Spécial sécurité : Microsoft, un bug tous les trois jours
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur un bilan des failles chez Microsoft publié dans la presse américaine. Où il apparaît que les efforts consacrés par le premier éditeur mondial ne se traduisent pas au plan statistique. Puis CNIS fait un tour d'horizon des meilleurs ouvrages récemment publiés en matière de sécurité. Ouvrages pour la plupart gratuits.
Sommaire :
1 - Microsoft : un bug tous les trois jours
3 - Cain, Abel, Eve, Alice, Bob et les autres
1) Microsoft : un bug tous les trois jours
Nos confrères de Computerworld viennent de « faire le point » sur 6 années de patch Tuesday. Aucune analyse statistique sur la fréquence ou la dangerosité des défauts, pas la moindre estimation des points faibles les plus remarquables – l’on se doute qu’I.E. conserve une bonne tête de vainqueur. Quelques points saillants cependant : après avoir investi des sommes soi-disant colossales dans la sécurité du code – supérieures de toute manière à ce que des concurrents tels Apple ou Oracle ont dépensé -, le volume des failles ne semble pas diminuer. L’on découvre semaine après semaine des trous antiques qui, telles des casseroles binaires, sont traînées par le noyau NT parfois depuis sa conception. Le nombre de problèmes « exploitables » le jour même de la publication des correctifs ou dans les 10 jours suivant leur publication ne varie pratiquement pas. Parfois même, quelques épiphénomènes font mentir les métriques, ainsi le dernier lot d’octobre, dont 50 % des trous arboraient une livrée cardinalice et faisaient la fierté de quelques auteurs d’exploits. Rappel qui nous permet de rectifier un oubli à propos du travail de Matthieu Suiche sur la MS09-050, sans oublier la divulgation de Laurent Gafié et autres chercheurs.
Bien sûr, il est de bon ton de tirer sur le pianiste, et de rappeler le bon vieux temps des mainframes et de l’école du « zero tolerance for defects ». Ah, qu’ils étaient solides et dépourvus de virus ces 3033 et ces 43xx, sans liaison Internet, reposant sur un réseau SNA plus que propriétaire, avec sa caste de connaisseurs franchement démarquée des administrés et des troupeaux de clients soumettant des travaux « batchés » facturés au prix fort. Avec de tels arguments, même DOS 2.10 pourrait passer pour une citadelle imprenable. Mais il en va de l’informatique comme des amours mortes : les plus anciennes semblent toujours plus belles.
Reste que la question demeure posée : combien de temps encore le « lourd passif de la compatibilité ascendante », des bugs hérités, des DLL instables va-t-il encore empoisonner la vie des administrateurs et des utilisateurs Windows ? Lorsque du passé Microsoft fera table rase, lorsque le poste de travail reposera sur un socle capable de totalement repenser et réécrire un noyau, tout en assurant une compatibilité avec les anciennes applications. Las, ce « futur paravirtualisé » n’est ni pour demain, ni même une absolue certitude.
… et pour trois fois rien. Histoire de garnir les e-bibliothèques du Responsable Informatique et Sécurité, voici une petit collection de livres électroniques gratuits, dont certains méritent largement le « prix » d’une adresse e-mail exigée parfois lors du téléchargement.
A commencer par une série de livres ou de portions de livres offerts par Bit9, dont le « Vista All in One » de Perry, le Pragmatic CSO de Rothman, Microsoft Windows Server 2003 Unleashed, Microsoft Windows Vista Unveiled, Inside Active Directory seconde édition ou Protect Your Windows Network From Perimeter to Data. Tout n’est certes pas du même niveau, mais à cheval donné… A noter au passage un extrait intéressant –quoiqu’un peu survolé- du The Myths of Security oublié chez O’Reilly. Le chapitre en question est intitulé Why Antivirus Does Not Work (Well) & Why Antivirus is Often Slow. Tout un programme.
Légèrement plus polémique, la bataille Hadopi éditée par In Libro Veritas et rédigée par un collectif d’auteurs où se côtoient hommes politiques, journalistes, gourous du libre, blogueurs mondains et activistes militants. C’est là manifestement plus un livre de prise de position qu’un manuel à l’usage des responsables sécurité soucieux des conséquences techniques que cette loi provoque. A lire, à passer sous le manteau, à échanger… via les réseaux peer to peer ?
Toujours dans le domaine de la sécurité, signalons la sortie du dernier numéro de (In)Security de l’équipe du HNS. Au sommaire de ce trimestre, un regard sur Nmap, les data lockers, trois très belles « bouteilles à l’encre » avec la sécurisation du cloud computing et les mythes de la sécurité dans le domaine du sans-fil et les mashup (aka le revamping). Une revue au format pdf toujours aussi intéressante.
Moins en rapport avec le monde de la sécurité – bien que le sujet soit largement abordé au fil des pages -, Simple comme Ubuntu édité par Framabook vient d’être remis à jour pour prendre en compte les variantes de la 9.04. Que dire d’autre sinon que l’on attend avec impatience la révision consacrée à Karmic Koala 9.10.
Mais l’événement « littéraire » du mois – le seul de la liste à ne pas être gratuit - est sans conteste la parution Detecting Malice, de Robert Hansen, alias Rsnake. « Je n’ai pas une seule fois recopié du manuel au kilomètre ou recouru aux pratiques des auteurs de ces mille et un livres techniques si assommants à lire », affirme l’auteur. Chaque ligne, chaque exemple et anecdote s’attachent à une méthode d’attaque, à un scénario de compromission visant une application ou un serveur Web. Le style de Rsnake est généralement plaisant à lire, vivant et vulgarisé de telle manière que les non spécialistes y trouveront eux aussi un enseignement.
3) Cain, Abel, Eve, Alice, Bob et les autres
Cain et Abel, l’outil de test de « solidité des politiques de mots de passe » (qu’en termes galants ces choses-là sont dites), franchit une nouvelle étape, avec la parution de son édition 4.9.35. Une nouvelle étape et de très intéressantes fonctions, avec notamment la prise en compte du 64 bits dans les extractions de hash des principaux systèmes d’exploitation (dont notamment dans les dump ms-cache, secrets LSA, NTLM… pour ne citer que les plus remarquables). Ajout également de tout un éventail de prises en compte de Windows 7, à commencer par tous les protocoles liés à Windows Live Mail, successeur d’Outlook Express. La nouvelle version ne fait plus hurler les UAC sous Vista et Seven.