1 Mise à jour des produits Adobe Reader et Acrobat

Cette semaine, Adobe a publié une mise à jour pour ses produits Adobe Reader et Adobe Acrobat. Ce correctif comble 23 vulnérabilités dans les branches 8 et 9 pour toutes les plateformes supportées. Cet ensemble de correction a fait l’objet de l’avis CERTA-2010-AVI-470.

L’une de ces 23 vulnérabilités, détaillée dans l’alerte CERTA-2010-ALE-014, avait été activement exploitée sur l’Internet. Le CERTA rappelle donc qu’il est impératif de mettre le plus rapidement possible à jour ces applicatifs afin de limiter les risques de compromission de son SI.

Documentation

2 Cybersurveillance de l’activité des salariés par leur employeur

Dernièrement, un site proposant aux employeurs un produit permettant de surveiller l’activité de leurs employés a défrayé la chronique. Cette solution formidable permet d’enregistrer les frappes clavier, de conserver des captures d’écran, d’enregistrer les mots de passe, de faire des captures ICQ, Miranda, Skype, Google Talk, MSN, …

Cet outil ne peut que faire le bonheur des employeurs, comme en témoigne un directeur sécurité… Bien sûr, ce site rappelle qu’il faut faire une déclaration à la CNIL, informer préalablement les employés de la mise en service de cet outil et consulter préalablement le comité d’entreprise.

En effet, le droit du travail considère que l’employeur a le droit de contrôler l’activité professionnelle de ses salariés, mais cela doit s’opérer dans certaines conditions et en respectant certains principes :

  • l’informatique doit être au service de chacun ; toutefois, elle ne doit porter atteinte ni à l’identité humaine ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles et privées (article 1er de la loi du 6 janvier 1978) ; la Cour de Cassation reconnaît de son côté que « chacun a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances… »
  • le recours au contrôle doit être motivé et proportionnel au but poursuivi (art. L 121-8 du Code du Travail).

On peut noter que ce dernier point est totalement « oublié » de la page d’avertissement de ce site commercial, et à ce propos on ne peut considérer comme justifié, pour mener à bien le contrôle de l’activité des salariés, d’utiliser les fonctionnalités d’enregistrement de frappes clavier, enregistrement de mots de passe, captures ICQ, Skype, MSN (dialogue en ligne, ou clavardage comme diraient nos amis québécois)… Au contraire, cela pourrait susciter des poursuites au pénal, notamment en matière d’atteinte au secret des correspondances. Ainsi, il apparaît que l’utilisation de ce type de solution n’est ni conforme au principe de proportionnalité, ni respectueux des principes posés par la loi « informatique et libertés », tant en matière de respect de la vie privée que de finalité.

3 Vulnérabilité dans les libc

Cette semaine, une vulnérabilité touchant la bibliothèque de fonctions libc a été rendue publique. Il s’agit d’un problème liée à la fonction glob(). Celle-ci permet à son utilisateur de mettre en œuvre le support des caractères génériques (wildcards) comme l’astérisque «* », le point d’interrogation « ? » ou encore la virgule « , ».

Dans la mesure où l’activation de ce support dans certaines applications peut entraîner une importante consommation de mémoire en fonction des wildcards utilisés, il existe dans les différentes implémentations de libc une variable globale à renseigner dans le code source limitant la consommation de mémoire par la fonction glob(). Or dans certains cas, cette variable, bien que correctement renseignée, est inopérante car non-prise en compte par la fonction. Ainsi des attaques visant à saturer les ressources du système vulnérable par le biais de wildcards particuliers sont possibles.

Or, la fonction glob() est utilisée dans de nombreux cas, en particulier par des serveurs FTP. Ainsi, sont concernés les serveurs standards livrés dans NetBSD, FreeBSD, OpenBSD, Oracle Solaris mais également ceux s’appuyant sur la bibliothèque GNU/libc. De plus, la plupart du temps cette fonctionnalité bien pratique est activée par défaut. Il est donc facile de s’en prendre à un serveur FTP vulnérable en particulier s’il autorise une connexion anonyme (pas d’authentification requise). En fonction de la capacité de la machine et des particularités locales, l’attaque pourra se traduire par de « simples » dysfonctionnements ou par un ralentissement pouvant aller jusqu’à un déni de service complet. Il est à noter que les serveurs SFTP s’appuyant sur les mêmes briques de base (ftp et libc) peuvent être également vulnérables.

Recommandation :

Pour le moment seul NetBSD a publié un correctif (NetBSD-SA2010-008) corrigeant le problème. Dans tous les autres cas, il conviendra, en attendant une mise à jour, de désactiver la fonctionnalité « glob ».

4 Cassage du chiffrement des fichiers de sauvegarde BlackBerry

Un certain nombre d’articles ont annoncé, cette semaine, qu’une société russe commercialisait un produit permettant de casser rapidement la protection des données des BlackBerry.

Il est nécessaire de préciser que ce n’est pas la protection des données sur les ordiphones (smartphones) qui est concernée mais la protection des fichiers de sauvegarde, stockés hors du smartphone. Ces fichiers de sauvegarde sont chiffrés à l’aide de l’algorithme AES avec une clé 256 bits. Ce n’est bien évidemment pas cet algorithme qui est attaqué, mais la fonction de dérivation de clé (PBKDF2), utilisée pour créer une clé AES à partir du mot de passe de l’utilisateur. Cette fonction n’étant pas correctement utilisée, il est possible de retrouver la clé calculée à l’aide d’une attaque par force brute.

La portée de cette attaque reste limitée par le fait qu’il est nécessaire d’avoir accès au poste où est stocké le fichier de sauvegarde.

Rappel des avis émis

Dans la période du 27 au 03 octobre 2010, le CERT-FR a émis les publications suivantes :