Spécial sécurite : Windows 7 & Windows XP; Heartland; Qualys trop lent ?; Vista
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se penchent largement sur Windows 7 et, notamment, son mode de compatibilité avec Windows XP. Mais ils reviennent aussi sur le hack de Heartland ainsi que sur Conficker.
Sommaire :
- 1 - Windows 7 avec du XP virtuel : tour d’horizon
- 2 - Heartland : 12 millions de dollars de frais d’agence
- 3 - Qualys : Les déploiements sont lents… trop lents
- 4 - Windows 7 : vrais-faux correctifs et authentiques rootkits
- 5 - Vista et ses frères : les véritables mises à niveau
1 - Windows 7 avec du XP virtuel : tour d’horizon
Si le week-end du premier mai fut légèrement agité pour la santé des serveurs de téléchargement Microsoft, le 5 du mois ne fut pas moins mémorable dans les anales des statisticiens du Web. Outre la disponibilité des « extensions de virtualisation », c’était également l’occasion pour l’éditeur d’ouvrir les vannes de sa « beta marketing » auprès du grand public.
Windows Virtual PC « beta » et son extension XP Mode s’adresse officiellement aux clients TPE, artisans et petites PME, à tous ceux qui vont acquérir les éditions Ultimate, Enterprise et Professional de Seven. Il s’agit là d’un proche cousin de Med-V, la solution de virtualisation du poste de travail destinée aux moyennes et grandes entreprises. Une forme de ségrégation peut laisser songeur, car l’on se demande par quel miracle technologique la tranche « grand public » -celle visée par l’édition « home »- serait épargnée par ces mêmes problèmes de compatibilité ascendante des logiciels.
WVPC-XPMode au pas de course
Ce “sauveur” capable de résoudre la plupart des problèmes de compatibilité ne se présente pas, comme son aîné, sous la forme d’un exécutable possédant sa propre interface. Gourous de Virtual Server, spécialistes d’Hyper-V, passez votre chemin… car il est impossible d’installer et d’exploiter ce complément logiciel –que les lecteurs les plus sensibles sautent ce paragraphe- sans lire attentivement la documentation d’installation. Le programme principal tient dans une DLL, et il faudra chercher longtemps avant que de comprendre que les réglages de l’ordinateur virtuel sont désormais intégrés dans … la barre de menu de Windows Explorer (plus particulièrement dans le répertoire contenant les fichiers d’initialisation de ladite VM). L’installation du noyau XP de compatibilité s’opère également de manière totalement automatisée, à partir d’un fichier MSI qui installera automatiquement un fichier VHD prêt à l’emploi, lequel sera le noyau « par défaut » de la VM. Chaque programme installé sur ledit noyau provoque la création d’un fichier de raccourci dans un répertoire spécial –baptisé « Virtual Windows XP Applications »-, raccourci pointant sur le logiciel qui sera alors exécuté en mode « seamless ». L’exécution de ces programmes seamless manque nettement de fluidité, et il est totalement illusoire d’espérer y voir s’exécuter un traitement de signal en temps réel. D’un point de vue sécurité, l’on peut toutefois apprécier le fait que si l’application est particulièrement explosive, elle ne provoquera d’écran bleu que dans le cadre confiné de sa machine virtuelle : le host sera sauf. Manque de fluidité et de rapidité également dans la prise en compte des périphériques USB. Si l’insertion d’une carte mémoire ou d’un périphérique HID s’effectue sans anicroche, la saisie de flux audio provenant d’une carte son ou un train de données rapide débité par une interface USB2.0 se solde parfois par des traitements hachés, voir des pertes de données. Passons également sur un « léger » détail financier : une bonne VM consomme peu ou prou autant de mémoire qu’une station de travail physique. En d’autres termes, les recommandation de Microsoft insistant sur le fait que 2 Go sont au moins nécessaires pour faire tourner un Seven et son Mode XP doivent être revues à la hausse : 4 ou 6 Go sur un portable, 16 Go sur une poste de bureau sont un minimum à respecter.
Le reste a été décrit par nombre de « blogueurs internes » travaillant dans les laboratoires de développement de Microsoft. Parmi les points les plus appréciables, qui feront vite abandonner les précédentes éditions de Virtual PC, l’on peut citer le couper-coller entre VM et host (presse-papier commun), le partage automatique des disques physiques, l’exploitation des jeux d’instruction « VM » spécifiques des processeurs modernes, la mise en commun du répertoire de l’utilisateur courant (mes documents) entre VM et machine réelle, le partage d’imprimante… un tour du propriétaire relativement sommaire est donné par l’auteur du blog Virtually Yours, et Ben Armstrong en mentionne la sortie. Ce même Ben Armstrong signale d’ailleurs, toujours à propos de Windows 7, l’existence de quelques papiers techniques forts bien vulgarisés et écrits par l’équipe de développement elle-même.
Il est encore bien tôt pour entamer une analyse critique de cette nouvelle génération de VM sous un angle sécurité. Certains risques, pourtant, ne sont pas à écarter. A commencer par le « login automatique par défaut » qui facilite le lancement du système virtualisé et des applications en mode « seamless ». Le très probable excès de confiance des utilisateurs quand à la protection de la machine virtuelle elle-même pourrait bien constituer une faille exploitable par ingénierie sociale. L’on peut imaginer bien des choses à partir du moment où le simple échange d’un fichier VHD sur un ordinateur mal protégé peut avoir des conséquences insoupçonnées, tant en terme de fuite d’information qu’en matière de menaces directes contre l’intégrité de l’hôte. Critique positive, également, puisqu’en intégrant une VM en standard dans toutes ses versions haut de gamme, Microsoft habitue peu à peu ses usagers à l’idée même de la virtualisation, de la segmentation des fonctions critiques, de l’isolation des processus et de la sauvegarde/provisionnement des ressources disques exploitées.
Une question demeure : pourquoi, alors que l’éditeur possédait déjà toute la technique nécessaire pour concevoir cette version de VPC, une telle offre n’a-t-elle pas été proposée sous Vista, dès qu’a été évidente la grogne des utilisateurs face aux problèmes de compatibilité ? Voilà qui est révélateur du manque absolu de confiance de Microsoft envers son propre noyau.
2 - Heartland : 12 millions de dollars de frais d’agence
Le hack de l’intermédiaire bancaire Heartland se traduit par une perte de 2,5 millions de dollars sur le dernier trimestre fiscal. Cette perte, précisent nos confrères de Security News, est essentiellement provoquée non pas par le vol des fonds perpétré par d’abominables crackers, mais par une charge de 12,6 millions de dollars dépensés en frais légaux, en amendes imposées par MasterCard et Visa (qui contribuent au déficit pour 1 million de dollars), ainsi qu’en frais administratifs divers. Rappelons que Heartland était certifié PCI-DSS.
3 - Qualys : Les déploiements sont lents… trop lents
D’ailleurs, ce virus-là existe-t-il seulement ? Si l’on en juge par le dernier papier de Bob Lemos du Security Focus, ce serait plutôt la faute à l’inertie des services informatiques. Le trou Adobe ? La faille Excel ? –celle qui traînait déjà non colmatée depuis plus d’un mois, faut-il se rappeler- tout cela pourra bien attendre. Et cela attendra en moyenne 29,5 jours, si l’on se réfère à une récente étude de Qualys. Pas ou peu de changement depuis 2003 se désole Lemos. Et l’on cherchera en vain le manque d’objectivité d’un Qualys dont le métier est précisément de faire de l’inventaire et de la détection de vulnérabilité. Les récentes statistiques concernant la propagation du ver Downadup/Conficker au sein des grandes entreprises ne laissent planer aucun doute quand à cette absence de réactivité. Le virus le plus dangereux, clamait un « RSSI anonyme » rencontré la semaine passée dans les allées du salon Infosecurity de Londres, « ce n’est pas l’absence de politique de déploiement de patch, c’est la rigidité de ces mêmes procédures de déploiement lorsqu’apparaît une rustine que l’on sait critique ». Paradoxalement, un ver comme Conficker a fait nettement moins de victimes, à configuration comparable, dans le secteur grand public et PME, là où les procédures d’installation automatiques de Microsoft Update ou de SUS Server remplissent leur fonction sur des réseaux de petite envergure.
Toujours à propos de Conficker, achevons ce tour d’horizon des vulnérabilités qui piquent avec cette petite étude statistique conduite par Nguyen Tu Quang, le Senior Malware Researcher et CEO de Bkis, société Vietnamienne, qui rappelle qu’il ne faut pas trop écouter les propos de ceux qui annoncent la mort clinique de Conficker. Il y a là dehors un botnet toujours actif de 750 000 zombies, parfaitement capable de se réveiller du jour au lendemain. Les efforts du « Conficker Working Group », qui consistent à tenter de prendre de vitesse le mécanisme d’automatisation de génération de noms de domaines (50 000 par jour) sont totalement vains, estime le patron de Bkis. C’est d’ailleurs en récupérant et en déposant quelques uns de ces noms de domaine que les chercheurs de l’entreprise sont parvenus à dresser une cartographie actualisée de Conficker C.
4 - Windows 7 : vrais-faux correctifs et authentiques rootkits
Microsoft prévient les testeurs de Windows 7 –mais sont-ce bien uniquement des testeurs ?- qu’une série d’une dizaine de « mises à jour de test » vont débuter à partir du 12 mai. Il s’agit là d’essais destinés à éprouver l’infrastructure de mise à jour en ligne, probablement l’une des composantes les plus importantes dans l’édifice « sécurité » de Windows. « Certaines des mises à jour délivrées lors de ce cycle s’installeront automatiquement… d’autres non » précise l’équipe de « l’update products ». Et parmi ces mises à jours qui nécessiteront une intervention humaine et une acceptation avant installation, « One of the updates will test a new update notification feature that provides detailed information about available updates ». En d’autres termes, il s’agit d’une mise à jour du mécanisme de mise à jour qui devrait fournir des informations plus détaillées que par le passé (sic).
Les personnes ayant installé « Seven » sur une machine de production peuvent, par prudence, désactiver l’installation automatique des correctifs par le truchement de l’icône « Windows Update » située dans le panneau de configuration.
Toujours à propos de Seven, on ne peut passer à côté de la toute dernière annonce des frères Nitin et Vipin Kumar qui, après maintes réflexions –publiera, publiera pas ?- ont décidé de placer dans le domaine « Open Source » leur toute dernière preuve de faisabilité (PoC) visant Windows 7 édition 64 bits. Cet outil d’attaque n’est autre que la version 2.0 de Vbootkit, dont la première version avait été tout spécialement conçue pour les noyaux Vista. L’exploit est donc disponible. Il faut remonter aux archives de 2007 pour retrouver la présentation et le white paper de ce rootkit « bootloader » première édition.
5 - Vista et ses frères : les véritables mises à niveau
Le mois de mai devrait-être maigre en matière de correctifs. Selon le bulletin préliminaire de notification, seule une faille critique affectant PowerPoint devrait bénéficier d’une rustine. Cette faille connaît au moins un exploit qui circule actuellement « dans la nature », de manière relativement restreinte, et a déjà fait l’objet d’un bulletin d’alerte le 2 juin dernier.