février 5th, 2010

Microsoft fête un nouveau record : le troisième ZDE révélé en moins de 50 jours. Cette fois, nous apprend le blog du MSRC, il s’agit d’une faille affectant encore Internet Explorer, et offrant à un attaquant distant la possibilité de télécharger des fichiers pour peu qu’il en connaisse le nom. Compte tenu de l’absence d’exploitation « dans la nature », de la proximité du prochain mardi des rustines et du fait que ce trou ne peut être exploité que sur des noyaux antérieurs à Vista, aucun correctif out of band ne sera émis par l’éditeur. En attendant, un bulletin d’alerte 98008 fournit quelques informations complémentaires et offre quelques conseils de sécurité à appliquer sur les anciennes architectures.

Sera également colmatée une faille « noyau » concernant tous les systèmes 32 bits –y compris Windows 7- pouvant conduire à une élévation de privilège. Là encore, un bulletin d’alerte 979682 a été publié, conseillant aux utilisateur de désactiver le ntvdm chargé de l’exécution des programmes 16 bits (logiciels hérités). Cette alerte, rappelons-le, avait fait l’objet d’un article très complet de la part de Sylvain Sarmejeanne sur le blog du Cert Lexsi. Précisons que les utilisateurs des versions « home » d’entrée de gamme sont pour l’instant démunis devant une telle menace, puisque, dans le but d’alléger les systèmes grand public, l’éditeur de politiques de groupe gpedit n’est pas fourni par défaut sur le disque d’installation.

La troisième réparation concernera un problème déjà ancien, qui avait fait l’objet d’une annonce mi-décembre de l’an passé. Il s’agit d’une faille SMB couverte par l’article 977544 du Technet. Ce défaut concerne, une fois n’est pas coutume, uniquement les versions modernes de Windows : Windows 7 et 2008 R2, éditions 32, 64 et Itanium.

Remarquons au passage , dans le billet du MSRC, que la date officielle de « fin de support » pour Windows 2000 est prévue pour le 13 juillet de cette année. Passé cette date, plus aucun correctif d’amélioration ou de sécurité ne sera diffusé de manière gratuite et générale.

Un nouveau site Web, une reconnaissance officielle : le Cert de la Société Générale fait désormais partie des membres du First.

Le First, ou Forum of Incident Response and Security Teams, est une sorte de club international fondé en 1990, chargé de réunir les différents groupes de recherche en sécurité informatique (Cert et Csirt du monde entier). Ces Cert (Computer Security Incident Response Team), pour leur part, sont chargés de détecter les dangers informatiques et d’informer leurs usagers sur les remèdes à utiliser. Ce sont, généralement, des organismes corporatifs qui ne communiquent qu’auprès de leurs obédiences. En France, les forces armées possèdent leurs Cert, le réseau Universitaire également (Cert Renater), l’Administration (Cert A) ainsi que l’industrie au sens large, avec le Cert Ist, de loin le plus connu puisque ses avis sont publics. Contrairement à la France, d’autres pays européens –dont la Grande Bretagne et l’Allemagne- ont investi dans un « Cert Grand Public » destiné à l’immense majorité des personnes informatisées et des TPE/artisans qui bien souvent ignorent l’existence des Cert Ist.

Qu’une entreprise du secteur bancaire voie son propre centre sécurité intronisé au sein du First n’est pas nouveau. L’Allemagne compte plus d’une quinzaine de Cert, dont une bonne partie relevant du secteur privé, le Royaume Uni presque autant… la France, bien que comptant parmi les pays fondateurs du First, n’en possède que très peu. Plus exactement 6 en comptant tous les affiliés du First ou de la TF-Csirt : Apogée, les Cert A, Renater, Ist, le Cert Lexsi et bien sûr, celui de la Société Générale.

L’arrivée officielle d’une grande banque dans le cénacle des gardiens du monde binaire est d’autant plus intéressante que les malversations visant ce secteur s’accroissent fortement. Depuis ces trois dernières années, les troyens voleurs d’identités bancaires, les grandes campagnes de phishing ou de « spear phishing », les attaques des gangs spécialisés dans le skimming ou le carding ne font que se multiplier. A l’inverse, plus ces attaques sont virulentes et perfectionnées, plus les Directions de la Communication tentent d’étouffer ces affaires, estimant que la « confiance » envers les établissements financiers pourrait pâtir de ces révélations. Or, à l’heure où les cyberguerres sino-américaines et autres affaires HSBC ou Heartland font la manchette des journaux, cette politique de la « sécurité par l’obscurantisme » commence par provoquer des effets contraires. Le Cert SG pourrait bien amorcer à la fois un début d’ouverture et de transparence et surtout devenir un vecteur d’informations et de prévention qui manque cruellement dans notre pays.

Cette nomination est également un témoignage de reconnaissance, un hommage officiel fait à une équipe de chercheurs qui, depuis des années, effectuent un travail d’analyse et de communication technique discret.

C’est un Vade-mecum à l’usage des habitués des longs courriers et des spécialistes des « missions à l’étranger » que vient de publier l’Anssi, l’Agence Nationale de la Sécurité des Systèmes d’Information. Son titre à rallonge « Partir en mission à l’étranger avec son téléphone mobile, son assistant personnel ou son ordinateur portable » est une sorte de bible de l’information confidentielle et de la lutte contre la fuite d’information. Les conseils que l’on y peut lire semblent « logiques » mais sont en fait rarement appliqués : respecter les politiques de sécurité d’entreprise même en dehors de ses enceintes, se renseigner sur la législation en vigueur dans les pays étrangers, notamment en matière de chiffrement… l’Anssi se rappelle probablement que la France fut l’un des Etats les plus rétrogrades en la matière et qu’un disque chiffré a de fortes chances de provoquer une saisie du matériel informatique à la frontière des USA… voir déclencher une garde à vue tant que les clefs de chiffrement n’ont pas été délivrées aux autorités du contrôle des frontières. Penser à « débriefer » les appareils mobiles à chaque retour de mission et de ne partir à l’étranger qu’avec des appareils les plus « neutres » possibles et ne contenant que les programmes et fichiers nécessaires à la mission. Accoler, tant sur l’appareil mobile que sur ses housses, une étiquette ou un signe de reconnaissance rendant plus difficile une substitution. Utiliser autant que faire se peut des liaisons VPN avec les ressources importantes (ce qui limite le risque de vol ou de perte à partir des ressources mobiles) et utiliser un logiciel de chiffrement pour tout échange ou tout stockage sensible. Penser également à nettoyer régulièrement les caches, notamment celles du navigateur, et penser à prévenir les responsables sécurité de l’entreprise en cas de saisie ou de vol.

Ces Bonnes Pratiques peuvent sembler évidentes. D’autres le sont nettement moins, tel la recommandation suivante : « Si vous êtes contraint de vous séparer de votre téléphone portable ou de votre PDA, retirez et conservez avec vous la carte SIM ainsi que la batterie ». Ou encore « Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance »… nul ne peut auditer le réseau d’un hôtel ou d’un hot spot, rares sont les personnes assez qualifiées pour distinguer un véritable accès d’un « evil twin » bien maquillé. « Gardez vos appareils, support et fichiers avec vous ! Prenez-les en cabine lors de votre voyage. Ne les laissez pas dans un bureau ou dans la chambre d’hôtel (même dans un coffre) » poursuit ce manuel. L’on ne peut s’empêcher de penser à la « chambrière diabolique » de Joanna Rutkowska. Reste qu’aller piquer une tête dans la piscine de l’hôtel avec un Portege M800 ou pratiquer un footing matutinal avec téléphone, PDA, ordinateur portable, disque dur, CD-Rom d’archivage et autres impédimentas est une idée qui ne peut germer que dans l’esprit d’un rond de cuir effectuant chaque jour le périlleux voyage le conduisant de son domicile à son Ministère.

La liste de conseils s’achève avec les inévitables « changez souvent vos mots de passe (ce qui est une hérésie… la fréquence de changement est moins importante que la complexité dudit mot de passe et la multiplicité de celui-ci lors des connexions à des serveurs « en ligne ») et « analysez ou faites analyser vos équipements », pratique diabolisée par l’application parfois aveugle de la LCEN. Pour relever le niveau, l’Anssi renvoie le lecteur sur un document excessivement bien vulgarisé expliquant comment détecter un logiciels intrus à grand renfort de Process Explorer (http://www.securite-informatique.gouv.fr/gp_article636.html). Un « pas à pas » qui n’apprendra rien aux habitués de la collection Backtrack mais qui enchantera tous ceux dont la soif de savoir et le désir de sécurité se heurte au langage hermétique des soi-disant spécialistes.

NdlC Note de la Correctrice : l’Oncle Hansi, alias Jean-Jacques Waltz, n’a jamais utilisé d’ordinateur pour dessiner ses petites Alsaciennes toutes en nœuds rouges et en robes vertes et ses « envahisseurs Allemands » traînant un coucou dans leurs bagages. Cocardier, revanchard et vieux-jeu, mais parfois tellement poétique et simple…