La signature numérique des fichiers fonctionne un peu comme la certification SSL des domaines, elle permet entre autre de :
- s'assurer de la source d'un fichier
- s'assurer qu'il n'a pas été altéré/modifié
Exemple, un fichier système Windows sain peut-être signé par la société Microsoft.
Si celui-ci est altéré, sa signature ne sera plus valide et sa vérification va échouer.
En résumé, ça permet de détecter une éventuellement modification des fichiers.
Derrière ces mécanismes, il y a du business, notamment le marché des certificats. Ces pratiques / usages engendre des couts. Dans la pratique conventionnelle, une entreprise doit d'abord acquérir un certificat afin de pouvoir signer ses fichiers. Les autres parties auront ainsi la garantie que les fichiers signés proviennent de l'entreprise et qu'ils n'ont pas été altérés dans l'espace et dans le temps. La signature numérique peut-être également utilisée dans un rôle lié à la réputation des fichiers, exemple : SmartScreen.
Si vous avez compris, en théorie les fichiers malicieux ne devraient pas être signés ?
Les certificats étant délivrés, au compte-goutte, il ne devrait y avoir aucun problème.
C'est bien beau sur le papier mais dans la pratique les choses sont assez différentes.
De nombreux processus accordent plus de confiance aux fichiers signés.
Exemple: Le cas des pilotes ( drivers ) signés sur Windows.
Si un tiers signe des fichiers à la place d'une personne légitime : "GAMEOVER"
Exemple d'un code malveillant avec signature valide détecté:
Dans le cas Moidirat.A, il semblerait que ce soit un vol de certificat qui a permis de signer le code malveillant.
Les éditeurs de sécurité s'alarment de l'augmentation du volume de maliciels signés depuis plusieurs années. Un article de SecureList intitulé Why You Shouldn't Completely Trust Files Signed with Digital Certificates ou "Pourquoi vous ne devriez pas avoir une confiance aveugle face aux fichiers signés avec des certificats numériques" explique le phénomène.
En 2008, Kaspersky a été capable de détecté ~1500 malware signés. En 2014, il y en avait + de 6000.
Dridex, un programme spécialisé dans le vol d'identifiants et de données bancaires, utilise régulièrement des signatures, nous l'avions signalé lors des : Campagnes Dridex - documents Microsoft Word & Excel piégés. Plusieurs éditeurs avaient par la suite émis d'autres alertes : Signed Dridex Campaign.
Début septembre 2015, Carperb ( Carbanak : financial APT ), aussi spécialisé dans le vol de données bancaires a beaucoup fait parler de lui. Pour de plus amples détails, compulser l'article Carbanak returns de Peter Kruse & Yurii Khvyl publié sur le blog CSIS. Notons qu'en 2014, Brian Krebs avait publié Gang hacked ATMs from inside banks.
D'un point de vue tactique, il n'est pas rare d'observer des cas de codes offensifs sophistiqués avec fichiers signés. C'était le cas des sabotages lors de l'opération Olympic Games avec le ver informatique Stuxnet qui ciblait les centrifugeuses pour ralentir le développement du programme nucléaire iranien.
Certains codes destructeurs et autres rançongiciels chiffreurs ( qui prennent en otage les données ) utilisent parfois des binaires signés. C'est le cas de Cryptowall.
Il y a également les cas des PUPs / Adwares qui sont pour la plupart du temps signés. Et pour cause, ces opportunistes n'ont aucun mal à en acquérir puisque les éditeurs de PUPs sont des entreprises comme les autres. Elles se positionnent simplement avec des pratiques "sur le fil du rasoir", souvent à la limite du droit.
Il y a toujours eu un marché noir des certificats mais il prends de l'ampleur et commence à muter, d'où l'apparition du Certificates-as-a-Service. La demande de certificats est forte. Les offreurs sont des criminels spécialisés dans la revente de certificats pour permettre à d'autres cybercriminels de signer leurs codes malveillants. Leurs techniques sont variées, ça va des vols à l'obtention légale mais détournée, exemple créer de fausses entreprises. Certains adversaires ont déjà prouvés qu'ils pouvaient conduire des attaques ingénieuses et atteindre n'importe qui. Y compris, aux maillons forts de la pseudo-confiance, comme ce fût le cas dans des affaires similaires, tels que DigiNotar, Comodo, ... et bien d'autres, non officiellement révélées.
Pour terminer sur une pointe d'ironie, voici un cas de faux "crack" qui en réalité installe des PUPs qui est signé par LLC `FOTO-TSENTR` dont le signataire n'est autre que Symantec.
Enfin concernant l'utilisation de fichiers signés par les malwares, voir aussi la page : Signature numérique et malware
[size]EDIT 2018 : toujours en hausse[/size]
Trend-Micro a sortie une étude, j'en parle à la fin de la page : Signature numérique des fichiers sur Windows et sécurité.
Les signatures numériques sont très utilisés par les PUPs & Adwares.