Programme malveillant signé à l’aide d’un certificat volé d’Opera

La société norvégienne Opera Software a réalisé un nettoyage de ses systèmes après une attaque ciblée au cours de laquelle un certificat de sécurité périmé avait été volé. Le programme malveillant signé à l’aide de ce certificat avait été proposé aux utilisateurs d’Opera sous Windows pendant 36 minutes le 19 juin.

D’après Sigbjørn Vik, développeur d’Opera, le réseau interne de la société avait été la cible d’une attaque ciblée. L’expert explique que « Pour l’instant, tout indique que l’incident est de caractère limité. L’attaque a permis (à son auteur) de diffuser un programme malveillant qui se faisait passer pour un produit d’Opera Software ou pour le navigateur Opera ».

Sigbjørn Vik a indiqué à Threatpost que l’attaque avait été rapidement stoppée. Le certificat volé est la seule perte déclarée pour l’instant. Ce certificat expirait le 29 janvier 2013. Le réseau attaqué a été « nettoyé » et aucune donnée des utilisateurs n’a été compromise. La société mène l’enquête, mais pour des raisons de sécurité, aucun détail sur l’attaque n’a été communiqué jusqu’à présent. Tous les certificats utilisés par Opera ont été mis à jour au début du mois de juillet pour être sûr et des mises à niveau spéciales d’Opera Desktop (12.16) et d’Opera Mobile Classic pour Android (12.1.5) avec une nouvelle signature numérique ont été diffusées.

D’après les estimations d’Opera, le nombre maximum de victimes de l’application malveillante munie du certificat périmé ne devrait pas dépasser 2 000. Le jour de l’attaque, les utilisateurs de Windows n’ont eu qu’un peu plus d’une demi-heure (de 1h00 à 1h36 TU) pour télécharger et installer automatiquement le programme malveillant qui se présentait sous les traits d’une application légitime. A l’heure actuelle, Opera détient de 1 à 3 % du marché des navigateurs pour ordinateurs de bureau, contre 40 à 45 % pour le leader Google Chrome.

D’après les résultats de la vérification sur VirusTotal, le programme malveillant signé à l’aide du certificat d’Opera est un cheval de Troie enregistreur de frappes qui est capable d’envoyer les informations à ses propriétaires lorsqu’il reçoit les commandes adéquates. Les solutions antivirus de Kaspersky Lab le détectent sous le nom Trojan-PSW.Win32.Tepfer.msdu.

Opera n’est certainement pas la première victime d’un vol de certificat réalisé dans le cadre d’une attaque ciblée. En septembre dernier, Adobe avait été victime d’une fuite similaire : des individus malintentionnés s’étaient introduit dans le réseau de l’entreprise, ils avaient découverts les données d’accès au serveur des développeurs d’Adobe et ils leur avaient envoyé une demande de signature numérique via le protocole standard d’Adobe. Ils avaient ensuite utilisé ce certificat pour signer deux utilitaires malveillants ; le certificat compromis fut révoqué et remplacé par la suite.

Source: http://my.opera.com/securitygroup/blog/2013/06/26/opera-infrastructure-attack

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *