septembre 10th, 2015

A cours d’argument devant l’avalanche de bévues ayant entrainé le hack de ses bases de données, la direction d’Ashley Madison traîne le journaliste Brian Krebs devant les tribunaux, pour diffamation. Preuves à l’appui, Krebs avait clairement établi que Raja Bhatia, CTO de l’entreprise, avait « intrusé » les serveurs d’un de ses concurrents. Les éléments permettant de porter une accusation aussi grave sont quasiment indiscutables, car les faits ont été décrits dans un courrier électronique rédigé, semble-t-il, par le CTO lui-même s’adressant à la Direction. Lequel courrier électronique s’était retrouvé dans le flot de fichiers Ashley-Madison piratés et répandus sur les réseaux de partage.

L’argument avancé par les avocats est aussi mince qu’une promesse électorale. « Mr. Bhatia did not “hack” Nerve.com. Rather, he noticed a readily apparent security gap ». En d’autres termes, une personne qui pénètre et se maintient sur le système d’information d’une tierce entreprise n’est pas un intrus mais un observateur versé dans la contemplation des hiatus de sécurité. Nous sommes persuadés que notre confrère Bluetouff appréciera.

S’ajoute à cela le choix d’une plainte en « libelle », proche cousin des poursuites en diffamation du droit français. Rappelons que la diffamation ne juge pas l’exactitude ou non des propos de la partie adverse, mais l’impact que ces propos ont eu sur son image, son honneur, sa réputation.

Enfin, le jugement devant être effectué sur le territoire du plaignant, autrement dit au Canada, il est peu probable que le journaliste indépendant qu’est Krebs puisse faire face financièrement parlant à un tel tsunami juridique. La poussière Ashley Madison est donc bien cachée sous le tapis et l’impéritie de ses dirigeants ne pourra plus faire l’objet de nouvelles publications. Chasser le messager pour ne pas avoir à poursuivre un insaisissable groupe de hackers est une forme de violence hélas courante dans le monde du business, tant en Amérique du Nord qu’en France (affaire Kitetoa par exemple).

Taire cette forme d’intimidation sous prétexte d’éviter d’éventuelles poursuites est un suicide à moyen terme pour toutes formes de publication, journaux « professionnels » ou simples blogs.

Microsoft a officiellement annoncé avoir acquis, pour 250 millions de dollars, la société Adallom, spécialisée dans la sécurisation des services et applications Cloud. Outre la gamme Office 365, Adallom affirme pouvoir sécuriser des ressources Salesforce, Box, Dropbox, ServiceNow et Ariba.

Entreprise dont le siège est situé à Palo Alto et fondée par d’anciens officiers du renseignement Israéliens, Adallom avait déjà attiré les attention des investisseurs et réalisé un appel de capital de près de 49 millions de dollars.

David Schwindt ne poursuit à la trace ni les demi-sel ni les souteneurs, mais il part en guerre contre les voleurs de matériel informatique en « sniffant » les adresses MAC des interfaces Wifi appartenant à un matériel porté disparu… à condition que l’adresse en question ait été consignée avec soin, que la carte WiFi soit toujours activée et qu’elle passe à portée d’un des récepteurs chargés de ce genre de surveillance, nous apprend la Gazette de l’Iowa (information dénichée par le Reg ).

L’adresse MAC est en effet unique pour chaque ordinateur, téléviseur, réfrigérateur « ip connected », téléphone portable ou Objet de l’Internet commercialisé par chaque OEM. Elle peut être « spoofée », mais il est très peu probable que les fourgues et cambrioleurs s’adonnent à ce genre de sport.

C’est un généreux mardi des rustines que ce second mardi de septembre, avec 59 CVE colmatés, 5 bulletins marqués de rouge (6 selon le Sans Institute) dont deux bloquant de possibles exécutions à distance par le biais de programmes de la gamme Office. Pour l’heure, aucun des 12 bulletins cumulatifs n’est affublé du moindre « patch now ». Pourtant, dans le lot, un certain CVE-2015-2509 concernant Windows Media Center et bouché par la rustine MS15-100 fit la Une des journaux pour avoir été utilisé par l’équipe Hacking Team et s’être fait largement divulgué sur Pastebin notamment.

Deux énormes cumulatifs, MS15-094 relatifs à Internet Explorer, et MS15-097 (failles dans le composant Microsoft Graphics , exploit détecté pour CVE-2015-2546) pèsent le plus lourd dans cette fournée de la rentrée. La palme de la dangerosité revient cependant à MS15-099, avec 5 failles, un exploit activement utilisé « dans la nature », qui ne vise bien entendu que les éditions « station » et non « serveur » de Windows.

Cette journée du colmatage nous apporte également une nouvelle version de Shockwave immatriculée par Adobe 12.2.0.162.