FX discute donc de la perception qu'on se fait des vulnérabilités et le rôle que joue leur couverture médiatique dans leur appréciation. Pour appuyer son discours, il compare les qualifications respectives de trois failles :

  • la faille DNS, forcément ;
  • la faille OpenSSL sous Debian, naturellement ;
  • et une faille SNMPv3 qui n'a fait l'objet d'aucun couverture médiatique.

Cette dernière permet pourtant de contourner l'authentification HMAC, permettant l'accès potentiel en lecture/écriture à l'ensemble des variables SNMP de l'équipement. Vulnérabilité qui reçoit la modeste note de 6,8, à comparer au 7,8 d'OpenSSL et au 9,4 de DNS. Et effectivement, quelque part, ça choque. Car sans remettre en cause l'importance[1] de cette histoire de DNS, que les deux autres se retrouvent reléguées à presque deux et trois points derrière, sur dix, me semble quelque peu démeusuré. C'est en tout cas quelque chose qui ne manquera pas d'attirer l'attention du pentester averti...


Bejtlich nous rappelle aussi quelques failles passées un peu sous le radar.

À commencer par cette vulnérabilité du framework Blackberry déclenchée par des fichiers PDF habilement corrompus. Je sais bien que la polémique autour du Blackberry est un peu passée, même si elle tend à se réveiller de temps à autre, mais il est là encore intéressant de voir ce que la presse retient entre les rumeurs et les faits.

Puis ce magnifique remote kernel dans le noyau Linux qui se voit attribué la note maximale aux figures imposées. C'est le parser ASN/1 utilisé dans les helpers SNMP et CIFS qui est en cause, offrant à l'attaquant décidé une exécution de code arbitraire à distance, au niveau de privilège le plus élevé. Mais bon, pas d'affolement dans les chaumières, ce n'est qu'un bug comme les autres :)

Il rappelle très justement que David Litchfield a publié une vulnérabilité qui permet tout simplement de prendre le contrôle complet d'un backend Oracle depuis un frontal OAS 9.x ou 10.x. Rien que ça.

Enfin, le futur talk de Kris Kapersky nous promet pour HITB 2008 de l'exécution de code à distance multi-OS utilisant des bugs dans les processeurs Intel. Avec un peu de (mal)chance, ça passera les firewalls personnels...

Tout ceci est sorti la même semaine que la faille DNS. Est-ce qu'on en a parlé dans la presse ? Non. Est-ce que c'était à ce point moins important ? J'en doute fort....


Toujours dans la série des logiciels polémiques, je voudrais le grand méchant Skype. Ryan Naraine se fait l'écho sur le blog Zero Day de ZDNet de spéculations concernant la présence d'une backdoor qui permettrait l'interception des échanges. À l'origine de ces bruits, un article de Heise Security qui voudrait que les autorités autrichiennes aient affirmé que l'écoute des échanges Skype nétait pas un problème pour eux. Le tout alimenté par le refus de eBay de commenter cette rumeur.

Info ou intox ? C'est la grande question que tout le monde se pose. Mais rares sont ceux qui semblent réellement sintéresser aux prérequis techniques nécessaires à la mise en place de ce type de mesure...


Intéressante à parcourir, la DataLossDB. Comprenez la base inventoriant tous les évènements concernant la perte ou le vol de données personnelles, avec leur origine[2], le nombre d'enregistrements concernés, leur type, et pleins d'autres données intéressantes. Les pages à regarder d'emblée : les incidents récents et les plus importants. Ça fait froid dans le dos...


Pour changer un peu de la sécurité, on se réjouira du fait qu'Atheros vienne de publier un driver complètement libre, donc sans la fameuse HAL binaire[3], pour ses chipsets 802.11n. Certes, c'est très basique, voire sommaire, et sans aucune fonctionnalité ajoutée. Typiquement, pas de mode monitor. Mais ça ne demande qu'à venir.


Et puisqu'on parlait de vols de données personnelles, finissons par ce billet tiré de l'excellent Journal d'un Avocat sur l'utilisation de vos données en ligne lors d'un procès. Partant de deux affaires jugées aux États-Unis au cours desquelles des photographies extraites des profils Facebook des accusés ont été utilisées comme facteur aggravant de la peine, Me Eolas discute de la possible utilisation de ce stratagème en France. Et la réponse est évidemment oui, et ne se limite pas à Facebook. Il en va de même de tout ce que vous pouvez mettre en ligne : textes, détails, photographies, etc.

Souvenez-vous, j'en parlais dans mon compte-rendu de Source Boston avec l'intervention de Steve Patton, expert en assurance, maintenant rompu aux techniques d'investigations en ligne pour justement dénicher ce genre de détails. De quoi faire réfléchir un peu à ce qu'on met en ligne, certes, mais aussi à ce que les autres mettent en ligne sur vous...


Enfin, je ne concluerai pas ce billet sans un message personnel à l'attention de quelqu'un qui se reconnaîtra : joyeux anniversaire !

Notes

[1] Patchez, patchez, patches !

[2] Piratage, perte, vol, fraude, etc.

[3] Hardware Abstraction Layer.