Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-013

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 31 mars 2006
No CERTA-2006-ACT-013

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-13


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-013

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-013.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-013/

1 Activité en cours

1.1 Incidents traités

1.1.1 Caïn et Abel

Le CERTA a été contacté afin de donner un avis technique sur un incident touchant plusieurs machines. Ayant remarqué un ralentissement anormal, l'administrateur a repéré la présence du logiciel Caïn et Abel (outil utilisant de multiples techniques pour découvrir des mots de passe) sur trois serveurs. Ce programme a été transmis par l'administrateur à l'éditeur de l'antivirus utilisé sur son réseau afin que les bases de signature soient mises à jour, ce qui a permis de découvrir d'autres machines « infectées ».

L'installation de ce logiciel a été rendue possible pour différentes raisons dont en particulier :

  • une faible qualité des mots de passe ;
  • une gestion trop permissive des droits des utilisateurs ;
  • une authentification des machines sur l'intranet insuffisante.

1.1.2 Compromission d'un serveur SSH

Le CERTA a été informé de la compromission d'un serveur suite à l'exploitation d'un mot de passe faible pour un compte n'ayant pas les privilèges de l'administrateur. La machine compromise était utilisée comme rebond afin de découvrir d'autres serveurs avec des comptes utilisant des mots de passe faibles. Les compromissions de ce type laissent des traces flagrantes dans les journaux.

Recommandations :

Le CERTA constate que de nombreux incidents sont liés à une problématique de mots de passe et rappelle les bonnes pratiques élémentaires suivantes :

  • avoir une politique de gestion des mots de passe cohérente avec les enjeux de sécurité (CERTA-2005-INF-001) ;
  • ne pas donner aux utilisateurs des privilèges d'administration ;
  • ne pas autoriser l'utilisation de machines personnelles sur les intranet ;

Il existe de nombreux outils (dont certains sont gratuits) permettant de tester la robustesse des mots de passe. Une utilisation de tels outils pour détecter les mots de passe faibles peut éviter les compromissions de ce type.

2 Rappel des avis et mises à jour émis

Durant la période du 24 mars au 30 mars 2006, le CERTA a émis l'avis suivant :

  • CERTA-2006-AVI-128 : Multiples vulnérabilités de Symantec Veritas NetBackup

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-104-002 : Vulnérabilité de Kpdf

    (ajout de la référence au bulletin de sécurité Debian DSA-1019)

  • CERTA-2006-AVI-121-001 : Vulnérabilité dans FreeRADIUS

    (ajout de la référence au bulletin de sécurité Mandriva et de la référence CVE)

  • CERTA-2006-AVI-127-001 : Multiples vulnérabilités dans RealPlayer
  • CERTA-2006-AVI-124-001 : Vulnérabilité de Sendmail

    (ajout de la référence au bulletin de sécurité OpenBSD et Avaya)

  • CERTA-2006-AVI-127-002 : Multiples vulnérabilités dans RealPlayer

    (ajout de la référence au bulletin de sécurité Gentoo)

  • CERTA-2006-AVI-110-001 : Vulnérabilité dans Flex

    (ajout de la référence au bulletin de sécurité Debian)

  • CERTA-2006-AVI-124-002 : Vulnérabilité de Sendmail

    (ajout de la référence au bulletin de sécurité HP-UX)


Liste des tableaux

Gestion détaillée du document

31 mars 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23