La semaine dernière, la NSA, haute instance de sécurité américaine, mettait en garde Microsoft contre une faille critique dans Windows 10 et Windows Server 2016 et 2019. La faille, CVE-2020-0601 de son nom d’identification, a rapidement été surnommée « Curveball » par la communauté. Dès le mardi 14 janvier, Microsoft la réparait. Mais parmi les 900 millions d’utilisateurs de Windows 10, plusieurs ne mettent pas le système d’exploitation régulièrement à jour, et restent vulnérables. Un vrai problème, car en rendant publique la faille et la façon dont elle a été réparée, Microsoft a, par la même occasion, donné de précieuses indications sur la faille aux acteurs malveillants.
Concrètement, la faille permet à un assaillant de corrompre un élément du code de Windows qui émet les certificats, sortes de cartes d’identité officielle des programmes informatiques. En prenant le contrôle de ce processus de certification, un hacker pourrait faire apparaître un programme de son choix comme légitime. Il passerait ainsi sous le radar de très nombreux protocoles de sécurité, avec à la clé des conséquences catastrophiques : épidémies de malwares, déchiffrements de données sensibles ou encore interceptions de données…
Le site de la NSA rickrollé ?
Au lendemain de la révélation, le chercheur en cybersécurité Saleem Rashid présentait déjà une première preuve de concept pour l’exploitation de la faille. Pour y parvenir, le spécialiste a utilisé un script d’une petite centaines de lignes de code. Une fois qu’il avait la main sur l’outil de certification, il l’a utilisé afin de tromper le protocole de sécurité HTTPS, garant de l’identité d’un site.
Avec cette manipulation, il peut ainsi faire croire que ce qu’il publie appartient à un site officiel, comme celui de la NSA (nsa.gov) ou de GitHub (github.com). Pour sa démonstration, Saleem Rashid a utilisé une photo du chanteur Rick Astley, tirée du clip de Never Gonna Give You Up. Ce meme bien connu lui a servi d’exemple pour montrer qu’il pouvait afficher ce qu’il voulait sous des URL en apparence officielles. Si le chercheur a choisi un exemple inoffensif, un malfaiteur pourrait quant à lui cacher des malwares dans des liens cliquables. Cela, sans que ni Windows ni le navigateur web (Google Chrome ou Internet Edge) ne détecte la présence d’un système non-légitime.
Le chercheur, interviewé par ArsTechnica, a nuancé sa démonstration en expliquant qu’il faudrait remplir des contraintes particulières pour la reproduire sur de vrais systèmes.
Un détail de la carte d’identité échappe au système
Dans le détail, la faille Curveball s’applique à la cryptographie sur les courbes elliptique (ou ECC). Il s’agit d’un des ensembles de techniques utilisées pour émettre les certificats. Plusieurs paramètres de la chaîne cryptographique sont contrôlés en temps normal. Mais les systèmes Windows vulnérables ne parviennent pas à vérifier un des paramètres de cet ECC.
Si l’on pousse la comparaison avec le monde réel, les systèmes, à la manière de policiers lors d’un contrôle, vérifient les nombreux paramètres de la carte d’identité montrée par un programme informatique. Sauf que dans le cas de la faille, ils ne parviennent pas à reconnaître que la couleur des yeux ne correspond pas à celle indiquée sur la carte d’identité.
Pas d’attaque de masse en vue
En plus du patch de sécurité immédiatement déployé par Microsoft, les développeurs des navigateurs, comme ceux de Chrome, ont déjà développé certaines protections supplémentaires. Leur objectif : ne plus se faire tromper par certains faux certificats, et ainsi endiguer l’effet de certaines exploitation de la faille.
Hors de portée d’un hacker lambda
De leur côté, les développeurs de Microsoft ont commencé à mettre à jour Windows Defender, la composante antivirus du logiciel d’exploitation. Elle doit permettre de détecter les exploitations de la faille en cours et d’avertir les utilisateurs.
Surtout, l’exploitation de ce genre de faille n’est pas accessible à un hacker lambda. « Gardez à l’esprit qu’une vulnérabilité de la sorte ne risque pas d’être exploitée par des script kiddies [les hackers qui utilisent des outils ou scripts développés par d’autres, ndlr], ou pour du rançongiciel », écrit Yolan Romailler, chercheur en cybersécurité chez Kudelski Security, dans un billet de blog. Pour le spécialiste, il faut la force de frappe d’une grande organisation, de l’ordre d’un Etat, afin de l’exploiter.
« Les démonstrations d’exploitation de cette vulnérabilité publiés par les différents chercheurs ne sont pas assez bonnes en l’état pour mener à une menace de rançongicielle (comme celle à laquelle nous avons fait face avec WannaCry) », rassure-t-il.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.