Dans les médias numériques!

1

Plan❑ Nouvelles tendances

❑ Médias numériques

❑ Téléphones intelligents

❑ Réseaux sociaux

❑ Conclusion

2

Et si «Branché » = « vulnérable »?

Téléphones

Intelligents

Réseaux

sociaux

Médias

numériques

3

Médias numériques

Contenu adapté de “Exploiting the media for fun and profit. Analysis of a new type of web application attacks through media files”. OWASP AppSec 2010 Nov 8-11,OWASP Foundation.

https://www.owasp.org/index.php/Exploiting_the_media_for_fun_and_profit._Analysis_of_a_new_type_of_web_application_attacks_through_media_files

4

Médias numériques❑ Les médias sont partout!

➢Vidéos visionnés sur Internet: 14,3 milliards en Décembre : seulement aux

USA (CNN, 06.02.09).

➢Téléchargement illégal de musique:

au moins 7 millions de personnes en Grande-

Bretagne (The Guardian, 29/05/09).

➢Média illégal/malveillant :

▪ 24 millions Brad Pitt sur Google images!

(29 janvier 2012)

▪ Combien d’images malveillantes parmi

ces 24 millions?!!5

Médias numériques

98% 10%

50% 0%

6

❑Les médias peuvent répandre des virus!➢ 500 professionnels

TI interrogés

Médias numériques❑ Tendances:

➢ Généralement, les attaques ne sont pas ciblées.

➢ Ingénierie sociale pour inciter la victime à visualiser le

contenu malveillant.

➢ Répartition ad hoc : 50% vidéos, 30% musique, 20%

images.

➢ Propagation: réseaux sociaux, imitations de sites des

nouvelles, sites P2P.

7

9

Médias numériques❑ Menace grandissanteTaux de réussite d’infection:

10% par réseaux sociaux

vs 1% par email

Médias numériques❑ Vidéos d’actualités:

➢ 1er trimestre 2010: les pirates ont profité de chaque

événement majeur pour attirer les visiteurs dans des

sites infectés:

o Annonce du IPAD, Avatar, tremblement de terre en Haïti,

attentats terroristes à Moscou [Rapport Kaspersky]

➢ En analysant 100 millions blogs, l’équipe eSoft a

découvert 700 000 fausses pages (malicieuses)

YouTube (0,7%) [SC Magazine, US, 09/06/10].

10

Médias numériques❑ Video/Audio P2P

➢ Analyse de toutes les vidéos torrent du film Ghost Writer(2010) trouvées par le moteur de recherche isoHunt:

o Avant la sortie en DVD: seulement 10 des 570 vidéos (1,75%) étaient inoffensives

o Après la sortie en DVD: 550 sur 1220 (45%) étaient inoffensives.

11

Médias numériques❑ Fichiers d’images

➢ Attaques d'images malformées représentent 10% des

attaques Web en 2009.

➢ Souvent hébergés sur des sites légitimes.

➢ Vulnérabilités buffer overflow des JPEG GDI (Graphics Device Interface). [ScanSafe 2009 report]

12

Médias numériquesVecteurs d’attaques

❑ Musique/vidéo: ingénierie sociale:o Télécharger un codec pour pouvoir visualiser une vidéo.

o Cliquer sur une fenêtre popup “accepter les termes de la licence” ou "Télécharger la clé de la licence".

❑ Images: souvent aucune interaction avec l’utilisateur n’est requise … juste cliquer!

13

Médias numériquesVecteurs d’attaques

MS Vidéo/Musique Images “Youtube” Vidéos

Masquer les commandes PHP

dans les commentaires

Débordement des JPEG GDI

Astuces de renommage :

Brad.jpg.exe

Commande

URLANDEXIT

Abus des fonctionnalités

DRM

Astuces de renommage :

Movie.avi.exe

commandes Flash

getURL

vulnérabilités

Adobe

14

15

Médias numériques : malware

❑ Fausses pages Youtube

➢ Youtube utilise Adobe Flash plug-in.

➢ Flash a eu le pire bilan de sécurité en 2009.

➢ Cependant, Youtube est « sécuritaire »:

o Beaucoup de restrictions : mise à jour des correctifs,

commandes script désactivés, …

➢ Peut-on dire la même chose au sujet d'un blog donné?

➢ Est-il possible de concevoir un blogue vidéo qu’on peut

confondre avec Youtube?

16

Médias numériques : malware❑ Fausses pages Youtube

En fait, vous n'avez même pas besoin d'être un bon concepteur web.

L’outil YTFakeCreator vous permet de créer de fausse pages Youtube sosies, et de leur attacher du code malveillant.

L’utilisateur est invité à télécharger un «codec» (qui est un logiciel malveillant).

17

Médias numériques : malware❑ Koobface Virus

➢ Similaires aux Fake Youtube

➢ Messages envoyés aux amis d’une victime Facebook.

➢ Dirigent les destinataires sur un site où on leur demande

de télécharger ce qui est présenté comme une version

actualisée du Flash Player d'Adobe.

➢ Après infection, dirige les utilisateurs sur des sites

contaminés lorsqu'ils tentent d'utiliser des moteurs de

recherche tels que Google, Yahoo!, MSN et Live.com.

18

Médias numériques : malware❑ Fausses pages de site connu: Cas

réel ➢ Une personnalité publique a été

secrètement filmée dans un hôtel.

➢ Peu après, un site vidéo hébergeant la

bande est apparu.

LIVE VIDEO PLAYER BLOCKED

Your popup blocker has blocked access to the Video Player. To view

your video, please launch the Live Video

Player below.

19

Médias numériques : malware❑ Fausses pages de site connu: Cas réel

➢ La plupart du site est embarqué dans des IFRAMES du site CNN (aka clickjacking), mais le malware est servi à partir de mediaplayer.4upd.com.

➢ Le malware a deux idées « géniales ». Après avoir cliqué sur le lien:▪ La vidéo joue réellement pour atténuer les soupçons

▪ Différents logiciels malveillants sont servis pour les différents OS (MAC sont infectés par le cheval de Troie OSX / Jahlav-C. Windows sont infectés par un faux antivirus Mal / EncPK-FI ou Mal / FakeAV-AY).

•!-- LARGE PLAYER HTML CODE --> <div id="cnnVPFlashLarge" style="position: relative;"> <div style="border-style: solid; border-color: rgb(230, 230, 230); border-width: 1px 1px 0px; width: 574px; height: 372px;" id="cnnVPFlashLargeContainer"> <object height="372" width="574"> <param name="movie" value="http://mediaplayer.4upd.com/Products/update_seven_win/-6478-332-34-en-hq-/mediatube.swf?clip=blabla bla Video"> <param name="allowScriptAccess" value="always"> <embed src="http://mediaplayer.4upd.com/Products/update_seven_win/-6478-332-34-en-hq-/mediatube.swf?clip=bla bla bla Video" allowscriptaccess="always" height="372" width="574"></embed> </object> </div> <div id="cnnVPInfoLMy"> <div id="cnnVPInfoLeftCol"> <div style="padding: 8px 10px 0px;" id="cont

20

Médias numériques : malware❑ Fausses pages de site connu : Cas réel

➢ Autres sites créés par le même pirate!

o sexe, actualités, jeux en ligne, …

21

Médias numériques❑ Vecteurs d’attaques

MS Vidéo/Musique Images “Youtube” Vidéos

Masquer les commandes PHP

dans les commentaires

Débordement des JPEG GDI

Astuces de renommage :

Brad.jpg.exe

Commande

URLANDEXIT

Abus des fonctionnalités

DRM

Astuces de renommage :

Movie.avi.exe

commandes Flash

getURL

Diverses

vulnérabilités

d'Adobe

22

Médias numériques : malware❑Abus de fonctionnalités

DRM➢ DRM permet aux distributeurs des

médias audio / vidéo de contrôler la façon dont ces médias sont utilisées.

➢ Un client (via Media Player) peut demander (requête) une licence à un serveur de licences afin de pouvoir lire le fichier (protégé par DRM).

➢ La requête est envoyée via HTTP et le serveur de licences retourne une réponse au client!

23

Médias numériques : malware❑ Abus de fonctionnalités DRM

➢ De nombreux exemples d'abus : WmvDownloader-A,-B

WmvDownloader.

➢ Le malware se présente comme un installateur de licence DRM et

son code est chiffré.

➢ Il peut demander à l'utilisateur d'installer un codec ou

téléchargez une licence « légitime ».

24

Médias numériques : malware❑ Abus de fonctionnalités DRM : demander ☺

25

Médias numériques : malware❑ Abus de fonctionnalités DRM : ou menacer

26

Médias numériques❑ Vecteurs d’attaques

MS Vidéo/Musique Images “Youtube” Vidéos

Masquer les commandes PHP

dans les commentaires

Débordement des JPEG GDI

Astuces de renommage :

Brad.jpg.exe

Commande

URLANDEXIT

Abus des fonctionnalités

DRM

Astuces de renommage :

Movie.avi.exe

commandes Flash

getURL

Diverses

vulnérabilités

d'Adobe

27

Médias numériques : malware❑ Débordement des JPEG GDI

➢En 2004, Microsoft a annoncé une vulnérabilité Buffer

overflow dans leur pilote GDI qui gère la façon avec

laquelle les images JPEG sont affichées.

➢Étonnamment, de nombreux ordinateurs ne sont toujours

pas patchés! (novembre 2010)

➢ Il y a un exploit similaire affectant des images PNG dans

plusieurs navigateurs (Mozilla, Firefox, Camino)

28

Médias numériques : malware❑ Débordement des JPEG GDI

Premier exploit JPEG est apparu sur plusieurs forums de discussion Usenet qui contenaient des images érotiques, des images de stars de cinémas, etc.

Dès la lecture d'un fichier JPEG, un buffer overflow écrit un code shell sur l’ordinateur de l'utilisateur.

Le shell permet à l’attaquant d’interagir à distance avec le système de l'utilisateur comme s'ils étaient assis à la console locale!

29

Médias numériques : malware❑ Débordement des JPEG GDI: exploits

disponibles et prêts à être utilisés!!!

30

Médias numériques : malware❑ Conclusions

➢ Ne pas pirater pour ne pas devenir cible de pirate

➢ Bien choisir vos sources de médias.

➢ Rien n’est gratuit dans la vie, il y a toujours un prix à

payer!

➢ Vos conclusions?

31