Spécial sécurité : l'affaire Google/Chine laisse beaucoup de questions en suspens

Sommaire :

1 - ZDE Microsoft ou la faillite des experts 

2 -  Voici venir le mois du trou serveur 

3 - Shockwave choc 

1) ZDE Microsoft ou la faillite des experts

Lorsqu’un véritable expert en sécurité informatique découvre une faille en août et que le protocole de l’éditeur concerné repousse le problème sine die, les journalistes commencent à se poser des questions.

Lorsque le correctif out of band de ce même éditeur tend à battre en longueur le chapitre d’introduction d’un roman Balzacien et parvient à rectifier 8 alertes CVE d’un coup, les rédactions ne se posent plus de questions : c’est un trou ? c’est un gouffre ? Non, c’est une faille abyssale ! En revanche, l’on comprend moins bien comment une rustine d’une telle complexité a pu être développée en si peu de temps. Rétention d’information ? Ce serait faire du mauvais esprit.

Lorsque les Cert français, allemands et suisses émettent des réserves quant à l’usage de certains navigateurs en utilisant des subtilités sémantiques dignes d’un avocat d’affaires, on recommence à se poser des questions. Dans un monde cloudifié ou tout (nous explique-t-on), sera bientôt vu par le bout de la lorgnette d’un navigateur, nos gourous nationaux sont sur le point de ressusciter une vieille blague d’unixien période Berkeley : « le système d’exploitation du jour est…. » (cocher le programme de votre choix). Car «  utiliser provisoirement un navigateur alternatif », c’est s’attendre à terme à entendre des avis du genre «  il est fortement conseillé d’utiliser provisoirement un système d’exploitation alternatif » ou «  n’oubliez pas d’employer provisoirement votre traitement de texte alternatif »… et pourquoi pas «  pensez à emporter votre téléphone alternatif ». Fort heureusement, changer de VM en cours de journée ne nécessite pas de profondes compétences techniques, et les attaques contre les smartphones appartiennent encore au monde onirique des blogueurs en mal de sensations. Seule la majorité des usagers grand-public et informatisés des PME ne saisira pas l’aspect « provisoire » de ces recommandations… vae victis. Pendant ce temps, les Cert US, du Zimbabwe, de Bosnie-Herzégovine, de Xanadu et de Cypango signalent une probable vague d’attaques et conseillent de faire le dos rond en utilisant les navigateurs « courants » et non « alternatifs ».

Lorsque les maîtres à penser de la sécurité (certains Américains, d’autres Français) conspuent la presse en l’accusant de sombrer dans le sensationnalisme et de ne « rien y connaître », à nouveau, l’on se pose des questions. Quel expert faut-il écouter ? Le gourou des virus (ou son directeur marketing) qui arbore fièrement le blason et l’objectivité d’un éditeur d’A.V. ? Le CSO de Google ? Le spécialiste de Wireshark et de Népenthes ? Au fil des intérêts ou désintérêts de chacun, l’échelle de Richter de la faille passe de « vague H1N1 médiatique » à « épidémie de peste bubonique avec surinfection d’ongle incarné ». Affirmations d’ailleurs généralement mâtinées de toutes les précautions de langage qui, le temps venu, permettront à celui qui se serait trop laissé aller de se dédire en renchérissant : «  déjà, à l’époque, j’avais avancé l’hypothèse que …. »

Mais on ne sait plus du tout que penser lorsque les politiques s’en mêlent, comme en témoignent les articles publiés dans Rue 89, Le Monde ou la BBC. Les spécialistes des conflits asymétriques y perdent leur latin et tentent d’expliquer les différentes facettes de cette affaire. Car le casus-belli profite à presque à tout le monde. A Google, qui utilise ce catalyseur pour entamer un désengagement de Chine et se refaire une virginité, au moment même où son image bigbrotheriste devenait difficile à porter. A Washington, qui saisit l’occasion de se montrer « ferme à peu de frais » et ainsi clouer le bec aux ultras républicains qui accusent d’attentisme le pouvoir démocrate en place. A Pékin, également, pour qui cette « accusation sans preuve » est l’occasion d’affirmer un peu plus son refus de se voir infliger des leçons de démocratie de la part de pays étrangers. Google, Jeux Olympiques ou Tibet, même combat. Les seuls dindons de la farce sont donc les quelques « 15 autres entreprises » qui auraient fait les frais de ce fameux cyber-assaut et qui ont préféré faire profil bas de peur de se ridiculiser ou de se décrédibiliser. Attitude bien entendu décidée encore et toujours par des « cellules de crise », conduites par d’autres « experts en sécurité » dont les opinions et stratégies sont à l’opposé de celles de Google ou du Pentagone.

Chez les analystes technico-géo-politiques, toujours ce même partage des sentiments. Les uns, tel Joe Stewart de SecureWorks, défendent bec et ongle l’hypothèse de l’origine Chinoise et de l’attaque coordonnée. Propos que Brian Krebs vulgarise avec sont talent habituel. Une thèse que Graham Clueley de Sophos défend du bout des lèvres, en expliquant qu’il est impossible de prouver scientifiquement l’origine de l’attaque. Une discours que le Quai d’Orsay avait également tenu lors de la vague de tentatives d’intrusions qui avait frappé les serveurs de l’administration française. Des subtilités de langage évidentes pour un habitué des questions sécurité et de diplomatie, mais qui paraîtront bien obscures et pas très franches du collier pour un non-initié. Certes, dans le landernau des RSSI, tout le monde sait que Clueley, ex-technicien de Dr Solomon, est un homme marketing et que Stewart est un savant incontesté, un ancien du LUHRQ. Mais le monde, ce n’est pas Landernau.

Et si la presse généraliste, dans son imprécision et ses affirmations fantasmatiques, n’était que le reflet de l’opinion et de l’attitude de tous ces experts en sécurité ?

2) Voici venir le mois du trou serveur 

Cela faisait bien longtemps que l’on n’avait assisté à l’un de ces feux d’artifice d’exploits et de révélations de failles. Bien longtemps après le Month of Apple Bug ou le Month of Vista Bug, voici le « mois du trou serveur », organisé par des chercheurs russes, qui annoncent clairement la couleur : «  Pas de divulgation préalable gratuite auprès des éditeurs, ils se font déjà assez d’argent comme çà »

Le calendrier de publication était d’ailleurs défini avant même l’ouverture des hostilités : du 11 au 17 janvier, tout sur les trous affectant les annuaires, des e-directories Novell à Tivoli. Du 18 au 24, le palmarès des serveurs Web (probablement le plus simple des exercices) avec en « guest star » Zeus, Sun Web Server, Apache, etc (exceptionnellement, IIS n’est pas mis en avant). Le mois s’achève avec la semaine des bugs « bases de données » : Mysql, IBM DB2, Lotus Domino, Informix, Oracle… Tout cela est à suivre en direct sur le blog Intevydis ou sous forme d’email sur la liste DailyDave. Ce n’est donc pas un hasard que certains trains d’annonces se concluent avec une collection de modules de tests et exploits destinés à Canvas, le pentesteur d’Immunity.

3) Shockwave choc 

Encore une faille Adobe, affectant Shockwave cette fois, éditions PC et Mac. L’alerte émise précise qu’il est important de bien désinstaller la précédente version avant d’effectuer la mise à jour. Seulement, rares sont les personnes qui savent précisément si Shockwave – composant rarement nécessaire dans le cadre d’un usage courant - est installé ou non sur leur machine.