TRIBUNE : les hackers se régalent de la faille .ANI de Microsoft

Microsoft a publié ce 3 avril un correctif pour fermer la faille sur les fichiers .ANI des curseurs de souris animés. Mais déjà le 1^er avril malwares, adwares et botnets envahissaient la toile afin de l’exploiter.

Selon certains experts, l’origine de ces attaques viendrait, de Chine, développée par des hackers chinois dans le but de dérober des codes et mots de passe de joueurs en ligne sur World of Warcraft. Une première pour la Chine !

Le décalage est en revanche flagrant entre la révélation d’une faille, son appropriation par les hackers malfaisants et la réaction de Microsoft. Officiellement quelques jours, mais certains experts affirment que l’éditeur avait été informé du bug dans son produit et du danger que cela représente dès la fin décembre 2006?

Démonstration également de l’industrialisation et de l’internationalisation galopante des menaces mafieuses, la réactivité des pirates a été quasi immédiate. Quelques heures à peine après la révélation ‘officielle’ de la faille, du code malicieux l’exploitant circulait sur la face ‘underground’ de la toile !

Autre démonstration du crime organisé qui gravite autour de l’Internet et des internautes, les sociétés de sécurité qui scrutent la toile ont observé ces derniers jours des pics de spam qui invitent à suivre des liens vers des sites détournés qui exploitent la faille .ANI.

Le plus couru actuellement propose de télécharger des photos ‘Hot Pictures‘ d’une certaine ‘Britiney Speers‘ ! Le code en JavaScript redirige vers des sites de téléchargement de malwares contrôlés par des serveurs de cyber criminels russes?

Websense aurait également découvert 450 sites qui hébergent pour les diffuser des spywares basés sur la faille, et bien évidemment des dizaines d’URL infectées par le malware. Ces dernières cachent le programme ‘ad.exe‘ qui dérobe les mots de passe saisis par les internautes.

Enfin la firme Exploit Prevention Labs a lancé une alerte sur un root kit ‘200.exe‘ distribué par un spam, qui de nouveau exploite la faille, mais qui beaucoup plus sophistiqué renvoie vers les serveurs de comptes Hotmail de Microsoft, ce qui crée un anneau auto alimenté.

Le code malicieux se cache alors dans les balises html, ce qui le rend difficile à détecter par les anti-virus qui n’ont pas été formés pour reconnaître ce type de signature plutôt vicieuse. Le nombre de machines infectées par ce type d’attaque demeure une inconnue.

Or, comme les anti-virus présents sur la majorité des postes des internautes ne sont pas mis à jour et que le correctif est loin d’avoir rempli son office, la faille révélée par Microsoft est devenu un gouffre béant où les pirates de tout poil tentent de s’engouffrer.

Et pourtant, malgré tout cet abattage public autour d’une menace fortement médiatisée sur la plate-forme de Microsoft, certains experts s’interrogent sur la faible envergure des attaques !

Matt Sergeant, un expert de MessageLabs, confirme quant à lui que les hackers russes sont aujourd’hui capables d’exploiter les nouvelles failles avec d’un code malware transporté par des masses de spams dans une période très courte. Cela sous-entend que le danger est plus grand qu’on ne l’imagine.

Sauf qu’à force de verrouiller tous les accès, les espaces libres pour lancer des attaques sont finalement de plus en plus restreints.

L’affaire .ANI de Microsoft est donc un révélateur. D’une part de la nécessaire et indispensable réactivité des éditeurs, surtout lorsqu’on s’appelle Microsoft et que l’on est systématiquement placé sur le devant de la scène. D’autre part, l’organisation des pirates mafieux, qui disposent des ressources nécessaires pour exploiter en masse les failles qui se présentent.

On imagine aujourd’hui des pools de développeurs russes ou des pays de l’Est, voire chinois, en veille 24 heures sur 24, et capables de répandre leur venin sur la toile très rapidement avant qu’une faille entrouverte ne soit refermée.

Mais le fond du problème reste l’internaute. Car sans son inconscience le spam tomberait à l’eau, les malwares et autres botnets resteraient dans les cartons, et les hackers devraient se recycler. Nul doute que ces derniers trouveraient une autre façon de piéger le chaland !

Finalement, la meilleure solution pour protéger la toile, ne serait-ce pas de l’interdire aux internautes ? Mais qui paiera alors les experts en sécurités, les développeurs d’anti-virus, et les médias pour parler des failles et des menaces ? Non décidément la sécurité est un trop riche écosystème pour qu’on ne laisse pas les éditeurs tergiverser avant de se préoccuper de corriger leurs erreurs? Et les internautes continuer de se faire piéger en masse !

C’est là l’un des paradoxes de la sécurité informatique…