mars 23rd, 2011

Art Coviello, l’espace d’une lettre ouverte, rédige lui-même le bulletin d’alerte : nos serveurs ont été piratés, et une partie des informations « spécifiquement en rapport avec les produits d’authentification à double facteur Secure ID ». Et de préciser que tel quel, ce vol ne compromet pas directement les usagers mais pourrait être utilisé dans le cadre d’une attaque d’une plus grande envergure. En attendant, les mesures de protection des systèmes d’information de l’entreprise ont été renforcés etc.

Une telle opération ne peut être que le fruit d’une attaque hautement sophistiquée… une de ces fameuses « APT » ; ou Advanced Persistent Threat. RSA ne peut succomber sous les coups d’un petit intrus de quartier. Et puis, comme le fait remarquer un billet de Securosis, APT, ça fait tout de suite penser à la Chine, ce qui permet de jouer les victimes se concentrant sur le pansement de ses plaies et se dédouanant de toute responsabilité. Une concentration qui évite à EMC d’être plus explicite sur la nature de l’attaque, l’étendue, le risque exact encouru pour les utilisateurs de tokens… le moins que l’on puisse dire, c’est qu’Art Coviello a rédigé une lettre « ouverte » aussi fermée et informative qu’un discours d’homme politique en pleine période électorale.

Ce qui ne semble pas du tout déranger une grande partie des médias anglophones, BizSmart joue à Couper-Coller, Network World reste dans le flou, SearchSecurity se garde de tout jugement, et le Sans publie une note journalière quasi-télégraphique comme cela est d’usage. Et ainsi de suite. En revanche, Richard Bejtlich reprend en partie l’argument de Securosis : le terme APT masque un peu trop ce qui s’est réellement passé sur les ordinateurs de RSA. En revanche, l’ancien « gourou sécu » de l’USAF reconnaît qu’il y a là effectivement des indices prouvant que l’attaque pourrait bien relever d’une véritable APT : parvenir à dérober des technologies d’authentification afin de pénétrer plus facilement sur certains serveurs et ainsi avoir accès à la « propriété intellectuelle » de la victime n’est pas une tactique nouvelle (Stuxnet notamment, dans un tout autre registre, utilise aussi des certificats dérobés). Espérons que nous en apprendrons un peu plus lorsque de l’eau aura coulé sous les ponts, conclut Beijtlich. Il n’est pas le seul à attendre un complément d’information.

Cette semaine est placée sous le signe du scorpion ascendant curare pour Adobe et Apple, les erreurs de l’un n’étant pas sans conséquence pour l’autre.

Sept jours à peine après une chaude alerte à la faille Flash (exploitée via des feuilles Excel intégrant une applet Flash et expédiées en pièces attachées), Adobe publiait, 4 jours plus tard, une version revue et corrigée de son logiciel. Réaction suivie par une grande partie des éditeurs ayant intégré ce code et qui ont émis à leur tour des correctifs. Et parmi eux Apple, qui en profite pour émettre son lot de rustines trimestriel, et pas l’un des moindres. Au total, 7 mises à jour cumulant 250 CVE. Certains bouchons de sécurité comptent 62 CVE. Même les plus charnus des « cumulatifs I.E. » de Microsoft n’ont jamais atteint un tel niveau. Certes, très souvent, un même CVE se retrouve dans plusieurs rustines, l’une pour IOS, l’autre pour OS X par exemple. Mais, comme le fait remarquer François Paget sur le blog de l’Avert, cela représente tout de même 123 failles uniques pour une période de 3 mois. Un score plus ou moins comparable à celui d’un Microsoft ou de tout autre éditeur de noyau. Reste que, si l’on se concentre sur le degré de dangerosité des failles, il apparaît qu’à période équivalente, Apple colmatait 123 trous « critiques » contre 8 « critiques » et 20 importantes pour Microsoft. Le niveau de criticité est issu des classifications données par Vupen, Secunia et Microsoft. La dangerosité d’une faille et ses méthodes d’évaluation sont des points de rhétorique souvent discutés par les experts du milieu.

Pour en revenir à l’attaque « Flash exquis, feuille Excel et fichier explosif », l’on peut se pencher sur le papier édité par Broderick sur le blog de F-Secure. Du côté de Microsoft, on attend toujours une solution « FixIt » qui pourrait s’intituler « éliminez-moi donc ces fonctions totalement inutiles ». A moins que l’on parvienne à expliquer l’absolue nécessité d’une intégration Flash dans une feuille de calcul.

A lire, l’interview de Greg Hodlund (la cible des Anonymous dans l’affaire HBGary), rédigée par Robert Lemos. Passions et règlements de compte.