Microsoft a livré hier - 2^ème mardi du mois - sa mise à jour de sécurité pour novembre. Les correctifs sont présentés et décrits dans sa base Security Update Guide, mais depuis le changement de présentation de son Patch Tuesday, en avril dernier, l'éditeur ne propose plus la synthèse des bulletins de sécurité qu’il publiait jusque-là. La lecture récapitulative des correctifs ne s’en trouve pas facilitée. Selon Gill Langston, directeur produit du spécialiste en sécurité Qualys, cette livraison de novembre intervient sur 53 vulnérabilités dont 25 sont liées à un risque d’exécution de code à distance. Et elle comporte une mise à jour « massive » pour les logiciels d’Adobe.

Le système d’exploitation Windows reçoit 14 correctifs, aucun n’étant considéré comme critique. Les autres correctifs sont destinés aux navigateurs web et à Office. Selon Microsoft, aucune des failles considérées n’a été encore été exploitée « in the wild » par des pirates. Contrairement au mois d’octobre dernier où la faille CVE-2017-11826 concernant une vulnérabilité de corruption de mémoire dans Office était exploitée activement. En octobre, Microsoft avait également corrigé, « discrètement », rappelle Gill Langston, la vulnérabilité CVE-2017-13080, connue comme la faille Krack dans le protocole sans fil WPA2. Il ne l’avait fait savoir qu’une semaine plus tard lorsqu'elle avait été révélée publiquement, rappelle le responsable produit de Qualys.

13 correctifs à appliquer en priorité

Pour novembre, Gill Langston recommande aux administrateurs de s’occuper en priorité des failles CVE-2017-11830 et CVE-2017-11847. La première est une vulnérabilité de contournement des fonctions de sécurité Device Guard. La deuxième peut déboucher sur une élévation de privilèges dans Windows. Quatre autres failles doivent également être corrigées rapidement car il existe déjà des outils pour les exploiter, même si ceux-ci n’apparaissent pas encore pour l’instant dans des campagnes d’attaques actives. Il s’agit des failles CVE-2017-11848 (concernant Internet Explorer), CVE-2017-11827 (portant à la fois sur IE et Edge), CVE-2017-11883 et CVE-2017-8700 (ces deux dernières étant liées à ASP.NET).

Qualys pointe six autres failles à mettre sur la liste des priorités : CVE-2017-11836, CVE-2017-11837, CVE-2017-11838, CVE-2017-11839, CVE-2017-11871 et CVE-2017-11873. Elles concernent toutes le moteur de script des navigateurs Edge et IE, notamment sur les ordinateurs portables. Un dernier correctif est qualifié d’important par Microsoft. Il porte sur la faille de corruption de mémoire dans Office CVE-2017-11882 qui prête le flanc à une exécution de code à distance.

Le système de reconnaissance faciale de l'IPhone X peut être trompé. Bien que présenté par Apple comme étant beaucoup plus difficile à contourner que le système d'authentification par empreintes digitales, Face ID n'en demeure pas moins faillible. C'est en tout cas ce qu'a réussi à démontrer Bkav, société vietnamienne spécialisée dans la sécurisation des terminaux mobiles et des réseaux, et dont le résultat est visible dans une vidéo. « Peu importe si Apple Face ID apprend de nouvelles images du visage, car cela n'affectera pas la vérité qu'Apple Face ID n'est pas une mesure de sécurité efficace », a indiqué Bkav.

Plus un mois ne passe - ou presque - sans que l'on apprenne que des données stockées sur le service de stockage cloud Amazon S3 ont été hackées. Non pas que ce service soit une passoire, bien au contraire, mais les administrateurs internes des entreprises concernées (Deloitte, Accenture...) font des erreurs de configurations d'instances. Des erreurs que des pirates n'hésitent pas à exploiter pour accéder à des informations confidentielles.

Afin de faciliter la tâche de ses clients, et éviter de continuer cette « mauvaise publicité » autour de son service de stockage cloud phare, AWS a pris des mesures. La société vient ainsi d'annoncer la mise en service de 5 nouvelles fonctions pour renforcer la sécurité de S3. Maintenant, les administrateurs ne sont plus contraints de construire des règles de sécurité pour rejeter les objets non chiffrés, mais peuvent instaurer un chiffrement par défaut de l'ensemble des objets contenus dans une instance ou bucket.

Inscrire les objets répliqués sur une nouvelle liste de contrôle d'accès

La console S3 permet également d'afficher un indicateur permettant de connaître les instances qui sont publiquement accessibles. De même, lorsque des objets sont répliqués entre plusieurs comptes AWS, on peut spécifier les objets à inscrire sur une nouvelle liste de contrôle d'accès (ACL) ou encore gérer leurs clés via le service Key Management d'Amazon. Enfin, le rapport d'inventaire S3 inclut à présent le statut de chiffrement pour chaque objet, et peut lui-même être chiffré.

L'alerte est permanente. Mais est-elle entendue ? Rien n'est moins sûr. 85% des entreprises (77% en France) ont subi un piratage selon une étude Loudhouse / Fortinet. La cybermenace majeure demeure les logiciels malveillants (notamment les ransomwares) pour 47% des décideurs IT (45% en France). Malgré tout, 48% des décideurs IT (40% en France) jugent que la cybersécurité ne fait toujours pas partie des priorités de premier rang pour les dirigeants d'entreprises. 77% (71% en France) jugent pourtant que la direction générale devrait davantage se préoccuper du sujet.

Pourtant, 61% des entreprises (seulement 49% en France) allouent au moins 10% de leur budget IT à la sécurité. Et 71% déclarent le faire progresser (63% en France). Malgré tout, 34% (43% en France) estiment que l'évolution du cadre réglementaire (RGPD, LPM...) avec ses amendes dissuasives contribue à sensibiliser les dirigeants. Et la transition vers le cloud amènent les dirigeants à se poser des questions sur la sécurité pour 77% des répondants (71% en France).

Sur le même sujet, la Matinée Stratégique Cybersécurité : nouvelles menaces, nouvelles solutions organisée par CIO aura lieu le 21 novembre 2017 à Paris.