A la suite de l’attaque dont a été victime Google en janvier 2010, le CERTA, autorité de sécurité en France rattaché au 1er ministre, a émis le 15 janvier 2010 un avis préconisant l’utilisation d’un navigateur alternatif à Internet Explorer. Le 21 janvier, l’éditeur se fendait d’une mise à jour. Il y avait le feu au lac. Mais toutes les failles découvertes font-elles l’objet d’un correctif ? Peut-on communiquer sur une faille de sécurité ? Comment détecter les vulnérabilités attachées aux logiciels utilisées ?
Les failles non corrigées à ce jour
Sur le site Internet du CERTA, vous pourrez accéder à la liste des failles qui n’ont toujours pas fait l’objet de correctifs à ce jour. Elles sont, pour l’essentiel, liées à l’utilisation de logiciels commerciaux. Sur 9 failles recensées, 3 sont liées à l’emploi de logiciels Microsoft. Curieusement, 1 seule vulnérabilité concerne le logiciel libre.
CERTA-2005-ALE-013
Vulnérabilité dans Citrix Metaframe Presentation (07 octobre 2005)CERTA-2005-ALE-016
Vulnérabilité de Microsoft Windows RPC (18 novembre 2005)CERTA-2006-ALE-008
Vulnérabilité d’ExtCalendar (11 juillet 2006)CERTA-2007-ALE-016
Vulnérabilité d’Oracle 10g (16 novembre 2007)CERTA-2007-ALE-011
Vulnérabilité du composant d’indexation des serveurs Microsoft IIS (10 octobre 2008)CERTA-2008-ALE-006
Vulnérabilités dans HP OpenView NNM (18 avril 2008)CERTA-2008-ALE-013
Vulnérabilité du service sadmind de Sun Solaris (17 octobre 2008)CERTA-2009-ALE-017
Vulnérabilités dans l’implémentation TCP/IP de divers produits (11 septembre 2009)CERTA-2009-ALE-014
Multiples vulnérabilités du client de messagerie Mozilla Thunderbird (25 août 2009)CERTA-2009-ALE-019
Vulnérabilité dans Windows 7 et Windows Server 2008 R2 (16 novembre 2009)CERTA-2009-ALE-022
Vulnérabilité dans TANDBERG MXP (11 décembre 2009)Publier une faille de sécurité est un délit pénal !
Le 9 septembre 2009, la Cour d’appel de Paris, statuant en référé, a confirmé l’ordonnance de référé du 26 janvier 2009. Dans sa décision, elle a condamné Damien Bancal, qui avait exploité et révélé une faille de sécurité du serveur de la société FLP. Suite à une affaire datant de mars 2006, la Cour de Cassation a rappelé le 27 octobre 2009 la loi qui s’exprime au travers de l’article 323-3-1 du code pénal introduit par la Loi sur l’Economie Numérique du 21 juin 2004 :
“Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.”
Et pourtant !
Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a admis que Microsoft ne communiquait pas systématiquement les failles de sécurité corrigées à l’occasion de mises à jour. Comme le révèle LMI dans son article en date du vendredi 28 mai, Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe, avouait que les vulnérabilités découvertes en interne étaient qualifiées de simples améliorations de code.
Que faire ?
Il existe de nombreux scanners de vulnérabilités sur le marché. Mais, en la matière, c’est, une fois de plus, du côté de l’Open Source que vous trouverez votre bonheur avec Nessus. Simple de mise en place, il s’exécute indifféremment sous Linux et sous Windows. Il comprend une très large liste de plugins qui vous permettront d’analyser la majeure partie des vulnérabilités publiées par les éditeurs ! Restent toutes autres…