avril 26th, 2010

Snort 2.8.6 « finale » vient de sortir… De nombreuses améliorations, notamment dans le traitement de http inspect, de la décompression gzip sur de nombreux paquets ainsi qu’un pré-processeur de « données sensibles ». Dans la foulée, il faut noter quelques modifications et mises à jour des bibliothèques de règles, signalées par Joel Esler dans les colonnes du Sans. Un nouvel outil de mise à jour des règles, Pulledpork, est également disponible sur GoogleCode.

Encore un peu de lecture cochonne (et de code porcin) avec un papier passionnant sur le nouvel environnement de détection « anti client-side attack » qui fit l’objet d’une présentation au HITB de Dubaï et d’un article sur le blog de l’équipe Snort. Cette approche de l’analyse du contenu dépasse et de très loin les fonctions de base d’un outil d’inspection du trafic réseau, puisqu’elle apporte à Snort non pas une simple fonction de détection de malware, mais la capacité de disséquer un élément nocif camouflé par différentes couches de compression et techniques d’évitement. Le code de ce projet baptisé NRT (Near Real Time Detection), sa présentation en détail et un article d’introduction sont également téléchargeables sur le site de l’éditeur.

Combien de postes de travail sous XP SP3 ont-ils été touchés par la « mise à jour autiste » de Mc Afee ? c’est la question que se pose (sans y répondre franchement) Robert Graham d’Errata Security. Après tout, écrit-il, XP SP3 demeure tout de même une « valeur sûre » dans le tissus industriel mondial. Car nombreuses ont été les entreprises qui ont boudé Vista et qui n’ont pas « encore » migré vers Seven pour diverses raisons : administratives, économiques (il est pratiquement nécessaire de changer tout le socle matériel destiné à recevoir ce nouveau noyau), stratégique etc. Ce qui, pense Graham, doit peser légèrement plus que les « 1 % du parc Windows » pudiquement estimé par McAfee. Comme de surcroît McAfee possède une part non négligeable des contrats « grand comptes » tant aux USA qu’en Europe, le « bug virus update » a dû pétrifier un peu plus de machines que l’éditeur de sécurité veut bien l’avouer. Qui se chargera d’une véritable enquête statistique, indépendante et objective ?

De son côté Mc Afee est « committed to reimbursing reasonable expenses » à ceux qui en feraient la demande, histoire de traiter l’affaire à l’amiable et éviter ainsi une « class action » ravageuse. Las, à l’heure où nous rédigeons ces lignes, le lien « Locate a local toll free support number » accompagnant cette proposition de dédommagement non chiffrée aboutissait invariablement sur une page d’erreur… Probablement la faute d’un IIS tournant sous XP SP3.

Mais ce qui est le plus intéressant, dans cette malheureuse histoire, c’est la commisération discrète affichée par la quasi-totalité des acteurs du marché. Une affliction de circonstance qui masque mal une gêne internationale, car ce genre de catastrophe peut arriver à tout le monde. « Tous ces systèmes de mise à jour automatiques sont, nous le savons bien, de formidables botnets en puissance » disent tous les spécialistes du domaine. « Si le premier d’entre eux est bien Windows Update, il est talonné par d’innombrables concurrents : les mécanismes de mise à jour d’Itune d’Apple, de Java, des logiciels et add-in Adobe… il n’y a pas que les antivirus qui bénéficient d’un droit de passage absolu sur nos machines ».

Un triple risque devrait-on préciser. Car les outils de mises à jour peuvent véhiculer un « bug » d’éditeur (l’affaire McAfee vient de le prouver) ou même un vecteur d’attaque direct si les mécanismes d’authentification et de vérification sont contournés par des BlackHats (voir à ce sujet les années de travail de Thierry Zoller, tant sur les A.V. que sur les « spywares publicitaires »). Il existe même un troisième « facteur déclenchant » probable que personne ne souhaite évoquer à haute voix : l’exploitation de ces « botnets industriels » dans le cadre d’un cyber-conflit. Aimablement pressé par un DoD quelconque durant une crise politique internationale, un McAfee, un Symantec, un Microsoft auraient parfaitement les moyens sinon d’immobiliser, du moins de semer une sérieuse pagaille sur les ordinateurs d’une « puissance ennemie ». Cette hypothèse remet sur le tapis les dangers de la « monoculture » que dénonce Dan Geer depuis plus de 10 ans.

Tout compte fait, l’on devrait verser un pourboire substantiel à l’équipe « mise à jour » de McAfee, pour avoir su orchestrer cette formidable campagne de sensibilisation.

NdlA Note de l »Auteur : sous les dehors d’une action empreinte de bonhommie et de gentillesse (paterne), McAfee nous dévoile les risques sérieux (austères) que représentent les mécanismes de mise à jour.