Firefox : Faille éditoriale critique et disques qui durent
En fin de semaine dernière, un couple de chercheurs en sécurité affirmait avoir découvert 30 failles au coeur de Firefox, dont un défaut Javascript qui avait déjà fait, en d'autres temps, l'objet de spéculations... non appuyées par la publication d'un PoC exploitable « à distance ». Cette révélation faite durant la conférence Toorcon 8 revêtait toutes les apparences d'une annonce sérieuse. A quelques détails près : - Il semblait difficile d'admettre, après le très médiatique « blitz » de H.D.Moore sur les navigateurs, que deux chercheurs indépendants puissent découvrir 30 trous originaux qui n'aient pas fait l'objet d'investigation durant le « month of browser's bugs » de cet été. La chose eut été possible 4 ou 5 mois plus tard ou plus tôt, mais là, le travail de fuzzing relevait de l'aventure stakhanoviste la plus improbable. - Le lieu de l'annonce était également douteux. Les organisateurs de Toorcon sont généralement diablement compétent... dans le domaine du « hack matériel ». Même si Dan Kaminsky y faisait une entrée remarquée, ce n'était pas un indice suffisant pour offrir à ce meeting un cachet d'absolue expertise logicielle. - Les récentes failles et découvertes de ZDE de ces dernières semaines, qui affectaient certains programmes Microsoft, avaient « sur-sensibilisés » une grande partie des publications en ligne et blogs de tous crins. La découverte était peut-être un peu trop belle et tombait trop « à propos » pour ne pas éveiller au moins l'ombre d'un soupçon. - Enfin, la présentation des inventeurs était dénuée de la moindre preuve « codée » tangible, détail d'autant plus suspicieux que les deux auteurs ne s'étaient pas fait de nom sur les listes Full Disclosure, Bugtraq, NT-Bugtraq, Cert, Securiteam etc. Autant d'éléments qui ont poussé la rédaction de CSO France à attendre que se décante la situation avant de publier la moindre ligne sur le sujet. Fin juillet, à l'occasion de la DefCon, la réaction eut été différente. Le filtrage de ce genre de « keynotes » par les organisateurs du forum également. L'annonce en question était en fait un énorme « bidonnage » humoristique, comme l'affirme son auteur. Tout se résume donc à une pincée de faits réels sur une faille difficile à exploiter -le fameux bug JavaScript qui déclencha les commentaires de Mme Snyder-, noyée (la pincée de fait réels, pas Mme Snyder) dans un océan de trous totalement inventés. Le Securiteam, en fait d'ailleurs une analyse objective, consultable depuis le premier du mois. Ce bug éditorial ne doit pas pour autant laisser dans l'ombre d'autres causeries véritablement importantes qui se sont tenues dans l'enceinte de la Toorcon. Une intervention aussi brève que remarquée de Johnny « cache », l'homme de l'attaque « driver level » des cartes WiFi Apple, ainsi qu'une présentation remarquable de clarté -et non de simplicité- signée Scott Moulton sur l'art et la manière de « récupérer » un disque dur devenu muet. On en retiendra au moins trois choses importantes : 80% des accidents de disque peuvent être réparés par simple intervention logicielle. Si, par malheur, le matériel était en faute, un échange standard de la carte contrôleur résout généralement la question... de quoi inciter les victimes à surveiller les sites de ventes de particuliers en ligne, histoire de cannibaliser quelques Winchesters. Enfin, l'expression américaine « keep cool » est, en matière de stockage de masse, une vérité première. Une remarque que l'auteur de cette présentation traduit par un usage intensif de modules à effet Pelletier. Précisons qu'en vertu du principe de Lavoisier, le « froid » offert par ces composants-miracle est contrebalancé par l'obligation d'une sérieuse aération de l'envers dudit module ainsi que par une surconsommation en courant aussi peu écologique qu'économique.