Édito : MISC N°66
Mis en ligne le : 01/03/2013
Catégorie(s) :
  • Éditos
  • Misc
  • Commentez

    Odyssée O-day

    Après un temps qui lui semblait proche de l’infini, il avait enfin cerné le problème, la cause profonde. Il tenait les registres, il connaissait l’organisation de la mémoire au bit près, il avait enfin le contrôle du flux d’exécution. Un superbe 0 day. Et ensuite ? Il reste à weaponizer ce 0-day, c’est-à-dire faire rentrer le cheval de Troie dans la place. Et là, tous les coups sont bons : faux documents, sites pornographiques, mises à jour douteuses... la ruse est reine.

    Dernièrement, on a (enfin) reparlé des 0 days. Il faut dire que janvier a été particulièrement prolixe : Java deux fois, Flash deux fois et Acrobat Reader une fois. Tout ça exploité " in the wild ", pas juste du proof of concept, ou un vague crash.

    Il faut se souvenir du temps pas si lointain où certains éditeurs promettaient à leurs clients d’arrêter " 100% des attaques connues et inconnues ". Ce marketing a fait beaucoup de mal, la double peine même. D’une part, il y a ceux qui prennent cela au pied de la lettre et se font évidemment avoir. D’autre part, la dénonciation de ce slogan a eu pour effet pervers de laisser croire qu’on ne pouvait rien contre les 0 days.

    Pour s’en convaincre, il suffit de regarder les stratégies de défense qui évoluent peu (voire pas), alors que maintenant, ce phénomène est avéré. Pourquoi ce défaitisme ?

    Quand on regarde les éditeurs logiciels, il y a quelques années, ils n’étaient pas soucieux de la sécurité de leurs produits. À force de se faire taper dessus, des boîtes comme Microsoft ont investi énormément dans le développement sécurisé mais ont aussi revu l’architecture des logiciels. Quand on voit toutes les contre-mesures qui existent aujourd’hui pour exploiter une faille dans Windows, iOS ou Chrome, bon courage !

    Cette réflexion et les changements du monde de l’édition logicielle ne pourraient-ils se produire pour l’architecture des réseaux ? Ça passe par un changement de mentalité, par imaginer de nouvelles approches. Et les gens qui sont la tête dans le guidon n’ont pas forcément le temps de s’en préoccuper, quand il faut déjà faire marcher le réseau pour que le PDG puisse consulter ses mails depuis n’importe où.

    Signalons quand même que ceux qui se sont payés cette mutation ne sont pas n’importe qui : Microsoft et Google. Ils ont certes des réserves financières, mais ils ont aussi choisi de les investir dans cette révolution, convaincus qu’ils y gagneraient par la suite. Pas sûr que les mentalités soient identiques ailleurs ou que le modèle s’applique de la même manière.

    En attendant, côté réseau, la réponse est toujours la même : empiler des équipements. Et les équipes ne changent pas plus, toujours en sous-effectif, avec de plus en plus de missions à remplir avec de moins en moins de moyens. Et bizarrement, les effets sont toujours les mêmes : les attaques passent.

    Bref, tout ça pour dire qu’il serait peut-être temps d’introduire le 0 day (voire le 1 day) et les logiques similaires dans nos plans de défense, plutôt que de les vendre allègrement aux États-Unis ou aux Chinois (ZDI / Tipping

    Point, iDefense et autres ExploitHub) tout en constatant qu’on se fait joyeusement piller. Ceci dit, si vous avez du matos, n’hésitez pas à me contacter : mes neveux préfèrent ces petits programmes aux Pokemons.

    Bonne lecture,

    Fred Raynal
    @fredraynal
    @MISCRedac

    Vous souhaitez commenter cet article ?
    Brèves Flux RSS
    Édito : GNU/Linux Magazine Hors-Série N°72
    Édito : Linux Pratique N°84
    Édito : MISC N°74
    Édito : GNU/Linux Magazine N°173
    Édito : MISC Hors-Série N°9
    Communication RSS Com. RSS Presse
    HACKITO ERGO SUM
    GNU/Linux Magazine, partenaire du SymfonyLive Paris
    Opensilicium, partenaire de RTS EMBEDDED
    Linux Pratique et Linux Essentiel, Partenaire de l’Open World Forum
    Gnu/Linux Magazine, Partenaire des JDEV 2013
    Rechercher un article dans notre base documentaire :
    Désolé, aucun article ne correspond à vos critères.