juin 9th, 2010

La presse américaine peut parfois offrir l’un de ces bijoux que seul l’Administration Fédérale est capable de tailler avec une précision d’orfèvre kafkaïen. Le très sérieux Wall Street Journal titrait, le 4 juin dernier, « Pourparlers US sur la cyberguerre ». Et d’expliquer que le Pentagone entamait de sérieuses discussions avec le Kremlin pour« limit military attacks in cyberspace ». En d’autres termes, les deux superpuissances sont sur le point de nous promettre une sorte d’accords « Salt 5 » ou de Yalta de l’octet malfaisant, aux termes duquel chaque signataire comptabiliserait ses silos à rootkits, ses vecteurs de largage viraux en haute altitude, ses missiles dotés de « payloads » de classe Konficker IV et Storm III, les SNLSQLI (Sous-marins nucléaires lanceurs d’injections sql), le tout accompagné d’un état des lieux des divisions de geeks surentrainés et des commandos de nerds ninjo-furtifs rompus aux techniques du Core à Core et du CCSSC (Close-Cross-Site-Scripting-Combat). Un peu plus, cette escalade de la violence et des stocks de failles non exploitées aurait pu nous exploser à la figure et faire de la Terre Informatique un incommensurable champ de désolation binaire. Que de chefs de projets morts au champ d’honneur, que de jeunes développeurs fauchés dans la fleur du C# vont ainsi être épargnés par cette décision magnanime.

On ne peut qu’espérer un ralliement de la France dans ce grand mouvement atlantiste. Confier aux militaires le soin de chasser le cyberespion, le virtualwarrior et le technoterroriste (ceux qui existent surtout dans les communiqués de presse de certains vendeurs d’antivirus et de firewall), voilà qui est rassurant. Finies, les planques discrètes d’une police civile derrière un angle mort de eMule ou de Pirate Bay. Oubliées les filatures de numéros IP destinées à loger les violeurs-poseurs de bombes-pirates du-dernier-single-de-la-Star-hack. Désormais, on opposera les chars Leclerc aux véritables lanceurs de Virus, et les Généraux 4 étoiles déploieront leurs lignes de proxy sur les lignes Siegfried et Maginot du cyberfront. A peine passé le Baccalauréat*, les sergents recruteurs approcheront nos chères têtes blondes, en leur faisant miroiter une vie d’aventure, des voyages exotiques entre le PC de Rosny sous Bois et les frontières inexplorées des architectures Scada d’EDF-GDF, parleront de la grandeur de la France Qui Se Lève Tôt pour mieux déployer ses rustines et veiller à ce que jamais ne se déclenche une nouvelle escalade de la violence numérique sans que l’on ait le pouvoir de la museler à coup de nettoyeur haute-pression numérique.

Encore faudrait-il que la cyberguerre existe autrement que sous la forme de menaces fantasmées et d’actions aux conséquences plus psychologiques que réelles, et soit effectivement plus du ressort des forces armées que des organisations mafieuses. Mais au salaire (ou solde) d’un Général 4 étoiles, c’est le genre de détail que l’on balaie d’un revers d’épaulette. Si les cybermenaces existent (qui donc pourrait nier le « bug business » aujourd’hui) il n’est pas certain que les meilleures méthodes pour les combattre soient identiques ou comparables à celles utilisées dans la sphère militaire. Il est encore moins certain qu’il soit possible de parler de « cyberdésarmement », de « cyberescadrons », de « cyberarsenal » et de « cyberindustries de l’armement ».

D’ailleurs, les vrais spécialistes de la sécurité le disent franchement : « le véritable terrorisme, c’est celui qui tue. On en a marre des politiciens qui ne s’occupent que du réchauffement climatique » dixit en substance Carly Fiorina, ex grande vendeuse de firewall et de consoles d’administration. Enfin une personne qui préfère les menaces réelles des poseurs de bombes aux dangers virtuels et futurs que sont le réchauffement climatique ou l’éventualité d’un accident de plateforme pétrolière. Aux dernières nouvelles, les amoureux des réactions exothermiques et des bouteilles de gaz en exercice sur le territoire US seraient tous d’ex-paisibles citoyens américains. Le démantèlement d’un tel « axe du mal intérieur » posant quelques problèmes de respect des droits civiques, l’on comprend d’autant mieux la hâte du Haut Commandement Militaire à entamer des pourparlers sur le désarmement virtuel d’armées virtuelles susceptibles de conduire des attaques virtuelles …

NdlC Note de la Correctrice : Léa, Vincent, on pense à vous !

Patch Tuesday en juin, si t’en loupes un, çà fera du foin (proverbe de RSSI). 10 rustines, 34 vulnérabilités, 6 exploitations à distance et 3 élévations de privilèges. Le dernier mardi des rustines signé Microsoft a un côté Omaha Beach assez spectaculaire. Sans faire de sensationnalisme, l’on ne peut qu’inciter les administrateurs à déployer dans l’urgence MS10-032, MS10-033, MS10-034 et MS10-035. MS10-033, une vulnérabilité dans les mécanismes de décompression d’un fichier multimédia, a tout pour fabriquer une belle attaque par MJpeg forgé… un grand classique. MS10-035, l’inévitable « cumulatif I.E. » du mois, bouche à lui seul 6 bulletins CVE, dont certains ouvrent la porte à une exploitation à distance et dont un autre a valu à son inventeur une place d’honneur et une prime de 10 000 $au concours P0wn2Kill de CanSecWest. MS10-038, pour sa part, ne corrige pas une faille Excel… mais 14 (dont une spécifique à l’édition Mac). Notons que la MS10-032 (Windows kernel), est considérée par certains spécialistes -dont eEye- comme étant « critique ». L’avis du Sans est bien plus pessimiste, puisque 9 des bulletins sur 10 sont qualifiés de « critique », soit au niveau des serveurs, soit dans le cadre de l’utilisation des stations de travail. Aucun défaut ne porte pourtant l’estampille « patch now » qui caractérise généralement une faille exploitée «dans la nature ».

Une rustine pouvant en cacher une autre, signalons qu’à l’occasion du Tech’Ed 2010 qui se déroule actuellement, l’on annonce la disponibilité fin juillet de la pré-version des SP1 Windows 2008 R2, de Windows 7 et d’Exchange Server 2010. Le SP de 2008 Server intègrera notamment Remote FX, intégration des technologies Calista dans la gamme « remote desktop » de Microsoft. L’on attend également une version d’HyperV disposant d’une meilleur gestion dynamique de la mémoire. Il ne faudra pas trop des vacances pour effectuer les tests de régression de ces « super bouchons », surtout sur les architectures serveur

Calme plat chez Apple qui, consciencieusement, suit à la lettre l’école Microsoft et diffuse à sa sauce le brouet du « patch cumulatif du navigateur web ». Mais pour se distinguer de son concurrent, le constructeur-éditeur-prestataire de services fait des efforts et colmate d’un coup 48 trous de sécurité. La mise à jour Safari 5.0 concerne aussi bien les utilisateurs de plateformes OS X que Windows.

Chez Adobe, cela fait plusieurs jours qu’une exploitation « dans la nature » s’attaque à une faille de Flash Player. F-Secure en décrit rapidement le principe, et l’éditeur assure qu’il travaille encore sur la rustine et qu’a priori, la préversion de la 10.1 ne serait pas malade de cette peste. A noter également la détection, toujours par F-Secure, d’un « dropper » exploitant un exploit PDF.

L’Owasp publie son rapport d’activité pour l’année 2009. Pour une fois, des statistiques qui portent sur l’association et non l’évolution de la sinistralité.

Iphone : à quoi servent le chiffrement et le code PIN ? à rien, répond Rick Fergusson, qui explique comment Bernd Marienfeldt est parvenu à contourner simplement ces « protections inexpugnables ».