Chez Microsoft, les mercredis sont durs
Brian Krebs, le « security computer pundit » du Washington Post, explique comment les exploiteurs de failles attendent avec impatience le « Patch Tuesday » Microsoft pour, dès le lendemain, se lancer dans l'exploitation intensive d'une faille jalousement conservée « au frais ». Exploitation d'autant plus ravageuse que l'on sait Microsoft peu enclin à publier un correctif « hors calendrier ». Un mois complet pour jouer avec l'insécurité d'une plateforme utilisée dans le monde entier... il y a de quoi faire tourner les têtes de bien des injecteurs de spywares ou de pratiquants du Spear Phishing. Ce que ne précise pas Krebs, c'est que certains, même, n'hésitent pas à dévoiler leurs batteries le jour, la veille, ou la semaine précédent le Mardi des Rustines, misant sur l'inertie du « mammouth » et son incapacité à intégrer de nouveaux correctifs dans un processus de publication rigidifié par une procédure administrative lourde. Les pirates aussi font de la statistique et de l'analyse tactique, ou se sont inspirés des films de gangsters des années 50, ceux dans lesquels les malfrats relèvent consciencieusement les heures de passage des rondes de police. Aucun cinéphile dans les équipes des Response Team de Cisco, Microsoft, Oracle et consorts ? Le prix de vente d'un exploit « opérationnel » est d'autant plus élevé que son MTBF est garanti durant au moins une trentaine de jours. Ceci précisé, se vendent également au prix de l'or fin les exploits « à courte durée de vie » issus directement du reverse engineering des rustines Microsoftiennes. Leur temps moyen de bon fonctionnement dépend essentiellement du délai s'écoulant entre la publication d'une rustine et son application effective, période nécessaire aux tests de régression et autres nécessités techniques. Période, également, bien souvent amplement nécessaire pour conduire une injection de code efficace. Bien sûr, le papier de Krebs n'est pas une révélation.Chaque RSSI sachant sniffer sait sans sourciller soupçonner sans férir le sursaut subit des « virus du lendemain ». Ce qui n'est en revanche pas le cas du « grand public » -de l'artisan au particulier, en passant par la PME de petite envergure ne disposant pas d'une DSI structurée. L'article du Post constitue un argument de plus pour le camp des partisans du correctif « à flux tendu ». Rappelons, au début de ce mois, la naissance du Zert, association de professionnels de la sécurité proposant des « correctifs d'urgence » destinés précisément à briser ce cercle vicieux. Enfin, les « clearing house » telles que Secunia, les listes de diffusion, les professionnels du monde sécu, condamnent de plus en plus vertement le fait que les éditeurs eux-mêmes déterminent le niveau de dangerosité -donc d'urgence- des failles qu'ils corrigent. Le processus est engagé, les voix commencent à s'élever, un jour, peut-être, chercheurs et éditeurs parviendront à trouver un terrain d'entente.
