juillet 5th, 2010

« Si j’avais émis une alerte en suivant les canaux traditionnels, personne ne m’aurait écouté » avait déclaré en substance Tavis Ormandy lors de la divulgation de la faille help center protocol . Faille depuis « contournée » mais pas corrigée. D’ailleurs, comme pour donner raison à Ormandy, les équipe sécurité ont tout d’abord minimisé la dangerosité de la découverte, expliquant à qui voulait bien l’entendre que l’accès physique à la machine cible était nécessaire pour que l’attaque fonctionne.

Depuis, des exploitations distantes de ladite faille sont apparues, et seraient même en nette progression, particulièrement en Espagne et en Russie nous apprend Holly Stewart du MMPC. Il semblerait en effet qu’un exploit se soit rapidement répandu à partir du 21 du mois dernier. Du coup, la faille d’Ormandy passe du statut de « broutille insignifiante découverte par un pinailleur technoïde » au rang envié de « catastrophe catastrophique divulguée par un dangereux irresponsable ».

En réaction à ces propos, un groupe d’habitués de la liste Full Disclosure réplique en fondant le Microsoft-Spurned Researcher Collective (dont les initiales, MSRC, rappellent celles du Microsoft Security Response Team). Le but de ce MSRC là (l’autre !)est de publier, par mesure de rétorsion, toute faille que découvrirait un de ses membres. Les hostilités sont ouvertes le 30 juin et semblent indiquer qu’il se prépare un été relativement chaud dans le plus pur style du Month of Microsoft Bug .

Les tords sont partagés. Les réactions épidermiques de ces deux MSRC ne sont que le reflet de frustrations humaines, relativement éloignées des efforts respectifs que prodiguent à la fois les développeurs de Microsoft pour intégrer à Windows SDL et chasse au bugs, et d’autre part les chercheurs indépendants qui, à de très rares exceptions, respectent une certaine politique morale de divulgation (même si ce n’est pas toujours celle souhaitée par Microsoft). Il est sur le marché des éditeurs considérablement plus amoureux du secret et du non-dit qui mériteraient 1000 fois plus les foudres d’un tel response team.

Cloudshark est un “outil de partage” et de visualisation de capture de trafic réseau au look Wireshark. Pratique pour partager une collection de traces… ou publier une vulnérabilité de manière anonyme

NSS Labs publie une étude sur l’(in)efficacité des principaux antivirus, commentée par Brian Krebs : temps de mise à jour, pourcentage de détection… une mise en garde proche des conclusions de l’iAwacs 2010

How to sur un « live CD » spécifiquement conçu pour gérer à distance les incidents, signé Bert Hayes de l’UoTexas. Attention : une panoplie pour administrateur surtout pas un outil d’analyse forensique

Francois Paget, de l’Avert, s’intéresse aux motivations des « pirates de pirates » qui ont hacké le serveur de carders « Carder.cc », ainsi qu’aux fuites d’identités de truands et de victimes qui résultent de cette attaque

Iphone 4 r00té

Tout augmente. La Fondation a profité du dernier Hack In The Box Européen pour annoncer une nouvelle politique visant à récompenser les chasseurs de failles. Désormais, précise le communiqué, la récompense pourra atteindre jusqu’à 3000 $ en fonction de la dangerosité et de la possibilité d’exploitation.

Cette prime devrait en toute logique faire sensiblement baisser les annonces spectaculaires émises parfois le lendemain même de la sortie d’une nouvelle version… ventre affamé préfère encore un bel effet d’annonce à une lettre de remerciement ou une prime symbolique.