Vous êtes dans : Accueil > Tribunes libres >

On ne nous dit pas tout !

Charles Blanc-Rolin , MARDI 20 JUIN 2017

Comme tout un chacun, les éditeurs de logiciels ont eux aussi leur petit jardin secret.

Mauvaises pratiques, collecte d’informations sans consentement, backdoors laissées volontairement, éventuels accords avec des états… Sans vouloir jouer les « complotistes », il ne faut pas non plus être trop Candide. 

Dans le domaine de la sécurité des systèmes d’information, nombreux sont les éditeurs qui tentent au maximum de mettre la poussière sous le tapis.

#FERMEZLESVOLETSDEVOSWINDOWS

Microsoft n’est pas le dernier dans ce domaine, tout le monde se souvient de la propagation massive du rançongiciel Wannacry, exploitant la vulnérabilité MS17-010 sur le protocole SMB V1 de Windows corrigée en mars et pour laquelle Microsoft a sorti en urgence de ses tiroirs des mises à jour de sécurité pour plusieurs systèmes qui n’étaient plus supportés depuis plusieurs années, dont Windows XP et 2003 Server.
Avec les publications qui « vont bon train » en ce moment, par le (ou les) mystérieux Shadow Brockers, d’outils d’espionnage de la NSA exploitant de nombreuses vulnérabilités logiciels. Le géant américain a publié dans son dernier « patch Tuesday » des rustines pour par moins de 96 vulnérabilités dont 3 qui étaient exploitées par la NSA.

exploits

Après EternalBlue (MS17-010), je suppose que Microsoft a jugé ses 3 « exploits » (EsteemAudit qui cible RDP, ExplodingCan visant IIS 6.0 et EnglishmanDentist qui s’infiltre dans Exchange) et certaines autres vulnérabilités assez importants pour publier là encore des mises à jour pour XP et 2003
Vous pouvez retrouver les détails ces différents patchs dans ce post.

Si on regarde de plus près, comme pour les patchs sortis en urgence lors de la vague « Wannacry », certains patchs que l’on vient tout juste de nous servir, sont en fait sortis du four au mois de février dernier.

patch sign

Le grand chef Microsoft va-t-il continuer longtemps à conserver dans son garde-manger des patchs pour les « exploits » qui ne sont pas encore annoncés publiquement et nous les servir au fur et à mesure que les vulnérabilités vont être annoncées publiquement ? 

Ces « patchs » servis sur un plateau, nous n’avons plus qu’à aller les picorer pour colmater les fuites sur nos vieux serveurs. Je pense vraiment que si un éditeur comme Microsoft a pris la peine de publier une nouvelle fois des patchs pour XP et 2003, c’est que ça ne sent vraiment pas très bon…
Nous apprendrons sans doute l’année prochaine que ces vulnérabilités sont déjà exploitées depuis un bon moment par d’autres personnes que les membres de la NSA…

Les nombreux dispositifs médicaux s’appuyant sur Windows XP seront-ils eux aussi patchés ? C’est moins sûr… Le niveau de criticité de ces appareils ne fait qu’accroitre.

#LACNILSANCTIONNEDANSLASANTÉ

Dans le secteur de la santé, on ne nous dit pas toujours tout non plus, et le secret médical, n’est pas toujours un argument recevable. Un cabinet dentaire a reçu de la CNIL, une sanction pécuniaire de 10 000€ pour non-respect du droit d’accès et non coopération avec la CNIL. Le cabinet a tout simplement refusé à un patient, l’accès à son dossier. Après réception d’une plainte en novembre 2015 et une mise en demeure pour laquelle elle n’a reçu aucune réponse, la CNIL a décidée de sanctionner le responsable du traitement. Dans un récent communiqué sur le sujet, la Commission rappelle les obligations des professionnels de santé. Elle en a par ailleurs profité pour publier une « fiche mémo » intitulée « Professionnels : comment répondre à une demande de droit d’accès ? ».

#LASANTÉ1ERSECTEURATTAQUÉ

Selon un récent rapport de la société Vectra Networks, la santé arriverait en tête des secteurs les plus ciblés par les attaques cyber sur le premier trimestre 2017, avec 164 menaces constatés pour 1000 périphériques, comme le souligne l’éditeur de cette plateforme de détection automatisée des menaces dans son communiqué de presse

#NOUVELLEGLISSADESURLABANQUISE

Après une vulnérabilité SUDO corrigée au début du mois, le pingouin est victime d’une nouvelle glissade. La société Qualys a annoncée le 19 juin, une nouvelle vulnérabilité baptisée Stack Clash (CVE-2017-1000364)affectant Linux, OpenBSD, NetBSD, FreeBSD et Solaris. Les chercheurs ont trouvé sept façons d’exploiter cette faille avant d’aider les différents éditeurs à la corriger.
Là encore la bonne pratique est évidemment de patcher rapidement. Mais combien d’objets connectés, de matériels « réseau » ou de dispositifs médicaux avec une distribution embarquée ne verront jamais de correctifs de sécurité ?

Au boulot, il y a des mises à jour qui nous attendent !

#logiciels#cnil#microsoft#sécurité#sih#dispositifs médicaux