Spécial sécurité - Microsoft : 22, v’la les trous

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information se sont intéressés à la découverte d’une faille dans les jeux de grattage outre-Atlantique. Une faille qui selon eux prend sa source dans des raisons sociales. Ils s’arrêtent ensuite sur le prochain Patch Tuesday avant de revenir sur la coupure d’Internet en Egypte, qui peine à retrouver son rythme de croisière.

Sommaire
1 - Compte fantastique amoral, conte statistique anormal
2 - Microsoft : 22, v’la les trous

3 - Internet Egyptien : ça marche, ça marche pas, ça marche….

1 - Compte fantastique amoral, conte statistique anormal
C’est une longue histoire où se mêle suspens et effets narratifs que nous relate Wired, via une reproduction publiée par Lottery Post. L’histoire d’un statisticien canadien qui, par passion et curiosité, découvre une faille dans les gilles de « jeux de grattage ». Une exception dans le domaine ? Pas même, car sa « technique » pour découvrir les tickets gagnants s’avère efficace sur plusieurs cartes émises dans plusieurs villes, tant canadiennes qu’états-uniennes : il suffit de repérer les billets comportant, dans la partie de la grille « découverte », des singletons (numéros uniques, non redondants). Une faille corrigée depuis (de l’autre côté de l’Atlantique) et provoquée par la nécessité pour l’éditeur de tickets de maîtriser les pourcentages de gains. Une obligation qui bannit l’usage d’une distribution des nombres réellement aléatoire. Or, en chiffrement comme en jeux de hasard, une faille (ou une limitation) dans le générateur de nombre aléatoire utilisé pour fabriquer les jeux gagnants ou les clefs de protection compromet fortement l’intégrité du système. Comment un tel défaut n’a-t-il pas été découvert plus tôt ? Parce que, explique l’auteur, la grande majorité des tickets de jeu sont achetés par à peine 20 % de la population, et que ces habitués des jeux de hasard de grande consommation en quête d’espoir de richesse, font partie de la tranche la moins riche et la moins éduquée de la population. Peut-on y voir l’indice d’une sorte de ségrégation des niveaux de sécurité selon les clivages sociaux ? D’autres exemples tendraient à confirmer cette tendance, exemples allant de l’antivol pour automobile aux huisseries et serrures de domiciles, en passant par la disponibilité ou non d’utilitaires tel que Bitlocker sur Windows 7 Entreprise et Intégrale... mais pas sur les éditions « Home ».

Pourquoi est-il intéressant de moins protéger les « pauvres » ? Les réponses sont multiples. Dans bien des cas, ce raisonnement est lié à un problème d’économie d’échelle : modifier la conception d’un billet de loterie défectueux, d’une serrure ou d’un chambranle de mauvaise qualité coûterait plus cher que les pertes qu’occasionnerait ce défaut. C’est sur cette logique que fonctionnent encore bon nombre d’établissements bancaires et compagnies d’assurance lorsqu’une fuite d’information est constatée ou qu’un cambriolage a lieu : le remboursement est toujours moins élevé que l’estimation des atteintes à l’image de marque. L’autre raison est bien plus pernicieuse : si les « pauvres » étaient mieux protégés, il n’y aurait plus de différence technique entre deux victimes potentielles… ce qui inciterait les escrocs, voleurs, cambrioleurs, usurpateurs d’identités et autres membres des petites et grandes truanderies, à déployer des efforts comparables que la victime soit riche ou pauvre. Autant, dans ces conditions, s’attaquer aux plus possédants. La préservation de l’espèce pauvre est une logique largement pratiquée par les compagnies d’assurance, les constructeurs d’automobile etc. Les pauvres sont plus nombreux, ils rapportent plus aux délinquants. Y compris dans le domaine de la sécurité informatique.

2 - Microsoft : 22, v’la les trous
19, 20, 21… 22, pas un de moins. Le bulletin anticipatif du prochain « Patch Tuesday ». Bonne nouvelle, les correctifs relatifs aux alertes 2490606 et 2488013 feront partie du lot. Les failles sont uniformément réparties, et concerne Windows, les suites bureautique, I.E. (un Patch Tuesday sans son « cummulatif IE » ne serait plus un patch Tuesday ) ainsi que Visual Studio. Trois bulletins sont estampillés « critique », neuf autres « important ». La moyenne de « trou colmaté par rustine » oscille autour de 2 (12 rustines pour 22 CVE).

3 - Internet Egyptien : ça marche, ça marche pas, ça marche….
Encore une cyber-guerre qui aura duré le temps d’une rose : l’Internet Egyptien renaît à la vie, constate le Sans, l’œil rivé sur les ports bgp. Enfin, pas tout à fait, rétorque Netcraft. Car à peine à la lumière du jour, mcit.gov.eg est à nouveau retombé. Netcraft y voit la probable influence des Anonyme et de leurs attaques en déni de service. Mais c’est SpamHaus qui décroche la palme du scoop, en révélant qu’il y a plus terrible et plus efficace que les anonymes : les « spam king », bien sûr, qui, eux, ne sont pas des pratiquants de la guerre en dentelle. Les polluposteurs américains sont parvenus à détourner à leur usage des pans entiers d’adresses ip (netblock) officiellement détenus par le Suzanne Mubarak Science Exploration Center, lequel avait réservé près de 4000 numéros. Un article du Al Masry Al Youm décrit avec beaucoup d’humour une visite dans le centre en question

.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)