septembre 1st, 2010

Plus que quelques heures avant que ne reprenne le dur labeur quotidien, la surveillance des logs pour certains, les mémos des plans de conformité pour d’autres, la course au déploiement de rustine pour tous… Alors un dernier moment de détente avec une information aussi indispensable que dénuée d’intérêt, une dernière « lecture de plage » : la publication prétendument exclusive des mémoires de l’ex taupe « Romeo » du KGB infiltrée dans les services de Scotland-Yard. Un ouvrage à télécharger sur les serveurs de Cryptome.

Ce même document est également disponible sur le site de son auteur, John Symonds qui, comme toute taupe « officielle » du KGB, tient salon, site web et blog, organise des conférences avec les journalistes Britanniques et attend avec impatience la sortie du film qui retracera sa vie palpitante. Las, la société de production chargée de cette saga ne parle plus tellement de ce film depuis l’hiver dernier et met plutôt l’accent sur l’adaptation à l’écran du Neuromancien. Voilà qui fera toujours plaisir aux geeks.

Qui est John Symonds ? Un espion si peu crédible au début qu’aucune charge n’a été retenue contre lui. Tout au plus la justice de Sa Gracieuse Majesté lui reproche-t-elle d’avoir été un ancien policier un peu ripoux. Son passé d’affreux dans des camps d’entraînement Marocains ne fait pas non plus ciller la justice d’Albion. Il faudra attendre le livre et les révélations d’un transfuge du KGB, Vasili Mitrokhine, pour que soit officialisées les activités de l’agent répondant au nom de code Skot et surnommé Roméo. Car Symonds est formé par Moscou pour devenir non pas un « double zéro », mais un bourreau des cœurs. Sa mission : séduire la gente féminine, de la secrétaire de Ministre à la chèfe de département diplomatique pour lui soutirer des informations.

Mitrokhine, pour sa part, connut un succès bien plus éclatant que son « honorable correspondant ». Cet ancien lieutenant-colonel du KGB, qui acheva sa carrière aux archives devint l’informateur privilégié des SR Britannique après la fin du régime soviétique. Aussi prolifique et disert que le célèbre Vladimir Ippolitovitch Vetrov dit « Farewell », la taupe de la DST, Mitrokhine exhuma des documents parfois explosifs, parfois d’origine douteuse, qui mirent notamment en cause le Ministre de la Défense Charles Hernu.

On est loin, très loin de l’alerte « critique », mais cette révélation de Marco Giuliani, sur le blog de PrevX, pourrait bien marquer la fin d’une époque : celle des virus 32 bits. Giuliani serait tombé sur une édition « full 64» du rootkit TDL3 qui, courant janvier, avait défrayé la chronique. Car cette infection avait pour principale caractéristique d’entrer en conflit avec un correctif Microsoft censé colmater la faille MS 10-015. Conflit qui provoquait un « écran bleu de la mort » aussi sûrement qu’un économiseur d’écran signé Russinovich… mais en vrai. Le Response Team de Microsoft avait à l’époque été accusé de diffuser une rustine trouée.

Cette fois, nous explique Giuliani, le code est « presque » propre, et qu’outre sa compatibilité avec le mode 64 bits, TDL3 s’est enrichi de quelques nouvelles fonctions, notamment la possibilité de s’installer sur le secteur de boot. Cette modification de la MBR s’effectue d’ailleurs grâce à un reboot sauvage astucieusement provoqué pour éviter de passer sous les fourches caudines des systèmes de protection du noyau. Ce serait là, toujours selon l’analyse de Marco Giuliani, une pré-version du vecteur d’infection. De nouvelles souches seraient en train d’apparaître chaque jour, un peu plus perfectionnées.

Après le vol de véritables certificats détournés de sites légitimes, voici que les codes d’infection se mettent eux aussi à respecter les conseils que Microsoft prodigue aux développeurs. A ce rythme-là, il ne faudra plus beaucoup de temps avant que n’apparaissent les premiers « vrais-faux drivers signés ».