Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-025

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 25 juin 2010
No CERTA-2010-ACT-025

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-25


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-025

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-025.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-025/

1 Impression dans les nuages

Depuis quelques mois, plusieurs solutions innovantes dans le monde de l'impression ont fait leurs apparitions : Google Cloud Print, HP ePrint...Que penser de ces nouvelles offres ?

1.1 Les solutions

Sur le papier, ces nouvelles solutions d'impression sont prometteuses. L'offre de HP propose d'associer à votre imprimante une adresse de messagerie unique. Ainsi, il devient possible d'imprimer depuis n'importe quel système, n'importe où, en utilisant simplement cette adresse de messagerie. Lors de l'impression, les données sont traitées par un centre de calcul et de mise en forme localisé chez HP. Votre imprimante, obligatoirement connectée à Internet, va « recevoir » le document à imprimer, et faire son travail. L'offre de Google est assez similaire à celle de HP, et propose de lancer des impressions qui vont transiter par le « nuage » Google. Ainsi, tout équipement se voit offrir des capacités d'impression : PDA, téléphone portable, tablet...et cela sans avoir à réaliser la fastidieuse opération d'installation de pilote d'impression, le nuage se chargeant de la mise en forme.

1.2 Et la sécurité ?

C'est bien évidemment du coté de la sécurité que les problèmes surgissent...Pour ces deux solutions, les données vont transiter via un environnement non maîtrisé, le nuage...Dans quel pays, par où passent donc nos données ? Quelle est la politique de rétention, d'archivage, d'interception ? Dans le cas de HP ePrint, la confidentialité du transport de l'impression se pose aussi, car l'envoi du mail entre l'émetteur et le nuage se fait en clair, donc est sujet à interception sur l'Internet.

Autre point particulièrement critique, votre imprimante, pour pouvoir fonctionner, se doit donc d'avoir un accès sur l'Internet. Comment la sécurité de cet équipement sera-t-elle assurée ? Est-il bien raisonnable d'offrir un accès non maîtrisé à un périphérique aussi sensible de votre réseau, l'imprimante, qui de part sa nature, voit potentiellement passer des documents plutôt sensibles ?

Enfin, à titre anecdotique, peut-être devrions-nous nous préparer au SPIP, le Spam Over Internet Printing ?

2 HTTPS partout ?

Récemment l'EFF (Electronic Frontier Foundation) a publié sur son site Internet un greffon pour le navigateur Mozilla Firefox appelé HTTPS Everywhere. Le nom alléchant se doit toutefois d'être nuancé au regard du fonctionnement de ce greffon.

En effet, l'utilisation HTTPS Everywhere n'est pas la promesse d'une navigation chiffrée permanente sur l'Internet. Ce module a été créé afin de basculer automatiquement sur le protocole sécurisé lorsque ce dernier est proposé par les sites visités et si ces sites ont été référencés dans le plugin.

En effet, mis à part la vingtaine de sites déjà intégrés comme Google, PayPal, Twitter, Facebook ou Mozilla par exemple, il est possible, via la création d'un fichier XML contenant des expressions régulières en JavaScript, d'ajouter le site de son choix si une version HTTPS existe. Ces fichiers devront ensuite être stockés dans le répertoire HHTPSEverywhereUserRules situé dans le dossier du profil Firefox.

Ce greffon est utile pour automatiser la bascule de la navigation en HTTPS partout où cela est offert et après l'ajout de règles conditionnant ce changement de protocole.

Le CERTA rappelle également que l'utilisation d'extensions pour navigateur doit s'accompagner d'un suivi et d'une application rigoureuse des mises à jour.

3 Mise à jour d'Opera

Opera Software a publié une mise à jour de son navigateur pour Windows. Dans le descriptif de la version 10.54 d'Opera, plusieurs vulnérabilités sont mentionnées, mais seules deux sont décrites :

  • la première évoque la possibilité d'exploiter, via le navigateur Opera, la vulnérabilité décrite dans l'avis CERTA-2010-AVI-244. Cette faille permet théoriquement l'élévation de privilèges, mais son exploitation au travers du navigateur se traduit par une exécution de code arbitraire à distance. Cela signifie que les utilisateurs ayant mis à jour leur système Windows mais pas Opera ne sont a priori pas vulnérables ;
  • la seconde concerne les URI. Ceux-ci sont capables de lancer des scripts d'un site qui peuvent effectuer des opérations sur les pages internes au site. Le problème relevé est que la détection du site ne se fait pas correctement. Par conséquent, il est possible de lancer des scripts qui interagissent avec d'autres sites.

Il reste trois vulnérabilités non-décrites par l'éditeur, et pourtant corrigées dans la version 10.54 d'Opera pour Windows et Mac, et dans la version 10.11 pour Linux et FreeBSD. Une de ces vulnérabilités est annoncée comme extrêmement sévère.

L'avis du CERTA (CERTA-2010-AVI-274) sera mis à jour lorsque davantage de détails seront transmis. Il reste toutefois conseillé d'appliquer dès que possible cette mise-à-jour du navigateur.

Documentation

4 Firefox 3.6.4

Cette semaine, Mozilla a sorti une mise à jour pour son navigateur Firefox. Celle-ci corrige plusieurs vulnérabilités permettant notamment l'exécution de code arbitraire à distance. Il est recommandé d'appliquer cette mise à jour dès que possible.

Mozilla a également annoncé une nouvelle fonctionnalité intéressante pour son navigateur. Celle-ci exécute maintenant certains modules complémentaires dans un processus séparé. Pour le moment, seuls les plugins Flash, Silverlight et Quicktime sont concernés et exécutés dans un processus nommé plugin-container.exe. Ainsi, si l'un de ceux-ci subit un arrêt inopiné, le navigateur n'est pas concerné et il suffit de recharger la page pour relancer le module en cause.

Seules les versions Windows et GNU/Linux du navigateur sont concernées par cette nouvelle fonctionnalité, qui devrait également être présente sous Mac OS avec la version 4 de Firefox.


5 Rappel des avis émis

Dans la période du 18 au 24 juin 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-272 : Vulnérabilité dans SAP J2EE
  • CERTA-2010-AVI-273 : Vulnérabilité dans Novell Administration Console
  • CERTA-2010-AVI-274 : Vulnérabilités dans Opera
  • CERTA-2010-AVI-275 : Vulnérabilités dans CUPS
  • CERTA-2010-AVI-276 : Multiples vulnérabilités dans IBM Java
  • CERTA-2010-AVI-277 : Vulnérabilité dans pmount
  • CERTA-2010-AVI-278 : Vulnérabilités dans Moodle
  • CERTA-2010-AVI-279 : Vulnérabilité dans IBM WebSphere ILOG JRules
  • CERTA-2010-AVI-280 : Multiples vulnérabilités dans Apple iOS
  • CERTA-2010-AVI-281 : Vulnérabilité dans LibTIFF
  • CERTA-2010-AVI-282 : Vulnérabilités dans Mozilla Firefox
  • CERTA-2010-AVI-283 : Vulnérabilités dans Mozilla Thunderbird
  • CERTA-2010-AVI-284 : Multiples vulnérabilités dans Tomcat sous HP-UX
  • CERTA-2010-AVI-285 : Vulnérabilité dans F-Secure Policy Manager
  • CERTA-2010-AVI-286 : Vulnérabilités dans InterScan Web Security Virtual Appliance
  • CERTA-2010-AVI-287 : Vulnérabilité dans HP Openview


Liste des tableaux

Gestion détaillée du document

25 juin 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23