Je découvre ça au saut du lit[1] via la liste Daily Dave sur laquelle Sotirov s'est fendu d'un petit message pour annoncer son talk et lancer la course aux spéculations. Il y a même un tee-shirt à gagner. Mais que fais-je encore à Paris ?! Je me le demande encore ;)

Comme je l'écrivais précédemment, aucun détail n'est publié pour l'instant. Ou presque. Le seul document disponible est un scan de soumission allègrement censuré. Un JPEG... Pffff... Sans même un ch'tite donnée EXIF à se mettre sous la dent... À peine un thumbnail sans aucun intérêt... Même pas drôle. On aurait clairement préféré un bon vieux PDF des familles. Quoi que... Soit.

Tout ce qu'on a de conséquent pour remuer nos méninges, c'est ce billet de HD Moore sur le blog de Breaking Point dans lequel il nous explique pourquoi c'est super important comme travaux, super dangereux et donc pourquoi ça devait rester super secret... Jusqu'à leur talk, et malgré des tests en live implicant apparemment un constructeur qui devrait se taper la honte...

Comme vous avez pu le voir, certains lancent déjà des hypothèses. J'avoue avoir un faible pour le couple BGP et SSL. Pourquoi ? Juste comme ça, parce que franchement, je n'en sais rien, et il se fait un peu tôt pour y réfléchir. On espère avoir plus d'informations en fin d'après-midi. S'il est clair qu'ils se la jouent dans le style Kaminsky, on verra bien s'ils sombrent eux aussi dans la plus pure tradition du pêtard mouillé, très en vogue ces derniers temps...

Pour les courageux, les interventions semblent être retransmises en live. Pour les autres, les enregistrements sont traditionnellement mis en ligne rapidement après la fin des festivités. On trouve parfois les slides aussi.

Update (30/12/2008, 18:20 CET, 2h05 après la mort d'Internet) : comme l'ont annoncé plusieurs lecteurs fidèles et Sotirov sur son blog, il s'agit d'exploiter les faiblesses connus de MD5 pour fabriquer un vrai faux certificat racine qui remplacera sans alerte aucune l'original... Les slides, un article relativement complet ainsi qu'un site de démonstration sont d'ors et déjà en ligne. Sans être révolutionnaire, cette application est lourde de conséquences, en particulier si elle est combinée à des attaques comme du détournement DNS ou BGP. Et ce n'est pas une boîte qui se tape la honte, mais six fournisseurs de certificats dont les CA sont hashés en MD5. C'est du beau travail, qui démontre magistralement la nécessité d'abandonner MD5, puisque les nombreuses démonstrations précédentes n'avaient pas suffit. Espérons que celle-ci fasse l'affaire...

Pour les pressés, il y a un bon résumé chez Thierry Zoller.


Sinon, en attendant, vous pouvez vous laisser aller à un peu de navigation pour tuer le temps. Morceaux choisis...

  • Cette image publiée par le Washington Post comparant la règlementation régissant les machines à voter avec celle à laquelle sont soumises les machines à sous à Las Vegas. Enrichissant, pour rester poli...
  • Washington Post encore : l'état du Maryland attaque Premier Election Solutions, anciennement Diebold, à hauteur de 8,5 millions de dollars US pour avoir manqué à ses obligations, en particulier au niveau de la sécurité. Après l'Ohio et la Californie, la note commence à se faire lourde pour le numéro un du secteur...
  • Et comme on est bien lancé sur les machines à voter, ces machines complètement propriétaires bien sûr, nos amis de Premier Election Solutions, encore, pourraient se faire attaquer par Artifex Software pour... violation de la GPL ! Ils intégreraient Ghostscript, distribué depuis longtemps selon les termes de cette licence. Les temps se font durs, c'est la crise...
  • Microsoft répond à l'annonce sauvage d'une vulnérabilité dans le Windows Media Player publiée peu avant Noël, qualifiant le crash de non exploitable. Je ne me prendrai pas à critiquer techniquement la réponse de Microsoft, mais il est intéressant de noter que l'advisory original de Laurent Gaffié ne fait pas état d'exécution distante de code. Il annonce bien un integer overflow exploitable à distance, fournit un PoC, mais ne parle pas d'exécution de code. Ce sont les commentateurs, toujours bien inspirés, qui ont sauté le pas. En parlant de commentaires, il y en a un chez Zero Day que j'aime bien... Rien que le titre : "Integer overflow, not buffer overflow"...
  • Par contre, le bug SQL Server publié en début de mois, ben lui fonctionne par contre. Toujours intéressant à lire, la fameuse timeline...
  • Richard Bejtlich découvre OCSP. Partant d'un billet expliquant comment faire du MitM sur SSL après s'être fait attribuer par Comodo un certificat pour un domaine qu'on ne possède pas, il décortique l'échec de connexion de son navigateur au faux site par analyse de flux réseau... Pour trouver un flux OCSP l'informant de la révocation du faux certificat... Ce qui montre bien que les histoires de certificats, de PKI et de confiance en général relèvent infiniment plus de mesures organisationnelles que de technique. Vous en doutiez encore ?!
  • Comme l'an dernier, le FBI lance un challenge de crypto. Les détails ne semblent pas encore disponibles, cependant quelques ressources sont indiquées.
  • Le CFP du SSTIC expire à la fin de la semaine. Magnez-vous, ce n'est pas pour les soumissions qu'il y a une rallonge quand on utilise LaTeX...
  • Enfin, cette vidéo pointée par Lotfree en guise de cadeau de Noël...


Ah oui, j'allais oublier. Suite à mon billet sur le dernier Patch Tuesday, j'ai reçu deux emails rédigés par des fanboys de Microsoft me demandant, en des termes particulièrement sympathiques pour l'un d'eux, pourquoi je ne parlais ni de la mise à jour de sécurité pour MacOS X publiée par Apple le 15 décembre, laquelle corrige pas moins de vingt-et-une vulnérabilités parmi lesquelles quelques exécutions distantes de code[2], ni du fameux article, aujourd'hui disparu[3] de leur base de connaissance, conseillant l'emploi de plusieurs antivirus sur ce système d'exploitation supposément pas concerné par la menace virale[4]...

Si je n'en ai pas parlé, ce n'est pas par chauvinisme unixien. C'est tout simplement que la vie de MacOS X ne m'intéresse pas des masses en fait et ne m'inspire pas grand chose non plus. En tout cas pas de quoi me taper l'advisory et tous les CVE associés pour voir de quoi il retourne exactement, surtout quand ces derniers ne sont même pas linkés, contrairement à ce que les gens de Redmond ont la politesse de faire dans leurs bulletins. Et oui, ça s'apparente complètement à de la flemme.

Le fait que je parle de quelque chose ou non dans ce blog n'a absolument aucun rapport avec le respect que j'éprouve pour les gens. J'écris quand j'en ai envie, à propos de choses qui m'inspirent, sur le moment, quelques réflexions, par forcément intéressantes je vous l'accorde volontiers. En l'occurence, la Security Update d'Apple ne m'inspire rien de particulier sinon que MacOS X est, s'il fallait encore le démontrer, un OS comme les autres, truffé de failles comme les autres, qui en prend plein la gueule comme les autres, en particulier depuis que sa part de marché commence à se faire remarquer. La belle affaire !...

Notes

[1] Cadeaux, voyages, vie sociale, tout ça, pas trop le temps de lire les news...

[2] Il faut dire qu'avec deux grosses updates de Flash, il n'est pas tellement difficile de gonfler le score...

[3] Mais dont des screenshots restent en ligne, forcément...

[4] Die Hard 4 est passé par là semble-t-il...