Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-047

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 20 novembre 2009
No CERTA-2009-ACT-047

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-47


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-047

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-047.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-047/

1 Incident de la semaine

Le contrat d'hébergement ralentit la résolution d'un incident

Cette semaine le CERTA à traité le cas d'un serveur de l'administration ayant subi une intrusion. Afin d'effectuer une première analyse, le CERTA a demandé à la victime les journaux d'événement de la machine. Malheureusement, la victime s'est aperçue que les clauses du contrat d'hébergement souscrit avec le prestataire ne prévoient pas la communication au client des journaux de connexion au site web en cas de problème. Le CERTA n'a donc pas été en mesure d'analyser les journaux et donc d'identifier les causes de l'intrusion, ce qui ralentit le retour à la normale.

Le CERTA rappelle qu'il est crucial de prévoir les mesures permettant la résolution des incidents informatiques dans les contrats d'hébergement. Les clauses du contrat doivent prévoir différentes situation comme :

  • l'accès inconditionnel aux journaux d'évènements ;
  • la désignation d'une équipe technique d'intervention ;
  • l'accès à la machine physique si un copie de disque doit être effectué ;
  • le respect de la PSSI ...

2 Vulnérabilité dans Windows 7 et Windows Server 2008 R2

Une vulnérabilité dans Windows 7 et Windows Server 2008 R2 a été récemment rendue publique. Le CERTA a donc publié une nouvelle alerte afin d'avertir les utilisateurs de ces deux systèmes d'exploitation des risques résultant de cette faille. Il est en effet possible pour un individu malintentionné de provoquer un déni de service à distance par le biais du protocole SMB.

Dans l'attente d'un correctif officiel, le CERTA rappelle l'impérative nécessité de filtrer l'utilisation des ports TCP/139 et TCP/445 ou de les bloquer complètement s'ils sont inutiles. De telles mesures peuvent nuire au fonctionnement de certains services ou applications comme le partage de fichiers et d'imprimantes ou le système de fichiers Distributed File System (DFS).

Le CERTA rappelle que les ports TCP/139 et TCP/445 ne doivent en aucun cas être ouverts sur l'Internet et qu'un filtrage sur les équipements périphériques du système d'information doit être mis en place.

4.3 Documentation

3 Invitations en nombre limité et malveillance

Lors du lancement commercial d'une nouvelle application sur le Web, certains éditeurs utilisent un système d'invitations pour permettre à un groupe réduit d'utilisateurs d'accéder à leur dernière création. Outre les retours d'expérience des utilisateurs ayant été invités, ces invitations présentent, pour l'éditeur, l'avantage de créer un phénomène d'attente auprès du grand public et de créer l'événement.

Le problème étant que lorsqu'un utilisateur demande une invitation, ou se fait inviter par un autre ayant à sa disposition des invitations à distribuer, l'attente peut parfois durer plusieurs jours. Et c'est lors de cette période d'attente que l'utilisateur est particulièrement vulnérable aux attaques informatiques usurpant l'identité de l'éditeur en question.

Il existe aujourd'hui des logiciels qui font croire à l'utilisateur qu'il aura accès à une invitation, alors qu'ils installent un cheval de Troie sur le système. Il existe également des attaques de type phishing, l'agresseur se faisant passer pour la société émettrice de l'invitation, afin de récupérer des mots de passe de messagerie, par exemple.

Le CERTA recommande la plus grande vigilance face à ces offres d'invitation. C'est-à-dire de s'assurer que l'URL du site dont émane l'invitation correspond bien à l'éditeur officiel de l'application.

4 Routeurs grand public et identification

4.1 Les faits

La plupart des routeurs dits « grand public » sont administrables et configurables via une interface web. Celle-ci permet généralement de configurer, entre autre, les paramètres réseau des interfaces internes : Wi-Fi ou filaire, les fonctionnalités de redirections de port (NAT/PAT) ou de filtrage. Bien entendu, tous ces paramètres influent sur le niveau de sécurité proposé par le routeur. L'authentification pour accéder à l'interface d'administration de ces équipements est donc quasi systématique.

Une première recommandation, sur laquelle l'utilisateur est pleinement acteur, est de changer d'emblai le mot de passe fixé par défaut, souvent d'une bien piètre robustesse et largement documenté sur l'Internet. Pour aider dans le choix d'un bon mot de passe, il est possible de s'appuyer sur la note d'information CERTA-2005-INF-005.

Cependant, l'utilisateur peut être contraint par les limitations techniques de l'équipement. Ainsi, le CERTA a rencontré récemment un routeur sur lequel l'interface limitait grandement le jeu de caractères utilisables pour le mot de passe. En effet, on ne pouvait le construite qu'à partir de caractères alphanumériques ! Ceci est très clairement insuffisant et se justifie techniquement assez mal. La plupart des équipements de ce type sont généralement capables de supporter l'utilisation de la table IA5 soit 256 caractères au moins dans le but d'offrir un bon rendu des pages de l'interface et ce dans plusieurs langues. On trouve normalement déjà suffisamment de caractères dans cet ensemble pour construire des mots de passe robustes. Il est donc pour le moins incongru qu'une telle limitation existe.

4.2 Les recommandations

Autant que faire ce peut, il convient d'éviter d'utiliser des équipements présentant de telles limitations. Si toutefois cela était impossible, une solution envisageable est de rallonger la taille du mot de passe pour compenser le faible nombre de caractères disponibles. On gardera ainsi un nombre de possibilités suffisant améliorant la robustesse du mot de passe.

4.3 Documentation

5 Wi-Fi, PDA et smartphones

Cette semaine plusieurs articles ont parlé de possibles attaques en man in the middle sur les téléphones communicants. Voilà l'occasion pour le CERTA de rappeler que ces appareils sont des ordinateurs à part entière, exposés aux mêmes risques techniques, et qu'il est nécessaire que leurs utilisateurs en aient conscience afin d'avoir au moins les mêmes comportements sécuritaires. En effets, la majorité des attaques décrites ne sont pas propres aux terminaux mobiles, mais elles sont simplifiées par la différence de comportement des utilisateurs de ces terminaux.

Le CERTA recommande donc aux possesseurs de terminaux mobiles la plus grande prudence. Il convient par exemple de ne pas autoriser les connexions automatiques aux points d'accès et d'appliquer les bonnes pratiques générales. La note de recommandation CERTA-2002-REC-002 sur la sécurité des réseaux sans fil peut aider à la mise en place de bonnes pratiques.

Documentation


6 Rappel des avis émis

Dans la période du 13 au 19 novembre 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-498 : Vulnérabilités dans Wordpress
  • CERTA-2009-AVI-499 : Vulnérabilité dans Netgear WNDAP330
  • CERTA-2009-AVI-500 : Vulnérabilité dans Google Chrome
  • CERTA-2009-AVI-501 : Vulnérabilité dans IBM WebSphere
  • CERTA-2009-AVI-502 : Vulnérabilité dans XOOPS
  • CERTA-2009-AVI-503 : Vulnérabilité dans libexif
  • CERTA-2009-AVI-504 : Vulnérabilité dans Bugzilla
  • CERTA-2009-AVI-505 : Vulnérabilité dans HP Discovery & Dependency Mapping Inventory
  • CERTA-2009-AVI-506 : Vulnérabilité dans HP OpenView Network Node Manager

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-420-001 : Multiples vulnérabilités dans Samba (ajout de la référence au bulletin Sun Solaris)


Liste des tableaux

Gestion détaillée du document

20 novembre 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-09-19