Home > High-Tech > Le système de confiance sous Windows 10 est toujours facile à contourner.

Le système de confiance sous Windows 10 est toujours facile à contourner.

Windows, contrairement aux apparences, se développe et évolue très rapidement et dans de nombreux domaines. Les modifications annoncées pour la version 1809 de Windows 10, temporairement retirée, s’appliquent également à l’antivirus intégré. Windows s’enrichit d’une protection dans les domaines les plus courants : les navigateurs web et la sécurité en termes de logiciels ransomwares. Cependant, pour connaître les tendances réelles de l’industrie des logiciels malveillants, vous devez regarder ailleurs que dans les publicités optimistes de Microsoft. Les campagnes publicitaires conçues pour les vulnérabilités de sécurité (telles que Meltdown et Spectre), riches en logos et diagrammes, et les thèmes « à la mode » des ransomwares (logiciels de rançon) sont en fait des infos superficielles de l’industrie de la sécurité informatique.

Il y a actuellement deux problèmes principaux sans solution. Il s’agit des virus sans fichiers et de la mise en place d’un « environnement d’exécution » personnalisé. Le deuxième problème est un ensemble de risques d’abus flagrants des fonctionnalités intégrées. En d’autres termes, si votre système est aujourd’hui hautement protégé et sécurisé et que l’antivirus protège votre navigateur Web de votre ordinateur contre les codes malveillants ou non, vous devriez essayer de provoquer des dommages avec des outils « légaux ».

Ainsi, les hackers perspicaces et obstinés recherchent des fonctions oubliées, sous-estimées ou accidentelles, dans des composants de systèmes conçus pour des applications complètement différentes. Les abus spécifiques mentionnés concernent par exemple le téléchargement de fichiers avec un extracteur d’archives, le démarrage de programmes  tels que l’économiseur d’écran ou l’exécution de code dans un autre programme.

Tout cela semble très général. Prenons donc un exemple pour comprendre l’ampleur de la menace. CERTUTIL, un petit programme caché dans Windows et utilisé pour installer des certificats de sécurité, il fonctionne en arrière-plan de manière non interactive, peut être utilisé pour télécharger des fichiers puis les cacher dans un flux alternatif d’un autre fichier. Cela est rendu possible du fait de la conception de CERTUTIL, qui doit pouvoir par exemple télécharger et installer un certificat en arrière-plan, pour lequel aucune limitation n’a été prise en compte : le programme peut télécharger n’importe quel fichier depuis n’importe quel endroit et il se fiche qu’il s’agisse d’un certificat ou non. C’est un problème car les navigateurs Web peuvent être protégés par un antivirus et divers plugins pour garder une trace des téléchargements en provenance de sites inconnus mais l’outil système pour les certificats ne sera pas surveillé : pour lui, ce n’est pas un code étranger mais un outil de confiance.

Il existe des dizaines d’exemples similaires : une fenêtre d’impression charge toujours une partie de ses éléments graphiques en utilisant une bibliothèque spécifique de type dll. Grâce à cela, il est possible de copier le programme avec la fenêtre à n’importe quel endroit où il y a une dll malveillante. Le code sera chargé à partir de celui-ci et très souvent ne suscitera pas de suspicion, parce que d’une part, ce n’est pas un fichier .exe, mais une bibliothèque, et d’autre part, il a été chargé avec l’utilisation d’un composant fiable et « sûr » du système.

Cette catégorie de fraude est appelée « LOLBin » : Living-Off-The-Land Binaries, c’est-à-dire, des programmes opérant en dehors de leur zone désignée. Afin de répondre à la définition de « LOLBin », le plus grand nombre possible de ces caractéristiques doivent être démontrées :

  • Pour être un programme signé numériquement par Microsoft, il est préférable d’être un composant du système d’exploitation, ce qui élimine le besoin de télécharger depuis Internet.
  • Vous avez la possibilité d’exécuter d’autres programmes, de préférence avec des paramètres. De cette façon, il est possible d’éviter les « listes blanches » imposées des logiciels admissibles.
  • Sauvegardez les fichiers en utilisant la fonctionnalité de flux de données alternatifs, ce qui vous permet de masquer les fichiers dans d’autres fichiers. C’est la fonctionnalité intégrée et « légale » du système de fichiers NTFS par défaut dans Windows.
  • Téléchargez des fichiers à partir de votre réseau local et d’Internet. Étant donné que les restrictions de téléchargement sont généralement imposées aux navigateurs et au courrier électronique et que les téléchargements effectués à l’aide d’autres programmes sont exclus par les listes blanches, les programmes système qui peuvent être invités à télécharger en arrière-plan peuvent être précieux.
  • Passer les avertissements de contrôle de compte d’utilisateur. Windows dispose d’un mécanisme intégré de minimisation des privilèges. Tout programme, même s’il est exécuté par un administrateur, fonctionne par défaut avec des droits limités, à moins qu’il ne « demande » explicitement un droit supérieur. Puis la fameuse alerte UAC apparaît sur ce qu’il est convenu d’appeler le bureau sécurisé, demandant le droit d’exécuter le programme en tant qu’administrateur. Cette fonctionnalité très utile, introduite avec Vista, a été largement mal comprise et détestée et Microsoft a décidé de la modifier : maintenant un avertissement n’apparaît que si la demande d’autorisation vient d’un programme qui ne fait pas partie du système. Donc si vous parvenez à persuader l’élément Windows de faire de mauvaises actions, il contournera l’alerte UAC. Par conséquent, par défaut, réglez le curseur UAC sur « Toujours m’avertir » pour qu’il demande à chaque fois. Ceci peut être fait dans le Panneau de configuration et de modification des paramètres de contrôle du compte utilisateur.

D’autres fonctionnalités sont : la possibilité de compiler du code (exemple d’utilisation du compilateur C# sous Windows), la possibilité de rechercher des identifiants en recherchant en direct des mots de passe enregistrés dans le répertoire SYSVOL par exemple.

La situation n’est pas améliorée par le fait que les nouvelles versions des systèmes désassemblent délibérément la sécurité et en plus elles fournissent de nouveaux programmes créés en utilisant de mauvaises pratiques.

Il est très peu probable que les programmes nuisibles de la tendance à la LOLbin soient réparés. Tout d’abord, parce que, très souvent, un comportement « positif » et défavorable consiste simplement à agir en accord avec les hypothèses du projet. De plus, une reconstruction importante des outils connus entraînera immédiatement des problèmes de compatibilité. Enfin, le nombre de programmes de patch serait si important qu’ils cesseraient de fonctionner sur les nouvelles fonctionnalités de Windows. L’histoire a déjà noté un tel cas il y a une quinzaine d’années lors du développement de Windows XP.

Vous devez également connaître les applications de ces découvertes. Pour les ordinateurs clients autonomes, il importe peu que le code malveillant soit téléchargeable par CERTUTIL, puisque l’utilisateur ouvre de toute façon le programme faktura.exe. Mais dans les environnements surveillés, tels que ceux utilisés dans les entreprises, ces méthodes d’exécution de code sont horribles. Au mieux, elle conduit à ce qu’on appelle des « mouvements latéraux » : passer d’un ordinateur à l’autre sans augmenter les privilèges. Du point de vue de l’authentification, elle est légale, mais objectivement elle est inutile et doit inévitablement signifier une tentative de trouver des faiblesses dans le réseau. Un problème bien pire est la perte pratique du contrôle sur la recherche de processus : il est beaucoup plus facile pour les administrateurs de trouver le programme « Chinese-trojan.exe », non signé « svchost.exe » que de voir si le système Mobsync.exe synchronise des documents ou simplement des copies d’autres ransomwares.

En conclusion, restez toujours vigilant et attentif aux téléchargements que vous réalisez sur le web en particuliers lorsqu’il s’agit de sources dont vous n’êtes pas sûr de la fiabilité.