mars 10th, 2011

Mikko Hyppönen, de F-Secure, profite de la probable preuve d’achat du logiciel de cyber-espionnage FinFischer par les barbouzes Egyptiennes pour discuter du code moral qui régit les éditeurs d’antivirus : doivent-ils, ou non, s’abstenir de détecter et bloquer les spywares gouvernementaux ? C’est une pente très glissante que d’accéder à ce genre de demande, sous prétexte de participer aux efforts de défense d’un pays, dit en substance Hyppönen. Et quelle demande devrait-on favoriser ? Celle des Etats-Unis ? d’Allemagne ? d’Israël ? d’Iran ? Car qui peut prédire à partir de quel moment un service de police luttant contre la délinquance commencera à basculer dans la surveillance politique ? Le raccourci si pratique qui consiste à traiter de criminel le moindre dissident ou de traître à la patrie celui qui n’est coupable que de délits d’opinion est une ficelle souvent utilisée par les états glissant vers la tyrannie. Rappelons que tous les éditeurs ne s’embarrassent pas avec ce genre de question transcendantale. Particulièrement du côté US, et surtout depuis que des programmes tels que le Magic Lantern du FBI ont commencé à défrayer la chronique

Peu de liège, mais du bouchon quand même pour les principaux éditeurs participants au « patch Tuesday de mars ». Mois « creux » pour Microsoft. La faille MHTML reste non corrigée, et les trois bulletins de ce mois ne sont qu’un énième épisode de la longue campagne de nettoyage visant à supprimer peu à peu toutes les possibilités d’attaque exploitant les fonctions de «DLL-Preloading ». L’un des bouchons en question (MS11-015) est considéré comme critique car touchant DirectShow et MediaPlayer, outils largement utilisés, et pouvant d’autant plus facilement faire l’objet d’exploitation par le biais de fichiers forgés (au format ms-dvr).
Flashplayer, la semaine passée, a émis une mise à jour de Flash Player, laquelle porte le doux numéro matricule de 10.2.152.32 (http://get.adobe.com/fr/flashplayer/). 3 ou 4 « sous-numéros de versioning » supplémentaires seraient peut-être nécessaires pour que tous les utilisateurs soient réellement perdus. Pour l’heure, 2 % de la population mondiale parvient encore à suivre… c’est presque trop. Toujours chez Adobe, 21 trous de sécurité ont été bouchés dans Shockwave Player (http://www.adobe.com/support/security/bulletins/apsb11-01.html). Cette fois, le « bon » numéro de version à installer est le 11.5.9.620. Les mises à jour en question concernent aussi bien les plateformes Mac que Microsoft.

Apple, après avoir déclenché la semaine passée une avalanche de correctifs iTunes comptant plus de 50 CVE, « pousse » un bouchon Java pour OS/X 10.6 update 4 et 10.5 update 9. C’est là une correction de cap qui avait déjà été signalée le mois dernier par Oracle et qui n’avait pas encore été intégré.

Google ne fait rien pour enrichir les vendeurs d’antivirus. Dans le courant du week-end, l’éditeur a fait le ménage dans son catalogue d’applications à télécharger –éliminant les brebis galeuses servant de vecteur d’infection pour le malware DroidDream – , et appuyé sur le « kill switch » inhibant, par désinstallation à distance, les programmes infectés déjà téléchargés. Cette opération de désinfection a été possible en « poussant » une application de sécurité sur les terminaux affectés. Jimmy Shah de l’Avert se penche sur ce fameux programme dénommé « Android Market Security Tool », outil de nettoyage par le vide qui ne colmate pas la faille de sécurité exploitée par DroidDream.

Comment perdre 15000 dollars en étant trop honnête ? Jon Oberheide, CTO de Duo Security, a signalé à Google l’existence d’une vulnérabilité pouvant permettre le lancement d’une attaque en cross site scripting. Vulnérabilité rapidement corrigée par l’éditeur. Oberheide touchera la prime « leet » de 1337 dollars, mais aurait bien pu conserver son « scoop » et l’utiliser lors du concours P0wn20wn qui aura lieu le week-end prochain à l’occasion de CanSecWest. Concours commandité par le ZDI et qui, rappelons-le, peut valoir au gagnant une prime de 15 000 $… dix fois la mise pour un simple XSS.

Ndlc note de la correctrice : ah, celle-là, elle a une barbe longue comme çà. La réponse, c’est « archiépiscopaux ». Voilà qui s’imposait pour une production de liège aussi variée.