Spécial sécurité : affaire Google ou échec de Microsoft ? Il ne faut pas chinoiser
Piratage de Google ou échec des efforts de sécurité de Microsoft ? Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s'amusent du sort des deux rivaux associés dans la dernière cyber-escarmouche impliquant des hackers chinois. Et s'étonnent de voir Redmond, dont le navigateur est le vecteur principal de l'attaque, échapper au déferlement médiatique.
1 - Google-Microsoft, un échec peut en cacher un autre
2 - Faille IE : l’aspect technique
3 - Scarry MOVie, ou la faille vidéo
1) Google-Microsoft, un échec peut en cacher un autre
Le fait qu’une faille Internet Explorer ait permis de lancer une importante cyberattaque chinoise passe presque inaperçu au regard des déboires de Google. Et l’impressionnante opération médiatique qui entoure l’annonce du « retrait possible » de l’entreprise du marché chinois commence à tonner trop fort pour sonner juste. Rsnake, au fil des commentaires liés à l’un de ses articles traitant du sujet, est l’un des premiers à penser que ce mouvement ne serait que l’exploitation d’un prétexte pour se sortir d’une aventure économiquement défavorable. Le NY Times, de son côté, rappelle les résultats plus que moyens obtenus par Google dans l’Empire du Milieu. Résultats pourtant obtenus après forces concessions et compromissions en matière de censure et dont l’impact sur l’image de marque ne pouvait être nul. Oxblood Ruffin, un membre du CDC, dresse dans les colonnes de TechRadar un bilan peu reluisant. A cela s’ajoute l’impossibilité de battre le concurrent local, Baidu, sur son propre terrain et l’opportunité de faire diversion à un moment où les accusations de bigbrotherisme s’accumulent au dessus de la tête d’Eric Schmidt. Quelques activistes comme Oxblood Ruffin ou Naomi Klein du journal Rolling Stones en profitent pour rappeler combien la machine à surveiller chinoise doit à l’industrie high tech américaine toute entière.
Réaction d’autant plus remarquable que seul Google s’offusque de cette « indélicatesse » des prétendus « hackers indépendants » chinois. Car les autres victimes –notamment, dixit le Washington Post, Yahoo, Symantec, Adobe, Northrop Grumman, Dow Chemical et Juniper - n’ont pas pipé mot. Tout juste se souvient-on de la dénégation d’Adobe, qui refuse officiellement d’être associé à cette opération de piratage stakhanoviste. Ironie de l’histoire, rappelons que cette série de pénétrations aurait été rendue possible grâce notamment à une faille d’Internet Explorer, et non d’un défaut de Flash Player ou d’Acrobat. Quoi que… Si IE est incontestablement reconnu comme le vecteur principal de l’opération « Aurora » (ainsi serait baptisée cette cyber-escarmouche), d’autres exploits et techniques de pénétrations ont été combinés en fonction de la cible à attaquer. Un blitz unique, des cibles multiples, des armes adaptées à chaque situation… on est indiscutablement là face à une opération orchestrée par des militaires, même si les diplomates de Pékin répètent inlassablement que ces actes ne sont le fait que d’éléments isolés et incontrôlés. Personne n’est dupe, surtout pas les entreprises américaines qui ont elles-mêmes mis en place toute l’infrastructure de flicage et de traçage de l’Internet chinois. Un filet entre les mailles duquel nul « pirate isolé et incontrôlé » ne devrait pouvoir passer… et à plus forte raison un groupe de pirates aussi bien structuré et organisé. Qui veut hurler avec Google ? Qui souhaite avouer haut et fort n’avoir pu assurer une défense périmétrique de ses propres systèmes d’information ? Qui risquerait d’élever la voix au risque de compromettre d’éventuels marchés à l’exportation ?
2) Faille IE : l’aspect technique
La sur-médiatisation et la politisation du « hack Google » aura au moins permis une chose rare : c’est la première fois, dans l’histoire de Microsoft, qu’un Zero Day de cette envergure ne provoque pas une avalanche de papiers incendiaires. Rares sont les confrères qui cherchent à deviner la date de publication du correctif « out of band » - car il ne fait pas l’ombre d’un doute qu’il y en aura un. Le blog du MSRC parvient même à user d’une dialectique toute jésuitique et minimise la situation : « In terms of the threat landscape, we are only seeing very limited number of targeted attacks against a small subset of corporations ». 20 victimes tout au plus, ce n’est plus une cyberguerre, c’est une scène de ménage. Pas le moindre signe de panique non plus dans la rédaction du bulletin d’alerte.
Pendant ce temps, Wepawet publie une analyse de l’exploit originel, HD Moore ajoute une munition marquée « Aurora » à son outil de pentest Metasploit, notre CertA explique, pour la énième fois, qu’il est conseillé d’utiliser pour l’instant un navigateur alternatif, F-Secure s’offre une minute de publicité sur le dos de Google en précisant que son « exploit shield » est efficace contre les chinoiseries informatiques... Même Joanna Rutkowska y va de son couplet en rappelant qu’avant de vendre du « cloud » et du « hosting », Google ferait mieux de se pencher sur un problème vieux comme l’informatique : la sécurité du poste de travail. Et des siens en particulier.
3) Scarry MOVie, ou la faille vidéo
Quicktime, et par extension plusieurs outils et programmes destinés à interpréter des fichiers vidéo .MOV, seraient susceptibles de succomber à une attaque distante. La liste des programmes affectés (dont iTune, GarageBand, Safari, Firefox, Excel, Word, MPC…) ainsi que le lien de l’exploit sont publiés sur exploit-db.com. Aucun correctif ne semble pour l’heure avoir été proposé par Apple. La disponibilité de l’exploit devrait inciter les RSSI à renforcer momentanément leur politique de filtrage.