octobre 2nd, 2012

Oh, la perfide (et troublante) remarque rédigée sur le blog d’Eric Romang. L’auteur constate qu’il y aurait une étonnante relation entre la découverte de certaines failles exploitables par quelques chercheurs de TippingPoint et la naissance de quelques malwares. Le lien est d’autant plus facile à faire que chaque faille est revendiquée et immatriculée par l’index CVE tenu par le NIST.
Or, fait remarquer Romang, TippingPoint déclare officiellement « vendre de l’exploit » aux « organisations » (généralement gouvernementales). En outre, il faut garder en mémoire que l’entreprise est depuis le début des années 2000, un acteur connu du monde des IDS, avec une compétence telle que 3Com s’en est porté acquéreur… un 3Com qui, en 2005, a été absorbé par Hewlett Packard. En d’autres termes, une faille découverte par TippingPoint est très rapidement intégrée et « poussée » dans les bases de connaissance des IDS HP, très souvent avant même que l’éditeur concerné n’ait lui-même écrit les premières lignes de sa rustine logicielle. Et notre blogueur sécurité de préciser au passage, à propos de la faille CVE-2012-4969 (celle-là même qui est corrigée par la rustine « out of band » MS12-63) que celle-ci était connue du MSRC Microsoft depuis au moins un mois.

Ce qui fait se poser à l’auteur un certain nombre de questions : une fuite au sein du ZDI ? Une erreur de crédit en paternité de la part de Microsoft ? Un « reverse » des correctifs poussés sur le réseau de mise à jour des IDS Hewlett Packard ? Une fuite chez un client ayant acheté cet exploit auprès du ZDI ?

A ceci, David Maynor rappelle qu’il avait, lors de la BlackHat 2007, publié un article intitulé A simpler way of finding 0day . Papier qui explique combien il peut être simple de se lancer dans le « reverse engineering » des correctifs émis à destination des IPS/IDS et ainsi devenir le Number One des auteurs de Zero Day.

Vieux débat, vieilles craintes et problème sans solution réelle. Il y a toujours eu, depuis l’invention du gourdin et du casse-tête en silex, une course au savoir, une course à la contre-mesure. Course qui nous apprend que l’évolution des risques n’est pas une succession de menaces (il y a eu les virus boot, puis les virus furtifs, puis les botnets…) mais une accumulation de menaces (il y a les virus boot ET les virus furtifs ET les botnets…) qui étend progressivement le front défensif des systèmes d’information. C’est d’ailleurs la raison pour laquelle il est bon de rappeler que personne ne peut espérer se protéger en respectant de prétendus « basics » que l’on aurait oublié par hasard avec le temps. Les stratégies de défense des SI deviennent de plus en plus complexes, de plus en plus coûteuses… et surtout de plus en plus sujettes à des compromis.

Reverse des rustines virtuelles expédiées vers les outils de défense périmétrique ou fuite d’information, peu importe. L’affaire du CVE-2012-4969 et la remarque d’Eric Romang nous rappellent que la fenêtre de vulnérabilité s’ouvre dès qu’un chercheur découvre une faille et y associe un exploit (et non pas en date de l’alerte de l’éditeur), et ce, quelles que soient les mesures de conservation du secret qui protègent cette découverte. C’est là une donnée importante dans l’appréhension des analyses de risque et dans l’établissement de métriques sérieuses, et qui nécessite à la fois une véritable transparence et une grande rapidité des outils de traitement d’informations relatives aux menaces.