Spécial sécurité : Avast aux fraises…
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s'intéressent aux soucis rencontrés par le fournisseur d'antivirus Avast - et par ses utilisateurs - avec l'une une récente mise-à jour. Dans la série gouffre de sécurité, Ils reviennent aussi sur l'impressionnante collection de correctifs publiée cette semaine par Microsoft et s'intéressent à une n-ième faille zéro-day de Flash.
Sommaire
1 - Non, la Chine n’a pas piraté Avast
2 - Mois pair, mois faste chez Microsoft
3 - Flash, un électrochoc de plus
1) Non, la Chine n’a pas piraté Avast
Vif émoi, dans la soirée du 11 au 12 avril, au sein de la communauté d’utilisateurs d’Avast : rares étaient les sites Web accessibles, et manifestement l’antivirus gratuit semblait ne plus tellement apprécier les iFrames émis par les Oueb de France, de Navarre et d’ailleurs. Trois heures durant, les forums ont bruissé de pleurs et de grincements de dents, le temps que l’éditeur « pousse » une mise à jour un peu moins susceptible qui supprime ce « faux positif ». Ce matin encore, une requête Google comprenant les chaines « Avast » et « html:script-inf » (le nom du vecteur soi-disant détecté) affichait plus de 12 000 résultats.
Cette cécité partielle du Web provoquée par la détection d’une simple chaine de caractères ouvre des perspectives insoupçonnées en matière de politique économique et d’indice de « bonheur national brut ». Car la chose, c’est certain, pourrait être largement exploitée par les Sages qui nous gouvernent. Un nouveau fichier de signatures, et hop, plus de chaine de caractères comportant le mot « carburant » et « 2 Euros le litre ». Voilà bien des soucis en moins, car sans mot sur la chose, comment éprouver les maux de la chose ? Une mise à jour et l’on raye de la carte tous les sites qui mentionnent les termes « Elections », « 2012 », « centristes », « UMP », « PS », « FN » « Ecologiste » (rayer la requête inutile). Et ainsi de suite, au rythme des mots qui fâchent selon les tendances du moment et les visées d’un super Ministre des Antivirus et du Confort Publique. « Tiers provisionnel », « débat sur la laïcité », « indice du chômage », « Hadopiratage » (en deux mots, le placement de la césure est laissé à l’appréciation de la clientèle), « décret d’application de la LCEN », « Espionnage/Renault »… le bonheur serait simple comme un grep. Et puis, pensons aux éditeurs eux-mêmes. Disparus, les « rogue antivirus » et autres scarewares émis par des entreprises mafieuses, et donc incapable d’avoir en leur conseil d’administration, entre un CEO et un CTO, un RDG et un DGCCCS (Responsable du Dialogue Gouvernemental et un Directeur à la Gestion des Chaines de Caractères à Caractère Stratégique).
Hélas, nous ne sommes pas dans un monde parfait.
2) Mois pair, mois faste chez Microsoft
Il vient à peine de rentrer au MSRC, et voilà qu’on lui confie les corvées les plus pénibles, à Pete Voss. A commencer par devoir rédiger le billet signalant la publication du « bulletin avancé » des correctifs Microsoft pour le mois d’avril. 17 bulletins, 64 correctifs. Dans le lot, l’on y trouvera un bouchon attendu depuis fin janvier, celui qui colmatera la fameuse et très médiatique faille MHTML signalée par l’alerte 2501696 et provisoirement isolée par un « fix-it ».
Sur l’ensemble, 42 correctifs sont qualifiés de « critiques », à appliquer le plus tôt possible. Le spectre des patches vise large : Windows, Office, Internet Explorer, Visual Studio, .NET Framework etl le GDI+.
3) Flash, un électrochoc de plus
Le fait devient aussi banal qu’un trou I.E. : Flash Player 10.2.153.1* est encore affecté par une faille jugée critique par l’éditeur lui-même, commenté par Brian Krebs qui soupçonne fortement une exploitation du défaut, ce que confirme le billet du Sans : les mécréant de l’Internet utiliseraient comme véhicule un fichier Word intégrant du Flash, lequel, via son exploit, installerait une porte dérobée connue par certains sous le nom de Zolpiq.
Etrange, que tout çà. Il n’y a pas deux semaines, le coupable était une feuille Excel injectant, également à l’aide d’un contenu Flash, une backdoor « Poison Ivy ». S’agirait-il des mêmes méthodes utilisées par les mêmes fabricants de malwares ? Chi lo sa. Ce qui est certain, c’est que l’on ne pratique pas le fuzzing seulement dans les laboratoires de contrôle-qualité des éditeurs de logiciels. Demain, l’on entendra peut-être parler d’une attaque Flash sous PowerPoint, Groove, Outlook, Access, Publisher, Infopath, Picture Manager etc. Mais il faudra probablement attendre la version d’Office 2056 SP1 pour que l’on puisse voir apparaître une interface de gestion des « add-in » autorisés dans les programmes bureautiques en général et ceux de Microsoft en particulier.
Nul ne sait quand ce défaut de Flash Player 10.2.153.1 sera corrigé. Il ne semble pas qu’Adobe envisage de publier un bouchon hors calendrier pour l’instant. Après tout, il ne s’agit que de la seconde faille « critique » (extrêmement critique même, estime Secunia) du genre.
Ndlc Note de la correctrice : croiseur touché. A moi, maintenant : Acrobat 12.9.5.7.314159… coup dans l’eau ?