Rapports de plantage informatique sont une mine d’or inexploitée pour les hackers.

Lorsqu’une mauvaise mise à jour logicielle de la société de sécurité CrowdStrike a involontairement causé un chaos numérique dans le monde entier le mois dernier, les premiers signes étaient des ordinateurs Windows montrant l’Écran bleu de la mort. Alors que des sites web et des services tombaient en panne et que les gens se démènaient pour comprendre ce qui se passait, des informations contradictoires et inexactes étaient partout. Se précipitant pour comprendre la crise, le chercheur en sécurité Mac de longue date, Patrick Wardle, savait qu’il y avait un endroit où il pouvait chercher les faits : les rapports de crash provenant des ordinateurs touchés par le bug. « Même si je ne suis pas un chercheur en Windows, j’étais intrigué par ce qui se passait, et il y avait ce manque d’informations », explique Wardle à WIRED. « Les gens disaient que c’était un problème de Microsoft, car les systèmes Windows affichaient des écrans bleus, et il y avait beaucoup de théories sauvages. Mais en réalité, cela n’avait rien à voir avec Microsoft. Alors je suis allé aux rapports de crash, qui détiennent pour moi la vérité ultime. Et si vous regardiez là-bas, vous pouviez identifier la cause profonde bien avant que CrowdStrike ne le dise. » Lors de la conférence de sécurité Black Hat à Las Vegas jeudi, Wardle a plaidé en faveur de l’outil souvent sous-utilisé que sont les rapports de crash. Ces instantanés du système donnent aux développeurs de logiciels et aux mainteneurs un aperçu des problèmes possibles avec leur code. Et Wardle souligne qu’ils peuvent particulièrement fournir des informations sur les vulnérabilités potentiellement exploitables dans les logiciels, tant pour les défenseurs que pour les attaquants. Dans son discours, Wardle a présenté plusieurs exemples de vulnérabilités qu’il a trouvées dans des logiciels lorsque l’application a planté et qu’il a examiné le rapport à la recherche de la cause possible. Les utilisateurs peuvent facilement consulter leurs propres rapports de crash sur Windows, macOS et Linux, et ils sont également disponibles sur Android et iOS, bien qu’ils soient plus difficiles d’accès sur les systèmes d’exploitation mobiles. Wardle note qu’il faut avoir une compréhension de base des instructions écrites dans le code machine de bas niveau appelé Assemblée pour tirer des enseignements des rapports de crash, mais il souligne que cela en vaut la peine. Dans son discours à la Black Hat, Wardle a présenté plusieurs vulnérabilités qu’il a découvertes simplement en examinant les rapports de crash sur ses propres appareils, y compris des bugs dans l’outil d’analyse YARA et dans la version actuelle du système d’exploitation macOS d’Apple. En fait, lorsque Wardle a découvert en 2018 qu’un bug iOS causait des plantages d’applications à chaque fois qu’elles affichaient l’émoji du drapeau taïwanais, il a compris ce qui se passait grâce, vous l’avez deviné, aux rapports de crash.

Share the Post: