Discussion :

[Patrick Ruiz]

IBM annonce que les clés USB livrées avec ses systèmes de stockage Storwize Gen 1 contiennent un malware,
capable de télécharger d’autres logiciels malveillants

Un malware a apparemment réussi à s’introduire dans des clés USB fournies par IBM à ses clients. IBM en a fait l’annonce par le biais de son site de support technique. Lesdites clés USB sont fournies avec les systèmes de stockage Storwize V3500-2071 (modèles 02A et 10A), V3700-2072 (modèles 12C, 24C et 2DC), V5000-2077 (modèles 12C et 24C) et V5000-2078 (modèles 12C et 24C). Elles sont censées contenir un outil d’initialisation de ces systèmes dits de génération 1 (Gen 1).

Pour rappel, les systèmes de stockage Storwize (V3700 en vue arrière, cf. image ci-dessous) sont des solutions de stockage RAID (Redundant Array of Independent Disks). Le RAID est un ensemble de techniques de virtualisation du stockage permettant de répartir des données sur plusieurs disques durs. Il permet d'améliorer soit les performances, soit la sécurité ou la tolérance aux pannes de l'ensemble du ou des systèmes.

Les clés USB qui contiennent le code malveillant peuvent être identifiées par le numéro de série 01AC585. IBM indique que le malware peut avoir accès à votre ordinateur lorsque vous lancez l’outil d’initialisation d’un de ces systèmes de stockage à partir de la clé USB. Le malware est alors copié (en même temps que l’outil d’initialisation) vers des répertoires spécifiques du laptop ou du desktop dont vous faites usage pour la procédure d’initialisation.

Sous Windows, il va se loger dans le dossier temporaire %TMP%\initTool. Sous Linux et sous Mac, ce sera plutôt dans le répertoire /tmp/initTool. IBM précise toutefois que seul le transfert du malware vers ces répertoires est effectué, son code n’est pas exécuté. Le malware, identifiable par plusieurs solutions antivirus, l’est par celle de la firme Kaspersky Lab sous le nom de Trojan.Win32.Reconyc et daterait de 2012. Il s’agit d’un cheval de Troie capable de télécharger et d’installer discrètement d’autres logiciels malveillants.

Pour s'en débarrasser, IBM recommande de le supprimer à l’aide d’un antivirus à jour ou de supprimer manuellement le répertoire temporaire initTool. IBM précise également qu’il est possible de télécharger un nouvel outil d’initialisation directement à partir de sa page de support FixCentral. Il suffira ensuite de le décompresser sur une clé USB.

Sources : IBM, Kaspersky

Et vous ?

Qu'en pensez-vous ?

Utilisez-vous une des solutions de stockage citées ? Si oui, avez-vous déjà mis les recommandations d'IBM en pratique ?

Voir aussi

Sécurité : Les malwares continuent de se propager via USB

Que faire si vous retrouvez une clé USB dans votre boîte aux lettres ? Des habitants du Nord 59 en France seraient confrontés à ce problème

[Paul75j]

Bonjour,

Pour répondre à la première question, cela me paraît louche, car pour que le malware soit injecté sur la clé USB officielle d'IBM, il faut que quelqu'un en interne injecte son malware. D'autre part, je vois mal IBM ne pas faire des tests de leur clé USB avant de la livrer à ses clients. Après, je pense qu'il faudra faire du reverse malware, etc...

Je pense également qu'il est nécessaire qu'IBM fasse du SandBoxing pour voir le comportement du malware (enfin, ici j'aurai plutôt dit d'un Backdoor plutôt qu'un malware) sans contaminer tout le système (ordinateurs, serveurs, etc.) et finalement faire un "vaccin" pour que la propagation du malware soit impossible.

Enfin, je n'utilise pas les solutions de stockage citées, par conséquent, je n'ai jamais mis les recommandations d'IBM en pratique.

[transgohan]

Cela ne m'étonne pas trop pour ma part.
On serait surpris de l'application des process de sécurité dans bon nombre d'entreprises.
Quelqu'un qui a connecté sa clé usb à un PC connecté à internet et infecté. Puis qui l'a branché sur un PC du réseau de développement/production et le tour et joué...
Ce genre de pratique est courante parmi tous ceux qui doivent sortir des indicateurs ou bien faire des mises à jour de produit.
Quant à savoir combien d'entreprises mettent à disposition des ordinateurs blanc (déconnecté du réseau avec un antivirus à jour) pour analyser les clés USB... On aurait des drôles de surprises.
Le jeu n'en vaut généralement pas l'investissement, c'est tout.
IBM va soit investir, soit passer un savon et puis ça va continuer ainsi...

[alvoryx]

cela fait 3 ans que les storwize gen1 ne sont plus vendus et en 2017 on trouve un trojan dans les clefs d'install ? mieux ils l'annoncent ???? quel intérêt puisque plus personne n'utilise ces clefs. c'est quoi encore cette enfumade ? ils sont cons ou quoi

bref ça ne métonne pas d'IBM, cette entreprise n'est plus qu'une gigantesque usine à gaz. du bullshit à la pelle en veux-tu en voilà.