mai 12th, 2009

D’ailleurs, ce virus-là existe-t-il seulement ? Si l’on en juge par le dernier papier de Bob Lemos du Security Focus, ce serait plutôt la faute à l’inertie des services informatiques. Le trou Adobe ? La faille Excel ? –celle qui traînait déjà non colmatée depuis plus d’un mois, faut-il se rappeler- tout cela pourra bien attendre. Et cela attendra en moyenne 29,5 jours, si l’on se réfère à une récente étude de Qualys. Pas ou peu de changement depuis 2003 se désole Lemos. Et l’on cherchera en vain le manque d’objectivité d’un Qualys dont le métier est précisément de faire de l’inventaire et de la détection de vulnérabilité. Les récentes statistiques concernant la propagation du ver Downadup/Conficker au sein des grandes entreprises ne laissent planer aucun doute quand à cette absence de réactivité. Le virus le plus dangereux, clamait un « RSSI anonyme » rencontré la semaine passée dans les allées du salon Infosecurity de Londres, « ce n’est pas l’absence de politique de déploiement de patch, c’est la rigidité de ces mêmes procédures de déploiement lorsqu’apparaît une rustine que l’on sait critique ». Paradoxalement, un ver comme Conficker a fait nettement moins de victimes, à configuration comparable, dans le secteur grand public et PME, là où les procédures d’installation automatiques de Microsoft Update ou de SUS Server remplissent leur fonction sur des réseaux de petite envergure.

Toujours à propos de Conficker, achevons ce tour d’horizon des vulnérabilités qui piquent avec cette petite étude statistique conduite par Nguyen Tu Quang, le Senior Malware Researcher et CEO de Bkis, société Vietnamienne, qui rappelle qu’il ne faut pas trop écouter les propos de ceux qui annoncent la mort clinique de Conficker. Il y a là dehors un botnet toujours actif de 750 000 zombies, parfaitement capable de se réveiller du jour au lendemain. Les efforts du « Conficker Working Group », qui consistent à tenter de prendre de vitesse le mécanisme d’automatisation de génération de noms de domaines (50 000 par jour) sont totalement vains, estime le patron de Bkis. C’est d’ailleurs en récupérant et en déposant quelques uns de ces noms de domaine que les chercheurs de l’entreprise sont parvenus à dresser une cartographie actualisée de Conficker C.

Microsoft prévient les testeurs de Windows 7 –mais sont-ce bien uniquement des testeurs ?- qu’une série d’une dizaine de « mises à jour de test » vont débuter à partir du 12 mai. Il s’agit là d’essais destinés à éprouver l’infrastructure de mise à jour en ligne, probablement l’une des composantes les plus importantes dans l’édifice « sécurité » de Windows. « Certaines des mises à jour délivrées lors de ce cycle s’installeront automatiquement… d’autres non » précise l’équipe de « l’update products ». Et parmi ces mises à jours qui nécessiteront une intervention humaine et une acceptation avant installation, « One of the updates will test a new update notification feature that provides detailed information about available updates ». En d’autres termes, il s’agit d’une mise à jour du mécanisme de mise à jour qui devrait fournir des informations plus détaillées que par le passé (sic).

Les personnes ayant installé « Seven » sur une machine de production peuvent, par prudence, désactiver l’installation automatique des correctifs par le truchement de l’icône « Windows Update » située dans le panneau de configuration.

Toujours à propos de Seven, on ne peut passer à côté de la toute dernière annonce des frères Nitin et Vipin Kumar qui, après maintes réflexions –publiera, publiera pas ?- ont décidé de placer dans le domaine « Open Source » leur toute dernière preuve de faisabilité (PoC) visant Windows 7 édition 64 bits. Cet outil d’attaque n’est autre que la version 2.0 de Vbootkit, dont la première version avait été tout spécialement conçue pour les noyaux Vista. L’exploit est donc disponible. Il faut remonter aux archives de 2007 pour retrouver la présentation et le white paper de ce rootkit « bootloader » première édition.

Le mois de mai devrait-être maigre en matière de correctifs. Selon le bulletin préliminaire de notification, seule une faille critique affectant PowerPoint devrait bénéficier d’une rustine. Cette faille connaît au moins un exploit qui circule actuellement « dans la nature », de manière relativement restreinte, et a déjà fait l’objet d’un bulletin d’alerte le 2 juin dernier.