L’information de correctifs exploitée par les pirates

Dans le secteur de la sécurité ICT, le débat fait rage depuis des années déjà sur la mise à disposition ou non d’informations relatives aux failles de sécurité (bugs) avant qu’un correctif (‘patch’) ne soit sorti. Il apparaît à présent que des esprits malfaisants exploitent l’information concernant les prochains correctifs.

Microsoft est l’un des grand fournisseurs ICT clamant depuis belle lurette qu’il est injustifiable de distribuer des informations sur des brèches de sécurité, avant qu’un correctif ne soit sorti. Dans la pratique, il appert cependant qu’il faut un certain temps pour qu’un correctif soit développé, testé et lancé. Ensuite, les informaticiens eux-mêmes doivent encore l’expérimenter et le déployer.En outre, il y a le phénomène du ‘zero day exploit’, à savoir un logiciel malfaisant (malware) qui abuse d’une faille avant même qu’elle soit colmatée par un ‘patch’. Les adeptes de la mise à disposition d’informations affirment que cela permet aux gestionnaires de contrer ce genre de ‘zero day exploit’ ou, en tout cas, de pouvoir minimiser son danger.Les développeurs de logiciels malfaisants semblent à présent avoir trouvé un… bon compromis: ils utilisent l’information des avertissements (advisories) annonçant l’arrivée de correctifs. La récente faille découverte dans le service DNS (Domain Name System) de Windows Server en est un exemple concret. Des pirates ont développé du code de démonstration qui abuse d’un ‘buffer overflow’ dans les éditions serveur de Windows (2000, 2003, Longhorn Server).Le ‘buffer overflow’ permet de faire exécuter du code à distance sur l’ordinateur cible en vue d’en prendre le contrôle. Aujourd’hui, diverses variantes de code d’abus de cette brèche ont été mises au point. En outre, elles sont déjà incorporées au pack combiné de programmes malfaisants prêts à l’emploi Metasploit. Le débat peut donc désormais porter sur la quantité d’informations qu’un fournisseur doit proposer dans ses avertissements de correctifs.