Mardi des rustines intéressant, que celui de ce mois (impair) de novembre. Si la vulnérabilité Duqu* n’a pas été bouchée, comme il était prévu d’ailleurs, Microsoft nous a tout de même offert, parmi les rustines mensuelles, le CVE qui a le plus généré de Tweets et de remarques fielleuses depuis l’intégration de WinSock première édition et ses centaines de bugs de conception. Car ms11-083 est une faille UDP qui permettrait d’utiliser un port même lorsque celui-ci est fermé. Un coup de pied à défoncer un huis pareil relève soit de l’art martial le plus consommé… soit d’une fâcheuse distraction momentanée lors de l’écriture du code en question. Gageons que le nombre de billets de blog débutant par « Microsoft security Fail » va rapidement grimper dans les jours qui suivent et qu’évolue l’analyse de cette faille par les experts du monde entier.
Pour se racheter du défaut Duqu , Microsoft a tout de même publié un bulletin et un « fixit tool ».
Mais une faille épique n’arrive jamais seule. Apple, ne souhaitant pas être en reste, se lance dans une publication-marathon de CVE ( 17 d’un coup) , mais paradoxalement ne s’attire pas les attentions de la presse pour cette raison. La firme de Steve-le-Visionnaire (Woz, pas l’Autre) se fait pourtant épingler par Gizmodo pour l’interaction pour le moins douteuse de l’enveloppe de l’iPad, le fameux « smart cover » qui, s’il est refermé puis ré-ouvert au cours d’une procédure d’extinction interrompue, donne à nouveau accès au contenu de la tablette même si celle-ci était sécurisé par un mot de passe. Fort heureusement, nos confrères accompagnent cette « trouvaille » (qui semble relever plus de l’Easter egg que du bug) d’une petite vidéo de démonstration bien plus explicite que le texte qui suit.
Mais le plus gros « bug » d’Apple de la semaine, celui contre lequel aucun correctif ne peut rien, c’est celui qui a frappé Charly Miller, chercheur plutôt réputé et respecté dans le domaine de la sécurité en générale et de l’insécurité d’IOS en particulier. Miller, après avoir découvert une possibilité d’exécution de binaire non signé sous IOS, s’est amusé à diffuser sur l’AppStore une application baptisée InstaStock… en fait un exploit pour le bug en question.
Miller a donc mis en évidence deux failles, dont une était soupçonnée depuis fort longtemps. L’une purement technique, qui relève presque du train-train de la vie des systèmes d’exploitation, l’autre, strictement humaine et structurelle, qui prouve que le filtrage des applications avant approbation et commercialisation via l’AppStore est aussi invulnérable que les noyaux Apple. Une assurance d’invulnérabilité qui n’engage que ceux qui y croient.
Pour remercier le chercheur de ce travail remarquable, Apple a donc banni Miller de Sa Communauté de Chercheurs et lui a retiré ses accès au réseau « développeur » … Le dogme de l’antivirus inutile sur plateforme Apple doit survivre coute que coûte.
NdlC Note de la correctrice : bien entendu, l’auteur, cédant à la facilité, n’a pas utilisé ce terme. Heureusement, je veille au grain. Moi vivante, on ne parlera pas du DuQu hole.
Détection de vulnérabilités via le code des projets open source de Vmware . Pari gagné pour un chercheur …