Destover, le malware signé avec un certificat dérobé à Sony Pictures

Des pirates ont dérobé à Sony de nombreuses données il y a deux semaines. Parmi elles, des certificats de sécurité, dont au moins un servant désormais à signer un malware, causant des difficultés à certains antivirus.

Dans le trésor de guerre du pillage de Sony, plusieurs certificats...

L’attaque contre Sony Pictures Entertainment continue de dévoiler des retombées, et elles ne visent pas toutes l’entreprise. Jour après jour, les pirates des Guardians of Peace ont diffusé une partie des données qui ont été volées il y a plus de deux semaines, notamment quatre films qui ne sont pas encore sortis au cinéma, ainsi qu’un autre (Fury), sorti en septembre mais non disponible sur DVD. Analyses financières, informations personnelles sur les employés et certains acteurs, bilans comptables et autres peuvent se retrouver sur la toile.

Parmi les données, on trouvait également de nombreuses informations touchant à la sécurité, notamment des mots de passe et des clés de chiffrement. Plusieurs certificats de sécurité se trouvaient également dans le lot, et c’est là que les choses se corsent. Les certificats sont utilisés en effet pour signer une application ou un site, afin qu’il soit reconnu par un système d’exploitation ou un navigateur comme étant ce qu’il prétend : une création authentique et légitime provenant d’une entreprise.

... dont un sert désormais à signer un malware : Destover 

Or, l’un des certificats est actuellement utilisé par un malware nommé Destover. Il s’agit en fait d’une famille de chevaux de Troie, comme l’explique Kaspersky qui raconte sa découverte. Elle a été utilisée plusieurs fois dans des scénarios d’attaque baptisés DarkSeoul, ainsi que dans l’attaque contre Sony Pictures. Et justement, une variante trouvée par Kaspersky en date du 5 décembre est justement signée avec un certificat authentique provenant de Sony.

Kaspersky ne dit pas clairement en quoi consiste le fonctionnement de Destover. Le cheval de Troie contient deux portes dérobées et communique avec deux adresses IP correspondant à des serveurs de contrôle, qui doivent lui envoyer des instructions. L’un est situé aux États-Unis, l’autre en Thaïlande.

Il s’agit d’un vecteur particulièrement séduisant pour les pirates puisque le certificat permet de faire passer le malware pour un composant logiciel provenant de Sony. Certains antivirus se feront avoir, même si la plupart ont un moteur heuristique suffisamment efficace pour détecter l’activité frauduleuse. Mais le certificat permettra de passer en tout cas à travers des filtres basés sur des listes blanches, la signature de Sony étant globalement acceptée telle quelle.

La problématique des certificats et de la chaine de confiance 

Le cas souligne une fois de plus la problématique qui entoure les certificats et la confiance qui en découle. Ils ont été créés justement pour prouver qu’une création est bien d’une personne morale ou physique, avec une vraie traçabilité. Mais si un certificat authentique est volé, c’est toute la chaine de confiance qui se retrouve brisée.

Kaspersky indique sur son blog Secure List avoir contacté COMODO et Digicert pour les avertir. Ces autorités de certification devraient procéder rapidement à la révocation du certificat, qui ne sera alors plus reconnu comme authentique. Le problème évidemment est que pour Sony, cela impliquera d'acheter un autre certificat et de remplacer celui qui a été révoqué, si bien sûr il était utilisé.

Ceux qui souhaitent vérifier que leur antivirus bloque bien la menace pourront contrôler la liste fournie par VirusTotal. On peut y voir que toutes les principales solutions de sécurité reconnaissent maintenant le cheval de Troie.