Les trois derniers bulletins de sécurité mensuels de Microsoft n'auront pas tardé à être exploités. Dans les trois cas, il n'aura fallu que bien peu de temps, parfois un jour, aux créateurs de virus pour découvrir comment exploiter des failles critiques de la suite bureautique Office.
Si les pirates avaient déjà recours au reverse engineering pour découvrir des failles applicatives, il faut ajouter un autre outil à leur panoplie. Une solution dont l'utilisation remonte déjà à 2 ans au moins. Appelé "fuzzing", cette méthodologie est notamment employée par les experts en sécurité afin de détecter des bugs et failles dans les applications.
Le concept de fuzzing s'est en partie popularisé en raison des recherches de l'expert en sécurité, HD Moore, également à l'origine de la publication du code source d'un moteur de recherche des codes malveillants sur Internet. Moore est principalement connu pour sa contribution au projet Open Source, Metasploit Framework, un environnement dédié au développement d'exploits et aux tests de sécurité.
Les logiciels nommés "fuzzers" ont pour but d'automatiser la recherche des failles. Mais dans le cas de leur utilisation par des pirates, l'objectif n'est alors plus d'en informer les éditeurs
Une fois l'exploit réalisé, ces derniers utiliseront ce type d'application pour connaître les tenants et les aboutissants du mécanisme incriminé.
De multiples fuzzers existent notamment pour détecter des failles dans les navigateurs Web. Certains se spécialisent ainsi dans les tests des failles des objets COM ou des ActiveX. Tandis que d'autres s'attacheront à tester les CSS, le DHTML, ou encore le comportement général du navigateur face à du code HTML mal formé.
| Une technique déjà largement répandue parmi les pirates |
Le processus du fuzzing consiste donc à vérifier les entrées possibles pour une application donnée, et à forcer des opérations dans le cas où celle-ci réagit de manière anormale. La finalité est ainsi d'inventorier toute action inattendue du logiciel.
Lorsqu'un bug a été identifié, il devient dès lors possible de conduire de plus amples tests afin de définir si ce dernier peut faire l'objet d'une exploitation, et si oui, par le biais de quel mode opératoire.
Le fuzzing est donc un moyen d'industrialiser la découverte de failles et leur exploitation. Secure Computing, spécialisé dans la sécurité informatique, estime ainsi que le fuzzing s'est déjà largement répandu parmi les pirates.
Selon la firme, ces derniers, de manière collective, en partageraient les résultats par le biais de multiples canaux de communication (canaux IRC, forum, etc.) dans le but de développer plus rapidement de nouveaux vecteurs d'attaque.
La croissance du nombre de vulnérabilités constatée ces deux dernières années s'expliquerait en grande partie, par le recours aux outils de fuzzing. Le rapport de l'US-CERT (United States Computer Emergency Readiness Team) faisait état de 5198 failles en 2005, soit une hausse de 38% sur un an.
Le SANS Institute avait enregistré au cours du deuxième trimestre 2005, 422 nouvelles vulnérabilités, soit une hausse de 20% par rapport au deuxième trimestre 2004 et de 10,8% par rapport au premier trimestre 2005.
Néanmoins, les éditeurs peuvent eux aussi recourir aux fuzzers pour accélérer la détection et la correction des vulnérabilités. Une voie qu'emprunterait notamment Microsoft pour le développement de Vista, démarche qui pourrait contribuer à renforcer la sécurité du futur OS.
|
Dossier 
