Spécial sécurité : Débuts difficiles pour Windows 7 (et ses serveurs)
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères reviennent sur les débuts chaotiques de Windows 7, de nouvelles vulnérabilités mises à jour chez Mc Afee et Trend Micro et 2 dates à retenir dans les jours qui viennent.
Sommaire :
- 1 - Windows Seven : débuts chaotiques
- 2 - Hack.Lu, pots de miel et votes électroniques
- 3 - Ca explose chez TrendMicro, McAfee et Eset
- 4 - En mai, Owasp comme il te plaît
Windows Seven : débuts chaotiques
Durant plus de 300 jours, les personnes ayant récupéré la récente « Release Candidate » de Windows 7 –clients Technet, MSDN, étudiants bénéficiant des abonnements MSDN éducation etc- pourront utiliser ce système sans bourse délier. Une opération de marketing viral qui fera sans le moindre doute vitupérer les défenseurs du « libre » et qui, le jour même de sa mise en application, a eu pour conséquence l’écroulement des serveurs de téléchargement de Microsoft.
La seconde vague de download massif est prévue pour ce mardi, 5 mai, date à laquelle est disponible l’extension XPM (pour XP Mode), une version légèrement toilettée de Virtual PC associée à un kernel XP. Cet « add in » devrait servir à assurer la compatibilité ascendante des applications ancienne manière et achever de convaincre les utilisateurs de XP d’adopter le monde merveilleux de Vista et de ses successeurs. Renommée Windows Virtual PC pour les besoins de la cause, cette verrue diffère très peu d’un Virtual PC original. Il accepte « enfin » de gérer les ports USB –ce dont était incapable la précédente édition-, et peut exécuter une application en mode « seamless », autrement dit sans que celle-ci ne s’affiche dans un mode fenêtré particulier. Rien de remarquable à cela, cette forme d’adressage écran était déjà intégrée dans OS/2 1.3… C’était en 1991.
Windows Virtual PC ne sera livré que dans les versions Ultimate et Professionnal –gratuite pendant un an, doit-on le rappeler-. Les clients de l’édition Home en seront quitte pour télécharger le non-moins gratuit Virtual PC (ou tout autre outil de virtualisation, de VMware Station à Virtual Box, Qemu/kvm etc) et de ré-installer leur ancien XP et applications associées. La solution est un peu plus lourde mais n’a aucune raison de ne pas fonctionner efficacement, pour peu que le processeur possède les jeux d’instructions adéquats (VT ou SVM). Le meilleur de la virtualisation à des fins de compatibilité pourrait –avec forces conditionnels- arriver avec la prochaine version de Windows, alias Midori, qui devrait intégrer un véritable hyperviseur (moteur de paravirtualisation). Ce sera, pour Microsoft, le seul moyen technique qui permettra à ses développeurs de ne plus avoir à écrire des logiciels en étant contraint par la « compatibilité ascendante » des produits –et donc de trancher et abandonner des conceptions erronées les conduisant à fabriquer des programmes « bug pour bug compatibles »-. Ce sera également une phase nécessaire pour que lesdits programmes puissent enfin exploiter les outils de prochaine génération capables d’exploiter les architectures multicore et leur capacité de traitement parallèle.
« Seven » et son noyau virtuel, sera-ce assez pour convaincre les petits entreprises et artisans d’abandonner XP ? Autrement dit d’acheter une nouvelle licence, de délaisser nombre de périphériques qui ne sont plus supportés faute de pilotes, de changer la totalité d’un parc machine âgé parfois de plus de 10 ans, tout çà en des temps où la moindre ligne budgétaire doit être comptée, pesée et justifiée ?
Hack.Lu, pots de miel et votes électroniques
Du 28 au 30 octobre prochain se déroulera Hack.Lu, la convention Luxembourgeoise consacrée à la sécurité des systèmes d’information. Comme chaque année, c’est aux alentours du mois d’avril que sont lancés les appels à communication, relayés notamment sur la liste Full Disclosure, le blog de Thierry Zoller. Le programme n’est pas plus imposé que celui des autres grandes manifestations du genre… tout au plus sait-on que l’on pourra aborder des thèmes aussi variés que les honeypots, les machines à voter, les réseaux sans fil, la recherche de preuve, l’inventaire des failles… Le Grand Duché étant situé à moins de 3 heures (par temps brumeux) de la Ville Capitale de France, ce serait un péché de ne pas y participer.
Ca explose chez TrendMicro, McAfee et Eset
Une nouvelle salve de vulnérabilités affectant des produits de sécurité vient d’être tirée par Thierry Zoller. L’une concerne un problème dans le traitement des fichiers CAB dans Nod32, une seconde signale diverses possibilités de contournement ou d’évasion dans la gestion des fichiers ZIP et RAR dans différents produits McAfee, la troisième est un résumé des deux précédentes (évasion via RAR,ZIP,CAB, pas de correctifs connus ou publiés) dans plusieurs logiciels de TrendMicro.
La politique de divulgation responsable ainsi que le renom de Thierry Zoller dans le domaine des failles affectant les antivirus n’est un secret pour personne. Certainement pas, en tous cas, chez les éditeurs d’A.V. L’on s’étonne pourtant de la lenteur avec laquelle les éditeurs en question persistent à répondre ou à admettre l’existence d’une faille, une fois confrontés à la menace d’une divulgation publique.
En mai, Owasp comme il te plaît
C’est cette semaine que se déroule le « meeting 0.42 » de l’Owasp. Le 6 Mai à 17H 30 plus exactement, dans l’amphi 2 de l’Epitech. Outre un rappel de l’agenda de l’association, il sera donné deux conférences, l’une intitulée « Attaques sur les Web Services », par Renaud Bidou, Directeur Technique de DenyAll, l’autre portant le titre de «Software Security Initiatives in the Real World » par Claudio Merloni.
Comme à l’accoutumé, l’entrée est libre est gratuite, mais il est vivement conseillé d’envoyer un courriel aux organisateurs à l’adresse [email protected], avec comme sujet « [MEETING DU 6 MAI 2009] Inscription » et dans le corps de l’email les noms et prénoms des personnes assistant à la présentation. Les CISSP apprendront avec bonheur que la participation à cette conférence compte pour un CPE …
[Retrouvez toute l'actualité de la sécurité vue par CNIS-Mag sur http://www.cnis-mag.com]