Utilisateur:MikaelFortin/Brouillon

Logo associé a VENOM.

Venom, qui a comme nom de code CVE-2015-3456, est une faille informatique touchant les machines virtuelles pouvant entraîner une fuite de données sensibles. Venom provient de l'acronyme l'anglais "Virtualized Environnement Neglected Operations Manipulation", soit un environnement virtuel où les opérations de manipulation sont négligées .

Découverte de la faille[modifier | modifier le code]

Venom existe depuis 2004 et cette faille de sécurité fut découverte par Jason Geffner de la compagnie CrowdStrike. Jason Geffner l'a découvert alors qu'il effectuait une révision de la sécurité des hyperviseurs des machines virtuelles. Cette vulnérabilité est présente sur les hyperviseurs KVM, Xen, Oracle VirtualBox, Cisco et plusieurs autres ^[1].

Plus précisément, un hyperviseur est le gestionnaire qui permet d'accéder aux machines virtuelles. La fonction principale des hyperviseurs est de contrôler le processeur et les ressources de votre ordinateur physique, afin d'en distribuer une partie pour chaque système d'exploitation (virtuel) ^[2]. Comme mentionner, cette faille daterait de 2004, au moment ou les contrôleurs de disquettes ont été ajouté au QEMU ("Quick Emulator" en anglais, Émulateur rapide en français) code de base. Par chance, deux grands hyperviseurs ne sont pas touchés par cette faille puisqu'il n'utilise pas le QEMU. Il s'agit de VMware et de Hyper-V.

Qu'est-ce qu'une machine virtuelle?[modifier | modifier le code]

Pour bien comprendre comment la faille fonctionne, il faut définir ce qu'est une machine virtuelle. Une machine virtuelle se comporte comme un ordinateur. « Une machine virtuelle est un conteneur logiciel totalement isolé capable d'exécuter son système d'exploitation et ses applications comme s'il s'agissait d'un véritable ordinateur» ^[3]. La seule différence est que toutes ses composantes ( Processeur, mémoire vive (RAM), disque dur, etc.) sont prises en partie sur la machine physique.

Fonctionnement de Venom[modifier | modifier le code]

Fichier:Wiki - venom.JPG

Processus de VENOM.

L'étendue de cette faille est de l'ordre de plusieurs millions de machines virtuelles. Cette brèche classée critique permet d'exécuter du code arbitraire directement dans la machine virtuelle de l'utilisateur. Votre ordinateur « communique avec le contrôleur de disquette virtuel en envoyant des commandes de type "lire", "écrire", "rechercher" ou "formater"» ^[4]. Afin d'emmagasiner ces commandes, il s'appuie sur la mémoire vive qui elle, a une capacité fixe, puis cette mémoire est effacé après chaque opération sauf dans le cas de deux opérations prédéfinies. Il est alors possible de l'exploiter afin de faire dépasser la capacité de la mémoire vive et ainsi exécuter son propre code.

Cette vulnérabilité dans le code permet à un attaquant de sortir de la machine virtuelle de l'utilisateur et d'impacter le système hôte (l'ordinateur principal) ^[5]. Normalement les systèmes d'exploitation provenant d'un émulateur ne devraient pas être en mesure d'influencer les autres. Entre autres, ils ont accès à vos autres machines virtuelles que vous pourriez exécuter au même moment ^[6].

Pour résumer, les attaquants réussissent à introduire du code dans la mémoire vive de votre ordinateur. Une fois rendu à cette étape, il devient alors facile pour l'attaquant de récupérer de l'informations ^[7].

Effet de la faille[modifier | modifier le code]

Cette faille informatique peut exposer un accès aux propriétés intellectuelles d'une entreprise, en plus d'informations plus sensibles et personnelles qui pourraient affecter plusieurs milliers de personne ^[8]. Depuis 2004, la technologie a grandement évolué et nous n'avons plus besoin des disquettes. Puisqu'elle est toujours présente dans le système, la faille ne requiert pas que le lecteur de disquettes soit présent dans l'invité ^[9].

Venom vs HearthBleed[modifier | modifier le code]

L'opinion au sujet de la pire faille informatique parmi Venom et HearthBleed semble très partagée.

En terme de grosseur, Venom plus répandu;
Selon Veracode, Heartbleed serait plus important étant donné qu’elle a été exploitée, alors que Venom n'a toujours pas exploité selon CrowdStrike.
Venom a beaucoup moins de chance d'être exploité étant donné la complexité et le domaine dans lequel les cybercriminels pourraient être intéressés. ^[10]
Mais pour Jason Geffner, il n’y a pas de comparaison : « Heartbleed permettait à un attaquant de regarder à travers la fenêtre d’une maison et de recueillir des informations sur la base de ce qu’ils voient. VENOM permet de tout casser dans la maison, mais aussi de détruire les maisons du voisinage » ^[11].

Solutions apportées[modifier | modifier le code]

Il n'existe pas plusieurs solutions à ce problème. La première chose à faire afin de remédier à la situation est entre les mains des hyperviseurs utilisant QEMU. Ils doivent déployer des correctifs au plus vite dans leur code afin d'empêcher les possibles fuites d'informations.

La seconde partie de la solution se trouve à être entre les mains des utilisateurs. En effet, une fois les correctifs apportés par les différents programmes, se sera le tour des utilisateurs de simplement les mettre à jour. Le seul problème avec cette faille c'est que le code réussit à se frayer un chemin même si la disquette n'est pas configurée. Quelque chose de positif face à cela, c'est que pour exploiter la faille, l'attaquant doit déjà avoir les droits d'administrateur dans la machine ^[12].

Alors une manière de s'assurer de ne pas donner accès aux cyber criminels à vos informations confidentiels est évidemment d'éviter de donner des privilèges administrateur à des utilisateurs non fiables parmi les personnes qui ont accès aux machines virtuelles ^[13].

Correctifs apportés et informations supplémentaires[modifier | modifier le code]

QEMU: http://git.qemu.org/?
Xen Project: http://xenbits.xen.org/xsa/advisory-133.html
Ubuntu: http://www.ubuntu.com/usn/usn-2608-1/
Oracle: http://www.oracle.com/technetwork/topics/security/alert-cve-2015-3456-2542656.html
Cisco: https://tools.cisco.com/quickview/bug/CSCuu45000

Notes et références[modifier | modifier le code]

[1] ttp://www.itespresso.fr/venom-poison-machines-virtuelles-95904.html

[2] ttp://www.lemagit.fr/definition/Hyperviseur

[3] ttps://docs.oracle.com/cd/E19957-01/821-1711/whatis/index.html

[4] ttp://www.itespresso.fr/venom-poison-machines-virtuelles-95904.html

[5] ttp://korben.info/virtualisation-attention-a-la-faille-de-securite-venom.html

[6] ttp://venom.crowdstrike.com/

[7] ttps://nakedsecurity.sophos.com/2015/05/14/the-venom-virtual-machine-escape-bug-what-you-need-to-know/

[8] ttp://resources.infosecinstitute.com/venom-vulnerability-opens-millions-of-virtual-machines-to-attack/

[9] ttps://access.redhat.com/fr/articles/1447933

[10] ttps://www.veracode.com/blog/2015/05/venom-%E2%80%93-not-deadly-heartbleed

[11] ttp://www.itespresso.fr/venom-poison-machines-virtuelles-95904.html

[12] ttps://nakedsecurity.sophos.com/2015/05/14/the-venom-virtual-machine-escape-bug-what-you-need-to-know/

[13] ttps://access.redhat.com/fr/articles/1447933

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]