Les rapports de crash informatique constituent une mine d’or inexploitée pour les pirates informatiques
Lorsqu’une mauvaise mise à jour logicielle de la société de sécurité CrowdStrike a causé involontairement le chaos numérique à travers le monde le mois dernier, les premiers signes étaient les ordinateurs Windows affichant l’écran bleu de la mort. Alors que des sites web et des services tombaient en panne et que les gens se précipitaient pour comprendre ce qui se passait, des informations contradictoires et inexactes étaient partout. Pourtant, pour comprendre la crise, le chercheur en sécurité Mac de longue date, Patrick Wardle, savait qu’il y avait un endroit où il pouvait trouver les faits: les rapports de crash des ordinateurs touchés par le bug.
« Malgré le fait que je ne suis pas un chercheur en Windows, j’étais intrigué par ce qui se passait et il y avait un manque d’informations », a déclaré Wardle à WIRED. « Certaines personnes disaient que c’était un problème de Microsoft, car les systèmes Windows affichaient l’écran bleu, et il y avait beaucoup de théories saugrenues. Mais en réalité, cela n’avait rien à voir avec Microsoft. Donc je suis allé voir les rapports de crash, qui pour moi détiennent la vérité ultime. Si vous regardiez là-bas, vous pouviez identifier la cause sous-jacente bien avant que CrowdStrike ne le dise. »
Lors de la conférence de sécurité Black Hat à Las Vegas jeudi dernier, Wardle a plaidé en faveur de l’utilisation des rapports de crash en tant qu’outil sous-utilisé. Ces instantanés du système donnent aux développeurs et aux mainteneurs de logiciels un aperçu des problèmes possibles avec leur code. Et Wardle souligne qu’ils peuvent être une source d’informations sur les vulnérabilités potentiellement exploitables dans les logiciels, à la fois pour les défenseurs et pour les attaquants.
Dans son discours, Wardle a présenté plusieurs exemples de vulnérabilités qu’il a trouvées dans les logiciels lorsque l’application a planté et qu’il a examiné le rapport à la recherche de la cause possible. Les utilisateurs peuvent facilement consulter leurs propres rapports de crash sur Windows, macOS et Linux, et ils sont également disponibles sur Android et iOS, bien qu’ils soient plus difficiles d’accès sur les systèmes d’exploitation mobiles. Wardle note qu’il est nécessaire d’avoir une compréhension de base des instructions écrites dans le code machine de bas niveau connu sous le nom d’Assembly pour tirer des enseignements des rapports de crash, mais il souligne que cela en vaut la peine.
Dans son discours à la conférence Black Hat, Wardle a présenté plusieurs vulnérabilités qu’il a découvertes simplement en examinant les rapports de crash sur ses propres appareils, y compris des bugs dans l’outil d’analyse YARA et dans la version actuelle du système d’exploitation macOS d’Apple. En fait, lorsque Wardle a découvert en 2018 qu’un bug iOS faisait planter les applications à chaque fois qu’elles affichaient l’emoji du drapeau taïwanais, il a résolu le problème en examinant les rapports de crash.
« Nous avons révélé de manière concluante qu’Apple avait cédé aux demandes de la Chine pour censurer le drapeau taïwanais, mais leur code de censure contenait un bug – ridicule, » explique-t-il. « Mon ami qui a remarqué cela à l’origine m’a dit: ‘Mon téléphone est piraté par les Chinois. Chaque fois que tu me textes, ça plante. Ou est-ce que tu me pirater ?’ Et j’ai dit, ‘Impoli, je ne te piraterais pas. Et aussi impoli, si je te piratais; je ne ferais pas planter ton téléphone.’ J’ai donc consulté les rapports de crash pour comprendre ce qui se passait. »
Wardle souligne que s’il peut trouver autant de vulnérabilités simplement en examinant les rapports de crash de ses propres appareils et de ceux de ses amis, les développeurs de logiciels doivent aussi regarder là. Les acteurs criminels sophistiqués et les pirates soutenus par des États financés pareillement devraient probablement déjà être inspirés par leurs propres rapports de crash. Au fil des ans, des reportages ont indiqué que des agences de renseignement comme la NSA américaine exploitent les journaux de crash. Wardle souligne que les rapports de crash sont également une source précieuse d’informations pour détecter les logiciels malveillants, car ils peuvent révéler une activité anormale et potentiellement suspecte.
« Avec les rapports de crash, la vérité est là, ou, je suppose, dedans », conclut Wardle.