Spécial sécurité : semaine des patchs chez Adobe et Apple, et retour sur le hack de RSA

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur les récents trous comblés par Adobe et Apple dans leurs logiciels. Surtout nos confrères s'intéressent au hack dont à été victime RSA, hack soigneusement minimisé par le patron de la firme, Art Coviello dans sa lettre "ouverte". Une semaine après l'attaque, on en sait toujours aussi peu sur l'étendue réelle de l'attaque dont a été victime la firme et sur ses conséquences.

Sommaire
1 - Trous frais, trous chauds, trous là, et là itou
2 - RSA piraté : une fin du monde médiatique
3 - Le second effet RSA

1 - Trous frais, trous chauds, trous là, et là itou
Cette semaine est placée sous le signe du scorpion ascendant curare pour Adobe et Apple, les erreurs de l’un n’étant pas sans conséquence pour l’autre.

Sept jours à peine après une chaude alerte à la faille Flash (exploitée via des feuilles Excel intégrant une applet Flash et expédiées en pièces attachées), Adobe publiait, 4 jours plus tard, une version revue et corrigée de son logiciel. Réaction suivie par une grande partie des éditeurs ayant intégré ce code et qui ont émis à leur tour des correctifs. Et parmi eux Apple, qui en profite pour émettre son lot de rustines trimestriel, et pas l’un des moindres. Au total, 7 mises à jour cumulant 250 CVE. Certains bouchons de sécurité comptent 62 CVE. Même les plus charnus des « cumulatifs I.E. » de Microsoft n’ont jamais atteint un tel niveau. Certes, très souvent, un même CVE se retrouve dans plusieurs rustines, l’une pour IOS, l’autre pour OS X par exemple. Mais, comme le fait remarquer François Paget sur le blog de l’Avert, cela représente tout de même 123 failles uniques pour une période de 3 mois. Un score plus ou moins comparable à celui d’un Microsoft ou de tout autre éditeur de noyau. Reste que, si l’on se concentre sur le degré de dangerosité des failles, il apparaît qu’à période équivalente, Apple colmatait 123 trous « critiques » contre 8 « critiques » et 20 importantes pour Microsoft. Le niveau de criticité est issu des classifications données par Vupen, Secunia et Microsoft. La dangerosité d’une faille et ses méthodes d’évaluation sont des points de rhétorique souvent discutés par les experts du milieu.

Pour en revenir à l’attaque « Flash exquis, feuille Excel et fichier explosif », l’on peut se pencher sur le papier édité par Broderick sur le blog de F-Secure. Du côté de Microsoft, on attend toujours une solution « FixIt » qui pourrait s’intituler « éliminez-moi donc ces fonctions totalement inutiles ». A moins que l’on parvienne à expliquer l’absolue nécessité d’une intégration Flash dans une feuille de calcul.

2 - RSA piraté : une fin du monde médiatique
Art Coviello, l’espace d’une lettre ouverte, rédige lui-même le bulletin d’alerte : nos serveurs ont été piratés, et une partie des informations « spécifiquement en rapport avec les produits d’authentification à double facteur Secure ID ». Et de préciser que tel quel, ce vol ne compromet pas directement les usagers mais pourrait être utilisé dans le cadre d’une attaque d’une plus grande envergure. En attendant, les mesures de protection des systèmes d’information de l’entreprise ont été renforcés etc.

Une telle opération ne peut être que le fruit d’une attaque hautement sophistiquée… une de ces fameuses « APT » ; ou Advanced Persistent Threat. RSA ne peut succomber sous les coups d’un petit intrus de quartier. Et puis, comme le fait remarquer un billet de Securosis, APT, ça fait tout de suite penser à la Chine, ce qui permet de jouer les victimes se concentrant sur le pansement de ses plaies et se dédouanant de toute responsabilité. Une concentration qui évite à EMC d’être plus explicite sur la nature de l’attaque, l’étendue, le risque exact encouru pour les utilisateurs de tokens… le moins que l’on puisse dire, c’est qu’Art Coviello a rédigé une lettre « ouverte » aussi fermée et informative qu’un discours d’homme politique en pleine période électorale.

Ce qui ne semble pas du tout déranger une grande partie des médias anglophones, BizSmart joue à Couper-Coller, Network World reste dans le flou, SearchSecurity se garde de tout jugement, et le Sans publie une note journalière quasi-télégraphique comme cela est d’usage. Et ainsi de suite. En revanche, Richard Bejtlich reprend en partie l’argument de Securosis : le terme APT masque un peu trop ce qui s’est réellement passé sur les ordinateurs de RSA. En revanche, l’ancien « gourou sécu » de l’USAF reconnaît qu’il y a là effectivement des indices prouvant que l’attaque pourrait bien relever d’une véritable APT : parvenir à dérober des technologies d’authentification afin de pénétrer plus facilement sur certains serveurs et ainsi avoir accès à la « propriété intellectuelle » de la victime n’est pas une tactique nouvelle (Stuxnet notamment, dans un tout autre registre, utilise aussi des certificats dérobés). Espérons que nous en apprendrons un peu plus lorsque de l’eau aura coulé sous les ponts, conclut Beijtlich. Il n’est pas le seul à attendre un complément d’information.

3 - Le second effet RSA
Passé un léger temps de réflexion, les experts sécurité qui réfléchissent avant d’écrire émettent enfin leurs avis. Cédric Blancher ouvre le bal, en déclarant un « Kerckhoffs #FAIL ? ». Et d’expliquer en termes simples (ou presque) comment fonctionne un token RSA et comment le secret entourant l’intégration de ce mécanisme de sécurité ne devrait pas être un secret susceptible d’amoindrir la fiabilité du système s’il venait à être éventé. Les amateurs de littérature sur le chiffrement peuvent consulter une version Française du principe ici discuté sur le site de Fabien Petitcolas, Kerckhoffs Fail également pour Jeff Jarmoc Dell Security, ex-SecureWorks, ex-Luhrq. Là également, une approche méthodique. Kerckhoffs Fail encore, avec un véritable cours dispensé par l’un des plus prestigieux professeurs en la matière, Steve Bellovin. Article assez didactique pour que même un journaliste ait l’impression de comprendre de quoi il ressort. Plus de passion et de rancœur pour Steve Gibson, qui critique également ce mauvais usage du secret autour de l’implémentation du mécanisme. Un Gibson qui, au passage, écorne lui aussi la culture du secret médiatique et de la langue de bois cultivée par Art Coviello. « It would have been difficult for any bureaucrat to be less clear about what they know ». Propos nettement plus tranchés que ceux de Jeff Jarmoc « Due to RSA's public nondisclosure of specific details regarding the nature of the compromise, the impact of this breach on their customers remains largely unknown ». Mais dans les deux cas, l’assourdissant silence de RSA est condamné. Bellovin se montre encore plus retors. Une faille d’intégration ? Allons donc… je suis persuadé qu’une entreprise aussi sérieuse que RSA a su éviter des écueils aussi évidents pour de vrais professionnels tels qu’eux, dit-il en substance. En revanche, le « back office » de RSA s’est montré faillible. C’est dans la gestion des comptes clients, des clefs, des renouvellements d’abonnement qu’il y a eu fuite, et c’est là qu’il risque d’y avoir un simple vol direct de clefs ou l’injection de fausses données. La crypto peut très bien être solide, mais qu’en est-il du logiciel qui l’administre ?

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)