Spécial sécurité : Internet Explorer d'un trou à l'autre…
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur une série de failles affectant les navigateurs internet de Microsoft, avant de se pencher sur la dernière cartographie des failles web publiée par l'Open Web Application Security Project (Oswap). Et ils concluent par un article sur la faillite et le rachat de Decode US, l'entreprise qui avait entrepris de cartographier le génome des habitants de l'Islande et dont la sensibilité de la base de données fait craindre le pire aux défenseurs des libertés individuelles. Bienvenue à Gattaca...
Sommaire :
1 - Microsoft, d’un trou à l’autre
2 - Owasp top 10 2010 : une cartographie des failles Web
3 - Ou y’a du gène, y’a de l’avenir
1) Microsoft, d’un trou à l’autre
Tout commence par un bulletin d’alerte 977981 et un billet sur le blog du MSRC, qui préviennent tous deux d’une faille à priori non exploitée publiquement affectant I.E. 6 et 7. Le conseil logique étant bien entendu de « migrer vers I.E. 8 » ou, tout au moins, de désactiver l’active scripting, compte tenu du fait qu’un PoC relativement instable est publié dans les colonnes du Bugtraq. Mais deux jours ne se sont pas écoulés après cette annonce qu’une autre alerte est émise… I.E. 8 est à son tour victime d’un défaut facilitant une attaque en cross-site scripting provoqué, comble de l’ironie, par un mécanisme servant à protéger le navigateur contre les XSS. La présence de ce trou a été révélée par Dan Goodin, correspondant du Register aux USA. Les détails sur l’exploitation et l’origine de l’information n’ont pas été dévoilés au moment où nous rédigeons ces lignes.
2) Owasp top 10 2010 : une cartographie des failles Web
Autant les premiers communiqués de l’Owasp (Open Web Application Security Project) se limitaient à une sorte d’inventaire des risques pouvant mettre en danger une architecture Web, autant l’édition 2010 est une petite merveille d’information structurée, de renseignements utiles… En un mot, la préversion de ce « hit parade des dangers Web et comment les éviter » frise une bonne méthode ou une analyse de risques. Ce n’est pourtant pas de cette manière qu’est présenté ledit document. C’est tout au plus un vadémécum qui renvoie aux autres ouvrages publiés par l’Owasp, et qui, eux, plongent plus profondément sur les méthodes de développement. Sur une vingtaine de pages, ce guide dresse tout d’abord une liste des attaques les plus courantes. Pour chaque attaque, une fiche pratique d’une page pose les deux questions fondamentales de l’administrateur Web (suis-je vulnérable et comment puis-je m’en préserver), accompagne ces interrogations d’une explication lapidaire d’un scénario d’attaque, et fournit une série d’URLs pointant sur les chapitres de référence soit d’un ouvrage de l’Owasp, soit d’un document du CWE.
Ah ! Si les « top ten » du Sans, du CSI-FBI et autres organismes pouvaient être aussi clairs…
3) Ou y’a du gène, y’a de l’avenir
Anxieux s’abstenir, brigbrotherophobe, passez votre chemin. Wired nous apprend que la filiale US de DeCode Genetics, une entreprise Islandaise spécialisée dans l’analyse génétique vient de déposer le bilan. Sic transit gloria mundi.
Et les défenseurs des libertés individuelles s’en émeuvent. Car DeCode US possède un fichier et une collection d’empreintes à faire pâlir le réalisateur de Bienvenue à Gattaca. Car tout comme dans le film d’Andrew Nicoll, cette entreprise était spécialisée dans la détection des risques de maladies ou de prédispositions génétiques. Que va devenir ce thésaurus ? Le repreneur, Saga, assure que jamais ces données ne seront revendues à des médecins, des employeurs ou pire, des compagnies d’assurance. Mais rien n’interdit, craignent certaines ligues de défense de la vie privée, que ces mêmes données soient revendues à des laboratoires, après anonymisation, et que ladite anonymisation puisse être levée grâce à des séries de recoupements.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
DevSecOps et API : quand l’approche « Shift Left » ne suffit pas
-
Contrast Security veut protéger les applications Web tout au long de leur cycle de vie
-
Sécurité applicative : Yagaan veut fluidifier la détection de vulnérabilités dans le code
-
Baracuda renforce son offre de protection contre les dénis de service