juillet, 2010

Chez Trend Micro, on délaisse le pdf pour un conséquent diaporama au format Powerpoint d’une quinzaine de pages. Pour nous apprendre qu’il est inutile de lutter contre la déferlante du Webdeuzéro et des réseaux sociaux en entreprise. Que l’administrateur soit d’accord ou non, les « connectés » et les « potes virtuels » croissent et se multiplient au sein des entreprises : 19 % de contaminés l’an passé, 24% cette année… et l’on n’en est qu’à la moitié. L’étude, conduite aux USA, Japon, Allemagne et Grande Bretagne, précise que ce taux est le même que l’on considère les petites ou les grandes entreprises, exception faite du Japon. La contamination est d’autant plus importante que l’administré utilise un ordinateur portable. De 2008 à 2010, les possesseurs de « laptops » ont adhéré aux réseaux sociaux avec une croissance de 10 % aux USA et 14 % en Allemagne. Comparativement, 29% des utilisateurs de machines portables contre 18% des personnes travaillant avec un ordinateur de bureau déclarent avoir fréquenté un site de « réseau social ». L’on constate d’ailleurs, de la part de ces employés « mobiles », une même propension à s’épancher sur des outils de messagerie instantanée, Web mail et autres « médias sociaux », particulièrement aux Japon et en Allemagne.

Ces statistiques sont comparables à celles mesurées et publiées par d’autres spécialistes du filtrage et de la protection périmétrique (Websense notamment, qui milite pour une libéralisation sous contrôle des média sociaux).

Toujours sur le thème « les médias sociaux, leur vie, leurs mœurs », l’on peut saluer ce court mais très clair résumé traitant des problèmes de sécurité posés par ces nouvelles méthodes d’échange d’information. C’est signé Anthony Bettini, du McAfee Labs. La « théorie des degrés de séparation », explique l’auteur, « rapproche l’attaquant de sa victime. Rapprochement d’autant plus dangereux qu’il est de plus en plus provoqué par des robots créant de faux comptes, et facilité par le peu de discernement de personnes acceptant des contacts inconnus, cherchant plus à collectionner un nombre important de « followers » qu’à connaître réellement la nature des liens unissant cette personne et l’intéressé » explique en substance le chercheur en sécurité. Les réseaux sociaux, rappelle Bettini, c’est aussi un excellent canal de propagation de spam, parfois même de virus (par le truchement d’envoi de liens empoisonnés ou pointant sur des sites compromis) ou de relais de commandes destinés à piloter des réseaux de Bot. Ceci sans parler des risques non liés directement à la technologie, tel que ce que dénonce le pleaserobme.com (s’il te plaît, cambrioles-moi) : le « sur-partage d’informations » augmente le risque d’exploitation par des malfrats utilisant des méthodes traditionnelles et maîtrisant le B.A.BA de l’ingénierie sociale : cambrioleurs, escrocs à la carte de crédit, à l’assurance, à l’agence immobilière… les truands de la vieille école eux aussi sont sur Twitter et Facebook.

MS10-42 et MS10-45 –la faille Ormandy et un bug touchant Outlook- sont, clament la plupart des spécialistes, à « patcher immédiatement ». Le très petit défilé de rustines du dernier 14 juillet compte également un trou ActiveX et un autre dans Cdd.dll qui avait également fait l’objet d’une divulgation publique en… mai dernier. Selon les plateformes, le niveau de probabilité d’exploitation et de criticité a littéralement vidé les cartouches rouges des imprimantes du MSRC ainsi que celles du Sans.

Ce jour de bug est révolutionnaire à plus d’un titre, puisqu’il sonne également le glas du support de XP SP2. Le passage au SP3 est vivement conseillé. Un rapide sondage effectué par l’équipe de F-Secure révèle que près de 10 à 11 % des entreprises utilisent encore cette version du noyau Microsoft. En mai dernier, toujours selon les statistiques F-Secure, cette proportion atteignait 44%.

C’est toujours à la mi-juillet que paraissent les « bilans » à mi-parcours des professionnels de la sécurité. Certains volontairement catastrophistes –il faut bien vendre- d’autres plus analytiques, plus « froids ». Et dans cette catégorie, l’on peut désormais ajouter le « half year report » de Secunia. C’est la première édition du genre.

De manière lapidaire, l’on y apprend qu’Apple est champion de failles (en nombre de CVE déclarées… chiffre sur lequel l’éditeur-constructeur-diffuseur n’a strictement aucune prise). Suivi de près par Oracle et Microsoft puis, avec un léger recul, HP, Adobe et IBM (dont les statistiques de comptage CVE grimpent en flèche depuis 2008). A eux tous, ils totalisent 38% des trous déclarés. A noter également une très forte baisse cette année du nombre de CVE attribué à Mozilla. Nous nous permettrons d’insister qu’il s’agit là d’un comptage des CVE, et non pas des correctifs ou des failles par ordre de dangerosité.

Le billet introductif de Niels Henrik Rasmussen, le patron de Secunia, précise qu’il n’y a pas franchement d’amélioration sur le front du bug : le nombre de failles découvertes est toujours aussi important, en dépit des politiques de développement plus strictes. Sans surprise, Secunia constate à l’instar de tous ses confrères, que le nombre de vulnérabilités liées aux programmes « tiers » est en très forte croissance par rapport aux logiciels et systèmes de « qui vous savez ». Sur une configuration Windows typique comptant une cinquantaine d’exécutables, dont la moitié sont d’origine MS et l’autre moitié de provenances diverses, la partie « étrangère » compte jusqu’à 3,5 fois plus de défauts que la partie Microsoft. Enfin, il semblerait que l’on mesure actuellement une forte croissance des découvertes de failles. Il se serait trouvé, durant ces 6 premiers mois 2010, autant de trous qu’il s’en est répertorié durant toute l’année passée.

Depuis la sortie de Windows « New Technology » 3.10, le développement commercial des systèmes d’exploitation de Microsoft s’effectue en 2 phases. Dans un premier temps, à la date officielle du lancement du système, quelques « early adopter » (ndt : en Français, optimistes inconscients) se dévouent pour essuyer les plâtres, tandis que le ban et l’arrière ban de l’industrie déploient à tours de bras… des maquettes ne sortant pas du cadre étroit de la « salle de tests informatiques ». C’est en fonction des cris d’angoisse ou de bonheur de ces éplucheurs de noyaux que s’entamera la seconde phase, celle de l’adoption ou du rejet généralisé du nouveau système d’exploitation. Mais attention, pas avant la sortie du sacro-saint Service Pack, sorte de cicatrice initiatique qui prouve que les défauts les plus gros ont bien été colmatés.

Cette semaine a vu paraître la première préversion du SP1 de Seven et de 2008 R2 (un fichier commun pour les deux systèmes). A télécharger aux risques et périls de l’impétrant-testeur. A quelques détails près, le SP1 appliqué à Windows 7 n’apporte rien qu’une impressionnante collection de colmatages et de consolidations. Celui de 2008 R2, en revanche, mérite que l’on se lance dans une installation préparatoire en raison de deux nouveautés : RemoteFX, la prise en compte du Windows Aero, d’animations Flash ou Silverlight depuis une machine Windows 7 virtuelle –fonction totalement inutile, donc absolument indispensable- et surtout de Dynamic memory, le gestionnaire de mémoire dynamique sous Hyper-V R2. C’est là une amélioration notable et grandement attendue.

Tous les transparents de HITB sur le site de la manifestation. C’est du lourd, du passionnant… à noter l’absence de Raoul Chiesa initialement prévu pour une présentation sur les DAB

J’apprends à sécuriser WordPress en 15 étapes : un papier très didactique sur Social Hacking et destiné à tous les « admin » qui n’ont pas encore changé leur logon name

Dirk Loss a dressé la liste des outils de pentesting open source reposant sur Python. A bookmarker

Buzz autour d’une version « téléchargeable » du DLP Websense sur Security News et Network World… Qui aboutit sur une simple version de démo « 30 jours »… développement marketing 2.0 ?

Cisco p0wn3d : la base de données contenant la liste des participants du Cisco Live (réunion annuelle à Las Vegas) aurait été piratée, nous apprend Larry Chaffin de Network World. Un problème de firewall ?

« Comparativement à 2006, la proportion de spam puisant ses accroches dans le vivier d’événements liés à la coupe du monde de football a été multiplié par 9 en 2010 » nous apprend le tout dernier rapport mensuel sur le spam publié par Symantec. Les supporters de l’équipe Hollandaise ne sont donc pas les seuls à éructer des « onagagné » houblonnés sur l’air des lampions.

A noter une lente mais satisfaisante progression de la France à la 7ème place des pays à l’origine du spam (4% du volume, place inchangée), à la 5ème place des leurres de phishing sur le territoire (4%, progression de 1%) et à la 5ème place (3%, inchangé) des pays hébergeurs de sites de phishing.

Onvagagné ! Beuglent également les auteurs du phishing « erreur de facturation de votre facture Internet Free » qui semble inonder ces jours-ci les boîtes à lettres Françaises. La rédaction de CNIS Mag, après une rapide recherche Whois, s’est rendue compte que bon nombre de ces sites de phishing sont créés avec la passivité complice des principaux registrars tant Français qu’étrangers, et de leurs proches cousins les hébergeurs : numéros de téléphone de « contact administratif » débutant pas 06 (et pris au hasard), adresses fantaisistes qu’un enfant de 5 ans pourrait détecter (12345 rzue de qofnq oziur, paris), emails de contact tous aussi abracadabrants… Là, il semblerait que poursuivre des adolescents téléchargeurs soit plus rentable que de chasser de véritables escrocs : les premiers sont plus facilement détectés, les seconds risquent de ne pas franchement résider en France, ce qui fait de la paperasse.

*NdlT Note de la traductrice : du pain, des jeux, de la cervoise (tiède) et du sanglier (rôti) reconstitué vendu en conserve, plus connu sous le nom de Spamae.