L'actualité de ce début Août est clairement dominée par la sécurité des systèmes information. Alors que nous avons publié douze bulletins de sécurité ce mardi (http://www.microsoft.com/france/technet/security/bulletin/ms06-aug.mspx) c'est la conférence BlackHat qui a eu lieue la semaine dernière qui fait parler d'elle dans la presse.

En effet, lors de cette conférence Joanna Rutkowska, chercheuse en sécurité chez COSEINC a dévoilé Blue Pill. C'est un rootkit qui, malgré l'obligation dans Vista 64bits d'avoir tous les drivers tournant en mode kernel signés, a réussi à s'installer.

Blue Pill profite de la technologie Pacifica (technologie de virtualisation) développée par AMD pour insérer un hyperviseur sous le système d'exploitation. Ceci se fait à la volée et donc le système d'exploitation, qui n'y voit que du feu, se retrouve ainsi virtualisé ! Il a avalé la pilule bleue !

Voici l'entrée de son blog de Joana Rutkowska correspondant: http://theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html .

La presse s'est bien entendu largement fait l'écho de cette annonce annonçant que le modèle de sécurité de Vista était cassé en oubliant de mentionner deux points majeurs de cette approche:

  1. Il faut être administrateur local du poste de travail pour réussir la démonstration !!! Non seulement Vista demande bien par le contrôle d'accès utilisateur de valider l'installation mais l'opération ne serait pas possible en tant qu'utilisateur standard.
  2. L'approche utilisée est aussi valide pour tout autre système d'exploitation (Linux ou BSD tournant sur la même plate-forme), pas seulement VISTA.

Bref beaucoup de bruit pour pas grand-chose. Les développeurs se sont quand même penchés sur le sujet pour réduire les conséquences qu'une telle opération validée malencontreusement par un administrateur pouvaient avoir.

Un article intéressant sur le sujet: http://www.networkworld.com/news/2006/080406-microsoft-blue-pill.html