1 Un correctif pour la vulnérabilité dans ASP.NET
La semaine dernière, le CERTA relayait dans son bulletin d’actualité CERTA-2010-ACT-038 la publication d’un bulletin de sécurité de Microsoft concernant une vulnérabilité qui affecte des applications ASP.NET. Cette vulnérabilité dans le chiffrement des communications client/serveur permet à une personne malveillante de porter atteinte à la confidentialité de certaines données.
Cette semaine, Microsoft a publié une mise à jour hors cycle afin de corriger cette vulnérabilité. Les informations concernant ce correctif sont disponibles dans l’avis CERTA-2010-AVI-458.
Le CERTA rappelle donc l’impérative nécessité d’appliquer dans les meilleurs délais ce correctif si vous utilisez cette technologie afin de la limiter les risques de fuite d’information.
2.4 Documentation
- Avis CERTA-2010-AVI-458 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-458/
- Bulletin de sécurité Microsoft MS10-070 du 28 septembre 2010 :
http://www.microsoft.com/france/technet/security/Bulletin/MS10-070.mspx
http://www.microsoft.com/technet/security/Bulletin/MS10-070.mspx
- Bulletin d’actualité CERTA-2010-ACT-038 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-038/
2 Exercice Cyber Storm III : la France s’entraîne avec ses partenaires à faire face à une crise informatique mondiale
Cette semaine, l’ANSSI a participée à l’exercice international organisé par les États-Unis. S’entraîner et se tester sont des actions indispensables à la mise en place d’un plan de gestion de crise SSI cohérent, à sa validation et à son maintien dans le temps. Lors d’un exercice, il convient de limiter les objectifs à tester et de penser à mettre en place des éléments de mesure et des indicateurs permettant d’en qualifier le résultat. Parmi les différents niveaux que l’on peut tester, on retrouve :
2.1 Le niveau technique
Il concerne les applications, les moyens techniques et les personnes. Il peut intégrer, par exemple, un test de pénétration, la vérification que les éléments de surveillance l’enregistrent, que les équipes le détectent et sont capables de le retrouver dans les journaux correspondants (firewall, proxy, …). Ensuite, il est possible de tester la compréhension de l’exploitation d’une vulnérabilité et la capacité à corriger dans les plus brefs délais.
2.2 Le niveau organisationnel
L’idée est de tester la coordination des équipes et l’efficacité des réactions. Une vulnérabilité fictive peut être annoncée nécessitant une contre-mesure de filtrage qui pourrait avoir un impact métier. La remontée hiérarchique et les communications transverses sont stimulées, l’utilisation de fiches de réaction peut être testée. Une intrusion peut également être simulée pour valider la chaîne juridique (qui sait et peut déposer plainte ?). Il convient aussi de tester les moyens de communication. Les correspondants sont-ils bien identifiés et joignables ? Les annuaires sont-ils à jour ? Et si des moyens de communication de secours sont prévus, sont-ils fonctionnels et sait-on les activer ?
2.3 Le niveau décisionnel
Si le niveau technique permet d’identifier qui a la compétence pour débrancher un réseau, il s’agit ici de savoir qui en a la responsabilité décisionnelle. Le choix entre les risques liés à une compromission et l’importance de la disponibilité est dépendant du métier et de la gravité des incidents. Dès lors, il convient de vérifier que les enjeux stratégiques sont connus. Dans ce type d’exercice, le plus compliqué est souvent la remontée d’informations permettant aux décideurs de comprendre la situation le plus justement possible et de réussir à opposer des arguments permettant une réponse réaliste. L’expérience montre que souvent l’importance des réseaux et de l’Internet au bon fonctionnement métier est ignorée et que les impacts d’une coupure de connexion ne sont pas justement perçues.
Bien sûr tous ces exemples sont limités. Tous les cas imaginés et rencontrés au cours des exercices devraient trouver une réponse dans la PSSI locale, sinon c’est l’occasion de la faire évoluer. Le CERTA recommande de réaliser ce type d’exercice en impliquant les équipes locales dans leur organisation. Elles ont la connaissance du métier et des points faibles, techniques et organisationnels.
2.4 Documentation
- Article officiel de la participation de la France à l’exercice Cyber Storm III :
http://www.ssi.gouv.fr/site_article261.html
3 Mise à jour Adobe Flash Player et McAfee
La dernière mise à jour d’Adobe Flash Player, rendue extrêmement importante du fait de l’exploitation d’une vulnérabilité du lecteur (voir avis CERTA-2010-AVI-447), confronte les utilisateurs à deux problèmes.
Tout d’abord, l’installation de la dernière version du lecteur Flash propose, par défaut, l’installation d’un logiciel tiers, McAfee Security Scan Plus. Ce dernier, qui se présente comme un utilitaire gratuit, a la fâcheuse tendance à considérer les éventuels antivirus installés sur le système comme source potentielle de problèmes. Il propose donc d’acheter une suite logicielle plus complète chez l’éditeur McAfee. Il est donc fortement conseillé de décocher la case de téléchargement du produit McAfee Security Scan Plus.
L’autre problème, plus gênant celui-ci, concerne notamment certains utilisateurs de Mozilla Firefox sous Windows. Le téléchargement de la dernière version d’Adobe Flash Player depuis le site de l’éditeur nécessite de modifier la configuration du navigateur en ajoutant des exceptions (la démarche est expliquée sur le site de l’éditeur). Toutefois, même en suivant à la lettre les explications fournies, le téléchargement ne s’effectue pas toujours correctement. Dans certains cas, un download manager est installé mais ne propose aucun téléchargement, dans d’autres cas, absolument rien ne se passe. Au final, les utilisateurs peuvent être tentés de télécharger le lecteur Flash sur des sites tiers, sans aucune garantie concernant le logiciel réellement téléchargé. Il est important de savoir qu’Adobe Flash Player peut être directement téléchargé sur le site de l’éditeur en suivant l’un des liens ci-dessous :
- pour Internet Explorer :
http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe
- pour Firefox :
http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player.exe
Documentation :
- Avis CERTA-2010-AVI-447 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-447/
Rappel des avis émis
Dans la période du 20 au 26 septembre 2010, le CERT-FR a émis les publications suivantes :
- CERTA-2010-AVI-443-001 : Vulnérabilités dans IBM DB2
- CERTA-2010-AVI-444 : Vulnérabilité dans 3Com OfficeConnect Gigabit VPN Firewall
- CERTA-2010-AVI-445 : Vulnérabilités dans Splunk 4.1.5
- CERTA-2010-AVI-446 : Multiples vulnérabilités dans IBM WebSphere Application Server Community Edition
- CERTA-2010-AVI-447 : Vulnérabilité dans Adobe Flash Player
- CERTA-2010-AVI-448 : Vulnérabilité dans Mac OS X
- CERTA-2010-AVI-449-001 : Vulnérabilité dans bzip2
- CERTA-2010-AVI-450 : Vulnérabilité dans 7-zip
- CERTA-2010-AVI-451 : Multiples vulnérabilités dans Plesk Sitebuilder
- CERTA-2010-AVI-452 : Vulnérabilté dans RSA Authentication Agent
- CERTA-2010-AVI-453 : Vulnérabilité des produits Alcatel-Lucent OmniVista 4760
- CERTA-2010-AVI-454 : Vulnérabilités dans Alcatel-Lucent OmniTouch Contact Center Standard Edition
- CERTA-2010-AVI-455 : Vulnérabilité dans Cisco Unified Communications Manager
- CERTA-2010-AVI-456 : Multiples vulnérabilités dans Cisco IOS
- CERTA-2010-AVI-457 : Multiples vulnérabilités dans les produits VMware
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2010-ALE-015-001 : Vulnérabilité dans Adobe Flash Player
- CERTA-2010-AVI-429-001 : Vulnérabilité dans Samba
