septembre 25th, 2014

Linux et autres Unix-like sont menacés par une faille du Bourne Shell (faiblesse dans la gestion des variables d’environnement référencée CVE-2014-6271). L’alerte qualifie le problème de critique. Red Hat détaille les différents aspects techniques du problème. Lequel semble si préoccupant qu’il a attisé la verve de Robert Graham et provoqué la rédaction de trois articles : Le Bug Bash aussi grave que Heartbleed, Inventaire du bug bash sur Internet (un instantané limité de l’étendue des dégâts potentiels) et enfin Le bug bash ShellShock peut servir de vecteur à un virus-vers. Le Sans signale la faille avec un avertissement clair : it’s time to patch et la National Vulnerability Database du NIST attribue à ce défaut une note d’exploitabilité de 10 … la plus haute de l’échelle.

Dans quelques cas, le problème pourra être résolu à l’aide d’un rapide « sudo apt-get upgrade bash ». Mais ce bug baptisé ShellShock risque de faire parler de lui durant encore quelques mois. En effet, bash est un shell que l’on retrouve sur une multitude d’équipements plus ou moins autonomes, plus ou moins communicants, plutôt moins faciles à corriger qu’un ordinateur (appliances, routeurs Wifi, matériel embarqué communiquant, Internet des Trucs et des Machins, box ADSL…). Heartbleed risque donc de faire figure de gadget face à ce trou béant qui affecte la totalité des dérivés d’Unix.

Les politiques de sécurité Byod s’assoupissent, voire sombrent dans un défaitisme abyssal, semble prouver une étude commanditée par TekSystem, pourtant un acteur de la partie. Les détails de l’étude montrent pourtant bien que 62 % des directions techniques s’inquiètent du fait que des données d’entreprise sont accessibles de façon anarchique par les collaborateurs. Mais les deux tiers des sondés avouent ne pas avoir appliqué de politique sécurité propre au Byod.

Plus surprenant encore de la part d’un « vendeur de solution », les constats dépressifs suivants. La moitié des personnes interrogées affirment que l’accès permanent aux documents de travail (fichiers, courriel…) grâce à un terminal mobile accroissent leur état de stress, précisément parce qu’il leur est impossible de « décrocher ». Seuls 28% sont indifférents à cet état, et 22% de WANoholics ne se sentent absolument pas stressés. Les deux-tiers des personnes sondées avouent que si elles avaient le choix, elles retourneraient aux méthodes d’antan qui leur permettait d’être véritablement absents en dehors des heures de travail.

Paradoxalement, 60% estiment que les outils de mobilité leur offrent un meilleur contrôle de leur « vie de travail », 28 % pensent a contrario que c’est leur employeur qui hérite de ce pouvoir. Pour preuve, cette implication dans la vie technique des réseaux : 42% alertent, dans l’heure, les services informatiques lorsqu’une coupure de service est détectée… quand bien même cette interruption de service surviendrait en dehors des heures de travail.

L’impact sur les habitudes d’usage est tout aussi important. Le temps passé à travailler sur de tels outils, durant une journée de travail normale, est de 67% sur un ordinateur portable, 25% sur un téléphone intelligent, 8 % sur une tablette. Ces chiffres sont très proches de ceux constatés durant les périodes de loisir (ordinateur portable 61%, smartphone 31%, tablettes 8%).

Selon le Washington Post, la faille iCloud d’Apple aurait été connue depuis le mois de mars . L’inventeur du défaut s’appelle Ibrahim Balic, chercheur en sécurité Londonien

216 des sandwicheries Jimmy John, aux USA, ont été victimes d’un piratage suivi d’un vol d’identités bancaires. De forts soupçons planaient depuis juillet dernier, la chose a été confirmée par la direction de la chaine.

Sévère régression du dernier correctif IOS 8.0.1. Le dernier correctif désactiverait le TouchID ainsi que l’accès aux services cellulaires sur les iPhones 6 et 6 plus. Le retour à une version antérieure du système est assez laborieux et nécessite parfois le passage en mode DFU. Une version 8.0.2 d’urgence sera disponible dans quelques jours affirme Cupertino

Générateur de virus pour non-informaticien : le lab McAfee se penche sur les performances ergonomiques de Spygate , un RAT (remote access tool) développé par un auteur de malware du moyen orient. Même les malwares jouent à la pré-annonce marketing

« N’appliquez surtout pas la mise à jour de FreeDome sur IOS8 » prévient F-Secure. La suite d’anonymisation 2.0.1 de l’éditeur Finlandais destinée aux terminaux mobiles est entachée d’un bug affectant son VPN. Une mise à jour 2.0.2, disponible sur l’Appstore, remplace l’édition fautive.

La chasse aux failles, chez Microsoft, s’adapte au « Cloud first, mobile first ». Une annonce du MSRC précise que désormais, les chasseurs de faille pourront travailler sur les défauts des services en ligne , la « prime au bug » de départ s’élevant à 500 $. XSS, CRSF, failles d’injection, drive by download, élévation de privilège… toute faille est éligible… déni de service excepté