Le groupe de pirates Strontium, également connu sous les dénominations Fancy Bear et APT 28, aurait mené une campagne d’hameçonnage de faible volume, visant des cibles spécifiques, dont le nom n’a pas été détaillé.
Strontium est un groupe de pirates lié au gouvernement russe. Les autorités américaines, qui ont publiquement accusé la Russie de lancer des attaques pour perturber et décrédibiliser les élections américaines, n’ont pas confirmé ou infirmé si ces attaques avaient un lien avec ces failles de sécurité.
Découverte par le Google’s Threat Analysis Group, l’attaque exploite deux vulnérabilités jour zéro (CVE-2016-7855): l’une d’Adobe Flash , l’autre de Windows .
Les utilisateurs du navigateur Edge sous Windows 10 édition anniversaire ne sont pas affectés par ces failles de sécurité.
Adobe a publié un correctif de sécurité pour Flash, car la faille de sécurité était déjà utilisée activement par des pirates sur toutes les plateformes: Windows, Mac, Linux.
Il s’agit de l’exploitation d’un bogue de type use-after-free dans ActionScript.
La vulnérabilité de sécurité du noyau de Windows est de type élévation des privilèges, et affecte les versions à partir de Windows Vista.
Microsoft développe et teste un correctif, qui devrait être publié le 8 novembre, incidemment jour des élections présidentielles américaines. Dans l’intervalle, il est fortement recommandé d’utiliser le navigateur Edge sous Windows 10 anniversaire. Ou mieux encore, de ne pas utiliser Adobe Flash, l’un des plus grands vecteurs de logiciels malveillants sur toutes les plateformes depuis des années.
Si Microsoft remercie Neel Mehta et Billy Leonard de Google pour leur assistance, l’entreprise regrette que Google ait rendu public la vulnérabilité avant qu’elle ait eu le temps de publier un correctif, ce qui met en danger inutilement les utilisateurs de Windows qui n’auront pas mis à jour Adobe Flash (l’attaque nécessite l’exploitation de la vulnérabilité Flash pour prendre le contrôle du processus du navigateur, avant d’exploiter la faille d’élévation de privilège, puis d’installer une porte dérobée.)
Car Google a unilatéralement décidé qu’une vulnérabilité de sécurité jugée critique devait être corrigée dans les sept jours après avoir été informé en toute discrétion de son existence, sans quoi elle s’arrogeait le droit de la rendre publique, pour mettre la pression sur l’éditeur de logiciels visé, au détriment de la sécurité des utilisateurs.
Ce qui est contraire à l’éthique des spécialistes de la sécurité, qui fixent d’habitude un délai de plusieurs mois, au bout duquel ils estiment que l’éditeur n’a pas l’intention de remédier à la faille présentée.
Google semble avoir du mal à comprendre qu’un correctif visant une famille de systèmes d’exploitation utilisée depuis des décennies sur des dizaines de milliers de systèmes différents nécessite un peu de temps pour être développé et testé.
Bien évidemment, Google ne s’applique pas les mêmes règles strictes qu’aux autres. Son équipe de sécurité cherche activement des failles dans les produits des autres, mais pas dans les siens. Et Google refuse de développer tout type de correctif de sécurité pour la plupart des anciennes versions d’Android, mettant de facto en danger des centaines de millions d’utilisateurs en permanence.