Spécial sécurité : Vendredi des rustines, et de 30 chez Adobe
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, donnent un coup d’éclairage sur les fournées de rustines Adobe ainsi que sur la publication enfin officielle de la faille “online help” avant de revenir sur le rachat de Pheonix par HP. Nos confreres s’arrêtent enfin sur la décision étonnante de brouiller des ondes lors du sommet du G20.
Sommaire
1 - Vendredi des rustines : et de 30 chez Adobe
2 - Officialisation du MS-Bug « online help »
3 - HP achète un « Linux de boot »
4 - Quand les sommets sans fil
Vendredi des rustines : et de 30 chez Adobe
Le regard fixé sur la ligne bleue du bug flash (et plus particulièrement sur les échos qui pourraient s’échapper des communications de iDefense), le Responsable Sécurité Sachant Patcher sans sommation aura rapidement aperçu l’orage de correctifs émis par Adobe. Si la faille Flash, qui fait les gros titres de la presse sécurité depuis une semaine, est enfin corrigée, on ne peut également manquer l’avalanche de bouchons destinés à Acrobat « plein » et Acrobat Reader. Au total, 30 correctifs pour 32 trous, qu’il faudra ajouter aux 34 CVE colmatés par Microsoft et 48 trous publiés par Apple en ce début de semaine. Cela fait donc…j’pose deuz’et j’retienszun… 114 perforations logicielles à ravauder durant le week-end. La rédaction toute entière adresse une pensée émue à l’attention des « chargés de déploiement » qui passeront très probablement un samedi infernal et un dimanche abominable.
Les usagers en mal d’exotismes peuvent également envisager d’aller passer quelques vacances du côté de Sumatra par exemple.
Officialisation du MS-Bug « online help »
Le blog du MSRC titre « Mise en ligne du bulletin 2219475 ». Cette reconnaissance officielle de la faille « online help » de Travis Ormandy déclenche également une réaction pavlovienne chez plusieurs spécialistes de l’analyse sécurité. Et notamment Secureworks, qui explique en termes simples l’importance technique de ce ZDE, et le Sans, qui fournit également le numéro CVE de ce tout nouvel exploit. Pour l’heure, il n’a pas d’utilisation malicieuse connue « dans la nature ». Quand bien même cela serait qu’un tel bug serait plutôt employé dans le cadre d’une attaque ciblée, ayant donc de fortes chances de passer sous le radar des principaux honeypots.
HP achète un « Linux de boot »
HP annonce l’achat,auprès de Phoenix Technology, des outils HyperSpace, HyperCore et Phoenix Flix. Ce sont là les trois composants intégrés au dessus du Bios et qui permettent de lancer l’instance d’un Linux « embedded » de petite taille indépendamment du système d’exploitation de la machine. Asus a notamment utilisé ce genre de technique sur certains de ses portables, pour que l’usager puisse, sans attendre le lancement d’un Windows, consulter le Web, entamer une conversation Skype ou consulter son courrier.
Rappelons que HyperCore fait partie de ces «VM hardware » sur lesquelles Joanna Rutkowska et Rafal Wojtczuk avaient travaillé dans le cadre d’un contrat de développement passé entre Phoenix et Invisible Things labs en avril 2008.
Ce n’est pas la première fois que HP plonge dans le développement de noyaux à destination « grand public ». Déjà, par le passé, l’entreprise avait tenté une « sortie » dans ce domaine, avec un ovni baptisé « HP-NewWave », surcouche à Windows 3.x avec icones mobiles, agents scriptables indépendants, traitement parallélisé des tâches… un outil trop beau pour son époque et qui inspirera les laboratoires de Redmond durant les années qui suivront. Espérons que l’intégration de HyperCore sur les machines HP connaîtront plus de succès.
Quand les sommets sans fil
Selon nos confrères de CBS News, le très dispendieux sommet du G20 qui se déroulera à Toronto à la fin de ce mois, sera accompagné de mesures de sécurité exceptionnelles, pouvant aller jusqu’à un brouillage généralisé des ondes radio.
Il s’agit là bien sûr de la mesure la plus sotte et la plus irréfléchie qui soit, et ce pour plusieurs raisons. Tout d’abord, si l’on considère que les « poseurs de bombes » potentiels peuvent choisir n’importe quelle fréquence possible (de 1829 mètres Ondes Loooongues* à 10 GHz **), il sera nécessaire de brouiller l’ensemble du spectre radioélectrique exploitable, et ce, avec une intensité telle que même les discrets appareils à étalement de spectre seront inopérants.
… et du coup les systèmes de transmission à agilité de fréquence des services de sécurité, les automatismes des réseaux urbains (de la porte de garage en passant par les outils de synchronisation des feux tricolores sur 5 GHz), les talky-walky Tetrapol des services de sécurité (pompiers, police, sécurité civile... )
… Accessoirement seront également réduit au silence tous les appareils de retransmission des médias en place.. ceux d’ABC en tête. Hors, un sommet de politiciens sans couverture médiatique, çà n’existe pas, çà n’existe pas.
*&** NdlC Note de la Correctrice : respectivement « comme on disait sur France Inter il n’y a pas si longtemps. Pour le 10 GHz, il s’agit du déclencheur à distance le plus économique qui soit : directif, difficile à détecter, économique, il se fabrique avec de simples cornets destinés à l’ouverture automatique des portes vitrées de supermarchés.