Encore un coup d’éclat du célèbre tracker Bittorrent suédois, Thepiratebay, qui, au-delà de représenter un populaire réseau d’échange de fichiers médias, incarne la lutte qui oppose les associations qui défendent les intérêts de l’industrie du divertissement et les plateformes proposant gratuitement du contenu soumis aux diverses lois qui régissent les droits d'auteurs.

Le 15 septembre 2007, un morceau de base de données MySQL de la société MediaDefender, prestataire technique œuvrant pour la RIAA et la MPAA, a été piraté et 700 Mo d’emails ont été mis à disposition des internautes via les réseaux P2P. Les informations contenues dans ces messages semblaient indiquer que MediaDefender utilisait des moyens illégaux (DDos, hacking, spamming…) afin de servir les intérêts de ses clients. Thepiratebay a donc tous simplement décidé de poursuivre en justice les sociétés membres de MediaDefender et présentes en Suède (Twentieth Century Fox, Sony, Ubisoft…).

Cette décision colle parfaitement à la réputation d’iconoclaste que PirateBay se plait à entretenir. Depuis sa création et suite à la lutte qui l’a opposé à la MPAA, les provocations ont été nombreuses : appel au don afin d'acheter l'île de Sealand pour fonder une micronation, organisation des « OscarTorrents », alternative à la cérémonie des Oscars, création d'un service gratuit et sans censure d'hébergement d'images... Chacune de ces annonces, en plus d’être particulièrement bien diffusées sur le Web (réseau de blogs, portail d’infos…) cherche avant tout à faire grincer les dents des différents lobbys de l’industrie du divertissement.

De plus, cette fuite d’informations, banale par les temps qui courent, a pris une tournure militante puisqu’elle a été revendiquée par le Groupe « MediaDefender – Defenders », qui dénoncent publiquement les méthodes employées par cette société pour lutter contre le piratage de contenus audiovisuels. MediaDefender, dont la prudence n’est décidément pas la première des qualités, s’était déjà fait connaitre en juillet 2007, après la mise en ligne d’une plateforme vidéo censée agir comme un « pot de miel » à amateurs de vidéos, Mivii.com, mais dont une simple requête whois révélait l’origine et la vraie nature…

A mon avis, il serait souhaitable que l’industrie du disque et du cinéma prenne définitivement conscience que l’arme législative et l’opposition frontale ne représentent pas la panacée dans la lutte contre la diffusion et l’exploitation de ce type de données. Ces dernières années, les poursuites contre les portails de liens Torrents se sont multipliées, à l’exemple de la fermeture récente du tracker populaire Demonoïd, mais leur nombre n’a fait que croitre. De plus, cette diabolisation systématique des plateformes d'échanges et le stakhanovisme juridique associé décrédibilise des structures qui, concrètement, ne cherchent qu'à faire respecter le droit. Imaginer des contre-mesures commerciales adaptées à ce nouveau marché me semble, à long terme, être une stratégie bien mieux adaptée.

Le cert-lexsi a été informé aujourd'hui d'une faille critique impactant le site Web principal de l'éditeur de logiciels ADOBE.

Cette faille portait sur un script CGI du site qui permettait la récupération de données sensibles telles que des fichiers de configuration du serveur web.

Le cert-lexsi, comme probablement plusieurs autres professionnels de la sécurité, a avisé Adobe dans les plus brefs délais de la présence de cette faille. Malheureusement, certains pirates ont été plus rapides.

Selon un article de heise.de, le site web d'Adobe aurait été piraté aujourd'hui via l'exploitation de cette faille, combinée avec d'autres méthodes (récupération de fichiers de mots de passe, et de clefs SSL).

Cela nous démontre encore une fois que personne n'est à l'abri de ce genre de faille...

A noter la belle réactivité d'Adobe, puisque le site web est toujours en ligne et que la faille a d'ores et déjà été corrigée.

Some days ago, a 25 years old chinese programmer named Li Jun, has been sentenced to four years of prison. Li Jun is the writer of the famous "Fujacks" computer virus, also known as "Panda Burns Joss Stick". Three of his friends, Wang Lei, Zhang Shun and Lei Lei, have also been sentenced in the same case.

The virus had been sold by Li Jun and his accomplices, and had made them earn between 100 000 and 200 000 yuan (12 500-25 000 dollars). Once a machine was infected with Fujacks, it was changing the icon of every infected program. The new icon was a panda holding joss sticks. It was also stealing private information from users.

Earlier this year, Li Jun had written a software solution to clean infected machines from his virus, following a request from the Chinese authorities. It seems that the prosecutor didn't really take this into account.

Now what is more disturbing is that quite immediately after this judgement, Li Jun saw himself "spammed" with job offers from IT companies. A company hit by the malware has offered Li Jun a position of technology director, including a salary of a million yuan ($130.000) a year, after hearing that Li Jun had programmed the virus because he was bored of not finding a job, according to the Changjiang Times. About ten companies have also offered jobs to the malware author.

This idea of "doing the worst to get the best" is very disturbing in the IT field. There have been numerous cases through the last twenty years showing that some malicious programmers could get real good jobs, and this affair is surely not the only one this year. 17 years old Georges Hotz is another example of a sudden job success. By breaking the iPhone lock protection, making it able to be used on any operators, Georges was offered a job at Certicell, as a consultant.

These are only two cases amongst many. Of course, when someone is sentenced to prison and comes back to society, he should be fully reintegrated into it. But coming back from prison and getting a juicy job could give ideas to a lot of other programmers, bored of being jobless. Especially in countries where laws are unexistent or very accomodating with such cases...

Nous sommes heureux d'apprendre aujourd'hui que notre collègue Florent (plus connu sous son célèbre alias "Barbu en Chef") est arrivé à la quatrième position du réputé challenge d'ingénierie inverse organisé par F-Secure.

C'est d'autant plus réjouissant que pour terminer ce challenge, Florent a eu recours à une application interne développée sous sa gouverne par l'équipe du Cert, qui permet d'automatiser l'analyse de programmes malveillants complexes (et donc de programmes tout court). Elle s'est avérée un excellent complément aux compétences de reverse engineering de Florent.

Par ailleurs ce concours, outre son aspect ludique et formateur, permet de gagner une place pour la conférence T2'07 - Information Security Conference qui aura lieu le 11-12 octobre prochain à Helsinki en Finlande. Ce rendez-vous annuel permet de discuter des dernières recherches autour des techniques d'audits et de "pen-testing", tout comme d'élaborer des stratégies de défense. Les présentations qui sont effectuées ont de plus l'avantage d'être techniques et accompagnées de démonstrations.

Florent, on te souhaite maintenant d'être l'heureux élu du tirage au sort effectué parmi les 10 premiers gagnants du challenge !

je vais bientôt avoir du mal à trouver un titre différent pour chaque billet qui parle de notre ami Storm, tant les auteurs du malware sont inspirés pour créer des variantes toutes plus amusantes les unes que les autres ... La dernière en date se présente comme toujours sous la forme d'un courriel assez succinct (d'un spam en fait), vous proposant de télécharger des jeux vidéos gratuits (sic) :

En suivant le lien proposé on tombe alors sur un (des nombreux) jolis sites Web utilisés par le malware, qui proposent effectivement le téléchargement de nombreux jeux ... portant tous le même nom de binaire, "ArcadeWorld.exe" :

Et en bas de page, ce qui est devenu la signature de l'artiste, la tentative d'exploitation de vulnérabilité par Windows Media Player est bien présente :

A l'heure actuelle, le binaire est détecté par la grande majorité des éditeurs antivirus (21 sur 32).

Les traditionnels correctifs mensuels de Microsoft viennent d'être publiés. Ce mois-ci, un seul bulletin est qualifié de critique, et trois d'importants. Les produits impactés sont Microsoft Agent, MSN et Live Messenger, Windows Services for UNIX et Visual Studio.

Parmi ces bulletins, trois permettent l'exécution de code arbitraire :
MS07-051 : Une vulnérabilité de type débordement de tampon dans la pile dans Microsoft Agent pouvant être exploitée via une page web malicieuse (Ref. Lexsi 9035).
MS07-052 : Une vulnérabilité de type débordement de tampon dans la pile dans Microsoft Visual Studio pouvant être exploitée via un fichier RPT spécialement formé (Ref. Lexsi 7805).
MS07-054 : Une vulnérabilité de type débordement de tampon dans le tas dans Microsoft MSN et Live Messenger pouvant être exploitée via la fonctionnalité de vidéo conférence (Ref. Lexsi 8991).

La vulnérabilité suivante rend possible une élévation de privilèges :
MS07-053 : Une vulnérabilité de type élévation de privilèges dans Microsoft Services for UNIX (Ref. Lexsi 9037).

L'exécution de code arbitraire par le biais de l'une de ces vulnérabilités n'est heureusement possible que par une interaction avec l'utilisateur, en lui faisant ouvrir un fichier ou une page web spécialement formés, ou en lui proposant une conférence vidéo pour la vulnérabilité impactant MSN et Live Messenger.
Encore une fois, il faut bien sûr s'assurer de ne jamais accepter d'ouvrir un contenu quelconque dont la provenance n'est pas sûre.

Un nouveau pays occidental est venu se rajouter au concert des nations évoquant à grand renfort de communiqués de presse des attaques informatiques contre leurs réseaux gouvernementaux.

En effet, après les USA, le Royaume-Uni, l'Allemagne, la France, le Japon,... le gouvernement néo-zélandais a également publié son propre communiqué pour indiquer que certains de ses réseaux avaient eux aussi été récemment victimes d'attaques informatiques. Cette large publicité d'attaques dirigées contre son réseau pourrait sembler au premier abord peu à propos.
Mais ce serait oublier l'intérêt de ce type de déclarations en matière d'influence politique et diplomatique.

Il est d'ailleurs bien sûr précisé dans les dépêches qu'aucune donnée confidentielle n'a pu être interceptée suite à ces attaques. Les services secrets du pays ont d'ailleurs clairement identifié les gouvernements étrangers (sic!) à l'origine de ces attaques.

Les rédactions des médias généralistes de par le monde ont ainsi rapporté cette information, mais l'ont très peu commentée et analysée. En France, l'article "Cyberguerre en dentelle" de Louis-Marie Horeau paru aujourd'hui en 4ème de couverture du Canard Enchaîné, est revenu sur les déclarations quasi-mimétiques, diffusées les jours précédents par les différents gouvernements "victimes".

La conclusion de ce journaliste est sans concession :

Il faut se faire une raison, ce que les gazettes racontent, ce n'est pas la guerre. Et la vraie cyberguerre, elle, n'est jamais racontée.

Evidemment, il est assez rare d’admettre publiquement que des attaques informatiques parviennent à leurs fins. Un article récent du Times, même si encouragé par le Pentagon lui-même, rappelle au besoin que c’est cependant parfois le cas.

On se souvient également il y a quelques temps de la médiatisation de l’opération Titan Rain ou de l’attaque du Naval War College.

La concentration dans le temps des réactions des pays dans cette affaire montre une possible stratégie d’influence dirigée en direction de la Chine. Comme l’explique l’article paru sur le site Knowckers, cette démarche, à l’instar de la crise des jouets fabriqués en Chine, n’est probablement pas le fruit du hasard.
Il s’agit notamment selon cette source de faire pression sur le gouvernement chinois, et de placer cette thématique au cœur de l’agenda diplomatique international.

Une opération internationale coordonnée par l'EFCC nigérian, l'USPS américain et le SOCA anglais a mis à mal un réseau d'arnaques 419.

Plus de 15 000 chèques ont été interceptés dans des courriers à destination de Lagos, pour un montant de fraude estimé à près de 323 millions d'euros.
Des opérations similaires ont été menées en Espagne, aux Pays-Bas, au Royaume-Uni et aux Etats-Unis (les pays "privilégiés" de ce type d'arnaqueurs).

Plus d'informations sur le site du EFCC ou dans cet article.

En regard des montants faramineux de ce type de fraude dans le monde (et comme il est précisé dans le communiqué), cette opération d'envergure sert surtout à sensibiliser le public à ce problème, ainsi qu'à souligner et encourager les efforts entrepris par le Nigéria :

Sean Lynch who was at the head of the United States Postal Service team described the operation as an eye opener. He said the exercise has proved that not all Nigerians are involved in the scam. He also commended the efforts of EFCC in combating financial crimes in Nigeria.

Alors que près de 300 000 personnes dans le monde participeraient à ces schémas de fraude, ces déclarations "diplomatiques" permettent notamment d'améliorer les relations entre agences gouvernementales étrangères amenées à collaborer de plus en plus souvent avec le Nigéria où se situe la plupart de ces individus.

Mais ces louanges ne sont pas que politiques, et ne sont pas dépourvues de fondements : nous avons effectivement pu constater une prolifération des scammeurs sur toute l'Afrique de l'Ouest (Bénin, Côte d'Ivoire, Ghana, Burkina-Faso...).
Certaines organisations nigérianes telles que l'EFCC créé en 2003 tentent effectivement - en vain - d'endiguer le phénomène dans ce pays.