S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 mai 2011
N° CERTA-2011-ACT-021
Affaire suivie par: CERT-FR
le 27 mai 2011

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2011-21

Gestion du document

Référence CERTA-2011-ACT-021
Titre Bulletin d’actualité 2011-21
Date de la première version 27 mai 2011
Date de la dernière version 27 mai 2011
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Barres d’outils indésirables

1.1 Description

Les barres d’outils sont des modules ajoutés aux navigateurs Web. Elles existent notamment pour Firefox, Internet Explorer, Opera… Celles-ci proposent des fonctionnalités supplémentaires à l’utilisateur, par exemple un cadre permettant de faire rapidement des recherches.

Le danger est que ces barres d’outils comportent du code qui sera exécuté. Celui-ci peut contenir des vulnérabilités ou réaliser des actions non souhaitées. Certaines barres d’outils peuvent être associées à des logiciels espions (spywares) dans le sens où elles vont collecter et transférer des informations sur l’utilisateur, son poste et ses habitudes sans que celui-ci en soit conscient.

De plus, ce type de modules d’extension ne requière généralement pas les droits administrateur pour s’installer.

1.2 Exemples

Les sites conduit.com et predictad.com proposent chacun une plate-forme permettant de développer ses propres barres d’outils. Les modules ainsi développés sont capables d’envoyer silencieusement des données à des sous-domaines de conduit.com et predictad.com. Il s’agit là d’une fuite de données non contrôlée, qu’il est préférable de filtrer.

D’autres barres d’outils sont reconnues par certains antivirus comme étant potentiellement dangeureuses. Ainsi Funwebproducts est vue comme un publiciel par Bitdefender. Widgi Toolbar est reconnue de même par Sophos.

1.3 Mesures envisageables

Pour détecter ce phénomène au niveau réseau, il y a plusieurs possibilités selon les barres d’outils. Par exemple, une recherche des requêtes DNS contenant conduit.com ou predictad.com ou encore toolbar.zynga.com peut être effectuée. Pour l’exemple conduit.com, il y a notamment le sous-domaine alert.services.conduit.com. Vers ce serveur partent des requêtes HTTP avec la méthode POST, vers des URI /Alerts/AlertServices.asmx/GetToolbarAlertsInfo ou encore /Alerts/AlertServices.asmx/AlertLogin. Autre exemple pour la toolbar Zynga, une requête HTTP de type GET est envoyée toutes les 5 minutes à l’URL toolbar.zynga.com/heartbeat.php. D’autres barres d’outils sont visibles au niveau du User Agent du navigateur qu’elles modifient. Par exemple, les User Agent vont contenir WidgiToolbar ou FunWebProducts ou encore Hotbar.

De manière générale, il est de bonne pratique que les serveurs Web mandataires contrôlent les User Agent, de préférence avec une liste blanche adaptée. Il est aussi possible de mettre en liste noire des domaines utilisés pour la mise à jour de ces barres d’outils. Les utilisateurs doivent également être sensibilisés pour ne pas installer ce genre de logiciels.

Références

2 Faux antivirus malveillants sur Mac OS X

Contrairement à une idée répandue, Mac OS X est également une cible pour les auteurs de programmes malveillants.

Le bulletin d’actualité CERTA-2011-ACT-018 décrit la mise en place d’une vague d’attaques par redirections involontaires (drive by downloads). Cette vague d’attaques est notamment utilisée pour tromper les utilisateurs de Mac Os X, en leur faisant croire que leur poste est infecté, avant de leur proposer un faux antivirus Mac Os X du nom de Mac Defender (il peut exister sous d’autres noms). Une fois téléchargé avec Safari, ce programme est automatiquement installé si l’option ouvrir automatiquement les fichiers « fiables » n’est pas désactivée.

Ce faux antivirus a pour vocation d’extorquer le code de carte de crédit de l’utilisateur. Pour ce faire, il lui fait croire que son poste est compromis en remontant une liste aléatoire de fichiers supposés infectés et en ouvrant des pages Web indésirables. L’utilisateur est alors invité à enregistrer son produit en donnant son numéro de carte de crédit afin de pouvoir « désinfecter » la machine.

Face à cette menace, Apple a réagi en proposant une procédure de suppression manuelle du programme et prévoit de diffuser prochainement une mise à jour permettant d’identifier et de supprimer ce programme dans ses différentes variantes.

Outre la sensibilisation des utilisateurs à la problèmatique des faux antivirus, le CERTA recommande :

  • l’utilisation d’un compte avec des droits restreints ;
  • la désactivation de l’option ouvrir automatiquement les fichiers « fiables » dans Safari ;
  • de façon plus générale la ré-installation complète du système après une compromission (cf : CERTA-2002-INF-002, Que faire en cas d’intrusion ? ).

Documentation

Rappel des avis émis

Dans la période du 16 au 22 mai 2011, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 27 mai 2011
    version initiale.