L’état de la sécurité en ligne en Corée du Sud dans une impasse

 (palant.info)
45 points par kunggom 2023-01-04 | 15 commentaires | Partager sur WhatsApp

Depuis longtemps, les services de banque en ligne et d’administration électronique en Corée du Sud traînent une mauvaise réputation à cause de toutes sortes de logiciels à installer. Autrefois, c’était ActiveX ; aujourd’hui, cela a été remplacé par des fichiers d’installation de plug-ins de sécurité, mais le fond du problème n’a pas changé. Certes, ces dernières années, la situation s’est un peu améliorée par rapport au passé, avec l’apparition de moyens d’authentification alternatifs au certificat officiel et de services en ligne fournis sans installation de plug-ins .exe, mais il reste tout de même affligeant qu’en 2023, des sites web continuent ouvertement à imposer ce genre d’installation.

Wladimir Palant, connu pour Adblock Plus, a publié sur son blog un billet expliquant qu’il enquêtait depuis septembre dernier sur cette situation de la sécurité en ligne en Corée du Sud. (en anglais) Il y retrace avec précision l’ensemble du problème, depuis la raison historique qui a conduit à utiliser ActiveX pour mettre en place les services de banque en ligne autour de l’algorithme SEED, développé localement en Corée à cause des restrictions américaines à l’exportation d’algorithmes de chiffrement dans les années 1990, jusqu’à la réalité bien connue de l’installation de plug-ins de sécurité pour quiconque a déjà utilisé la banque en ligne en Corée, en passant par le fait que ces « logiciels de sécurité » sont en réalité de faux outils qui n’apportent aucun bénéfice en matière de sécurité, et que la situation actuelle a été délibérément conçue en raison d’intérêts en jeu.

Il semble qu’au cours de son enquête, il ait trouvé et signalé plusieurs vulnérabilités dans des produits de plug-ins de sécurité, mais il comprend bien sûr aussi que cela ne suffit pas à résoudre le problème de fond. Quoi qu’il en soit, selon la pratique consistant à publier les détails d’une vulnérabilité 90 jours après son signalement, les informations précises sur les failles découvertes seront publiées sur son blog les 9 janvier, 23 janvier et 6 mars 2023, respectivement.

Il explique également avoir découvert, lors de la recherche de vulnérabilités, les problèmes de qualité logicielle suivants. Tout cela semblera sans doute tristement familier à beaucoup.

  • Les développeurs qui ont créé cela semblent mal maîtriser les problèmes de sûreté mémoire comme les buffer overflows, bien qu’ils utilisent le langage C
  • Compilation avec une version de Visual Studio vieille de 15 ans au lieu d’un compilateur moderne offrant divers mécanismes d’atténuation
  • Bien qu’il s’agisse soi-disant de logiciels de sécurité, même des protections anciennes et basiques comme l’ASLR ou le DEP y sont désactivées
  • Utilisation de versions anciennes de bibliothèques open source, parfois vieilles de plus de 10 ans
  • Dans la plupart des cas, le chiffrement semble n’avoir été utilisé que comme obfuscation pour compliquer le reverse engineering
  • Des paramètres d’algorithmes cryptographiques abandonnés depuis longtemps (deprecated) sont encore utilisés aujourd’hui

À lire aussi

15 commentaires

 
kunggom 2025-06-14

Le 2 juin 2025, le milieu académique de la sécurité en Corée a publié des articles et autres travaux complétant ce contenu.
 
kunggom 2023-03-31

La récente annonce a révélé qu’une cyberattaque avait exploité INISAFE CrossWeb EX V3 d’INITECH.

Selon le NIS, avec la Police nationale, la Korea Internet & Security Agency (KISA) et le National Security Research Institute, il a été confirmé qu’à la fin de l’année dernière, la Corée du Nord avait exploité une vulnérabilité du logiciel d’authentification de sécurité financière « INISAFE », développé par INITECH, entreprise spécialisée dans la finance et la sécurité du groupe KT[030200], pour pirater environ 210 PC appartenant à une soixantaine d’organisations majeures en Corée et à l’étranger, dont des institutions publiques, gouvernementales, de défense et du secteur bio.
Le logiciel utilisé dans l’attaque est le certificat pour la finance électronique et le secteur public « INISAFE CrossWeb EX V3 3.3.2.40 » et les versions antérieures, qui serait installé sur plus de 10 millions de PC d’organisations, d’entreprises et de particuliers en Corée et à l’étranger.

Le NIS a déclaré : « Nous avons lancé une réponse d’urgence en janvier de cette année et achevé une analyse détaillée du fonctionnement de ce malware », ajoutant : « Sur la base de cette analyse, nous avons coopéré avec l’entreprise A pour reproduire l’attaque et la défense réelles, et avons finalisé le développement d’un correctif de sécurité. »

Selon INITECH, l’entreprise a commencé à vérifier les vulnérabilités en janvier après qu’une image de son produit est apparue dans un billet du chercheur allemand en sécurité Wladimir Palant, qui signalait des problèmes dans de nombreux logiciels coréens de sécurité financière, et c’est à cette occasion qu’elle a découvert la faille en cause.
Un responsable d’INITECH a déclaré : « Après la découverte de la vulnérabilité, alors que nous travaillions à son correctif, le NIS nous a contactés. Le 20 février, nous avons achevé le développement du patch de sécurité atténuant la vulnérabilité en question et nous sommes en train de le déployer. À l’heure actuelle, environ 40 % des entreprises ont terminé l’application du correctif. Cependant, comme toutes ne l’ont pas encore fait, nous continuons à recommander la mise à jour. »

Évidemment, il ne s’agit pas d’un problème limité à ce seul produit. À ma connaissance, il y a eu récemment au moins deux autres cas signalés de vulnérabilités de sécurité dans des programmes coréens de certificats numériques. Et pour l’un d’eux, il paraît même que les cybercombattants du Nord avaient déjà mis la main dessus.

En outre, pour fermer et supprimer VestCert, il faut respecter une séquence précise. Il faut d’abord arrêter Goji dans l’onglet des processus du gestionnaire des tâches, puis fermer VestCert. Ensuite, dans [Panneau de configuration]-[Programmes]-[Programmes et fonctionnalités], vérifiez la version de VestCert puis cliquez sur « Désinstaller » pour le supprimer complètement.

Le groupe de hackers Lazarus a exploité la vulnérabilité de MagicLine4NX pour injecter du code dans le processus svchost.exe, puis télécharger et exécuter un programme malveillant. Ainsi, si une version vulnérable de MagicLineNX est installée, il est nécessaire de la supprimer immédiatement.
 
kunggom 2023-01-09

Enfin, des informations sur des vulnérabilités réelles commencent à être rendues publiques.
 
kunggom 2023-01-09

Le premier à passer à la casserole (?) est le programme de sécurité clavier TouchEn nxKey de RaonSecure.
La vulnérabilité en elle-même est problématique, mais il est surtout frappant de voir à quel point la gestion de cette vulnérabilité a elle aussi été bâclée. (?)
 
junho0102 2023-01-08

L’oie aux œufs d’or
 
soulee 2023-01-05

J’ai rassemblé des commentaires de HackerNews

  • Les autorités de régulation financière coréennes sont conservatrices, mais les responsables politiques et les médias cherchent à se ranger du côté des consommateurs de services financiers. Ainsi, même lorsqu’un mot de passe fuit à cause d’un keylogger installé sur l’ordinateur de l’utilisateur, l’erreur est imputée à la banque plutôt qu’à l’utilisateur. C’est pour cette raison que les banques achètent des logiciels de sécurité.
  • Les institutions financières elles-mêmes ne se soucient pas vraiment de la sécurité. L’usage de systèmes d’exploitation obsolètes y est extrêmement courant.

Comme le texte devenait trop long, je l’ai organisé sur mon blog.
https://soulee.dev/2023/01/05/korean-bogus-security
 
cychong 2023-01-05

J’espère qu’après s’être un peu ridiculisée à l’international, la situation s’améliorera.
Beaucoup de commentaires disent avoir été surpris d’apprendre que ce genre de méthodes sert actuellement aux entreprises à se dédouaner de leurs responsabilités.
 
draupnir 2023-01-05

Ça me fait penser au mème étranger « disappointed but not surprised ».
 
kuroneko 2023-01-05

On dirait bien qu’il s’agit de fausses applications de sécurité destinées à se défausser de toute responsabilité...
 
kunggom 2023-01-05

Fil Hacker News publié par l’auteur original :
https://news.ycombinator.com/item?id=34231364

Traduction coréenne de l’article original publiée par une autre personne :
https://www.woojinkim.org/wiki/spaces/me/pages/733085820
 
roxie 2023-01-05

C’est embarrassant.
 
colus001 2023-01-04

En Corée, j’ai souvent l’impression que l’objectif de la réglementation n’est généralement pas de « protéger les utilisateurs », mais plutôt de « se dédouaner de toute responsabilité ». Un exemple représentatif, ce sont les plugins de sécurité à installer sur l’ordinateur des utilisateurs. À force d’en rajouter un à chaque incident, on en est arrivé à une situation tellement absurde qu’il faut même installer un plugin pour pouvoir en installer un autre. Franchement, c’est déconcertant. haha
 
kunggom 2023-01-04

C’est vrai. Même dans l’article présenté, ce point était justement parfaitement mis en lumière.

Et en voyant qu’on recommandait aux utilisateurs d’installer séparément un programme supplémentaire pour pouvoir installer plusieurs plugins de sécurité, ils appelaient aussi ça « la gestion d’un zoo d’applications » (manage this application zoo) lol
 
colus001 2023-01-05

Je pensais que nous étions les seuls au courant, mais apparemment tout le monde le sait aussi T_T
 
xguru 2023-01-04

En dînant, je suis tombé sur l’article et je me suis juste dit qu’il faudrait que j’en fasse un résumé pour le poster demain, mais vous l’avez très bien synthétisé. Merci !!

L’expression « marché des fausses applications de sécurité (bogus) » résonne vraiment juste.