Spécial sécurité : exploit PDF, quand les « features » tournent au bug
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, se penchent sur la dernière faille dans PDF avant de s'intéresser au durcissement de la loi sur la protection des données en Grande-bretagne pour finir sur l'arrivée d'un nouvel OS baptisé QubesOS.
Sommaire
1 - Exploit PDF : quand les Features tournent au Bug
2 - 670 000 euros la perte de données Outre Manche
3 - QubesOS, un noyau « Joanna certified »
1 - Exploit PDF : quand les Features tournent au Bug
La faille « par défaut » (ou de conception) du format PDF mise à jour par Didier Stevens la semaine dernière continue à faire couler beaucoup d’encre. L’exploit fonctionne aussi bien sur Acrobat Reader que sur Foxit et permet de lancer n’importe quel exécutable.
Adobe de son côté envisage d’éliminer rapidement cette « feature » qui a rapidement tourné au « bug ». En attendant, conseil est donné à tous les administrateurs et responsables sécurité de déployer rapidement un « .reg » dans HKCU, selon la recette indiquée sur son site. A l’heure où nous rédigeons ces lignes, nulle réaction du côté de Foxit, entreprise qui n’a jamais brillé par son sens de la communication en matière de sécurité.
Un malheur n’arrivant jamais seul, l’on peut se plonger avec intérêt dans le courrier des lecteurs du Sans, intitulé ce jour « Camouflage de JavaScript dans un PDF : passé les bornes, y’a plus de limite ». Comme l’explique le rédacteur du « journal intime » du Sans, cette méthode est assez efficace pour que l’attaque en question ne soit détectée que par 6 des AV sur les 39 que compte VirusTotal.
Pour achever ce petit voyage au pays des vecteurs d’attaque « Adobe All right reserved » (une valeur presque aussi sûre que les exploits Internet Explorer), l’on peut lire l’article de l’équipe sécurité de Sourcefire intitulé « principes de base de l’analyse des fichiers PDF », article qui, fait abondamment référence aux travaux de Didier Stevens.
2 - 670 000 euros la perte de données Outre Manche
C’est Graham Clueley, le sémillant DirCom de Sophos, qui a levé le lièvre : le gouvernement britannique vient d’accroître les pouvoirs de l’ ICO (Information Commissioner's Office). L’une des conséquences de cette décision est de renforcer les mesures du Data Protection Act, qui jusqu’à présent condamnait les négligences ayant entraîné une perte de données à caractère personnel d’une amende de 5000 Livres Sterling. Et le « facteur multiplicateur » cette fois est de 100 : une clef USB égarée sur le parking d’un pub, un document « top secret » brandi par un ministre en visite au 10 Downing Street, un routeur WiFi « Wep Protected » en plein cœur de la City coûtera 500 000 £ maximum, soit un peu moins de 670 000 Euros.
Cette mesure extrême ne peut que faire sourire les citoyens français, à l’abri de tels excès perpétrés par une administration trop zélée et prompte à foudroyer le contribuable. Car, chez les Enfants de Clovis, contrairement à ce qui se passe au pays de Guillaume Tell ou de Robin des Bois, nulle banque n’égare de fichier client ou se le fait dérober pour finir un jour entre les mains d’un receleur ou d’un ministre des Finances étranger. Aucun militaire n’utilise la moindre clef USB (il ne va d’ailleurs jamais au « pub »). Jamais, ô grand jamais, un fonctionnaire ou une Administration dans son ensemble, ne laisse échapper le plus petit octet. Pas une seule fois un ministre ne parlerait à un autre ministre sans utiliser un téléphone chiffré ou n’oserait s’épancher sur Internet. D’ailleurs, compte tenu du souci de transparence dont font perpétuellement preuve nos édiles, cela se saurait très rapidement.
3 - QubesOS, un noyau « Joanna certified »
Un rapide et discret papier de Joanna Rutkowska qui annonce la naissance d’un nouveau système d’exploitation baptisé QubesOS, fabriqué sur une base Xen (sur host Fedora), une interface X et des noyaux Linux. Peu d’informations techniques sur ce développement. Les applications s’exécutent chacune dans des VM isolées les unes des autres et s’affichent sur l’écran en mode « seamless ». Joanna Rutkowska laisse espérer une intégration prochaine des noyaux et applications Windows. Cette approche rappelle par certains aspects celle de Microsoft avec le projet Midori. Est-ce un noyau-hyperviseur, est-ce une architecture à micronoyau ? la différence est subtile.
Les instructions d’installation sont détaillées sur un Wiki dédié au projet