janvier 18th, 2013

La presse Française ( tels nos confrères de Libération ) bruisse de la décision de la Cour d’Appel de Paris de poursuivre l’enquête concernant les contrats d’Amesys, alors filiale de Bull, passés avec le gouvernement Kadhafi. L’enquête en question avait débuté en 2011 suite à la plainte déposée à la fois par deux organisations, la Fédération internationale des droits de l’homme (FIDH) et la Ligue des droits de l’homme (LDH).

L’affaire en question porte, rappelons-le, sur la vente d’équipements de flicage des réseaux télécom nationaux, et avait été dévoilée par nos confrères de Reflet.info. Selon l’auteur de l’article, Olivier Laurelli, tant le gouvernement que l’ancienne maison mère de l’équipementier sont frappés d’Amnésys clinique, et semblent avoir, au moment des faits, totalement ignoré l’usage que la police secrète Libyenne allait faire de leurs appareils. Les explications les plus improbables tentant de justifier la vente de ce matériel sont avancées : invocation de la lutte contre les pédophiles et terroristes, totale ignorance des interlocuteurs commerciaux Libyens quand bien même leurs noms figureraient dans la liste des personnes accusées de terrorisme en France et également dans celle des personnes recherchées pour « actes de torture » par la Cour Pénale Internationale, invocation du fait que rien n’était ni interdit, ni illégal dans ces contrats puisque le gouvernement Français d’alors ne s’y était pas opposé….

Oracle vient de publier sa traditionnelle CPU (Critical Patch Update) de début d’année qui compte cette fois 86 corrections importantes. S’il est vain de les commenter toutes, on peut cependant mettre en exergue CVE-2012-3220 (qui touche Oracle Database Server) dont le « taux de risque » atteint 9.0 sur une échelle de 1 à 10. Ce score est atteint sur plateforme Windows. Un exploit existe, qui nécessite toutefois une authentification.

Deux autres failles menacent Oracle Mobile Database server avec un indice de 10 (CVE-2013-0361 et CVE-2013-0366), trois autres avec un indice un peu inférieur à 8 (CVE-2013-0362, CVE-2013-0363 et CVE-2013-0364). Toutes sont exploitables à distance sans authentification.

Kaspersky orchestre actuellement une campagne de presse fort bien faite tendant à expliquer que le monde en général et les élites politiques agissantes en particulier est espionné depuis plus de 5 ans par le biais d’un spyware baptisé Octobre Rouge. Le communiqué de presse est même accompagné d’une éloquente cartographie rouge vif montrant l’étendue des ravages de ce botnet sanguinaire : républiques de l’ex-URSS, pays du Golf et sous-continent Indien, USA (le Canada est épargné), ensemble des pays européens, Brésil, Australie… Inutile de préciser que l’annonce a fortement secoué le landerneau médiatico-sécuritaire qui résonne souvent plus fort qu’il ne raisonne réellement.

Pourtant, de l’avis même des découvreurs de catastrophe, ledit vecteur d’espionnage aurait reposé au fil du temps sur d’antiques failles touchant Microsoft Office (CVE-2012-015, .CVE-2010-3333, CVE-2009-3129…) ainsi que certains défauts Java, des trous colmatés depuis belle lurette… et pas le moindre ZDE. L’on sait combien sont pauvres et démunies nos administrations et combien la lenteur des rouages étatiques retarde le déploiement de patchs divers, mais on peut douter qu’Octobre Rouge soit parvenu à voler les codes secrets des plans du PC de Taverny avec de tels moyens. Il n’en demeure pas moins que pour les entreprises non protégées par les archers de l’Anssi, surtout celles de petite envergure n’ayant pas nécessairement les moyens de s’offrir les services d’auditeurs spécialisés, il peut être conseillé d’utiliser certains outils d’inventaire de failles tels que MBSA de Microsoft ou PSI de Secunia.

Guerre d’infos, guerre d’intox : de l’époque de la guerre froide à la révolution Internet, un document de l’Army War College US comptant plus de 70 pages et publié en 1998 aborde tous les aspects de l’Infowar. A récupérer sur Cryptome.