Spécial sécurité : vivement le premier second mardi 2012

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, nous alertent sur deux failles : une dans ASP.NET référencée peu critique et une autre dans le protocole de configuration automatique des routeurs WiFi WPS. Ils attirent ensuite notre attention sur une méthode d’identification biométrique inhabituelle et terminent en s’amusant sur les téléchargements illégaux attribués au ministère de la Culture.

Sommaire
1 - Vivement le premier second mardi 2012
2 - Réseau : WPS vulnérable
3 - Tendance : Biométrie du postérieur
4 - Hadopi : le prix de la délation

1 - Vivement le premier second mardi 2012
Encore un « zero day » Microsoft, affectant cette fois asp.net . L’attaquant pourrait provoquer un déni de service en expédiant une requête http POST forgée. Les « facteurs de mitigation » de Microsoft signalent que IIS n’est pas actif par défaut, ce qui rend cette attaque moins critique, puisque ne visant pas des configurations par défaut. Secunia ne s’émeut quasiment pas, et donne à cette alerte le grade de « less critical »... C’est dire.

Rappelons qu’une faille légèrement plus critique avait été signalée en fin de semaine passée.

2 - Réseau : WPS vulnérable
Le protocole de configuration automatique des routeurs WiFi WPS, Wifi Protected Setup (un mécanisme essentiellement grand public censé libérer l’usager des affres du paramétrage WPA), a été hacké par le chercheur Stephan. L’alerte, la notification faite au Cert/CC, l’article explicatif et enfin le code de l’attaque ont été publiés.

En attendant l’émission d’une avalanche de correctifs pour les mille et un bios de routeurs (voir une refonte de WPS), il semble sage d’utiliser la console d’administration du routeur sans-fil.

3 - Tendance : Biométrie du postérieur
Bruce Schneier s’en amuse, le « Reg » ironise, le site PhysOrg en parle très sérieusement, de cette nouvelle technique d’identification biométrique par mesure de l’empreinte du postérieur. L’invention est japonaise, et intéresse grandement les constructeurs de l’industrie automobile. L’article précise que cette méthode serait considérée par le public comme étant l’une des moins stressantes. Après la reconnaissance d’empreinte digitale (mon doigt), d’iris (mon œil), voici venir le temps de la posture du postérieur (censuré)

Notre rigueur et sens de l’équité scientifique nous pousse à rappeler que le fondement de l’usage du fondement fut, à une époque, un moyen économique et écologique destiné à remplacer l’air conditionné, accessoire polluant et énergivore équipant bon nombre d’automobiles. La preuve est indiscutablement apportée par Mademoiselle Jeanne Aubert. C’est probablement en hommage à cette charmante inventrice du Moulin Rouge que Pierre Dac répliquait « Par-là, je n’entends rien ».

4 - Hadopi : le prix de la délation
Deux faits divers amusants viennent égailler le calendrier cybersécuritaire du Gouvernement. Le premier nous est offert une fois de plus par le blog Nikopik, et nous apprend que le Ministère de la Culture serait coupable de téléchargement illégal si l’on en croit les relevés du site russe You Have Downloaded. Tout semble prouver, explique l’auteur du billet, que des contenus ont été effectivement récupérés par une station de travail se situant dans un pool DHCP appartenant au dit Ministère. La source technique assurant la recevabilité de la preuve (autrement dit l’acte de délation) n’étant pas Française et dûment mandatée par le Ministère, il est peu probable que la Rue du Texel envisage de poursuivre les fonctionnaires et autres grands commis de l’Etat pour « négligence caractérisée ».

Le même jour, cette même Hadopi publiait sur son site une alerte signalant une série de tentatives d’escroqueries commises par de prétendus gendarmes. Les pirates utilisent une technique de « drive by download », injectent un code de type « randsomware » bloquant l’ordinateur de la victime, et affichent au passage un message intimant aux internautes de régler une amende par virement « en ligne ». Motif d’infraction invoqué : téléchargement illégal de contenus vidéo ou de fichiers pédopornographiques. L’association est intéressante.

La Gendarmerie Nationale (la vraie) fournit quelques liens permettant de désinfecter les machines frappées par ce virus bloquant et rappelle que si amende il y a, elle n’est jamais à verser par le biais d’un mécanisme de paiement en ligne, et qu’elle n’est collecté que par un seul et unique organisme, le Trésor Public.

Nos confrères de France Info indiquaient que plusieurs personnes, sous le coup de l’affolement, avaient accepté de payer.

Pour approfondir sur Menaces, Ransomwares, DDoS