Spécial sécurité : happy new bug !

1) Les trois premiers trous 2009 Microsoft : un courant d’exploit

Le bulletin porte le numéro MS09-001 et la qualification de « critique ». Ce premier correctif publié par Microsoft en ce début d’année est à la fois unique et triple, car ce seul bouchon colmate 3 failles différentes, toutes affectant le protocole SMB. Deux d’entre-elles (CVE-2008-4834, CVE-2008-4114) sont susceptibles d’attaques en buffer overflow –la seconde n’ouvre qu’un simple déni de service -, la dernière (CVE-2008-4835) permettrait une exécution de code à distance… « là-dessous, y’a de la pâture pour hacker peu scrupuleux, du sérieux stack overflow prêt à être exploité » dit en substance Dave Aitel sur sa mailing list. Et généralement, cet homme a un œil perçant lorsqu’il s’agit d’estimer les potentialités d’exploitation. Les administrateurs sont donc « vivement encouragés » à déployer le plus rapidement possible ce correctif. On ne compte plus le nombre de virus, d’exploits, de portes dérobées, d’instabilités diverses qui entourent cet antique protocole (34 ans déjà), dont les origines se perdent avec celles d’OS/2. C’est la rançon d’une simplicité qui, à l’époque, était nécessaire pour que se développe la notion de réseau d’entreprise.

2) McAfee, le spam, encore le spam

A 24 heures d’intervalle après son frère ennemi Symantec, McAfee publie son « premier rapport 2009 sur le spam ». Les métriques sont strictement identiques ainsi que la plupart des constatations. L’on y reparle notamment de la chute de McColo et de l’impact phénoménal que cela a eu – durant une trop brève période - sur le désencombrement de la bande passante. Bien entendu, à l’instar de Symantec et des autres entreprises américaines spécialisées dans la défense périmétrique, aucune remarque n’est émise sur les causes de ce fléau, aucune critique n’est formulée à propos des dispositions juridiques américaines qui favorisent ce business et protègent les grands polluposteurs. Trop grand respect des institutions ou alliance objective ?

A noter toutefois un éclairage original et une prévision qui semble hélas sinistrement juste. L’éclairage nouveau, c’est celui du hit parade des spam en vogue. La jeune fille esseulée qui cherche une âme sœur, le coup en bourse mirifique sur une entreprise inconnue du Nasdaq, la dernière version d’AutoCad à prix cassés, la trilogie Paris Hilton/Angelina Jolie/Britney Spears dans le plus simple appareil, tout ça bat de l’aile.

Les pharmacies en ligne et leurs fortifiants amoureux ainsi que les montres Rolex (dont les ventes désormais bénéficient de sites Web de support plus « sérieux ») sont des valeurs qui montent. Le luxe et la puissance sexuelle… les spammers sont d’attentifs étudiants qui suivent scrupuleusement les lois de Fowles (lequel n’a jamais fait que reprendre celles de Ford).

L’avenir, prédisent les experts de l’Avert Lab, pourrait bien voir se multiplier les détournements systématiques des outils du Web 2.0. Les hébergements gratuits, les blogs mal protégés deviendront très probablement des relais de spam, de nouveaux moyens de diffusion à bas coûts. Probable, également, la montée en puissance des attaques en phishing et en chantage visant spécifiquement des entreprises, avec l’arrivée des botnets « intra-muros » infectant les machines situées à l’intérieur du périmètre de défense. Enfin, et c’est là hélas la plus plausible et la plus certaine des prévisions, McAfee nous promet une très nette croissance des scams et escroqueries ayant pour sujet les « emplois à la maison » et autres revenus complémentaires. La période de crise que traverse le monde occidental servira de levier à bon nombre de truandages. Ce pourrait également être – ceci étant la conséquence de cel a- un facteur d’augmentation et de dispersion des réseaux de mules, qui pourraient ainsi devenir de plus en plus mobiles, insaisissables et éphémères.

3) Aladdin dans un giron financier

L’Israélien Aladdin Knowledge Systems annonce son absorption par un groupe financier de San Francisco, Vector Capital, dans une opération estimée aux environs de 160 millions de dollars. L’annonce, bien qu’attendue dans les milieux autorisés, peut surprendre. Des entreprises comme Aladdin, spécialisée dans les DRM et protections de contenu, se font généralement racheter par des industriels du secteur… plus rarement des VC ou des financiers. Surtout en ces périodes mouvementées pour les gestionnaires de fonds.

Bien que les activités de Vector soient excessivement diversifiées, il faut remarquer que ce n’est pas la première incursion de ce groupe dans le secteur de la protection des données. Safenet, à Baltimore, créée par des anciens de la NSA, fait déjà partie des « meubles ». Safenet qui, dès l’officialisation du rachat, publiait un communiqué annonçant « un travail en synergie sous la férule d’une direction unique »... Sans que le moindre nom ne soit encore avancé quant à l’identité du futur patron.

4) Downadup/Conficker, ou l’immortelle vengeance de MS08-067

Les forums bruissent de ses effets, les éditeurs d’A.V. et les centres de veille sécurité ne cessent de tirer le signal d’alarme : le ver Downadup/Conficker, qui se propage via la faille signalée dans le bulletin MS08-067, provoque des crises d’urticaire à tous les admins réseau d’entreprise. L’un des premiers effets de cette infection est de… bloquer les comptes utilisateurs si une politique de sécurité vérifie le nombre de tentatives de login infructueuses. C’est le premier « effet de bord » de Downadup, puisque ce dernier lance une attaque « brute force » de recherche de mot de passe. Une seule station infectée au sein d’un LAN peut provoquer une sérieuse pagaille dans l’organisation du travail, déplore un bulletin du Sans.

La méthode la plus simple pour se débarrasser de cette engeance est de « figer » ce polymorphe puis d’appliquer le correctif diffusé par Microsoft. Las, tant que le virus parvient à communiquer avec Internet en général et ses centres de commande en particulier, la chose est quasiment impossible. Il est donc conseillé de bannir les noms de domaines que connaît le virus – une liste dressée grâce au travail de reverse engineering de plusieurs chercheurs, et notamment ceux de F-Secure -. La chose est plus difficile à faire si la gestion des DNS est, comme c’est le cas la plupart du temps dans les PME, externalisée et confiée à un prestataire extérieur. Ceci fait, la suite est presque simple. Fort heureusement, Sylvain Sarmejanne du Cert Lexsi, vient de rédiger une procédure pas à pas excessivement claire, décrivant à la fois le fonctionnement de l’infection – les fonctionnements au pluriel devrait-on dire - et les multiples parades à prévoir pour circonscrire, puis éliminer, l’infection de Conficker, pour ensuite s’attaquer au travail de remise en état du réseau (et notamment des services de mise à jour annihilés par le ver). Les plus à plaindre sont peut-être les « administrateur-password-admin »… s’ils ont survécu.

5) Happy New Bug !

C’est la tradition, le Sans sort son habituel palmarès des « 25 fautes de programmation à ne plus commettre à partir de ce jour ». Il faut croire que les impératifs de rendement et le stakhanovisme des pondeurs de code rendent sourds, car les « fautes à éviter » de 2009 ressemblent à s’y méprendre à celles de 2008, légèrement assaisonnées d’un zeste d’inspiration fleurant bien l’Owasp.

Les erreurs les plus courantes sont classées en trois catégories : Interactions dangereuses entre différents composants, gestion des ressources risquées et défenses poreuses. Et l’on retrouve dans la première section les injections SQL, les XSS, les injections de commandes noyau et autres accès au shell, les CSRF, les « race conditions » et les « indices » révélateurs fournis par les messages d’erreur. La deuxième classification regroupe les BoF et autres jeux sur les limites d’adressage mémoire, la récupération de données externes empoisonnées ou de chemins d’accès, l’injection de code, la récupération de données ou de programmes sans le moindre contrôle d’intégrité et les calculs à résultat erroné (un classique qui remonte à la haute époque des « crics » des calculatrices scientifiques et autres « ordinateurs personnels de poche » des années 80). Dans la catégorie « défenses poreuses », là encore, rien que du classique, du solide, de l’immuable : mauvais contrôles d’accès, algo crypto dépassé (vous avez dit MD5 ou WEP ?), mots de passe « codés en dur » dans des fichiers de paramétrage ou des applications, par exemple, générateurs aléatoires prévisibles ou absence de générateur de données aléatoires (voir les attributions de port IP de la dernière faille Kaminsky et la dernière attaque en date contre l’implémentation de MD5 dans certains SSL), usage abusif de niveaux de privilèges inadaptés (admin pour exécuter Notepad et Solitaire) ou délocalisation sur les postes de travail des mécanismes de contrôle d’accès serveur.