L’interception légale, spyware sur Blackberry et SS8
De retour de congés (deux semaines sans couverture réseau, même GSM, si si c’est possible !), me voilà reparti sur les différents dossiers en cours au bureau. Indépendemment de cela je fais comme il se doit ma veille sécurité, et ai appris l’existence d’un spyware pour Blackberry installé d’office pour les utilisateurs de l’opérateur Etisalat aux Emirats Arabes Unis. Officiellement, sa fonction était « d’améliorer l’utilisation du Blackberry ». Officieusement, sa fonction est d’intercepter tout ce qui est reçu, et de le renvoyer sur un serveur de l’opérateur télécom local…
Le spyware en question a bien entendu été identifié, et sa rétroconception n’a semble t’il posé aucun souci car rien n’était protégé ni obfusqué. L’analyse est ici, et le détail du fonctionnement ainsi que l’histoire est là.
Le moins qu’on puisse dire est que cela relève de l’amateurisme : aucune protection du code (un classique programme Java au format jar alors qu’ils auraient pu compiler le tout dans un format propriétaire Blackberry), des clefs de chiffrement et des adresses de serveur codées en dur, etc… Bref, très sommaire !
Ce qui est amusant, est que les personnes infectées se sont rapidement aperçues de l’installation de ce spyware, car leur batterie de Blackberry se vidait alors à vitesse grand V : le logiciel, une fois installé, passait son temps à essayer de se connecter sur le serveur d’Etisalat, déjà saturé par les nombreuses requêtes (c’est l’arroseur arrosé !!), vidant alors les batteries inutilement. Les utilisateurs ont contacté le support Blackberry et en ont parlé sur les forums de support, ce qui a mis la puce à l’oreille de certains utilisateurs un peu plus paranoïaques et avertis !
Chose intéressante cependant : le spyware contient une arborescence comportant le nom « ss8/interceptor ». Interceptor, je vois bien pourquoi vu la fonction du programme, mais qu’est-ce donc que ss8 ? Sans plus attendre, un coup de www.ss8.com sur mon navigateur m’a permis d’apprendre que c’est une honorable société américaine dont l’unique objectif est de proposer des solutions d’interception de données sous toutes leurs formes : WiMax, satellite, Wifi, *DSL, gsm et autres joyeusetés…
Ce n’est plus une tendance mais un fait établi : l’interception des données Internet et téléphonie n’est pas un mythe !
Bruno Kerouanton on juillet 24th 2009 in IT Security
Une photo de...
mk responded on 24 juil 2009 at 13:01 #
Et encore, là ça a été installé chez de nombreux clients par une vieille ruse de social engineering.
Imaginons maintenant que ce spyware ait été installé par l’opérateur en tant que logiciel standard pré-installé, comme on peut le voir parfois dans diverses boutiques, et vendu ainsi (un peu selon le schéma voulu par les autorités chinoises récemment, pour les ordinateurs personnels, avec greendam).
Ensuite, il faut noter que sans cet échec du côté conception qui usait la batterie, ce spyware *aurait pu* passer inaperçu assez longtemps.
Bruno Kerouanton responded on 24 juil 2009 at 15:06 #
L’inconvénient, lorsque cela se sait, c’est que l’image de marque de l’opérateur en prend un coup… Je ne sais pas si ils ont le monopole là-bas, mais si ce n’est pas le cas j’aurai tendance à résilier l’abonnement et aller voir ailleurs.