Matasano : votre Agent les intéresse !
On a l'impression d'avoir déjà entendu çà quelque part : Thomas Ptacek de Matasano disserte sur le danger potentiel que représentent les « agents ». Et des agents, il s'en trouve des dizaines dans chaque procédure de démarrage. Outre l'impact sur les performances de la machine, ces processus destinées à communiquer avec un programme externe sont autant de cibles que convoitent les pirates. On se souvient, par exemple, de l'intéressant collier de perles confectionné par Thierry Zoller, avec les vulnérabilités des agents Zango ou les modules de mise à jour des logiciels anti-virus. On peut ajouter à cette famille les bouts de code qui sont inféodés aux grand programmes de gestion et d'administration (MOM, Unicenter, BMC Patrol), les agents « de sécurité » -un comble- chargés de la récupération des rustines déployées par un programme central de gestion des correctifs... sans oublier les agents « intelligents » de récupération d'information, d'activité réseau divers etc. Ces esclaves logiciels sont techniquement fragiles, soit parce que leur conception est trop « fragile », soit parce que leurs procédures de validation des données reçues sont imparfaites (cas des « failles Zoller »), soit parce qu'il divulguent des informations sur le réseau pouvant fournir des indices aux pirates... à ces risquent doit-on ajouter les attaques concentrées sur les programmes centraux, les consoles d'administration par exemple, celles là mêmes qui sont chargées d'initier le dialogue avec les agents. Le tout par le biais de protocoles d'échange qui ont tous, sans exception, fait un jour ou l'autre l'objet d'attaques ; Jet, Dcom, Corba. A l'heure ou les mécanismes de sécurité, et notamment les mécanismes de mise en quarantaine et filtrage d'accès genre NAP/NAC utilisent des dizaines d'agents d'origines diverses -certains même étant des « super-agents » regroupant 6 ou 7 fonctions distinctes-, il serait peut-être bon, pense Thomas Ptacek, non pas de bannir, mais de limiter l'usage de ces outils communicants au stricte nécessaire. Lorsque cela est possible, devrait-on ajouter. Car ce que les professionnels de la sécurité sont capable de maitriser, d'autre usagers, tout aussi professionnels mais moins avertis, peuvent ne rien remarquer. Rares, par exemple, sont les personnes ayant entendu parler des « outils d'instrumentation Windows », forts utiles pour constituer l'inventaire d'un parc machine, mais très indiscret en d'autres circonstances. Alors, à quand l'agent pouvant recenser les agents ?
