Loic DL

Microsoft patche Windows pour révoquer un certificat détourné par Flame

La semaine dernière, nous vous avons parlé du malware Flame. Présenté en détail par l’éditeur Kaspersky comme le code le plus sophistiqué jamais découvert par ses services, Flame offrait certaines particularités telles que son poids hors normes pour un malware 20 Mo. Depuis, plusieurs découvertes importantes ont permis d’en savoir davantage et ont provoqué notamment l’apparition d’un patch critique chez Microsoft.

Flame, le kit d'outils.

Flame est essentiellement un titanesque kit d’outils pour parer à un grand nombre de situations. Il agit aussi bien comme un cheval de Troie que comme un ver et possède des attributs de porte dérobée. Selon les détails fournis initialement par Kaspersky, il a d’abord été repéré par le centre de sécurité iranien (Iran MAHER CERT). Le lendemain, Internet entrait en ébullition et se perdait en conjectures.

Outre son poids colossal rendant son analyse complexe, Flame présente la particularité d’avoir été trouvé en majorité dans des PC Windows d’Iran, Liban, Soudan, Syrie ou encore Israël. Bien que Symantec ait détecté pour sa part d’autres cas à Hong-Kong, Cisjordanie, Hongrie ou encore Russie, la majorité des cibles se trouve au Proche-Orient.

L'un des maillons de la chaine : un certificat de Microsoft.

Hier, Microsoft a publié un bulletin de sécurité pour exposer la situation. L’éditeur a confirmé la complexité de Flame mais a cependant calmé les esprits : non seulement le ciblage très précis de Flame met la vaste majorité des utilisateurs à l’abri, mais la plupart des antivirus sont désormais capables de le détecter et de le supprimer. Mais Microsoft estime que certaines techniques utilisées par le malware pourraient être reprises dans des scénarios plus importants.

C’est ainsi que « plusieurs composants du malware ont été signés par des certificats qui permettent au logiciel d’apparaître comme s’il avait été produit par Microsoft ». Selon l’éditeur, un vieil algorithme de chiffrement pouvait être utilisé pour signer un code d’une telle manière. Un algorithme de chiffrement utilisé par le Terminal Server Licensing Service qui permet aux employés d’une entreprise de s’authentifier via Remote Desktop.

Deux conséquences du coup pour Microsoft :

    Une mise à jour est disponible dès à présent dans Windows Update
    Le Terminal Server Licensing Service n’utilise plus de certificats permettant de signer un autre code

En d’autres termes, le certificat incriminé a été révoqué.

Avec ou sans certificat, Flame a toujours la possible d’être exécuté. À partir de Vista, son lancement provoquera toujours l’apparition d’une fenêtre UAC (User Account Control), mais son apparence change en fonction du statut du certificat. Ainsi, sans le patch, le certificat est considéré comme valide et l’UAC suggère qu’il s’agit d’une application tout ce qu’il y a de plus authentique, tandis que sans, elle sera bariolée d’orange et mettra en garde contre les dangers d’une application inconnue. En outre, elle n’affichera plus « Microsoft » comme auteur du logiciel.

Les auteurs de Flame sur le qui-vive.

Du côté du malware proprement dit, l’enquête continue. Dans un nouveau billet, Kasperksy indique avoir travaillé avec le registraire GoDaddy et l’équipe de sécurité de l’initiative OpenDNS. Avec cette union, l’entreprise a été capable de capter certaines informations sur l’infrastructure de contrôle de Flame (C&C). Ainsi, tous les serveurs utilisés pour les domaines et sous-domaines étaient tous sous Ubuntu (à comparer avec Duqu qui n’utilisait presque que des serveurs sous CentOS). Ensuite, toujours comparé à Duqu, les auteurs Flame masquent nettement moins l’activité des serveurs et la véritable adresse IP n’est ainsi pas masquée.

Flame contient toujours une liste de cinq domaines appartenant à des serveurs C&C. avant de tenter toute connexion vers l’un d’entre eux, Flame « valide » la connexion Internet en testant trois sites en HTTPS : www.microsoft.com, windowsupdate.microsoft.com et www.verisign.com. Une petite base de données accompagne le malware pour lui fournir cinq ou six domaines supplémentaires, une liste qui peut être mise à jour par le serveur. Pour l’instant, Kaspersky annonce avoir découvert plus de 80 domaines, tous enregistrés avec une « impressionnante liste de fausses identités diverses » et de multiples registraires, dont la majeure partie avec GoDaddy.

Il faut noter que les auteurs de Flame sont manifestement sur le qui-vive. Ainsi, quelques heures à peine après la publication des premiers détails par Kaspersky le 28 mai, l’infrastructure de contrôle s’est brutalement arrêtée. Les résultats étaient alors le fruit de plusieurs semaines de surveillance, après la demande initiale, rappelons-le, de l’International Telecommunication Union.

Lire les commentaires (0) Ajouter un commentaire

Remboursement des FAI : l'Hadopi attend le feu vert de la Culture

Et le remboursement des fournisseurs d’accès ? Hier, toujours en marge de la conférence sur le bilan de la Hadopi à la Sorbonne, nous sommes revenus avec Mireille Imbert Quaretta sur la question des frais. Depuis le premier email adressé fin octobre, les fournisseurs d’accès sont à ce jour les auxiliaires bénévoles de la Hadopi, notamment avec l’identification des IP.

Problème, la jurisprudence du Conseil constitutionnel réfute que ces contraintes soient imposées sans compensation (Décision n° 2000-441 DC du 28 décembre 2000). Dans son examen du projet de loi Hadopi, l’ARCEP ne disait pas autre chose : « le projet de loi ne prévoit pas de compensation financière pour les fournisseurs d'accès internet concernant leurs prestations pour le compte de l'HADOPI. Or, le principe de juste rémunération des prestations assurées par les opérateurs au titre de la sauvegarde de l'ordre public est expressément mentionné aux articles L. 33-1 et L. 35-6 du CPCE ».

Après avoir refusé en bloc un tel dédommagement, Frédéric Mitterrand affirmait sans détour en octobre 2011 que les demandes « formées en vue d’obtenir la compensation des surcoûts représentés par l’identification des abonnés à partir des adresses IP seraient prises en compte, sur la base d’une estimation intégrant le caractère automatisable du processus. Cet engagement sera tenu. Il permettra de donner un cadre financier pérenne à la coopération entre l’Hadopi et les opérateurs ».

Depuis ? Rien.

Sur toute l’année 2011, les FAI ont du coup adressé une ardoise de plus de 2,5 millions d’euros (1,3 million d’euros pour Orange, 630 000 euros pour Free, 600 000 euros pour SFR, sans compter Bouygues Télécom et Numericable). Et en 2012, la situation patine encore et toujours.

Rien n'est prévu dans le budget de la Hadopi.

« Les FAI ont une obligation légale, mais rien n’est prévu dans notre budget pour les payer » nous a précisé hier Mireille Imbert Quaretta. Nous avons appris que la Hadopi a bien sollicité une analyse de Bercy. L’argentier de l’État lui a répondu qu’elle ne pouvait payer sans décision de l’autorité publique, ici le ministère de la Culture. « Nous avons tenté d’évaluer individuellement avec les FAI à combien s’élevaient ces frais. On a renvoyé l’analyse au ministère de la Culture. S’il y a une décision qui nous dit c’est tant par adresse IP, bien évidemment, on paiera ». Le dossier a été envoyé voilà six mois à la rue de Valois, depuis sans retour.

Interrogé ce jour, un FAI regrette ce bug conceptuel : « En toute rigueur, il aurait fallu prévoir un décret précisant les modalités de remboursement. Ceci étant dit, même en l’absence de texte, le principe de juste rémunération demeure. Avec des factures impayées et même en l’absence de texte, la jurisprudence nous dit qu’on peut toujours chercher l’indemnisation ».

Dans un jugement de juillet 2010, le tribunal administratif de Paris a condamné l’État à indemniser un FAI (Orange) pour plus d’1,3 million d’euros. La somme était destinée à couvrir là aussi des frais étrangers aux activités de l’opérateur, à savoir le droit de communication de l’administration fiscale. Les juges ont considéré que cette juste rémunération, corollaire du principe d’égalité devant les charges publiques, doit couvrir l'ensemble des coûts subis pour mettre en œuvre une obligation étrangère à l'activité même d'opérateur de communications électroniques. Le 30 mai 2007, la Cour de cassation posait dans le même sens qu’un « opérateur de réseau de télécommunications qui effectue des prestations sur réquisition judiciaire, a droit à ce titre à une "juste rémunération" ». Les juges précisant que « ce principe de juste rémunération s'oppose à ce que des frais réellement engagés par l'opérateur pour accomplir les prestations requises restent à sa charge ».

Demain, la question devrait être encore plus pressante, alors que le monde du jeu vidéo veut à son tour que des emails soient transmis par la Hadopi en cas d'échange illicte de jeux sur les réseaux.

Lire les commentaires (0) Ajouter un commentaire

Taxe France TV : la SACD propose d'élargir la redevance à « tous les écrans »

Alors que la taxe France Télévisions sur les opérateurs pourrait disparaître, la Société des Auteurs Compositeurs Dramatiques (SACD) cherche déjà un moyen de compenser les 250 millions d’euros qui seront perdus pour les chaînes publiques. La SACD propose ainsi d’élargir l’assiette de la redevance audiovisuelle et de viser les résidences secondaires ainsi que « tous les écrans (pas seulement le téléviseur) permettant d’accéder au service public de la télévision ».

Ordinateurs, tablettes, smartphones, etc.

Publié il y a quelques minutes à peine, la communiqué de la SACD est on ne peut plus explicite. Dès lors que la taxe France TV risque d’être annulée par la Cour de Justice de l’Union Européenne (CJUE), la plus simple des solutions est d’utiliser le système actuel et de l’élargir à plus de foyers (les maisons secondaires) et plus d’écrans.

Or à ce jour, les écrans « permettant d’accéder au service public de la télévision » sont légion. Outre les téléviseurs, nous retrouvons donc les ordinateurs, les smartphones, les tablettes, les baladeurs numériques, etc. Cette idée de taxer « tous les écrans » n’est cependant pas nouvelle. En juillet 2010, un rapport parlementaire militait pour une généralisation de la redevance audiovisuelle à tous les écrans.

« Des gens nous disent « je n’achète pas de télévision et je préfère acheter un bon écran d’ordinateur, car si j’achète une TV je vais payer la redevance… » C’est une distorsion de concurrence à la vente de nouveaux supports » nous expliquait déjà en 2008 le bureau du député Jean Dionis du Séjour.

Le gouvernement défavorable en 2010.

Étendre la redevance cause cependant de graves problèmes. En effet, ceux qui achètent un téléviseur l’utilisent généralement pour regarder la télévision, même si certains peuvent en faire un usage exclusif pour regarder des DVD et des disques Blu-ray ou exploiter leurs consoles de jeux vidéo. Mais ceux qui ont un PC, un smartphone ou une tablette sont bien moins disposés à regarder la télévision publique. Taxer tous les écrans reviendrait à créer une forme d’injustice, d’autant que la qualité de la télévision reçue varie selon les débits et les écrans.

En 2010, le ministre du Budget avait rapidement tenu à éclaircir sa position sur le sujet : « le gouvernement est défavorable à une extension du champ d'application de la taxe aux micro-ordinateurs » et aux autres écrans. Une réponse négative motivée par un rapport publié trois mois plus tôt à l’Assemblée nationale démontrant qu’ « aucune étude ne permet en effet d'affirmer que les ménages français consomment désormais principalement les programmes de télévision sur ordinateur : on observe plutôt des phénomènes de duplication, l'ordinateur devenant « un second écran ».

Si la façon de consommer la télévision change.

Dans le cas où la télévision serait en grande partie consommée via d’autres écrans que le téléviseur, et où ce dernier verrait son nombre de foyers se réduire, « il pourrait alors être supposé qu'un effet de substitution se soit produit » et donc que la redevance pourrait être élargie. Or, à l’heure actuelle, cela n’a pas été prouvé. La seule motivation de la SACD est de compenser les deniers perdus par la future annulation de la taxe France Télévisions, sans étude préalable sur les usages des autres écrans.

Lire les commentaires (0) Ajouter un commentaire