Checkpoint et BSD pris en défaut

Aucun système de sécurité n'est inviolable, pas même le fameux système d'exploitation compartimenté du nom de Pitbull (de l'éditeur Argus Systems) qui avait été développé dans cette optique. En effet, comme pour le prouver, plusieurs failles ont été annoncées cette semaine par différents experts du domaine. Samedi 7 juillet dernier, la société allemande Inside Security constatait que le port UDP/IP 259, qui ne figure pourtant pas parmi les plus usités, était mal fermé dans le pare-feux FireWall-1 et le réseau privé virtuel VPN-1 (versions 4.0/4.1) du fournisseur CheckPoint. Résultat, un pirate peut s'amuser à ajouter une fausse en-tête à un flux continu de paquets IP (de même type qu'en matière de streaming), et lancer une attaque de déni de service pour faire tomber le serveur. En même temps, il est possible d'exploiter une faille d'une application située derrière le système de sécurité, en vue par exemple d'éxécuter un code malicieux.

Le correctif de l'éditeur est disponible et différent pour les deux versions 4.0 et 4.1, et il convient de l'appliquer avec rigueur en éteignant le firewall. Une autre méthodologie à suivre strictement à la lettre a été déclinée dans l'addendum du 12/07 ajouté à l'alerte. Les écarts ne pardonnent pas comme en témoigne la panne dont a été victime Fluxus le vendredi 13 juillet (lire l'article de ce jour). Contacté par nos soins vendredi soir, le support de la SSII Neurocom, partenaire sécurité certifié (CSP) de CheckPoint, a attiré notre attention sur le sujet.

Les Unix de Berkeley n'échappent pas à la règle
Mardi 10 juillet, c'était au tour de l'expert bulgare Georgi Guninski de publier le résultat de son second round de tests lui permettant d'obtenir des privilèges d'administrateur sur un système d'exploitation FreeBSD (versions 4.0/4.1). Pour les spécialistes réseaux, la solution se trouve à cette adresse. Il y a près d'un mois, le premier round concernait OpenBSD v2.8 et 2.9, l'un de ces autres OS dérivés d'Unix réputés les plus fiables et les plus sécurisés du marché. Selon Guninski, le correctif aurait été publié 6 jours plus tard, le jour même de la diffusion de son propre bulletin. Les systèmes d'exploitation BSD (Berkeley Software Design) tirent leur origine de l'université de Berkeley en Californie, Etats-Unis, dont des étudiants en sont les auteurs. Tant du côté de CheckPoint que des éditeurs qui ont récupéré les droits des BSD, il convient de préciser que la réactivité a été au rendez-vous.

Un seul système de sécurité ne suffit donc pas
La question n'est donc pas de fustiger les développeurs de ces produits, car il est souvent très difficile de prévoir quelles seront toutes les conséquences possibles d'un code complexe, notamment du fait que les utilisateurs extrêmes sont des humains. C'est notamment à cela que sert la définition d'une architecture de sécurité au sein de la politique globale. En effet, nombreux sont les spécialistes du domaine à récrier l'utilisation unique d'un firewall. Et pour cause...

Parmi les autres outils pouvant constituer un système de sécurité complet, l'on peut citer les antivirus de tous bords, mais aussi les logiciels de surveillance qui enregistrent notamment tous les faits et gestes non usuels d'utilisateurs externes détectés sur un réseau. Enfin, certains de ces produits s'avèrent capables de signaler la présence d'un faux réseau à l'intrus. C'est par exemple le rôle de Cybercop Sting, le serveur de leurres de Network Associates. N'oublions pas que repéré, un pirate devient beaucoup plus inoffensif.