lors que la rentré pointe son nez pour beaucoup d'entre nous, c'est aussi l'heure de dépiler des fils d'actualité les articles en souffrance. Beaucoup de choses intéressantes, d'autres moins, et quelques pépites qui prêtent, et c'est le moins qu'on puisse dire, à sourire. Parmi ces dernières, Zataz m'apprend qu'AES a du plomb dans l'aile et que ça "va faire mal à la securite en générale, et à l'encryption en particulier". Chez Développez.com m'explique que Qualys vient d'inventer le reverse de patches Microsoft pour faire des exploits...
Enfin, comme Marc, je me suis pas mal amusé à voir les éditeurs d'antivirus se taquiner gentiment sur le contenu technique de la fameuse opération Shaddy RAT publiée à l'occasion de Black Hat. On a beaucoup parlé de l'amusante pique lancée par Eugene Kaspersky parce qu'il n'a pas pris de gants, mais d'autres éditeurs y sont aussi allé de leur commentaire. Y compris certains dont on pourrait penser qu'ils ont d'autres chats à fouetter...
Mi-août, Andrey Bogdanov, Dmitry Khovratovich et Christian Rechberger ont publié un papier proposant une nouvelle attaque sur AES. S'en est suivie une espèce d'effervescence dont j'avoue avoir un peu de mal à comprendre l'amplitutde. Alors que Bruce Schneier ressortait à cette occasion une de ses analyses sur le sur-dimensionnement des algorithmes cryptographiques, on pouvait lire çà et là qu'un coup sérieux avait été porté à AES, certains n'hésitant pas à titrer que l'algorithme avait été cassé. Ce qui ne manquera pas de laisser perplexe toute personne ayant lu le résumé du papier, en particulier la dernière phrase : "As our attacks are of high computational complexity, they do not threaten the practical use of AES in any way"...
Continuant sur sa lancée, Développez.com nous annonçait pas longtemps après que "les correctifs de sécurité de Microsoft pourraient être exploités par rétro-ingénierie pour créer des attaques par déni de service". La découverte serait, d'après eux et d'autres qui ont maladroitement repris la news à mettre au crédit de Qualys qui aurait développé un PoC en ce sens. Là encore, on voit bien que lecture n'est pas le fort de l'auteur, pas plus que la culture du domaine. Car de ce que je peux en lire, personne chez Qualys ne se vante là d'avoir découvert quoi que ce soit de nouveau. On imagine en effet qu'ils ont, eux, un minimum de recul pour savoir, comme beaucoup de monde, que le reverse des patches de sécurité est une pratique quasiment aussi ancienne que le patching lui-même. Au point que le mercredi qui suit le fameux Patch Tuesday s'est vu, au fil du temps, attribué le sobriquet d'Exploit Wednesday. Et sans compter, évidemment, le fait qu'en 2008, un papier fut publié à Berkeley sur, justement, la génération automatique d'exploits à partir de patches Microsoft...
Côté éditeurs d'antivirus, si personne ne l'a ramenée sur la critique de Sophos, il semble que ça ait été pour mieux tomber à bras raccourcis sur McAfee après la révélation de l'opération Shady RAT, à savoir la compromission à large échelle de nombreuses entreprises et organisations gouvernementales ou non de part le monde, sur une durée considérable. Il ne leur a en effet pas fallu très longtemps pour emboîter le pas de quelques commentateurs inspirés pour faire entendre leurs avis, précisions et autres critiques. L'attaque la plus vive restera celle de Kaspersky, à travers d'abord l'envolée lyrique d'Eugene Kasperky qui explique en substance que l'attaque en question n'avait rien de spécialement extraordinaire pour qu'on en fasse un tel fromage, et ensuite quelques publications bien senties, auxquelles McAfee s'est empressé de répondre. Avec, selon les points de vue, plus ou moins de bonheur.
S'il faut bien reconnaître que le papier décrivant l'opération ne contient pas énormément de détails techniques laissant penser qu'il s'agit là d'une nouveauté, même si on sent bien derrière la publication une belle entreprise de communication avec, en point d'orgue, l'introduction d'un nouvel acronyme en la personne du SPT, pour "Successful Persistent Threat", cette opération Shady RAT n'en reste pas moins révélatrice de l'échec d'une sécurité beaucoup trop orientée sur l'utilisation de technologies préventives aux vertus miraculeuses. Car si quelque chose de pas exceptionnel, qui techniquement parlant n'a rien de novateur, a pu pénétrer quelques soixante-dix systèmes d'information de taille majeure et s'y soit maintenir pendant cinq ans, c'est que d'une part la ligne préventive a pu être contournée et que d'autre part ça ne devait pas assurer des masses derrière en terme de monitoring et détection d'incident...
Les esprits taquins ne manquant pas de remarquer que la société qui a pondu le rapport en question vend, justement, certaines des technologies préventives en question...
Ceci étant, entre deux piques aux concurrents, les éditeurs d'antivirus nous gratifient de temps en temps de billets intéressants. Je citerai rapidement cette campagne de distribution de malware PDF par email qui mimique les envois d'un copieur Xerox. Ou encore F-Secure qui pense avoir mis la main sur l'email qui conduit à la compromission de RSA et nous en livre les secrets.
Jeu de briques
Snake
Pacman
Bubble