septembre 12th, 2012

« 50% des appareils sous Android sont vulnérables » écrit Jon Oberheide sur son blog Duo Security. Un constat effectué grâce à un outil d’inventaire de failles développé précisément par Duo Security et baptisé X-Ray. Cette affirmation serait le résultat d’une estimation statistique effectuée sur le retour de plus de 20 000 appareils jusqu’à présent. 50% d’un marché qui compterait près de 500 millions de noyaux en service ou ayant été en service, cela fait tout de même 250 millions de trous dans la nature. Bien plus qu’à Blackburn, Lancashire*.

Le balayage s’achève bien sûr avec un diagnostic guère reluisant, puisque les correctifs poussés par les éditeurs sont généralement d’une lenteur très sénatoriale, voir totalement absents. Ce qui permet aux développeurs de Duo Security de conseiller aux usagers de changer de ROM… à tout hasard la très répandue et très célèbre CyanogenMod. 250 millions de téléphones portables et de tablettes tactiles rootées, en voilà un beau marché pour les vendeurs d’antivirus, firewalls et autres outils de « protection ».

Reste que X-Ray n’est pas un véritable outil « d’assessement », avec mise à jour dynamique de ses bases de détection. C’est un programme figé qui ne vérifie la présence que d’une poignée de failles exploitables connues. Celles-là même, d’ailleurs, qui sont nécessaires pour « rooter » une tablette ou un téléphone Android dans le but d’y installer le Cyanogen recommandé. Il y a là un hiatus qui semble avoir échappé aux auteurs… a moins qu’il s’agisse tout simplement d’humour geek. Les véritables attaques que subissent les usagers Android (ou IOS d’ailleurs) sont plus des attaques en vol d’information qui sont possibles « by design » et ne nécessitent aucune exploitation.

* Ndlc Note de la correctrice : … qui n’en compte que 4000 si l’on en croit les Scarabées. Mais il faut avouer qu’à l’époque où les Fantastic Four chantaient ça, les ordinateurs étaient un peu moins nombreux qu’aujourd’hui. Et peut-être ne parlaient-ils pas d’informatique…

Mois discret, pour Microsoft, qui ne corrige aucune faille à proprement parler sur les noyaux station de travail : 4 mises à jour, (dont 2 jugées « importantes »), avec au passage une série de « kill bits » s’appliquant à ActiveX , le reste étant destiné au noyau Windows.
Trois autres alerte suivent ce mini-patch Tuesday, s’adressant essentiellement aux professionnels. L’une concerne une recommandation visant à éviter l’usage de clefs de certificats d’une longueur inférieure à 1024 bits, les deux autres sont liées aux failles CVE- 2012-2536 et 2012-1892 s’appliquant respectivement à System Center Configuration Manager et à Visual Studio Team Foundation Server.

Les trous sont un peu plus béants et dangereux du côté d’Oracle, qui, quelques jours auparavant, a publié une nouvelle version de Java 7 ainsi que de Java 6. Certaines des failles colmatées par ces rustines étaient activement exploitées (notamment la CVE-2012-4681).