Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-024

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 12 juin 2009
No CERTA-2009-ACT-024

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-24


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-024

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-024.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-024/

1 Incidents de la semaine

1.1 Traitement des dénis de service

Une remontée récente sur un déni de service auprès du CERTA a permis de constater l'état de détresse des techniciens chargés de gérer le problème. Le principe de ces attaques vise à rendre inaccessible un site ou un serveur, par exemple par saturation de requêtes, bien souvent dans le contexte d'un réseau de machines zombies.

Les contre-mesures sont quant à elles plutôt difficiles à mettre en place puisque la plupart de ces attaques reposent sur des services ou protocoles normaux sur l'Internet. Qui plus est, il est particulièrement difficile de distinguer les flux malfaisants des flux normaux licites. Seuls les fournisseurs d'accès peuvent généralement mettre en place un filtrage efficace. Cette opération est souvent contractuelle et nécessite une préparation.

Il est donc recommandé dans une telle situation :

  • en tout premier lieu, de veiller au recueil et à la conservation de toutes les traces et indices liés à l'incident et susceptibles de servir devant la justice ultérieurement. Les journaux doivent naturellement être activés et protégés (réf. note CERTA-2000-INF-001) ;
  • de procéder à une analyse des journaux afin de bien faire la différence entre un véritable déni de service et un dysfonctionnement du système l'amenant à s'auto saturer.

1.2 Arnaque aux noms de domaine

Cette arnaque n'est pas nouvelle, des plaintes remontent au moins de mars 2009, mais elle touche des organismes français, administrations ou entreprises. Elle utilise des ressorts classiques.

1.2.1 Le scénario

Une société, par exemple ntwifinetworks.com à la date de rédaction de ce document, vous envoie un courriel au ton inquiétant et au sujet du style "Domaine Dispute et Enregistrement". Elle vous indique qu'elle a reçu une demande d'enregistrement semblable à votre nom de domaine avec simplement un suffixe ou un domaine de premier niveau différent. Par exemple, le possesseur de certa.ssi.gouv.fr apprend la demande de prétendu demande d'enregistrements de certa.ssi.gouv.cn, certa.ssi.gouv.com.cn, certa.ssi.gouv.net.cn, certa.ssi.gouv.hk, certa.ssi.gouv.asia. Le courriel stipule que la réponse doit impérativement parvenir rapidement, dans les cinq jours, pour éviter des différends.

Le site de la société précédemment citée arbore les logos des organismes officiels et bien connus de l'Internet et des télécommunications, l'IANA, l'ICANN, l'ITU, l'AFNIC...

1.2.2 L'effet recherché

Le client effrayé sera incité à acheter les noms de domaine mentionnés voire d'autres, pour une centaine de dollars pièce. La menace de typosquattage peut être avancée par les vendeurs pour pousser à la consommation.

1.2.3 Les enseignements et les recommandations

Les ficelles utilisées sont traditionnelles : suggérer une menace et donner un sentiment d'urgence à la réponse qui doit être apportée.

Face aux messages présentant ces caractéristiques, il faut garder la tête froide et se renseigner sur l'émetteur. Ces caractéristiques (élément affectif, menace, urgence) se retrouvent dans les canulars avec, en plus l'incitation à propager largement. La vigilance doit se déclencher sur les mêmes critères.

L'organisme destinataire doit évaluer lui-même les risques liés à la présence de noms de domaine plus ou moins voisins. Ainsi le nom de domaine cert.xx existe pour de nombreux pays sans que cela induise une confusion dans les esprits.

1.3 Des données confidentielles retrouvées sur Internet

1.3.1 Présentation

Une recherche de fichiers au format SQL a permis de mettre en évidence la présence d'une sauvegarde de base de données, contenant des informations ministérielles non publiques, accessibles sur l'Internet. Après analyse, il s'est avéré que ces fichiers appartenaient à un développeur qui avait réalisé des sauvegardes d'un projet sur son espace personnel sans avoir conscience qu'elles étaient publiquement accessibles, ni qu'elles seraient indexées et donc très facilement trouvables.

Le CERTA recommande la plus grande prudence lors de la manipulation de données confidentielles. C'est une bonne pratique de faire régulièrement ce type de recherches sur ses données et sur ses sites, comme cela l'a été présenté lors du dernier bulletin d'actualité (CERTA-2009-ACT-023, « Surveiller son site avec des moteurs de recherche »).

1.3.2 Documentation

Bulletin d'actualité du 05 juin 2009 :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-023.pdf

2 Bulletins Microsoft de Juin

Cette semaine, Microsoft a émis 10 bulletins de sécurité faisant état d'au moins 31 vulnérabilités et deux avis de sécurité. Selon les critères définis par l'éditeur, six bulletins sont critiques, trois importants et un modéré. Les produits suivants sont affectés :

  • toutes les versions maintenues de Microsoft Windows ;
  • toutes les versions maintenues d'Internet Explorer ;
  • Microsoft Internet Information Services 5.0, 5.1, et 6.0 ;
  • toutes les versions maintenues de Microsoft Office Excel ;
  • Microsoft Works 8.5 et 9.0 ;
  • toutes les versions maintenues de Microsoft Office Word.

L'une des mises à jour corrige l'alerte CERTA-2009-ALE-007 qui concernait le composant WebDav d'Internet Information Services. La vulnérabilité de Microsoft DirectShow, actuellement exploitée, n'est pas corrigée dans le lot de mises à jour. Il est urgent pour les personnes n'ayant pas appliqué les solutions de contournement proposées de le faire sans tarder.

Les deux avis de sécurité concernent d'une part, une mise à jour des « kill bits » ActiveX (désactivation des ActiveX vulnérables), et d'autre part une modification du comportement du DNS.

Dans le même temps, Microsoft a également émis les mises à jour manquantes du bulletin de sécurité MS09-017. Pour rappel, l'éditeur n'avait mis à disposition, au mois de mai, que les correctifs concernant PowerPoint sous Windows. Microsoft Office 2004 et 2008 pour Mac, ainsi que Microsoft Works 8.5 et 9.0 et le convertisseur de fichiers Open XML pour Mac, qui étaient également sujets à une ou plusieurs vulnérabilités, ont aujourd'hui des mises à jour disponibles. Il est très important d'effectuer les mises à jour pour ces produits. En effet, la vulnérabilité affectant Office 2004 pour Mac avait fait l'objet d'une alerte car des codes d'exploitation étaient apparus sur l'Internet pour la version PowerPoint de Windows (cf. alerte CERTA-2009-ALE-005 et bulletin CERTA-2009-ACT-020).

Comme à son habitude, Microsoft a également mis quelques informations intéressantes sur son bloc-notes « Security Research & Defense » pour certaines des vulnérabilités, notamment celles concernant Internet Explorer, Windows Search, les convertisseurs de Works et Windows RPC (cf. section documentation).

2.1 Documentation


3 Rappel des avis émis

Dans la période du 05 au 12 juin 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-210 : Vulnérabilité dans Kerberos sous Sun Solaris
  • CERTA-2009-AVI-211 : Multiples vulnérabilités de Apache Tomcat
  • CERTA-2009-AVI-212 : Multiples vulnérabilités dans IBM WebSphere Application Server
  • CERTA-2009-AVI-213 : Vulnérabilité dans Microsoft Active Directory
  • CERTA-2009-AVI-214 : Multiples vulnérabilités dans Microsoft Internet Explorer
  • CERTA-2009-AVI-215 : Vulnérabilités dans Internet Information Services (IIS)
  • CERTA-2009-AVI-216 : Vulnérabilités dans Microsoft Office Excel
  • CERTA-2009-AVI-217 : Vulnérabilités dans le gestionnaire de files d'impression de Microsoft Windows
  • CERTA-2009-AVI-218 : Vulnérabilité dans Microsoft Windows Search
  • CERTA-2009-AVI-219 : Vulnérabilité dans Microsoft Works
  • CERTA-2009-AVI-220 : Vulnérabilités dans le noyau Windows
  • CERTA-2009-AVI-221 : Vulnérabilité de Windows RPC
  • CERTA-2009-AVI-222 : Vulnérabilité de Microsoft Office
  • CERTA-2009-AVI-223 : Multiples vulnérabilités dans Apple Safari
  • CERTA-2009-AVI-224 : Multiples vulnérabilités dans Adobe Reader et Acrobat
  • CERTA-2009-AVI-225 : Vulnérabilité de la bibliothèque libpng
  • CERTA-2009-AVI-226 : Vulnérabilité dans SonicWALL SSL-VPN
  • CERTA-2009-AVI-227 : Vulnérabilité dans le webmail de Kerio MailServer
  • CERTA-2009-AVI-228 : Vulnérabilité dans HP OpenView Network Node Manager
  • CERTA-2009-AVI-229 : Vulnérabilités dans FreeBSD
  • CERTA-2009-AVI-230 : Vulnérabilité dans Sun Solaris

Durant la même période, les deux avis suivants ont été mis à jour :

  • CERTA-2009-AVI-195-001 : Vulnérabilités dans ntpd

    (ajout du bulletin de sécurité FreeBSD)

  • CERTA-2009-AVI-209-001 : Multiples vulnérabilités dans Joomla!

    (ajout des bulletins 20090601 et 20090602)


Liste des tableaux

Gestion détaillée du document

12 juin 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-26