Au pays des nuls, les autorités sont reines...
Ça va chier ! On nous avait déjà annoncé une série d’attaques de type Distributed Denial of Service (DDoS) pour Noël. Voilà maintenant que le National Infrastructure Protection Center (NIPC), s’appuyant sur d’obscurs renseignements que le FBI aurait fournis, prédit une recrudescence d’attaques pirates sur les sites de commerce électronique. Le NIPC publie même ce qu’il appelle une "advisory" (alerte de sécurité) sur ce sujet. Le centre en question, hébergé physiquement par le FBI, a pour mission de protéger les réseaux essentiels américains (banques, distribution d’eau et d’électricité, télécommunications, gouvernement, secours, etc.).
Flou et alarmiste
En général, une "advisory" est censée avertir d’un vrai problème technique. Le problème est décrit, le moyen de s’en protéger également. Dans le cas présent, les membres du NIPC ont cru bon de publier une pseudo-advisory où ils expliquent que l’on assiste à une recrudescence d’attaques pirates (ils parlent malheureusement de hackers...). Les auteurs supposés de ces attaques utiliseraient des bugs connus depuis des lustres et le NIPC renvoie vers les correctifs publiés par Microsoft. Belle performance pour des spécialistes en sécurité informatique que de dire qu’ils "analysent actuellement l’activité des pirates" et qu’ils "donneront plus de détails" dès qu’ils en auront, tout en se référant à des bugs découverts par d’autres. Pour information, on pourra lire une véritable advisory réalisée par Rain Forest Puppy (rfp) à propos d’une faille citée dans le papier du NIPC. Il y a un monde entre le travail réalisé gracieusement par le hacker en question et l’alerte totalement floue et alarmiste du NIPC. Détail croustillant : le NIPC cite trois failles de sécurité pour appuyer ses dires dont deux ont été découvertes par rfp... Le NIPC ne fait aucune mention de ce hacker et pointe vers des informations publiées par Microsoft alors que les advisories de rfp sont disponibles sur son site.
La paille et la poutre
Le NIPC invite - dans son communiqué - les responsables de serveurs à mettre à jour leurs sites pour se prémunir contre de vieux problèmes de sécurités de ce type... Dans le cas d’annonces aussi floues et catastrophistes, il est amusant de jeter un œil aux sites des serveurs annonçant la fin du cyber-monde...
Le site du NIPC a visiblement installé très récemment une version plus récente de son serveur web. Il n’empêche... N’importe quel gamin peut avoir accès au module de publication à distance du site. Il ne reste plus qu’à faire tourner un logiciel permettant de découvrir la combinaison identifiant/mot de passe pour prendre le contrôle du site. Même gag sur le serveur du FBI... Ces problèmes sont très anciens, révélés il y a des années par la communauté des hackers. Celui du FBI a même fait l’objet d’une discussion dans la mailing-list Bugtraq, il y a plus d’un an.
Sans même avoir à chercher l’identifiant et le mot de passe, le problème dont sont l’objet ces deux sites peut avoir de fâcheuses conséquences lorsqu’un répertoire censé rester secret apparaît sur le site (de type /stats, /_vti_pvt/ ou encore /admin par exemple)...