Spécial sécurité : un Britannique sur 10 achète des logiciels piratés…
Aujourd'hui, nos confrères de CNIS, magazine dédié à la sécurité des systèmes d'information, s’interrogent sur le bien-fondé de Microsoft de prendre comme argument anti-piratage le risque sécuritaire , avant de s’arrêter sur les 10 bonnes résolutions du RSSI en cette veille de changement d’année. Enfin, nos confrères reviennent sur les cousins de Stuxnet, puis pointent du doigt la disponibilité en téléchargement de la dernière version de Mehari sur le site du Clusif.
Sommaire
1 - Un Britannique sur 10 achète des logiciels piratés…
2 - Chic, le calendrier de l’Avant des RSSI
3 - Les cousinages putatifs de Stuxnet
4 - Mehari 2010 en téléchargement
1 - Un Britannique sur 10 achète des logiciels piratés…
… et plus de la moitié (68%) des citoyens de la sacrément perfide Albion envisagent sérieusement d’acquérir des programmes contrefaits pour des raisons d’économie. Mais (ceci compenserait peut-être cela) plus de 30 % des possesseurs de logiciels piratés ignoreraient tout de l’origine suspecte de leur acquisition*.
Des chiffres rapportés par nos confrères de Network World et révélés par Microsoft. Un Microsoft qui reprend toujours ce genre d’antienne à l’approche des fêtes de fin d’année, surtout depuis que l’inévitable « ordinateur cadeau » a remplacé le robot Moulinex ou la machine à laver dans la préséance des présents familiaux. Et le ban et arrière-ban de Microsoft UK de répéter « People are opening themselves up to a host of problems such as identity theft and data loss. These are serious issues and it's absolutely vital that consumers are on the look-out and checking before they buy »
Microsoft cherche légitimement à défendre son gagne-pain. Et il serait hypocrite de le lui reprocher. En revanche, il est tout à fait discutable d’utiliser des arguments sécuritaires pour étayer ces faits. « Dupliquer c’est voler » est un slogan qui se défend dans le domaine du commerce des biens immatériels. Mais associer l’idée de « c’est dupliqué, donc c’est nécessairement risqué » utilise les vieilles ficelles du « FUD », « peur, incertitude et doute », ce qui ôte toute crédibilité à l’argument.
* Ndlr, Note de la rédaction : probablement d’origine Espagnole. « Nobody’s expect Spanish aquisition » dit un proverbe Londonien
2 - Chic, le calendrier de l’Avant des RSSI
Que serait la profession d’homme sécurité si elle n’avait, à période régulière, ses averses de décalogue ? Certaines sont parfois insipides et banales, d’autres amusantes ou utiles… celle-ci tient un peu des deux : évidences « évidentes » et approches nécessaires. Les 10 astuces sécurité de l’année 2010 seront-elles encore valables passées la nuit de la saint Sylvestre ? Très probablement. Les voici en résumé :
Utilisez les GPO pour bloquer le panneau de configuration
Bloquez les accès USB de tous vos postes de travail
Méfiez-vous de la réputation d’inviolabilité de Windows 7
MS Security Essentials n’est pas toujours une « bonne économie »
Chassez les fichiers temporaires indiscrets de Windows
Usez et abusez des outils de diagnostic gratuits
Eliminez les mots de passe complexes : vive les token
XP, Vista, Seven : le plus sûr n’est pas celui qu’on croit
Apprenez par cœur les 5 clefs magiques de la Ruche
Apprenez à mieux casser les mots de passe Windows
Certains conseils sont légèrement utopiques dans le cadre de petites entreprises, d’autres sont tout à fait judicieux, d’autres enfin méritent que l’on y réfléchisse avant de plonger… notamment en ce qui concerne l’enfer des GPO ou la désactivation des UAC via la base de registre. Cette lecture achevée, il ne restera plus aux RSSI que de demander au Père Noël d’apporter les dix règles d’or de celui qui doit écrire des règles d’or en sécurité.
3 - Les cousinages putatifs de Stuxnet
Le rootkit TDL4 serait, nous explique notre confrère Ron Condon de Security News une copie de Stuxnet visant les utilisateurs de Windows. Pour preuve, ce successeur d’Alureon utiliserait pour fonctionner un même exploit la faille CVE: 2010-3888. A l’origine de ce « scoop », une analyse bien plus mesurée écrite par Sergey Golovanov du laboratoire Kaspersky.
Le fait d’utiliser une (et une seule) pièce détachée du premier virus « militarisé » recensé à ce jour n’en fait toutefois pas le char d’assaut qu’était Stuxnet. Pas plus que les usagers de Windows ne se trouvent soudainement considérés comme aussi importants que des utilisateurs de centrifugeuses ou alors du calibre de celles communément appelées « essoreuse à salade ». D’ailleurs, la description ultérieure qu’en fait Golovanov montre bien qu’il ne s’agit là que d’un rootkit de plus, bien rédigé et protégé, mais sans plus.
Si une certaine forme d’inspiration peut faire de Stuxnet une référence dans le secteur de l’écriture de codes aussi malicieux que maléfiques, la stuxnetisation des malwares est en revanche une illusion. Elle exigerait trop de travail, trop d’investissements, trop de développements, trop peu de retour sur investissement pour que les factions mafieuses du vol de crédences bancaires fassent plus qu’y jeter un coup d’œil. S’il doit exister une école Stuxnet, ce sera plus dans les domaines plus pointus du « spear spying » civil ou militaire qu’elle se développera.
4 - Mehari 2010 en téléchargement
La toute dernière édition de Mehari est disponible en téléchargement (gratuit) sur le site du Clusif (Club de la Sécurité de l’Information Français). Il s’agit là d’une méthode et d’outils destinés à aider les RSSI et DSI en matière de définition des buts, d’étude des vulnérabilités, d’évaluation des risques, de pilotage et de validation de la sécurité et des politiques à mettre en œuvre au sein des entreprises. Une édition en langue anglaise est même disponible sur le site.