Spécial sécurité : faille critique ou super-critique, subtile nuance

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'amusent d'une polémique entre Microsoft et un découvreur de faille : la faiblesse mise au jour était-elle critique ou super-critique ? Avant de se pencher sur un autre différend, opposant cette fois le premier éditeur mondial au Cert-US, sur la façon de bloquer la propagation du virus Downadup.

cnis logo

Sommaire

- 1 - Shavlik à Microsoft : fait’excuse

- 2 - Cert-US à Microsoft : fait’excuse

- 3 - Les bugs 2009 d’Apple et Cisco

- 4 - Joanna Rutkowska : qu’est-ce que Bitlocker

- 5 - Gestion de crise et recherche de preuve : le salon

1) Shavlik à Microsoft : fait’excuse

Paraphrasant ainsi l’Enfant d’Elephant de Rudyard Kipling, le patron technique de Shavlik, Eric Schultze, présente ses plus plates excuses aux membres du MSRT de Microsoft. Car, après mûres réflexions, la faille signalée – et corrigée - par le bulletin MS09-001 n’est pas « super critique » mais tout simplement « critique ». Emporté par la fougue de l’éditorialiste, Schultze reprend les propos de l’équipe sécurité de Redmond et reconnaît que l’exploitation d’un tel défaut n’est pas à la portée de tout le monde.

Exagérée, la réaction de Schultze ? Pas tant que çà. On pourrait gloser des jours durant. La subtile différence entre une faille critique et une faille super-critique n’est pas plus épaisse que ce qui différencie un ordinateur infecté d’un ordinateur super-infecté. En outre, il s’agissait d’un bug affectant SMB, ce protocole tortueux comme le grand fleuve Limpopo qui est comme de l’huile, gris-vert et tout bordé d’arbres à fièvre. Si les équipes de Shavlik avaient récolté 1000 actions Microsoft à chaque faille SMB répertoriée depuis la création d’HFNetchk/MBSA, Schultze pourrait presque prétendre à la place de Ballmer.

2) Cert-US à Microsoft : fait’excuse

C’est pourtant simple, les conseils prodigués par Microsoft pour supprimer la fonction Autorun de Windows – celle par qui le virus Downadup se propage - ne fonctionnent pas parfaitement. C’est notre procédure qu’il faut suivre, dit en substance le Cert US au fil d’un article explicatif fortement illustré. Et la recette du Cert est radicale, puisque l’opération consiste à bloquer cette fonction Autorun directement à partir de la base de registre. L’incantation magique que devront psalmodier les descendants de Taffimai Metallumai est la suivante :
[HKLMSOFT.MicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]@="@SYS:DoesNotExist"

Précisons que cette mesure est radicale et ergonomiquement pas des plus pratiques, surtout dans le cadre d’une informatique personnelle ou de TPE/artisan. Il est peut-être préférable, au sein de petits réseaux, d’éradiquer d’éventuelles infections à l’aide des programmes gratuits offerts par les éditeurs d’A.V., puis de vérifier si les principaux correctifs ont bien été appliqués. Avec le susnommé (MBSA, par exemple.

3) Les bugs 2009 d’Apple et Cisco

Les alertes de sécurité se suivent, d’éditeur en équipementier, avec la même régularité et le même étiage. Apple n’annonce que deux correctifs concernant Quicktime et son lecteur MPeg 2. Il est à noter que ce défaut Quicktime est en fait un « cumulatif » qui corrige près de 7 vulnérabilités différentes, et concerne indifféremment les versions OS/X et Windows. A surveiller de près, les défauts Quicktime étant, ces jours-ci, particulièrement appréciés des diffuseurs de vers et troyens.

Cisco, de son côté, émet deux bulletins, l’un à propos du Security Manager dont une défaillance peut donner accès à la base MySQL ou au serveur IEV, l’autre concernant le Communication Manager et ouvrant potentiellement une possibilité d’exécution de code.

4) Joanna Rutkowska : qu’est-ce que Bitlocker

Joanna Rutkowska, qui habituellement nage avec aisance dans les remous des espaces mémoire et des machines virtuelles, offre à ses lecteurs une saga de 6 pages-écran consacrée au « boot sécurisé » statique et dynamique, et de l’intégration de Bitlocker (outil de chiffrement des disques sous Vista) dans cet univers. Rarement exercice de vulgarisation ne fut plus difficile, rarement un expert est parvenu en termes simples à expliquer comment tout cela fonctionne. Les points de faiblesse, les qualités du procédé, ses différences par rapport aux méthodes développées par quelques concurrents, et surtout le pourquoi de leur utilité. Et Rutkowska de se lancer dans une palpitante aventure d’espionnage informatique, au fil de laquelle l’utilisateur d’un ordinateur portable alterne périodes de travail et séances de jacuzzi, tandis qu’une « femme de chambre diabolique » profite de la moindre absence pour implanter de faux écrans de login. La morale de l’histoire, c’est que l’on peut utiliser Bitlocker en toute confiance, mais que son infaillibilité n’est pas absolue.

5) Gestion de crise et recherche de preuve : le salon

La cinquième Conférence Internationale sur la gestion de crise informatique et la recherche de preuves (IMF) lance son traditionnel appel à communication. Cette manifestation se déroulera du 15 au 17 septembre prochain à Stuttgart (Allemagne), et abordera aussi bien les aspects juridiques liés à la gestion des sinistres que les moyens d’information et de formation, la surveillance et les actions à envisager. Seront également concernés les outils, les techniques d’utilisation, les procédures d’enregistrement et les contraintes légales de tout ce qui touche au «  forensic », à la recherche d’éléments probants.

Pour approfondir sur Menaces, Ransomwares, DDoS