Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2008-ACT-010

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 07 mars 2008
No CERTA-2008-ACT-010

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2008-10


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-010

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-010.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-010/

1 Les incidents traités par le CERTA cette semaine

1.1 Compromission par clé USB

Le CERTA a traité un incident lié à la compromission d'un poste nomade par un code malveillant se propageant par support amovible. Dans le cas présent, il s'agissait d'une clé USB. Les colloques sont souvent l'occasion d'échanger des informations et des données entre les différents intervenants et/ou les participants. Cependant, ils offrent également l'opportunité à des personnes ou des codes malveillants de compromettre de nombreux systèmes dans un cercle de relation limité.

Le CERTA rappelle que l'utilisation de supports de stockage amovibles, tels que des clés USB classiques ou U3, sont potentiellement des vecteurs de compromission ou des moyens permettant de porter atteinte à la confidentialité et/ou à l'intégrité des données.

Afin de limiter l'impact des compromissions utilisant ces vecteurs d'infection, il est recommandé de désactiver toutes les fonctions permettant l'exécution automatique lors de l'insertion d'un support de stockage amovible, en particulier sous Microsoft Windows.

Documentation :

1.2 Restauration d'un site Internet après incident

Il est nécessaire après un incident de sécurité informatique sur un site Internet de repartir sur des bases saines. Cette base est souvent issue d'une copie de sauvegarde antérieure à l'incident. Il est nécessaire pour bien restaurer les données de vérifier ces dernières mais également de vérifier l'intégrite de la configuration du serveur. En effet, il arrive que, malgré une bonne restauration des données, des traces de l'ancienne compromission subsistent. Le CERTA a cette semaine cru détecter un site de filoutage (phishing) qui n'en était en fait pas un. L'adresse recticulaire de ce site été de la forme :

http://lenomdedomaine.tld/adresse_usurpee/

L'adresse usurpée correspondait en fait à un alias enregistré dans la configuration de serveur. Cette alias pointait en réalité sur le répertoire racine du site. Après restauration des données, l'alias étant resté enregistré, l'adresse usurpée conduisait sur la page d'accueil du site qui était tout à fait légitime.

Le CERTA tient donc, à rappeler qu'une défiguration ou l'insertion d'un site de filouage n'est bien souvent que la partie émergée de l'iceberg. Il est donc important, avant de restaurer les données, de vérifier l'intégrité de la configuration du serveur et de l'arborescence du site afin de limiter les risques d'une nouvelle compromission.

2 Nouveau virus pour téléphone mobile

Cette semaine est apparu un nouveau virus dédié aux plates-formes de téléphones mobiles. Ce dernier cible plus particulièrement les téléphones Symbian Series 60. Il semblerait que les téléphones équipés de Windows Mobile soient également vulnérables à cette attaque.

L'originalité de ce code malveillant, nommé SymbOS/Kiazha.A par l'éditeur ayant fait sa découverte, se situe dans l'affichage d'un message en chinois demandant un versement de 50 RMB (environ 5 euros). Cette rançon doit être envoyé à l'auteur afin de pouvoir récupérer la pleine utilisation de l'appareil. Ce code malveillant se propage via les MMS pour infecter de nouveaux équipements.

Il s'avère que ce virus est en fait une partie d'un autre code malveillant regroupant plusieurs virus. Les personnes malveillantes agissant dans l'univers du mobile empruntent les techniques utilisées en informatique. Elles reprennent le travail d'autres auteurs à leur propre compte et se mettent à faire du chantage, technique déjà utilisée par des individus malveillants sur l'Internet.

Le CERTA tient donc à mettre en garde les utilisateurs de Smartphone. Ces appareils se rapprochant de plus en plus des ordinateurs, ils sont sensibles aux mêmes vulnérabilités et aux mêmes attaques. Il est donc important de mettre en pratique les mêmes principes de précaution lors de la réception d'un message contenant un objet multimédia sur ce genre d'équipement.

3 Rappel des avis émis

Dans la période du 28 février au 06 mars 2008, le CERTA a émis les avis suivants :

  • CERTA-2008-AVI-112 : Vulnérabilités dans Symantec Backup Exec
  • CERTA-2008-AVI-113 : Vulnérabilités dans phpMyAdmin
  • CERTA-2008-AVI-114 : Vulnérabilité dans IBM WebSphere
  • CERTA-2008-AVI-115 : Vulnérabilité dans Ghostscript
  • CERTA-2008-AVI-116 : Vulnérabilités dans VMware ESX Server

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2008-AVI-053 : Multiples vulnérabilité dans Adobe Reader

    (ajout de références au CVE)


Liste des tableaux

Gestion détaillée du document

07 mars 2008
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-28