Spécial sécurité : Die Hard 4, le retour de la vengeance

Depuis le début du mois d’août, LeMagIT vous propose de découvrir en avant-première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira prochainement. Dans cette édition, des questions autour de la fiabilité des logiciels pilotant les grands réseaux publics.

Sommaire

- 1 - Encore une faille « Die Hard 4 » 

- 2 - Le syndrome des UAC frappe encore

- 3 - Un CISSP pour les développeurs

- 4 - Oracle, bilan… d’exploitation

- 5 - Apple, deux douzaines de trous Java 

- 6 - Logiciel de protection (n.m.) : objet généralement inconnu 

1) Encore une faille « Die Hard 4 »  

Quelques jours à peine après que se soit conclue l’affaire opposant Citect et Kevin Finisterre, voici que  le bugtraq publie une toute autre alerte, revendiquée par C4, et concernant le programme PCU400 d’ABB. Il s’agit là encore d’un programme destiné au pilotage d’infrastructures Scada, autrement dit des systèmes et des réseaux de transport (ferroviaires, gaz-électricité-pétrole, eau, routiers, télécoms) vitaux pour l’économie des états. Le bulletin d’alerte n’a été publié qu’une fois le correctif communiqué aux utilisateurs, comme il est d’usage dans les bulletins du bugtraq.

Deux alertes sur des logiciels Scada en moins de deux semaines, est-ce une épidémie ou une nouvelle mode de recherche systématique ? Peu probable, pensent certains experts. C’est là le signe que les programmes qui servent à piloter ces grandes infrastructures sont, à l’instar des autres logiciels, aussi susceptibles de comporter des erreurs. La seule différence est que l’omerta qui, jusqu’à présent, consistait à espérer protéger ces réseaux en taisant, voire en ignorant ces erreurs, pèse chaque jour un peu moins lourd. On est encore loin d’un modèle proche du principe de « divulgation responsable », mais une esquisse de dialogue semble s’instaurer entre chercheurs et industriels.

2) Le syndrome des UAC frappe encore

La NCSU, Université de Caroline du Nord, s’est intéressée aux « clics compulsifs » et autres acceptations de messages s’affichant dans des écrans de « pop up »… que ceux-ci soient d’authentiques demandes du noyau ou de véritables déclencheurs d’infection en provenance de la partie pas nette du Net. Dans 60 % des cas, le bouton « OK » est activé  sans même que l’usager ait lu le contenu de l’avertissement. Cette étude comportementale ne fait que confirmer le danger provoqué par les incessants messages générés par les User Access Control de Vista.

3) Un CISSP pour les développeurs

Programmeurs de tous pays, CSSLPisez-vous ! Encore une certification portant un nom abracadabrant : Certified Secure Software Lifecycle Professional (CSSLP). C’est là un diplôme qui s’adresse tant aux chefs de projets qu’aux programmeurs, analystes programmeurs et ingénieurs, et qui dépend de l’un des organismes de certification les plus connus du monde de la sécurité, l’ISC2 (prononcer ISCee square), déjà à l’origine du CISSP.

Cette annonce est intéressante à plus d’un titre. D’un point de vue pécuniaire tout d’abord, puisque qu’une récente étude prouvait que seuls les professionnels possédant une qualification « sécu » pouvaient espérer une augmentation de salaire, dans un contexte général orienté à la stagnation, voire à l’érosion du pouvoir d’achat. Sous un angle historique et politique ensuite, car le « secure lifecycle development » est devenu une nécessité, chez Microsoft notamment, mais également auprès de la plupart des autres grands éditeurs. Ne serait-ce que pour répondre au mécontentement croissant des usagers et tenter de minimiser les coûts élevés des correctifs à posteriori. Parfois, certains « bugs de conception » obligent les auteurs de programmes à remettre à plat une grande partie de leurs codes, opération qui s’effectue en général au détriment des développements futurs et qui constitue une perte sèche pour l’entreprise.

La mise en place d’une politique d’écriture normée et sécurisée, prévue pour s’intégrer tout au long de la vie du logiciel est donc là une réaction motivée plus par des soucis de rentabilité que par des considérations altruistes… ce qui laisse espérer enfin une mise en application plus sérieuse que par le passé.

4) Oracle, bilan… d’exploitation

Après l’annonce de publication des  correctifs bisannuels Cisco, voici venir le temps des analyses. De l’analyse devrait-on dire, car pour l’heure,  seul le Sans s’est penché sur la dangerosité réelle des failles révélées. Sur 12 rustines émises, deux seulement sont qualifiées d’importantes, six de critiques, et quatre portent le label «  patch now »… ce qui, dans le langage de l’Institut, signifie que l’exploitation distante est très probable, généralement aisée et toujours destructrice. Ces défauts de première importance concernent snmp, le firewall et un risque d’attaque fragmentée via sccp.

5) Apple, deux douzaines de trous Java

24 failles publiées, à installer automatiquement via  Apple Update ou à la main, en version spécifique pour  Tiger ou  Leopard. Ce sont, pour la plupart, des problèmes corrigés depuis déjà fort longtemps par Sun, mais dont la transposition sur les versions très propriétaires d’Apple a exigé un peu plus de travail que prévu.

6) Logiciel de protection (n.m.) : objet généralement inconnu  

Steganos, entreprise allemande du secteur des DLP, publie une étude sur la  perception que les usagers britanniques et américains ont de leur propres ordinateurs . Le moins que l’on puisse dire, c’est que ce qui se « passe sous le capot » semble, avec le temps et la démocratisation des outils informatiques, aussi ténébreux que l’électronique d’une automobile moderne. Tant que « tout roule », c’est le principal. Ainsi, 13 % des sondés avouent ne pas posséder d’antivirus local (ce qui n’est pas nécessairement un drame). 8 % ne savaient absolument pas si, oui ou non, un tel programme était installé, et 19 % étaient dans l’incapacité de dire si un firewall les protégeait du monde extérieur.

Concernant la protection des données personnelles (chiffrement notamment, mais également paramétrage du navigateur, filtrages d’url etc.), plus de 60 % des personnes interrogées affirmaient ne pas posséder une telle protection, tandis que 25 autres pourcent ignoraient s’il en existait une dans leur configuration. Plus de la moitié des personnes était également incapable de savoir si les paramètres de leurs navigateurs étaient correctement réglés.

Cette étude, bien que commanditée par une entreprise « partie prenante » du secteur de la protection des données, ne montre pas à quel point les utilisateurs seraient de plus en plus « inconscients », mais à quel degré d’ergonomie en sont les programmes de protection périmétrique. Il est impensable aujourd’hui d’acheter une ceinture de sécurité ou d’installer des amortisseurs de choc dans la structure même d’un véhicule. Pourquoi alors des non spécialistes auraient à se soucier d’installer une protection minimale sur les équipements les plus standards ? Sentiment d’autant plus compréhensible que, depuis déjà plusieurs années, rares sont les gens qui installent encore un noyau ou les outils nécessaires à la protection des machines. Un effet pervers des machines « pré-installées », une responsabilité qui incombe donc directement aux éditeurs qui, des années durant, ont bataillé pour que se généralise cet état de fait. Microsoft en tête.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)