Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2008-ACT-001

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 04 janvier 2008
No CERTA-2008-ACT-001

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2008-01


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-001

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-001.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-001/

1 Incidents de la semaine

1.1 Le PC compromis sert à attaquer le serveur

Cette semaine le CERTA a traité un incident relatif à la compromission d'un serveur web. Suite à la compromission, par un

enregistreur de frappes clavier, d'une des machines servant à mettre à jour le site web, les attaquants ont réussi à récupérer les informations de connexion au service FTP. Munis de ces informations, il a été facile aux attaquants de compromettre le site Internet légitime et d'y déposer des fichiers frauduleux afin de réaliser un filoutage contre une banque anglaise. Une fois informé, l'administrateur du serveur a rapidement identifié les causes de l'incident.

Le CERTA rappelle qu'il est dangereux de stocker des identifiants de connexion dans un fichier ou dans un appareil transportable susceptible d'être perdu ou volé (clé USB, téléphone, assistant personnel, etc.). De plus les mots de passe doivent être choisis de manière à être suffisamment complexes à deviner par un attaquant ou par une recherche exhaustive à base de dictionnaires. Le CERTA rappelle également que la politique de sécurité des mots de passe doit inclure une politique de changement régulière de ceux-ci.

Documentation

1.2 Le site web oublié

Cette semaine le CERTA a informé une victime que son site Internet hébergeait des codes malveillants. Ces codes, de type PHP Shell, ont participé à des attaques informatiques contre d'autres serveurs web. La victime a indiqué que ce site web n'était plus utilisé et qu'elle pensait devoir le conserver pour ne pas perdre son nom de domaine. Le CERTA rappelle que le nom de domaine et les services Internet comme l'hébergement de site web, la messagerie, ... sont des informations distinctes. Il est tout à fait possible de conserver un nom de domaine sans pour autant avoir un site web. Dans le cas de cet incident, la victime contactera son hergeur pour désactiver son site et modifiera ses enregistrements DNS inutilisés.

2 Les attaques utilisant les référencements

Le début d'année est souvent propice aux bilans de l'année précédente. La fréquentation du site du CERTA a augmenté par rappor t à l'année précédente, ce qui indique certainement l'intérêt toujours croissant des internautes pour la sécurité informatique. Cette hausse de fréquentation est également en rapport avec un meilleur référencement du site dans les moteurs de recherches. Mais la hausse du nombre de visiteurs est sans commune mesure avec la hausse du nombre de tentatives d'attaque contre le site web. Cela s'explique car de plus en plus de programmes malveillants se basent sur les résultats des moteurs de recherches pour conduire leurs attaques.

Les journaux des connexions ne sont pas les seules sources d'informations contre une compromission. Toutefois ils peuvent permettre de mettre en évidence des vulnabilités et des tentatives d'attaque. La politique de sécurité doit inclure l'analyse et la gestion des journaux des connexions.

3 Fin du support de Netscape Navigator

AOL a annoncé, le 28 décembre 2007, la fin du support de son navigateur à compter du premier février 2008. Après cette date AOL, propriétaire de Netscape Navigator ne fournira plus de correctifs de sécurité à son application. Malgré la sortie de Netscape Navigator 9 en juin dernier, celui-ci ne sera plus maintenu et il n'y aura plus d'évolution, tout comme pour les versions précédentes. Il restera cependant disponible en téléchargement. Le CERTA recommande l'utilisation d'un navigateur alternatif toujours maintenu par son éditeur afin de permettre sa mise à jour et de limiter ainsi les risques de vulnérabilité.

4 Bogue dans Windows Home Server

Microsoft a publié cette semaine le bulletin KB946676 relatif à un problème dans Windows Home Server. Ce dysfonctionnement apparaît lorsque des fichiers présents sur le machine équipée de Windows Home Server sont édités par certaines applications comme :

  • Windows Vista Photo Gallery ;
  • Windows Live Photo Gallery ;
  • Microsoft Office OneNote 2007 ;
  • Microsoft Office OneNote 2003 ;
  • Microsoft Office Outlook 2007 ;
  • Microsoft Money 2007 ;
  • SyncToy 2.0 Beta ;

Les fichiers édités par l'intermédiaire des partages réseau sont corrompus au moment de l'enregistrement et les rendent inutilisables. Ce problème intervient alors que le système est en pleine charge lors de l'édition des fichiers. Le dysfonctionnement ne concerne que Windows home Server et serait dû au système de partage de répertoire qui a été simplifié afin de le rendre plus convivial. Microsoft travaille à la création d'un correctif. Le CERTA recommande de faire une sauvegarde des données présentes sur les machines équipées de ce système d'exploitation et de ne pas éditer de fichiers via le réseau avec les applications précédemment citées.

Documentation :

5 Les "métadonnées" surprennent encore

5.1 Introduction

Une métadonnée (du grec meta (après) et du latin data (informations)) est une donnée servant à décrire une autre donnée. Si le terme est devenu relativement courant, nombreux sont ceux qui les utilisent sans s'en rendre compte. L'exemple le plus courant, et qui a fait partie de notre actualité de la semaine, concerne simplement les photos numériques, mais les métadonnées concernent quasiment tous les fichiers électroniques.

Les appareils photos numériques utilisent en standard le format de fichier JPEG et exploitent les métadonnées associées. Ces informations sont renseignées par l'appareil au moment de la prise et contiennent des détails tel que la vitesse d'obturation, les dimensions, la date, la marque, voire le numéro de série de l'appareil et des coordonnées GPS. Elles contiennent aussi une vignette de taille réduite servant d'aperçu. Il existe plusieurs formats de métadonnée, et la norme JPEG prévoyant un champ d'informations de taille variable, il est possible d'en utiliser plusieurs à la fois sur la même photo. Historiquement, les fichiers JPEG contiennent des métadonnées au format Exif qui n'est plus maintenu et il est conseillé d'utiliser des alternatives tel que XMP (Extensible Metadata Plateform) ou IPTC (International Press Telecommunications Council).

Lors de manipulations graphiques ces informations ne sont pas toujours modifiées, par exemple, lors d'un redimensionnement ou de modification des contrastes, la marque de l'appareil ou la date de la prise de la photo ne sont pas modifiées. Si les logiciels d'imagerie courants n'exploitent pas ces champs, il existe des logiciels dédiés tel que exiv2 ou hachoir qui permettent d'éditer ces informations.

5.2 La preuve par l'exemple

La photo utilisée dans l'exemple suivant a été prise par un photographe professionnel. Elle montre bien la cohabitation des métadonnées. En effet, le champ résolution fait partie du format Exif, alors que le copyright vient du format IPTC.
#exiv2 imageOriginale.jpg
File name       : imageOriginale.jpg
File size       : 280937 Bytes
Camera make     : NIKON CORPORATION
Camera model    : NIKON D200
Image timestamp : 2007:08:31 13:37:25
Exposure time   : 1/320 s
Aperture        : F9.5
...
Exif Resolution : 964 x 646
Thumbnail       : JPEG, 5764 Bytes
Copyright       : photos :  � xxxxxxxxxxxxxxxxxxxxxxxxe.com, � tous droits reserv�s � all rights reserved

En utilisant l'option -pt d'exiv2 on peut obtenir davantage d'informations. Ainsi on voit que la photo originale a été modifiée sous Photoshop le 09/09/2007. En s'amusant à la redimensionner et modifier sous Gimp, on remarque aussi que le thumbnail n'a plus la même taille et a donc certainement été regénéré. Cela est facilement verifiable grâce à la commande exiv2 -et file1.jpg file2.jpg qui va extraire les aperçus dans file1-thumb.jpg et dans file2-thumb.jpg. On voit aussi, que la description Exif de la taille ne change pas, ce qui prouve qu'il n'est vraiment pas aisé de maîtriser l'évolution de ces informations discrètes.

#exiv2 -pt imageOriginale.jpg
...
Exif.Image.Software                          Ascii      30  Adobe Photoshop CS3 Macintosh
Exif.Image.DateTime                          Ascii      20  2007:09:09 22:22:12
Exif.Photo.PixelXDimension                   Long        1  964
Exif.Photo.PixelYDimension                   Long        1  646
Exif.Thumbnail.JPEGInterchangeFormatLength   Long        1  5764
...

Après modification sous GIMP (redimensionnement et gribouillage)

#exiv2 -pt imageRetouch�e.jpg
...
Exif.Image.Software                          Ascii      15  GIMP 2.4.0-rc3
Exif.Image.DateTime                          Ascii      20  2008:01:04 09:19:13
Exif.Photo.PixelXDimension                   Long        1  964
Exif.Photo.PixelYDimension                   Long        1  646
Exif.Thumbnail.JPEGInterchangeFormatLength   Long        1  6440
...

5.3 Les métadonnées dans notre actualité

Dans le cas de cette semaine, un webmestre indélicat utilisait des photos sans en citer l'auteur, pensant qu'un simple renommage et redimensionnement suffirait à en faire disparaitre la provenance. C'est là que les tags Exif l'on desservit, il serait très étonnant qu'il eut été en possession d'exactement le même appareil, qu'il lui aurait permis de prendre une photo en simultané au même endroit et avec les même paramètres....

Pourtant ces informations « cachées » ont déjà défrayé la chronique. En 2003, une personnalité de la télévision américaine, Catherine Schwartz, avait mis en ligne une photo de ses yeux, résultat de la découpe d'une de ses photos personnelles. Malheureusement, la manipulation n'avait pas modifiée la vignette d'aperçues qui la montrait à moitié nue.

5.4 conclusion

Si la présence de ces informations peut parfois aider à résoudre des problèmes de propriété intellectuelle, le manque de visibilité les concernant peut gêner aussi les développeurs qui finalement ne gèrent pas correctement ces champs. Ainsi plusieurs vulnérabilités touchant différents logiciels sont exploitables à l'aide d'images aux champs Exif spécifiquement construits ( CVE-2007-6351, CVE-2007-6352, ...).

Le CERTA rappelle que les métadonnées concernent de très nombreux fichiers (DOC, PDF, ...) et qu'il est important de maîtriser complètement les formats utilisés pour éviter toute fuite d'informations.

6 Mise à jour et support de PHP

Comme décrit dans l'avis CERTA-2008-AVI-002, une mise à jour pour la branche 4 du langage PHP vient d'être publiée. Outre le fait que cette version apporte des correctifs de sécurité, il est à noter que, comme indiqué sur le site http://www.php.net, la branche 4 de PHP ne connaîtra plus de nouvelles versions. En effet, depuis le 31 décembre 2007, le développement de cette dernière est arrêté. la nouvelle version 4.4.8 ne fera donc plus l'objet que de correctifs de sécurité en cas de faille majeure. Elle sera definitivement abandonnée le 8 août 2008.

Documentation :

Il est donc recommandé de migrer vers la dernière version de la branche 5 : la 5.2.5 au moment de la rédaction de la présente publication


7 Rappel des avis émis

Dans la période du 28 décembre 2007 au 03 janvier 2008, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-552-001 : Vulnérabilité dans ClamAV
  • CERTA-2007-AVI-566 : Multiples vulnérabilités dans Mambo
  • CERTA-2007-AVI-567 : Vulnérabilité dans Novell Identity Manager
  • CERTA-2007-AVI-568 : Multiples vulnérabilités dans VLC Media Player
  • CERTA-2007-AVI-569 : Vulnérabilité de Tomcat
  • CERTA-2007-AVI-570 : Vulnérabilité dans IBM DB2 Content Manager
  • CERTA-2007-AVI-571 : Vulnérabilité de Mantis
  • CERTA-2007-AVI-572 : Vulnérabilité dans Syslog-ng
  • CERTA-2007-AVI-573 : Vulnérabilité dans Dovecot
  • CERTA-2008-AVI-001 : Vulnérabilité dans Qt

Les mises à jour suivantes ont été publiées :

  • CERTA-2007-AVI-555-001 : Multiples vulnérabilités dans Opera (ajout des références CVE associées)
  • CERTA-2007-AVI-559-001 : Multiples vulnérabilités dans Wireshark (ajout de références CVE)


Liste des tableaux

Gestion détaillée du document

04 janvier 2008
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23