Hacking Team et hyper-Patch Tuesday : Securité as a Sévice

Actualités - Alerte - Posté on 15 Juil 2015 at 3:11 par Solange Belkhayat-Fuchs

Christian et Cie Té, déployer de la rustine à l’heure de l’anisette, avant que tombe la fraîcheur du soir et la partie de pétanque, ça m’escagasse. Les salles informatiques sont climatisées, mais le vacarme des ventilo, c’est pas franchement celui des rouleaux sur les galets ou le « pot-pot » des moteurs de pointu.

Pourtant, du travail, il y en a comme jamais. Les déboires de Hacking Team ont révélé une troisième faille Flash (CVE-2015-5123), bug exploitable et exploité découvert par le Response Team de Trend Micro. Flash, cette dentelle logicielle qui comporte plus de trous que de matière, est désormais déclarée Persona non Grata pour une durée indéterminée par Firefox. Adobe a mis à jour l’un de ses bulletins de sécurité lorsque la France toute entière était en train de fêter, voir et complimenter l’armée Française. Pendant ce temps, le mouvement < i> Occupy Flash enfle et s’amplifie, demandant l’éradication pure et simple de cet accessoire considéré par certains comme plus dangereux qu’utile. « It’s buggy. It crashes a lot. It requires constant security updates »… enlevez-moi ce code de vos navigateurs, on peut très bien vivre sans ! Scandent ces militants anti-flash.

Las, bien des Webmestres (et pas des moindres) restent attaché à leurs antiques développements forçant les visiteurs de leurs sites à installer ce plugin. L’eugénisme binaire ne passe pas.

Idem pour Java, grand pourvoyeur de trous devant l’Eternel Informatique, qui est désormais diffusé sous l’immatriculation 8 Update 51, 51, comme la zone du même métal. Laquelle se débarrasse de près de 25 aliens indésirables. Tout comme Flash, on peut vivre sans Java, mais moins bien en raison de l’obstination de beaucoup de développeurs Web.

Un autre habitué de la collection de faille, Internet Explorer (onzième édition), était également à l’origine d’un ZDE exploité par Hacking Team. Trou découvert puis analysé par Vectra.

Ce qui tombe bien, puisque le 14 juillet au soir, l’ensemble des logiciels Microsoft étaient de la Revue, avec le traditionnel défilé de rustines du premier mardi du mois. I.E. pèse, à lui seul 29 CVE (dont le fameux « Hacking Team exploit »). On se croirait retourner du temps des grandes heures, lorsque http-equiv, Liu-Di-Yu, Tor Larholm et « Paul de Greyhat » inondaient la liste Full Disclosure d’une faille I.E. par jour. On n’a pas arrêté la fabrication, tous les clients sont devenus aveugles. Microsoft Office, pour sa part, est gratifié de 8 bouchons tous considérés comme critiques. Et l’on retrouve même, au fil du rouge publié par le bulletin Microsoft et du résumé synthétique du Sans, un double trou dans OLE, qui permettra aux anciens Microsofties de se payer une bonne tranche de nostalgie.

Cela faisait longtemps qu’un mardi des rustines n’avais pas franchi un tel cap. 59 trous, dont une grande majorité qualifiée de « critique ».

Achevons ce tour des inconséquences de Hacking Team en signalant l’existence d’un rootkit capable de compromettre les bios UEFI, découvert et analysé par l’équipe de Trend Micro. Le hack des Bios et la création de bootkits est très à la mode ces temps-ci. Il faut bien se rendre à l’évidence, leur conception est légèrement sortie du cadre étroit de la recherche et de la publication universitaire ou des « conférences infosec ».

Laisser une réponse