Rootkit Sony : Amère omerta
Business Week révèlent que la découverte du Rootkit Sony par Russinovich n'est pas franchement une « première »... en fait, un installateur de systèmes new yorkais avait également, début octobre, mis le doigt sur le problème et immédiatement communiqué son « scoop » à l'équipe de Mikko Hyppönen. Laquelle s'était empressée de garder la chose sous silence, du moins tant que BMG n'aurait pas expliqué sa version des faits. Rappelons qu'Helsinki, port d'attache de F-Secure, n'est pas situé aux Etats-Unis, pays où l'installation massive de rootkits ne relève pas du pénal, du moins pas dans tous les Etats. Connaissant donc l'existence d'une menace certaine, l'équipe de F-Secure est-elle restée inactive ? La réponse d'Eugenio Correnti, patron technique de l'éditeur en France, est franche : F-Secure a toujours protégé ses clients contre une telle attaque. Nous détections le rootkit bien avant que l'information soit publique (via la technologie antirootkit Blacklight ). Suite à notre découverte fin septembre/début octobre 2005, F-Secure a travaillé en 2 temps : assurer la protection de ses clients via la technologie de prévention rootkit et en parallèle, contacter immédiatement Sony BMG et First 4 Internet afin de les informer de la situation. F-Secure a décidé de ne pas rendre publique l'information parce que nous étions préoccupés par les risques d'une publication (des créateurs de virus pouvaient utiliser l'information sur la méthode consistant à cacher des fichiers débutant par "$sys$" cf le débat "full disclosure" versus "half disclosure"). F-Secure était donc en pleine discussion avec Sony BMG et First 4 Internet lorsque Russinovitch a annoncé publiquement la situation lundi 31 octobre. Et la crainte que nous avions a été confirmée par le fait que, 9 jours après le post de Sysinternals, un exploit profitant du rootkit Sony est apparu, Breplibot.b Il n'est pas établi, à l'heure actuelle, de lien direct entre la publication du virus et le travail de Russinovich. Cet aspect du problème est d'ailleurs totalement anecdotique. Il était pourtant possible, à l'équipe de F-Secure comme à l'ensemble de la profession, d'alerter le public d'un danger d'origine Sony, sans divulguer la moindre information technique. Un peu comme les « Microsoft early warning » qui précèdent le fatidique « patch Tuesday » : on prévient, mais il faut posséder au moins la moitié du code génétique de Cagliostro pour deviner la nature du buffer overflow qui sera corrigé. La crise d'omerta aigüe qui a frappé les éditeurs d'anti-virus est donc d'une toute autre nature que celle opposant les partisans de la divulgation « entière » ou « responsable ». Quand à attendre une éventuelle réponse de la part de BMG, le recul de l'histoire nous apprend que c'était là faire preuve d'un optimisme un peu trop béat. On a le mutisme mutin, chez les nippons nantis. Businessweek ne titrait-il pas « le coûteux silence de Sony BMG » ? « Vous pensez qu'on le savait bien avant la publication de Russinovich » confirmait Eugène Kaspersky lors d'une interview accordée à CSO France. « Mais que devait-on faire ? Tant que le rootkit n'était pas exploité par un malware, nous autres, petits éditeurs moscovites, ne pouvions divulguer ce genre d'information. La taille de Sony, ses réactions, étaient totalement imprévisibles ». A la question « qu'est-ce qui différencie un malware d'un logiciel légal ?» Eugène Kaspersky répond avec un sourire. « Est-ce l'importance de la cotation en bourse de son auteur ? » Re-sourire de l'individu et réponse prudente « on peut effectivement se poser la question ». Là, au moins, l'argument a le mérite d'être clair. Comme dit le proverbe slave : si tu laisses tranquille l'avocat dans le champ de ton voisin, tu récolteras du blé toute l'année. Si tu l'excites, t'as intérêt à en avoir de côté ( ndt note du traducteur : le proverbe étant d'origine moldovalaque, un glissement sémantique est toujours possible). Doit-on s'offusquer des coutumes et des us d'un chasseur de virus russe ? Que niet ! Car à la question « Quid de l'attentisme de la profession face à cette menace sonyesque manifeste », les principaux autres acteurs se sont contentés de répondre par un sourire gêné et un regard absent. Fabricants de firewalls, vendeurs d'IDS, spécialistes du forensic et gourous de l'inventaire de vulnérabilité, tous les participants du dernier salon Infosec se sont surpassés dans un formidable étalage de « silences lourds de sous-entendus ». Il est vrai que dialectiquement, le cas Sony est difficile à plaider. D'autant plus difficile qu'il est lourd d'implications, notamment dans le domaine de la téléphonie cellulaire et de la sûreté de l'Etat. Mais ceci est une autre histoire... A suivre...
