Spécial sécurité : Firefox, Seamonkey, Safari… voie d’eau dans les navigateurs

Depuis le début du mois d’août, LeMagIT ouvre ses colonnes à CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères s’intéressent à la diplomatie, aux failles récurrentes MS08-06, au voie d’eau dans les navigateurs et à l’ouverture de la chasse aux pirates.

cnis logo

Sommaire

- 1 - Les soirées de l’Ambassadeur sont inoubliables…

- 2 - Quelques nouvelles des failles MS08-06 xx

- 3 - Firefox, Seamonkey, Safari… voie d’eau dans les navigateurs

- 4 - Londres, ses bobbies, ses caméras, ses lois anti-pentest…

- 5 - Oracle 8i, 9i, 10g, 11g : serveur touché

Les soirées de l’Ambassadeur sont inoubliables…
… et certains de ses convives risquent de se retrouver « chocolat ». Ceci concerne surtout l’ambassade Indienne du Brésil, pays renommé pour ses batucadas et ses pirates informatiques, plus fins et plus inventifs que leurs homologues Russes ou Chinois. Une ambassade qui, nous apprend Websense, était devenue un véritable nid d’infections JavaScript. Le but premier de cette attaque était notamment de détourner les visiteurs-victimes vers d’autres sites, moins reluisants et un peu plus moscovites : vendeurs de faux antivirus, injecteurs d’exploits Adobe… rien là que de très classique pourrait-on dire.
La compromission des sites officiels est un sport qu’apprécient fortement tant les espions que les vendeurs de viagra frelaté. En janvier dernier, nos confrères du « Reg » nous apprenaient que l’ambassade de Hollande en Russie attirait ses visiteurs dans l’esclavage d’un botnet. En septembre de l’an passé, c’était le consulat des Etats-Unis à Saint-Pétersbourg qui, après une attaque en règle, propageait des maladies binaires contextuellement transmissibles. Maladies locales d’ailleurs, la balance du commerce extérieur des pays de l’Est étant fortement excédentaire en matière de malwares. En septembre 2007, l’ambassade de Syrie à Londres était contaminée, tandis que celle de France en Lybie se faisait circonvenir par… des pirates Ukrainiens. Dans l’ensemble, les taux d’infection des sites officiels se situent très en deçà des moyennes statistiques constatées dans l’industrie. Constatation à prendre avec prudence, compte-tenu du culte du secret qui sévit généralement dans les sphères de la haute diplomatie. Un culte qui favorise très probablement la dangerosité de ce genre d’injection, les victimes ayant à priori une totale confiance dans le modèle de sécurité de leur administration.


Quelques nouvelles des failles MS08-06 xx

Les meilleurs crus, parfois, ne sont pas les plus abondants. La correction de faille « hors calendrier » MS08-067 et la vulnérabilité MS08-068 publiée à l’occasion d’un « Patch Tuesday » étique mériteraient qu’on leur dresse une stèle : une origine antédiluvienne, une exploitation garantie à toute épreuve, une médiatisation inégalée… le tonnerre de leur annonce risque de résonner durant quelques mois encore. Il faut lire l’article de Cédric Blancher sur le trou SMB Relay pour en comprendre à la fois la gravité et les dangers de la compatibilité ascendante qui compromet régulièrement la sécurité des noyaux Microsoft. Il faut également se plonger dans les preuves de faisabilité et commentaires qui fleurissent çà et là, certains plus compréhensibles que d’autres, ainsi celui d’Andres Tarasco. Il faut, peut-être, même si la méthode est un peu discutable, s’intéresser à Squirtle, outil d’évangélisation destiné à tous ceux qui partent en croisade contre la conservation de NTLM. Comme l’explique si bien son auteur, Squirtle sert à prouver « à votre patron, vos clients, votre meilleur ami, votre chien ou Dieu que NTLM est mort et enterré ».
Et MS08-067 dans tout çà ? Elle succombe, une fois de plus, sous les coups d’un Python Constrictor signé par Debasis Mohanti, chercheur en sécurité réputé et très « présent » dans les fils de discussion du Full Disclosure. Son code reptilien se trouve un peu de partout : sur Milw0rm, sur HackingSpirit... 067, pour les intimes, est devenu un grand classique. A tel point, nous apprend aussi l’Avert Lab de McAfee, qu’on le retrouve dans les kits de fabrication de malware » commerciaux diffusés sur les marché orientaux.


Firefox, Seamonkey, Safari… voie d’eau dans les navigateurs

Une mise à jour importante de Safari –une édition 3.2 pour Mac OS X 10.4.x (Tiger) et Mac OS X 10.5 (Leopard)-, une nouvelle édition truffée de rouge avec Firefox 3.0.4 qui traîne un impressionnant cortège d’alertes CVE : cette fois, le passage aux différentes moutures « N+1 » est plus que conseillé. S’il fallait, pour les utilisateurs de Macintosh, un argument supplémentaire pour passer à l’acte, l’intégration d’un filtre anti-phishing dans la 3.2 devrait amplement suffire aux plus dubitatifs. Profitons de l’occasion pour rappeler aux usagers de Firefox que la version 2.x ne devrait pas « passer l’hiver », et que l’adoption de l’édition 3.0 devient obligatoire.


Londres, ses bobbies, ses caméras, ses lois anti-pentest…
Après la France, l’Allemagne, l’Italie, c’est au tour le la Grande Bretagne d’adopter une série de lois visant à réprimer sévèrement tout possesseur « d’outils de hacking » signale Out Law. Sont ainsi confondus dans un melting-pot fort pratique, à la fois les programmes de test de pénétration et les logiciels capables de provoquer des attaques en déni de service. Les textes, renforçant le Computer Misuse Act, portent à 10 années d’emprisonnement toute attaque d’un système d’information « sans autorisation ».
De prime abord, il s’agit bien là d’une loi salvatrice visant à renforcer la protection des honnêtes internautes, particuliers comme professionnels. Il reste que tout viol d’un S.I. faisait déjà l’objet de mesures répressives relativement sévères. Mais, précisent nos confrères Britanniques, les nouveaux textes visent quiconque « fabrique, adapte, fournit ou offre de fournir (sic) quelque article que ce soit qui pourrait être susceptible de commettre ou de concourir un méfait [du genre hacking, modification non autorisée de données ou attaque en déni de service]. » Une fois de plus, la loi établit une confusion entre l’outil et l’usage de l’outil, et étend la culpabilité au diffuseur de l’outil. En osant une parabole fort inexacte, et si l’on étendait l’esprit des lois au secteur automobile, les constructeurs de voiture et équipementiers seraient tous fichés au grand banditisme pour meurtre aggravé, les concessionnaires automobiles auraient un casier digne de Mesrine, et les derniers cascadeurs finiraient leurs jours dans les geôles de Guantanamo. Dans toute démocratie, c’est la nature de l’acte qui définit l’accusation, et non l’intention de l’acte ou l’information relative à l’acte.
Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’une loi légèrement liberticide (mais pas trop), entravant légèrement (mais pas trop) le travail des spécialistes et chercheurs en sécurité, et dont l’application la plus rigoureuses est laissée à la seule appréciation des juges. Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’une loi strictement nationale, dont les rodomontades et les moulinets n’inquiètent pas particulièrement les industriels de la fabrication de malwares établis en Chine, en Russie, au Brésil. Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’un texte qui favorisera grandement le travail des cyber-délinquants. En dissuadant, par excès de paperasseries et arguties juridiques, la pratique saine des tests de pénétration réguliers et des audits intrusifs. En opacifiant un peu plus les marchés « underground » sur lesquels l’on trouve kits de malwares et plateformes de « Piracy as a Service ».
A l’heure où nous rédigeons ces lignes, il n’existe pratiquement plus qu’un seul pays en Europe où la liberté de conduire et de publier des recherches n’attire pas systématiquement les foudres de la justice. Ce pays, défenderesse de la liberté d’expression depuis le Siècle des Lumières, terre d’accueil du THC, c’est la Hollande. Une contrée qui, depuis ces 5 dernières années, est l’un des centres de communication scientifique les plus prolifique qui soit dans le domaine de la recherche sécurité. Tant en termes de fuzzing appliqué au « safe programming », que de préservation de la vie privée ou de dénonciations des mauvaises pratiques institutionnelles (dans le secteur des RFID notamment). Peu étonnant donc que les principales entreprises de « managed services » et d’audits à distance y installent systématiquement leurs NOC.
 

Oracle 8i, 9i, 10g, 11g : serveur touché
Des failles entrant dans la catégorie « exploitable à distance » : le web de NetDev en serait presque rouge de confusion. Il s’agit là du tout dernier lot trimestriel de correctifs en date du 14 novembre, bouchons logiciels dont l’origine est en grande partie située du côté de AppSecInc, alias Shatter. Rappelons aux administrateurs de SGBD qu’une surveillance régulière dudit site est plus que conseillée, car l’on y trouve autant, si ce n’est parfois plus, d’informations sur les bases Oracle, Sybase, Microsoft, MySQL, Notes, Exchange et DB2 que sur les sites des frères Litchfield ou sur celui d’Alexander Kornbrust.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)