Taxonomie d'un rootkit : mais que font les « policies ?
Question de fin de semaine : En ces période bénies où chaque professionnel-Industriel de la sécurité se fend d'une « taxonomie », qui du spyware, qui du malware madame et du bonsware monsieur, un docte Clueley ou un savant Stiennon pourrait-il nous expliquer Comment peut-on être rootkit ? * Manifestement les conditions d'éligibilité à l'état de logiciel-espion nécessitent plus de pré requis que ce qu'il est nécessaire pour briguer un poste de Premier Secrétaire ou la nationalité persane. Au plus fort de l'affaire du Rootkit Sony, l'équipe de CSO toute entière a surveillé les bases de signatures de ses différents anti-spywares, anti-virus et autres firewalls à « automatic update ». Et il faut bien admettre que l'on avait l'impression de ressembler au lieutenant Giovanni Drogo attendant vainement ses Tartares dans le désert. Alors même que les principales agences de sécurité émettaient des bulletins d'alertes inquiétants, les éditeurs d'A.V. se tenaient coi. Enfin presque. Car, simultanément, leurs services de presse diffusaient sur « l'affaire Sony » autant de verbiage que n'en produisaient les folliculaires patentés, ceux de CSO France y compris.
Et il nous est revenu une vieille, très vielle réflexion d'un porte-parole oublié de Symantec, à propos du logiciel espion du FBI surnommé « Magic Lantern ». Lequel porte-parole avait déclaré en substance -et avec honnêteté- « si les vaillants défenseurs de l'ordre et de la loi ont besoin d'espionner nos clients, nos passerelles anti-virus sauront les laisser passer sans broncher, c'est une question de civisme ». Levée de boucliers, indignation à l'époque... et revirement de situation de la part de l'éditeur qui, depuis, déclare avoir l'intention de détecter ce spyware à la signature furtive. Un tel « statement » n'engage à rien tant qu'un Mark Russinovich ou autre agitateur notoire ne vient pas prouver le contraire. En attendant, çà rassure.
L'affaire Sony prouve pourtant qu'il n'est même pas nécessaire d'appartenir au FBI pour avoir le droit de diffuser un rootkit, et que l'appartenance au club restreint des société cotées en bourse suffit amplement à justifier n'importe quelle action illégale. Du moins selon les critères juridiques en vigueur en nos contrées. Diktat du marché, impératifs dictés par la loi de la jungle de l'édition ? Si le geste de Sony peut effectivement se comprendre - tous les moyens sont bons pour protéger mes biens, y compris les expédients les plus radicaux-, la passivité complice des éditeurs européens de passerelles de protection demeure, quant à elle, fortement inquiétante. En refusant de prévenir d'une telle attaque, même si les rootkits en question n'étaient théoriquement pas diffusés en France, ces entreprises ont décidé, à la place même de leurs clients, de ce qui était pour eux dangereux ou non. C'est interpréter la notion de menace, c'est s'immiscer directement dans la politique de sécurité d'autrui.
* Merci Montesquieu