Des virus dans les skins Minecraft ?

C'est dans un article de blog alarmant que Avast (entreprise spécialisé dans la sécurité informatique, principalement connu pour son logiciel anti-virus du même nom) a annoncé avoir découvert des "virus" caché dans des skins Minecraft.

Mais avant de s'alarmé, commençons par voir ce que Avast affirme, et décryptons ensuite l'information.

L'annonce d'Avast
Selon Avast près de 50 000 joueurs utiliseraient déjà une des skins infectées, un nombre important mais qui doit être relativisé puisqu'il ne représente que 0.03% des 150 millions de jeux vendus. Selon Avast le code malicieuse est de piètre qualité, digne d'un tutorial d'apprentissage qu'on pourrait trouver sur internet.

Le code malicieux pourrait permettre, si le virus était activé, de formater tous les disques de l'ordinateur (c'est à dire d'effacer toutes les données), d’exécuter des logiciels, d'afficher des messages, etc.


Quelles skins sont infecté ? Avast recommande de ne pas utiliser les skins suivantes:

Et d'être particulièrement prudent, en particulier si un des messages suivant apparaît:
"You Are Nailed, Buy A New Computer This Is A Piece Of Sh*t"
"You have maxed your internet usage for a lifetime"
"Your a** got glued"

Il est également possible d'avoir des messages d'erreur du formatage.


Toujours selon Avast il est également possible de rencontrer des ralentissements de l'ordinateur à cause de boucle de code tentant d’exécuter un logiciel externe:


Avast a contacter Mojang en lui indiquant les skins infecté, bien que Mojang n'ai fait aucune annonce a ce sujet il semble qu'ils aient agit promptement puisque les adresses des skins infectées ont été supprimé.

Finalement Avast recommande d'installer son propre anti-virus pour se protéger de la "menace".

Est-ce une vrai menace ou une publicité pour installer Avast ? Essayons d'y voir plus clair.



Décryptage de l'information
La première chose qui est étonnante dans un article d'un professionnel de la sécurité, c'est le manque cruel d'explication technique. Comment le "virus" opère ? Comment est-il activé ? Avast n'en parle pas... Et comme nous allons le voir, si Avast n'en parle pas, c'est très certainement parce que ce "virus" est incapable de s'activer seul.

• Quel langage pour ce virus ?

La première chose qui frappe dans le code source fournit par Avast, c'est le mélange de multiples langages de script. Le code n'est pas compilé, il ne semble même pas chiffré, et surtout on y trouve un mélange de:

• VBA (macro word et excel)
• VBS (script Windows)
• Batch/Powershell (Script windows)

Autant dire que tout cela n'est pas compatible ensemble, du batch dans un script VBA, ou inversement du VBA dans un script batch ça ne fonctionne pas... donc c'est plutôt étonnant.

• Un tutorial trouvé sur internet ?

Avast ne s'en est pas caché, le code source est digne d'un tuto trouvé sur internet et non le fruit d'un expert en cybercriminalité, comme preuve 4 lignes de commentaires dans le code VBA publié par Avast:

WORD/Melissa écrit par Kwyjibo
Fonctionne sur Word 2000 et Word 97
Un vers ? Macro virus ? Virus pour Word 97 ou Word 2000 ? A vous de choisir !
Word -> Email | Word 97 <---> Word 2000 ... C'est une nouvelle ère

On notera au passage que Word 97 et 2000 étant complètement dépassé, le risque a ce stade est minime.
On remarque également dans les lignes de code qui suit du code permetant de modifier le texte du document Word... heuuuu ... on ne parlait pas d'une contamination de Minecraft au début ???

Et même dans le code lui même on trouve des problèmes, notamment sur la fin, des lignes de commandes ou tous les backslash (\) ont été supprimé dans les fichiers d'accès de fichiers et des clés de registre, des espaces et retour à la lignes aussi, le résultat n'a donc plus aucun sens, ce ne sont que des commandes invalides.

• Quel version de Minecraft est touché ?

Une autre grosse interrogation auquel Avast ne répond pas, c'est de savoir qu'elle est la version de Minecraft qui est touché ? A première vue il s'agirait plutôt de la version Java puisque Avast a demandé a Mojang de supprimé les skins du serveur de skins (la version Bedrock n'a pas de serveur de skin, et l'URL donnée par Avast est clairement une URL de la version Java).

Sauf que... les images fournit des skins ont été prise sur la version Bedrock de Minecraft... Pourtant il est promordiale de connaitre la version de Minecraft visé, car les 2 versions de Minecraft fonctionnant sur ordinateur (Bedrock et Java) n'utilise pas du tout les mêmes technologies, et donc ne peuvent pas être infecté par les mêmes attaques.

• L'exécution du code malicieux

On touche ici le cœur du problème, la vrai question que tous les connaisseurs doivent se poser: comment un fichier image peut être exécuté ?

Un virus c'est un code qui est exécuté par la machine, soit directement (fichier exécutable), soit via un moteur le moteur d'exécution (plugin, mod, extension, script, macro, etc.). C'est pourquoi il est toujours dangereux d'ouvrir un fichier ".exe", alors que le risque d'ouvrir une image est quasiment nulle. "Quasiment" car il existe de très rare exception ou des images ont pu exploiter des failles dans des logiciels pour exécuter du code malicieux, mais ce sont des cas rarissimes et limité. Est-ce le cas ici ? Avast ne le dit pas, mais si c'était le cas nulle doute que Avast en aurait parlé. Sachant que pseudo-virus a était écrit par un débutant, on peut donc raisonnablement penser qu'aucune faille n'est exploité.

En regardant a nouveau le code source du "virus" (à partir de maintenant je vais mettre des guillemets, car appeler "virus" un bout de code totalement inoffensif en l'état ce n'est pas très responsable) on comprend mieux comment le code doit s’exécuter, c'est écrit en toute lettre dans un commentaire de code: "Save as .VBS".

Donc si vous voulez être infecté par ce virus, il faudra:

• Faire parti des 50 000 malheureux ayant une skin "infecté" par ce code malicieux
• Aller trouver le fichier image de la skin sur votre ordinateur
• Ouvrir le fichier ".png" de la skin dans un éditeur de texte (dite notepad)
• Trouver dans le bout de code malicieux au milieu de centaines de pages de caractères "aléatoires"
• Copier ce code (en prenant bien le début et la fin du code, car comme on l'a vu tout est mélangé)
• Créer un nouveau fichier, et l'enregistré avec l'extension .vbs (très important l'extension, sinon ça ne fonctionnera pas).
• Ouvrir ce nouveau fichier dans un éditeur de texte
• Coller le code précédemment copier dans ce fichier
• Enregistré
• Exécuter le fichier (en espérant que VBscript soit correctement installé, sinon il faudra taper une ligne de commande pour le lancer, ce qui sera encore plus compliqué).

Avoué que niveau de dangerosité on a déjà vue pire, simplement regarder une vidéo youtube d'un mec qui vous dit de taper "format ..." c'est plus dangereux que ces skins...

• Le mobile

Lorsqu'une organisation cyberciminel se lance dans l'élaboration d'un nouveau virus, très souvent le but est financier, parfois politique, mais dans tous les cas il y a un but rechercher (une rançon, des botnets, voler des clés de license, etc.). Hors ici le code ne fait qu'afficher des messages et effacer des fichiers, ou serait le mobile ? Cela ressemble plus a un test fait par un étudiant qui s'ennuie le week end.

• Le vrai risque

Le seul vrai risque potentiel il faut aller le chercher auprès d'autres expers en sécurité, Avast n'en parlant pas dans son article. On appel cela la charge utile, c'est une technique d'infection avancée qui permet de séparer un virus en plusieurs parties:

• Un moteur d'exécution, c'est un logiciel sans code malicieux, qui ne devrais donc pas être détecté par les anti-virus en temps normal.
• Une charge utile: C'est ici que sera la partie malveillante du virus, caché dans des fichiers apparement totalement innofensif (par exemple des images qui ne peuvent en aucun cas être exécuté seul). Le problème des skins Minecraft serait donc ici, il s'agirait de la charge utile d'un autre virus qui utiliserait les serveurs de Mojang pour se répandre... Mais dans ce cas le fait que la skin soit utilisé par Minecraft ou pas n'a aucun impact, ce n'est pas d'utiliser la skin dans Minecraft qui pose problème, c'est d'avoir le moteur du virus. Et même sans Minecraft on cours le même danger.

Avast n'a pas évoquer un possible moteur qui exécuterai le "virus", probablement parce qu'il n'existe pas... (car comme on l'a vue ce "virus" n'est pas viable, c'est un amas de script sans aucune cohérence, des codes corrompus, des langages mélangés, etc.).

• La charge utile

Il faut également savoir que la possibilité stocké du contenu dans un fichier image n'est même pas une faille, c'est quelque chose de très fréquent, cela n'a rien de choquant, voici quelques exemples que vous avez tous déjà probablement utilisé:

• Stocker la jaquette d'un album dans un fichier mp3
• Stocker des sous-titres d'un film dans un fichier vidéo
• Stocker les informations de copyright (auteur, copie, etc.) dans un pdf
• Stocker les informations sur une photo (modèle de l'appareil, objectif, position géographie de la photo) dans uen photo jpg
• etc...

Il est donc tout a fait possible de stocker n'importe quoi dans un fichier de donnée, et cela ne porte aucun risque puisqu'un fichier de données n'est jamais exécuté.



Un coup de pub pour Avast ?
On se rend finalement compte que cette annonce n'en ai pas vraiment une, Avast essaye de faire peur, mais peine a trouver des arguments solide pour se justifier. Il est d'autant plus étonnant qu'il fasse un post sur leur blog pour un événement aussi futile, avec si peu de personnes touchées, et surtout un risque aussi minime (pour ne pas dire totalement inexistant).

Le vrai motif de l'article d'Avast n'est-il finalement pas sa conclusion: Installez le logiciel de la firme ? Avec 150 millions de licences Minecraft vendu, et plus de 75 millions de joueurs actif on peut comprendre que Avast ai eut envie de toucher ce public, il est juste dommage qu'il le fasse de cette manière, en créant une peur qui n'a pas lieu d'être.

On comprend mieux, dans ces circonstances, le silence de Mojang, qui ne souhaite probablement pas faire une pub gratuite pour Avast sur un non-événement. Pour ma part j'ai souhaite en parler pour rétablir la vérité, et pour éviter que certaines personnes puissent s'inquiéter inutilement suite à l'annonce d'Avast.

MàJ 19/04 23h30:
Finalement Mojang a fait une communication officielle à ce sujet. Mojang confirme ce que nous expliquions ici:

• C'est de la version Java qu'il s'agit (et plus précisément le site d'upload de skin)
• Bien qu'il était possible d'avoir des metadonnées dans les images, celles-ci ne comportaient aucune risque pour les joueurs, car en aucun cas le jeu ne les auraient exécuté.
• Cependant, par précaution, Mojang a mis à jour son système d'upload de skins pour supprimer toutes metadonnées présente dans les images, ce qui clos définitivement ce faux-problème.