Des malwares dans nos devices...

Publié le 11 mars 2010 par Sid

C

'est via le Diary du SANS que j'apprenais la présence d'un malware dans le package logiciel qui accompagne un chargeur de piles USB Energizer. Par malware, on entendra une fort jolie backdoor qui permet d'accéder système à distance. Pas top.

Plus récemment c'est cette histoire de smartphone infecté qui est arrivée sur la table. Un utilisateur, se trouvant également être un employé de l'éditeur d'antivirus PandaSecurity, se s'étonnait d'avoir à faire face à un HTC Magic bien décidé à lui délivrer quelques méchanteries bien senties, dont le désormais célèbre Mariposa... Incident isolé qu'on nous dit...

Deux fois en moins d'une semaine, voilà de quoi susciter l'attention. Pour autant, c'est très loin d'être la première fois qu'on trouve du code malveillant distribué avec un équipement tout ce qu'il y a de plus légitime. Qu'il s'agisse d'une clé ou d'un disque dur USB, d'un cadre photo qui clignote, d'une machine pré-imagée ou de tout autre périphérique comme c'est le cas ici avec cet HTC Magic façon Vodafone Espagne, avec les exemples sont légion. Et si on s'intéresse aux bundles logiciels infectés ou backdoorés, on peut allègrement remonter en arrière de plus d'une dizaine d'années. Il n'y a donc pas de raison particulière de s'en émouvoir outre mesure, tout au plus d'exprimer une inquiétude bien légitime face au sentiment que les choses ne vont pas en s'arrangeant...

D'aucuns y voient un signe supplémentaire de l'échec flagrant de l'industrie de l'antivirus. J'aurais envie de leur dire qu'il ne sert à rien de tirer de la sorte sur les blessés, encore moins sur l'ambulance. Car cette histoire leur donne probablement plus tort que raison. En effet, si leur réactivité, bien qu'habituelle, peut-être blâmée dans le cas du trojan Energizer, il s'agissait manifestement d'un code inédit, donc non détectable via les bases de signature. Talon d'Achille bien connu et complètement assumé de ces produits. Par contre, dans le cas du HTC, c'est bel et bien l'antivirus qui a œuvré en bloquant Mariposa, ainsi que l'infection du poste par le non moins prolifique Conficker ou l'installation du voleur de d'identifiants Lineage.

Si le blâme paraît donc peut-être un peu facile, il est par contre tout à fait intéressant de s'interroger sur la pertinence d'un service plus ciblé comme SiteAdvisor quand on voit que ce dernier déclarait le logiciel Energizer sain depuis sa mise en ligne en mai 2009. Car si ce dernier ne se montre incapable de détecter l'apparition de nouvelles menaces sur la vaste toile, une conclusion tout à fait évidente s'impose : il n'apporte que très peu de valeur ajoutée par rapport à l'antivirus classique. Bref, si le propos de SiteAdvisor n'est que de scanner le web à la recherche d'incivilités connues, à quoi sert-il ? Sinon, il convient de reconnaître que quelque travail s'impose pour affiner le tir...

Au delà des piques lancées à des gens qui, avouons le, les méritent amplement, et sans pour autant en faire l'affaire de l'année, il est tout de même notable que cette tendance à la distribution de matériel vérolé est en train de s'affirmer doucement. Peut-être même au point de devoir la considérer comme faisant désormais partie intégrante du paysage. Et là, l'opprobre n'est en rien à jeter sur les éditeurs d'antivirus en ce qu'il s'agit d'une problématique bien plus fondamentale de maîtrise de la chaîne de production. Ainsi, et dans un registre tout à fait comparable à un fabricant de clé USB qui livre du code odieusement vulnérable, nous avons avant tout affaire à des industriels qui ne maîtrisent en rien le contenu logiciel qu'ils livrent avec leurs produits.

Si on peut passer des heures à disserter sur les causes et les effets de ces carences, sur les moyens que ces gens auraient dû déployer et ceux qu'ils devront mettre en place pour y remédier à l'avenir, il n'en reste pas moins qu'il serait bon de prendre la mesure de ce signal qui retentit depuis quelques temps déjà. À savoir que même des périphériques qui nous arrivent bien emballés de provenance a priori sûres sont des sources d'infection au même titre que le web ou l'email. Et qu'il convient donc de s'en protéger. Mais si aujourd'hui cette menace s'exprime surtout à travers du malware traditionnel, une adaptation de ces moyens d'infection à leur vecteur de transport pourrait fort rapidement se montrer bien plus problématique...