Statistiquement, le prochain « mardi des rustines » signé Microsoft sera l’un des moins importants de l’année : 4 bulletins seulement… une peccadille. Mais si l’on y regarde de plus près, cette fournée risque d’être la plus « massive » jamais livrée depuis la création de l’entreprise : 22 CVE corrigés, soit une moyenne de 5,2 trous par bulletin. Du cumulatif au concentré d’extrait d’essence de vulnérabilité, fait d’autant plus rare que juillet est un mois impair, généralement plus « léger » en termes de volume que les mois pairs (juin : 16 bulletins, 34 CVE). Il faut préciser, à la décharge de Microsoft, que bon nombre de ces failles ne sont que des « variations sur un thème », en l’occurrence la continuation des colmatages des risques de « DLL hijacking », ou détournement de dll selon l’emplacement de celles-ci et la priorité de lecture qu’autorise le système.
Chez Apple, les affaires ne vont pas pour le mieux côté correctifs. La politique de «fermeture du noyau pousse la communauté du hack à multiplier les efforts pour « jailbreaker » les appareils de l’éditeur-constructeur-revendeur-maître à penser, outils destinés à circonvenir l’intégrité du système à des fins honorables… mais potentiellement exploitables dans des buts nettement moins honnêtes. Ce qui, paradoxalement, fait en sorte qu’à la fois les auteurs des outils de jailbreak ainsi que les ingénieurs d’Apple cherchent à publier le plus vite possible des correctifs de sécurité. Chacun ayant quelques légères divergences d’opinion sur l’art de concevoir un bouchon : les uns dans le but de sécuriser sans porter atteinte au jailbreak, les autres dans l’espoir de sécuriser et de recapturer l’usager et son système. Devançant donc l’édition de la prochaine rustine Apple, les auteurs du dernier outil de déplombage à la mode, JailbreakeMe, conseillent à leurs usagers d’installer un correctif du lecteur de fichiers PDF… une vulnérabilité qui visait jusqu’à présent aussi bien les possesseurs de téléphones iPhones que les propriétaires d’iPad et autres appareils sous iOS 4.3.3. A noter que précisément, Jailbreakme utilise ladite faille pdf pour contourner les protections Apple. Le message peut donc être lu comme un conseil : fermez la porte que vous venez d’emprunter.
Pour les autres (ceux qui n’ont pas « libéré » leurs appareils), il ne leur reste plus qu’à espérer ne pas tomber sur un fichier pdf forgé au cours de leurs navigations. Le risque est faible mais l’ironie est forte.
