février, 2011

Les 12 rustines prévues par Microsoft, dont une faisant l’objet d’une exploitation « dans la nature » et deux autres accusant presque un mois d’ancienneté après divulgation ont été, comme prévu, corrigées. L’index de probabilité d’exploitation est situé dans la moyenne haute. Le détail des bouchons est donné comme d’habitude sur le blog du MSRC.

Adobe, de son côté, colmate 29 failles affectant « Reader », Flash et Acrobat, tous types de plateformes confondues. Bon nombre de ces défauts sont considérés comme étant critiques, la mise à niveau est donc nécessaire.

Chez Oracle, c’était également jour de lessive, avec la correction du bug « chiffre maudit » affectant le Runtime Java. La conversion en un nombre binaire à virgule flottante de l’expression 2.2250738585072012e-308 ouvrait toutes grandes les portes du réseau sans authentification nécessaire. Le crash de la machine Java est, dans ces conditions, très probable explique le bulletin d’alerte.

Vient enfin un coup de semonce donné par le ZDI (Zero Day Initiative de Tipping Point) qui, face probablement à une soudaine surdité affectant quelques éditeurs, décide de dévoiler partiellement certains trous de sécurité non corrigés par HP, SCO, Novell, EMC et Computer Associates.

La famille Windows XP a le pénible devoir d’annoncer la disparition d’Autorun, emporté par une poussée de fièvre décisive provoquée par un récent « Windows Update ». Ses amis et proches, notamment Conficker, demeureront probablement inconsolables et seront obligés de recourir à d’autres moyens de reproduction. En effet, les mœurs sexuelles d’Autorun s’accommodaient fort bien d’amours exogènes, et il naissait parfois de ces rencontres quelques rejetons se situant génétiquement entre l’hybride improbable et la pire des maladies vénériennes. Initialement conçu pour faciliter le lancement de films ou de programmes d’installation dès l’insertion d’un CD-Rom ou d’une clef USB, les mécanismes d’autorun pouvaient aisément être utilisés à des fins plus néfastes, voir être pervertis pour ne laisser d’autre choix à l’utilisateur que « d’exécuter ou d’exécuter » le programme en question. Désormais, la fonction est restreinte au lancement de CD et DVD-Rom, rien de ce qui est USB ne pourra venir infecter un ordinateur. Autorun continue de vivre en régime bien surveillé sous Windows 7/Vista. Le blog du MSRC explique un peu plus en détail cette correction « importante mais non relative à la sécurité » (sic). Le second chapitre de cette note d’avertissement est à lire avec délectation, et prouve que l’enseignement jésuitique profite également aux Program Managers de l’équipe Trustworthy Computing : on ne peut dire, explique Adam Shostack, qu’un virus ait pu infecter un ordinateur « à cause » d’Autorun faute de statistiques réelles sur la proportion d’usage de cette fonction dans un cadre purement viral.

Un article prenant moins de précautions de langage est à lire avec attention, sous le titre de « Breaking up the Romance between Malware and Autorun ». Des chiffres bruts, des statistiques d’attaques, des taux de progression d’infection, des pourcentages de contamination en fonction des noyaux concernés, des évolutions d’attaques tout au long de l’année 2010 ayant au moins un point commun : la fonction Autoplay (même si cette forme de propagation ou d’activation n’est pas la seule utilisée). La fin d’Autorun pour les clefs USB ne sera pleurée que par les auteurs de virus et spywares.

Une lueur d’espoir, pourtant, pourrait consoler les auteurs de malwares car, nous explique Jon Larimer, membre de la X-Force ISS/IBM lors d’une présentation tenue à Schmoocon, Autorun peut aussi frapper les machines sous Linux. Certes, pour l’heure, la démonstration n’a d’autre intérêt que celle d’une « preuve de faisabilité » technique. Les Linuxiens peuvent encore dormir sur leurs deux oreilles tandis que les équipes de développement commenceront à envisager une parade.

C’est une longue histoire où se mêle suspens et effets narratifs que nous relate Wired, via une reproduction publiée par Lottery Post. L’histoire d’un statisticien Canadien qui, par passion et curiosité, découvre une faille dans les gilles de « jeux de grattage ». Une exception dans le domaine ? Pas même, car sa « technique » pour découvrir les tickets gagnants s’avère efficace sur plusieurs cartes émises dans plusieurs villes, tant Canadiennes qu’Etats-uniennes : il suffit de repérer les billets comportant, dans la partie de la grille « découverte », des singletons (numéros uniques, non redondants). Une faille corrigée depuis (de l’autre côté de l’Atlantique) et provoquée par la nécessité pour l’éditeur de tickets de maîtriser les pourcentages de gains. Une obligation qui bannit l’usage d’une distribution des nombres réellement aléatoire. Or, en chiffrement comme en jeux de hasard, une faille (ou une limitation) dans le générateur de nombre aléatoire utilisé pour fabriquer les jeux gagnants ou les clefs de protection compromet fortement l’intégrité du système. Comment un tel défaut n’a-t-il pas été découvert plus tôt ? Parce que, explique l’auteur, la grande majorité des tickets de jeu sont achetés par à peine 20 % de la population, et que ces habitués des jeux de hasard de grande consommation en quête d’espoir de richesse, font partie de la tranche la moins riche et la moins éduquée de la population. Peut-on y voir l’indice d’une sorte de ségrégation des niveaux de sécurité selon les clivages sociaux ? D’autres exemples tendraient à confirmer cette tendance, exemples allant de l’antivol pour automobile aux huisseries et serrures de domiciles, en passant par la disponibilité ou non d’utilitaires tel que Bitlocker sur Windows 7 Entreprise et Intégrale.. mais pas sur les éditions « Home ».

Pourquoi est-il intéressant de moins protéger les « pauvres » ? Les réponses sont multiples. Dans bien des cas, ce raisonnement est lié à un problème d’économie d’échelle : modifier la conception d’un billet de loterie défectueux, d’une serrure ou d’un chambranle de mauvaise qualité coûterait plus cher que les pertes qu’occasionnerait ce défaut. C’est sur cette logique que fonctionnent encore bon nombre d’établissements bancaires et compagnies d’assurance lorsqu’une fuite d’information est constatée ou qu’un cambriolage a lieu : le remboursement est toujours moins élevé que l’estimation des atteintes à l’image de marque. L’autre raison est bien plus pernicieuse : si les « pauvres » étaient mieux protégés, il n’y aurait plus de différence technique entre deux victimes potentielles… ce qui inciterait les escrocs, voleurs, cambrioleurs, usurpateurs d’identités et autres membres des petites et grandes truanderies, à déployer des efforts comparables que la victime soit riche ou pauvre. Autant, dans ces conditions, s’attaquer aux plus possédants. La préservation de l’espèce pauvre est une logique largement pratiquée par les compagnies d’assurance, les constructeurs d’automobile etc. Les pauvres sont plus nombreux, ils rapportent plus aux délinquants. Y compris dans le domaine de la sécurité informatique.

Des p’tits trous, encore des p’tits trous… dans WebEx, le logiciel de vidéoconférence de Cisco. La solution : mettre à jour avec la nouvelle édition en date.

Une nouvelle version de Cain et Abel (attention, lien de téléchargement direct) est disponible sur le site Oxid.it. Elle porte le numéro d’immatriculation 4.9.38 (touché, mot de passe coulé)

Encore une cyber-guerre qui aura duré le temps d’une rose : l’Internet Egyptien renaît à la vie, constate le Sans, l’œil rivé sur les ports bgp. Enfin, pas tout à fait, rétorque Netcraft. Car à peine à la lumière du jour, mcit.gov.eg est à nouveau retombé. Netcraft y voit la probable influence des Anonyme et de leurs attaques en déni de service. Mais c’est SpamHaus qui décroche la palme du scoop, en révélant qu’il y a plus terrible et plus efficace que les anonymes : les « spam king », bien sûr, qui, eux, ne sont pas des pratiquants de la guerre en dentelle. Les polluposteurs américains sont parvenus à détourner à leur usage des pans entiers d’adresses ip (netblock) officiellement détenus par le Suzanne Mubarak Science Exploration Center, lequel avait réservé près de 4000 numéros. Un article du Al Masry Al Youm décrit avec beaucoup d’humour une visite dans le centre en question.

19, 20, 21… 22, pas un de moins. Le bulletin anticipatif du prochain « Patch Tuesday ». Bonne nouvelle, les correctifs relatifs aux alertes 2490606 et 2488013 feront partie du lot. Les failles sont uniformément réparties, et concerne Windows, les suites bureautique, I.E. (un Patch Tuesday sans son « cummulatif IE » ne serait plus un patch Tuesday ) ainsi que Visual Studio. Trois bulletins sont estampillés « critique », neuf autres « important ». La moyenne de « trou colmaté par rustine » oscille autour de 2 (12 rustines pour 22 CVE).

L’Amérique serait-elle sur le point d’avoir son « affaire Kitetoa » ? Il semble en tous cas qu’elle en prenne partiellement le chemin. Plentyoffish est un site de rencontre entre adultes. Réputé semble-t-il, puisqu’une faille de sécurité de ses installations informatiques a exposé les crédences de quelques 30 millions d’inscrits. A l’origine de la découverte de cette faille Chris Russo, un chercheur Argentin, qui prouve la chose au journaliste Brian Krebs grâce à une petite démonstration sur un compte temporaire. Il apparaît immédiatement que la base de mots de passe est stockée « en clair » sur les serveurs vulnérables. Krebs prévient alors les responsables du site, qui ignorent dans un premier temps ses avertissements. Puis, par le truchement d’un « blog-d’entreprise-qui-n’engage-pas-l’opinion-des-autres-dirigeants », le fondateur de Plentyoffish crie au scandale en accusant l’inventeur de la faille de tentative d’extorsion et Brian Krebs de complicité. Propos sur lesquels l’intéressé s’est rétracté depuis, mais qui sont assez symptomatiques du syndrome de l’image de marque subi par des chefs d’entreprise ne comprenant rien au monde de la sécurité informatique : le messager est nécessairement aussi coupable que l’auteur du hack, et toute personne prévenant d’une faille est ipso facto un pirate animé de mauvaises intentions.

Il y a là de notables différences techniques avec l’affaire Kitetoa, mais le fond est tout à fait analogue : il est plus facile de poursuivre un organe de presse situé dans le même espace juridictionnel que la « victime » d’un défaut de sécurité que de se retourner contre d’éventuels attaquants vivant dans un pays étranger, ou même que de corriger la politique de sécurité du système. Cet argument du « coût induit de la mise à niveau des infrastructures » avait d’ailleurs été invoqué lors du procès New York Times contre Adrian Lamo : le montant des investissements nécessaires à la consolidation des défenses périmétriques avait été imputé aux « dégâts provoqués par l’intrusion ». Les pourfendeurs de la Sécurité par l’Obscurantisme apprécieront.

Brian Krebs a la chance d’être un journaliste réputé, que l’on peut difficilement accuser de complicité avec quelque organisme que ce soit. Sa réputation d’ancien ténor du Washington Post, ses titres de gloire, dont notamment la chute de l’hébergeur véreux McColo, ont dû immédiatement faire réagir les avocats de Plentyoffish et inciter le fondateur du site de rencontre à se montrer un peu moins virulent. Cela aurait-il été le cas envers un gratte-papier de la Gazette de Daisy-Town ou de l’Indépendant d’Albuquerque ? Contre le chercheur Argentin, en revanche, la hargne, la rogne, la grogne de ce spécialiste de l’entremise industrielle n’ont pas diminué d’un iota. « La faille a immédiatement été corrigée et les mots de passe des abonnés réinitialisés » explique-t-il. Reste que ladite base de données des mots de passe, comme le faisait justement remarquer Chris Russo, était dépourvue de tout chiffrement et l’est probablement encore.

Cette déplorable succession de propos expéditifs et de prises de positions dogmatiques a éveillé la verve de Lenny Zeltser, du Sans, et l’a poussé à écrire un billet intitulé « comment ne pas répondre à un incident de sécurité ». Y sont décrites par le menu les fautes de jugement et d’action commises par les responsables de PlentyofFish, qui, à ce train-là, pourrait bien devenir un cas d’école ou un exemple caricatural qui ira rejoindre le panthéon des « ratages » de sécurité, entre le bug de l’an 2000, l’affaire CardSystems ou la déjà mentionnée affaire Kitetoa.

L’Institut Ponemon, commandité par la société Tripwire, a réalisé et publié une étude sur les coûts réels de mise en conformité des grandes entreprises aux Etats-Unis (160 sociétés prises en compte, dont 46 de taille internationale). Les résultats de cette consultation laissent apparaître que le coût moyen des PCI-DSS, SarbOx, Hipaa et autres pèserait aux environs de 3,5 millions de dollars, à comparer aux 9,4 millions de dollars que coûteraient les conséquences d’une non-conformité. Un coût qui serait très nettement sous-évalué estiment les enquêteurs du Ponemon, alors que bon nombre d’entreprises accordent des lignes budgétaires rognées aux postes chargés de ces normalisations. Certes, chaque dollar dépensé dans ce domaine n’améliore pas systématiquement le niveau de sécurité des entreprises, reconnaît le rapporteur de l’étude, mais, précise-t-il, cette mise en application a des conséquences systémiques qui tendent de toute façon vers une amélioration générale de la situation.

Les décalogues et autres recettes miracle n’ont généralement que le mérite d’amuser le lecteur et d’offrir à leur auteur un moyen de remplir ces satanés « 2000 signes de trous qu’il faut remplir avant midi, coco, sinon on boucle avec une page blanche ». Mais ces 5 « recettes du responsable sécu en recherche d’emploi » tranchent par rapport à l’habitude. Bon sens et distanciation, pourrait-on résumer. Car les chasseurs de tête et les employeurs potentiels sont totalement hermétiques aux titres de noblesse (certifications, connaissances et autres preuves de geekitude) des hommes de l’art. « Soyez une personne avant que d’être un professionnel de la sécurité », « imposez votre marque » en montrant une attitude conforme aux attentes des gens des branches business, « vendez ce que vous avez accompli plus que votre expérience acquise, afin de vous distinguer de vos homologues », « n’exagérez pas » et « recherchez vous un guide qui connaisse les règles du milieu vers lequel vous vous orientez » énumère Joan Goodchild, auteur de l’article. Les exemples donnés au fil de l’article sont fournis par un recruteur spécialisé dans le secteur de la sécurité dont le nom, Jeff Snyder, le prédisposait à ce genre de travail …