Hacking et dépendances

Sécurité des applications
Hacking et dépendances

Dans la nuit d’Halloween 2015, le site du magazine « The Economist » a servi pendant une grosse heure à diffuser du code malveillant, incitant les visiteurs à mettre à jour leur plugin Flash (encore lui) et leur faisant télécharger, en lieu et place, un malware permettant entres autres d’intercepter leurs identifiants bancaires.

Fait déroutant, aucune faille n’a été exploitée sur les serveurs de The Economist, et aucun auteur ne s’est fait pirater son compte. En fait, The Economist n’y est (presque) pour rien… 

Partenaires particuliers

Avant de parler de la source de l’intrusion, revenons brièvement sur le modèle économique classique de la presse en ligne : la publicité. Dans le cas qui nous concerne, pas moins de 65 partenaires sont référencés au chargement de la page d’accueil : iframes, images distantes, code JavaScript exécuté dans le contexte de la page, il en devient parfois un peu difficile de savoir qui exécute quoi dans notre navigateur :

Si cette multiplicité de partenaires permet vraisemblablement au magazine de se financer, elle a un impact non négligeable sur la sécurité globale du site : la surface d’attaque est accrue de façon considérable. Ainsi, une vulnérabilité affectant un seul de ces partenaires peut permettre d’utiliser le magazine en ligne comme relai d’attaque. Et bien entendu, c’est précisément ce qui s’est passé dans la nuit du 31 octobre au 1er novembre…

PageFair, ou les déboires d’un anti-anti

C’est la société PageFair, développant une solution de contournement des bloqueurs de publicité, qui est à la source de cette diffusion de malware. Victime d’une attaque en règle et visiblement ciblée (spear phishing), la société a le mérite d’avoir été à la fois très réactive et parfaitement transparente. Il n’aura fallu que 83 minutes pour identifier et bloquer l’attaque, un soir de fête. Dès le lendemain, le CEO Sean Blanchfield s’exprime sur le blog de la société : “If you are a publisher using our free analytics service, you have good reason to be very angry and disappointed with us right now” (Si vous êtes un éditeur utilisant notre service gratuit d’analytics, vous avez de bonnes raisons d’être très en colère et déçus par nous à l’heure qu’il est), etpas moins de 10 mises à jour du billet initial seront publiées, détaillant l’attaque, précisant comment se débarrasser du malware si vous pensez en avoir été victime, et décrivant les actions mises en place par la société pour éviter qu’un tel scénario ne se reproduise. Un bel exercice de communication de crise, dans lequel de nombreuses pratiques de sécurité élémentaires sont abordées.

Malgré tout, le mal est fait : la société a perdu, au moins temporairement, la confiance de ses clients, et le grand public est très en colère contre les victimes indirectes que sont les 500 sites qui ont servi de relai à l’attaque, dont The Economist.

Le « Malvertising » en forte croissance

Si l’affaire PageFair fait tant parler d’elle, c’est surtout parce qu’un très gros site de presse fait partie des victimes collatérales. Cependant, ce n’est pas la première attaque de ce type, loin s’en faut. En 2013 déjà, Yahoo figurait parmi les premières grosses victimes indirectes du malvertising, diffusant à leur insu le ransomware CryptoWall 2.0 par le biais de régies publicitaires compromises ou peu regardantes. Les campagnes de publicité exploitaient une faille dans Adobe Flash (décidément…) pour compromettre les postes de travail des visiteurs des sites, sans même qu’il ne leur soit nécessaire de confirmer quoi que ce soit…

En 2014, c’est Google et sa régie DoubleClick qui servait de relai à la diffusion du malware Zemot, un cheval de Troie installant lui-même de nombreux autres codes malveillants sur les machines infectées. À l’époque, le site last.fm ainsi que deux journaux israéliens (The Times of Israel et The Jerusalem Post) figuraient parmi les victimes collatérales.

Aujourd’hui, en plus des cibles « classiques », les tablettes et smartphones sont de plus en plus visés. Il n’est ainsi pas rare qu’une publicité propose à un utilisateur d’installer un APK sur un téléphone Android, en jouant sur les peurs des utilisateurs (« nous avons détecté 17 virus sur votre téléphone… »).

Devant cette multiplication des attaques, il devient nécessaire de réfléchir à des solutions…

Changer les pratiques, réviser le modèle

Contrer la vague de « malvertising » ne sera pas simple. Pour reparler de The Economist, qui est loin d’être un cas isolé, une grosse soixantaine d’acteurs est directement ou indirectement en charge du contenu des pages que vous visitez. Difficile dans ces conditions d’envisager un audit exhaustif de la sécurité du site (on ne parle même pas de la difficulté à organiser un pareil audit, le cas échéant).

Pour limiter les risques, l’une des solutions pourrait consister à reprendre le contrôle de tout ce qui est publié sur le site, à commencer par le contenu interprété par les navigateurs. Mais cette solution est inadaptée aux contraintes actuelles, tant techniques qu’économiques (les moyens de pression des éditeurs sur les régies publicitaires étant limités, voire nuls).

Une autre alternative pourrait venir des acteurs de la publicité en ligne eux-mêmes. La réaction de PageFair montre qu’ils ont tout intérêt à renforcer la sécurité afin de (re)gagner la confiance de leurs clients. Mais l’autorégulation a ses limites, et une intrusion restera critique et difficile à prévoir.

Le plus réaliste aujourd’hui est probablement de trouver un juste milieu - en limitant le nombre de dépendances externes et en exigeant des partenaires qu’ils s’engagent dans une démarche sécurité cohérente - afin de permettre à chacun de maîtriser ses risques. Il faudra pour cela faire preuve de beaucoup de pédagogie et de diplomatie pour sensibiliser tous les acteurs et faire évoluer des pratiques aujourd’hui couramment admises.