1 Les réseaux sociaux vecteurs de contenu malveillant
Ces quelques dernières années ont vu l’émergence et la démocratisation sur l’Internet des sites de réseaux sociaux.
Ces plateformes d’échange sont d’ores et déjà connues pour poser différents problèmes d’atteinte à la vie privée, mais représentent également des cibles privilégiées pour la diffusion à grande échelle de contenu malveillant.
Ces codes malveillants profitent largement des liens sociaux entre différents utilisateurs. Par exemple, un message provenant d’un « ami » paraîtra toujours plus légitime que s’il provenait d’un compte inconnu. La technique n’est pas nouvelle, certains logiciels malveillants se propageant par courrier électronique vont chercher leurs cibles dans le carnet d’adresse de la victime initiale afin de gagner en légitimité. Cette technique est amplifiée par le fait que le cercle d’« amis » sur les réseaux sociaux est beaucoup plus étendu que celui d’un carnet d’adresses utilisé pour contacter sa famille et ses collègues de travail par exemple.
La plupart de ces sites invitent chaque utilisateur à apporter sa contribution telle que l’ajout de commentaires, d’images, ou encore inciter d’autres utilisateurs à se rendre sur certaines pages, à s’enregistrer auprès de nouveaux services, à utiliser de nouveaux jeux, etc.
Pour toutes ces raisons, et en prenant en compte le développement très rapide de ces réseaux, beaucoup d’attaquants peuvent être attirés par ce terrain fertile pour diffuser de contenu malveillant au plus grand nombre.
C’est pourquoi, depuis quelques mois, plusieurs vulnérabilités affectant les plus gros réseaux sont découvertes puis corrigées. La technique qui semble être la plus employée est l’injection de code indirecte à distance (ou XSS), qui permet entre autre d’exécuter du code arbitraire dans le contexte de la session d’un utilisateur. Le code peut alors se répliquer par commentaires sur les pages des contacts « amis », propager des messages diffamatoires, collecter des informations sur le profil de la victime ou encore la rediriger vers d’autres sites malveillants.
D’autres méthodes de compromission se développent. Certains liens sur des sites se font passer pour le bouton « J’aime » du site Facebook et utilisent des méthodes de détournement de clic (ou clickjacking). La victime ayant effectivement cliqué sur ce lien pourra voir son poste compromis, et propagera en même temps ce lien vers ses contacts via le mécanisme classique des notifications « J’aime ».
Enfin, ces sites peuvent aussi être utilisés comme canaux de commande et de contrôle pour certains botnets, comme le CERTA l’a présenté dans le bulletin d’actualité CERTA-2009-ACT-045.
Pour toutes ces raisons, le CERTA recommande que les responsables des systèmes d’information s’interrogent sur les politiques d’accès à ces sites.
Documentation
- Bulletin d’actualité CERTA-2010-ACT-045 :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-045/
2 Infection par un ransomware
Récemment, le CERTA a reçu une demande d’analyse concernant une machine ayant été infectée par un ransomware.
Ce type de code n’est pas nouveau. Il parcourt les documents accessibles et les chiffre. Ensuite, il demande une rançon à l’utilisateur pour qu’il puisse récupérer ses fichiers dans leur état original.
Afin de procéder à une analyse, il est important de conserver l’état de la machine et de réaliser une copie de la mémoire vive et du disque dur. En effet, ces éléments peuvent aider à trouver une méthode de décryptage lorsque le programme présente un défaut dans l’implémentation ou l’utilisation de l’algorithme de chiffrement. De plus, dans un cadre judiciaire, la possible identification de l’attaquant peut également être un moyen de retrouver les éléments permettant de déchiffrer et retrouver ses documents.
Enfin, le CERTA rappelle que l’utilisation régulière de sauvegardes stockées sur des serveurs physiquement séparés reste le meilleur moyen de récupérer ses fichiers.
Rappel des avis émis
Dans la période du 18 au 24 avril 2011, le CERT-FR a émis les publications suivantes :
- CERTA-2011-AVI-230 : Multiples vulnérabilités dans Joomla!
- CERTA-2011-AVI-231 : Vulnérabilités dans kde4libs
- CERTA-2011-AVI-232 : Vulnérabilités dans Wireshark
- CERTA-2011-AVI-233 : Vulnérabilités dans SAP NetWeaver, SAP Web Application Server et SAP Enterprise Portal
- CERTA-2011-AVI-234 : Vulnérabilité de Adobe Flash Player
- CERTA-2011-AVI-235 : Multiples vulnérabilités dans itunes
- CERTA-2011-AVI-236 : Vulnérabilité dans RSA Adaptive Authentication
- CERTA-2011-AVI-237 : Vulnérabilité dans HP Network Node Manager i
- CERTA-2011-AVI-238 : Multiples Vulnérabilités dans les produits Oracle
- CERTA-2011-AVI-239 : Multiples Vulnérabilités dans les produits Oracle Sun
- CERTA-2011-AVI-240 : Multiples Vulnérabilités dans HP Systems Management Homepage
- CERTA-2011-AVI-241 : Multiples Vulnérabilités dans HP Systems Insight Manager
- CERTA-2011-AVI-242 : Multiples vulnérabilités dans HP Insight Control
- CERTA-2011-AVI-243 : Vulnérabilités dans IBM Lotus Symphony
- CERTA-2011-AVI-244 : Vulnérabilité dans HP Virtual Server Environment pour Windows
- CERTA-2011-AVI-245 : Vulnérabilité dans les systèmes FreeBSD
- CERTA-2011-AVI-246 : Vulnérabilité dans HP Performance Insight
- CERTA-2011-AVI-247 : Vulnérabilité dans CA SiteMinder
- CERTA-2011-AVI-248 : Vulnérabilités dans CA Output Management Web Viewer
- CERTA-2011-AVI-249-001 : Multiples vulnérabilités dans Asterisk
- CERTA-2011-AVI-250 : Vulnérabilité dans Adobe Reader et Acrobat
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2011-AVI-218-001 : Vulnérabilité dans VLC
- CERTA-2011-AVI-224-001 : Vulnérabilité dans IBM Tivoli Directory Server