S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 août 2011
N° CERTA-2011-ACT-033
Affaire suivie par: CERT-FR
le 19 août 2011

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2011-33

Gestion du document

Référence CERTA-2011-ACT-033
Titre Bulletin d’actualité 2011-33
Date de la première version 19 août 2011
Date de la dernière version 19 août 2011
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Mise à jour des produits Mozilla

Cette semaine, Mozilla a publié un nombre important de mises à jour pour Firefox, Thunderbird et SeaMonkey. Certaines de ces mises à jour concernent des vulnérabilités jugées critiques par l’éditeur. Elles permettent notamment à une personne malintentionée d’exécuter du code arbitraire à distance. Le CERTA recommande de mettre à jour l’ensemble des produits concernés dans les plus brefs délais.

Documentation

2 Fin du support ISC DHCP 3.1

Comme indiqué dans le bulletin de sécurité ISC du 10 août 2011 (avis CERTA-2011-AVI-452), le support de la version 3.1-ESV de ISC HCP arrive à son terme.

Le CERTA recommande donc aux utilisateurs des versions 3.x de planifier le passage en version 4 de ISC DHCP dès que possible.

Documentation

3 Ordiphones et sécurité : le juicejacking

Lors de la conférence Defcon qui s’est tenue du 4 au 7 août 2011 à Las Vegas, les chercheurs en sécurité informatique Brian Markus, Joseph Mlodzianowski et Robert Rowley ont mené une expérience grandeur nature afin de démontrer la faisabilité d’une nouvelle attaque visant les ordiphones : le juicejacking.

Ces trois chercheurs ont installé sur le site de la conférence une borne en libre service permettant de recharger un ordiphone. Les bornes de ce type sont en règle générale installées dans les gares, les aéroports ou tout autre lieu ouvert au public.

Cependant, la borne installée était quelque peu différente des bornes classiques. En effet, au lieu de simplement délivrer de l’énergie afin de recharger l’ordiphone, elle essayait aussi d’établir une connexion vers ce dernier. Ce type de connexion est possible car les ordiphones utilisent souvent un seul et même port pour le rechargement et le transfert de données (mini-usb ou autre). Les chercheurs ont ainsi pu confirmer leur soupçons : la plupart des appareils mobiles qui ont été connectés étaient configurés pour accepter automatiquement les connexions sur ce port.

Il devenait alors possible d’accéder aux données contenues sur le téléphone. Bien entendu, dans certains cas l’accès à ces données était limité voire bloqué. Cependant, il convient de prendre en compte ce type de menace lors de la connexion de son ordiphone sur un équipement non maîtrisé.

Il est possible de se prémunir de ce type d’attaques. En effet, certains téléphones permettent de bloquer toute connexion sur le port de communication ou bien peuvent être configurés pour demander une confirmation avant l’établissement de une connexion. Cependant, si ces options ne sont pas disponibles, il reste toujours possible de se connecter à ces bornes grâce à un cable usb ne transférant que l’énergie et pas les données, bloquant de fait toute connexion extérieure. Bien entendu, la meilleure des solutions reste tout de même de n’utiliser que son chargeur secteur personnel.

Documentation

Rappel des avis émis

Dans la période du 08 au 14 août 2011, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 19 août 2011
    version initiale.