Palmarès des bugs de l’an 2010

Les deux bugs qui tiennent la corde pour le bug d’or de l’an 2010 ont tous les deux un impact sécuritaire: la carte bancaire allemande et l’antivirus de Symantec. Mais la liste ne s’arrête pas là…

La carte bancaire allemande

Beaucoup d’allemands ont eu la surprise dès le 1e janvier 2010 de ne plus pouvoir payer ou retirer de l’argent avec leur carte bancaire. Plus de 23 millions de cartes sont concernées, que ce soit dans leur fonction de retrait ou d’achat. Le masque d’application de leur puce refuse de valider toute transaction relative à une date de 2010. On ne sait pas encore exactement quel est le défaut dans la programmation. Une routine de comparaison ? Un mode de stockage de la date ?

En tous cas, le fait que seules des cartes allemandes soient concernées, alors que les cartes françaises par exemple utilisent aussi le standard EMV (Europay Mastercard Visa) et son masque applicatif, peut nous permettre de présupposer qu’une personnalisation spécifique est en cause et non le standard EMV lui-même.

Gemalto, producteur des cartes bancaires en cause, a publié un communiqué de presse évoquant les mesures en cours de développement pour apporter une solution aux millions de porteurs, tandis que les banques ont dû modifier – de façon temporaire – le programme des terminaux et guichets automatiques pour accepter ces cartes.

Oberthur a quant à lui publié son propre communiqué de presse pour confirmer que ses cartes n’étaient pas concernées…

Un premier bug donc avec un impact assez fort sur une population qui est culturellement peu favorable aux paiements par carte bancaire (les allemands ont toujours préféré les paiements en liquide et utilisaient jusqu’à récemment surtout des cartes de retrait et très peu les cartes de paiement). Il faudra en tirer les leçons : l’évaluation sécuritaire des cartes bancaires à puce doit absolument contrôler les bugs applicatifs.

Les mises à jour Symantec

Le processus de mise à jour de certains produits de sécurité de la société Symantec (plus précisément ceux qui sont basés sur Symantec Endpoint Protection Manager) n’accepte plus les définitions de virus postérieures au 31 décembre 2009, 23:59:59… The Register publie deux articles à ce sujet le 05 janvier et le 09 janvier.

Symantec tient à jour des informations sur son site. En attendant qu’une correction soit apportée aux logiciels déployés, des mises à jour datées du 31/12/2009 avec un numéro de version qui croît maintenant rapidement ont été publiées, qui devraient être acceptées. De nombreux produits sont concernés: anti-virus, contrôle d’accès, protection contre les intrusions, et ce essentiellement pour des produits destinés à un environnement professionnel. Il semble que les administrateurs des clients concernés, qui basent leurs contrôles sur la date de mise à jour de l’anti-virus sur les postes de travail, vont avoir rapidement des soucis pour autoriser l’accès de leurs usagers au réseau.

Il semble qu’ici il s’agisse d’une erreur dans la routine qui compare les dates…

Autres bugs moins graves

SpamAssassin est un produit qui permet de filtrer les messages indésirables. Un bug a été détecté (voir ce court article ou celui-ci) dans une des routines attribuant des points supplémentaires aux messages simplement parce qu’ils étaient datés à partir de 2010 et ils se retrouvaient tous dans la boîte à Spam (le but de cette fonction était d’attribuer des points par défaut aux messages dont la date est trop éloignée) ! L’erreur avait été signalée plusieurs mois auparavant, mais incorrectement corrigée.

Espérons que la liste des bugs liés au passage à 2010 s’arrête là.