Spécial sécurité : le chant du cygne pour Cryptome et Milw0rm ?

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, analysent les menaces qui pèsent sur deux sites qui comptent en matière d'informations dans le domaine : Cryptome (spécialisé dans la divulgation de documents officiels) et Milw0rm (spécialisé, lui, dans la divulgation de preuves de faisabilité). Avant de décortiquer le dernière livraison de rustines de Microsoft.

Sommaire :

1 - Chant du cygne de Cryptome et Milw0rm ? 

2 - Microsoft : deux trous rouges au côté droit mais 13 impacts 

1) Chant du cygne de Cryptome et Milw0rm ?

De manière cyclique, l’actualité sécurité sombre dans le fait divers. Parfois dans le but de marginaliser l’importance d’un événement, parfois parce que le traitement débridé de l’information par les blogueurs et buzzeurs parvient à transformer une taupinière en Everest digne le la manchette du défunt Détective, parfois encore parce que l’information ne relève effectivement que du fait divers.

A titre d’exemple, cette semaine, peut-on lire sur le blog de Bruno Kerouanton un cri d’alarme à propos de la survie de Cryptome, site collectionnant des documents sensibles ou censurés par divers gouvernements. Situation qui avait fait l’objet d’un article dans les colonnes de CNIS au début de ce mois. Cette fois, précise B. Kerouanton, c’est le compte Paypal de l’administrateur de Cryptome qui a été bloqué, coupant ainsi la principale source de revenus de ce site d’information. Rappelons que, la semaine passée, les avocats de Microsoft avaient envoyé à l’hébergeur de services de Cryptome une injonction de fermeture, pour ensuite se rétracter… une fois le « direct du gauche » asséné au webmestre. Le prétexte du «  coup qui est parti tout seul,» est une pratique courante chez les plaideurs professionnels dont la solidité des arguments ne tiendrait pas plus de 2 minutes face à un juge d’instruction. Tant que s’appliquera cette justice « hors tribunaux », expédiée entre sociétés de droit privé en vertu d’une interprétation subjective de la loi, de tels excès seront commis. C’est hélas également ce qui risque de survenir en France, avec ces séries de dispositions législatives supposées désengorger les tribunaux, et qui donnent aux grandes entreprises et aux fournisseurs d’accès un « presque droit » de police et de justice privée. Le déséquilibre des forces est d’autant plus patent si cette justice sans juge s’exerce à l’encontre d’entités, d’associations ou d’organisations à but non lucratif, qui ne possèdent pas les moyens financiers qu’exige un hasardeux procès en préjudice. Paypal, de son côté, souvent impavide et muet face aux escroqueries commises sur les sites de ventes aux enchères, et dont le service clientèle est l’un des plus difficiles à joindre de ce côté-ci de l’Atlantique, agit exceptionnellement en gardien de la moralité, en se retranchant derrière d’obscures raisons gouvernementales. Rappelons que Cryptome a de nombreuses fois fait l’objet de pressions de la part d’agents fédéraux agissant officieusement.

L’on pourrait également parler de la lente désagrégation de Milw0rm, qui reste figé depuis plus de 3 mois sur une faille Notepad++. Longtemps conspué par les partisans de la «  divulgation responsable » (entendons par là l’information sécurité sous strict contrôle de l’éditeur), ce spécialiste de la publication d’alertes et de « preuves de faisabilité » était souvent montré comme un distributeur officiel d’outils de piratage. L’énergie nécessaire à l’entretien de ce web et les luttes incessantes pour le faire avancer contre vents et marées avaient déjà poussé son responsable à jeter l’éponge une première fois. Les lecteurs sont revenus à la charge, promettant de participer à l’effort collectif. Las, il y existe une sérieuse différence entre les promesses et les actes. Milw0rm est – était ? - non pas un repository de codes dangereux, mais la vitrine officieuse d’une toute petite partie de ce qui est susceptible de circuler dans le monde underground des exploits. C’était l’un des rares canaux d’information capable de prévenir les responsables sécurité de « l’officialisation » d’un code d’attaque disponible « dans la nature », afin que chacun puisse envisager les contremesures d’urgence qui s’imposent dans une telle situation. Un travail que ne souhaitent absolument pas faire les éditeurs (pour des raisons évidentes), que ne sauraient tenir les Cert (leur travail est d’informer à propos des dangers réellement majeurs) et que ne peuvent assumer les chercheurs indépendants, qui ne souhaitent supporter les foudres d’un avocat qui dégaine l’injonction plus vite que son ombre. Si Milw0rm disparaît, seuls des « clubs d’acheteurs d’exploits » tels que le ZDI profiteront de cette situation.

2) Microsoft : deux trous rouges au côté droit mais 13 impacts 

L’indice de risque des seules MS-010-016 et MS-010-017 est teinté de carmin. Le « patch Tuesday » de ce mois de mars est d’autant plus intéressant qu’il se focalise sur un produit mineur (une faille de Movie Maker) et un défaut touchant un produit bureautique, Excel, tant sous Windows que sur Macintosh. En revanche, il n’y aura pas de correctif dans l’immédiat pour le trou de sécurité « appuyez sur F1 pour vous faire attaquer ». A noter également une mise à jour d’un ancien bulletin de sécurité concernant les machines virtuelles MS, ainsi qu’une alerte portant sur un problème lié à VBScript (via I.E.) sous Windows 2000/2003. A cette liste, on doit ajouter l’avertissement 981374 qui concerne directement un défaut d’I.E. 6 et 7 actuellement activement exploité dans le cadre d’un drive by download. L’équipe de l’Avert Lab en fait même une alerte au zéro day.

Par le jeu des «  correctifs cumulatifs » qui masquent en fait plus de 7 failles différentes sous Excel dans la rustine ms10-017, on en arrive à un total de 13 dangers potentiels, donc une partie ne fait pas encore l’objet de mesures de prévention. Ces failles encore ouvertes sont, pour l’heure, considérées comme peu importantes ou ne représentant pas un risque immédiat, exception faite de la 981374, qui pourrait bien déclencher la diffusion d’un bouchon « out of band » dans le courant du mois.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close