Litchfield sur le fuzzing et sur Oracle
David Litchfield nous offre deux morceaux de bravoure cette semaine, tous deux publiés au fil de la Mailing List « Full Disclosure ». Le premier est un véritable traité de hacking et un appel à réflexion, sur une approche normée d'une sorte de « contrôle technique automobile » appliqué aux logiciels. How Secure is Software X ? demande l'expert es-failles Oracle ? Les techniques sont assez proches de celles décrites par Davide Del Vecchio ou Nicolas Grégoire dans les colonnes de CSO Magazine. L'on pourrait également y voir la pratique d'un Thierry Zoller lorsque celui-ci nous dévoile une dizaine de trous affectant les outils de décompactage de fichiers Zip, ARJ ou CAB de différents logiciels antivirus. Ou encore celle du désormais très discret et très silencieux http-equiv, qui exploita si longtemps les problèmes liés au « drag and drop » ou les buffer-overflows dans les requêtes « http GET». Hors, si l'on peut « automatiser » d'une certaine manière la recherche de failles en ayant recours à des astuces quasi antédiluviennes, l'on pourrait plus ou moins utiliser ces mêmes méthodes pour « certifier » le tout premier niveau de qualité d'un logiciel commercial, estime David Litchfield. Bien entendu, l'usage systématique de la méthode ne serait là que pour indiquer une sorte de « plus petit commun multiple » de la solidité d'un programme commercial... en aucun cas une assurance d'absolue résistance au hacking ou un label officiel de fiabilité. Litchfield n'ose pourtant pas poser la question qui fâche : si ces « vérifications de premier secours » sont connues de tout le monde, comment cela se fait-il qu'il puisse encore exister des exploits utilisant ces vieilles ficelles de l'overflow dans un champ de saisie ? La seconde lettre ouverte de David Litchfield, décidément très en verve, concerne ses relations avec Oracle. Des propos apaisants quoi que critiques, après les reproches acerbes émis durant les deux dernières semaines. « Oracle, The last word » veut clore la polémique et effacer l'image d'un Litchfield « anti 10 g ». « A nombre constant de trous de sécurité découverts, chaque nouvelle version d'Oracle qui paraît, admet-il, me demande considérablement plus de temps de travail pour détecter les instabilités ». On ne peut également que saluer l'art de l'understatement tout britannique avec lequel notre chasseur de failles parvient à encenser Mary Ann, la CSO d'Oracle, pour avoir « su avec patience dresser ce stégosaure empoté ». Même en envoyant des fleurs, Litchfield parvient à se montrer aussi venimeux qu'un conclave de prétendants à la Présidence de la République.
