S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 décembre 2012
N° CERTA-2012-ACT-051
Affaire suivie par: CERT-FR
le 21 décembre 2012

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTA-2012-ACT-051

Gestion du document

Référence CERTA-2012-ACT-051
Titre Bulletin d’actualité CERTA-2012-ACT-051
Date de la première version 21 décembre 2012
Date de la dernière version 21 décembre 2012
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilités dans des terminaux mobiles Samsung

Cette semaine le CERTA a publié une alerte concernant une vulnérabilité présente dans des terminaux mobiles qui utilisent le composant «Exynos 4» de Samsung. Elle est exposée par le pilote du composant qui donne aux applications l’accès à l’ensemble de l’espace mémoire physique du noyau sans aucune restriction. Il est alors possible pour une application malveillante d’élever ses privilèges sur le système et d’exécuter du code en tant qu’administrateur (root). Des applications utilisant cette vulnérabilité sont déjà présentes sur l’Internet.

Cette vulnérabilité est susceptible d’exposer également des terminaux d’autres constructeurs qui utiliseraient ce composant et ce pilote du constructeur Samsung.

En attendant la publication d’un correctif par le constructeur, le CERTA recommande la plus grande vigilance concernant l’installation d’applications non vérifiées sur ces terminaux.

Documentation

2 Un code malveillant utilise GoogleDocs

Les cas d’utilisation malveillante des réseaux sociaux ou de l’informatique dans le nuage, voire de webmails, se multiplient.

Cette année le CERTA a également été amené à traiter plusieurs incidents en relation avec ces services. Symantec a récemment publié un article à propos d’un code malveillant dont les connexions aux serveurs de commande et contrôle passaient par Google Docs. Un tel détournement a été rendu possible par une fonctionnalité de visualisation de fichier, à laquelle on peut soumettre une URL, sans vérification de sa malveillance. Ce phénomène rend difficile la détection des flux illégitimes :

  • les serveurs destinataires ne sont, par essence, pas malveillants ;
  • les flux entre le poste infecté et le serveur sont généralement chiffrés.

Ce comportement confirme également que les botnets évoluent vers des alternatives plus discrètes qu’IRC, historiquement utilisé comme protocole de communication, et donc plus difficile à bloquer.

Le CERTA recommande donc de faire preuve de vigilance, voire de réserve, à l’égard de l’utilisation des réseaux sociaux, des services de stockage dans le nuage ou de messagerie en ligne, quelle que soit la réputation de l’hébergeur.

Il est également préconisé de surveiller de tels flux à des heures qui ne correspondent pas une activité classique de bureau.

Documentation

3 Vulnérabilité dans les téléviseurs connectés

Aujourd’hui, certains téléviseurs peuvent être connectés à Internet et/ou à un réseau d’entreprise. Ils sont équipés d’un micrologiciel basé sur le système d’exploitation Linux qui leur permet l’accès à de multiples fonctionnalités (visioconférence, lecture de documents, messagerie, réseaux sociaux, navigation web, etc.).

Récemment, une équipe de chercheurs a réussi à prendre le contrôle total d’un téléviseur connecté Samsung en exploitant une vulnérabilité. Aucun code d’exploitation n’est pour le moment disponible publiquement, mais les conséquences de l’exploitation d’une telle vulnérabilité peuvent être importantes, notamment en terme de fuite d’informations :

  • accès à la caméra numérique ainsi qu’au microphone dont ils sont équipés ;
  • récupération des données stockées sur les périphériques USB connectés ;
  • accès à l’historique du téléviseur ;
  • installation de logiciels malveillants ;
  • récupération de l’identifiant et du mot de passe du micrologiciel ;
  • accès aux données stockées dans la mémoire interne du téléviseur ;
  • récupération des identifiants des sites Internet/Intranet visités via le téléviseur.

Il n’existe pas à ce jour de correctif pour les téléviseurs présentant cette vulnérabilité. Dans l’attente de la diffusion d’un correctif par le constructeur, le CERTA recommande donc de déconnecter ce type de téléviseur du réseau de l’entreprise et de l’Internet.

En outre, le CERTA recommande, de manière générale, de prêter attention à tous types d’appareils connectés au réseau Internet, en les intégrant dans la politique de sécurité des systèmes d’information. Ces équipements doivent être mis à jour des correctifs de sécurité du constructeur ou de l’éditeur dès leurs parutions.

Rappel des avis émis

Dans la période du 10 au 16 décembre 2012, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 21 décembre 2012
    version initiale.