Si, en France, les avis d’experts TIC nous viennent de l’Hémicycle (utilisez Wep, installez un firewall OpenOffice…), aux Etats-Unis, ce sont les Barbouzes qui jouent les gourous de la sécurité (informatique) des foyers. La NSA vient de publier une plaquette de 8 pages, très complète, dressant la liste des points les plus vulnérables d’un réseau familial, le tout accompagné de conseils techniques destinés à contourner ces cyber-chausse-trappes. Tout y passe, de la politique des crédences à l’utilisation de WPA2, du changement de DNS par défaut au stockage des données personnelles et l’usage du chiffrement SSL. De tous les conseils prodigués, le plus étonnant pourrait être celui recommandant de « passer à Windows 7 »… délaisser les vieux noyaux au profit de systèmes plus modernes, voilà qui va faire plaisir au marketing de Microsoft, qui ne pouvait rêver meilleur VRP que la plus distinguée des agences-à -trois-lettres.
Reste que bon nombre de ces recommandations risque de légèrement passer au-dessus des neurones de certains. Le « grand public » est vaste et d’un niveau de technoculture inégal. En effet, conseiller d’établir une base d’adresses MAC (ni le sandwich, ni l’ordinateur, mais l’identifiant matériel) pour mieux filtrer les accès sans fil, activer DEP, désactiver le scripting des navigateurs ou adopter les versions « sandboxées » de ces mêmes navigateurs ou des lecteurs de fichiers PDF, le tout sans explication « pas à pas » et très peu de liens pointant vers une page de mise en pratique, voilà qui risque de noyer l’homo-informaticus non technique… voire même certains experts et ex-experts de l’Hémicycle.
A conserver et à traduire tout de même, car il s’agit-là d’une sorte de « mini norme BS7799 » pour Monsieur Toulemonde, en espérant un jour qu’un équivalent de cette publication voit le jour en nos contrées. Avec le logo de la DCRI ?
Patch Tuesday en juin, si t’en loupes un, çà fera du foin (proverbe de RSSI). 10 rustines, 34 vulnérabilités, 6 exploitations à distance et 3 élévations de privilèges. Le dernier mardi des rustines signé Microsoft a un côté Omaha Beach assez spectaculaire. Sans faire de sensationnalisme, l’on ne peut qu’inciter les administrateurs à déployer dans l’urgence MS10-032, MS10-033, MS10-034 et MS10-035. MS10-033, une vulnérabilité dans les mécanismes de décompression d’un fichier multimédia, a tout pour fabriquer une belle attaque par MJpeg forgé… un grand classique. MS10-035, l’inévitable « cumulatif I.E. » du mois, bouche à lui seul 6 bulletins CVE, dont certains ouvrent la porte à une exploitation à distance et dont un autre a valu à son inventeur une place d’honneur et une prime de 10 000 $au concours P0wn2Kill de CanSecWest. MS10-038, pour sa part, ne corrige pas une faille Excel… mais 14 (dont une spécifique à l’édition Mac). Notons que la MS10-032 (Windows kernel), est considérée par certains spécialistes -dont eEye- comme étant « critique ». L’avis du Sans est bien plus pessimiste, puisque 9 des bulletins sur 10 sont qualifiés de « critique », soit au niveau des serveurs, soit dans le cadre de l’utilisation des stations de travail. Aucun défaut ne porte pourtant l’estampille « patch now » qui caractérise généralement une faille exploitée «dans la nature ».
Une rustine pouvant en cacher une autre, signalons qu’à l’occasion du Tech’Ed 2010 qui se déroule actuellement, l’on annonce la disponibilité fin juillet de la pré-version des SP1 Windows 2008 R2, de Windows 7 et d’Exchange Server 2010. Le SP de 2008 Server intègrera notamment Remote FX, intégration des technologies Calista dans la gamme « remote desktop » de Microsoft. L’on attend également une version d’HyperV disposant d’une meilleur gestion dynamique de la mémoire. Il ne faudra pas trop des vacances pour effectuer les tests de régression de ces « super bouchons », surtout sur les architectures serveur
Calme plat chez Apple qui, consciencieusement, suit à la lettre l’école Microsoft et diffuse à sa sauce le brouet du « patch cumulatif du navigateur web ». Mais pour se distinguer de son concurrent, le constructeur-éditeur-prestataire de services fait des efforts et colmate d’un coup 48 trous de sécurité. La mise à jour Safari 5.0 concerne aussi bien les utilisateurs de plateformes OS X que Windows.
Chez Adobe, cela fait plusieurs jours qu’une exploitation « dans la nature » s’attaque à une faille de Flash Player. F-Secure en décrit rapidement le principe, et l’éditeur assure qu’il travaille encore sur la rustine et qu’a priori, la préversion de la 10.1 ne serait pas malade de cette peste. A noter également la détection, toujours par F-Secure, d’un « dropper » exploitant un exploit PDF.
lun | mar | mer | jeu | ven | sam | dim |
---|---|---|---|---|---|---|
« Déc | ||||||
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 | 31 |