avril 8th, 2010

Qu’est-ce qui fait la « clouditude »d’un cloud ? sa nébulosité ? Question aristotélicienne sur l’essence de l’informatique en nuage posée sur Devcentral. Réponse : son infrastructure dynamique… entre autres

Par le miracle des technologies Web 2.0, le papillon Microsoft gazouille désormais sur Twitter à l’adresse>@MSFTSecResponse . Prudente,  l’équipe sécurité précise qu’elle ne répondra probablement pas à toutes les questions …

Mavituna security vient récemment d’annoncer la sortie d’une version « communautaire et gratuite » de leur scanner Netsparker. Il s’agit d’une version allégée du programme commercial, mais déjà capable de renseigner les Webmestres de tous niveaux sur les trous de sécurité les plus évidents relevés notamment après un premier balayage automatique. Le mode « pour les nuls » est déjà capable de repérer les fenêtres de login en mode http non protégé, les XSS potentiels, les inclusions de fichiers probables, les chemins bizarres et autres divulgations d’information souhaitées ou involontaires (adresses email notamment). Quelques séquences vidéo montrent comment mieux utiliser l’outil en question et tirer de plus sérieux enseignements techniques. Même employé par des non-techniciens, ce logiciel peut guider l’usager dans les méandres des recommandations Owasp et dans la hiérarchisation des failles de sécurité les plus courantes.

Vincent Hinderer raconte brièvement, sur le blog du Cert Lexsi, comment une très probable erreur d’administration de routeur en Chine a provoqué, par le biais de BGP, une avalanche d’erreurs de routage qui a fini par contaminer pratiquement le monde entier. Si le problème n’avait pas rapidement été jugulé grâce à la rapidité de réaction des réseaux d’alerte, le routage de l’Internet aurait pu connaître un sacré… capharnaüm. A été évité également une nouvelle vague de rumeurs sur d’éventuelles « grandes cyber-manœuvres Chinoises » destinées à tester « la résistance des réseaux du monde occidental ». Le problème a tout de même duré près d’une vingtaine de minutes et prouvé l’efficacité des canaux de communication d’alertes.

Ce genre de mésaventure n’est pas sans rappeler les « blackout » d’Internet provoqués autrefois lorsqu’une « erreur de bande » de la part d’un employé de NSL réduisait en cendres tout le domaine .com, et autre accidents classés dans la catégorie « çà n’arrive jamais ».

11 bulletins, 5 « critiques », 25 failles au total : Microsoft renoue avec les « patch Tuesday » gras et fournis nous apprend le bulletin du MSRC. L’on remarquera au passage la promesse de « clôture » des bulletins 981169 et surtout 977544, un DoS possible par protocole SMB. Ces « failles SMB » feront d’ailleurs l’objet de multiples correctifs dans les mois à venir, résultat de l’impressionnant travail de fuzzing mené par Laurent Gaffié qui aura permis l’élimination de trous de sécurité datant pour certains de la haute époque OS/2 Lan Manager.

Notons également au passage les faire-part de décès suivant :

– XP SP2, qui disparaîtra de la liste des noyaux supportés dès le 13 juillet prochain –le passage au SP3 est donc nécessaire-.

– Le support étendu de Windows 2000 s’éteindra doucement ce même jour. Plus le moindre bulletin de sécurité ou de mise à jour ne devra être attendu, la famille aimante du défunt pourra toujours tenter d’embaumer les rares survivants dans l’enceinte protectrice d’une VM isolée.

– Le support de Vista RTM rejoindra le Walhalla des patchs Tuesday ce même jour, et son proche héritier, Vista SP1, ne lui survivra pas plus d’un an. Date d’expiration prévue, le 12 juillet 2011. Le passage au SP2 devrait permettre de repousser l’agonie encore quelques temps.