octobre 27th, 2008

A lire les papiers publiés ces dernières 72 heures à propos de la faille MS08-067, l’on comprend aisément les raisons qui poussent Microsoft à ne publier qu’un lot d’alertes par mois. Car, une fois enfermé dans l’illogisme de cette routine, toute parution hors calendrier prend des proportions médiatiques dantesques.

Mais voilà : 08-067 existe bel et bien, a fait l’objet au moins d’un exploit de laboratoire et d’une utilisation plus dangereuse. Côté labo, le fil de discussion Daily Dave a bruissé sur la qualité de l’écriture du Troyen Gimmiv.A ainsi que sur l’analyse de Kostya. Lequel, avec la grâce et la délicatesse qu’on lui connaît, revient sur l’aspect technique du défaut en question. L’explication du « Buffer underflow » étant quelque peu lapidaire sur ces liens, il peut être utile de se reporter à l’explication de Threatexpert.com pour entrevoir la manière dont fonctionne Gimmiv. Kostya Korchinsky explique que c’est là une nouvelle race d’exploits, qui pourrait bien prendre la relève des BoF, race en voie de quasi-extinction. Précisons en passant que Gimmiv n’est pas une innocente preuve de faisabilité : c’est un voleur de crédences locales, MSN, Outlook Express qui, par la même occasion, vérifie la présence de certains antivirus et le type de noyau (pour immédiatement en informer sa « base » par le biais d’une liaison IP située sur une adresse fixe). Le tout est accompagné de données secondaires, telles que le nom de la machine, quelques URLs, le niveau de correctifs installés, des informations sur les stockages protégés ou le type de navigateur employé. Signalons également les travaux de l’Avert Lab sur le sujet, tout ceci noyé dans les cris d’alarme des éditeurs d’antivirus, qui, eux, apportent plus de bruit de fond que de véritable information complémentaire. Cris qui ont tout de même l’avantage, tel celui de F-Secure d’insister sur le fait que l’application rapide de la rustine est impérative. Rien de très neuf non plus dans la mise à jour du bulletin du MSRC signé par Chris Budd. Plus riche d’enseignements que les bulletins des marchands de boucliers périmétriques, plus accessible que les considérations binaires des gourous, la Foire Aux Questions de Juha-Matti Laurio du Securiteam est à lire absolument.

Slashdoté dans la journée de lundi, ce rapport de l’Armée US qui classe Twitter, ce réseau social d’informations « instantanées », comme potentiellement utilisable à des fins terroristes. Et de prendre comme preuve la rapidité avec laquelle se sont répandues des nouvelles lors du tremblement de terre de Los Angeles en juillet dernier. Ou, à l’occasion de la Convention Républicaine de Minneapolis, comment les militants diffusaient les mouvements des forces de l’ordre. Ce genre de « découverte » relève de la même fantaisie que la chasse à la bouteille d’eau dans les aéroports actuellement. Ou la peur des talky walkies et de RTL* par les Compagnies Républicaines de Sécurité durant les événements de Mai 68 : les outils de communication rapide sont… rapides. On pourrait en dire autant des talky walkies PMR* (mais pourquoi de tels outils de morts sont-ils encore en vente libre ?), des téléphones portables, des signaux de fumée, du code morse, des canaux IRC, des messageries électroniques, des coursiers à mobylette, des estafettes à cheval, des pigeons voyageurs, des signaux lumineux émis avec des « stylos laser », des…

* NdlC Note de la Correctrice : RTL, Radio Télé Luxembourg fit, en 68, un « tabac » en signalant, durant les heures de « direct », la position des compagnies de CRS durant les affrontements rue Gay-Lussac. Les PMR, Private Radio Mobile, sont les héritiers UHF des talky walkies de notre enfance qui, eux, étaient sur 27 MHz. Ces appareils, lit-on sur certains quotidiens, ont été de nombreuses fois utilisés dans le cadre de guérillas urbaines et autres affrontements de banlieue, notamment aux Etats-Unis.