Discussion :

[Hinault Romaric]

SSL : ComodoHacker affirme qu’il peut publier de fausses mises à jour via Windows Update
impossible rétorque Microsoft


ComodoHacker fait encore parler de lui, et s’attaque cette fois au système d’exploitation de Microsoft Windows.

Le prétendu étudiant de 21 ans derrière les attaques ayant compromis les certificats SSL de plusieurs autorités de certifications comme DigiNotar et Comodo qui se qualifie « d’intelligent, vif, dangereux, puissant, etc. » vient de faire de nouvelles déclarations sur le compte anonyme Pastebin.

ComodoHacker affirme qu’il aurait pu utiliser les certificats SSL volés de DigiNotar pour publier des fausses mises à jour de sécurité pour Windows via le service de mise à jour automatique Windows Update.

Microsoft a répondu à ces affirmations dans un message de blog en annonçant qu’il est impossible d’utiliser les certificats compromis pour distribuer des programmes malveillants via Windows Update.

« Les pirates ne sont pas en mesure d’exploiter un certificat frauduleux de Windows Update pour installer des programmes malveillants » a déclaré Jonathan Ness, directeur de la sécurité chez Microsoft « Le client Windows Update installe uniquement les binaires signés par un certificat root Microsoft, qui est émis et garanti par l’éditeur ».

Par ailleurs, selon les explications de Microsoft, pour réussir une attaque via Windows Update, le pirate doit délivrer un certificat pour le serveur auquel le client veut initier une connexion, il doit également être en mesure d’exploiter l’infrastructure réseau entre le client et le serveur, et contrôler le serveur DNS du FAI de la victime.

Quels qu’en soient les cas, les utilisateurs ayant déjà appliqué la mise à jour de sécurité publiée la semaine dernière par Microsoft permettant de ne pas approuver les certificats de DigiNotar, sont à l’abri d’une potentielle attaque.



Source : Microsoft, Message ComodoHacker


Et vous ?

Que pensez-vous de ces déclarations ? Croyez-vous ComodoHacker capable d'utiliser Windows Update pour publier des fausses mises à jour ?

[Flaburgan]

Si c'était le cas, ça ferait réellement flipper... On aurait plus confiance en rien !

[l0lmanPH]

Mince...

Depuis un certain temps (1 mois ?) Windows Update à toujours de nouvelles mises à jour pour mon XP.
C'est à dire que dès que j'en termine une une nouvelle apparaît !

Mon antivirus (MSE) ne me dit rien toutefois c'est bien probable.

[ixpe]

Et vous ?

Que pensez-vous ces declarations ? Croyez-vous ComodoHacker capable d'utiliser Windows Update pour publier des fausses mises à jour ?

Je pense que le meilleur moyen de ne plus pouvoir le faire est de communiquer de cette façon. Je pense donc que c'est de la vantardise.

D'autant plus que "connaissant" son "profil" (un chouia megalo), si cela avait été à sa portée il l'aurait fait afin d'être reconnu comme les meilleurs d'entre tous...

J'imagine le bazar que pourrait faire une personne avec ce pouvoir...

[Marco46]

Si c'était le cas, ça ferait réellement flipper... On aurait plus confiance en rien !

Pour moi ça change rien, j'avais déjà déjà pas confiance en Microsoft.





(J'étais bien obligé de la faire non ?)

[ram-0000]

Mon antivirus (MSE) ne me dit rien toutefois c'est bien probable.

Ce n'est pas l'antivirus qui détectera ce type de problème.

[nazgul66]

qui se qualifie « d’intelligent, vif, dangereux, puissant, etc. »

Il est pas trop imbu de sa personne le gars.

[sevyc64]

Mince...

Depuis un certain temps (1 mois ?) Windows Update à toujours de nouvelles mises à jour pour mon XP.
C'est à dire que dès que j'en termine une une nouvelle apparaît !

Mon antivirus (MSE) ne me dit rien toutefois c'est bien probable.

C'est peut-être toujours la même qui n'arrive pas à s'installer et qui recommence donc indéfiniment

[Freem]

Moi, je crois qu'il a dû écrire un programme pour améliorer ses jambes.
Le problème, c'est qu'il y a un memory leak, et du coup, ses chevilles enflent de façon impressionnante...

[l0lmanPH]

@ram-000 : ah, si des logiciels malveillants sont installés via Win Update mon antivirus quel qu'il soit n'y verra rien ?
@sevyc64 : oui, je vais vérifier minutieusement comment se déroule chacune d'elles. Toutefois j'ai déjà suivi l'avancement (pas le détail) et ça se terminait toujours par "Terminé !".

S'il n'y a pas de feedback concernant cette histoire on pourra considérer que ComodHacker a menti.
Peut-être veulent-ils que les utilisateurs arrêtent de faire des updates pour être victimes des logiciels malveillants ? Ou détourner l'attention de Microsoft/tenter de les effrayer ou d'étudier leur réaction/réduire leur image (peu reluisante pour certains suivant sérieusement la "guerre" des SE) ?

[sevyc64]

ram-000 voulais dire que ce 'est pas le rôle d'un antivirus de détecter si ton système à trop souvent besoin de mises à jours de windows, ou s'il essaye de toujours installer les mêmes.

Un antivirus se contente d'analyser et d'identifier un code malveillant, que ce soit une mise à jours ou non.

LE processus de mise à jours de Windows étant si particulier que si une mise à jours est corrompue, probablement que ton antivirus la verra (si elle n'est pas spécialement développée pour passer inapperçue) mais trop tard, c'est à dire qu'une fois qu'elle sera installée.

LE processus de mise à jours de Windows étant si particulier que arriver à corrompre une mise à jour et qu'elle soit reconnue comme valide est vraiment très compliqué.
Et même si ça arrivait, il faudrait ensuite que ce soit une mise à jour qui n'existe pas déjà, que les os reconnaissent qu'ils en ont besoin pour pouvoir la télécharger et l'installer, ça veut dire, arriver aussi à corrompre le système de catalogue qui constitue le cœur de Windows Update.
Et enfin, il faudrait arriver à pousser la mise à jours sur les serveurs de Microsoft pour qu'elle soit télécharger, et aussi donc corrompre plusieurs dizaines de serveurs qui interviennent dans le processus de Windows Update.

C'est probablement pas impossible, mais extrêmement compliqué pour que Microsoft ne s'en aperçoive pas immédiatement

[Flaburgan]

Je suis sceptique sur le "il faudrait ensuite que ce soit une mise à jour qui n'existe pas déjà, que les os reconnaissent qu'ils en ont besoin pour pouvoir la télécharger et l'installer, ça veut dire, arriver aussi à corrompre le système de catalogue qui constitue le cœur de Windows Update."

Pour moi, de ce côté là, il suffit de dire "une nouvelle mise à jour est disponible", en disant genre que c'est un patch de sécurité, l'ordinateur ne fait aucune vérification de s'il a besoin ou non de la mise à jour, on lui dit qu'il y en a une, il l'installe, voilà tout. Par contre effectivement pour qu'elle passe inaperçu du côté de microsoft, là c'est beaucoup plus chaud...

[sevyc64]

Non, les mises à jours de Microsoft, fussent-elles de sécurités, ne fonctionnement pas comme ça.

Toutes les mises à jours ne s'appliquent pas à toutes les machines, ne s'appliquent pas si elles sont déjà installées. La machine fait un certain nombres de vérifications selon divers critères avant de décider si elle est concernée par la mise à jour, ou non, même si c'est une mise à jour de sécurité.

[l0lmanPH]

"ram-000 voulais dire que ce 'est pas le rôle d'un antivirus de détecter si ton système à trop souvent besoin de mises à jours de windows, ou s'il essaye de toujours installer les mêmes."

Je voulais dire que si ce problème de mises à jour était dû à ComodHacker (c'est pourquoi j'ai posté) l'antivirus aurait été capable de détecter les logiciels malveillants introduits.