Immunity Inc a pris la décision immorale de vendre un exploit pour la vulnérabilité BlueKeep dans Canvas 7.23, une boîte à outil de tests de pénétration :

Un exploit est un élément de programme qui permet à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité informatique.

En l’occurrence, il s’agit de la faille BlueKeep (CVE-2019-0708) affectant le protocole RDP (protocole de bureau à distance) d’anciennes versions de Windows :

  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Vista
  • Windows 2003
  • Windows XP.

Une vulnérabilité très dangereuse qui permet d’exécuter du code arbitraire à distance, qui peut se reproduire et se diffuser comme un ver informatique, et pour laquelle Microsoft a mis à disposition un correctif de sécurité en mai.

Microsoft a recommandé plusieurs fois à ses clients d’appliquer les correctifs de sécurité, une exhortation reprise par les grandes agences mondiales, de la NSA aux États-Unis à la BSI en Allemagne, et bien sûr l’ANSSI en France : bulletin d’alerte CERTFR-2019-ALE-006.

Si Canvas est vendu aux spécialistes de la sécurité, rien n’empêche les pirates d’acquérir une licence pour quelques milliers de dollars.

Il est donc plus impératif que jamais pour les individus, et surtout les entreprises et les organisations, d’appliquer le correctif de sécurité adéquat, voire tous les correctifs de sécurité.

Le nombre de systèmes vulnérables avait été évalué à plus d’un million en mai.