Rootkit Sony : Amère omerta

le 02/12/2005, par Marc Olanié, Fournisseurs, 719 mots

Business Week révèlent que la découverte du Rootkit Sony par Russinovich n'est pas franchement une « première »... en fait, un installateur de systèmes new yorkais avait également, début octobre, mis le doigt sur le problème et immédiatement communiqué son « scoop » à l'équipe de Mikko Hyppönen. Laquelle s'était empressée de garder la chose sous silence, du moins tant que BMG n'aurait pas expliqué sa version des faits. Rappelons qu'Helsinki, port d'attache de F-Secure, n'est pas situé aux Etats-Unis, pays où l'installation massive de rootkits ne relève pas du pénal, du moins pas dans tous les Etats. Connaissant donc l'existence d'une menace certaine, l'équipe de F-Secure est-elle restée inactive ? La réponse d'Eugenio Correnti, patron technique de l'éditeur en France, est franche : F-Secure a toujours protégé ses clients contre une telle attaque. Nous détections le rootkit bien avant que l'information soit publique (via la technologie antirootkit Blacklight ). Suite à notre découverte fin septembre/début octobre 2005, F-Secure a travaillé en 2 temps : assurer la protection de ses clients via la technologie de prévention rootkit et en parallèle, contacter immédiatement Sony BMG et First 4 Internet afin de les informer de la situation. F-Secure a décidé de ne pas rendre publique l'information parce que nous étions préoccupés par les risques d'une publication (des créateurs de virus pouvaient utiliser l'information sur la méthode consistant à cacher des fichiers débutant par "$sys$" cf le débat "full disclosure" versus "half disclosure"). F-Secure était donc en pleine discussion avec Sony BMG et First 4 Internet lorsque Russinovitch a annoncé publiquement la situation lundi 31 octobre. Et la crainte que nous avions a été confirmée par le fait que, 9 jours après le post de Sysinternals, un exploit profitant du rootkit Sony est apparu, Breplibot.b Il n'est pas établi, à l'heure actuelle, de lien direct entre la publication du virus et le travail de Russinovich. Cet aspect du problème est d'ailleurs totalement anecdotique. Il était pourtant possible, à l'équipe de F-Secure comme à l'ensemble de la profession, d'alerter le public d'un danger d'origine Sony, sans divulguer la moindre information technique. Un peu comme les « Microsoft early warning » qui précèdent le fatidique « patch Tuesday » : on prévient, mais il faut posséder au moins la moitié du code génétique de Cagliostro pour deviner la nature du buffer overflow qui sera corrigé. La crise d'omerta aigüe qui a frappé les éditeurs d'anti-virus est donc d'une toute autre nature que celle opposant les partisans de la divulgation « entière » ou « responsable ». Quand à attendre une éventuelle réponse de la part de BMG, le recul de l'histoire nous apprend que c'était là faire preuve d'un optimisme un peu trop béat. On a le mutisme mutin, chez les nippons nantis. Businessweek ne titrait-il pas « le coûteux silence de Sony BMG » ? « Vous pensez qu'on le savait bien avant la publication de Russinovich » confirmait Eugène Kaspersky lors d'une interview accordée à CSO France. « Mais que devait-on faire ? Tant que le rootkit n'était pas exploité par un malware, nous autres, petits éditeurs moscovites, ne pouvions divulguer ce genre d'information. La taille de Sony, ses réactions, étaient totalement imprévisibles ». A la question « qu'est-ce qui différencie un malware d'un logiciel légal ?» Eugène Kaspersky répond avec un sourire. « Est-ce l'importance de la cotation en bourse de son auteur ? » Re-sourire de l'individu et réponse prudente « on peut effectivement se poser la question ». Là, au moins, l'argument a le mérite d'être clair. Comme dit le proverbe slave : si tu laisses tranquille l'avocat dans le champ de ton voisin, tu récolteras du blé toute l'année. Si tu l'excites, t'as intérêt à en avoir de côté ( ndt note du traducteur : le proverbe étant d'origine moldovalaque, un glissement sémantique est toujours possible). Doit-on s'offusquer des coutumes et des us d'un chasseur de virus russe ? Que niet ! Car à la question « Quid de l'attentisme de la profession face à cette menace sonyesque manifeste », les principaux autres acteurs se sont contentés de répondre par un sourire gêné et un regard absent. Fabricants de firewalls, vendeurs d'IDS, spécialistes du forensic et gourous de l'inventaire de vulnérabilité, tous les participants du dernier salon Infosec se sont surpassés dans un formidable étalage de « silences lourds de sous-entendus ». Il est vrai que dialectiquement, le cas Sony est difficile à plaider. D'autant plus difficile qu'il est lourd d'implications, notamment dans le domaine de la téléphonie cellulaire et de la sûreté de l'Etat. Mais ceci est une autre histoire... A suivre...

Huawei espère revenir et se développer aux Etats-Unis

Les élections américaines sont suivies de près chez Huawei qui espère beaucoup d'une arrivée d'Hilary Clinton, selon nos confrères de Light Reading. Sa possible présidence pourrait mettre un terme aux...

le 31/03/2016, par Didier Barathon, 351 mots

Les 10 acquisitions les plus marquantes de 2015 dans les réseaux

2015 fut un grand cru pour les acquisitions dans l'industrie des réseaux. Voici une sélection des plus significatives pour l'avenir du secteur. Check Point Software acquiert Hyperwise et LacoonMême s'il s'agit...

le 08/12/2015, par Zeus Kerravala, Network World et Didier Barathon, 1001 mots

Dell devrait vendre Quest, SonicWall, AppAssure, Perot Systems

Une fois le rachat d'EMC finalisé, la dette de Dell devrait s'élever à 49,5 milliards de dollars. Le groupe envisage de céder certaines de ses participations actuelles et  peut être revendre des filiales...

le 04/11/2015, par Didier Barathon, 262 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »