yant remporté ce week-end une des trois palmes du "Touche Quéquette de la Semaine", je me dois à présent de maintenir un certain niveau pour me montrer digne d'une telle distinction. Il fallait donc que je trouve une rengaine gratuite bien mesquine pour commencer la semaine. Comme je partageais cette affiche avec Julien Tinnes, bâcher quelqu'un qui buzzz sur son dernier advisory serait probablement du meilleur effet. Gratuitement de préférence.
Le gagnant qui appréciera sa nomination à sa juste valeur est donc Zataz, qui se trouve avoir repris l'annonce de la faille hier après-midi. Une news simple pour une vulnérabilité qualifiée de "faille du siècle" par "certains spécialistes de l'informatique". Bref, un nouveau bigouane en puissance, approximatif à souhait, erreurs de traduction et écorchage de noms en prime...
Je vous le dis tout de suite, cet épinglage est purement gratuit et mesquin, sans aucune méchanceté particulière, juste l'envie de reprendre M. Bancal sur deux ou trois points de détail.
D'abord, sur la timeline. Pour autant que je sache, la faille a été dévoilée sur Full Disclosure et quelques autres listes par Tavis Ormandy le 13 août, pas le 11. Et tant qu'à linker quelque chose, il aurait mieux valu pointer vers le message d'annonce original[1], plutôt que vers celui de Bradley Spengler annonçant son exploit le 14.
Ensuite, sur les traductions. Tant qu'à citer Spengler, autant faire la traduction comme il se doit. Il est en effet écrit, sous forme d'une citation qui ne lui est cependant pas directement attribuée :
Pour ceux qui ont vécu dans une grotte, un exploit existe depuis 2001. Un exploit signé par Julien Tinnes et Tavis Ormandy.
Ce n'est pas vraiment ce qu'il a écrit. Ce qui est écrit dans son message, c'est plutôt :
For those who have been living under a rock for the past two days, an exploit exists for Julien Tinnes/Tavis Ormandy's sendpage vulnerability in all Linux kernels since 2001.
C'est à dire, dans la langue de Molière et dans le contexte :
Pour ceux qui ont vécu dans une grotte ces deux derniers jours, un exploit existe pour la faille sendpage de Julien Tinnes et Tavis Ormandy qui touche tous les noyaux Linux depuis 2001.
La deuxième phrase n'existe pas dans cette annonce, elle doit donc être sortie d'ailleurs, mais je n'ai pas trouvé d'où[2]. Ça ressemble fort à un point de détail, mais comme il convient de rendre à César ce qui lui appartient, il me semblait utile de le corriger. En effet, Julien et Tavis, s'ils ont bien écrit un exploit pour démontrer l'exploitabilité de la faille lorqu'ils l'ont remontée, n'ont pas publié leur code. Les publications viennent d'auteurs différents, à savoir Bradley Spengler comme nous venons de le voir et Przemyslaw Frasunek. Quand bien même celui de Spengler aurait emprunté du code leaké et des techniques attribuables à nos deux lurons de chez Google, il n'en reste pas moins que c'est son exploit. Par contre, ce qui est fort probable, c'est que des exploits privés aient été en circulation depuis pas mal de temps.
Et puis sur les version affectées. On nous explique que la faille en question touche les versions 2.4/2.6 de Linux "implémentant le protocol d'IPv6 [...] depuis mai 2001". Cette affirmation laisse à penser que c'est le support IPv6 qui pose un problème, alors que c'est à la fois beaucoup plus large que cela, mais aussi un tout petit peu plus compliqué. D'abord parce que dans la liste des protocoles touchés, on trouvera des choses aussi peu utilisées que IRDA, RNIS[3], AppleTalk, PPPoX ou X.25, mais également le très répandu Bluetooth. Et ensuite parce que le support IPv6 n'est touché que s'il est accompagné de celui de SCTP. Donc mettre le doigt sur IPv6, c'est un peu leurrer le client, même si à peu près tous les noyaux de distribution arrivent à présent avec les supports IPv6 et SCTP disponibles en module et sont donc potentiellement vulnérables. En gros, ça veut dire qu'on peut faire de l'IPv6 sans pour autant être vulnérable. Par contre, l'attaque via le support de Bluetooth pourrait se montrer beaucoup plus efficace en terme de surface d'attaque et de difficulté d'exploitation, ne serait-ce que sur des plate-formes embarquées... Non mais je dis ça, parce que si je voulais en titiller certains, je dirais que si ça ne concernait vraiment que IPv6 avec le support SCTP, ça serait plutôt l'exploit du siècle... prochain. Tchiii-tchaaaaaa :)
Enfin, sur l'orthographe des noms propres. Les mecs, par pitié, arrêtez de massacrer le nom de ce pauvre Julien ! Il a déjà assez souffert... C'est Julien Tinnes. Pas Julian, ni Tiennes, mais Julien Tinnes. J-U-L-I-E-N T-I-N-N-E-S. Je dis ça, parce que déjà dans votre news sur ZF05, vous lui aviez écorché le prénom sur un mauvais copier/coller, et là vous en repassez une couche sur son nom de famille. Un peu de rigueur que diable ! Venant d'un champion de la faute de frappe qui se soigne avec une efficacité plus que douteuse, ça devrait vous motiver un peu :)
Bon, sur ce, je m'en vais trouver une autre mesquinerie pour la semaine prochaine...
Notes
[1] Éventuellement celui du 11 que j'ai apparemment manqué.
[2] <cc>
[3] ISDN en anglais.