Spécial sécurité : Bain de code et explications d’experts

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur la faille RDP en pointant vers des experts avisés, puis s ‘interrogent sur l’affaire MegaUpload et du devenir des serveurs et de leur contenu du service. L’administration US doit-elle en assurer la maintenance ? Enfin ils terminent en attirant notre attention sur une étude du Ponemon Intitute, pour qui les pertes de données sont moins l’œuvre d’hacktivistes que de négligence d’employés.

Sommaire
1 - 2011 : premier ZDE Microsoft
2 - Megaupload : 28 petaoctets de dilemmes cornéliens
3 - Pas les Anonymous, les « négligents de l’intérieur » !

1 - Bain de code et explications d’experts
Kostya Korchinsky, au fil d’un billet toujours aussi brillant, explique ce qu’est la faille MS12-022, alias « faille RDP du siècle ». Il en profite au passage pour rappeler le travail de Luigi Auriemma sur le sujet. « Il s’est écrit beaucoup de bêtises alarmistes à propos de cette vulnérabilité » écrit en substance l’expert de Miami. « S12-020 ne me semble pas super exploitable à distance. Localement c'est une autre histoire... ». Ouf. De toute manière, les alertes rouge-vif du Sans et de Microsoft ont probablement incité le ban et l’arrière-ban des administrateurs à déployer cette rustine d’urgence. Et comme les psychoses n’effacent plus les données ou ne bloquent plus les systèmes depuis le SP3 de NT3.5, on peut donc en conclure qu’il y a eu plus de peur que de mal.

« Mais en quoi qu’il cause, ce virus ? » La question taraudait depuis un certain temps l’équipe de recherche de Kaspersky en général et Igor Soumenkov. Des choses pas banales faisaient que le désassemblage du code du sinistre Duqu ne correspondait pas franchement à ce qu’aurait fourni un compilateur connu. Le mystère est « enfin » résolu (il faut avouer que 3 personnes au moins n’en dormaient plus entre les rives de Brest et les bords de la Léna). On y trouve donc du C Microsoft compilé avec des options de compilations spéciales, étendu de OO C et de C&C… C clair, C pas des choses qui peuvent s’inventer.

2 - Megaupload : 28 petaoctets de dilemmes cornéliens
MegaUpload une fois fermé, que faire des données (entre 25 et 28 petaoctets) qui sont contenues sur ses disques ? Et la question est loin d’être rhétorique, explique Jeremy Kirk, d’IDG News Service. Car Megaupload n’est plus une entité commerciale. Plus un cent ne rentre dans ses caisses depuis que le FBI a placé l’entreprise et ses installations sous séquestres. Chaque jour, l’entretien, l’alimentation et les frais de location d’un peu plus d’un millier de serveurs coûte 9 000 $.

Les avocats de la partie plaignante, MPAA et consorts, on déjà prélevé les preuves de « culpabilité » qui les intéressaient mais aimeraient que les preuves originales soient conservées en l’état. Le contenu général des données stockées pourrait également servir à l’équipe de Megaupload pour sa défense. Sans parler de l’obligation morale du prestataire de services de rendre à ses clients le contenu des données stockées dans le nuage, certains clients estimant que leurs partages de fichiers étaient légitimes. Avis que partage l’Electronic Frontier Foundation. Dans une telle situation, l’ensemble des parties en présence devraient assumer les frais du maintien. Des frais qui, explique notre confrère, devraient s’accroître avec l’arrivée de nouvelles dépenses, notamment un coûteux déménagement de machines en raison d’une expiration de bail immobilier. La cour de justice US, de son côté, ne l’entend pas de cette oreille. Elle dispose d’assez d’éléments pour ne pas avoir à conserver les données…

Il est arrivé, par le passé, et dans des circonstances différentes, que les conséquences de jugement de faillite aient fait de l’Etat Fédéral le propriétaire de reliques d’entreprises assez inhabituelles, reliques dont la présence choquait l’aile conservatrice de l’électorat. Ce fut notamment le cas d’une maison close située dans les environs de Las Vegas et dont l’Etat était actionnaire, mise aux enchères sous la pression d’associations de contribuables (la prostitution est légale dans une grande partie du Nevada). Si d’aventure le gouvernement des USA devait subvenir financièrement à l’entretien du plus grand site pirate de l’Amérique du Nord, site dont une grande partie des installations sont d’ailleurs situées au Canada, il y aurait fort à parier que la pilule ne passerait pas auprès des Sénateurs conservateurs.

3 - Pas les Anonymous, les « négligents de l’intérieur » !
Alors que le tout récent « rapport sur la criminalité 2011 » de Verizon accusait les hacktivistes d’être responsables de plus de 58 % des vols d’information durant l’année passée, le Ponemon Intitute, organisme dont le sérieux est classé AAA au palmarès de la confiance statistique, raconte tout le contraire. La faute en revient aux milliers de Gaston Lagaffe, aux « employés négligents » dont les bévues représentent 25% des pertes de données, soit le quart des 5,5 millions de dollars qu’ont coûté de telles pertes l’an passé.

La présence d’un CISO, estime l’étude du Ponemon, peut réduire les pertes de près de 50 % en valeur. Le coût moyen d’une fuite de données personnelle est estimé aux environs de 80 dollars, coût qui ne dépasse pas 41 dollars par enregistrement lorsqu’un CSO parvient à minimise les risques en appliquant une politique de sécurité de groupe.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)