Spécial sécurité : poupées russes / MS-trous / doutes au Brésil
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur le rachat de 3Com par HP, soulignant l'intérêt de TippingPoint, filiale de 3Com, dans cette opération. Ils reviennent aussi la série de failles concernant les produits Microsoft et dévoilées au lendemain du tout dernier "patch tuesday" de l'éditeur. Enfin, nos confrères s'intéressent à l'importante panne qui a récemment touché le réseau électrique brésilien. Et en particulier sur la campagne de communication visant, apparemment, à faire porter la responsabilité de l'incident à la malveillance de hackers.
Sommaire :
1 - HP rachète 3Com... et TippingPoint
2 - Les six MS-trous du 11 novembre
3 - Brésil : panne de hacker ou black-out politique ?
1 - HP rachète 3Com… et TippingPoint
3Com est « enfin » racheté. Par HP, pour un montant de 2,7 milliards de dollars, nous apprend le communiqué de presse officiel. En juin dernier, 3Com avait reçu une offre de 2,2 milliards de dollars de la part de son concurrent Huawei et d’un groupe d’investissements, Bain Capital Partners. L’affaire n’avait pas été conclue en raison d’un avis négatif du Committee on Foreign Investment in the United States (CFIUS). C’est ce même comité qui avait fait en sorte, en 2006, que l’Israélien Checkpoint ne puisse acquérir SourceFire. Avec cette opération, HP transforme plusieurs essais. Il élimine un concurrent sur le marché de la commutation –une grande partie des catalogues respectifs des deux entreprises s’adressent aux mêmes clients- et récupère une ligne de produits qui lui faisait défaut –dans le secteur haut de gamme pour opérateurs-, les routeurs multiservices MSR, un secteur essentiellement occupé par Cisco. Enfin, HP récupère dans la corbeille de mariage la société satellite TippingPoint, et renforce du coup sa présence sur le marché de la sécurité tout en récupérant un confortable thésaurus de vulnérabilités glanées jour après jour par le biais de la branche « Zero Day Initiative ».
2 - Les 6 MS-trous du 11 novembre
Double reboot pour les usagers de Vista. Ce mois-ci, le patch Tuesday, s’il n’est pas aussi pléthorique que celui d’octobre, n’en est pas moins sérieux. Trois bulletins -63, 64 et 66- sont des portes ouvertes à l’injection de paquets, voir à la prise de contrôle à distance totale. L’indice de dangerosité, publié comme chaque mois par le MSRC, précise que la sévérité des failles est très élevée pour ce qui concerne 3 alertes, et les possibilités d’exploitation fortement probables dans trois cas également.
MS09-063concerne les services système de Vista et 2008. C’est l’un des (rares, précise Microsoft) bugs qui affecte la partie « totalement réécrite » de la nouvelle génération des systèmes d’exploitation. MS09-064 affecte le License Logging Service de Windows 2000 servers (exploitable à distance également), et MS09-066 pourrait être utilisé dans le cadre d’une attaque en déni de service visant les contrôleurs de domaines ADS. Un mois essentiellement « failles serveurs » donc.
Côté stations, MS09-065 est un défaut « noyau » pouvant être exploité via une page Web ou un document Office forgé (gestion des fontes de caractère OpenType). Attaque pouvant conduire à une prise de contrôle totale de la station compromise. Seules les dernières versions du système –Seven et 2008 R2- ne seraient pas concernées. La rustine en question corrige également un défaut pouvant servir à une élévation de privilège. MS09-067 et MS09-068 corrigent deux trous de sécurité Office, respectivement dans Excel et Word, tant sur plateforme Windows que sous environnement Macintosh.
3 - Brésil : Panne de hacker ou blackout politique ?
Une émission de TV américaine, signée CBS, soulève des tempêtes de billets sur les blogs sécurité. L’émission en question se penchait sur les différentes pannes qui ont affecté le réseau électrique Brésilien et plongé Rio de Janeiro dans le noir en 2005 et 2007. La faute, affirme l’équipe de reportage, aux méchants hackers qui s’en sont pris à une infrastructure Scada.
Les hackers ? S’étonne Wired. Que nenni ! la panne a été provoquée par une mise à la terre franche et massive des lignes haute tension, par simple effet d’écoulement de l’électricité sur les isolateurs. Des isolateurs sérieusement pollués et recouverts de suie, suie elle-même produite par différents incendies et feux de broussailles. La pluviométrie faible de ces dernières années n’aurait pas permis un nettoyage naturel desdits isolateurs. Robert Graham, d’Errata Security, n’en décolère pas : Les pannes Brésiliennes n’ont PAS été provoquées par des hackers titre-t-il. Il arrive que des ordinateurs tombent en panne sans la présence de cyberterroristes, et une coupure de réseaux (la chose s’est déjà produite) peut fort bien être le fait d’employés indélicats, explique-t-il en substance. Et de reprendre les propos de Wired, tout en établissant un parallèle historique : les pirates du Brésil, ce sont les sorcières de Salem, des prétextes forts pratiques pour justifier une intensification des flicages d’Internet et un renforcement des contrôles policiers.
Même Schneier émet de sérieux doutes quant à la probabilité d’un hack concerté des infrastructures électriques du Brésil, et rappelle, l’air de rien, que la rumeur a également été colportée par le Président Obama, lors de son discours sur la cybersécurité. Il n’est pas de meilleure invocation que celles des millions de pédophiles, escrocs, terroristes, pirates sanguinaires assassins de labels musicaux et cybernihilistes lorsqu’un gouvernement cherche à justifier une Loppsi ou un Hadopi quelconque.
Seul Richard Beijtlich -précisément un spécialiste des infrastructures sécuritaires gouvernementales-, prend la défense de ce bidonnage d’information. Certes, dit-il, l’on peut douter avec raison de l’existence de ces pirates-prétextes et hackers-épouvantails. Mais cela ne remet pas en cause le fait que les infrastructures Scada du monde occidental sont toutes relativement fragiles. Et de recommander la lecture du rapport Grumann traitant des efforts de cybermilitarisation fournis par la Chine. Qui dit cyberguerre pense immédiatement attaque des infrastructures de communication et d’alimentation en flux (eau, électricité, gaz, transports…), et si l’on a tendance à exagérer le rôle des hackers « noirs », semble dire Bejtlich, l’on sous-estime grandement la dangerosité réelle constituée par une menace véritablement militaire.
Seulement voilà : lorsque se détecte une vague de tentatives d’intrusion semblant orchestrée par un pays étranger, il n’est diplomatiquement pas correct d’en parler publiquement. Ce qui coupe toute possibilité d’utiliser ces attaques comme prétexte –comme déclencheur- à une véritable politique de sécurisation des infrastructures. Le « hacker noir » a ceci de plus pratique qu’il ne peut être situé de manière précise, qu’il ne dispose pas d’un siège aux Nations Unies, qu’il ne possède aucune ambassade, qu’il ne promet aucun marché juteux dans les secteurs de l’avionique, du nucléaire ou des équipements téléphoniques.
Reste à espérer que l’invocation de ces hackers providentiels semble jusqu’à présent essentiellement employée pour promulguer des lois visant à restreindre, à entraver les usagers légitimes d’Internet, à accroître les contrôles policiers sur tout ce qui touche à l’économie numérique. Les grands chantiers de protection Scada sont, quand à eux, relativement négligés, l’échéance d’une éventuelle menace dépassant probablement les échéances électorales.