Spécial sécurité : Scada; faille IIS; Star Trek

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères évoquent les ambitions de Mc Afee sur le marché très prometteur de la sécurité des systèmes industriels informatisés (Scada), reviennent sur la faille d'IIS (versions 5 et 6) et s'interrogent sur une certaine localisation de l'anti-virus de Sophos.

Sommaire:

- 1 - McAfee lorgne sur le marché Scada

- 2 - Vieille faille Webdav et IIS 5/6

- 3 - Antivirus Klingon et conseils sécurité à l’envers

1 - McAfee lorgne sur le marché Scada

McAfee est sur le point d’acquérir SolidCore System pour 33 M$ en cash, prix pouvant être revu à la hausse (47M$) si certains objectifs financiers sont atteints. Une jolie somme pour une entreprise très peu connue du public, car spécialisée dans la protection des appareils à « électronique embarquée » : distributeurs automatiques de billets (DAB), terminaux point de vente (TPV) et autres outils de contrôle et d’actuation d’infrastructures Scada. SolidCore est un spécialiste du « whitelisting » des applications embarquées. En d’autres termes, ses programmes –théoriquement très proches du noyau et développés en ring zéro- ont pour fonction de superviser les logiciels exécutés par la machine en fonction d’une série de certificats connus. C’est une approche diamétralement opposée à celle des outils de protection classiques qui, pour leur part, acceptent tout à priori et cherchent à détecter, en fonction d’une signature ou d’une analyse comportementale, la dangerosité d’un programme qui sera éliminé à posteriori. Le nombre d’applications « bénies » appelées à fonctionner sur un système embarqué est pratiquement figé, et en tout cas plus faible et plus clairement définissable que ce qui peut être installé sur une machine de bureau. Cette approche très radicale ne peut, pour des raisons de souplesse d’utilisation, être employée dans le secteur de l’informatique générale tel qu’on le connaît actuellement

En revanche, cela ne risque plus d’être le cas dans un proche avenir. La gestion des « applications signées » est un cheval de bataille qu’a enfourché Microsoft depuis belle lurette… et qui devrait finir par s’imposer une fois que seront résolus les « légers » problèmes concernant l’autorité gérant lesdites signatures. En outre, la mode de la « virtualisation » -et notamment la tendance à la discrétisation des « rôles » serveurs, chacun exécuté dans une VM particulière- milite également en faveur de cette approche très sélective de la sécurité. Un « bon » serveur ne fait plus 36 choses à la fois, et l’établissement d’une politique de sécurité reposant sur l’authentification d’un petit nombre de codes exécutables devrait, sinon rendre infaillible, du moins limiter une grande partie des dangers liés à une exécution de code étranger nocif.

2 - Vieille faille Webdav et IIS 5/6

La faille, qui affecte IIS 5 et 6 (les versions plus récentes ne sont pas concernées semble-t-il) a été découverte par Nicolaos Rangos, lequel a publié un bulletin d’alerte tout en prévenant que le défaut permet à la fois de contourner les mécanismes d’authentification et d’injecter des données –du code- à distance. Les différents Cert et Sans ont immédiatement réagi –notamment le CertA, et Thierry Zoller en a tiré un article expliquant par le menu les principes généraux de cette vulnérabilité. Il faudra attendre quelques jours pour que le MSRC réagisse à son tour, et publie coup sur coup une alerte et un billet sur le blog de l’équipe. Il est vivement recommandé, en attendant que soit publiée une rustine, de désactiver WebDav de ces anciennes éditions d’IIS. Chose plus aisée à dire qu’à mettre en application, si l’on se réfère aux liens fournis par Thierry Zoller.

3 - Antivirus Klingon et conseils sécurité à l’envers

TlhIngan Hol Daq "Antivirus" 'oH ghobe glhlthran. Et encore, ce n’est qu’une façon de parler. Car tenter d’utiliser la toute dernière version de l’antivirus de Sophos, édition localisée en Klingon, pose parfois quelques problèmes pour celui qui ne maîtrise pas parfaitement la science Trekkie. A noter que, si Vista 64 accepte sans problème cette version, Sophos précise qu’il existe certains problèmes de compatibilité avec la dll MSxml utilisée dans les systèmes de camouflage de certains vaisseaux de guerre Romulans. Une chose au moins peut consoler les terrestres que nous sommes, c’est que les modules antispam, antiphishing et antispyware devraient, sur un système totalement Klingon, tourner sans trop impacter la charge CPU… faute de spam connu dans cette langue et compte tenu des mécanismes très particuliers d’authentification vocale généralement utilisés par les réseaux de banque en ligne de l’Alliance Galactique. Live long and prosper, youplaboum.

Toute aussi peu sérieuse, cette homélie égrenant les vingt manières de perdre efficacement ses propres données. Conserver précieusement les accès et boîtes mail des ex-employés, estimer que la technologie (antivirus, firewall) suffit amplement à protéger un S.I., s’abonner à toutes les listes de diffusion et autres alertes de sécurité disponibles sur Internet afin de ne surtout ni les lire, ni en suivre les recommandations … il y en a comme çà près de 3 pages écran : une belle collection de « classiques » du genre.

A ne surtout pas lire, donc, car l’on pourrait par déduction en tirer de solides recettes de bonnes pratiques.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)