Global Security Mag : Quel est l’état des menaces pour ce début d’année ?

Ralf Benzmüller : Les pirates informatiques utilisent toujours les mêmes technologies pour diffuser leur malware en ce début d’année. Ils sont, par contre, toujours plus astucieux pour amener les utilisateurs à cliquer sur les liens qui leur feront télécharger des malwares. Ainsi, de nombreux malwares propose de télécharger via le browser des fichiers qui sont corrompus.Toutefois, il y a quelques nouveautés comme GetCodec qui utilisent les fichiers WMA/WMV de Windows Media Player et demandent d’installer d’un Codec. Bien sûr, installer ces « nouvelles fonctionnalités conduisent à installer des logiciels corrompus via les browsers.

Les pirates utilisent aussi Javascript pour amener l’utilisateur à aller sur des sites web infectés. Bien entendu, ils continuent d’utiliser toutes les vulnérabilités Microsoft, mais aussi celle du PDF.
Parmi les nouvelles techniques de social engeniering, récemment, nous avons répertorié l’envoi d’un e-mail incluant une « facture zipper « et un certificat SSL, avec comme message « Your Invoice ». Cette association qui à l’air d’être tout à fait « innocente » induit en erreur les utilisateurs. Le certificat était un faux. D’ailleurs il ne s’exécutait pas en « double cliquant » dessus. Bien entendu, de nombreux utilisateurs ont ouvert le fichier qui était en .TXT ne se méfiant pas. Hors ce fichier contenait un exécutable dissimulé dans le texte. Ce dernier leur faisait exécuter des lignes de commande pour télécharger un rootkit.
Enfin, des malwares, de plus en plus élaborés, se servent des vulnérabilités des navigateurs. Il est donc important que les internautes utilisent des technologies de scanning le traffic http pour prévenir ces attaques.

Global Security Mag : Quel est votre avis sur Conficker ?

Ralf Benzmüller : Conficker est une combinaison d’attaque et de propagation qui est fait une menace potentiellement dangereuse. Tout d’abord, elle s’installe en utilisant une vulnérabilité dans le service RPC qui avait été pachté par Microsoft depuis octbre 2008. Toutefois, ion dénombre encore de nombreuses machines qui n’ont pas appliqué ce patch. Peu d’entre elles ne sont pourtant pas pachtables. Le second mécanisme de propagation est basé sur les devices comme les clés USB, les caméras, ou les disques durs pluggés sur les ports USB. Conficker se recopie sur le devices et crée un fichier « autorun.inf ». Si le device est connecté à une nouvelle machine, il l’infecte automatiquement. Ces deux mécanismes permettent à ce malware de se reproduire très rapidement sur les réseaux. Un troisième de propagation doit être aussi mentionné est celle qui concerne les réseaux locaux en se recopiant sur les « shared folders ». Il passe en revue toutes les possibilités de création de mots de passe comme par exemple admin123, test123, password, 123456, 1234abcd etc en essayant de trouver les mots de passe faible. Conficker fait la démonstration que l’utilisation antivirus doit être associé à du patch management, mais aussi à la mise en œuvre de mot de passe fort.