Spécial sécurité : quel téléphone avec une géolocalisation chromée au fond de la cour ?

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur un bulletin de sécurité de Microsoft, qui conseille sur les failles des autres éditeurs, sur la publication de précieuses fiches pratiques par le Cert-SG, avant de s’arrêter sur les failles Mozilla. Ils donnent ensuite un coup de projecteur sur les méthodes de géolocalisation de Windows Phone, qui pourraient bien emprunter à Apple ou Android en matière de flicage. Ils terminent enfin sur une vaste opération de décontamination à distance duFBI, sur les PC infectés par le botnet Coreflood.

Sommaire
1 - Microsoft cherche des « vulns » chez les autres
2 - Le Cert-SG offre ses secrets de cuisine
3 - Mozilla : en avril met les bugs sur le grill
4 - Quel téléphone avec une géolocalisation chromée au fond de la cour ?
5 - Ping ? Bonjour, c’est la police

1 - Microsoft cherche des « vulns » chez les autres
Il est passé pratiquement inaperçu, ce double bulletin portant une immatriculation au goût étrange venu d’ailleurs : MSVR11-001 et MSVR11-002. MSVR pour Microsoft Vulnerability Research Advisory, la méthode de numérotation laissant entendre que pour ce coup d’essais, le « Microsoft Security Research Team » ne compte pas dépasser les 999 alertes exogènes.

Il n’est certainement pas question pour Microsoft d’accompagner chacun de ces bulletins d’un correctif adéquat : l’éditeur concerné devra y mettre bon ordre. L’histoire ne dit pas en revanche si puisque le premier double trou publié concerne la sandbox du navigateur de Google, si l’un des membres du MSRC a touché la L33t prime... et surtout si la découverte d’une faille endogène Windows ou exogène mais susceptible de menacer directement le noyau Microsoft pourrait, un jour ou l’autre, faire l’objet de la part de l’éditeur d’un « petit effort financier destiné à récompenser l’inventeur du défaut ». Une évolution, peut-on espérer, pourrait en cacher une autre …

2 - Le Cert-SG offre ses secrets de cuisine
Une « fiche pratique » par semaine durant les 10 prochaines semaines : le Cert Société Générale a dû, au fil du temps, se concocter une série de fiches d’intervention synthétiques résumant la méthodologie et les « bonnes pratiques » en cas de menace ou de sinistre touchant la sphère informatique. Baptisés IRM (pour Incident Response Methodology), ces mémentos sont désormais accessibles au public en général, à tout responsable sécurité en particulier. Le premier de la série traite des risques d’infection par un virus-ver. Les procédures suivantes seront systématiquement listées et accessibles depuis la page Publications du Cert-SG.

3 - Mozilla : en avril met les bugs sur le grill
Le « jeudi du correctif » a été l’occasion pour la fondation Mozilla d’émettre la première série de rustines destinées au tout récent navigateur Firefox 4. Les alertes et leurs bouchons visent ce mois 20 trous, dont 17 jugés critiques par l’éditeur. Pour le seul Firefox 4, 7 failles critiques et un défaut mineur ont été corrigés. La version courante du navigateur porte désormais l’immatriculation 4.0.1.

4 - Quel téléphone avec une géolocalisation chromée au fond de la cour ?
Après Apple, et son iPhone inquisiteur, après Android avec son logiciel-Torquemada qui renvoie les Google-car au rang des technologies cromagnonesques, voici le flicage Microsoft (cela faisait longtemps). Scoop signé C-Net News. Comme la géolocalisation est propre à Windows Phone 7, le système d’exploitation, la FirmeDeRedmond entraîne dans sa chute Dell, HTC, LG, Nokia et Samsung. La question existentielle du mobilonaute moderne n’est donc plus « qui dois-je éviter pour ne pas me faire tracer », mais « quel acteur du monde des smartphones n’installe pas de mouchard dans ses appareils ? » Chaque jour, le choix se réduit comme peau de chagrin, ce qui fait se demander aux chercheurs du Sans « n’est-il déjà pas trop tard ? »

Nos confrères de C-Net avancent toutefois une excuse, quelque peu bancale, qui justifierait cette habitude bigbrotheriste : il est nécessaire que chaque appareil puisse émettre à périodes régulières les coordonnées exactes (ainsi qu’un identifiant unique) pour anticiper les informations à fournir demandées par des applications « contextuelles ». Afin de fournir à l’abonné, par exemple, une liste exhaustive des restaurants et édifices publiques situés à proximité de l’appareil. Pourtant, de telles applications, relativement économes en mémoire d’ailleurs, existe depuis la genèse de Windows CE (Microsoft Street par exemple). Des programmes qui, il y a plus de 15 ans, disposaient déjà d’impressionnantes bases de données, dont celles du Zagat Survey (les Gault et Millau d’Outre Atlantique). Une mise à jour périodique et générale, totalement anonyme, permettait à ces logiciels « non communiquant » et initialement non prévus pour tourner sur des terminaux 3G, d’offrir lesdits services hors ligne, et ceci, rappelons-le, sur des appareils dont l’espace mémoire se comptait parfois en kilo-octets… et non en dizaines ou centaines de giga-octets. D’autres explications plausibles ?

5 - Ping ? Bonjour, c’est la police
Le FBI se lancera, dans les semaines à venir, à une vaste opération de désinfection à distance visant les machines touchées par le botnet Coreflood. Pour peu bien sûr que les systèmes en question aient préalablement été identifiés par le Ministère américain de la Justice et que les victimes aient donné leur accord, nous apprend Network World. Cette action, très discutée dans les milieux de la sécurité, fait suite à la récente prise de contrôle par la police de cinq C&C pilotant le botnet Coreflood. Aux Etats-Unis, toute action des serv ices Fédéraux cherchant à concurrencer la libre entreprise ou grignoter les prérogatives du secteur privé est considérée comme un interventionnisme insupportable et une dérive cryptocommuniste. Des policiers qui se transforment en service antivirus cloudifié… comment diantre vont réagir les Symantec, McAfee et proches cousins d’Amérique ?

Pour approfondir sur Menaces, Ransomwares, DDoS