Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-052

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 31 décembre 2010
No CERTA-2010-ACT-052

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-52


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-052

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-052.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-052/

1 Meilleurs voeux !

L'année 2010 s'achève, c'est donc le moment des bilans et des bonnes résolutions.

Et cette année qui se termine a été particulièrement riche dans le domaine de la SSI. Stuxnet, premier code malveillant ciblant spécifiquement des systèmes informatiques industriels, a fait beaucoup parler de lui. Ce programme informatique n'incorporait pas moins de quatre « 0-day », c'est-à-dire quatre codes d'attaques nouveaux ne disposant pas encore de correctif. Sa capacité à infecter des réseaux déconnectés, en se propageant notamment via des clés de stockage USB lui a, sans doute, permis d'accéder à des réseaux sensibles. Malheureusement, ce scénario d'attaque n'est pas nouveau, et ne peut que nous rappeler les événements de 2009, et le célèbre Conficker. L'année 2010 a été marquée par une augmentation du nombre d'avis et d'alertes publiés par le CERTA. Pas moins de 639 avis et 21 alertes ont ainsi été diffusés. Les attaques exploitant des vulnérabilités présentes dans les formats bureautiques ont encore eu beaucoup de succès. Le CERTA a pu constater dans les incidents qu'il est amené à traiter la forte augmentation d'attaques par le biais de fichiers PDF plus ou moins spécialement conçus pour son destinataire. Aussi, en cette fin d'année, il ne faut pas relâcher sa vigilance lors de l'ouverture de certains courriels tels les traditionnelles cartes de vœux. D'un point de vue plus organisationnel, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), dont le CERTA fait partie, a continué sa croissance. Une nouvelle ouverture et des propositions de services à destination des « OIV » (Opérateurs d'Importance Vitale) sont ainsi en train de voir le jour. Le CERTA rappelle également que des postes sont toujours à pourvoir au sein de l'équipe et plus largement au sein de l'ANSSI. Les offres d'emploi sont disponibles à l'adresse suivante : http://www.ssi.gouv.fr/site_rubrique27.html.

Le bulletin d'actualité est, pour le CERTA, le moyen de partager sa vision et son expérience en matière de traitement d'incident. Les retours sur cette production sont toujours bénéfiques. N'hésitez donc pas à nous faire part de vos remarques.

Il ne nous reste désormais plus qu'à vous souhaiter une bonne fin d'année 2010 et une bonne année 2011 et à vous donner rendez-vous l'année prochaine pour continuer ensemble l'effort global de sécurisation de nos systèmes d'information. Très bonne et heureuse année à toutes et à tous !

2 Incident de la semaine

Publicité malveillante sur un site légitime

Cette semaine, le CERTA a été alerté de la compromission de plusieurs machines. Cette compromission s'est manifestée après la mise à jour de la base de signatures de la solution antivirale installée sur les postes de travail.

Après analyse du fichier malveillant, il apparaît que la charge utile téléchargée par ce dernier n'est autre qu'un BHO (Browser Helper Object) ayant pour objectif d'insérer des publicités lors de la navigation de l'utilisateur.

Lors de l'inspection de la machine et de son système de fichiers, il est apparu que le fichier malveillant avait été installé grâce à l'exploitation d'une vulnérabilité dans la machine virtuelle Java qui n'était pas à jour. Cette exploitation s'est faite par le biais d'une publicité malveillante diffusée sur des sites légitimes.

Le CERTA profite de cet incident pour rappeler deux bonnes pratiques :

  • il est important de déployer les mises à jour des applicatifs installés sur un poste de travail au plus tôt. Cette rapidité de validation de mise à jour et d'installer est d'autant plus importante si l'applicatif est présent sur l'ensemble du parc ;
  • les publicités sont souvent diffusées par des prestataires externes au site visité. Même si le site visité est considéré de confiance, il est nécessaire de limiter les interactions vers les autres sites pointés, par exemple, par un bandeau publicitaire. Des modules additionnels au navigateur peuvent aider à la limitation de ces interactions.

3 Une base publique de clés privées SSL

Le 19 décembre 2010, un groupe s'intéressant aux équipements embarqués a rendu public une base de données de plus de 2000 clés privées SSL. Il s'agit des clés privées intégrées dans différents microgiciels installés principalement dans des équipements à destination du grand public du type routeur ou point d'accès WiFi. Ces clés sont principalement utilisées par le serveur Web intégré donnant accès à l'interface d'administration de l'équipement, et permettent donc une connexion sécurisée à ce serveur.

Or, comme l'indique le groupe en question, ces clés sont contenues dans les microgiciels des équipements, le plus souvent sans qu'il soit proposé à l'administrateur d'en installer de nouvelles lors de la première mise en route de l'appareil.

Les clés ont été obtenues pour la plupart à partir des microgiciels du projet à source ouverte DD-WRT. En connaissant par exemple la version précise de ce microgiciel, il est facile de trouver la clé privée utilisée par cette version dans la base de données. Il est également possible pour un attaquant d'obtenir la clé publique fournie par le certificat du serveur Web, ou en interceptant une connexion chiffrée à l'interface d'administration. Il pourra alors vérifier si la clé privée associée est connue. Si c'est le cas, il pourra alors déchiffrer la communication, et obtenir par exemple les identifiant d'accès à l'interface.

Ce type d'attaque n'est pas nouveau. Elle repose sur le principe qu'il est possible à une tierce personne d'avoir accès aux paramètres privés. L'outil récemment rendu public permet en revanche de faciliter cette recherche de la clé privée dans des cas précis.

Pour éviter de s'exposer à cette attaque, les fabricants devraient installer dans chaque équipement un certificat différent, ou demander à l'administrateur d'en générer un lui-même et qui sera propre à cet équipement.


4 Rappel des avis émis

Dans la période du 24 au 30 décembre 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-631 : Vulnérabilité dans HP StorageWorks Modular Smart Array
  • CERTA-2010-AVI-632 : Vulnérabilité dans HP Insight Diagnostics Online Edition
  • CERTA-2010-AVI-633 : Vulnérabilité dans HP DDMI
  • CERTA-2010-AVI-634 : Vulnérabilité dans Pidgin
  • CERTA-2010-AVI-635 : Vulnérabilités dans Django
  • CERTA-2010-AVI-636 : Vulnérabilité dans IBM WebSphere Registry and Repository
  • CERTA-2010-AVI-637 : Vulnérabilité dans IBM Tivoli Access Manager for e-business

Durant la même période, l'avis suivant a été mis à jour :

  • CERTA-2010-AVI-585-001 : Vulnérabilités dans les produits Mozilla (ajout des références aux bulletins Fedora)


Liste des tableaux

Gestion détaillée du document

31 décembre 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-28