Le « mardi des rustines » d’août 2015 restera marqué dans les annales. Pour son foisonnement de correctifs tout d’abord, puisqu’Adobe bouche la bagatelle de 34 trous, Microsoft publie 14 correctifs lourds pour un total de 56 alertes CVE. Oracle fait le « buzz de la semaine » avec une bourde monumentale commise par Mary Ann Davidson, la CSO du groupe.
Chez Microsoft, ce mois d’août est une première à triple titre.
– C’est le tout premier « patch Tuesday » pour Windows 10, et 40 % des 56 failles colmatées proviennent de ce nouveau noyau
– C’est le premier lot de correctifs pour Edge, le successeur d’Internet Explorer à qui il ne manque que la parole (et pas mal de fonctionnalités), mais qui bénéficie de la même stratégie de bouchons cumulatifs : MS15-091, riche de 4 trous, dont 3 critiques
– C’est surtout la première régression W10… ce qui laisse présager des réveils pénibles lorsque sera mis en place la politique du « non stop patching »
Cette régression fait l’objet d’un court billet sur le blog de Graham Clueley. Après application du pansement logiciel, le système redémarre sans cesse. Situation dramatique dans laquelle peu de « non informaticiens » parviennent à s’en sortir. La liste des fichiers concernés par la mise à jour cumulative est tellement impressionnante qu’il est difficile de déterminer le véritable coupable.
Internet Explorer a droit également à son correctif d’été, une faille non critique WebDAV – CVE-2015-2476. Office, pour sa part, est frappé par une faille qualifiée de critique ouvrant la voie à des attaques distantes. Au sein de ce bouchon, l’alerte CVE-2015-1642 est actuellement exploitée « dans la nature ». Egalement exploité, le trou CVE-2015-1769 dans le gestionnaire de « montage » de ressources ( correctif MS15-085 )
A côté de ce déferlement, les 34 trous éliminés dans la nouvelle édition de Flash Player font figure de parents pauvres. Ce n’est toutefois pas une raisons pour ne pas se demander si cet habitué des patchs Tuesday est vraiment indispensable.
Mais le plus beau correctif du trimestre, et probablement de l’année toute entière, c’est Oracle qui en est la source. Le lot est important : CVE-2015-3107, CVE-2015-5124, CVE-2015-5125, CVE-2015-5127, CVE-2015-5128, CVE-2015-5129, CVE-2015-5130, CVE-2015-5131, CVE-2015-5132, CVE-2015-5133, CVE-2015-5134, CVE-2015-5539, CVE-2015-5540, CVE-2015-5541, CVE-2015-5544, CVE-2015-5545, CVE-2015-5546, CVE-2015-5547, CVE-2015-5548, CVE-2015-5549, CVE-2015-5550, CVE-2015-5551, CVE-2015-5552, CVE-2015-5553, CVE-2015-5554, CVE-2015-5555, CVE-2015-5556, CVE-2015-5557, CVE-2015-5558, CVE-2015-5559, CVE-2015-5560, CVE-2015-5561, CVE-2015-5562 and CVE-2015-5563. (une telle liste est toujours impressionnante et ne compte pourtant que 34 trous répertoriés).
Mais il y a pire que les 34 trous d’Oracle : la réaction de la CSO du groupe qui, dans un billet de blog, conspue les spécialistes de la recherche de faille. « Ce sont des spécialistes du FUD, écrit-elle en substance, dont le travail quasiment inutile ne représente que 3% des failles découvertes, la majorité d’entre elles relevant du travail de notre response team ». C’est probablement pour cette raison d’ailleurs qu’Oracle ne possède pas, contrairement à la majorité des autres éditeurs, de politique de prime au bug. « Bug bounty is the new boy’s band » lâche-t-elle au détour d’une phrase.
Et de continuer « Cette chasse au bug n’est qu’une forme de reverse engineering déguisée, une atteinte manifeste à la propriété intellectuelle d’Oracle ».
Ce genre de discours, tellement en vogue dans les années 90, a poussé Oracle à bâillonner toute recherche indépendante durant des années. La sécurité par la menace juridique, Alexander Kornbrust, le patron de Red Database Security ou David Litchfield en ont fait les frais par le passé, et l’on croyait cette époque révolue.
Le billet de Mary Ann Davidson est-il un pas de clerc ou une tentative mûrement réfléchie de la part du groupe pour tester les réactions de la communauté ? Test concluant, car la réaction en question a été relativement vive. Même nos confrères de Hackaday, pourtant plus versés dans le hacking que dans la vie quotidienne du landerneau Infosec, en ont tiré un article indigné. Le poulet provocateur a, depuis, été retiré, mais peut toujours être récupéré dans la cache Google. Les RSSI terrassés par les chaleurs aoûtiennes et les épreuves du déploiement peuvent se détendre en parcourant les messages hashtagués #oraclefanfic.