Les rustines sèchent trop vite !

L’Avert de McAfee pousse un cri d’alarme : le temps s’écoulant entre la révélation publique d’une faille et la publication d’un exploit raccourcissent comme jours en hiver. Pis encore, alors qu’il fallait 335 fois 24 heures en 2001 pour que Nimda naisse des cendres de la MS01-02, Gimmiv, l’an passé, s’envolait à la date même de la publication de la MS08-067. Et Vinoo Thomas en dresse un tableau historique inquiétant. Parti comme çà, en 2010, les exploits seront publiés 15 jours avant l’émission de la plus petite rustine. Microsoft devra totalement revoir sa procédure de « pré-annonce » privilégiant ses clients grands comptes et acteurs importants du monde le la sécurité. La publication des CPU Oracle aura un goût de moisi et de déjà-vu, et l’on sera terrassé d’étonnement lorsqu’une publication « hors calendrier » corrigera une faille encore répertoriée dans les boîtes à outils de développement de malwares. Pour peu, ce seront les Response Team qui devront faire du « reverse engineering » de virus pour découvrir l’existence d’une faille dans Internet Explorer 11 ou Firefox 7.1.5.3.8.5.9 (beta 4). Le ZDE devra changer de nom. L’on parlera de « Week before patch Exploit » ou WBPE, le « Minus One Month Exploit » ou MOME et le « F… anticipated yearly exploit » (Faye, qui, une fois corrigé par sa rustine salvatrice, prendra l’appellation de Faye done away). Précisons que le tableau de Thomas n’est qu’une succession d’exemples particuliers, et non le fruit d’une moyenne lissée. Si tel avait été le cas, ce raccourcissement aurait été discernable, certes, mais considérablement moins marqué et surtout moins alarmiste. Bien sûr, ce raccourcissement des temps de réaction des auteurs de malware n’est pas chose nouvelle. Plus l’industrie du spam et du spyware progresse, plus se professionnalise la cyber-délinquance et plus les moyens mis en œuvre pour exploiter un défaut se perfectionnent. Le pirate de 2001, ce dilettante égotiste, a cédé la place au spécialiste du fuzzing noir, à l’expert du spyware facturé à la pièce. Une menace, estime Vinoo Thomas, qui ne peut s’éviter que d’une seule manière : en complétant ces imparfaites armures que sont les antivirus et les firewalls personnels « workstation » par une protection de réseau intégrale : le « HIPS sur le Endpoint » (HIPS pour Host Intrusion Prevention System). Un outil que bon nombre d’administrateurs commencent à considérer comme inefficace. Un outil né lui-même de la mort par inefficacité des IPS, les systèmes de détection d’intrusion, qui prévenaient plus qu’ils ne protégeaient, qui assourdissaient surtout les responsables réseau de leurs logs pléthoriques. Alors que les HIPS « serveur » et NIDS (IDS orientés réseau) semblent entamer un déclin marketing, remplacés par des cocktails d’IDS, de NAC, de contrôles comportementaux et de trafic, il semblerait que l’industrie cherche à recaser au niveau du poste de travail ses technologies dépassées. Encore au stade du firewall (presque la préhistoire de la sécurité), le marché du « endpoint » pourrait encore amortir les investissements entamés il y a 5 ou 6 ans et renouveler les ventes déclinantes de la périmétrie appliquée au PC de base. Argument financier d’autant plus important que le business de l’antivirus « seul » ne rapporte plus un seul centime. Le jour où Microsoft, malgré l’échec commercial de OneCare, offrira son A.V., fin 2009, plutôt que de le vendre, une page sera tournée. Le « personal Hips » sera à la mode, espèrent McAfee et ses confrères.