vendredi 13 janvier 2012

Sykipot, le troyen qui utilisait une smartcard comme monture

Nom : Sykipot
Type : code malveillant de type Troyen
Naissance : aux alentours de 2006, résurgence en 2010 et 2011
Origine : inconnue
Vecteur : mail avec fichier pdf attaché et piégé
Mode d'action :  ouverture de la pièce jointe par le destinataire
Cibles : Pentagone, DHS, Affaires Etrangères (State Department) et de nombreuses autres agences gouvernementales
Particularité : utilise comme complice un dispositif de sécurité !

L'affaire est tout simplement ÉNORME !

De nombreux ministères et agences gouvernementales américaines utilisent les cartes sécurisées dites smartcards d'ActivIdentity, l'un des leaders mondiaux de ce type de produits. Utilisés, soit dit en passant, à travers le monde y compris en France dans de grandes entreprises et administrations (je dis ça je dis rien !). Matériel (la carte) et logiciel (ses fonctionnalités), ce dispositif permet autant les accès physiques aux sites et bâtiments ainsi qu'au Système d'Information de l'entité  et sert de sésame à la PKI (fonctions d'identification forte de l'utilisateur, usage d'un mot de passe unique OTP, chiffrement des mails et des données, etc.).

Jusqu'à présent, le troyen Sykipot était considéré comme une menace de faible niveau, du moins sur ses variantes connues. Le problème ici, c'est que la variante découverte, apparemment originaire de Chine (restons prudent mais ça n'est pas surréaliste), n'était elle pas connue. Du point de vue principes de l'attaque, le code malveillant s'emparait du code PIN de la carte grâce à un module de type keylogger puis utilisait ce code pour s'authentifier à des ressources protégées, avec pour seule contrainte que la smartcard soint insérée. L'ensemble des opérations pouvait être piloté à distance depuis un serveur.

Il sera sans doute difficile de connaître l'étendue des dégâts, mais on peut supposer qu'ils existent, puisque la version compilée de cette variante date de mars 2011 tandis que sa découverte semble récente. Pour qui est intéressé, les détails de l'attaque sont mis à disposition par AlienVault (ici), un laboratoire spécialisé en sécurité, par qui l'affaire a été découverte.

Même si ce type de code malveillant utilisant une smartcard n'est pas nouveau, notons quand même le ciblage bien spécifique d'un dispositif de sécurité largement répandu au sein du Pentagone et de nombreuses autres agences, avec pour dernier ressort d'exfiltrer des informations évidemment sensibles et classifiées vers une zone géographique tiers. Si besoin était, cette affaire illustre gravement le cyber-espionnage intensif (voire extensif) qui a cours.

Aucun commentaire: