
Un trojan appelé Mediyes est actuellement en circulation en Allemagne. Comme rapporté par Kaspersky, la chose inhabituelle avec ce trojan c'est qu'il a été signé avec une clé valide privée qui appartient à la société Suisse Conpavi AG. Conpavi se présente comme un cabinet de conseil pour des projets de e-gouvernance comme pour la ville de Lucerne par exemple.
Kaspersky dit qu'il a repéré plusieurs versions de ce trojan et toutes ont été signées par Conpavi entre Décembre 2011 et Mars 2012. Ceci suggère que les pirates ont eu accès à la clé privée de l'entreprise sur une période de temps assez prolongée. Cette clé privée a été délivrée par l'autorité de certification VeriSign (VeriSign Certificate Authority) qui est considérée comme digne de confiance par la plupart des systèmes d'exploitation.

Répartition géographique de Mediyes
Sur un système infecté, ce malware va faire un tour dans le navigateur de la victime pour intercepter les requêtes invisibles des moteurs de recherche pour ensuite les transmettre au serveur d'un réseau de publicité. Kaspersky dit que ce serveur est situé en Allemagne et répond en envoyant des liens du programme partenaire Search123. Mediyes visite automatiquement ces liens pour générer des revenus aux pirates.
Comme les pirates ont réussi à signer le malware avec la clé privée de la société Suisse, tout reste à démontrer. Conpavi AG n'a d'ailleurs fait aucun commentaire à ce sujet. Ils ont seulement dit que personne n'était disponible pour le moment et qu'il faudrait essayer de les contacter à nouveau dans trois/quatre semaines...
Kaspersky a déjà contacté VerySign de sorte que la clé soit invalidée et placée sur la liste noire. C'est bien mais le facteur crucial lorsqu'une clé est invalidée, c'est que la date de révocation correcte doit être saisie pour s'assurer que les certificats qui ont été créés avec cette clé privée dans le passé soient invalidés rétroactivement.
Mediyes n'est pas un cas isolé, de plus en plus de compagnies d'antivirus doivent lutter contre des malwares signés avec un certificat valide. Par exemple il y a deux ans de cela, F-Secure avait annoncé qu'il avait identifié 24.000 malwares signés numériquement. L'exemple le plus frappant est Stuxnet qui a été développé pour une attaque ciblée sur une installation d'enrichissement d'uranium en Iran.