Correctifs : Microsoft réinvente le jeu de Kim
La règle est simple : il suffit de posséder une assez bonne mémoire pour se souvenir des trous découverts au fil du mois écoulé, des bouchons disponibles, des colmatages « officiellement publiés », des rustines « discrètement glissées » et des failles ostensiblement passées sous silence. Et comme les RSSI, CSO et autres responsables réseau n'ont pas tellement le temps de jouer, CSO France tente de leur fournir les réponses nécessaires pour gagner... un réseau plus ou moins sécurisé.
Tout le monde l'aura remarqué, le tout dernier « patch Tuesday » nous offre trois emplâtres logiciels respectivement immatriculés MS06-052, MS06-053 et MS06-054. Des trois, seule la dernière est considérée comme critique et occupe la hune des principaux sites d'alerte de sécurité, notamment Secunia. Il faut dire que le bug en question concerne Publisher 2000, 2002 et 2003, logiciel de la suite Office, et peut conduire au lancement d'un programme à distance.
Personne ne l'aura remarqué, ou presque, cette petite ligne du déjà antique bulletin MS06-042 : « Updated: September 12, 2006 ». 06-042. Bon sûr, mais c'est bien sang !* Il s'agit du trou qui perforait la rustine qui devait combler un trou, rapport aux chevaux de Troie qui l'exploitaient (pour une fois, la rustine, pas le trou) (enfin, le trou dans la rustine). A ajouter donc au jeu de Kim la rustine 06-042 nouvelle-nouvelle-nouvelle-nouvelle-nouvelle version (voir les « releases » en bas de communiqué) d'un correctif qui se transforme peu à peu en comique de répétition marxiste tendance Groucho. Marc Maiffret semble s'en être énormément amusé, lui qui signe généralement tous les « advisories » de la société eEye, bulletins généralement riches d'enseignements techniques.
Puisque l'on en est au chapitre des mises à jour, ne passons pas à coté de la 06-042 « v 2.0 », autre correction de rustine rectifiant les « server services ». Le bouchon ne concerne cette fois que les administrateurs de serveurs sous Windows 2003 SP2 et les possesseurs de station supportant XP édition 64 bits.
Tout le monde l'aura remarqué ... sauf peut-être du côté de Redmond, il reste un trou béant qui alimente un virus actif et demeure non comblé depuis un mois. Le nombre d'articles, d'alertes, de cris poussés à propos de cette inconsistance demeurent sans réponse de la part de l'éditeur. Mais diantre pour quelle raison les usagers trop pauvres de Word 2000 réclameraient-ils leur pain quotidien de correctifs ? Ils n'ont qu'à manger de la brioche.
Si tout le monde a remarqué cette première rustine appliquée sur une faille qui n'en était pas une, la seconde mouture est, quant à elle, passée nettement plus inaperçue. Bruce Schneier retrace l'historique de ce logiciel nommé FairUse4WM qui, un beau jour, sortit du compilateur de ses maîtres pour éliminer les miasmes des accessoires anti-copies (DRM) imposés par Microsoft. Une mesure de contournement -et non une exploitation de faille- que Microsoft mit trois jours à parer. Contre-mesure que les auteurs du fameux Faire Use for Windows Media perfectionnent derechef. Deux jours plus tard, la manoeuvre d'évitement était à nouveau bloquée. Ce qui prouve, explique Schneier, que les discours alambiqués tentant d'expliquer l'importance d'une stricte observance du rythme mensuel des correctifs, les justifications techniquement discutables sur la lenteur du processus de « tests de non-régression », les propos et gloses sur la difficulté de colmater certaines brèches se subliment immédiatement dès que sont menacés les intérêts financiers immédiats de Microsoft.
De source bien informée et généralement digne de foi, il paraîtrait que le Security Response Team organiserait pour le mois prochain un grand concours intitulé « Cherchez la faille » ou « Le trou dormant » (à moins qu'il s'agisse de « bug si maldonne »). Un défaut logiciel mystérieux sera laissé « en l'état ». Ses inventeurs se verront récompensés par une mention spéciale dans le bulletin du Patch Tuesday de novembre.
Ou peut-être de décembre
... enfin, s'ils respectent les conditions de soumission et de publication du Responsible Disclosure.
* Raymond Souplex dans le rôle du commissaire Bourrel -Les 5 dernières minutes- (circa 1957), parodié par Gotlieb dans la Rubrique à Brac (circa 1968)