septembre 15th, 2008

France Telecom possède, comme toute grande entreprise moderne, un département sécurité conséquent. Département qui lui-même intègre une cellule de veille chargée d’évaluer le niveau de dangerosité des failles récemment découvertes et des exploits connus « in the wild ». Régulièrement, cette cellule publie le fruit de ses recherches, à la fois sous la forme de bulletins d’alerte, diffusés sur un site Web intitulé Vigil@nce (http://vigilance.aql.fr/), et dans les colonnes de plusieurs organes de presse spécialisés disposant d’un site Web.

France Telecom possède, comme toute grande entreprise moderne, un département juridique conséquent. Département qui lui-même intègre une cellule chargée de veiller au bon respect de la loi. La loi dans la plus grande rigueur de ses textes… mais pas franchement de son esprit.

Ainsi, certains de nos confrères journalistes et éditeurs ont pu, cette semaine, recevoir la missive suivante :

Vous recevez périodiquement les bulletins Vigil@nce, que vous publiez ensuite sur votre site web.
Notre conseiller juridique nous a demandé de ne plus vous transmettre les vulnérabilités ayant un niveau de gravité important.
En effet, dans l’éventualité d’une attaque sérieuse basée sur les informations publiées par votre site, notre société pourrait être accusée de vous avoir transmis des éléments ayant favorisé cette attaque.
A partir de ce jour, vous continuerez donc à recevoir les vulnérabilités de gravité faible, mais les vulnérabilités importantes ne vous seront plus transmises par Vigil@nce.

Grâce à de tels procédés, l’indice de menace relative qui s’affiche sur le site Vigil@nce , oscillera en permanence entre « beau fixe » et « dans la vie faut pas s’en faire ». La lénifiante information d’une cellule-d’alerte-qui-n’a-plus–le-droit-d’émettre-d’alerte devrait logiquement aboutir à la suppression pure et simple de celle-ci, puisque son utilité sera proche de l’inverse de l’infini.

Il n’existe pas, en France, et contrairement à l’ensemble de nos voisins européens (Allemagne, Grande Bretagne notamment) de Cert grand public qui, à l’instar du Cert Industrie, puisse délivrer une information objective, complète, délivrée sans le moindre alarmisme ou sensationnalisme. De Lopsi en LSQ, de conseillers du barreau tombés de leur perchoir en conseils avisés d’industriels cherchant à étouffer les purulences de certains développements bâclés, il devient de plus en plus difficile, pour le commun des mortels, de pouvoir compter sur une information ni sirupeuse, ni anesthésiée par les ciseaux d’Anastasie. Les professionnels, eux, fouillent régulièrement le flux des IRC, les papotages de Milw0rm, les colonnes du Bugtraq, les fils du Full Disclosure, la compilation de Secunia… il est vrai que ces sources étrangères ne risquent ni les foudres d’un juge, ni la ire d’un avocat-conseil engagé par un équipementier soucieux de son image de marque.

Illustration : Anastasie, gravure d’André Gill, L’Éclipse, 19 juillet 1874

VMWorld, la réunion institutionnelle annuelle de VMWare, est l´occasion pour beaucoup de publier leurs bans de mariage.

C´est le cas notamment de SourceFire, l´entreprise de Martin Roesch, laquelle annonce que désormais, Sourcefire RNA 4.8 (version commerciale de Snort) sera capable de « voir » les VM comme n´importe quelle autre machine située sur un réseau. Une vision brusquement retrouvée grâce à un accord de partenariat avec VMWare, accord dont la première conséquence est d´offrir à ceux qui l´ont signé un droit d´accès aux API VMSafe de VMWare. Vers la fin de l´année, devrait voir le jour une version matérielle (appliance) de cette édition de RNA compatible avec le monde virtuel.

« http://www.mcafee.com/us/about/press/corporate/2008/20080915_050000_q.html » target= »_blank »> « Total Protection for Virtualization »

Jusque là, rien de très remarquable. Plus intéressante, en revanche, sont les conditions de vente, car il semblerait que cette suite soit vendue à raison d´une licence par machine physique… quelque soit le nombre de VM installées sur le noyau h�te. L´économie serait de taille si le prix du paquet de départ ne change pas trop par rapport aux tarifs actuels. Mais rien à ce propos ne devrait être rendu public avant la sortie de la suite de produits, prévue dans le courant du quatrième trimestre 2008.

Rappelons que son concurrent direct, Symantec, avait, au tout début de l´année, annoncé la sortie d´une « Symantec Security Virtual Machine » reposant sur les API VMSafe. Reste à attendre la sortie des versions d´ESX supportant VMSafe.

Chi va piano va sano. Apple, dans sa frénésie de colmatage mensuelle, corrige son mDNSResponder, la partie cliente qui était susceptible de succomber à un exploit de la « faille Kaminsky ». Lors de la sortie du lot de correctifs du 15 août dernier, seul Bind avait bénéficié d’une rustine, consolidation qui ne concernait que les possesseurs de serveurs. Le Sans dresse une liste commentée des quelques 19 constituants d’OSX 10.5 et 10.4 concernés par ces mises à jour.