S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 12 juin 2009
N° CERTA-2009-ACT-024
Affaire suivie par: CERT-FR
le 12 juin 2009

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2009-24

Gestion du document

Référence CERTA-2009-ACT-024
Titre Bulletin d’actualité 2009-24
Date de la première version 12 juin 2009
Date de la dernière version 12 juin 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incidents de la semaine

1.1 Traitement des dénis de service

Une remontée récente sur un déni de service auprès du CERTA a permis de constater l’état de détresse des techniciens chargés de gérer le problème. Le principe de ces attaques vise à rendre inaccessible un site ou un serveur, par exemple par saturation de requêtes, bien souvent dans le contexte d’un réseau de machines zombies.

Les contre-mesures sont quant à elles plutôt difficiles à mettre en place puisque la plupart de ces attaques reposent sur des services ou protocoles normaux sur l’Internet. Qui plus est, il est particulièrement difficile de distinguer les flux malfaisants des flux normaux licites. Seuls les fournisseurs d’accès peuvent généralement mettre en place un filtrage efficace. Cette opération est souvent contractuelle et nécessite une préparation.

Il est donc recommandé dans une telle situation :

  • en tout premier lieu, de veiller au recueil et à la conservation de toutes les traces et indices liés à l’incident et susceptibles de servir devant la justice ultérieurement. Les journaux doivent naturellement être activés et protégés (réf. note CERTA-2000-INF-001) ;
  • de procéder à une analyse des journaux afin de bien faire la différence entre un véritable déni de service et un dysfonctionnement du système l’amenant à s’auto saturer.

1.2 Arnaque aux noms de domaine

Cette arnaque n’est pas nouvelle, des plaintes remontent au moins de mars 2009, mais elle touche des organismes français, administrations ou entreprises. Elle utilise des ressorts classiques.

1.2.1 Le scénario

Une société, par exemple ntwifinetworks.com à la date de rédaction de ce document, vous envoie un courriel au ton inquiétant et au sujet du style « Domaine Dispute et Enregistrement ». Elle vous indique qu’elle a reçu une demande d’enregistrement semblable à votre nom de domaine avec simplement un suffixe ou un domaine de premier niveau différent. Par exemple, le possesseur de certa.ssi.gouv.fr apprend la demande de prétendu demande d’enregistrements de certa.ssi.gouv.cn, certa.ssi.gouv.com.cn, certa.ssi.gouv.net.cn, certa.ssi.gouv.hk, certa.ssi.gouv.asia. Le courriel stipule que la réponse doit impérativement parvenir rapidement, dans les cinq jours, pour éviter des différends.

Le site de la société précédemment citée arbore les logos des organismes officiels et bien connus de l’Internet et des télécommunications, l’IANA, l’ICANN, l’ITU, l’AFNIC…

1.2.2 L’effet recherché

Le client effrayé sera incité à acheter les noms de domaine mentionnés voire d’autres, pour une centaine de dollars pièce. La menace de typosquattage peut être avancée par les vendeurs pour pousser à la consommation.

1.2.3 Les enseignements et les recommandations

Les ficelles utilisées sont traditionnelles : suggérer une menace et donner un sentiment d’urgence à la réponse qui doit être apportée.

Face aux messages présentant ces caractéristiques, il faut garder la tête froide et se renseigner sur l’émetteur. Ces caractéristiques (élément affectif, menace, urgence) se retrouvent dans les canulars avec, en plus l’incitation à propager largement. La vigilance doit se déclencher sur les mêmes critères.

L’organisme destinataire doit évaluer lui-même les risques liés à la présence de noms de domaine plus ou moins voisins. Ainsi le nom de domaine cert.xx existe pour de nombreux pays sans que cela induise une confusion dans les esprits.

1.3 Des données confidentielles retrouvées sur Internet

1.3.1 Présentation

Une recherche de fichiers au format SQL a permis de mettre en évidence la présence d’une sauvegarde de base de données, contenant des informations ministérielles non publiques, accessibles sur l’Internet. Après analyse, il s’est avéré que ces fichiers appartenaient à un développeur qui avait réalisé des sauvegardes d’un projet sur son espace personnel sans avoir conscience qu’elles étaient publiquement accessibles, ni qu’elles seraient indexées et donc très facilement trouvables.

Le CERTA recommande la plus grande prudence lors de la manipulation de données confidentielles. C’est une bonne pratique de faire régulièrement ce type de recherches sur ses données et sur ses sites, comme cela l’a été présenté lors du dernier bulletin d’actualité (CERTA-2009-ACT-023, « Surveiller son site avec des moteurs de recherche »).

1.3.2 Documentation

Bulletin d’actualité du 05 juin 2009 : 
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-023.pdf

2 Bulletins Microsoft de Juin

Cette semaine, Microsoft a émis 10 bulletins de sécurité faisant état d’au moins 31 vulnérabilités et deux avis de sécurité. Selon les critères définis par l’éditeur, six bulletins sont critiques, trois importants et un modéré. Les produits suivants sont affectés :

  • toutes les versions maintenues de Microsoft Windows ;
  • toutes les versions maintenues d’Internet Explorer ;
  • Microsoft Internet Information Services 5.0, 5.1, et 6.0 ;
  • toutes les versions maintenues de Microsoft Office Excel ;
  • Microsoft Works 8.5 et 9.0 ;
  • toutes les versions maintenues de Microsoft Office Word.

L’une des mises à jour corrige l’alerte CERTA-2009-ALE-007 qui concernait le composant WebDav d’Internet Information Services. La vulnérabilité de Microsoft DirectShow, actuellement exploitée, n’est pas corrigée dans le lot de mises à jour. Il est urgent pour les personnes n’ayant pas appliqué les solutions de contournement proposées de le faire sans tarder.

Les deux avis de sécurité concernent d’une part, une mise à jour des « kill bits » ActiveX (désactivation des ActiveX vulnérables), et d’autre part une modification du comportement du DNS.

Dans le même temps, Microsoft a également émis les mises à jour manquantes du bulletin de sécurité MS09-017. Pour rappel, l’éditeur n’avait mis à disposition, au mois de mai, que les correctifs concernant PowerPoint sous Windows. Microsoft Office 2004 et 2008 pour Mac, ainsi que Microsoft Works 8.5 et 9.0 et le convertisseur de fichiers Open XML pour Mac, qui étaient également sujets à une ou plusieurs vulnérabilités, ont aujourd’hui des mises à jour disponibles. Il est très important d’effectuer les mises à jour pour ces produits. En effet, la vulnérabilité affectant Office 2004 pour Mac avait fait l’objet d’une alerte car des codes d’exploitation étaient apparus sur l’Internet pour la version PowerPoint de Windows (cf. alerte CERTA-2009-ALE-005 et bulletin CERTA-2009-ACT-020).

Comme à son habitude, Microsoft a également mis quelques informations intéressantes sur son bloc-notes « Security Research & Defense » pour certaines des vulnérabilités, notamment celles concernant Internet Explorer, Windows Search, les convertisseurs de Works et Windows RPC (cf. section documentation).

2.1 Documentation

Rappel des avis émis

Dans la période du 01 au 07 juin 2009, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 12 juin 2009
    version initiale.