Un cheval de Troie gouvernemental analysé par le CCC

Posté par  (site web personnel) . Modéré par Bruno Michel. Licence CC By‑SA.
Étiquettes :
64
9
oct.
2011
Sécurité

Le Chaos Computer Club (CCC), l’une des organisations de hackers (au sens premier de bidouilleurs curieux) les plus influentes en Europe, viendrait de faire la rétro‐ingénierie d’un cheval de Troie (pour système Windows) utilisé par la police allemande pour « l’interception légale ». À partir d’une copie découverte en utilisation, ils montreraient que ce logiciel espion permet de récupérer des données privées, de surveiller les échanges via diverses applications (Firefox, Skype, MSN Messenger, ICQ et d’autres), de prendre le contrôle de la machine infectée, de se mettre à jour ou d’accroître ses fonctionnalités intrusives.

Le CCC publie une longue analyse détaillée, plus le binaire en question (une « dll » de 360 Kio et un « .sys » de 5 Kio). Ils auraient par ailleurs écrit leur propre interface de contrôle du logiciel espion, montrant les failles des protocoles de communication et de supervision utilisés.

L’antivirus libre ClamAV reconnaît « mfc42ul.dll » comme Trojan.BTroj-1 et « winsys32.sys » comme Trojan.BTroj.

Merci à inico pour son journal sur le sujet qui a conduit à cette dépêche.

En février 2008, la Cour constitutionnelle allemande a interdit l’utilisation de programmes malveillants permettant de manipuler le contenu des ordinateurs des citoyens. Cependant, le gouvernement allemand a introduit le terme « novlangue » de « Quellen‐TKÜ », signifiant « écoute‐interception à la source », pour écouter‐intercepter la téléphonie via Internet (et en principe uniquement cela).

Rien n’aurait été fait pour mettre des limitations techniques et restreindre le domaine d’utilisation à la téléphonie sur IP (ToIP) ; bien au contraire, tout serait fait pour offrir une vraie tête de pont pour s’introduire sur un réseau.

L’analyse du CCC montrerait que le cheval de Troie va plus loin que la simple écoute et interception des télécommunications via IP : il pourrait recevoir des fichiers, les exécuter, et donc se mettre à jour ou étendre ses fonctions ; il pourrait aussi utiliser le micro ou la webcam pour surveiller la pièce.

La sécurité laisserait aussi à désirer : n’importe qui pourrait prendre le contrôle du logiciel espion. Il serait possible de soumettre de fausses preuves contre le possesseur du PC ou d’effacer des fichiers. Captures d’écran et fichiers audio seraient transmis mal chiffrés, et les commandes au logiciel espion ne le sont pas du tout, pas plus qu’elles ne seraient authentifiées, ou leur intégrité vérifiée. Par ailleurs, la sécurité du côté serveur(s) gouvernemental(aux) pourrait ne pas être meilleure ; à noter que les informations transitent par un hébergement aux États‐Unis, ce qui pose plusieurs problèmes de souveraineté nationale, d’écoutes possibles et probables par les États‐Unis et de fuites possibles d’information.

Le CCC aurait écrit son propre terminal de contrôle à distance des logiciels espions déployés sur Internet. Il permettrait d’avoir accès à des captures d’écran du navigateur.

Le CCC annonce que l’affirmation officielle de séparation stricte de l’interception légale de la ToIP d’avec la sphère numérique privée (définie par la Cour constitutionnelle allemande), ne repose sur rien. Il reproche au législateur de se laisser guider par les demandes de plus de surveillance en oubliant les libertés.

Le CCC a prévenu au préalable le ministère allemand de l’intérieur, et estime lui avoir laissé assez de temps pour activer la fonction de destruction des logiciels espions.

Le CCC annonce qu’une autre affirmation gouvernementale est erronée : en 2008, il lui aurait été dit que chaque Quellen-TKÜ serait adapté au cas traité et spécifique. En fait, les différentes versions du logiciel récupéré par le CCC utilisent la même clé cryptographique codée en dur et semblent génériques. Les contrôles de qualité stricts annoncés initialement semblent eux aussi douteux : clé codée en dur, mauvais chiffrement et dans un seul sens, procédure de mise à jour illégale.

Le CCC demande l’arrêt des infiltrations gouvernementales clandestines et appelle tous les hackers à poursuivre l’analyse du logiciel espion.

Pour les Français, voir l’article 706-102-1 du code de procédure pénale, créé par la loi LOPPSI n°2011-267 du 14 mars 2011 — art. 36 : « (…) mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données ou telles qu’il les y introduit par saisie de caractères. (…) » Article résumé par Numerama : « [s]ous l’autorité et le contrôle du juge d’instruction qui devra motiver son ordonnance, les autorités de police pourront désormais installer des mouchards sur les ordinateurs des suspects de nombreux crimes et délits. »

Aller plus loin

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.