Et de deux.
D'un coté, nous avons des informations concernant une faille de "clickjacking" qui permettrait de détourner les clics de l'utilisateur dans son navigateur. Tous les navigateurs modernes seraient impactés.Pas de nouvelles infos depuis ma note du 29 Septembre "Clickjacking: Une faille à priori détonante...". Un premier sujet à suivre.
De l'autre, une faille de déni de service au niveau de la couche de communication TCP/IP aurait été découverte. Cette faille permettrait de perturber voire d'interrompre le bon fonctionnement de tout équipement accessible via le protocole TCP. Selon les auteurs de cette découverte, aucune des implémentations des couches TCP/IP qu'ils ont pu tester ne résiste à cette attaque.
La bonne nouvelle : Les équipements en transit, qui ne sont pas en écoute sur des ports TCP, ne seraient pas impactés. En outre, il me semble que seuls les équipements ayant des mécanismes de protection du genre SYN-Cookies soient concernés.
La mauvaise nouvelle : Les auteurs indiquent qu'ils n'ont pas trouvé de solution à la faille... et que les éditeurs contactés se grattent la tête sur une solution...
... Faut-il s'inquiéter ? J'aurai personnellement tendance à pencher du coté qu'il y a effectivement quelque chose à suivre : Les auteurs de cette découverte sont à l'origine du scanner de ports distribué
Unicorscan , ils connaissent donc très bien les stacks TCP/IP et le fonctionnement des protocoles réseaux comme TCP... Nous devrions en savoir après la présentation de Jack C. Louis and Robert E. Lee lors de la conférence sécurité T2 qui se déroulera les 16 et 17 octobre à Helsinki, Finlande.
Pour les lecteurs intéressés par plus de détails, l'article publié ce 1er octobre par le site SearchSecurity "New attacks reveal fundamental problems with TCP" vous en dira plus. Un autre article intéressant est celui de Belsec intitulé "Major update 2 TC/IP Attack flaw : the info between the echo-storm". Pour les anglophones, vous avez un petit speech de disponible via un fichier .mp3 (Attendez quelques minutes pour que l'interview passe en anglais).
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens