16/07/01
Checkpoint
et BSD pris en défaut
Aucun système de
sécurité n'est inviolable, pas même
le fameux système d'exploitation compartimenté
du nom de Pitbull
(de l'éditeur Argus
Systems) qui avait été développé
dans cette optique. En effet, comme pour le prouver,
plusieurs failles ont été annoncées
cette semaine par différents experts du domaine.
Samedi 7 juillet dernier, la société allemande
Inside
Security constatait que le port
UDP/IP 259, qui ne figure pourtant pas parmi les
plus usités, était mal fermé dans
le pare-feux FireWall-1 et le réseau privé
virtuel VPN-1 (versions 4.0/4.1) du fournisseur CheckPoint.
Résultat, un pirate peut s'amuser à ajouter
une fausse en-tête à un flux continu de
paquets IP (de même type qu'en matière
de streaming), et lancer une attaque de déni
de service pour faire tomber le serveur. En même
temps, il est possible d'exploiter une faille d'une
application située derrière le système
de sécurité, en vue par exemple d'éxécuter
un code malicieux.
Le correctif
de l'éditeur est disponible et différent
pour les deux versions 4.0 et 4.1, et il convient de
l'appliquer avec rigueur en éteignant le firewall.
Une autre méthodologie à suivre strictement
à la lettre a été déclinée
dans l'addendum
du 12/07 ajouté à l'alerte. Les écarts
ne pardonnent pas comme en témoigne la panne
dont a été victime Fluxus le vendredi
13 juillet (lire
l'article de ce jour). Contacté par nos
soins vendredi soir, le support de la SSII Neurocom,
partenaire sécurité certifié (CSP)
de CheckPoint, a attiré notre attention sur le
sujet.
Les Unix de Berkeley n'échappent
pas à la règle
Mardi
10 juillet, c'était au tour de l'expert
bulgare Georgi
Guninski de publier le résultat de son second
round de tests lui
permettant d'obtenir des privilèges d'administrateur
sur un système d'exploitation FreeBSD
(versions 4.0/4.1). Pour les spécialistes réseaux,
la solution se trouve à cette
adresse. Il y a près d'un mois, le premier
round concernait OpenBSD v2.8 et 2.9, l'un de ces
autres OS dérivés d'Unix réputés
les plus fiables et les plus sécurisés
du marché. Selon Guninski, le correctif
aurait été publié 6 jours
plus tard, le jour même de la diffusion de son
propre bulletin. Les systèmes d'exploitation
BSD (Berkeley Software Design) tirent leur origine de
l'université
de Berkeley en Californie, Etats-Unis, dont des
étudiants en sont les auteurs. Tant du côté
de CheckPoint que des éditeurs qui ont récupéré
les droits des BSD, il convient de préciser que
la réactivité a été au rendez-vous.
Un
seul système de sécurité ne suffit
donc pas
La question
n'est donc pas de fustiger les développeurs de
ces produits, car il est souvent très difficile
de prévoir quelles seront toutes les conséquences
possibles d'un code complexe, notamment du fait que
les utilisateurs extrêmes sont des humains. C'est
notamment à cela que sert la définition
d'une architecture de sécurité au sein
de la politique globale. En effet, nombreux sont les
spécialistes du domaine à récrier
l'utilisation unique d'un firewall. Et pour cause...
Parmi les autres outils pouvant constituer un système
de sécurité complet, l'on peut citer les
antivirus de tous bords, mais aussi les logiciels de
surveillance qui enregistrent notamment tous les faits
et gestes non usuels d'utilisateurs externes détectés
sur un réseau. Enfin, certains de ces produits
s'avèrent capables de signaler la présence
d'un faux réseau à l'intrus. C'est par
exemple le rôle de Cybercop Sting, le serveur
de leurres de Network
Associates. N'oublions pas que repéré,
un pirate devient beaucoup plus inoffensif.
|