février 17th, 2011

San Francisco, RSA Conference : Longtemps, Scott Charney, VP du Trustworthy computing chez Microsoft, a milité en faveur d’une stérilisation des postes de travail infectés par un malware. Forme d’eugénisme binaire ou de malthusianisme du réseau qui aurait pu être assurée par les fournisseurs d’accès, point de passage et de contrôle idéal situé entre Internet et l’usager. Mais, reconnaît-il cette année, il peut survenir certaines situations d’urgence qui ne peuvent souffrir le temps nécessaire à l’installation de quatre rustines et d’une mise à jour d’antivirus. « Si une personne doit appeler le 911 (numéro d’urgence aux USA) pour prévenir d’une attaque cardiaque, un filtrage ou une mise en quarantaine peut avoir des conséquences dramatiques » admet Charney. En outre, le fait d’imposer, sur chaque poste de travail, la présence d’un agent ou d’un mécanisme de surveillance, même sous prétexte de sécurité, est perçu comme une atteinte à la vie privée par bon nombre d’internautes.

Il faudrait, espère-t-il, que la sécurité de tous soit prise en compte par les différents acteurs du monde IP, et que le message « passe » grâce à une valorisation de l’idée de sécurité. Une forme de sécurité communautaire impulsée par les principaux acteurs du marché. Et de citer, outre la suite d’outils maison de tests de salubrité, l’exemple d’un banquier qui proposerait à ses clients des programmes de protection spécifiques, lesquels seraient davantage perçus comme un service supplémentaire bénéficiant directement à l’usager que comme une contrainte flicarde contraignante.

Ce changement de méthode ne modifie en rien la vision de Charney concernant les postes infectés : ils sont aussi dangereux pour la communauté des autres machines connectées à Internet que ne l’est un fumeur vis-à-vis de ses voisins. La propagation virale est l’équivalent numérique du tabagisme indirect répète-t-il. Il s’agit là d’une image qui a l’avantage d’être simple à comprendre et l’inconvénient de simplifier la question de fond. En considérant l’usager comme incapable d’être responsabilisé et en cherchant à lui imposer des tuteurs techniques pouvant « légitimement » agir sur sa machine, Charney persiste dans sa vision paternaliste d’un Internet affairiste et libéral. Si cette approche peut résoudre aisément des problèmes courants de « salubrité publique », elle peut soulever de sérieuses questions d’indépendance et de libre arbitre pour des responsables de petites structures, les professions libérales et autres travailleurs indépendants.

Gavin Thomas, du Microsoft Response Team (MSRC) semble être un admirateur inconditionnel d’Ignace de Loyola. Et c’est avec un art consommé des circonvolutions jésuitiques qu’il nous explique pourquoi, y compris dans les rustines ne corrigeant officiellement qu’une seule faille référencée au CVE, il puisse se trouver un ou plusieurs autres correctifs non documentés. Ce sont des « silent fixes », comme il existe déjà depuis longtemps des « silent releases » de Windows et des « silent features » glissées au détour d’un Service Pack.

Car, nous explique Thomas dans son Introduction à la Vie des Bugs, il y a des trous officiels et des défauts inconnus. Inconnus du public plus exactement, mais découverts notamment par les équipes internes de Microsoft. Or, un bug « maison » reste « maison ». Pour des raisons assez ténébreuses d’ailleurs, très probablement liées à un vieux réflex propre à tous les éditeurs et qui consiste à ne pas alourdir les statistiques des problèmes de fabrication. Peut-être également parce que, dans la collection de failles exploitables que chaque éditeur découvre et met de côté pour diverses raisons (y compris les plus patriotiques visant à l’éradication des dangereux cyber pédophiles poseurs de bombes), il s’en découvre d’autres dont l’indice d’exploitation ne dépasse pas la moyenne. De la faille bas de gamme qui ne connaîtra jamais le « remote », du trou sur console locale nécessitant une lourde « interaction utilisateur » ou pire encore, pas d’exploitation du tout. Des « mauvais trous » de cinquième catégorie qu’il est préférable de combler discrètement, pour ne pas trop attirer l’attention des amoureux du reverse. Voilà pourquoi ces bugs silencieux succombent sans la moindre oraison, sans la plus petite mention au panthéon des trous, sans le moindre titre de gloire ou la plus infime évocation au détour d’un bulletin d’alerte. Ayons donc, chaque second mardi du mois, une pensée émue pour ces petits, ces obscurs, ces sans-grade qui trépassent dans le plus sordide des anonymats pour la plus grande gloire du sacro-saint ost du Trustworthy computing. Amen

Beaucoup de bruit autour d’une faille publiée via le Full Disclosure par un dénommé Cupidon 3005. Faille pouvant autoriser un heap overflow à distance sous Windows, et considéré comme critique par Vupen ou moyennement critique par Secunia. Généralement, les administrateurs épanouis protègent leur accès smb (couche réseau directement concernée par ladite faille) derrière un solide firewall. En l’absence d’exploitation « dans la nature », il est peu probable que Microsoft envisage la publication d’un correctif « out of band ».

Les habitués du monde de la sécurité retiendront de cette histoire que la liste Full Disclosure donne encore quelques rares signes de vie.