problématique qui entoure les certificats et la confiance qui en découle. Ils ont été créés justement pour prouver qu’une création est bien d’une personne morale ou physique, avec une vraie traçabilité.
Et tout ce qu’on a finalement, c’est une preuve que l’auteur de la création connait la clé de chiffrement.
Ce qui est le cas ici.
Bref, les certificats ne remplissent pas leur role. USELESS.
Pas d’accord. La faille est chez Sony Pictures, pas dans le système des certificats.
Le système joue son rôle si l’acheteur du certificat le garde secret, ce dont il a tout intérêt de faire. Alors oui, ça crée des angles d’attaque, mais tout système de sécurité possède une surface d’attaque. Et dans le cas des certificats le temps a montré que la balance bénéfices/risques était avantageuse.
Une clé ou un mot de passe prouve l’identité d’une personne seulement si on a la preuve que la clé/mot-de-passe est connu seulement de cette personne.
Quand bien même NextINpact t’assure que seul qqn qui connait mon user/pwd a écrit ce commentaire, ca ne prouve absolument pas que je suis 127.0.0.1. Je suis peut être sa femme, son fils, un ami de passage, un hacker, un admin du site, un bot, …
>Le système joue son rôle si l’acheteur du certificat le garde secret
Non. Le système joue son rôle si tu as la preuve que l’acheteur du certificat a gardé le secret. Mais ca, le système actuel ne le garantit pas.
Sony à un mal de chien à protéger ses donnée, on dit que beaucoup apprenne de leur erreur mais visiblement Sony ne fait pas partie de cette catégorie, après un PSN piraté deux fois on à le droit a sony picture maintenant ça fait vraiment pas sérieux pour une boite de cette envergure
Tu ne peux pas utiliser un certificat sans les mots de passe qui vont avec => en clair ET volés chez Sony.
En cas de certificat compromis, tu révoques le certificat et tu en mets un autre => non réaction de Sony.
Il a bon dos le système ^^
Sony fidèle à lui-même et à son incompétence crasse.