Finfisher est une société qui vent des outils d’intrusion (en gros des virus, malware et autres outils de piratage) avec l’aval du gouvernement Allemand. Grâce à leur gamme de logiciels, décrits dans ce document, les acheteurs peuvent envoyer une demande d’installation de malware à un utilisateur (SMS proposant une mise à jour sur un téléphone, email avec pièce jointe executable, demande d’installation d’un faux plugin Firefox, insertion d’un applet java dans une page web, modification de mise à jour en ligne pour Mac OSX, etc…). Ce malware, non détecté par la plupart des antivirus, va permettre d’espionner intégralement le PC à distance.
De ce je comprends des docs, les méthodes employées sont connues :
- envoi d’une mise à jour pour un logiciel. Si le logiciel ne fait pas de vérification de signature pour s’assurer que le contenu de la mise à jour provient bien de l’éditeur et n’a pas été altérée, c’est bingo.
- pièces jointes exécutable dans les mails, en utilisant l’écriture inversée utf-8 pour masquer le « .exe »
- infection du MBR du disque dur principal en bootant sur une clé USB. Utile pour récupérer les clés de chiffrement.
- copie de l’intégralité de la RAM du pC et déblocage d’une session Windows/Mac/Linux par le port Firewire.
- interception SSL (surement avec un certificat installé par le malware)
- copie des mots de passes stockés dans le navigateur web
Ce qui est plus inquiétant, c’est qu’une une entreprise ou l’état Belge aurait acheté pour 500’000€ de licences à Finfisher qui semblent toujours actives. On peut savoir pour quoi faire?
On prend un risque très fort à vouloir garder des failles ouvertes pour espionner les autres sans craindre de se faire espionner soi même.