Le phishing, vecteur de R&D
Kenneth van Wyk ex-Cert, ex-DoD, n'est pas particulièrement réputé pour ses interventions fantaisistes. Et pourtant, son dernier papier publié par eSecurity Planet témoigne d'une certaine inquiétude : en examinant l'activité des emails de phishing et des infections en résultant -troyens, virus et autres calamités-, il semblerait que les temps ne soient plus au ZDE -ou attaque « Zero Day »- mais au « avant zéro day ». L'exploitation de trous avant révélation de la faille « officielle » dirons-nous. C'est là, on s'en doute, une surprise toute feinte. Un expert de l'envergure de Wyk, tout comme les principaux chasseurs de virus/troyens/rootkits, ont depuis longtemps constaté cette très nette « amélioration » technique des méthodes de développement de malware, cette très nette propension à l'orientation techniciste des nouvelles infections (et notamment sa tendance rootkit). Depuis que l'on clame haut et fort cette récupération du hack noir par le crime organisé, il fallait bien s'attendre à un professionnalisme poussé des méthodes. Y compris celles touchant à la recherche de failles. Phénomène concomitant, doit-on le rappeler, avec l'émergence des questions portant sur le commerce ou la rétribution des failles. L'amateurisme ou le dilettantisme du geek passionné ne peut convenir aux exigences de rentabilité à très court terme des bandes mafieuses. Comme pour étayer ces propos, voici que Fortinet publie une analyse de la toute dernière variante d'un exploit utilisant la faille CreateTextRange : les 10 secondes nécessaires à l'exécution du malware ont été considérablement raccourcies. On optimise aussi chez les hackers noirs. Peut-être même bien plus que chez les développeurs traditionnels. Le monde de l'exploit est dépourvu d'easter egg, de fioritures du GUI, de boucles inutiles, d'algorithmes écrits à la charrue. On y retrouvera de plus en plus l'esprit des « one liner » d'autrefois et le rigorisme des gourous de l'assembleur optimisé haute époque. Si la tendance se confirme, Ballmer finira par débaucher chez Capone & Fils, les chasseurs de tête de Google iront en stage dans la banlieue de Moscou et à Little Odessa, et Oracle éditera ses P.A. d'embauche dans GCC (non, pas GNU Compiler Collection, mais la Gazette de la Centrale de Clairvaux)
