Spécial sécurité : le patch tuesday d'avril envoie du gros

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, égrènent les failles dans les outils Microsoft que dévoile le dernier "mardi de la rustine" de l'éditeur. Une fournée de patchs plutôt copieuse. Avant de s'amuser de la première escroquerie exploitant le nom et les prérogatives de la toute jeune Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet. Soit l'Hadopi.

Sommaire :
 

1 - Patch Tuesday : avril envoie du gros

2 - Hadopi : un exemple édifiant pour les truands

3 - Iawacs 2010 : conférences, ateliers, concours A.V. à Paris

1) Patch Tuesday : avril envoie du gros

Pas ou peu de surprises pour ce « mardi des rutines » du 13 avril : la liste est pléthorique comme prévu, les colmatages SMB sont présents, comme prévu… mais il faut remarquer que les abonnés aux Mailing List de Microsoft France ont, pour la première fois, reçu dès mardi à 19H30 un email de synthèse des 11 bulletins et de leurs 25 failles, en Français de surcroît. A l’exception des bulletins MS10-024, MS10-028 et MS10-029, toutes les autres alertes sont qualifiées de « sérieuses », soit en termes de potentialité d’exploitation, soit en termes de sévérité nous enseignent les graphiques de dangerosité publiés sur le blog du MSRC. MS10-019 et MS10-020 sont des failles considérées comme critiques, sur toutes les plateformes Windows supportées, qu’elles soient stations ou serveurs. MS10-026 (défaut dans les codecs MPEG Layer-3 ) est « presque » aussi dangereuse et n’épargne que Windows 7 et 2008 R2. MS10-025 (trou dans les Media Services) n’inquiètera que les possesseurs de noyaux 2000 et la 027 2000 ceux de XP. MS10-019 est décrite par l’équipe technique en des termes inquiétants. Grâce à elle, un intrus « pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. » MS10-020, l’une des failles SMB que nous avions mentionnée à la publication du « pré-bulletin » d’alerte, ouvre la voie à une potentielle exécution à distance. Elle fait partie des 4 ou 5 failles « SMB universelles » découvertes par Laurent Gaffié.

2) Hadopi : un exemple édifiant pour les truands 

Avant même que l’équipe du Montparnasse ait pu lever les premières taxes qui serviront à payer le 480 000 euros de loyer annuel du « siège » de l’Hadopi, les organisations mafieuses se préparent à rafler la mise. En effet, nous apprend l’équipe de recherche de F-Secure, une campagne de phishing lancée par un gang sous couvert d’un «  ICPP Copyright Foundation » menace de poursuites et lève l’impôt auprès d’internautes statistiquement forcément coupables. Le paiement de l’amende s’effectue par carte de crédit (sic), tout choix d’un autre moyen de règlement exposant la « victime » à des majorations et peines d’emprisonnement. A noter que, contrairement aux autres tentatives d’escroquerie par intimidation généralement limitée à 50 ou 100 dollars, l’amende ainsi exigée s’élève à 400 dollars… on ne prête qu’aux riches. Ajoutons que pour être certain de « coller » le plus possible aux comportements d’un Albaniciel quelconque, la page d’avertissement/racket s’affiche à chaque démarrage.

Si, pour l’heure, les vociférations et vagues de procès du RIAA américain servent de « fond de véracité » à ce genre d’escroquerie, l’on peut parier que dès que les spécialistes de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet émettront leurs premières injonctions, l’on verra fleurir des versions françaises de cette fraude.

La réaction de la haute autorité sera alors très intéressante. Sera-t-elle capable de poursuivre (et d’arrêter) les coupables de ces faux manifestes jusque dans les steppes de l’Asie Centrale ? Peut-on espérer que le nouveau « logo » (celui qui n’est pas piraté) verra ses reproductions illégales protégées par ces valeureux défenseurs ? Nous le saurons en écoutant le prochain épisode de ce feuilleton à suspens, d’aventure et d’amour de la musique.

3) Iawacs 2010 : conférences, ateliers, concours A.V. à Paris 

Plus que quelques jours avant l’ouverture, entre autres choses, des hostilités à l’encontre des antivirus les plus connus : iAwacs 2010 se déroulera du 7 au 9 mai prochain, à l'ESIEA à Paris, et non pas dans la Capitale du Père Ubu*. Cette année, afin d’éviter certains arguments de la part de quelques éditeurs peut-être un peu récalcitrants vis-à-vis de ce genre d’expérience, les « suites de protection » seront accédées en mode « utilisateur » sur une plateforme Windows 7 elle-même installée dans une VM à des fins de commodité. Le règlement du concours est disponible en ligne sur le site de l’Esiea. Mais iAwacs, ce n’est pas que le concours Pwn2kill. Plusieurs conférences se dérouleront, parmi lesquelles un exposé sur les attaques et contremesures, par MM Damien Aumaître et Christophe Devine, un atelier sur la sécurisation des réseaux CPL par Xavier Carcelle du tmp/lab, un autre sur les cartes à puces par Vincent Guyot, ou encore une causerie portant l’improbable titre « Do you still believe that nobody can make a Win 7 system become useless despite using a « powerful » antivirus ? » par David Baptiste. Le détail des sessions peut être téléchargé toujours sur les ressources de l’Esiea.

* Note de la correctrice-traductrice : autrement dit de la ville-palindrome qu’est Laval, berceau d’Alfred Jarry.

Pour approfondir sur Réglementations et Souveraineté