août 12th, 2015

Le « mardi des rustines » d’août 2015 restera marqué dans les annales. Pour son foisonnement de correctifs tout d’abord, puisqu’Adobe bouche la bagatelle de 34 trous, Microsoft publie 14 correctifs lourds pour un total de 56 alertes CVE. Oracle fait le « buzz de la semaine » avec une bourde monumentale commise par Mary Ann Davidson, la CSO du groupe.

Chez Microsoft, ce mois d’août est une première à triple titre.

– C’est le tout premier « patch Tuesday » pour Windows 10, et 40 % des 56 failles colmatées proviennent de ce nouveau noyau

– C’est le premier lot de correctifs pour Edge, le successeur d’Internet Explorer à qui il ne manque que la parole (et pas mal de fonctionnalités), mais qui bénéficie de la même stratégie de bouchons cumulatifs : MS15-091, riche de 4 trous, dont 3 critiques

– C’est surtout la première régression W10… ce qui laisse présager des réveils pénibles lorsque sera mis en place la politique du « non stop patching »

Cette régression fait l’objet d’un court billet sur le blog de Graham Clueley. Après application du pansement logiciel, le système redémarre sans cesse. Situation dramatique dans laquelle peu de « non informaticiens » parviennent à s’en sortir. La liste des fichiers concernés par la mise à jour cumulative est tellement impressionnante qu’il est difficile de déterminer le véritable coupable.

Internet Explorer a droit également à son correctif d’été, une faille non critique WebDAV – CVE-2015-2476. Office, pour sa part, est frappé par une faille qualifiée de critique ouvrant la voie à des attaques distantes. Au sein de ce bouchon, l’alerte CVE-2015-1642 est actuellement exploitée « dans la nature ». Egalement exploité, le trou CVE-2015-1769 dans le gestionnaire de « montage » de ressources ( correctif MS15-085 )

A côté de ce déferlement, les 34 trous éliminés dans la nouvelle édition de Flash Player font figure de parents pauvres. Ce n’est toutefois pas une raisons pour ne pas se demander si cet habitué des patchs Tuesday est vraiment indispensable.

Mais le plus beau correctif du trimestre, et probablement de l’année toute entière, c’est Oracle qui en est la source. Le lot est important : CVE-2015-3107, CVE-2015-5124, CVE-2015-5125, CVE-2015-5127, CVE-2015-5128, CVE-2015-5129, CVE-2015-5130, CVE-2015-5131, CVE-2015-5132, CVE-2015-5133, CVE-2015-5134, CVE-2015-5539, CVE-2015-5540, CVE-2015-5541, CVE-2015-5544, CVE-2015-5545, CVE-2015-5546, CVE-2015-5547, CVE-2015-5548, CVE-2015-5549, CVE-2015-5550, CVE-2015-5551, CVE-2015-5552, CVE-2015-5553, CVE-2015-5554, CVE-2015-5555, CVE-2015-5556, CVE-2015-5557, CVE-2015-5558, CVE-2015-5559, CVE-2015-5560, CVE-2015-5561, CVE-2015-5562 and CVE-2015-5563. (une telle liste est toujours impressionnante et ne compte pourtant que 34 trous répertoriés).

Mais il y a pire que les 34 trous d’Oracle : la réaction de la CSO du groupe qui, dans un billet de blog, conspue les spécialistes de la recherche de faille. « Ce sont des spécialistes du FUD, écrit-elle en substance, dont le travail quasiment inutile ne représente que 3% des failles découvertes, la majorité d’entre elles relevant du travail de notre response team ». C’est probablement pour cette raison d’ailleurs qu’Oracle ne possède pas, contrairement à la majorité des autres éditeurs, de politique de prime au bug. « Bug bounty is the new boy’s band » lâche-t-elle au détour d’une phrase.

Et de continuer « Cette chasse au bug n’est qu’une forme de reverse engineering déguisée, une atteinte manifeste à la propriété intellectuelle d’Oracle ».

Ce genre de discours, tellement en vogue dans les années 90, a poussé Oracle à bâillonner toute recherche indépendante durant des années. La sécurité par la menace juridique, Alexander Kornbrust, le patron de Red Database Security ou David Litchfield en ont fait les frais par le passé, et l’on croyait cette époque révolue.

Le billet de Mary Ann Davidson est-il un pas de clerc ou une tentative mûrement réfléchie de la part du groupe pour tester les réactions de la communauté ? Test concluant, car la réaction en question a été relativement vive. Même nos confrères de Hackaday, pourtant plus versés dans le hacking que dans la vie quotidienne du landerneau Infosec, en ont tiré un article indigné. Le poulet provocateur a, depuis, été retiré, mais peut toujours être récupéré dans la cache Google. Les RSSI terrassés par les chaleurs aoûtiennes et les épreuves du déploiement peuvent se détendre en parcourant les messages hashtagués #oraclefanfic.

Microsoft annonce la sortie de Windows 10 pour l’internet des objets « W10 IoT Core » destiné notamment aux plateformes Raspberry Pi 2. Le noyau est disponible en téléchargement gratuit

En quête d’une nouvelle virginité ? Les constructeurs d’appareils à la sauce « Internet des objets » publient un manifeste réclamant plus de sécurité en matière d’intégration

Stefan Savage (UCSD) présente à l’occasion de Usenix, un discret boîtier de télécommande qui, branché sur la prise ODB2 d’une Corvette, commande ou désactive le système de freinage . C’est le énième hack d’automobile publié par nos confrères du magazine Wired

Kali Linux, plateforme open source de tests de pénétration et successeur de Metasploit, annonce le lancement de sa version 2.0, revue enrichie, notamment en matière d’outils de test dans le domaine du « sans fil »

En piratant les fils d’information Business Wire, Marketwired et PR Newswire, un groupe de crackers que l’on croit Ukrainien ont profité de la primeur des renseignements pour boursicoter à leur avantage. Gain estimé : 100 millions de dollars, via des traders « mules » vivant à New York et périphérie.

L’équipe du Sans prévient que le fameux domaine Com.com, acheté une fortune par l’un des rois du typosquatting dsparking.com, servirait un « faux antivirus ». L’hébergement est assuré par un service Amazon, les administrateurs d’EC2 ont été prévenus.

En épluchant le rapport 10Q d’Ubiquity (vendeur de routeurs Wifi), Brian Krebs a découvert que l’entreprise avait été victime d’un détournement de plus de 46 millions de dollars. Les voleurs auraient utilisés la technique du « faux ordre du patron ».

Faille critique dans Firefox : CVE-2015-4495 serait actuellement exploité , pouvant provoquer des fuites de données locales. La mise à niveau vers la version 39.0.3 est plus que recommandée.

Même l’Icann aurait été victime d’un vol d’identité. Un bref bulletin d’alerte demande à ses usagers de changer de mot de passe. Les fichiers volés contiendraient les noms, adresses email et le condensat des mots de passe enregistrés