icrosoft a battu un record avec un Patch Tuesday d'avril qui culmine à dix-sept bulletins, dont neufs sont jugés critiques, rassemblant pas moins de soixante-quatre failles. Cette livraison de taille établit un autre record : jamais un individu n'avait été à l'origine de la remontée d'autant de vulnérabilités. Tarjei Mandt, qui donnait un excellent talk sur l'exploitation du kernel pool Windows à Hackito, se voit crédité des trente élévations de privilège du bulletin MS11-034.
Évidemment, ce patch mensuel record a fait couler l'encre et les octets pour nous dire, grosso modo, exactement de que je viens de vous raconter plus haut. Ce qui classe donc ma prose tout au fond d'une longue liste de reprises sans valeur ajoutée... Mais le record n'est peut-être pas que là...
En effet, pendant que tout le monde a les yeux rivés sur l'impressionnante liste des correctifs à appliquer, le monde ne s'arrête pas de tourner pour autant.
Avec par exemple une énième faille critique dans Flash, Adobe Reader et Acrobat. Une annonce qui ne surprend pas plus que d'apprendre qu'elle était déjà exploité dans la nature depuis quelques temps à travers des documents Word. On se prendrait presque à se demander qui prendra la suite de Bercy, RSA et Comodo dans la course à l'APT...
Un candidat n'a d'ailleurs pas tardé à se présenter en la personne du groupe Safran, plus précisément sa filiale Turbomeca dont on apprenait récemment qu'elle avait fait les frais de deux attaques. Attaques dont on ne nous dit rien, sinon qu'elles n'auraient pas entraîné la fuite de "données à caractère industriel". L'entreprise en aurait cependant profité pour améliorer sa sécurité, à hauteur de... "quelques dizaines de milliers d'euros"[1]... Je ne sais pas ce que ça vous inspire, mais je n'ai pas l'impression qu'on puisse se payer grand chose pour ce prix là...
Sauf à considérer quelques boîtiers de sécurité, comme ceux, par exemple, de l'éditeur Barracuda Networks. Sauf que ce dernier vient également de tenter sa chance avec un vol de données massif. Mais en se faisant déchirer via un script PHP vulnérable à une injection SQL, ils ne sont pas éligibles au titre de victime de l'APT. À peine en a-t-on parlé, mais ceux qui se sont récemment gaussé de MySQL[2] ne manqueront pas de remarquer qu'on est en présence d'un vendeur de WAF[3]. Et bien que protégés par leur propre technologie, ils se seraient retrouvés avec un réseau ouvert aux quatre vents... lors d'une opération de maintenance...
La mésaventure de Barracuda appelle au moins deux commentaires. Le premier, c'est qu'on ne peut que s'étonner qu'une opération de maintenance ait pu laisser cette infrastructure aussi vulnérable. Peut-être quelqu'un devrait-il leur filer deux ou trois tuyaux sur le maintien du niveau de sécurité pendant des opérations de routine, comme le déploiement de patches puisque c'est la saison. Mais quand on y pense, c'est quand même pas de bol de se faire attaquer juste à ce moment là... Moment qui aurait tout de même duré plus de deux heures... Migration fail...
Le second, c'est de voir combien savoir qu'un WAF sera sur le chemin rend les gens laxistes en terme de sécurité web... Mais ce n'était un secret pour personne...
À côté de tout ça, des évènements comme Wordpress qui se ferait rooter ou Amazon qui distribuerait sur EC2 des images certes certifiées, mais néanmoins compromises, passeraient presque pour de la routine...
Notes
[1] Là où on annonçait des millions il y a à peine trois jours...
[2] Pwné eux aussi par une injection SQL...
[3] Web Application Firewall.
Jeu de briques
Snake
Pacman
Bubble