ans mon précédent billet sur le désormais célèbre logiciel de sécurisation proposé par Orange, j'écrivais : "Mais comme atteindre le fond n'empêche pas de creuser, je ne serais malheureusement pas trop étonné de voir sortir des vulnérabilités sur le client lui-même". Et bien c'est fait. Cette piètre prédiction vient de se réaliser.
Intitulé "Patriotic botnet with Orange's HADOPI software" et posté sur la liste Full Disclosure, un message signé du Cult of the Dead HADOPI décortique le client de fond en comble. Et le moins qu'on puisse dire, c'est que ça pique les yeux...
Beaucoup ont dû bien se marrer en lisant ce rapport d'analyse. Perso, ça me met plus en colère qu'autre chose. Je ne comprends pas qu'on puisse proposer ce genre de... logiciel... Ça me dépasse. Et même à le considérer sous l'angle froid du simple profit, il était tellement évident que tout allait à la moulinette aussitôt sorti et que la moindre bévue ferait le buzz, que j'ai du mal à comprendre la démarche. Mais bon, des fois, il faut arrêter de vouloir comprendre...
Au programme des festivités techniques, ce document nous propose :
- le démontage du système d'activation ;
- le contournement du mot de passe protégeant les fonctions d'administration du logiciel ;
- l'exécution de code poussé par le serveur sans authentification ;
- la prise de contrôle d'un client via le truchement d'un proxy.
La conclusion du message laisse quant à elle penser qu'il reste des choses à découvrir...
Comme je le craignais, le serveur peut bel et bien pousser du code vers les clients pour, manifestement, les mettre à jour. Ce code est alors exécuté par un service tournant avec les privilèges... SYSTEM. D'après l'analyse, ce code n'est pas signé. Et comme nous savons déjà que la communication avec le serveur ne fait l'objet d'aucune protection, on imagine assez aisément où ça nous amène : directement à la case exécution de code à distance en mode privilégié. Si on rapproche ceci de la découverte de Bluetouff et de la possible prise de contrôle du serveur via sa console d'administration, on obtient en pratique un joli Command&Control de botnet, façon Orange... Au frais de ses utilisateurs qui plus est...
Dans la mesure où ces identifiants ont, paraît-il, été modifiés et le service arrêté, on est à présent à l'abri d'un tel scénario. Sauf que figurez-vous qu'il y en a déjà un autre qui se profile à l'horizon. En effet, ce magnifique logiciel se divise apparemment en deux modules. Le premier est un service Windows qui tourne en SYSTEM et qui se charge des fonctions de protection. Le second est une GUI qui sert à paramétrer l'ensemble via la fourniture d'un mot de passe. La communication entre les deux processus se fait via un tube nommé... accessible par l'utilisateur du système... sans la moindre authentification !? Ce qui veut tout simplement dire que si quelqu'un veut reconfigurer le logiciel, voire le désactiver, il lui suffit tout simplement d'envoyer les commandes qui vont bien via le tube.
Maintenant, comment nous propose-t-on d'exploiter ça ? Simple. Un des paramètres de configuration permet de spécifier un proxy HTTP pour le relayer les communications du client vers le serveur. Il suffit donc de modifier cette valeur pour rediriger les flux vers un point unique, lequel demandera au client de demander un mise à jour et lui fournira un joli binaire en retour. Lequel sera exécuter avec les droits SYSTEM par le service qui va bien. Sinon, on doit bien pouvoir se passer du proxy en injectant du code directement dans le process. Si on n'a pas là une magnifique élévation de privilèges accessible au premier malware venu, je ne m'y connais pas...
Il est donc clair que ce logiciel, en plus d'être inutile puisque le serveur supposé lui fournir les signatures de programmes à bloquer est aux abonnés absents, est dangereux. Je ne saurais donc trop recommander à ceux qui l'utilisent de le désinstaller au plus vite. Et au cas où vous vous prendriez à penser qu'il vous rend HADOPI-compliant, rassurez-vous : comme il n'est pas labellisé, son utilisation ne vous apportera certainement aucune protection contre d'éventuelles sanctions. Et profitez-en pour remercier ceux qui ont trouvé tout ça de l'avoir publié : ce sont les seuls qui vous auront fourni de quoi vous protéger dans cette histoire...
Je disais donc que voir ça me mettait en colère. C'est honteux de pondre des trucs comme ça et de les vendre. Il y en a qui devraient aller se cacher, s'enterrer au bout du monde. Je comprends mieux que ça ne soit pas passé par une CSPN, ça aurait été un échec colossal, un clouage au pilori. Imaginez donc. Voilà un logiciel censé vous protéger et bloquer l'exécution de binaires identifiés sur la base de signature[1]. Un logiciel qui tourne en SYSTEM et prend des commandes de simples utilisateurs sans la moindre authentification. Un logiciel qui tourne en SYSTEM et qui va recevoir et exécuter du code non signé, via une connexion non protégée...
À vrai dire, quand je dissertais sur les conséquences de l'exploitation d'un tel logiciel, je ne m'imaginais pas un tel fiasco. Je pensais à des failles, des vraies, comme en font les gens de bonne volonté mais pas forcément compétents. Des trucs comme des bourdes de programmation ou un algorithme de signature mal foutu. Mais certainement pas à un soft conçu en dépit du bon sens...
Au moins, vu l'ampleur des dégâts, il est clair que ce logiciel est désormais mort et enterré. D'ailleurs, il n'est plus disponible au téléchargement cet après-midi. Voilà une perte que personne ne pleurera...
Notes
[1] Tiens, ça me rappelle un type de protection qui se fait régulièrement taxer d'inefficacité...