Mi-août, Andrey Bogdanov, Dmitry Khovratovich et Christian Rechberger ont publié un papier proposant une nouvelle attaque sur AES. S'en est suivie une espèce d'effervescence dont j'avoue avoir un peu de mal à comprendre l'amplitude. Alors que Bruce Schneier ressortait à cette occasion une de ses analyses sur le sur-dimensionnement des algorithmes cryptographiques, on pouvait lire çà et là qu'un coup sérieux avait été porté à AES, certains n'hésitant pas à titrer que l'algorithme avait été cracké. Ce qui ne manquera pas de laisser perplexe toute personne ayant lu le résumé du papier, en particulier sa dernière phrase : "As our attacks are of high computational complexity, they do not threaten the practical use of AES in any way"...

Continuant sur sa lancée, Développez.com nous annonçait pas longtemps après que "les correctifs de sécurité de Microsoft pourraient être exploités par rétro-ingénierie pour créer des attaques par déni de service". La découverte serait, d'après eux et d'autres qui ont repris la news par inadvertance, à mettre au crédit de Qualys qui aurait développé un PoC en ce sens. Là encore, on voit bien que lecture n'est pas le fort de l'auteur, pas plus que la culture du domaine. Car de ce que je peux en lire, personne chez Qualys ne se vante là d'avoir découvert quoi que ce soit de nouveau. On imagine en effet qu'ils ont, eux, un minimum de recul pour savoir, comme beaucoup de monde, que le reverse des patches de sécurité est une pratique quasiment aussi ancienne que le patching lui-même. Au point que le mercredi qui suit le fameux Patch Tuesday s'est vu, au fil du temps, attribué le sobriquet d'Exploit Wednesday. Le tout sans compter, évidemment, le fait qu'en 2008, un papier fut publié à Berkeley sur, justement, la génération automatique d'exploits à partir de patches Microsoft...

Côté éditeurs d'antivirus, si personne ne l'a ramenée sur la critique de Sophos, il semble que ça ait été pour mieux tomber à bras raccourcis sur McAfee après la révélation de l'opération Shady RAT. Sous ce nom barbare se cache en fait la compromission à large échelle de nombreuses entreprises et organisations gouvernementales ou non de part le monde, sur une durée considérable, par apparemment un groupe unique. Il ne leur a donc pas fallu très longtemps pour emboîter le pas de quelques commentateurs inspirés et faire entendre leurs avis, précisions et autres critiques. L'attaque la plus vive restera celle de Kaspersky, à travers d'abord l'envolée lyrique d'Eugene Kasperky qui explique en substance que l'attaque en question n'avait rien de spécialement extraordinaire pour qu'on en fasse un tel fromage, et ensuite quelques publications bien senties, auxquelles McAfee s'est empressé de répondre. Avec, selon les points de vue, plus ou moins de bonheur.
S'il faut bien reconnaître que le papier décrivant l'opération ne contient pas énormément de détails techniques laissant penser qu'il s'agit là d'une nouveauté, que les preuves de l'étendue des dégâts ne sont pas vraiment là, et même si on sent bien derrière cette publication une belle entreprise de communication rondement menée avec, en point d'orgue, l'introduction d'un nouvel acronyme en la personne du SPT, pour "Successful Persistent Threat", cette opération Shady RAT n'en reste pas moins révélatrice de l'échec d'une sécurité beaucoup trop orientée sur l'utilisation de technologies préventives aux vertus miraculeuses. Car si quelque chose qui n'a rien de vraiment exceptionnel, qui techniquement parlant n'avère pas plus novateur, a pu pénétrer quelques soixante-dix systèmes d'information de taille majeure et s'y maintenir pendant cinq ans, c'est que d'une part la ligne préventive a pu être contournée et que d'autre part ça ne devait pas assurer des masses derrière en terme de monitoring et détection d'incident...
Les esprits taquins ne manqueront pas de remarquer que la société qui a pondu le rapport en question vend, justement, certaines des technologies préventives aux vertus miraculeuses évoquées plus haut...

Ceci étant, entre deux piques aux concurrents, les éditeurs d'antivirus nous gratifient de temps en temps de billets intéressants. Je citerai rapidement cette campagne de distribution de malware PDF par email qui mimique les envois d'un copieur Xerox. Ou encore F-Secure qui pense avoir mis la main sur l'email qui conduit à la compromission de RSA et nous en livre les secrets.