IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Deux chercheurs mettent au point une méthode qui dissimule les malwares derrière les images


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Mars 2013
    Messages : 426
    Points : 32 561
    Points
    32 561
    Par défaut Deux chercheurs mettent au point une méthode qui dissimule les malwares derrière les images
    Deux chercheurs mettent au point une méthode qui dissimule des malwares derrière des images
    Android serait affecté

    Une nouvelle menace de sécurité plane au-dessus de la plateforme Android. Deux chercheurs de Fortinet, Axelle Apvrille et Ange Albertini, ont mis au point une nouvelle méthode pour dissimuler des malwares dans des images.

    Tout a commencé avec les travaux d’Ange Albertini. Le chercheur a mis au point le script python Angecryption, qui après chiffrement (avec une méthode de chiffrement par bloc comme AES) d’un fichier source, lui donne l’apparence visuelle et l’aspect d’un document PDF, d'une image PNG ou JPG.

    Précisons au passage que, pour que la méthode réussisse, des données additionnelles doivent être ajoutées à la fin du fichier source.

    L’utilisation du script a été étendue à la plateforme mobile de Google et présentée publiquement au cours de la conférence Black Hat Europe. Les chercheurs ont chiffré une application Android qui avait l’aspect d’une image au format PNG. L’image en question est celle d’Anakin Skywalker de Star Wars.

    Aux yeux de l’utilisateur, c’est juste une image. On est loin de se douter qu’il s’agit en fait d’une application. Exploité correctement, un hacker peut se servir d’Angecryption pour insérer des malwares dans les mobiles des victimes. D’après les deux experts, l’ingénierie inverse d’un tel malware est difficile.

    Les chercheurs ont réussi à implémenter un exploit sur Android 4.4.2. L’équipe de sécurité de la plateforme mobile de Google a été alertée par les chercheurs. On ne peut qu’espérer que des correctifs verront rapidement le jour.

    Source : SlideShare Black Hat

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Membre averti

    Homme Profil pro
    Développeur Web
    Inscrit en
    Février 2013
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Février 2013
    Messages : 88
    Points : 447
    Points
    447
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par Cedric Chevalier Voir le message
    Qu'en pensez-vous ?
    Que lire un fichier ne devrait jamais entraîner le lancement de code arbitraire au même titre que ce forum ne me laissera pas exécuter du code javascript en ajoutant une simple balise <script>

  3. #3
    Membre éclairé Avatar de Grabeuh
    Homme Profil pro
    Développeur Web
    Inscrit en
    Février 2009
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 114
    Points : 653
    Points
    653
    Par défaut
    Citation Envoyé par Grimly Voir le message
    Que lire un fichier ne devrait jamais entraîner le lancement de code arbitraire au même titre que ce forum ne me laissera pas exécuter du code javascript en ajoutant une simple balise <script>
    Le soucis, c'est qu'en général, un malware n'exploite pas qu'une seule faille, mais la combinaison de plusieurs. Si le seul cryptage sous forme d'image n'est pas si dangereux que ça en soi, c'est l'exploitation d'une seconde faille qui elle permettra probablement l'exécution du code.

    L'image, c'est seulement le moyen de faire rentrer le ver dans le fruit incognito.

  4. #4
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2006
    Messages : 5 239
    Points : 19 098
    Points
    19 098
    Billets dans le blog
    17
    Par défaut
    Citation Envoyé par Grimly Voir le message
    Que lire un fichier ne devrait jamais entraîner le lancement de code arbitraire au même titre que ce forum ne me laissera pas exécuter du code javascript en ajoutant une simple balise <script>
    Il ne faut pas oublier, par exemple que dans un pdf, il peut y avoir du code executable, notamment pour les pdf formulaires

    Pour les images, à la base, une application analyse du code pour le traduire en pixel à l'écran, et là, en exploitant une faille de l'algorythme de parsing, on peut (si faille) faire du débordement...

  5. #5
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 129
    Points
    28 129
    Par défaut
    En tout cas, je trouve la méthode jolie. Après, pour ce qui est de l'exécution, nous sommes d'accord qu'il faudrait exploiter plusieurs failles, mais c'est souvent ce qui est fait, généralement sans que l'utilisateur s'en rende compte.

  6. #6
    ALT
    ALT est déconnecté
    Membre émérite
    Avatar de ALT
    Homme Profil pro
    Retraité
    Inscrit en
    Octobre 2002
    Messages
    1 270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 65
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Retraité
    Secteur : Service public

    Informations forums :
    Inscription : Octobre 2002
    Messages : 1 270
    Points : 2 461
    Points
    2 461
    Par défaut
    Euuuh !
    Insérer du code ou du texte dans une image, ce n'est pas ce qu'on appelle la stéganographie ?
    Technique connue depuis longtemps... Bref, rien de nouveau.

  7. #7
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 129
    Points
    28 129
    Par défaut
    La stéganographie consiste effectivement à "cacher" un message dans une image, mais il ne s'agit pas forcément de cacher un programme exécutable dans une image.

  8. #8
    Membre du Club
    Inscrit en
    Mars 2011
    Messages
    28
    Détails du profil
    Informations forums :
    Inscription : Mars 2011
    Messages : 28
    Points : 46
    Points
    46
    Par défaut
    ALT a été plus rapide que moi, ce n'est pas nouveau le fait de planquer des fichiers dans des images, il y a déjà 4/5 je le faisait pour des tests. le coté malware est lui, peut-être nouveau, et encore...

  9. #9
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 129
    Points
    28 129
    Par défaut
    Au risque d'être cassant, lisez la news : le programme en question prend un exe, et le "transforme" pour qu'il soit reconnu comme une image. C'est donc le principe inverse de la stéganographie, qui consiste à prendre une image et à mettre quelque chose dedans sans trop altérer celle-ci.

    Et si vous avez réussi ça il y a 4 ou 5 ans, grand bien vous fasse, mais dépéchez-vous d'écrire à la conf afin que l'antériorité vous revienne.

  10. #10
    ALT
    ALT est déconnecté
    Membre émérite
    Avatar de ALT
    Homme Profil pro
    Retraité
    Inscrit en
    Octobre 2002
    Messages
    1 270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 65
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Retraité
    Secteur : Service public

    Informations forums :
    Inscription : Octobre 2002
    Messages : 1 270
    Points : 2 461
    Points
    2 461
    Par défaut
    Ah ben tout faux, alors : je ne l'avais pas bien compris.
    Ouillle !

  11. #11
    Membre averti
    Profil pro
    Inscrit en
    Octobre 2010
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2010
    Messages : 184
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    La stéganographie consiste effectivement à "cacher" un message dans une image, mais il ne s'agit pas forcément de cacher un programme exécutable dans une image.
    Il s'agit ni plus ni moins que de la stéganographie. Il n'exploitent aucune faille comme le prétend cette news, en regardant les slides on comprend bien qu'ils rajoutent du code malicieux dans une image de manière à ce que celle-ci soit toujours une image valide et puisse être affiché si on l'ouvre en tant qu'image. Mais ça s’arrête là il n'y a aucun code qui est exécuté si on l'ouvre avec un lecteur d'image classique, il faut absolument passer par leur apk vérolée qui va récupérer le code malicieux de l'image pour l’exécuter.

    Bref ces chercheurs prétendent avoir trouvé une technique quasi indétectable pour placer du code malicieux dans une image, mais le code qui va récupérer le Malware dans l'image, lui est parfaitement détectable...

  12. #12
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2014
    Messages
    70
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Janvier 2014
    Messages : 70
    Points : 59
    Points
    59
    Par défaut
    Si ce que dit Miky55 est vrai, la véracité de ce type de méthode est à revoir ...

    Enfin, la dissimulation à l'air de bien fonctionner mais l’exécution ... Faire une attaque en espérant que les victimes est à la fois un image vérolée et l'apk ... c'est pas gagner! C'est deux fois plus compliqué à mettre en œuvre ...

  13. #13
    Membre chevronné
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2008
    Messages
    925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 925
    Points : 1 839
    Points
    1 839
    Billets dans le blog
    2
    Par défaut
    Leur recherche fera avancer la sécurité, mais pourquoi annoncer ça chez les black hat. Les gars qui piratent uniquement dans un but pas très sympa.

  14. #14
    Membre éprouvé Avatar de Algo D.DN
    Homme Profil pro
    WPM - Web Dev.
    Inscrit en
    Août 2012
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : WPM - Web Dev.
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2012
    Messages : 374
    Points : 1 173
    Points
    1 173
    Par défaut
    Citation Envoyé par Pelote2012 Voir le message
    Leur recherche fera avancer la sécurité, mais pourquoi annoncer ça chez les black hat. Les gars qui piratent uniquement dans un but pas très sympa.
    Bah, Black hat, White hat, Grey hat, Blue hat heu... quoi que, et autres WathTheHack conf., certainement un full disclosure avec plus d'écho ^o^ on sait ou les organisations placent leurs es' pions à la recherche du Saint Graal ;]

Discussions similaires

  1. Réponses: 14
    Dernier message: 07/03/2015, 14h22
  2. Réponses: 6
    Dernier message: 10/12/2014, 08h45
  3. Réponses: 1
    Dernier message: 15/10/2014, 12h52
  4. Des chercheurs mettent au point une méthode pour déchiffrer une clé RSA
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 25
    Dernier message: 15/01/2014, 16h13
  5. Réponses: 4
    Dernier message: 06/08/2012, 00h41

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo