Soit une machine avec Windows 7 64 bits. Les correctifs de sécurité de Windows Updates sont globalement installés.
Sur cette machine, des courriels on été "interceptés" et des mots de passe volés (la victime a été "informée"), alors que la machine était connectée à un WiFi partagé entre tierces personnes, mais protégé (WPA2).
Une première vérification antivirale ne donne rien de concluant. Nous tentons donc d'autres moteurs : MalwareByte, DrWebCureIT,, et un CD amorçable : Windows Defender Offline. Rien de bien extraordinaire mis à part quelques parasites assez usuels.
Commence donc l'analyse de la machine.
J'y découvre un Acrobat Reader v9... pas de PDF malveillant détecté mais il a pu être supprimé entre temps. A mettre à jour donc, et un premier vecteur d'attaque assez courant.
Je découvre aussi un serveur WAMP ! Avec un Apache 2.2.21... et MySQL 5.5.24. Autant dire pas tout à fait à jour :
http://httpd.apache.org/security/vulnerabilities_22.html
Version 2.2.21 de Janvier 2012...
Et https://dev.mysql.com/doc/refman/5.5/en/news-5-5-24.html
donc MySQL de mai 2012...
Je ne parlerai même pas du niveau de sécurité de l'appli PHP...
Comme seuls des Facebook, et GMail, étaient utilisés, en HTTPS, sans qu'un avertissement apparaisse dans le navigateur, il semble donc que l'attaque par l'homme du milieu soit à écarter.
Bref, sachant que l'intrus était sur le LAN (un WiFi) à un moment donné, j'ai bien peur de la possibilité qu'il n'ait utilisé une vulnérabilité telle que celles du WAMP pour entrer (cela ressemblerait assez au profil du "bricoleur" en question), et piquer ce qui l'intéressait. Le PDF pourrait aussi être une piste sérieuse.
En gros, les fonctions serveurs n'exposent pas uniquement que les serveurs, leurs vulnérabilités potentielles concernent aussi les postes classiques, surtout que sur ces configs, les fonctions serveur sont souvent encore moins mises à jour... !
A vos mises à jour : Secunia PSI, Update Checker, etc !
