Durant la RSA Conference qui se termine aujourd’hui à San Francisco, un premier cas d’attaque transversale sous Vista a été exposé. Par attaque transversale, on entend une attaque permise grâce à un bug ou une faille de sécurité dans un produit tiers. Nombreux sont les éditeurs et experts à prédire aujourd’hui que ce type d’attaque pourrait prendre le pas sur les failles plus « classiques » du système d’exploitation lui-même.

Bien que les attentes se focalisent surtout sur les logiciels de sécurité tels que les antivirus, le cas exposé a été permis par plusieurs bugs dans un logiciel de sauvegarde édité par Computer Associates. Ces bugs concernent les versions 9.01 à 11 du logiciel, et se classent dans la catégorie des dépassements de mémoire tampon. Ils peuvent bien entendu être complètement exploités pour prendre le contrôle d’une machine à distance et exécuter un code arbitraire.

Quand le cas a été exposé, juste après un discours de Bill Gates, Computer Associates n’a pas mis longtemps à réagir en expliquant que le logiciel BrightStor ARCserve Backup n’est pour le moment pas taillé pour Vista. La première version qui sera officiellement compatible, estampillée r11.5 SP3, sera disponible dans quelques semaines et inclura un patch correctif pour les bugs relevés. On notera par ailleurs que l’éditeur propose également un patch correctif pour les versions actuellement touchées.

Les bugs relevés à la RSA Conference soulèvent un problème bien réel et qui risque de toucher une partie des logiciels soi-disant conçus pour Vista. Les éditeurs n’ont en effet pas toujours le temps d’intégrer correctement les nouveautés spécifiques à un système. Sur le chapitre de la sécurité et des communications notamment, Vista change la donne sur de nombreux points. Toutefois, les calendriers à tenir donnent parfois lieu à des adaptations mineures pour que le logiciel fonctionne correctement sur le nouveau système sans nécessairement prendre en charge les nouveautés proposées.

C’est la société Core Security qui a découvert les problèmes liés à BrightStor ARCserve Backup. Mac Carceres, directeur de la gestion des produits, indique que Vista propose un certain nombre de technologies, comme l’ASLR, que les éditeurs devraient véritablement intégrer à leurs programmes pour profiter du « parapluie » offert par le système. Pour rappel, l’ASLR (Address Space Layout Randomization), est une technologie qui a pour but de changer aléatoirement les emplacements-mémoires des zones de données vitales pour le système afin que les malwares ne puissent plus se référer à des valeurs fixes pendant une attaque.

On en revient toujours au même problème de l’adaptation des logiciels pour un nouveau système. Carceres précise en outre : « Ce n’est pas parce qu’une meilleure version d’un système d’exploitation est disponible que les applications tirent parti des nouvelles fonctions de sécurité ». Il s’écoulera de toute façon un certain temps avant que les applications s’appuient réellement sur les nouveautés proposées par Vista. Mais le problème n’est pas forcément simple quand on cherche à assurer une compatibilité avec Windows XP.