Outre les nombreuses lacunes d’applications comme Flash, Acrobat, Java et Office, de graves vulnérabilités ont été découvertes au semestre dernier dans les systèmes d’exploitation et les bibliothèques logicielles.
Poodle
Déjà victime dans le passé de Heartbleed, le protocole SSL, qui a pour objectif d’assurer la protection du caractère confidentiel des données échangées, a connu un nouveau problème technique. Or à la différence de Heartbleed, la faille baptisée Poodle44 n’était pas une erreur de programmation, mais une erreur du protocole lui-même, plus précisément de la version 3 de SSL. La faille tient au fait que SSL/TLS s’assure de l’intégrité des données avant de les crypter. Comme le cryptage consiste généralement en blocs de longueur fixe, chaque ligne comporte à la fin le nombre de caractères nécessaires pour que le bloc ait la longueur voulue. Le dernier byte indique la taille du bloc. C’est là que réside le problème. Les données aléatoires complétant le bloc et le dernier byte ont beau être aussi cryptés, leur intégrité n’est pas vérifiée. Un pirate peut donc y insérer discrètement toutes sortes de caractères, dont des éléments de la ligne qu’il souhaite décrypter. L’auteur d’une attaque de l’intermédiaire (man-in-the-middle attack, MIDM) s’immisce à cet effet dans le canal de communication des partenaires. Ce qui est par exemple possible dans un réseau mobile ouvert.
Shellshock
La vulnérabilité Shellshock46 concernait notamment la quasi-totalité des systèmes d’exploitation Unix. Cette faille critique permet d’exécuter sans contrôle du code de programme. Elle a été découverte dans un logiciel fréquemment utilisé, nommé «Bash Shell». Outre les serveurs et les clients, des appareils comme les routeurs ou les passerelles de sécurité sont vulnérables. Les lacunes découvertes ont été corrigées au fur et à mesure. La défaillance tient à ce que les variables d’environnement soumises ne font pas l’objet de vérifications adéquates. D’où la possibilité d’ajouter à une variable du code malveillant.
Différents scénarios d’attaque sont envisageables:
- serveur HTTP / Web, via l’interface CGI
- SSH
- DHCP
- SIP
- et bien d’autres encore.
- KerberosUne autre lacune (MS14-06847) susceptible d’avoir de graves conséquences pour les entreprises réside dans la configuration de Kerberos dans le service d’annuaire (active directory) de Microsoft. Un simple utilisateur de compte peut exploiter cette faille pour obtenir des privilèges supérieurs (droits d’administrateur) et s’approprier tout un service d’annuaire. Autrement dit, il suffit en principe à un agresseur de lancer une attaque fructueuse (basée p. ex. sur un maliciel) contre un utilisateur interne pour prendre le contrôle de la totalité des ressources Windows de l’entreprise. MELANI recommande non seulement de combler la lacune, mais aussi de prévoir des plans d’urgence en vue de la restauration des active directories, et d’en tester régulièrement le fonctionnement. En outre, il importe de veiller spécialement à la sécurisation des comptes à privilèges.
SChannel
- Une autre faille de sécurité de Windows (MS14-066)48 concernait Secure Channel. SChannel est la librairie SSL/TLS de Microsoft, permettant d’échanger de manière cryptée des informations sensibles sur un réseau public. Selon Microsoft, un agresseur peut exécuter à distance, grâce à cette vulnérabilité, n’importe quel code malveillant sur le système pris pour cible, en envoyant des paquets spécialement conçus à un serveur Windows. Cisco a encore mentionné, dans un article de son blog, plusieurs débordements de tampon (buffer overflow).49 Ce patch a donné du fil à retordre à Microsoft, qui a dû l’améliorer à plusieurs reprises pour en éliminer les effets secondaires, comme les problèmes de performance.