Spécial sécurité : le mardi, c'est rustine

Tout au long du mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Dans cette édition, la rédaction de CNIS décortique le "Patch Tuesday" de Microsoft, avant de se gausser de l'attribution par l'Europe de fréquences radio aux services d'urgence.

cnis logosnoirSommaire :

- Rustines du mardi, la bureautique écope
 

- Du wireless dans la sécurité routière
 

- Rustines du mardi, la bureautique écope

11 bulletins d’alertes, 4 anciennes rustines revues et corrigées, deux avis (dont une révision) émis… au total, près de 26 failles de sécurité colmatées ou consolidées. Et ceci sans mentionner une rustine qui, jugée imparfaite au moment de mettre sous presse – ou sous diffusion -, a été interdite de publication. Le bulletin du MSRC rédigé ce mois-ci par Tami Gallupe, le « release manager », prend des airs de roman Balzacien. Rassurons tout de suite les administrateurs Vista et Server, les noyaux semblent, cette fois-ci, épargnés. Le grand perdant de ce mois-ci est la suite Office, sans oublier le traditionnel cumulatif I.E.

De tous les bouche-trous publiés, c’est probablement le défaut de l’aperçu Access (MS08-041) qui mérite le plus d’attention. Essentiellement en raison d’une exploitation active par certains vecteurs d’infection de la famille Storm. Dans son désormais traditionnel billet d’analyse mensuel, Bill Sisk lui consacre la plus grande part. Idem pour la MS08-042, un « remote exploit » visant Word, qui n’est qualifié que « d’important » sous prétexte que son exécution n’est pas totalement silencieuse. A classer cependant dans la catégorie critique pour deux raisons évidentes : la première est liée à l’importance de la base Word « Office XP » et « Office 2003 » installée, la seconde est une simple question de bon sens. Un « pop up », entouré de quatre grains d’ingénierie sociale, est ignoré par 99 % des usagers.

A remarquer, également, une autre exploitation distante MS08-043 d’une faille affectant toutes les versions d’Excel, quelques moutures de Sharepoint Server, une MS08-044 touchant les filtres image Office (dont un risque de heap overflow à l’aide d’un BMP et WPG forgés… potentiellement dangereux), une autre enfin visant Outlook Express et Windows Mail (MS08-048). Tout çà sans oublier une mise à jour de sécurité MS08-051 visant Powerpoint. Une sérieuse épidémie qui affecte donc essentiellement les produits bureautiques.

L’habituel cumulatif I.E. porte, ce mois-ci, le numéro d’immatriculation MS08-045, et résout… beaucoup de problèmes. Attention : l’une des failles a été publiée et commentée avant édition du correctif, beaucoup d’entre elles sont potentiellement exploitables dans le cadre d’une attaque XSS, de l’aveu même des équipes techniques de « Corp ». Le déploiement rapide est donc de rigueur.

Parmi les inventeurs officiellement crédités, l’on retrouve essentiellement les deux grands « acheteurs de failles » que sont iDefense et le ZDI. Du côté des indépendants, NGSS de la famille Litchfield est à l’origine d’une découverte. Dans l’ensemble, donc, très peu de renseignements techniques précis sur la manière d’exploiter les défauts ainsi corrigés ou sur des Poc qui auraient servi de preuve technique. Les sites officiels recensant les exploits, tel Milw0rm n’ont, à l’heure où nous rédigeons ces lignes, publié aucun code véritablement dangereux – exception faite du fameux « snapshot viewer Access » et d’un des défauts I.E. Un regain de prudence est donc de mise dans les 8 à 10 jours à venir, période traditionnellement propice aux travaux de « reverse engineering » qu’effectuent les « usines à exploitation » d’Europe Centrale ou de Chine.

Nul ne sait, en revanche, si le Bsod projeté durant le spectacle d’ouverture des J.O. de Pékin – ainsi que le relate le quotidien Australien Fairfax Digital -, a été provoqué par une régression ou une absence de redémarrage entre deux applications des correctifs en question.

- Du wireless dans la sécurité routière

Lorsque les statistiques font peur, l’on promulgue une loi ou l’on invente une norme, généralement redondante avec tout ce qui existait auparavant. C’est précisément ce que viennent de faire nos chers eurofonctionnaires, en allouant une portion (30 MHz) de la bande 5,9 GHz aux communications routières d’urgence. De cette simple décision, nos confrères de TFOT parviennent à nous en tartiner un article de 2300 signes, en omettant un petit détail : les signalisations d’urgence (proximité d’un accident, signalisation d’un bouchon…) sont, depuis belle lurette, théoriquement déjà affublées d’une fréquence et d’un protocole spécialisé : le RDS. Las, jamais une équipe de pompiers ou d’intervention de la Croix-Rouge n’a entendu parler de ces fameux émetteurs de campagne qui, équipés d’un petit clavier, d’un micro et d’une antenne, auraient permis d’émettre, tant en texte que sous forme audio, un message d’urgence ou d’information. Las, le « code 31 » RDS n’a été utilisé jusqu’à présent qu’en Allemagne. Hélas encore, un émetteur FM de proximité, capable d’émettre un petite texte en boucle associé à une sous-porteuse RDS d’urgence serait à la fois aisément portable, fiable et très peu coûteuse.

Aux USA, où l’efficacité des réseaux d’urgence prime sur les intérêts et montants des marchés publics, les shérifs locaux utilisent régulièrement de petits émetteurs AM émettant sur les ondes moyennes. De l’indication de bretelles de délestage à l’avertissement d’un accident, ces « antiquités » technologiques fonctionnent par tous les temps et n’ont rien à voir avec la sophistication des transmetteurs 6 GHz. Mais allez donc faire une recommandation européenne ou un article titré sur 5 colonnes avec comme sujet la récupération des émetteurs AM des années 50… avouons que ce n’est pas très glamour.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)