Une semaine en sécu #1
Cette semaine en sécu : l'envol du bug bounty, un très vieux bug et le bug qui valait 53 millions
Un nouveau format un peu plus court que mes autres articles et qui sera, je l’espère, plus régulier. Dans cette série d’articles je me pencherai sur ce que j’ai pu observer dans la semaine en matières d’actus en sécurité informatique et je donnerai mes avis et mon ressenti par rapport à ceux-ci (hoax ? Vraiment grave ? À quoi ça ressemble dans la pratique ?).
Je vais essayer de faire en sorte que ce soit lisible de tout le monde tout en faisant comprendre les tenants et aboutissants. Désolé d’avance si j’en perds certains ou ennuie d’autres, l’exercice n’est pas facile. Dans tous les cas, si par hasard vous êtes tombés sur ces articles et les avez lu, n’hésitez pas à me laisser vos remarques en commentaire ou me les envoyer via le formulaire de contact.
L’envol du Bug Bounty
Il s’agit d’un sujet très d’actualité dans le monde de la sécurité : la chasse au bugs est devenue un vrai business.
Avec des plateformes telles que HackerOne (https://hackerone.com/), Bugcrowd (https://bugcrowd.com/) ou encore le tout nouveau français BountyFactory (https://bountyfactory.io/) la pratique s’est vraiment démocratisée.
Ces plateformes ont pour rôle de mettre des organisateurs de projets informatique (entreprises, Open Source, etc…) en relation avec des experts individuels (comprendre par là des particuliers) afin de déceler des bugs dans des applications ou des services moyennant récompense. Ceci prend de l’envol car présente plusieurs avantages dont entre autres :
- Il s’agit pour une entreprise d’un moyen peu coûteux de valider son code en continu,
- Pour les particuliers cela représente une valorisation de leur recherche,
- Pour tout le monde ceci améliore la sécurité car dissuade (en partie) les découvreurs de vulnérabilité de les vendre à des acteurs peu recommandables.
Pourquoi en parler ? Parce que le Pentagone s’y est mis avec une opération (à durée limitée) appelée “Hack the Pentagon” et celle-ci a été un grand succès avec la découverte et la correction de nombreuses vulnérabilités.
Source : http://www.linformaticien.com/actualites/id/40889/hack-the-pentagon-un-succes-et-une-suite.aspx
La correction d’un (très) vieux bug
Cette semaine a aussi été corrigé un bug datant de 20 ans qui affectait toutes les versions de Windows de Windows 95 à Windows 10. Celui-ci permet apparemment de réaliser des attaques pour obtenir des informations stockées par le système.
En parlant de Bug Bounty, son découvreur a empoché 50 000$. Motivant non ?
Baptisée “BadTunnel”, on aura plus d’informations à son propos à la BlackHat 2016 qui se déroulera du 30 juillet au 4 août. Affaire à suivre…
Sources : http://www.darkreading.com/vulnerabilities—threats/windows-badtunnel-attack-hijacks-network-traffic/d/d-id/1325875 et https://www.blackhat.com/us-16/briefings/schedule/#badtunnel-how-do-i-get-big-brother-power-3915
Le bug qui valait 53 millions
Un bug présent dans le système d’investissement en capital-risque DAO d’Etherum (une cryptomonnaie similaire au Bitcoin) permet à des attaquants de dérober environ 53 millions de dollars petit à petit. Une rustine assez sommaire a été mise en place afin que le vol n’arrive pas à son terme mais un vrai problème est encore à régler : comment arrêter la fuite ?
Source : http://www.zdnet.fr/actualites/blockchain-dao-premiere-epreuve-du-feu-pour-ethereum-39838668.htm
Conclusion
Pour ceux qui ne savaient pas à quoi ressemblait une semaine “standard” dans le milieu de la sécurité informatique, ce vide est désormais comblé.
Le secteur est vraiment bouillonnant et évolue très rapidement en accord avec la prise de conscience un peu à tout les niveaux de l’importance de l’informatique dans nos vies quotidiennes. Personne d’entre nous ne souhaite que Big Brother nous observe sur notre PC, et pourtant c’est ce que BadTunnel permettrait. Heureusement ce cas est assez exceptionnel mais va impacter sérieusement de vieilles versions de Windows qui sont toujours utilisées dans certains milieux (Windows XP et Server 2003 en particulier). Néanmoins ceci donne un très bon aperçu de pourquoi il est nécessaire de mettre à jour ses logiciels très régulièrement.
Encore une fois n’hésitez pas à me faire un retour sur cette mini-revue et à la semaine prochaine (je l’espère !) pour la suite des festivités !