Spécial sécurité : 3 « zero day exploits » en 50 jours, record battu pour Microsoft
Des petits trous, des petits trous, encore des petits trous... Et pas que de seconde classe. Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, recensent la cuvée de rustines à laquelle auront droit les utilisateurs de Microsoft, mardi prochain, jour de Patch Tuesday. Avant de féliciter le labo de recherche de la Société Générale, intronisé dans le First, un club international chargé de réunir les meilleurs groupes de recherche en sécurité dans le monde.
1 - Microsoft : un ZDE et 8 autres trous colmatés mardi prochain
2 - La Société Générale devient Cert « officiel »
1) Microsoft : un ZDE et 8 autres trous colmatés mardi prochain
Microsoft fête un nouveau record : le troisième ZDE (zero day exploit) révélé en moins de 50 jours. Cette fois, nous apprend le blog du MSRC, il s’agit d’une faille affectant encore Internet Explorer, et offrant à un attaquant distant la possibilité de télécharger des fichiers pour peu qu’il en connaisse le nom. Compte tenu de l’absence d’exploitation « dans la nature », de la proximité du prochain mardi des rustines et du fait que ce trou ne peut être exploité que sur des noyaux antérieurs à Vista, aucun correctif out of band ne sera émis par l’éditeur. En attendant, un bulletin d’alerte 98008 fournit quelques informations complémentaires et offre quelques conseils de sécurité à appliquer sur les anciennes architectures.
Sera également colmatée une faille « noyau » concernant tous les systèmes 32 bits – y compris Windows 7 - pouvant conduire à une élévation de privilège. Là encore, un bulletin d’alerte 979682 a été publié, conseillant aux utilisateurs de désactiver le ntvdm chargé de l’exécution des programmes 16 bits (logiciels hérités). Cette alerte, rappelons-le, avait fait l’objet d’un article très complet de la part de Sylvain Sarmejeanne sur le blog du Cert Lexsi. Précisons que les utilisateurs des versions « home » d’entrée de gamme sont pour l’instant démunis devant une telle menace, puisque, dans le but d’alléger les systèmes grand public, l’éditeur de politiques de groupe gpedit n’est pas fourni par défaut sur le disque d’installation.
La troisième réparation concernera un problème déjà ancien, qui avait fait l’objet d’une annonce mi-décembre de l’an passé. Il s’agit d’une faille SMB couverte par l’article 977544 du Technet. Ce défaut concerne, une fois n’est pas coutume, uniquement les versions modernes de Windows : Windows 7 et 2008 R2, éditions 32, 64 et Itanium.
Remarquons au passage , dans le billet du MSRC, que la date officielle de « fin de support » pour Windows 2000 est prévue pour le 13 juillet de cette année. Passé cette date, plus aucun correctif d’amélioration ou de sécurité ne sera diffusé de manière gratuite et générale.
2) La Société Générale devient Cert « officiel »
Un nouveau site Web, une reconnaissance officielle : le Cert de la Société Générale fait désormais partie des membres du First.
Le First, ou Forum of Incident Response and Security Teams, est une sorte de club international fondé en 1990, chargé de réunir les différents groupes de recherche en sécurité informatique (Cert et Csirt du monde entier). Ces Cert (Computer Security Incident Response Team), pour leur part, sont chargés de détecter les dangers informatiques et d’informer leurs usagers sur les remèdes à utiliser. Ce sont, généralement, des organismes corporatifs qui ne communiquent qu’auprès de leurs obédiences. En France, les forces armées possèdent leurs Cert, le réseau Universitaire également (Cert Renater), l’Administration (Cert A) ainsi que l’industrie au sens large, avec le Cert Ist, de loin le plus connu puisque ses avis sont publics. Contrairement à la France, d’autres pays européens – dont la Grande Bretagne et l’Allemagne - ont investi dans un « Cert Grand Public » destiné à l’immense majorité des personnes informatisées et des TPE/artisans qui bien souvent ignorent l’existence des Cert Ist.
Qu’une entreprise du secteur bancaire voie son propre centre sécurité intronisé au sein du First n’est pas nouveau. L’Allemagne compte plus d’une quinzaine de Cert, dont une bonne partie relevant du secteur privé, le Royaume Uni presque autant… la France, bien que comptant parmi les pays fondateurs du First, n’en possède que très peu. Plus exactement 6 en comptant tous les affiliés du First ou de la TF-Csirt : Apogée, les Cert A, Renater, Ist, le Cert Lexsi et bien sûr, celui de la Société Générale.
L’arrivée officielle d’une grande banque dans le cénacle des gardiens du monde binaire est d’autant plus intéressante que les malversations visant ce secteur s’accroissent fortement. Depuis ces trois dernières années, les troyens voleurs d’identités bancaires, les grandes campagnes de phishing ou de « spear phishing », les attaques des gangs spécialisés dans le skimming ou le carding ne font que se multiplier. A l’inverse, plus ces attaques sont virulentes et perfectionnées, plus les directions de la communication tentent d’étouffer ces affaires, estimant que la « confiance » envers les établissements financiers pourrait pâtir de ces révélations. Or, à l’heure où les cyberguerres sino-américaines et autres affaires HSBC ou Heartland font la manchette des journaux, cette politique de la « sécurité par l’obscurantisme » commence par provoquer des effets contraires. Le Cert SG pourrait bien amorcer à la fois un début d’ouverture et de transparence et surtout devenir un vecteur d’informations et de prévention qui manque cruellement dans notre pays.
Cette nomination est également un témoignage de reconnaissance, un hommage officiel fait à une équipe de chercheurs qui, depuis des années, effectuent un travail d’analyse et de communication technique discret.