Spécial sécurité : Windows 7/2008R2, le moment de changer ?

Sommaire

1 - Windows 7/2008R2 : le moment de changer ?

2 - Salade saisonnière de chiffres criminalistico-sinistres

3 - Salade saisonnière de tendances réseaux-socialisantes (suite)

4 - Petit défilé de rustines

1 - Windows 7/2008R2 : le moment de changer ?

Depuis la sortie de Windows « New Technology » 3.10, le développement commercial des systèmes d’exploitation de Microsoft s’effectue en 2 phases. Dans un premier temps, à la date officielle du lancement du système, quelques « early adopter » (ndt : en Français, optimistes inconscients) se dévouent pour essuyer les plâtres, tandis que le ban et l’arrière ban de l’industrie déploient à tours de bras… des maquettes ne sortant pas du cadre étroit de la « salle de tests informatiques ». C’est en fonction des cris d’angoisse ou de bonheur de ces éplucheurs de noyaux que s’entamera la seconde phase, celle de l’adoption ou du rejet généralisé du nouveau système d’exploitation. Mais attention, pas avant la sortie du sacro-saint Service Pack, sorte de cicatrice initiatique qui prouve que les défauts les plus gros ont bien été colmatés.

Cette semaine a vu paraître la première préversion du SP1 de Seven et de 2008 R2 (un fichier commun pour les deux systèmes). A télécharger aux risques et périls de l’impétrant-testeur. A quelques détails près, le SP1 appliqué à Windows 7 n’apporte rien qu’une impressionnante collection de colmatages et de consolidations. Celui de 2008 R2, en revanche, mérite que l’on se lance dans une installation préparatoire en raison de deux nouveautés : RemoteFX, la prise en compte du Windows Aero, d’animations Flash ou Silverlight depuis une machine Windows 7 virtuelle –fonction totalement inutile, donc absolument indispensable- et surtout de Dynamic memory, le gestionnaire de mémoire dynamique sous Hyper-V R2. C’est là une amélioration notable et grandement attendue.

2 - Salade saisonnière de chiffres criminalistico-sinistres

C’est toujours à la mi-juillet que paraissent les « bilans » à mi-parcours des professionnels de la sécurité. Certains volontairement catastrophistes –il faut bien vendre- d’autres plus analytiques, plus « froids ». Et dans cette catégorie, l’on peut désormais ajouter le « half year report » de Secunia. C’est la première édition du genre.

De manière lapidaire, l’on y apprend qu’Apple est champion de failles (en nombre de CVE déclarées… chiffre sur lequel l’éditeur-constructeur-diffuseur n’a strictement aucune prise). Suivi de près par Oracle et Microsoft puis, avec un léger recul, HP, Adobe et IBM (dont les statistiques de comptage CVE grimpent en flèche depuis 2008). A eux tous, ils totalisent 38% des trous déclarés. A noter également une très forte baisse cette année du nombre de CVE attribué à Mozilla. Nous nous permettrons d’insister qu’il s’agit là d’un comptage des CVE, et non pas des correctifs ou des failles par ordre de dangerosité.

Le billet introductif de Niels Henrik Rasmussen, le patron de Secunia, précise qu’il n’y a pas franchement d’amélioration sur le front du bug : le nombre de failles découvertes est toujours aussi important, en dépit des politiques de développement plus strictes. Sans surprise, Secunia constate à l’instar de tous ses confrères, que le nombre de vulnérabilités liées aux programmes « tiers » est en très forte croissance par rapport aux logiciels et systèmes de « qui vous savez ». Sur une configuration Windows typique comptant une cinquantaine d’exécutables, dont la moitié sont d’origine MS et l’autre moitié de provenances diverses, la partie « étrangère » compte jusqu’à 3,5 fois plus de défauts que la partie Microsoft. Enfin, il semblerait que l’on mesure actuellement une forte croissance des découvertes de failles. Il se serait trouvé, durant ces 6 premiers mois 2010, autant de trous qu’il s’en est répertorié durant toute l’année passée.

3 - Salade saisonnière de tendances réseaux-socialisantes (suite)

Chez Trend Micro, on délaisse le pdf pour un conséquent diaporama au format Powerpoint d’une quinzaine de pages. Pour nous apprendre qu’il est inutile de lutter contre la déferlante du Webdeuzéro et des réseaux sociaux en entreprise. Que l’administrateur soit d’accord ou non, les « connectés » et les « potes virtuels » croissent et se multiplient au sein des entreprises : 19 % de contaminés l’an passé, 24% cette année… et l’on n’en est qu’à la moitié. L’étude, conduite aux USA, Japon, Allemagne et Grande Bretagne, précise que ce taux est le même que l’on considère les petites ou les grandes entreprises, exception faite du Japon. La contamination est d’autant plus importante que l’administré utilise un ordinateur portable. De 2008 à 2010, les possesseurs de « laptops » ont adhéré aux réseaux sociaux avec une croissance de 10 % aux USA et 14 % en Allemagne. Comparativement, 29% des utilisateurs de machines portables contre 18% des personnes travaillant avec un ordinateur de bureau déclarent avoir fréquenté un site de « réseau social ». L’on constate d’ailleurs, de la part de ces employés « mobiles », une même propension à s’épancher sur des outils de messagerie instantanée, Web mail et autres « médias sociaux », particulièrement aux Japon et en Allemagne.

Ces statistiques sont comparables à celles mesurées et publiées par d’autres spécialistes du filtrage et de la protection périmétrique (Websense notamment, qui milite pour une libéralisation sous contrôle des média sociaux).

Toujours sur le thème « les médias sociaux, leur vie, leurs mœurs », l’on peut saluer ce court mais très clair résumé traitant des problèmes de sécurité posés par ces nouvelles méthodes d’échange d’information. C’est signé Anthony Bettini, du McAfee Labs. La « théorie des degrés de séparation », explique l’auteur, « rapproche l’attaquant de sa victime. Rapprochement d’autant plus dangereux qu’il est de plus en plus provoqué par des robots créant de faux comptes, et facilité par le peu de discernement de personnes acceptant des contacts inconnus, cherchant plus à collectionner un nombre important de « followers » qu’à connaître réellement la nature des liens unissant cette personne et l’intéressé » explique en substance le chercheur en sécurité. Les réseaux sociaux, rappelle Bettini, c’est aussi un excellent canal de propagation de spam, parfois même de virus (par le truchement d’envoi de liens empoisonnés ou pointant sur des sites compromis) ou de relais de commandes destinés à piloter des réseaux de Bot. Ceci sans parler des risques non liés directement à la technologie, tel que ce que dénonce le pleaserobme.com (s’il te plaît, cambrioles-moi) : le « sur-partage d’informations » augmente le risque d’exploitation par des malfrats utilisant des méthodes traditionnelles et maîtrisant le B.A.BA de l’ingénierie sociale : cambrioleurs, escrocs à la carte de crédit, à l’assurance, à l’agence immobilière… les truands de la vieille école eux aussi sont sur Twitter et Facebook.

4 - Petit défilé de rustines

MS10-42 et MS10-45 –la faille Ormandy et un bug touchant Outlook- sont, clament la plupart des spécialistes, à « patcher immédiatement ». Le très petit défilé de rustines du dernier 14 juillet compte également un trou ActiveX et un autre dans Cdd.dll qui avait également fait l’objet d’une divulgation publique en… mai dernier. Selon les plateformes, le niveau de probabilité d’exploitation et de criticité a littéralement vidé les cartouches rouges des imprimantes du MSRC ainsi que celles du Sans.

Ce jour de bug est révolutionnaire à plus d’un titre, puisqu’il sonne également le glas du support de XP SP2. Le passage au SP3 est vivement conseillé. Un rapide sondage effectué par l’équipe de F-Secure révèle que près de 10 à 11 % des entreprises utilisent encore cette version du noyau Microsoft. En mai dernier, toujours selon les statistiques F-Secure, cette proportion atteignait 44%.