Symantec
épinglé pour n'avoir pas assez communiqué...
dans l'urgence
L'éditeur est accusé de n'avoir pas suffisamment informé ses clients au sujet d'une faille interne. Mais il n'a pas bénéficié non plus du temps nécessaire pour y remédier. (Lundi 30 juin 2003)
Quand un éditeur d'anti-virus
comme Symantec est épinglé pour cause de
faille dans son propre système, experts en sécurité
et analystes spécialisés le vouent aux gémonies
si toutes les dispositions ne sont pas prises pour réparer
rapidement et exhaustivement l'erreur commise.
Lundi dernier, le leader mondial des anti-virus a diffusé
une alerte destinée à la communauté
des professionnels de la sécurité sur la
très célèbre liste Budtraq, indiquant
que le problème constaté était corrigé.
Mais la polémique enfle car Symantec se voit reprocher
de ne pas avoir suffisamment communiqué auprès
de ses utilisateurs sur ce point.
L'éternel
dépassement de buffer en cause C'est un des composants
ActiveX utilisés par le module de Symantec appelé
"Security Check" qui est en cause. La faille
provoquée par cet élément défaillant
peut permettre à un attaquant de générer
un dépassement de tampon (buffer overflow)
dans une des classes du système (Symantec RuFSI
Utility Class) et par là même de prendre
le contrôle d'un ordinateur à distance tout
en y exécutant n'importe quel logiciel.
Le
ver Sobig.e se propage
La version "e" du ver Sobig se propage
actuellement. D'un niveau de danger moyen, le
ver se sert de son propre moteur SMTP pour envoyer
aux destinataires du carnet d'adresses du poste
infecté une copie de lui-même. Il
se diffuse sous forme de pièce attachée
"zipée".
Même si la faille a
été réparée et même
si les utilisateurs du module Security Check sont désormais
hors de danger - à partir du moment où ils
déclenchent la vérification de leur poste
(le scan) -, il n'en reste pas moins vrai que ceux
qui n'ont pas effectué cette dernière opération
restent vulnérables à une attaque potentielle,
quand bien même ils disposeraient du nouveau composant
ActiveX. Les internautes ont donc été invités
par l'éditeur à réaliser le plus
rapidement possible une nouvelle vérification de
leur système à l'aide de Security Check.
Communication
insuffisante ou absence de temps de réaction ? Ce qui énerve
passablement nombre de spécialistes de la sécurité,
c'est que parmi les millions d'utilisateurs du service
de Symantec, tous ne vont pas réaliser un scan
de leur poste rapidement, prolongeant d'autant leur période
de vulnérabilité. Des attaques en masse
sont donc virtuellement possibles, par le biais de virus
ou de vers spécialement conçus pour cela,
ou même à partir de simples sites Web. Ces
spécialistes auraient souhaité que Symantec
diffuse de manière beaucoup plus large l'information
relative à la faille.
Mais les règles généralement
pratiquées dans le milieu de la sécurité
ne semblent pas avoir été respectées.
Il est en effet d'usage, quand on découvre une
faille, de prévenir directement l'éditeur
d'anti-virus incriminé et de lui laisser une période
de 30 jours avant que l'information ne soit publiquement
diffusée. Ce délai n'a purement et simplement
pas été accordé par Cesar Cerrudo,
le chercheur ayant mis à jour la faille, ce qui
aurait pu permettre à Symantec de réparer
l'erreur sans que quiconque ne soit au courant - clients
comme pirates...