Par Robert Lemos, envoyé spécial
CNET News.com
Analyser les correctifs de sécurité afin d’en exploiter prestement les failles:
voilà ce que permettent de nouveaux outils dont l’usage se répand parmi les
codeurs malveillants.
La tendance inquiète les experts réunis lors des sessions Black Hat Security à
Las Vegas.
LAS VEGAS – Sale temps pour les administrateurs de réseaux
informatiques, à en croire les experts en sécurité réunis les 28 et 29 juillet
dans le capitale du jeu d'argent à l’occasion des Black Hat Security
Briefings.
En cause, l'efficacité croissante des outils capables d'identifier des failles
dans les correctifs (ou patchs) que diffusent les éditeurs pour colmater les
brèches de leurs logiciels.
Ainsi, dès qu’un patch est publié, des codeurs malintentionnés
s'empressent désormais de l’analyser, puis modifient leur code malveillant
afin de rendre l'antidote inopérante.
«Il suffit d'une seule journée pour analyser un patch, déceler un problème
et créer un nouvel "exploit" [code exploitant une faille de sécurité, ndlr]»,
explique Jeff Moss, fondateur des Black Hat Security Briefings.
«Si un patch est publié un jour et qu’un "exploit" survient le lendemain,
cela laisse très peu de temps aux entreprises pour assurer leur sécurité.
» Jeff Moss est aussi le fondateur de Defcon, sorte de "congrès des
hackers" qui en est à sa douzième édition; les sessions Black Hat se
tiennent traditionnellement en lever de rideau de Defcon, qui débute donc
vendredi 30 pour trois jours.
Des attaques de plus en plus rapides
Plusieurs sociétés spécialisées dans la sécurité, dont Symantec et Verisign,
ont ainsi noté que la diffusion de codes exploitant des failles spécifiques
suit de plus en plus près la publication de bulletins d’alerte décrivant ces
failles.
Explication de cette tendance, selon des experts en sécurité participant à
la conférence de Las Vegas: l'usage croissant d’outils d’ingénierie inverse
pour analyser les correctifs et en déduire les failles.
Face à cette situation, les entreprises se voient contraintes de multiplier les
patchs, ou de trouver d'autres moyens de sécuriser leur parc informatique.
«Les administrateurs ne peuvent plus se permettre d’attendre des
correctifs trimestriels», affirme Paul Watson, expert en sécurité chez
Rockwell Automation.
«Auparavant, les entreprises appliquaient un patch une fois par an.
Aujourd'hui, celles qui procèdent ainsi sont condamnées.»
Les délais séparant l'annonce d'une faille et l'attaque proprement dite
tendent à se réduire.
L’auteur du virus-ver Slammer a ainsi laissé six mois aux administrateurs
réseau pour patcher leurs systèmes avant de diffuser son code, en janvier
2003.
Sasser est quant à lui apparu en avril dernier, trois semaines après
l'annonce de la faille qu’il exploitait.
Un laps de temps réduit à deux jours dans le cas de Witty, autre
programme malveillant moins médiatisé.
En riposte, les marchands de solutions tentent de mettre au point des
"boucliers numériques" afin d'éviter à leurs clients de multiplier les
correctifs.
Ainsi, Eeye Digital Security, société connue pour avoir décelé bon nombre
de trous de sécurité dans les logiciels de Microsoft, a présenté un outil
censé mieux protéger les systèmes contre ce type de menace.
La prochaine mise à jour de Windows XP (SP2), attendue ce mois-ci,
devrait également s'attacher, grâce à des améliorations de son firewall, à
mieux prévenir les intrusions malveillantes au niveau des failles.
scott
SECURITE - LES HACKERS S'ATTAQUENT AUX PATCHS
Modérateurs : Team Admin, Team Info