Spécial sécurité – Etudes : qui veut avoir peur de quoi ?

Sommaire
1 - Etudes Sécurité : qui veut avoir peur de quoi ?
2 - Jssi Paris, un CFP sous le signe des tests et des audits
3 - Trous : Semaine de la quinzaine
4 - Globalsign rouvre ses portes

1 - Etudes Sécurité : qui veut avoir peur de quoi ?
Longtemps, les études relatives à la sécurité ont chanté à l’unisson. Les virus venus de l’Est, les botnets fabriqués en Chine, les cyber-hacktivistes venus…de partout, les espionniciels concoctés par l’AntiFrance qui viennent jusque dans nos bras égorger nos pdf et nos emails… A tel point que lire successivement un rapport McAfee, un autre Kasperky, un troisième Matasano, Websense ou Verizon avait tendance à ressembler à la discographie de Britney Spears : on ne peut pas s’endormir à cause du bruit provoqué, mais la répétition des thèmes lasse le moins exigeant des auditeurs.

L’automne 2011, en revanche, nous promet du changement. Damballa, par exemple, un spécialiste de la chasse aux Botnets, nous en annonce jusque sur nos réseaux téléphoniques. Un argument qui prend sa source dans la découverte d’une infection de ce type ayant affecté le monde Android, dans lequel il a fallu lancer une campagne de nettoyage des applications pourries vendues sur les « marketplaces » officielles. Le temps n’est plus, nous assure Damballa, où l’attaque des téléphones mobiles s’effectuait par le biais de SMS et applets Java aussi discrets que rares. Tous les éléments sont réunis pour que l’on commence à voir apparaître des « C&C », centres de contrôle et de commandement pour réseaux de bot, capables d’asservir des milliers de smartphones zombifiés.

Bon, d’accord, tout ça a un très léger air de déjà-vu, puisque le rapport annuel Cisco 2010 nous prédisait déjà un Armageddon de la téléphonie mobile. Pour preuve, la lente montée en puissance des lots de correctifs « poussés » sur les appareils. IOS 4, à lui seul, avait corrigé plus de 60 failles en date de publication du rapport Cisco. Y-a-t-il encore du code autour des trous ? Et l’on ne parle pas des téléphones « dangereusement Jailbreakés » (le « mot de passe par défaut » de SSH fait encore parler de lui…trou qui fit plus de bruit que de mal). Bien sûr, les trous de sécurité, voir les « indiscrétions » et « libertés » prises par certains éditeurs d’applications pour la plateforme Android sont utilisés pour confirmer ces prévisions pessimistes. Remarquons au passage que jusqu’à présent, si l’on a parlé du « nombre impressionnant de programmes peu sûrs » vendus aux possesseurs de smartphone, il n’a jamais été publié de statistiques précises sur le nombre d’applications réellement téléchargées et utilisées par les clients. Ce qui aurait donné une indication un peu plus sérieuse sur le risque réel apporté par ces applications. Tout ça ressemble un peu à certains « virus en chambre », très dangereux, très sophistiqués, très médiatisés, mais dont la zone d’impact ne dépasse que très rarement les limites de la banlieue Est de Bratislava.

Chez Norton, on change de ton et l’on préfère l’analyse sociologique à l’expertise binaire. Le tout dernier Cybercrime Report renoue avec la tradition des chiffres qui impressionnent : la cybercriminalité a coûté 872 millions d’Euros aux Français l’an passé, faisant plus de 9,4 millions de victimes. Une goutte d’eau comparée aux quelques 114 milliards de dollars de pertes au niveau mondial. Ce à quoi le communiqué précise « … pertes auxquelles, il faut ajouter 274 milliards de dollars de temps perdu à résoudre les incidents, selon les estimations des victimes. » Une industrie dont les frais de remise en route coûtent en moyenne trois fois plus chers que le sinistre lui-même devrait se poser des questions sur sa viabilité à moyen terme. Soit les personnes chargées de la reprise d’activité sont coupables d’escroquerie, soit l’outil n’est pas maîtrisé.

Et le véritable danger, précise l’étude, ce sont les réseaux sociaux. Une véritable drogue estiment les rapporteurs, puisque 23% des adultes français affirment ne pas pouvoir se passer d’Internet dans leur vie et 25% sont persuadés que sans réseaux sociaux, ils perdraient contact avec leurs amis. Avant que de savoir décrire précisément ce qu’est une « Advanced Persistent Threat », il serait peut-être bon de commencer par définir les mots « amis », « menace », « risque », « terroriste » ou « perte » …

2 - Jssi Paris, un CFP sous le signe des tests et des audits
C’est dans un peu plus de 5 mois, le 13 mars prochain que se tiendra la prochaine Journée de la Sécurité des Systèmes d'Information (JSSI), organisée chaque année par l’Observatoire de la Sécurité des Systèmes d'Information et des Réseaux (Ossir). Une manifestation qui sera placée cette année sous le thème des tests, des audits, des recherches de preuves… que l’angle soit purement technique ou doctement juridique. Un appel à communication est donc lancé à destination des professionnels souhaitant partager leur savoir ou leur expérience en ces domaines.

Les sujets privilégiés cette année sont arrêtés comme suit :
- Test d'intrusion
- Audit de systèmes ou de produits
- Retours d'expérience sur des cas d'intrusions réelles
- Autopsie (forensics) et reprise après incident
- Analyse de code malveillant (malwares)
- Lutte contre les intrusions (prévention, protection des données, détection)
- Outils intrusifs
- Cadre juridique et réglementaire autour de l'intrusion et du test d'intrusion
Les propositions doivent être envoyées à l’Ossir par courrier électronique (JSSI12 à ossir.org) avant le 5 décembre de cette année. Le choix des communications sera arrêté le 23 janvier 2012.

3 - Trous : Semaine de la quinzaine
5 rustines, 15 vulnérabilités : le mardi des rustines de la rentrée est relativement calme. Calme relatif toutefois, puisque les correctifs MS11-071 et MS11-074 doivent si possible être appliqués avec rapidité, les failles qu’ils corrigent ayant déjà fait l’objet de publications. Il s’agit respectivement d’un risque d’exploitation à distance d’un défaut Windows et d’une possibilité d’élévation de privilège reposant sur un bug Sharepoint. MS11-072 n’est pas triste non plus, puisqu’elle ouvre la voie à une exécution de code arbitraire à l’aide d’un fichier Excel forgé. Toutes les éditions d’Excel sont concernées, versions Mac et Windows, y compris les plus récentes, « 2010 », y compris.

On notera que, sur les 5 rustines, deux d’entre elles colmatent une fois de plus des trous de «détournement de DLL »… un boulet que traîne Microsoft depuis plus d’un an, un tonneau des Danaïdes qui ne semble jamais pouvoir se combler. Détail amusant, la série de bulletins d’alerte a été momentanément disponible durant la nuit de vendredi dernier. Un « loupé » anticipatif qu’a remarqué le Sans.

Au détour d’une note de blog, l’on apprend également que la chasse aux certificats douteux d’origine Diginotar continue, et que de « Patch Tuesday » est complété par l’immolation de 6 nouveaux certificats, comme précisé par un billet rédigé sur le blog du MSRC.

Chez Adobe, qui publie également ses bulletins et rustines le second mardi du mois, la pitance est toute aussi consistante : un seul bulletin d’alerte, mais 13 CVE corrigés d’un coup. Les vulnérabilités corrigées sont considérées comme critiques et peuvent être exploitées via un fichier forgé. Ces failles concernent les versions 10.1 et précédentes du Reader et d’Acrobat pour Windows et Macintosh, et 9.4.2 et antérieures du Reader pour Unix.

4 - Globalsign rouvre ses portes
La semaine passée, le « hacker de Comodo » avait affirmé publiquement avoir compromis, outre les serveurs de Diginotar, quatre autres C.A. dont Globalsign. Cette dernière avait immédiatement cessé toute opération et immédiatement entamé un audit de ses services. « Nous reprenons nos activités » déclarait ce mardi soir le vendeur de certificats, qui précise que la seule intrusion constatée était celle de sa vitrine Web, qui est, nous assure-t-on, totalement isolée de l’infrastructure consacrée à la fabrication et à la délivrance des certificats.

Le Sans, pour sa part, fait remarquer qu’il serait imprudent, pour les clients de Globalsign, d’abandonner leur ancien fournisseur de service tant que l’on ne connaît pas l’identité des trois autres CA compromises. En effet, même si les revendications de DocomoHacker sont un peu exagérées semble-t-il, elles sont confirmées par les constatations nées de l’audit de Globalsign, et tendraient à confirmer la véracité des dires du pirate. Quitter ce fournisseur, explique Swa Frantzen dans le « journal » du Sans, ce serait risquer de tomber entre les mains d’une CA compromise mais dont personne (surtout pas le CA en question) ne soupçonne la vulnérabilité.