Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Udo Schneider, Trend Micro : « Wirelurker », attaque véritable ou simple test d’attaque ?

novembre 2014 par Udo Schneider, expert en sécurité et porte-parole de Trend Micro, fournisseur de solutions de sécurité IT

Hallbergmoos, le 14 novembre 2014. À l’heure actuelle, le cheval de Troie « Wirelurker », qui pose surtout un risque pour les périphériques Apple, est au sommet de l’actualité. On insiste en particulier, et à juste titre, sur le fait que ce cheval de Troie est également capable d’infecter des périphériques non débridés. Néanmoins, il ne semble pas que cela ait été l’objectif des auteurs de ces attaques. Seuls les appareils ayant fait l’objet d’un « jailbreak » ou débridage étaient exposés à un risque d’infection par un programme malveillant. Le véritable problème que pose Wirelurker concerne moins la menace en elle-même que la fonctionnalité d’ approvisionnement en entreprise proposée par Apple. Si Apple ne parvient pas à sécuriser cet aspect de la gestion des périphériques, cela risque d’engendrer durablement une grave menace potentielle.

Clarifions les choses dès le départ : Wirelurker ne constitue actuellement pas une menace pour les utilisateurs Apple. En effet, ses variantes connues sont bloquées par OS X et les serveurs de commande et de contrôle ont été retirés de tous les réseaux. En particulier, Apple a repris le certificat volé ayant permis l’attaque à l’origine et a donc éliminé ainsi la véritable nouveauté de cette menace, à savoir l’installation d’applis sur des appareils non débridés.

Le vecteur d’attaque de Wirelurker transitait par des applis piratées (sous forme de chevaux de Troie) et non pas par des vulnérabilités du système. Pour installer une telle appli sur des appareils non débridés, les auteurs des attaques et les utilisateurs devaient se servir de la fonctionnalité d’approvisionnement en entreprise, l’un des composants de la gestion de périphériques mobiles d’Apple. Cette dernière est normalement utilisée pour l’installation d’applis personnalisées sur les appareils iOS d’une société.

À ce jour, mes collègues de la recherche de menaces ne disposent toutefois d’aucune preuve que des applis contenant un code malveillant se soient effectivement propagées de la sorte. Au regard de Wirelurker et des applis installées sur des périphériques non débridés certes sans le consentement de l’utilisateur, mais non dangereuses pour autant, il s’agit donc plutôt d’un test pour de futurs scénarios de menace et moins d’une attaque réelle.

Le problème : l’approvisionnement en entreprise et l’être humain

C’est justement là que réside le problème : si des cybercriminels parviennent une fois de plus à voler des certificats Apple légitimes, ils pourront de nouveau choisir la voie de la fourniture d’applis aux entreprise. Avec Wirelurker, il semble donc que l’objectif premier des auteurs de l’attaque ait été non pas l’attaque d’utilisateurs particuliers, mais bien la recherche de possibilités de pénétration des réseaux des entreprises via les périphériques Apple.

Apple se doit donc de consolider cette aspect de sa gestion des périphériques pour rendre impossible à l’avenir la mise en œuvre de scénarios de menace et d’attaque tels que ceux présentés par Wirelurker. Cela vaut tout particulièrement pour le maillon de chaîne d’attaque au niveau duquel l’utilisateur est impliqué. Ce dernier doit en effet consentir de manière explicite à l’installation d’applis mises à disposition par l’intermédiaire de la fonctionnalité d’approvisionnement en entreprise. Et il risque d’être très difficile, voire impossible pour l’utilisateur de faire la distinction entre les applis légitimes et les applis malveillantes.


Voir les articles précédents

    

Voir les articles suivants