En effet, pendant que tout le monde a les yeux rivés sur l'impressionnante liste des correctifs à appliquer, le monde ne s'arrête pas de tourner pour autant.

Avec par exemple une énième faille critique dans Flash, Adobe Reader et Acrobat. Une annonce qui ne surprend pas plus que d'apprendre qu'elle était déjà exploité dans la nature depuis quelques temps à travers des documents Word. On se prendrait presque à se demander qui prendra la suite de Bercy, RSA et Comodo dans la course à l'APT...

Un candidat n'a d'ailleurs pas tardé à se présenter en la personne du groupe Safran, plus précisément sa filiale Turbomeca dont on apprenait récemment qu'elle avait fait les frais de deux attaques. Attaques dont on ne nous dit rien, sinon qu'elles n'auraient pas entraîné la fuite de "données à caractère industriel". L'entreprise en aurait cependant profité pour améliorer sa sécurité, à hauteur de... "quelques dizaines de milliers d'euros"[1]... Je ne sais pas ce que ça vous inspire, mais je n'ai pas l'impression qu'on puisse se payer grand chose pour ce prix là...

Sauf à considérer quelques boîtiers de sécurité, comme ceux, par exemple, de l'éditeur Barracuda Networks. Sauf que ce dernier vient également de postuler pour le titre, avec une fuite de données massive. Mais en se faisant déchirer via un script PHP vulnérable à une injection SQL, ils ne sont malheureusement pas éligibles au titre de victime de l'APT, pas plus qu'ils ne viendront concurrencer Epsilon sur le marché en pleine expansion du vol de données personnelles[2], qualifiée en l'occurrence et dont on sent déjà bien à quoi elles vont servir... À peine en a-t-on parlé, mais ceux qui se sont récemment gaussé de MySQL[3] ne manqueront pas de remarquer qu'on est en présence d'un vendeur de WAF[4]. Et bien que protégés par leur propre technologie, ils se seraient retrouvés avec un réseau ouvert aux quatre vents... lors d'une opération de maintenance...

La mésaventure de Barracuda appelle au moins deux commentaires. Le premier, c'est qu'on ne peut que s'étonner qu'une opération de maintenance ait pu laisser cette infrastructure aussi vulnérable. Peut-être quelqu'un devrait-il leur filer deux ou trois tuyaux sur le maintien du niveau de sécurité pendant des opérations de routine, comme le déploiement de patches puisque c'est la saison. Mais quand on y pense, c'est quand même pas de bol de se faire attaquer juste à ce moment là... Moment qui aurait tout de même duré plus de deux heures... Migration fail...
Le second, c'est de voir combien savoir qu'un WAF sera sur le chemin rend les gens laxistes en terme de sécurité web... Mais ce n'était un secret pour personne...

À côté de tout ça, des évènements comme Wordpress qui se ferait rooter ou Amazon qui distribuerait sur EC2 des images certes certifiées, mais néanmoins compromises, passeraient presque pour de la routine...

Notes

[1] Là où on annonçait des millions il y a à peine trois jours...

[2] Une boîte de spammingwebmarketing qui se fait voler des données, avouez que c'est cocasse...

[3] Pwné eux aussi par une injection SQL...

[4] Web Application Firewall.