Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky Lab confirme : Absolute Computrace peut être piraté à distance

février 2014 par Kaspersky Lab

L’équipe de chercheurs en sécurité de Kaspersky Lab dévoile aujourd’hui un rapport indiquant comment les faiblesses d’implémentation du logiciel antivol commercialisé par Absolute Software peuvent transformer un précieux outil de protection en un puissant instrument de cyberattaques.

L’étude se focalise sur l’agent Absolute Computrace résidant dans le firmware (ROM BIOS) de modèles récents de PC portables ou de bureau.

En effet, cette configuration laisse aux attaquants libre accès aux ordinateurs de millions d’utilisateurs.

La principale motivation de cette étude a été la découverte d’un agent Computrace s’exécutant sans autorisation préalable sur plusieurs ordinateurs personnels de chercheurs de Kaspersky Lab ou machines de la société. Si Computrace est un logiciel développé par Absolute Software, certains utilisateurs affirment ne l’avoir jamais installé ou activé sur leur système, voire en ignorer totalement l’existence. La plupart des logiciels préinstallés peuvent être supprimés ou désactivés par l’utilisateur, or Computrace est conçu pour résister à un nettoyage du système et même à un remplacement du disque dur.

L’utilisateur peut prendre par erreur Computrace pour un logiciel malveillant. En effet, il recourt à de nombreuses techniques couramment employées par les malwares modernes, destinées à :

· Empêcher le débogage et la rétro-ingénierie

· Injecter d’autres processus dans la mémoire

· Etablir des communications secrètes

· Modifier des fichiers systèmes sur le disque

· Crypter des fichiers de configuration

· Extraire un exécutable Windows du firmware (BIOS)

« Des individus disposant de la puissance nécessaire pour intercepter les communications sur les fibres optiques peuvent potentiellement pirater des ordinateurs sur lesquels fonctionne Absolute Computrace. Ce logiciel peut servir à implanter des spywares », avertit Vitaly Kamluk, chercheur principal en sécurité au sein de l’équipe internationale de chercheurs et d’analystes (GReAT) de Kaspersky Lab. « Nous estimons qu’Absolute Computrace est actif sur plusieurs millions d’ordinateurs, et ce peut-être à l’insu d’un grand nombre d’utilisateurs. Qui a des raisons d’activer Computrace sur toutes ces machines ? Sont-elles surveillées par des inconnus ? Il y a là un mystère qu’il nous faut éclaircir. »

Statistiques

Selon le réseau Kaspersky Security Network (KSN), l’agent Computrace fonctionne sur les machines d’environ 150 000 utilisateurs. Le nombre total d’utilisateurs chez qui l’agent Computrace est activé est estimé à plus de 2 millions. Le doute subsiste quant à la proportion de ces utilisateurs qui sont au courant de la présence de Computrace sur leur système. La majorité de ces ordinateurs se trouvent aux Etats-Unis et en Russie.

Failles de sécurité

Le protocole réseau utilisé par le logiciel Computrace Small Agent offre des fonctionnalités de base pour l’exécution de code à distance. Ce protocole n’exige ni cryptage ni authentification du serveur distant, ce qui crée de multiples possibilités d’attaques télécommandées dans un environnement réseau hostile.

Une plate-forme d’attaque

Il existe aucune preuve que Absolute Computrace soit utilisé comme plate-forme pour des attaques. Cependant, les experts de plusieurs entreprises y voient le risque d’attaques, comme le confirment de plus en plus certains cas alarmants et inexpliqués d’activations non autorisées de Computrace.

Dès 2009, des chercheurs de Core Security Technologies ont présenté leurs observations concernant Absolute Computrace. Ceux-ci ont alerté le public sur les dangers de cette technologie et sur le risque de voir une attaque modifier le registre du système pour pirater les fonctions callback de Computrace. Un comportement « agressif » de l’agent Computrace explique pourquoi celui-ci a été détecté comme malware par le passé. Selon certains rapports, Computrace a été signalé par Microsoft sous la désignation VirTool:Win32/BeeInject. Ce signalement a toutefois été annulé ultérieurement par Microsoft et d’autres éditeurs antimalware. Les exécutables Computrace sont actuellement inscrits sur liste blanche par la plupart des éditeurs antimalware.

« Un outil aussi puissant que le logiciel Absolute Computrace doit utiliser des mécanismes d’authentification et de cryptage pour continuer d’être employé à bon escient. Il est clair que, si l’agent Computrace fonctionne sur un grand nombre d’ordinateurs, il est de la responsabilité de l’éditeur (en l’occurrence Absolute Software) d’avertir les utilisateurs et de leur expliquer comment le désactiver », conclut Vitaly Kamluk. « Faute de cela, ces agents orphelins continueront de passer inaperçus, offrant la possibilité d’une exploitation malveillante à distance. »




Voir les articles précédents

    

Voir les articles suivants