Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-032

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 10 août 2007
No CERTA-2007-ACT-032

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-32


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-032

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-032.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-032/

1 Les méthodes d'attaques les plus simples sont efficaces

Si certaines intrusions reposent sur des techniques sophistiquées comme les débordements de tampons (buffer overflow) ou les insertions de code (ex. : PHP-include), les attaques contre les mots de passe faibles restent d'actualité. Un incident récemment traité par le CERTA l'a encore prouvé.

Une attaque par recherche exhaustive, c'est-à-dire en essayant toutes les combinaisons possibles, suffit à trouver le mot de passe, d'autant plus facilement qu'il est court ou simple. L'absence de blocage du compte après un certain nombre d'échecs permet de mener à terme une telle attaque.

Pour se prémunir de cette faiblesse, il convient d'adopter une politique de gestion stricte des mots de passe et des échecs d'authentification.

En complément, une conservation de la trace des échecs de connexion et une analyse régulière des journaux permet de détecter des attaques par dictionnaire ou par recherche exhaustive. Cette détection peut avoir lieu avant que la découverte du mot de passe n'aboutisse ou avant l'exploitation de la découverte du mot de passe.

Documentation

Note d'information du CERTA CERTA-2005-INF-001 :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-001

2 Attaques indirectes et dissimulation

Dans le bulletin d'actualité CERTA-2007-ACT-025, le CERTA présentait les cadres incorporés dans les pages HTML à l'aide de la balise <IFRAME>. Une utilisation frauduleuse est l'insertion d'un tel cadre pour diriger, de manière invisible, l'internaute qui visite un site légitime vers un site peu recommandable, par exemple hébergeant des logiciels malveillants qui vont tenter de s'installer sur le poste de cet internaute.

La politique d'un organisme, en matière de développement des sites, peut exclure l'utilisation de ces cadres. Un processus automatique peut vérifier constamment la présence de la balise <IFRAME> et son bien-fondé.



Une technique utilisable par les intrus qui insèrent ces cadres de manière malveillante constiste ajouter, non pas le cadre lui-même, mais un script qui « déchiffre » un javascript représenté par un chaîne d'apparence aléatoire. Ce javascript écrit alors le fragment de code HTML qui construit le cadre malveillant. Quelques indices peuvent trahir la présence de tels scripts :

  • des suites d'instructions comme <script>document.write(unescape("%3Cscript%3E... ;
  • des chaînes de caractères d'apparence aléatoires ;
  • le positionnement du code, tout en bas de la page, très à droite pour ne pas être visible sur un écran de largeur ordinaire ;
  • une connexion inattendue lors de la consultation du site légitime.

La technique qui transforme le script en chaîne de caractères d'apparence aléatoire est assez simple. Elle permet de créer une multitude de variantes pour un même script. De ce fait, un script identique aura autant d'apparences différentes qu'il y aura de pages modifiées de manière frauduleuse sur un même site. Cette variété freine la détection ciblée de ce script.

Aux recommandations du bulletin d'actualité précité, le CERTA ajoute :

  • la désactivation de l'exécution systématique des scripts dans les navigateurs ;
  • l'affichage de la barre d'état dans le navigateur et la surveillance de celle-ci. Il faut être vigilant si, lors de la visite d'un site, une connexion vers un site tiers se déclenche.

Les développeurs de sites web peuvent en déduire que l'usage des scripts sur leurs sites est un frein à la protection de l'internaute.

Comme des sites proposent des versions « texte seul », « sans cadre » ou « sans frames », des versions dans diverses langues, des alternatives « HTML ou flash », ils peuvent proposer des versions « sans scripts ».

Documentation

Bulletin d'actualité du CERTA CERTA-2007-ACT-025 :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-025/

3 Une trace anodine dans les journaux des connexions

Cette semaine le CERTA a mis en évidence et traité deux compromissions grâce aux journaux des connexions. La première compromission est un exemple de la coopération et des liens internationnaux existant entre les CSIRTs (les équipes homologues à celle du CERTA). Lors de l'analyse des journaux des connexions d'un serveur web, le CERTA a relevé une tentative, infructueuse, d'intrusion. Cette tentative provenait en fait d'une machine connectée sur un réseau universitaire à l'étranger. Le CERTA a immédiatement prévenu ses contacts privilégiés dans ce pays. Cette information leur a permis de mettre en évidence une machine compromise faisant partie d'un réseau de machines zombies (Botnet).

La seconde compromission a été mise en évidence par la trace, dans un journal des connexions, d'un comportement suspect. Une machine tentait périodiquement de télécharger une application sur un serveur situé à l'étranger. Un tel comportement a attiré l'attention d'autant plus que l'application en question était un virus. L'analyse en cours de cette compromission montre que cette machine, bien que possédant un logiciel antivirus à jour, est hautement compromise par une multitude de virus et autres logiciels malveillants.

Le CERTA rappelle que les journaux des connexions doivent être analysés et surveillés régulièrement. Un comportement inhabituel qui peut paraître anodin doit être relevé afin de mettre en évidence une compromission, une tentative d'attaque ponctuelle ou une attaque étalée dans le temps.

Documentation

Note d'information du CERTA CERTA-2002-INF-002 :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/


4 Rappel des avis émis

Durant la période du 02 août au 09 août 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-344 : Vulnérabilité de Kaspersky Antispam
  • CERTA-2007-AVI-345 : Vulnérabilité de Tomcat
  • CERTA-2007-AVI-346 : Vulnérabilité de Java System Web Server
  • CERTA-2007-AVI-347 : Multiples vulnérabilités dans HP System Management Homepage
  • CERTA-2007-AVI-349 : Vulnérabilité dans la machine virtuelle Java de Sun

Pendant la même période, l'avis suivant a été mis à jour :

  • CERTA-2007-AVI-226-002 : Vulnérabilité dans FreeType (ajout des références aux bulletins de sécurité des éditeurs)
  • CERTA-2007-AVI-313-001 : Vulnérabilité dans la bibliothèque libarchive (modification des systèmes affectés, ajout des références CVE et des références aux bulletins de sécurité Gentoo et SuSE)
  • CERTA-2007-AVI-348-001 : Multiples vulnérabilités dans la machine Java d'IBM (modification des systèmes affectés, ajout des références CVE et des bulletins de sécurité des éditeurs SuSE, Red Hat, Avaya et Gentoo)


Liste des tableaux

Gestion détaillée du document

10 août 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-29