L’Amérique du Nord est en émoi : une histoire galante entre le directeur de la CIA et ancien général d’Armée et sa biographe a poussé le patron de l’espionnage US à la démission. A l’origine, une enquête de routine conduite par le FBI suite à l’envoi d’emails d’insultes anonymes émis depuis un compte Gmail. Les policiers remontent la source avec le concours de Google semble-t-il, puis examinent les différentes comptes consultés par l’adresse IP incriminée. C’est là que les agents découvrent un compte de messagerie qui jamais n’émettait de courriel, mais dont la boîte « brouillons » servait de plaque tournante de consultation de messages entre le patron de la CIA, David Petraeus, et Paula Broadwell, auteur de son panégyrique.
LifeHacker décrit dans les grandes lignes le déroulement de l’enquête et les moyens techniques mis en œuvre par les amants terribles. Moyens techniques et erreurs commises, ce qui donne à nos confrères l’occasion de revenir sur les outils d’anonymisation qui auraient garanti une totale discrétion sur ces amours épistolaires.
Robert Graham se penche également sur le sujet, avec un peu plus de détails techniques, au fil d’un article intitulé « Le hacking de la maîtresse d’un général ». Et d’expliquer pas à pas le processus de déchiffrement du mot de passe pouvant donner accès aux correspondances amoureuses, allant même jusqu’à fournir en clair ledit mot de passe du compte de Paula Broadwell. Le condensat du code d’accès en question pouvait être récupéré dans le fichier d’un précédent hack, la fameuse « fuite d’information des emails Stratford » survenue au tout début de cette année. « Pas d’Anonymous dans cette histoire » estime Graham. « Ce que je fais, n’importe quel script kiddy aurait pu le faire ».
La consultation de courriers envoyés à soi-même ou stockés dans une boîte d’instance est une pratique décrite depuis longtemps dans tous les mauvais romans d’espionnage et utilisée semble-t-il par certains membres de Al Quaida peu de temps avant les évènements du 11 septembre. Il est étrange que le chef d’une administration particulièrement spécialisée dans la conservation des secrets et la découverte de ceux de ses adversaires ait pu commettre une telle erreur. Il est tout aussi étrange, pour nous autres, européens, que les épanchements amoureux d’un militaire puissent avoir sa démission pour conséquence. Si cette pratique puritaine avait eu cours en France, que de têtes couronnées, que de chefs de guerre seraient tombés à la simple évocation des noms de Marie Walewska, de la Du Barry, de la Pompadour, d’Agnès Sorel, de Gabrielle d’Estrée ou de la fameuse « connaissance sortie par la porte de derrière* » de Felix Faure.
NdlC Note de la Correctrice : que les journaux de l’époque surnommèrent très élégamment « la Pompe Funèbre »
A une exception près (la MS12-073 ) tous les bulletins d’alerte de ce mois sont considérés comme critiques par le Sans. Toutes, en revanche, sont « cumulatives », colmatant à chaque fois entre deux et 5 CVE. Aucune, en revanche, n’écope du « patch now ! » rouge vif, signifiant par-là que les risques d’exploitation « dans la nature » sont relativement improbables. Tout au plus, le Sans Institute signale l’existence d’une probable preuve de faisabilité (PoC) concernant précisément la 12-073.
Le détail donné par Microsoft précise que sont touchés notamment I.E. 9 (une faille propre à cette version très précise du navigateur affirme l’éditeur), ainsi que deux points névralgiques du système : MS12-072, une faille « shell », et MS12-075, une faille Noyau. Le plus imposant des bouche-trous concerne l’environnement « dot net » avec 5 CVE, dont 4 d’entre eux caractérisés par un index de possibilité d’exploitation élevé.
Encore quelques failles Java, doublement exploitées notamment par la faille CVE-2010-0188.B, résurgence d’un vieux trou datant de l’an passé. Il est conseillé de vérifier la version active à l’aide de la page adéquate (http://www.java.com/en/download/installed.jsp) et d’utilise le bouton de mise à jour vers la « 7U9 » le cas échéant