S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 07 août 2009
N° CERTA-2009-ACT-032
Affaire suivie par: CERT-FR
le 07 août 2009

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2009-32

Gestion du document

Référence CERTA-2009-ACT-032
Titre Bulletin d’actualité 2009-32
Date de la première version 07 août 2009
Date de la dernière version 07 août 2009
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incidents de la semaine

1.1 Un déni de service révélateur

Cette semaine le CERTA a reçu une demande d’assistance pour faire face à une attaque en déni de service. Le serveur Web visé ne contenait qu’une page de taille réduite et la bande passante qui lui était allouée était donc limitée. La semaine dernière, le nombre de connexions entrantes a soudainement augmenté, provoquant un engorgement de la connexion. Les adresses à l’origine des requêtes étant réparties dans le monde, cela menait tout d’abord à penser à une attaque en déni de service par un botnet. La lecture des journaux a montré immédiatement que les requêtes GET entrantes concernaient des pages extérieures et obtenaient le code retour 200 (OK). L’analyse fût simple, le serveur présentait un défaut de configuration, il était utilisé en tant que serveur mandataire depuis l’extérieur. La solution a consisté à modifier la configuration. Le serveur perdant son intérêt, les requêtes se sont arrêtées d’elles-mêmes.

Le CERTA recommande la lecture régulière des journaux. Si le débit n’était pas venu à manquer, le défaut de configuration n’aurait pas été détecté et la machine aurait pu être utilisée pour mener des attaques vers d’autres cibles.

1.2 La porte d’entrée n’est pas toujours celle attendue

Le CERTA a traité cette semaine la compromission d’un serveur Web. Des pages malveillantes ont été insérées et des pages légitimes modifiées. L’hébergeur a fourni au responsable du site un extrait des journaux applicatifs correspondant à la date supposée de l’incident.

L’analyse effectuée par le CERTA n’a mis en évidence aucune trace particulière permettant d’expliquer le problème. Des journaux complémentaires ont été demandés, dont ceux du système d’exploitation du serveur. Il est clairement apparu dans le journal auth.log que des accès frauduleux à un compte FTP donné ont été menés depuis différentes adresses IP dans le monde. Les traces obtenues ont montré que ces accès remontaient à une semaine au moins.

Cet incident permet de rappeler qu’il est important de ne pas présumer des méthodes de compromission avant d’avoir obtenu quelques données tangibles. En particulier, il ne faut pas restreindre son analyse aux quelques heures ou jours précédents la découverte de l’incident.

Dans le cas présent, des bonnes pratiques auraient permis d’éviter que le problème se produise :

  • restreindre l’accès au service FTP ;
  • renforcer la politique de mots de passe de chaque utilisateur FTP ;
  • sensibiliser les utilisateurs FTP à ne pas se connecter depuis une machine qui n’est pas de confiance ou au travers d’un réseau Wi-Fi public.

Par ailleurs, la consultation régulière des journaux permet d’identifier des signes éventuels de compromission. Attendre un dysfonctionnement ou une marque manifeste de défiguration ne peut être suffisant et satisfaisant.

2 Retour sur l’alerte CERTA-2009-ALE-014

Aujourd’hui même le CERTA publie une alerte concernant le logiciel de messagerie Thunderbird : CERTA-2009-ALE-014. En effet, même si la fondation Mozilla a publié des correctifs de sécurité pour son navigateur Internet Firefox, Thunderbird reste, pour sa part, dans le numéro de version 2.0.0.22. En y regardant de plus près, il apparaît d’ailleurs que cette version ne met pas en œuvre la totalité des correctifs publiés depuis le début de l’année.

Voici les vulnérabilités non encore corrigées dans la version actuelle de Mozilla Thunderbird :

MFSA2009-18
: cette vulnérabilité n’a pas été corrigée dans Thunderbird car celle-ci nécessite l’activation de l’interprétation du JavaScript, option désactivée par défaut
MFSA2009-19
: cette vulnérabilité n’a pas été corrigée dans Thunderbird car celle-ci nécessite l’activation de l’interprétation du JavaScript, option désactivée par défaut.
MFSA2009-31
: cette vulnérabilité est présente au niveau de la vérification des scripts XUL. Cette vulnérabilité n’est pas corrigée dans Thunderbird 2.0.0.22.
MFSA2009-34
: ce bulletin de sécurité traite de plusieurs défaillances des produits Mozilla provoquant une corruption mémoire pouvant être exploitée dans certains cas. Cette vulnérabilité n’est pas corrigée dans Thunderbird 2.0.0.22.
MFSA2009-42 et MFSA2009-43
: ces deux bulletins de sécurité traitent de différentes vulnérabilité dans l’interprétation des certificats SSL. Ces vulnérabilités ne sont pas corrigées dans Thunderbird 2.0.0.22.

Cette latence dans la mise à jour de Thunderbird est relativement régulière. Même si les vulnérabilités décrites touchent le navigateur de manière plus importante, le client de messagerie reste un vecteur d’attaque assez sensible et il convient de bien mesurer le risque de telles failles.

Dans l’attente des correctifs, le CERTA encourage les utilisateurs à se tourner vers un client de messagerie alternatif et mis à jour.

Documentation

3 Claviers Apple de dernière génération

La société Apple livre depuis quelque temps avec ses ordinateurs de bureau (iMac ou Mac Pro) des claviers munis de microgiciels (Firmware) enrichissant les fonctionnalités de ces derniers. Ces firmwares sont présents dans les claviers filaires ou sans-fil.

Or, des chercheurs ont démontré récemment lors d’une conférence de sécurité qu’il était possible de reprogrammer ce microgiciel à des fins malveillantes.

Ainsi, ils ont présenté une attaque consistant en l’implémentation dans le clavier, et en plus du logiciel d’origine, d’un programme capable d’injecter des frappes clavier supplémentaires à l’insu de l’utilisateur. De ce fait, il leur a été possible également, sous certaines conditions, d’envoyer l’intégralité des frappes clavier vers une machine distante, et ce, de façon totalement invisible pour l’utilisateur.

Le fait d’inclure dans un périphérique de saisie une « intelligence » particulière de type microgiciel peut avoir des conséquences sur la sécurité si un attaquant réussi à modifier ce dernier. Ceci n’est pas forcement une chose triviale à réaliser compte tenu, par exemple, du peu de ressources disponibles dans un tel périphérique. Il n’en reste pas moins que ces manipulations peuvent être très efficaces pour qui voudrait collecter des informations à l’insu de sa victime.

Recommandations :

Les microgiciels des claviers Apple font l’objet de mises à jour ponctuelles par le constructeur, il conviendra donc de bien surveiller qu’il existe, par exemple, une correspondance entre le bulletin de sécurité du constructeur et l’application de la mise à jour par le système. Par ailleurs, afin de limiter les risques, il est recommandé de n’utiliser ce clavier qu’avec la machine avec lequel il a été livré.

4 De l’usage des réseaux sociaux

Les réseaux sociaux répondent à des phénomènes de mode. Chaque année, un nouveau service apparaît et enregistre toujours plus de visites et d’utilisateurs.

Les individus se connectent ainsi et enregistrent leurs données personnelles afin de bénéficier du service. Ce dernier, comme tout service à succès, est relativement pratique afin de motiver les utilisateurs à adhérer.

C’est alors un phénomène à levier : l’utilisateur invite ses contacts à le rejoindre et adhérer au service. C’est lui qui fait la promotion de ce service, aidé autant que possible par des coups publicitaires à grande échelle.

Les sociétés gérant ces réseaux sociaux sont bien souvent des entreprises aux salariés nombreux et aux capitaux importants. Il vient naturellement la question : comment se rémunèrent-ils ?

La réponse est relativement simple : par les profils enregistrés. Selon les services, cette opération peut varier légèrement mais il s’agit souvent de :

  • fournir de la publicité ciblée en fonction des profils ;
  • vendre des informations.

Plus un utilisateur présente d’informations dans son profil, plus la société y trouve son compte.

Cette économie se fait à la discrétion de l’utilisateur qui n’en a, souvent, pas pleinement conscience. Disséminer ces données personnelles sur plusieurs réseaux sociaux ne consiste pas seulement à profiter d’un service séduisant (« gazouiller », retrouver des amis d’enfance, entretenir un réseau de collègues, etc.) mais également à faire profiter à plusieurs sociétés, souvent méconnues, de toutes ces données.

L’utilisateur doit se poser la question dans ce sens : un inconnu l’aborde dans la rue et lui pose toutes les questions concernant ses données personnelles :

  • bonjour, quelle est votre date de naissance ?
  • et vous êtes né dans quelle ville ?
  • vous travaillez dans quelle société ? À quel poste ? Et votre salaire moyen est ?
  • pour vos passe-temps, vous allez régulièrement au cinéma ? Vos films favoris sont ?
  • vous avez une photo de vos amis sur vous ? Je peux la voir ?

Les utilisateurs qui multiplient les réseaux sociaux arrivent ainsi à fournir à des inconnus beaucoup plus d’informations sur leur vie privée, leurs envies et leurs motivations que quiconque dans leur entourage proche ne connaît. Certaines rubriques apparaissent également dans les questions « secrètes » utilisées par d’autres sites afin de récupérer un mot de passe oublié. Un profil trop bien rempli peut ainsi diminuer la sécurité d’autres comptes.

Il faut également garder à l’esprit que les deux seules premières informations suffisent très généralement à retrouver le nom de l’individu, comme des études récentes américaines l’ont montré.

Il ne s’agit évidemment pas ici de disserter sur l’usage des réseaux sociaux. Mais, compte-tenu de l’utilisation accrue de ces derniers et du phénomène de masse qui l’entoure, le CERTA invite ses correspondants à sensibiliser leurs utilisateurs sur les différents problèmes que ces usages suscitent.

5 Fin de la branche 2.0.x de WordPress

L’équipe de développement de WordPress avait prévu de maintenir la branche 2.0.x de leur produit jusqu’en 2010. Cette fin de vie a finalement été anticipée au 30 juillet 2009, notamment parce que la prise en compte des modifications de sécurité pour ces versions aurait représenté une charge de travail trop importante, avec de sérieux risques d’instabilité.

Les administrateurs de site fonctionnant avec WordPress 2.0.x sont donc fortement incités à migrer vers des versions plus récentes.

Documentation

Rappel des avis émis

Dans la période du 27 juillet au 02 août 2009, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 07 août 2009
    version initiale.