Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-039

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 01 octobre 2010
No CERTA-2010-ACT-039

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-39


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-039

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-039.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-039/

1 Un correctif pour la vulnérabilité dans ASP.NET

La semaine dernière, le CERTA relayait dans son bulletin d'actualité CERTA-2010-ACT-038 la publication d'un bulletin de sécurité de Microsoft concernant une vulnérabilité qui affecte des applications ASP.NET. Cette vulnérabilité dans le chiffrement des communications client/serveur permet à une personne malveillante de porter atteinte à la confidentialité de certaines données.

Cette semaine, Microsoft a publié une mise à jour hors cycle afin de corriger cette vulnérabilité. Les informations concernant ce correctif sont disponibles dans l'avis CERTA-2010-AVI-458.

Le CERTA rappelle donc l'impérative nécessité d'appliquer dans les meilleurs délais ce correctif si vous utilisez cette technologie afin de la limiter les risques de fuite d'information.

2.4 Documentation

2 Exercice Cyber Storm III : la France s'entraîne avec ses partenaires à faire face à une crise informatique mondiale

Cette semaine, l'ANSSI a participée à l'exercice international organisé par les États-Unis. S'entraîner et se tester sont des actions indispensables à la mise en place d'un plan de gestion de crise SSI cohérent, à sa validation et à son maintien dans le temps. Lors d'un exercice, il convient de limiter les objectifs à tester et de penser à mettre en place des éléments de mesure et des indicateurs permettant d'en qualifier le résultat. Parmi les différents niveaux que l'on peut tester, on retrouve :

2.1 Le niveau technique

Il concerne les applications, les moyens techniques et les personnes. Il peut intégrer, par exemple, un test de pénétration, la vérification que les éléments de surveillance l'enregistrent, que les équipes le détectent et sont capables de le retrouver dans les journaux correspondants (firewall, proxy, ...). Ensuite, il est possible de tester la compréhension de l'exploitation d'une vulnérabilité et la capacité à corriger dans les plus brefs délais.

2.2 Le niveau organisationnel

L'idée est de tester la coordination des équipes et l'efficacité des réactions. Une vulnérabilité fictive peut être annoncée nécessitant une contre-mesure de filtrage qui pourrait avoir un impact métier. La remontée hiérarchique et les communications transverses sont stimulées, l'utilisation de fiches de réaction peut être testée. Une intrusion peut également être simulée pour valider la chaîne juridique (qui sait et peut déposer plainte ?). Il convient aussi de tester les moyens de communication. Les correspondants sont-ils bien identifiés et joignables ? Les annuaires sont-ils à jour ? Et si des moyens de communication de secours sont prévus, sont-ils fonctionnels et sait-on les activer ?

2.3 Le niveau décisionnel

Si le niveau technique permet d'identifier qui a la compétence pour débrancher un réseau, il s'agit ici de savoir qui en a la responsabilité décisionnelle. Le choix entre les risques liés à une compromission et l'importance de la disponibilité est dépendant du métier et de la gravité des incidents. Dès lors, il convient de vérifier que les enjeux stratégiques sont connus. Dans ce type d'exercice, le plus compliqué est souvent la remontée d'informations permettant aux décideurs de comprendre la situation le plus justement possible et de réussir à opposer des arguments permettant une réponse réaliste. L'expérience montre que souvent l'importance des réseaux et de l'Internet au bon fonctionnement métier est ignorée et que les impacts d'une coupure de connexion ne sont pas justement perçues.

Bien sûr tous ces exemples sont limités. Tous les cas imaginés et rencontrés au cours des exercices devraient trouver une réponse dans la PSSI locale, sinon c'est l'occasion de la faire évoluer. Le CERTA recommande de réaliser ce type d'exercice en impliquant les équipes locales dans leur organisation. Elles ont la connaissance du métier et des points faibles, techniques et organisationnels.

2.4 Documentation

3 Mise à jour Adobe Flash Player et McAfee

La dernière mise à jour d'Adobe Flash Player, rendue extrêmement importante du fait de l'exploitation d'une vulnérabilité du lecteur (voir avis CERTA-2010-AVI-447), confronte les utilisateurs à deux problèmes.

Tout d'abord, l'installation de la dernière version du lecteur Flash propose, par défaut, l'installation d'un logiciel tiers, McAfee Security Scan Plus. Ce dernier, qui se présente comme un utilitaire gratuit, a la fâcheuse tendance à considérer les éventuels antivirus installés sur le système comme source potentielle de problèmes. Il propose donc d'acheter une suite logicielle plus complète chez l'éditeur McAfee. Il est donc fortement conseillé de décocher la case de téléchargement du produit McAfee Security Scan Plus.

L'autre problème, plus gênant celui-ci, concerne notamment certains utilisateurs de Mozilla Firefox sous Windows. Le téléchargement de la dernière version d'Adobe Flash Player depuis le site de l'éditeur nécessite de modifier la configuration du navigateur en ajoutant des exceptions (la démarche est expliquée sur le site de l'éditeur). Toutefois, même en suivant à la lettre les explications fournies, le téléchargement ne s'effectue pas toujours correctement. Dans certains cas, un download manager est installé mais ne propose aucun téléchargement, dans d'autres cas, absolument rien ne se passe. Au final, les utilisateurs peuvent être tentés de télécharger le lecteur Flash sur des sites tiers, sans aucune garantie concernant le logiciel réellement téléchargé. Il est important de savoir qu'Adobe Flash Player peut être directement téléchargé sur le site de l'éditeur en suivant l'un des liens ci-dessous :

Documentation :


4 Rappel des avis émis

Dans la période du 24 au 30 septembre 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-441 : Vulnérabilités dans QuickTime
  • CERTA-2010-AVI-456 : Multiples vulnérabilités dans Cisco IOS
  • CERTA-2010-AVI-457 : Multiples vulnérabilités dans les produits VMware
  • CERTA-2010-AVI-458 : Vulnérabilité dans ASP.NET
  • CERTA-2010-AVI-459 : Multiples vulnérabilités dans BIND
  • CERTA-2010-AVI-460 : Vulnérabilité dans le noyau Linux


Liste des tableaux

Gestion détaillée du document

01 octobre 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-20