'est à StoneSoft que l'on doit la découverte de cette nouvelle menace aussi terrible qu'insaisissable. Permettant aux cyber-criminels de tout poil de s'introduire dans vos systèmes vulnérables à la barbe de vos meilleurs firewalls, les Advanced Evasion Techniques, ou AET pour les intimes, sont manifestement le nouveau fléau en passe de détruire l'Internet mondial tel que nous le connaissons. C'est d'ailleurs super sérieux, puisque le CERT-FI s'est aussitôt emparé de la chose pour coordonner la réponse.
Je ne veux pas jouer les rabat-joie à un peu plus de deux mois de Noël, en cette période manifestement réservée à l'annonce des catastrophes numériques à l'échelle planétaire, mais la proximité avec le lancement de la campagne Æntievasion me semble être une coïncidence notable...
Je me moque un peu, mais grosso modo, on n'a pas le début du moindre morceau de détail technique sur ce que peuvent être ces AET, capables de dissimuler tout type de trafic aux systèmes d'inspection les plus sophistiqués. Et en particulier des attaques. Tout ce qu'on en sait finalement, en lisant les lignes publiées par le CERT-FI, c'est que ce sont des techniques d'évasion qui ont l'air de passer outre tous les IDS/IPS du marché, que c'est Stonesoft qui les a découvertes et que pour s'en protéger, il faut mettre en œuvre des moyens de protection additionnels non spécifiés. Sinon à utiliser le produit phare StoneGate qui lui, d'après l'éditeur, est capable de les bloquer. Forcément...
ICSA Labs est également dans la boucle. Leur réaction sur le sujet ne donne pas plus de détail mais me semble beaucoup plus modérée. On y apprend cependant qu'un white paper devrait être publié bientôt. Seuls SecurityVibes et Zataz indiquent d'une part qu'une démonstration a été donnée à la presse sur les ténors du marché de l'IPS/IDS pour montrer l'impact de la trouvaille, et avancent d'autre part quelques vagues éléments. À savoir qu'il s'agirait d'un savant assemblage en séquences bien spécifiques d'un nombre important de techniques déjà connues. Ça a déjà l'air un peu moins croustillant...
Par contre, toutes ces réactions, ainsi que les nombreux autres articles de part le monde, démontrent un effort certain de publication synchronisée[1], le truc encore mieux que la divulgation responsable.
Si l'annonce semble véritable, on n'est pas plus capable d'en juger la criticité. Il faudrait faire confiance à tout ce beau monde, comme on a pu être tenté de leur faire confiance fin 2008 avec un terrible bug TCP dont on a beaucoup entendu parler sur le moment, mais très peu par la suite. Certains diront que c'est le signe que le boulot a été fait, et bien fait. Même à considérer cela, c'est aussi le signe que ce travail aurait pu être fait sans tapage médiatique...
Ici, les seuls liens fournis en référence sont, et je cite parce que ça vaut son pesant de cacahouètes, les documents suivants :
o Stonesoft's press release o Stonesoft's stock exchange release
Je ne savais pas que le NASDAQ était une source de référence en sécurité informatique. Mais promis, je m'en vais mettre mon agrégateur RSS à jour de ce pas...
Loin de contester l'éventuel intérêt technique de la découverte, puisque rien ne l'infirme ni le confirme, on a quand même encore affaire à un joli buzz médiatique qui va être repris partout, et dont on entendra probablement plus jamais parler d'ici un mois. D'aucuns crieront à la catastrophe, certains affirmeront que ce n'est que du flan et lèveront la carte FUD, d'autres comme moi constateront qu'il n'y a rien pour valider l'annonce, etc. Toujours est-il que ce dont se souviendra le décideur pressé, lecteur de publications édulcorées à gros tirage, c'est qu'en octobre 2010, il a encore entendu parler d'une menace affreuse et que ça n'a jamais rien donné derrière, puisque comme d'habitude, on ne parle pas des trains à l'heure...
Et maintenant, on se plaint, nous professionnels de la sécurité informatique, de toujours passer pour les Cassandres de service. Même si ce n'est pas complètement injustifié, ce n'est clairement pas avec ce genre d'annonces qu'on va améliorer la situation. Et ce, complètement indépendamment de la teneur technique de la découverte sous-jacente. Parce que comme je le disais avant, que ce soit du sérieux ou le pire des enfumages, le décideur pressé ne verra pas la différence. Et parce qu'il ne verra pas la différence, d'autant que personne n'est aujourd'hui capable de la lui montrer, il concluera que c'était du mou, ou du moins quelque chose qui ne méritait pas qu'on s'y attarde.
En fait si. Il y a quelque chose qui me semble intéressant là-dedans. On nous explique que c'est une découverte qui va changer la face du monde de la sécurité. Parce qu'on a découvert une technique qui permet à un attaquant d'atteindre et d'exploiter une application déjà vulnérable sans se faire détecter et sans laisser de traces ? Je vous laisse méditer là-dessus...
Ceci étant, après réflexion, je me dis qu'on aurait pu utiliser le trigramme AET pour qualifier toute une classe d'annonces médiatiques. Ça aurait alors voulu dire "Absence d'Élement Technique"...
Notes
[1] Effort auquel je participe donc activement, au même titre que Bluetouff ;)