Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-032

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 07 août 2009
No CERTA-2009-ACT-032

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-32


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-032

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-032.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-032/

1 Incidents de la semaine

1.1 Un déni de service révélateur

Cette semaine le CERTA a reçu une demande d'assistance pour faire face à une attaque en déni de service. Le serveur Web visé ne contenait qu'une page de taille réduite et la bande passante qui lui était allouée était donc limitée. La semaine dernière, le nombre de connexions entrantes a soudainement augmenté, provoquant un engorgement de la connexion. Les adresses à l'origine des requêtes étant réparties dans le monde, cela menait tout d'abord à penser à une attaque en déni de service par un botnet. La lecture des journaux a montré immédiatement que les requêtes GET entrantes concernaient des pages extérieures et obtenaient le code retour 200 (OK). L'analyse fût simple, le serveur présentait un défaut de configuration, il était utilisé en tant que serveur mandataire depuis l'extérieur. La solution a consisté à modifier la configuration. Le serveur perdant son intérêt, les requêtes se sont arrêtées d'elles-mêmes.

Le CERTA recommande la lecture régulière des journaux. Si le débit n'était pas venu à manquer, le défaut de configuration n'aurait pas été détecté et la machine aurait pu être utilisée pour mener des attaques vers d'autres cibles.

1.2 La porte d'entrée n'est pas toujours celle attendue

Le CERTA a traité cette semaine la compromission d'un serveur Web. Des pages malveillantes ont été insérées et des pages légitimes modifiées. L'hébergeur a fourni au responsable du site un extrait des journaux applicatifs correspondant à la date supposée de l'incident.

L'analyse effectuée par le CERTA n'a mis en évidence aucune trace particulière permettant d'expliquer le problème. Des journaux complémentaires ont été demandés, dont ceux du système d'exploitation du serveur. Il est clairement apparu dans le journal auth.log que des accès frauduleux à un compte FTP donné ont été menés depuis différentes adresses IP dans le monde. Les traces obtenues ont montré que ces accès remontaient à une semaine au moins.

Cet incident permet de rappeler qu'il est important de ne pas présumer des méthodes de compromission avant d'avoir obtenu quelques données tangibles. En particulier, il ne faut pas restreindre son analyse aux quelques heures ou jours précédents la découverte de l'incident.

Dans le cas présent, des bonnes pratiques auraient permis d'éviter que le problème se produise :

  • restreindre l'accès au service FTP ;
  • renforcer la politique de mots de passe de chaque utilisateur FTP ;
  • sensibiliser les utilisateurs FTP à ne pas se connecter depuis une machine qui n'est pas de confiance ou au travers d'un réseau Wi-Fi public.

Par ailleurs, la consultation régulière des journaux permet d'identifier des signes éventuels de compromission. Attendre un dysfonctionnement ou une marque manifeste de défiguration ne peut être suffisant et satisfaisant.

2 Retour sur l'alerte CERTA-2009-ALE-014

Aujourd'hui même le CERTA publie une alerte concernant le logiciel de messagerie Thunderbird : CERTA-2009-ALE-014. En effet, même si la fondation Mozilla a publié des correctifs de sécurité pour son navigateur Internet Firefox, Thunderbird reste, pour sa part, dans le numéro de version 2.0.0.22. En y regardant de plus près, il apparaît d'ailleurs que cette version ne met pas en œuvre la totalité des correctifs publiés depuis le début de l'année.

Voici les vulnérabilités non encore corrigées dans la version actuelle de Mozilla Thunderbird :

MFSA2009-18
: cette vulnérabilité n'a pas été corrigée dans Thunderbird car celle-ci nécessite l'activation de l'interprétation du JavaScript, option désactivée par défaut
MFSA2009-19
: cette vulnérabilité n'a pas été corrigée dans Thunderbird car celle-ci nécessite l'activation de l'interprétation du JavaScript, option désactivée par défaut.
MFSA2009-31
: cette vulnérabilité est présente au niveau de la vérification des scripts XUL. Cette vulnérabilité n'est pas corrigée dans Thunderbird 2.0.0.22.
MFSA2009-34
: ce bulletin de sécurité traite de plusieurs défaillances des produits Mozilla provoquant une corruption mémoire pouvant être exploitée dans certains cas. Cette vulnérabilité n'est pas corrigée dans Thunderbird 2.0.0.22.
MFSA2009-42 et MFSA2009-43
: ces deux bulletins de sécurité traitent de différentes vulnérabilité dans l'interprétation des certificats SSL. Ces vulnérabilités ne sont pas corrigées dans Thunderbird 2.0.0.22.

Cette latence dans la mise à jour de Thunderbird est relativement régulière. Même si les vulnérabilités décrites touchent le navigateur de manière plus importante, le client de messagerie reste un vecteur d'attaque assez sensible et il convient de bien mesurer le risque de telles failles.

Dans l'attente des correctifs, le CERTA encourage les utilisateurs à se tourner vers un client de messagerie alternatif et mis à jour.

Documentation

3 Claviers Apple de dernière génération

La société Apple livre depuis quelque temps avec ses ordinateurs de bureau (iMac ou Mac Pro) des claviers munis de microgiciels (Firmware) enrichissant les fonctionnalités de ces derniers. Ces firmwares sont présents dans les claviers filaires ou sans-fil.

Or, des chercheurs ont démontré récemment lors d'une conférence de sécurité qu'il était possible de reprogrammer ce microgiciel à des fins malveillantes.

Ainsi, ils ont présenté une attaque consistant en l'implémentation dans le clavier, et en plus du logiciel d'origine, d'un programme capable d'injecter des frappes clavier supplémentaires à l'insu de l'utilisateur. De ce fait, il leur a été possible également, sous certaines conditions, d'envoyer l'intégralité des frappes clavier vers une machine distante, et ce, de façon totalement invisible pour l'utilisateur.

Le fait d'inclure dans un périphérique de saisie une « intelligence » particulière de type microgiciel peut avoir des conséquences sur la sécurité si un attaquant réussi à modifier ce dernier. Ceci n'est pas forcement une chose triviale à réaliser compte tenu, par exemple, du peu de ressources disponibles dans un tel périphérique. Il n'en reste pas moins que ces manipulations peuvent être très efficaces pour qui voudrait collecter des informations à l'insu de sa victime.

Recommandations :

Les microgiciels des claviers Apple font l'objet de mises à jour ponctuelles par le constructeur, il conviendra donc de bien surveiller qu'il existe, par exemple, une correspondance entre le bulletin de sécurité du constructeur et l'application de la mise à jour par le système. Par ailleurs, afin de limiter les risques, il est recommandé de n'utiliser ce clavier qu'avec la machine avec lequel il a été livré.

4 De l'usage des réseaux sociaux

Les réseaux sociaux répondent à des phénomènes de mode. Chaque année, un nouveau service apparaît et enregistre toujours plus de visites et d'utilisateurs.

Les individus se connectent ainsi et enregistrent leurs données personnelles afin de bénéficier du service. Ce dernier, comme tout service à succès, est relativement pratique afin de motiver les utilisateurs à adhérer.

C'est alors un phénomène à levier : l'utilisateur invite ses contacts à le rejoindre et adhérer au service. C'est lui qui fait la promotion de ce service, aidé autant que possible par des coups publicitaires à grande échelle.

Les sociétés gérant ces réseaux sociaux sont bien souvent des entreprises aux salariés nombreux et aux capitaux importants. Il vient naturellement la question : comment se rémunèrent-ils ?

La réponse est relativement simple : par les profils enregistrés. Selon les services, cette opération peut varier légèrement mais il s'agit souvent de :

  • fournir de la publicité ciblée en fonction des profils ;
  • vendre des informations.

Plus un utilisateur présente d'informations dans son profil, plus la société y trouve son compte.

Cette économie se fait à la discrétion de l'utilisateur qui n'en a, souvent, pas pleinement conscience. Disséminer ces données personnelles sur plusieurs réseaux sociaux ne consiste pas seulement à profiter d'un service séduisant (« gazouiller », retrouver des amis d'enfance, entretenir un réseau de collègues, etc.) mais également à faire profiter à plusieurs sociétés, souvent méconnues, de toutes ces données.

L'utilisateur doit se poser la question dans ce sens : un inconnu l'aborde dans la rue et lui pose toutes les questions concernant ses données personnelles :

  • bonjour, quelle est votre date de naissance ?
  • et vous êtes né dans quelle ville ?
  • vous travaillez dans quelle société ? À quel poste ? Et votre salaire moyen est ?
  • pour vos passe-temps, vous allez régulièrement au cinéma ? Vos films favoris sont ?
  • vous avez une photo de vos amis sur vous ? Je peux la voir ?
  • ...

Les utilisateurs qui multiplient les réseaux sociaux arrivent ainsi à fournir à des inconnus beaucoup plus d'informations sur leur vie privée, leurs envies et leurs motivations que quiconque dans leur entourage proche ne connaît. Certaines rubriques apparaissent également dans les questions « secrètes » utilisées par d'autres sites afin de récupérer un mot de passe oublié. Un profil trop bien rempli peut ainsi diminuer la sécurité d'autres comptes.

Il faut également garder à l'esprit que les deux seules premières informations suffisent très généralement à retrouver le nom de l'individu, comme des études récentes américaines l'ont montré.

Il ne s'agit évidemment pas ici de disserter sur l'usage des réseaux sociaux. Mais, compte-tenu de l'utilisation accrue de ces derniers et du phénomène de masse qui l'entoure, le CERTA invite ses correspondants à sensibiliser leurs utilisateurs sur les différents problèmes que ces usages suscitent.

5 Fin de la branche 2.0.x de WordPress

L'équipe de développement de WordPress avait prévu de maintenir la branche 2.0.x de leur produit jusqu'en 2010. Cette fin de vie a finalement été anticipée au 30 juillet 2009, notamment parce que la prise en compte des modifications de sécurité pour ces versions aurait représenté une charge de travail trop importante, avec de sérieux risques d'instabilité.

Les administrateurs de site fonctionnant avec WordPress 2.0.x sont donc fortement incités à migrer vers des versions plus récentes.

Documentation


6 Rappel des avis émis

Dans la période du 01 au 06 août 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-305 : Vulnérabilité Shockwave Flash pour les produits Adobe
  • CERTA-2009-AVI-306 : Vulnérabilités dans Firefox
  • CERTA-2009-AVI-307 : Vulnérabilité de l'OS iPhone d'Apple
  • CERTA-2009-AVI-308 : Multiples vulnérabilités des cartes mère Intel
  • CERTA-2009-AVI-309 : Multiples vulnérabilités du système d'exploitation Apple MacOS X
  • CERTA-2009-AVI-310 : Vulnérabilité dans SPIP
  • CERTA-2009-AVI-311 : Vulnérabilité dans Sun VirtualBox
  • CERTA-2009-AVI-312 : Multiples vulnérabilités dans Sun Java JDK/JRE
  • CERTA-2009-AVI-313 : Vulnérabilité de la plateforme Java sous Windows


Liste des tableaux

Gestion détaillée du document

07 août 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-20