février 19th, 2010

Comme chaque année, le Sans publie cette formidable liste commentée (86 pages-écran) qui recense les principales erreurs commises lors de la conception d’un programme. 25 au total, toutes expliquées, commentées, suivies des méthodes à appliquer pour éliminer tout risque : de la mauvaise protection des structures de pages Web (propices aux attaques XSS) aux antiques attaques en « race condition » dont certaines peuvent conduire à de singulières élévations de privilège, en passant par les CRSF, les buffer overflow classiques, les absences de contrôle des « chemins »… A cette liste, l’on doit ajouter sa proche cousine établie par le Mitre, les CWE , Common Weakness Enumeration, ou tableau des vulnérabilités courantes.

Ces conseils pratiques (ces conseils de « bonnes pratiques ») sont enrichis cette année par deux éléments comparatifs nouveaux. Le premier établit un parallèle entre le « top 10 » de l’Owasp et le bilan du Sans. Le second explique comment, cette année, les risques et erreurs de programmation ont été réévalués en fonction de l’importance que leur accordaient 28 organisations tierces qui ont collaboré à ce travail de romain. Bien des « grands dangers » de l’an passé ont été déplacés dans la liste des « Monster Mitigation », sorte de recette de cuisine très générale servant à éliminer toute une catégorie de vulnérabilités.

Phandroid a exhumé des mille et un communiqués de presse du dernier GSM World Congress, une annonce de l’opérateur Verizon promettant une libération du trafic Skype sur son réseau 3G. Les possesseurs d’un téléphone de nouvelle génération bénéficiant d’un forfait « internet illimité » pourront donc téléphoner gratuitement à destination de tous les correspondants Skype et pourront utiliser les services Skype Out.

Outre un raccourcissement notable de la « facture détaillée » des abonnés bavards, cette annonce risque de briser le cœur des défendeurs des Loppsi de tous poils et donner des palpitations à quelques administrateurs réseau. En « libéralisant » Skype sur son réseau, Verizon jette trois pavés dans la mare : il provoque un précédent qui risque d’être suivi par d’autres opérateurs, il généralise les communications voix/fichiers/chat chiffrées (aïe pour les écoutes …) et surtout il ouvre une brèche de sécurité impossible à combler dans les réseaux d’entreprise. Si les forfaits « avec Skype » s’avèrent moins coûteux que les illimités 24/7 tel que le NeoPro de Bouygues (une centaine d’euros par ligne pour la formule tout illimité), les services généraux et comptables des entreprises vont tenter d’imposer cette apparente aubaine pour d’évidentes raisons économiques. Au grand dam des administrateurs réseaux qui risquent soit de devoir s’embarquer dans une pénible opération de filtrage en dentelles et de DLP lourd, soit de voir fleurir des « trous de vers » reliant une myriade d’appareils mobiles avec les stations de travail situées sur leur réseau local. Après tout Verizon, via sa branche Business, c’est aussi une entreprise vendant du conseil et du service en sécurité…

Les Services Secrets US offrent, via Cryptome, une série de manuels et de présentations expliquant aux impétrants enquêteurs ce qu’est un ordinateur, un réseau, et comment y pénétrer. La seule collection de « transparents » détaillant les différentes parties d’un ordinateur et les outils permettant de l’analyser s’étend à elle seule sur plus de 1378 pages. Quand aux manuels élève-professeur baptisés Nitro, s’ils n’apprennent pas grand-chose à un spécialiste réseau, pourront toujours servir de support de cours pour un formateur : la progression, les points importants, les exercices et TP de contrôle de connaissance sont dignes d’un fascicule du CNED.