mars, 2009

Un vieux mythe est devenu réalité grâce à Alfredo Ortega et Nico Economou. Ces deux chercheurs de Core Security sont parvenus à développer le premier virus intégré dans le Bios d’un ordinateur. Les détails de la démonstration, effectuée durant la dernière CanSecWest, sont disponibles sur le site du laboratoire. En se situant au niveau de l’amorce système d’une machine, les deux chercheurs sont donc parvenus à développer un vecteur d’attaque totalement indépendant du système d’exploitation installé, et capable de résister à tous les formatages ou changements de disques possibles. L’emplacement idéal pour camoufler un tel virus serait… en lieu et place du « décompresseur de données » (les données Bios sont compressées à l’aide d’un algorithme Lempel Ziv). Le décompacteur en question n’est lui-même pas du tout compressé. A la lecture du fichier PDF décrivant ce hack étonnant, l’on remarque la phrase suivante « Virtual machines also have a BIOS! ». Un Bios géré par l’instance principale de l’hyperviseur, et donc susceptible d’infecter toutes les VM lancées simultanément sur une même machine. Si cela n’inspire pas Joanna Rutkowska…

Une variante de la précédente histoire, toujours orchestrée par les spécialistes du faux antivirus, décidément très en verve ces jours-ci. Cette fois, le montage est dénoncé par l’équipe de F-Secure : l’éditeur de faux antivirus ne prospecte jamais directement. Il passe par un réseau de « rabatteurs affiliés » qui, à l’aide d’un botnet, piègent les internautes. Lesquels voient apparaître des écrans d’alerte leur signalant la présence d’une infection dangereuse, laquelle ne peut être éradiquée qu’après achat de l’antivirus seul capable de détecter ladite infection –et pour cause, cette infection est une pure invention. L’antivirus est vendu 50$, le rabatteur est payé 20 $ par victime. La technique du faux agresseur mis en fuite par un sauveur trop opportun pour être honnête est une vieille technique des amateurs de carambouille. L’informatique n’invente rien, elle adapte. Peut-être existe-t-il, parmi les C0d3rZ, des amateurs de l’œuvre de Jean-Paul Belmondo.

Il y a longtemps, très longtemps

Il y avait un bon hacker

Qui offrait ses bugs éclatants

Sans avoir…

Sans avoir…

Sans avoir l’air

Ses bugs étaient de qualité

Tous des CVE notables

Et tous ses PoC en vérité

Bien exploitables

Un éditeur vint à passer

Qui collectait ces pacotilles

Avec son avocat flanqué

D’un code si

D’un code si

D’un code civil

Et comme il était de surcroît

Pingre comme un atomiseur

Il prit les bugs et planta là

Notre chercheur

Lequel à ce moment précis

Avait le nez dedans son hard

Ce qui fait qu’il n’y prit

Pas du tout

Pas du tout

Pas du tout garde

L’éditeur obtint alors

Le prix du meilleur « response team »

Et le chasseur mourut de faim

Sans un centime

Et tout s’étant ainsi passé

Suivant la plus saine logique

Sans le concours d’aucune fée

Aux dons magiques

Les clients se crurent protégés

Et périrent tous d’une infection

C’est ainsi qu’il faut raconter

Des plus grands chercheurs les batailles

Si vous voulez éviter

Qu’ils trouvent encore des failles

(d’après Jacques Faizan)

Tout ceci pour traduire le désespoir des chasseurs de bugs. « No more free bugs » manifestaient, durant la dernière CanSecWest, un groupe de trois chasseurs de failles réputés : Dino Dail Zovi, Charlie Miller (interviewé à ce propos par le non moins célèbre Ryan Naraine pour le compte de ZD Net ) et Alexander Sotirov dont les derniers échanges avec Verisign ressemblent plus à une guerre larvée qu’à un échange entre adultes travaillant de concert sur un problème de sécurité.

No more free bug en vertu d’un raisonnement relativement logique : avec la professionnalisation de la conception et édition des « crimewares », la chasse aux bugs est devenue non seulement une nécessité vitale, mais également un signe extérieur de « valeur ajoutée » de la part des éditeurs et équipementiers. La faille possède une valeur commerciale aisément estimable… si ce n’était le cas, certaines sociétés éditrices ne verseraient pas déjà une « prime au bug », et les grands acheteurs de failles –les ZDI et iDefense- ne récompenseraient personne. Car derrière chaque trou de sécurité acheté, c’est un programme de défense périmétrique qui prend de l’avance sur ses concurrents, c’est un industriel du logiciel qui économise des heures de recherche dans le déverminage de ses productions. Et ceci sans parler des risques que prennent chaque jour les chercheurs, qui, en guise de remerciement pour leurs travaux, se font parfois traîner devant les tribunaux et traiter plus bas que criminel. Toute peine méritant salaire, conclut donc Dai Zovi, chaque vulnérabilité affectant un programme commercial sera donc elle aussi commercialisée. Ou plus exactement cédée à son « propriétaire » contre rétribution. Après tout, il existe bien un marché parallèle, légal, qui rétribue parfois grassement certaines découvertes. Les agences de renseignement gouvernementales ou non, les services de police sont les premiers intéressés. Et c’est sans parler des filières plus ou moins grises qui alimentent les spécialistes du « marketing direct » et autres flibustiers du spam.

Il ne s’agit pas, insiste ce « chef des dissidents », de se lancer dans une campagne de chantage ou de remettre en question les principes tacites de la « divulgation raisonnée ».

Des propos, des revendications qui n’ont rien de nouveau. Quelles sont les chances de succès d’une telle initiative ? Assez faibles, admettons-le. Car pour devenir effective, une telle politique devrait être supportée par un mouvement corporatiste parlant d’une seule voix et offrant des procédures d’achat et d’information quasi normées. De telles places de marché commencent à exister, mais du côté des éditeurs de malwares. Chez les White Hats, l’idée même d’une sorte de syndicat professionnel est impensable. Surtout Outre-Atlantique où l’on voit le spectre du communisme primaire se glisser derrière chaque initiative communautaire.

Mais cette action, toute symbolique qu’elle soit, va peut-être faire bouger les choses. En dissuadant notamment quelques inconditionnels de la procédure judiciaire (Adobe, Cisco, Oracle, certaines régies de transport notamment) à réfréner le zèle de leurs meutes d’avocats. En achevant de convaincre d’autres –tout le monde pense à Microsoft, naturellement- d’officialiser cet état de fait.

Finjan se penche, au fil de son dernier Cybercrime Intelligence Report , sur un pratique dénoncée depuis déjà fort longtemps par Dancho Danchev : les truandages au « classement Google » opérés par certains escrocs du Net, dans le but de diffuser des « scarewares » (faux antivirus). La technique, explique le rapport (inscription préalable obligatoire) consiste à saturer les mécanismes d’indexation de Google avec des mots-clefs très populaires ou avec de proches équivalents orthographiques. C’est donc là une variation sur le thème du typosquatting, que l’on pourrait baptiser typogoogling. De cette manière, les index Google parasités par des noms de sites prétendant contenir les informations recherchées classent en tête de liste des sites compromis qui, à leur tour, réorientent les internautes-victimes vers les sites marchands vendant de faux antivirus. Bien que moins de 2% des visiteurs soient dupes et dépensent innocemment 50 $ de pseudo désinfectant logiciel, les fortunes collectées deviennent vite colossales. La caisse de résonnance créée par Google porte à provoque près d’un demi-million de requêtes par semaine sur les sites compromis. En 16 jours d’observation, les chercheurs de Finjan ont estimé que près de 1,8 million de visiteurs uniques ont visité ces sites sur une période de 16 jours. Chaque « participant » ayant contribué à cette pollution des indexes de Google reçoit en moyenne 9,6 cents par aiguillage de visiteur réussie, soit un total de 176 000 $ de « prime au détournement » (ce qui représente 58 à 90% du chiffre d’affaires réalisé par les ventes des faux antivirus effectivement facturés et payés). Un jour d’activité criminelle, concluent les spécialistes Israéliens de la sécurité, rapporte donc aux rabatteurs près de 10 800 dollars, ou 2 millions de dollars par an. Brian Krebs, du Washington Post, a publié sur cette même affaire, le résultat d’une enquête encore plus détaillée que celle de Finjan. Ces mécanismes de facturation et de rétribution sont intégralement calqués –bien que plus rémunérateurs- sur ceux dictant le payement des espaces publicitaires en ligne du monde « normal ». Ce qui explique peut-être les dérives et les pratiques parfois très discutables de certains stakhanovistes du marketing direct.

Ces derniers jours furent prolifiques en matière d’idées particulièrement retorses. Cacher un virus devient, tant du côté des chercheurs « blancs » que des truands du code, une activité à plein temps parfois très rémunératrice, toujours source d’inspiration ou d’émerveillement intellectuel.

Les administrateurs du forum Web Hosting Talk ont eu la désagréable surprise de voir leur système piraté par le biais de leur propre serveur de backup. Les sauvegardes ont, au passage, été détruites par les intrus, avant qu’ils ne s’attaquent à la base de données du site lui-même et dérobent au passage quelques mégaoctets de données contenant notamment les adresses de messagerie des abonnés. Un « vieux backup » a permis de restaurer une version ancienne du site au grand dam des usagers. S’immiscer sur un réseau par le biais d’une architecture de sauvegarde n’est pas courant. La technique, cependant, risque fort de le devenir au fur et à mesure que se répand la mode des machines virtuelles. Les notions de backup, d’instantané, de déplacement de VM sont de plus en plus liées, voir confondues. Il est rare également que les disques de ces VM soient chiffrés, ou même que leur contenu soit vérifié –en fonction de quelle référence d’ailleurs ? La mésaventure subie par Web Hosting Talk fut désagréable pour les animateurs et les membres de ce forum mais immédiatement détectée en raison des pratiques hussardes des attaquants. Une effraction semblable mais plus discrète aurait permis aux intrus d’installer des programmes d’espionnage, de prélever discrètement des informations, voir d’infecter indirectement les stations de travail de chaque visiteur. On oublie trop souvent qu’un fichier vhd ou vmdk peut être édité avec une simplicité déconcertante.

HP a émis, en ce début de semaine, une alerte à propos d’une faille affectant sa console d’administration OpenView. Alerte sérieuse car, des dires même de l’éditeur, elle ouvrirait la porte à d’éventuelles exécutions de code à distance. Les inventeurs de la faille sont, une fois de plus, les chercheurs de Core Security. C’est la seconde fois en près d’un mois que l’éditeur alerte ses usagers de la découverte d’une inconsistance logicielle dans OpenView.

Encore du Cloud, avec –et ce n’est pas là une coïncidence- cette plainte de l’Epic (Electronic Privacy Information Center) déposée à la FTC à l’encontre de Google. L’Epic invoque les « graves risques d’atteinte à la vie privée » que pourraient provoquer les fameux services « Cloud Computing ». A la lueur des récents événements et la publication de certaines failles, l’Epic considère que Google ne serait pas capable de garantir les « privacy and security safeguards » minimaux. Il y en a pour 15 pages, parfois relativement partiales, parfois capables de mettre le doigt sur des points légaux assez épineux. Notamment pour ce qui concerne les limites de responsabilité que Google s’octroie dans ses « Terms
of
Service », ou contrat d’utilisation. Craig Balding décortique point à point les arguments avancés par l’Epic. Il en relève les principales faiblesses et les aspects passablement extrémistes.

En France, le sujet fait bouillonner le Landernau des visionnaires. Louis Naugès, sur son Blog, s’extasie face à cette profusion de services virtualisés qui arrivent grâce au « online ». Et d’opposer l’offre Google Apps et Microsoft BPOS. Ne ménageons aucun suspens, Microsoft abandonne par KO technique et financier avant le troisième round. L’Arbitre conclut par un « Microsoft BPOS est 3,7 fois plus cher que Google Apps » sans appel. Puis, pour confirmer cette mort annoncée, cite une interview de Bernard Ourghanlian par Hugo Lunardelli durant laquelle il est dit « Pourquoi les gens ont-ils envie d’aller vers des clients Web ce qui, à bien des égards, constitue un contre-sens total ? ». Naugès conclut en soulignant cette apparente contradiction entre ce qui se dit intuitu personae et la « ligne doctrinale du parti ».

Des propos qui font bondir Jean Michel Planche, imprécateur instinctif qui fut l’un des fondateurs de l’Internet Français commercial et public tel qu’on le connaît actuellement. « Le Cloud est un fantasme » dit-il en substance. « Ce n’est que l’une des nombreuses tentatives de récupération facturée, de « Minitélisation » à la fois d’Internet et des usages bureautiques ». En gros, les géants de l’outsourcing veulent parvenir à faire payer touts les ans un logiciel que la majorité des usagers n’achetaient qu’une fois « par machine » -tous les 5 ans environ-, tout en leur supprimant la moindre velléité de consommer autre chose que ce qui est offert dans la vitrine des services. Le Cloud, c’est un service fermé et propriétaire, tout l’opposé de ce que la microinformatique et les réseaux publics nous ont apporté jusqu’à présent.

JMP passe accessoirement à côté d’une autre idée importante qui a présidé au développement de la microinformatique : l’appropriation matérielle, la tangibilité de la richesse. Le culte machiste –et combien réel- du « mon ordinateur », « mon soft », « mon gadget perso que j’ai installé moi-même », « ma configuration que personne d’autre ne possède », et surtout « ma liberté de choisir et de garder par devers moi les fichiers dont j’ai besoin »… en d’autres termes la part d’égotisme et de fétichisme qui sied à tout outil personnel. On « emporte » son ordinateur avec soi –le succès des ventes de portables en informatique grand-public en est une preuve indéniable-, et même si l’on peut apprécier la souplesse d’un Gmail ou d’un FaceBook, rares sont les internautes qui accepteraient d’être reliés à un réseau pour écrire une lettre ou entamer une partie de solitaire « payante au verre ou à la bouteille ». Précisément en raison des souvenirs cuisants que les abus de la facturation multi-paliers du Minitel ont gravé au fer rouge dans l’inconscient des Internautes d’aujourd’hui. Même ceux qui n’ont pas connu le Minitel.

Moins viscéral, mais tout aussi important, ce désir de maîtriser l’outil et les richesses intellectuelles qui y sont associées touche également les entreprises. De manière d’autant plus prégnante que ladite entreprise est petite… ou très grosse. Les promesses d’économies avancées par les défenseurs du Cloud tombent bien à propos, en pleine période de crise, à une période où les contraintes comptables sont telles que le moindre miroitement d’une économie probable et à court terme pourrait bien faire basculer des DSI par centaines. Et plus particulièrement celles qui traversent une période de mutation dictée soit par une croissance brutale, soit, cas le plus courant ces jours-ci, par une récession notable des moyens.

Rebattu ? Galvaudé ? A la mode ? Non. Tarte à la crème. L’avenir du Cloud Computing est aux blogueurs et éditorialistes un inépuisable sujet d’argumentation. C’était, jusqu’à très récemment, une technologie et une solution infrastructurelle quasiment idyllique : économique en diable, sécurisée de bout en bout, permettant –sans trop le clamer- les dégraissages tant espérés par les actionnaires de grands groupes, le tout garantissant une efficacité et un retour sur investissement mirifiques. Discours que l’on entend depuis des lustres… autrefois, cela s’appelait la « sous-traitance en Batch » sur du mini-6 à temps de travail saucissonné. Puis ce fut la mode de l’externalisation. Puis les Application Service Provider. Plus tard encore des « managed services ». Aujourd’hui, on virtualise, on fait de la collocation, de l’agrégation de compétences dans des data centers comptant plusieurs centaines de milliers de machines : c’est le Cloud.

Qu’est-ce qui ferait cette fois que ce Cloud-là aurait plus de succès que les petits nuages d’antan ? En premier lieu la généralisation des maillages haut débit et des opérateurs télécoms locaux qui vendent à la fois infrastructure informatique et liens de transmission. Ensuite les « gros » prestataires de services sont de véritables acteurs planétaires. Google, Microsoft, Amazon… des noms dont on sait très bien qu’ils sont capables d’aligner à la fois la solidité financière, les teraflops de calcul, les petaoctets de stockage, les Méga-systèmes d’exploitation adaptés à ces super-clusters et les exa-effectifs de maintenance, d’intervention et d’administration.

Seulement voilà, après les promesses lénifiantes des premiers jours, voici que résonnent certaines objections. Ainsi, lors de la dernière réunion Parisienne du Cercle Européen de la Sécurité, Maître Christiane Féral-Schuhl rappelait certaines règles juridiques de prudence relatives à la nature du contrat liant le donneur d’ordre et le sous-traitant, et les risques, en cas de désaccord, de voir se juger un différent dans une juridiction autre que Française. Et encore, lorsque ce genre d’action à quelque chance d’aboutir. En termes plus simple, le Cloud n’est jamais qu’un mot nouveau pour désigner une sous-traitance de service, et l’on a intérêt que ledit service soit à portée de main d’avocat, quelque part entre La Bourboule et Castelnaudary. Quand à l’économie supposée, elle n’est probablement effective que dans le cadre de petites et moyennes structures informatiques, essentiellement en raison de l’optimisation des ressources offertes et de la réorganisation plus stricte qu’impose une sous-traitance bien définie. Les grandes entreprises, pour leur part, ont depuis longtemps des services informatiques structurés et optimisés. Les économies escomptées seraient moins évidentes, les risques liés à l’expatriation des données plus importants.

Ce à quoi les grands acteurs du Cloud font remarquer que tous, sans exception, possèdent au moins une filiale dans chaque pays d’Europe, garantissant ainsi les possibilités de recours légal nécessaire. Certes, mais les données… où sont-elles ? Sous quelle juridiction ? Les promesses d’aujourd’hui ne sont pas à l’abri des interprétations de demain. Et quand bien même seraient-elle conservées localement que se pose la question de la cohésion de la « chaine de sécurité » et de la « chaine de normalisation/certification ». Security Focus publie à ce titre un court article sur le sujet, au fil duquel il est fait remarquer que certaines contraintes PCI-DSS limitent l’usage de cette nouvelle forme de sous-traitance… pour de simples raisons de définition.

« Le problème n’est pas si simple » dit en substance Christopher Hoff –Packetfilter-, au fil d’une présentation kilométrique (66 pages Powerpoint) traitant précisément de sécurité et de cloudification des services, des logiciels, des infrastructures… Hoff décortique les différents types d’externalisation, les différents moyens d’utiliser ces externalisations –partielle ou totale-, les différentes offres de service des trois principaux « vendeurs de nuage » et les différents niveaux de sécurité que l’usager-client doit lui-même assurer en fonction de l’offre. Ladite présentation, conçue pour illustrer les propos de Hoff lors de la dernière conférence SourceBoston, s’intitule « Les grenouilles qui voulaient un roi, une sur la virtualisation et le Cloud Computing ». Sa première accroche, « Virtual Security In the Cloud Is Bollocks », donne tout de suite le ton. Mais ne nous y trompons pas, il s’agit là d’un exposé très sérieux et qui parvient à faire le tour de la question. Un document de travail indispensable que devrait lire tout responsable de projet avant de s’engager dans une telle croisade.

Le Forum des Compétences est avant tout une association au sein de laquelle se regroupent les plus grands établissements financiers de la place française à savoir la Société Générale, BNP Paribas, Crédit Agricole SA, la Banque Postale, la Banque de France,…

Pour Gil Delille, Président du Forum et RSSI de Crédit Agricole SA, les objectifs de l’association sont clairs car « plus on connaît les sujets relatifs à la sécurité et de la continuité, plus on sait que chaque décision, chaque solution est le fruit d’un compromis entre progrès et régression. C’est pour cela que les gens les plus compétents dans le domaine cherchent à échanger en permanence. Par exemple, s’ouvrir à la clientèle sur Internet est une prise de risques, trop sécuriser provoque un rejet de la solution. De même, si l’on construit des PCA (Plan de Continuité de l’Activité) et qu’on ne les teste jamais, il sera impossible d’avoir la moindre certitude sur leur qualité. Pis encore, si l’on teste de façon inappropriée, on fait prendre des risques à l’entreprise. »

La complexité du SI, son ouverture à l’Internet, le recours massif à la sous-traitance, ce sont là des questions que tout le monde se pose. Le choix du Forum est d’accepter ces situations, de tenter de faire travailler tout le monde sur ces sujets et de manière coordonnée. Avec un objectif : éviter le risque systémique, faire en sorte que les établissements bancaires s’entendent entre eux, confrontent leurs pratiques.

Des « groupes » sur les questions pointues
Tous les mois, une réunion plénière regroupe les adhérents, réunion durant laquelle sont proposés des thèmes intéressants à explorer. Les suggestions retenues sont ensuite débattues lors de sessions de groupes de travail, dans lesquels se regroupent les personnes considérées comme étant les plus compétentes et les plus expérimentées dans le domaine considéré. Ainsi en janvier 2009, un groupe ayant planché sur l’archivage électronique des documents publie un guide de bonnes pratiques. Le 24 mars, un second groupe présente une étude sur la continuité d’activité

Deux autres groupes travaillent respectivement sur l’authentification et les habilitations. Enfin, la gouvernance et le pilotage global des risques du Système d’Information constituent un nouveau thème de travail.
« Par ailleurs, le Forum offre également un canal de communication entre la BdF et les banques. La Banque de France elle-même adhère au Forum des Compétences. »
« L’Institution est à l’initiative de nombreuses actions dont l’émission de plusieurs livres blancs à la rédaction desquels le Forum des Compétences a notablement participé » nous rappelle Wilfrid Ghidalia, Secrétaire Général du Forum.

Il y a de cela moins de deux ans, le Forum des Compétences a agrandi la famille en créant une association affiliée, le « Cercle » du Forum. Un cercle qui regroupe les banques de taille plus modeste telles Fortis France, Groupama, Finama, BGPI (Banque de Gestion Privée Indosuez), BIA. Ces établissements, qui ne sont pas nécessairement concernés par les mêmes questions que les grands établissements, recherchent des guides directement exploitables. Ils apportent aussi leur savoir faire et leur compétence car leur taille plus humaine leur permet de déployer des solutions dont le déploiement dans les grands établissements est problématique. Ce brassage du savoir est souhaité par la Banque de France au sein de laquelle Jean-Claude Hillion, Vice-président du Forum des Compétences, exerçait la responsabilité d’Inspecteur Général.

Les « livrables » que fournissent les Groupes de Travail en fin de session sont essentiels et destinés à tout établissement intéressé par le sujet traité. Outre une rédaction soignée des rapports, le choix des thèmes est également crucial. « Le système des groupes de travail est assez commun. La différence dans la réussite de ce genre d’exercice se joue sur le choix des thèmes étudiés. Nous ne nous focalisons pas sur des sujets essentiellement techniques. Plutôt sur des questions très typées « organisation » ou dont la pluridisciplinarité est évidente Ainsi nous travaillons, par exemple, sur les jonctions entre la sécurité des Systèmes d’Information et la gestion globale des risques opérationnels. Ce sont en général des thèmes assez délicats à traiter, comportant une forte composante prospective (juridique, gestion globale des risques, intelligence économique …). Lorsque l’on aborde des sujets plus concrets de type authentification, c’est dans une logique de confrontation des idées aux réalités du terrain, et non pas dans une optique de promulgation de théories. Par exemple, le Single Sign On, une technique qui ne sera pas répandue avant un moment tant que l’on sera tributaire de centaines applications héritées du passé. Nous acceptons les contraintes existantes et cherchons comment faire au mieux pour gérer les identifiants et effectuer les contrôles nécessaires dans un parc applicatif qui n’est pas idéal. Là, on peut descendre dans le détail pratique mais au moins c’est utilisable. »

Ainsi, la prochaine session de présentation du groupe de travail PCA parlera de la valeur probante des tests. La question est de savoir si ce que l’on teste est bien représentatif d’une situation réelle et permet bien d’évaluer la capacité de l’entreprise à redémarrer ses activités. Mais le test induit lui-même sa part de risques. On ne peut incendier un centre de calcul simplement pour voir si « ça marche ». Se pose donc la question de savoir si un test est bien représentatif d’une situation réelle et permet d’évaluer la capacité de survie de l’entreprise.

Vers la mi-octobre,Cesare Cerrudo d’Argeniss concoctait un petit exploit, Churrasco, destiné à attirer l’attention de la communauté en général et de Microsoft en particulier, sur une faille permettant une attaque en kidnapping de token. Il faut préciser que ladite faille avait fait l’objet d’une communication il y a plus d’un an, et que l’émission du PoC avait immédiatement provoqué la réaction du MSRC et la publication d’un bulletin indiquant quelques mesures de contournement.

C’est alors que l’affaire rebondit avec un billet du Sans Institute écrit par Bojan Zdrnja. Ce chercheur nous apprend que Churrasco est utilisé dans le cadre d’une attaque complexe, capable de compromettre indifféremment des serveurs Windows 2003 ou 2008. Un Churrasco capable d’effectuer une élévation de privilège de telle manière qu’une attaque par injection d’un shell sous IIS –shell théoriquement dépourvu de droit- puisse obtenir des droits « system ».

Mais ce qui ulcère le plus Bojan Zdrnja, c’est que Microsoft n’ait pas pu, depuis octobre dernier, compiler une rustine sérieuse. Les « mesures de contournement » sont rarement appliquées car, dans bien des cas, elles impliquent une restriction fonctionnelle du système. Autre sujet de ire de la part du chercheur du Sans, la quasi absence de réaction des principaux éditeurs d’antivirus face à ce genre de menace. L’exploitation « dans la nature » de cette vulnérabilité, combinée au papier vengeur des chercheurs de Raleigh parviendront-ils à faire déclencher le processus de fabrication de rustine du côté de Redmond ?

Autre vieux trou, autre nouvel exploit révélé à l’occasion du traditionnel concours Pwn2Own de CanSecWest et utilisé par Charles Miller. Interviewé par Security Focus, l’inventeur de cette faille affectant Safari a déclaré avoir découvert le problème il y a plus d’un an… sans toutefois avoir eu le temps de « creuser » la question. Ce n’est que très récemment qu’il s’est remis à l’ouvrage, constatant que le trou n’avait, entre temps, toujours pas été découvert officiellement par d’autres chercheurs. Miller avait déjà, l’an passé, remporté une épreuve de Pwn20wn. Mais le véritable exploit –aux deux sens du terme- a été réalisé par un étudiant de l’Université d’Oldenbourg, qui a, coup sur coup, fait tomber Internet Explorer 8, Safari et Firefox. Chaque attaque victorieuse rapportait à leurs auteurs une prime de 5000 dollars. Tipping Point en fait un compte-rendu illustré palpitant.