Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2008-ACT-052

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 26 décembre 2008
No CERTA-2008-ACT-052

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2008-52


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-052

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-052.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-052/

1 Le dernier de l'année

Ce numéro 052 du bulletin d'actualité du CERTA est le dernier de l'année 2008. C'est pour nous l'occasion de vous souhaiter d'excellentes fêtes de fin d'année.

L'année 2008 aura été riche en événements dans notre domaine d'activité. Dans l'immédiat, soyez vigilants avec l'envoi des tradionnelles cartes de voeux électroniques ; elles peuvent être réellement moins sympathiques que leur aspect virtuel ne le laisserait penser !

Les bulletins d'actualité contribuent au retour d'expérience : n'hésitez pas à nous solliciter afin d'améliorer notre production toujours perfectible. Notre seul objectif est de vous aider au mieux dans votre prise de décision (par prévention ou par réaction) pour la sécurité de votre réseau.

Bonne cyberannée à tous !

2 Périphériques de saisie sans-fil

Le CERTA a été sollicité pour un incident de sécurité mettant potentiellement en cause l'existence d'un enregistreur de frappes clavier. En effet, à première vue, les frappes clavier réalisées sur l'un des postes du réseau se retrouvaient immédiatement affichées à l'écran d'un autre poste de ce même réseau.

Après investigation, il est apparu que les deux postes en question étaient équipés de clavier et souris sans-fil pour l'un et d'une souris sans-fil pour l'autre, et par conséquent, tout ce qui était saisi par le poste disposant du clavier sans-fil était également reçu par le poste équipé du récepteur pour la souris sans-fil.

Le CERTA recommande de conduire une analyse des risques liés à l'utilisation des équipements sans-fil en fonction des besoins opérationnels. En effet, le bénéfice apporté par l'usage d'équipements de ce type doit être supérieur aux risques qu'ils entraînent.

3 DNS Changer v. 2.0

3.1 Les faits

Une nouvelle mouture du code malveillant DNS Changer a récemment fait son apparition sur l'Internet. Cette nouvelle version se distingue de la précédente par son mode opératoire permettant la modification des paramètres DNS.

Pour rappel, la précédente version détaillée dans les bulletins d'actualité CERTA-2008-ACT-047 et CERTA-2008-ACT-049, tentait de modifier les configurations des boîtiers de connexion à l'Internet afin que ces derniers distribuent des paramètres de résolution de noms erronés. Ces paramètres, une fois enregistrés, permettaient de rediriger les flux DNS vers des serveurs malveillants.

Cette variante, reconnue par certains éditeurs d'anti-virus sous le nom Trojan.Flush.M, installe un pilote réseau NDISProt.sys ou ndisprot.inf autorisant ainsi la réception et l'émission de paquets Ethernet. Une fois compromise, la machine se transforme en serveur DHCP afin de propager des configurations DNS malveillantes et rediriger tous les ordinateurs du réseau en DHCP -sans avoir à y installer des logiciels malveillants- vers des serveurs de noms malintentionnés basés à l'étranger.

3.2 Les recommandations

Le CERTA réitère les mêmes conseils :

  • surveiller le trafic DNS afin de s'assurer que celui-ci s'effectue vers des serveurs légitimes ;
  • contrôler la configuration DNS des clients ;
  • utiliser un compte aux droits limités afin de prévenir une tentative d'installation d'un nouveau pilote.

3.3 Documentation

4 Voyants lumineux et fausses interprétations

4.1 Le cas des claviers

L'activation des lumières d'un clavier est configurable, comme l'illustrent plusieurs liens cités dans la section Documentation de cet article. Les voyants sont utilisés par défaut pour afficher des modes bien connus : majuscules, verrou numérique et défilement. En réalité, l'affectation de l'affichage du voyant, qui dépend d'un état du clavier, est programmable.

Ainsi, dans le fichier de configuration du serveur graphique X.org, il est possible d'ajouter des options (XkbOptions).

Section "Input Device"
        Identifier "Generic Keyboard"
        ...
        Option "XkbOptions" "grp:alt_shift_toggle,grp_led:scroll"
        ...

Le voyant « Scroll Lock » indiquera alors un changement de groupe correspondant à l'appui sur les touches « alt+shift ». D'autres applications, comme blinkd1, ledcontrol, mailleds ou tleds sous Linux se chargent d'assurer l'utilisation des voyants pour visualiser d'autres événements : réception d'un courrier électronique, balayage de ports, etc.

On retrouve ces mêmes facilités quel que soit le système d'exploitation utilisé.

L'objet de ce paragraphe n'est pas de lister toutes les possibilités offertes mais plus simplement de montrer la faisabilité et la relative facilité à manipuler les voyants du clavier.

Le lecteur peut se demander quel usage malveillant est bien applicable ici, hormis gêner l'utilisateur ou faire fuir de l'information sous forme de clignotements lumineux.

La question est alors : est-ce bien différent pour les autres voyants existants, et en particulier pour ceux associés aux interfaces sans-fil, Bluetooth ou Wi-Fi ?

4.2 Le cas des interfaces sans-fil

L'activation des lumières est une action indépendante de la connexion.

À valeur d'exemple, certains portables DELL sous Ubuntu 8.04 peuvent avoir une connexion Wi-Fi active mais pas de voyant lumineux si les modules complémentaires linux-backports-modules-XXX ne sont pas installés.

Il existe différentes façons d'intervenir pour modifier le comportement des voyants. Cela peut se faire directement via le BIOS, le système d'exploitation et les pilotes, les combinaisons de touches configurées, etc.

Les ordinateurs portables disposent parfois d'un interrupteur (radio killswitch), qu'il soit physique ou logique (registre mémoire). Le fait d'avoir une touche avec une icône Wi-Fi ou Bluetooth ne suffit pas pour affirmer que le Wi-Fi est géré de manière matérielle. Un ensemble d'astuces est maintenu, par exemple, selon le modèle de cartes sur le site du projet RFSwitch (cf. section Documentation).

En fonction des pilotes utilisés et des systèmes d'exploitation, les diodes ne clignotent pas toujours comme attendu. Plusieurs discussions sur les forums confirment ces comportements inattendus (exemple sous Ubuntu Gutsy avec les pilotes ipw3945 et iwlwifi pour certaines cartes Intel).

Le voyant peut ne pas fonctionner malgré des activités de l'interface. Cela peut être dû à un problème système ou à une compromission.

En résumé :

  • l'interface peut être active et connectée malgré l'absence de voyant ;
  • le voyant peut être allumé et l'interface non opérationnelle ;
  • etc.

Il est donc très difficile, de manière générale, de garantir l'état de son interface sans-fil à l'instant t. Dans le monde filaire, débrancher le câble présente bien moins d'ambiguïté.

4.3 Que faut-il en retenir ?

Les voyants sont des indicateurs. Ils ne sont pas liés directement à l'état de la connexion. Ils sont souvent manipulables de manière logicielle. La confiance ne peut donc pas s'appuyer complètement sur eux.

En terme de connexion Wi-Fi, la seule garantie de ne pas établir à son insu de communications reste d'enlever physiquement la carte de son support.

4.4 Documentation


5 Rappel des avis émis

Dans la période du 19 au 26 décembre 2008, le CERTA a émis les avis suivants :

  • CERTA-2008-AVI-609 : Vulnérabilité Sun Solaris
  • CERTA-2008-AVI-610 : Multiples vulnérabilités dans Novell Identity Manager
  • CERTA-2008-AVI-611 : Vulnérabilité dans des produits Sophos
  • CERTA-2008-AVI-612 : Vulnérabilités dans SPIP
  • CERTA-2008-AVI-366-002 : Multiples vulnérabilités dans la machine virtuelle Java de Sun

    (ajout de nouvelles références Red Hat)

  • CERTA-2008-AVI-578-001 : Vulnérabilités de la machine virtuelle Java

    (ajout des références CVE associées)

  • CERTA-2008-AVI-608-001 : Vulnérabilité dans Moodle

    (ajout de la référence CVE et du bulletin de sécurité Debian)


Liste des tableaux

Gestion détaillée du document

26 décembre 2008
version initiale.



Notes

...blinkd1
Cette application ouvre un service accessible sur un port TCP donné à toute adresse IP par défaut. Attention à son usage donc.

CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-29