samedi 23 janvier 2010

Interlude récréationnel

Petite perle dans ma mailbox ce matin (je vous donne la version Twitter car je ne crois pas que la newsletter soit archivée en ligne).

Et pourtant, il y a 3 ans déjà ...

PS. J'en profite pour signaler que j'ai ouvert il y a quelques temps un Fail Blog personnel ... pour ce genre d'anecdotes qui ne justifient pas un billet complet.

7 commentaires:

Fred a dit…

http://www.vupen.com/english/advisories/2007/2419

Je pense que la nouveauté, c'est l'exploit :)

Sid a dit…

Je me suis fais la même réflexion, sauf qu'en fait, c'est plus vieux que 2007, puisque c'est la date de dernière modification (et encore, ce n'est pas la dernière). L'avis original que je citai dans le vieux post sur le Blackberry qui m'a valu les "honneurs" de HS, date de... juin 2005...

Donc, presque 5 ans de retard pour ces messieurs sur celui-là. Sans compter les travaux de FX. À moins qu'il ne veuillent dire "le premier exploit à vendre"...

newsoft a dit…

Au temps pour moi, depuis la réorganisation du site de RIM, je ne trouvais plus l'article d'origine.

Techniquement c'est donc la seconde faille exploitable. Et on sait ce qu'en pense Stallone dans "Le Bras de Fer" ;)

cb a dit…

L'exploit concerne une faille corrigée il y a 1 mois (décembre 2009) et non PAS une faille de 2007. Vous êtes vraiment des mauvaises langues :-) et en plus vous vous précipitez sans rien vérifier.

http://www.vupen.com/english/advisories/2009/3372

Et si vous avez le lien vers l'exploit (je dis bien l'exploit) qui aurait été publié avant celui là, vous n'avez qu'à le poster :-)

newsoft a dit…

@cb: je persiste et signe.

Quelle que soit la faille, si la question est "y a-t-il eu des exploits remote pre-auth sur BES ?" la réponse est "oui, en 2005" (merci à Sid d'avoir vérifié la date).

Et je ne crois pas que VUPEN ait publié un lien vers un quelconque exploit. D'ailleurs c'est plutôt:

"Because of the sensitive nature of the information provided through this service, VUPEN Security has defined strict eligibility criteria for participants. VUPEN Security solely reserves the right to determine whether an organization or corporation meets the criteria."

Je ne mets pas en doute le travail de VUPEN, visible entre autres dans les greetz Microsoft & Adobe.

Mais attention aux dérapages du marketing ...

Kevin a dit…

J'ai du mal à comprendre les implications techniques de ce genre de déclarations fracassantes.
Pour le marketing, Ok, l'interêt est évident, on parle de VUPEN, cela prouve qu'il y a des gars balaises, etc etc...

Pour le client qui veut faire auditer son architecture, je ne vois pas l'interêt. Le client, s'il possède un BES sait que VUPEN sera capable d'avoir la main dessus. De fait, la vraie question pour le client, c'est: "que peut faire un attaquant qui a la main sur mon BES?".
Mais pour réfléchir sur cette question, inutile de payer VUPEN à faire un pentest :)

newsoft a dit…

@Kevin: on est bien d'accord - le test d'intrusion sert à mesurer les risques et la surface d'attaque, pas à vérifier que les failles exploitables peuvent être exploitées.

C'est d'ailleurs ce que j'ai dit à 01net ;)