Adobe est actuellement sur la brèche : des rapports lui ont été transmis sur l’existence d’une faille critique 0-day dans Flash. Elle est exploitée par un groupe de pirates qui s’en est déjà pris à plusieurs ministères des Affaires étrangères et dont les méthodes ressemblent trait pour trait à celles utilisées contre la Maison Blanche au printemps dernier.
Flash comporte actuellement une faille de sécurité déjà exploitée depuis un moment par des pirates. Il n’est pas encore possible de la colmater, Adobe n’ayant été mis au courant que récemment. L’éditeur a déjà confirmé que ses ingénieurs travaillaient sur le sujet et il ne serait donc pas étonnant de voir apparaître dans les jours qui viennent une mise à jour urgente pour le lecteur Flash, d’autant que ce sont les versions les plus récentes qui sont touchées, avec une possible extension sur des moutures plus anciennes.
Une faille critique déjà exploitée contre des ministères
C’est la société Trend Micro qui a tiré la sonnette d’alarme hier. Elle indiquait dans un billet explicatif que la faille est en fait utilisée depuis plusieurs mois déjà dans des campagnes d’espionnage et de collecte d’informations par un groupe de pirates nommé Pawn Storm. Le groupe aurait ainsi déjà attaqué avec succès plusieurs ministères des Affaires étrangères, toujours en suivant le même modus operandi : un email parfaitement aligné sur l’actualité et les besoins de la personne à qui il est adressé.
Une méthode qui rappelle directement celle utilisée contre la Maison Blanche au printemps dernier. Le mail contient différents liens vers des sujets en général brûlants de l’actualité. Ils sont censés mener vers des ressources intéressantes, comme des informations complémentaires sur les évènements actuels. Mais, comme on s’en doute, ils ne sont pas authentiques et il s’agit bien d’une tentative de phishing. Dès que l’on en sélectionne un, la page qui s’ouvre dans le navigateur contient le code d’exploitation de la faille.
Un lecteur Flash difficilement évitable
On retombe ici directement sur l’un des aspects de la chute des plugins, comme nous l’abordions dans une actualité récente. Mozilla rejoignait ainsi Google et Microsoft dans la volonté de ne plus accepter ces modules, à l’exception très notable de Flash. Mais la solution retenue pour augmenter la sécurité et la stabilité était alors d’embarquer le plugin directement au sein des navigateurs. De fait, non seulement le lecteur Flash est très courant, mais la méthode utilisée le rend en fait presque incontournable. D'où l'intérêt pour les pirates d'y trouver des vulnérabilités
Trend Micro note en tout cas la forte ressemblance du type de lien fourni dans le mail avec les attaques contre la Maison Blanche et l’OTAN, mais sans franchir le pas du lien évident. Parmi les actions ensuite entreprises, on trouve les inévitables installations de malwares, la mise en place de faux serveurs Outlook Web Access (ce qui n’est pas sans rappeler l’attaque récente contre une grande entreprise dont les serveurs Exchange avaient été reconfigurés) ou encore la modification des paramètres DNS pour le courrier entrant. Ce dernier point est notamment avéré pour l’un des ministères des Affaires étrangères touchés, Trend Micro indiquait que Pawn Storm a de fait eu la possibilité de récupérer des informations pendant plusieurs mois.
Prudence en attendant le correctif
Mais, même si la faille est critique, exploitable à distance et d’ailleurs déjà exploitée depuis plusieurs mois, le grand public court moins de risques. La vulnérabilité a été utilisée dans des attaques extrêmement ciblées au long cours (APT, Advanced Persistent Threat). Cependant, on rappellera que lorsqu’un processus comme celui-ci devient éventé, la faille tombe immédiatement dans le « domaine public » du piratage. Les groupes qui n’étaient pas en possession de ses détails peuvent d’autant plus la découvrir et s’en servir dans des attaques beaucoup plus larges.
En attendant qu’un correctif soit diffusé par Adobe, prudence donc sur les emails reçus et les liens qui peuvent y figurer.
