Beaucoup ont dû bien se marrer en lisant ce rapport d'analyse. Perso, ça me met plus en colère qu'autre chose. Je ne comprends pas qu'on puisse proposer ce genre de... logiciel... Ça me dépasse. Et même à le considérer sous l'angle froid du simple profit, il était tellement évident qu'il allait passer à la moulinette sitôt sorti et que la moindre bévue ferait le buzz, que j'ai du mal à comprendre la démarche. Mais bon, des fois, il faut arrêter de vouloir comprendre...


Au programme des festivités techniques, ce document nous propose :

  • le démontage du système d'activation ;
  • le contournement du mot de passe protégeant les fonctions d'administration du logiciel ;
  • l'exécution de code poussé par le serveur sans authentification ;
  • la prise de contrôle d'un client via le truchement d'un proxy.

La conclusion du message laisse quant à elle penser qu'il reste des choses à découvrir...

Comme je le craignais, le serveur peut bel et bien pousser du code vers les clients pour, manifestement, les mettre à jour. Ce code est alors exécuté par un service tournant avec les privilèges... SYSTEM. D'après l'analyse, ce code n'est pas signé. Et comme nous savons déjà que la communication avec le serveur ne fait l'objet d'aucune protection, on imagine assez aisément où ça nous amène : directement à la case exécution de code à distance en mode privilégié. Si on rapproche ceci de la découverte de Bluetouff et de la possible prise de contrôle du serveur via sa console d'administration, on obtient en pratique un joli Command&Control de botnet, façon Orange... Au frais de ses utilisateurs qui plus est...

Dans la mesure où ces identifiants ont, paraît-il, été modifiés et le service arrêté, on est à présent à l'abri d'un tel scénario. Sauf que figurez-vous qu'il y en a déjà un autre qui se profile à l'horizon. En effet, ce magnifique logiciel se divise apparemment en deux modules. Le premier est un service Windows qui tourne en SYSTEM et qui se charge des fonctions de protection. Le second est une GUI qui sert à paramétrer l'ensemble via la fourniture d'un mot de passe. La communication entre les deux processus se fait via un tube nommé... accessible par l'utilisateur du système... sans la moindre authentification !? Ce qui veut tout simplement dire que si quelqu'un veut reconfigurer le logiciel, voire le désactiver, il lui suffit tout simplement d'envoyer les commandes qui vont bien via le tube.

Maintenant, comment nous propose-t-on d'exploiter ça ? Simple. Un des paramètres de configuration permet de spécifier un proxy HTTP pour relayer les communications du client vers le serveur. Il suffit donc de modifier cette valeur pour rediriger les flux vers un point unique, lequel demandera au client de demander un mise à jour et lui fournira un joli binaire en retour. Ce dernier sera exécuté avec les droits SYSTEM par le service qui va bien. CQFD. Sinon, on doit bien pouvoir se passer du proxy en injectant du code directement dans le process. Si on n'a pas là une magnifique élévation de privilèges accessible au premier malware venu, je ne m'y connais pas...


Il est donc clair que ce logiciel, en plus d'être inutile puisque le serveur supposé lui fournir les signatures de programmes à bloquer est aux abonnés absents, est dangereux. Je ne saurais donc trop recommander à ceux qui l'utilisent de le désinstaller au plus vite. Et au cas où vous vous prendriez à penser qu'il vous rend HADOPI-compliant, rassurez-vous : comme il n'est pas labellisé, son utilisation ne vous apportera certainement aucune protection contre d'éventuelles sanctions. Et profitez-en pour remercier ceux qui ont trouvé tout ça de l'avoir publié : c'est grâce à eux que vous avez pu vous protéger et que le système a été abandonné. S'ils avaient gardé tout ça pour eux et que le système s'été généralisé...

Je disais donc que voir ça me mettait en colère. C'est honteux de pondre des trucs comme ça et de les vendre. Il y en a qui devraient aller se cacher, s'enterrer au bout du monde. Je comprends mieux que ça ne soit pas passé par une CSPN, ça aurait été un échec colossal, un clouage au pilori. Imaginez donc. Voilà un logiciel censé vous protéger et bloquer l'exécution de binaires identifiés sur la base de signature[1]. Un logiciel qui tourne en SYSTEM et prend des commandes de simples utilisateurs sans la moindre authentification. Un logiciel qui tourne en SYSTEM et qui va recevoir et exécuter du code non signé, via une connexion non protégée...

À vrai dire, quand je dissertais sur les conséquences de l'exploitation d'un tel logiciel, je ne m'imaginais pas un tel fiasco. Je pensais à des failles, des vraies, comme en font les gens de bonne volonté mais pas forcément compétents. Des trucs comme des bourdes de programmation ou un algorithme de signature mal foutu. Mais certainement pas à un soft conçu en dépit du bon sens...


Au moins, vu l'ampleur des dégâts, il est clair que ce logiciel est désormais mort et enterré. D'ailleurs, il n'est plus disponible au téléchargement cet après-midi. Voilà une perte que personne ne pleurera...


Update : on apprend de diverses sources que l'offre est interrompue et qu'Orange n'envisage pas de proposer un nouveau logiciel. C'est une décision avisée et on notera qu'elle a été prise assez rapidement si on considère les le contexte.

Notes

[1] Tiens, ça me rappelle un type de protection qui se fait régulièrement taxer d'inefficacité...