Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-003

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 21 janvier 2011
No CERTA-2011-ACT-003

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-03


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-003

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-003.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-003/

1 Une version officieuse du SP1 de Windows 7 disponible ?

Un an environ après la sortie de Microsoft Windows 7, de nombreux utilisateurs attendent la sortie du Service Pack 1 (SP1) pour ce système, qui apportera des correctifs améliorant le système de virtualisation, certains composants graphiques, la stabilité et la sécurité du système, ainsi que de nouvelles fonctionnalités.

La version « Release Candidate » de ce Service Pack est déjà disponible depuis le mois d'octobre. Mais selon l'équipe russe de Microsoft travaillant sur les fonctionnalités de virtualisation, la version « Release To Manufacturing », celle qui sera gravée sur CDROM en usine pour commercialisation, est d'ores et déjà prête. Il ne s'agit en revanche pas encore de la version qui sera distribuée au public. La mise à disposition de ce Service Pack au grand public est annoncée sur le bloc-notes de l'équipe technique de Microsoft pour le premier trimestre 2011. Toutefois la version RTM est actuellement distribuée sur l'Internet.

Bien qu'il paraît raisonnable de penser qu'aucune modification ne sera apportée à la version RTM avant sa mise à disposition auprès du public, le CERTA déconseille fortement l'installation de mises à jour lorsque celles-ci ne sont pas directement et officiellement fournies par l'éditeur. Il n'y a en effet aucun moyen de s'assurer de leur innocuité.

3.3 Documentation

2 Vulnérabilité critique dans SPIP

Le CERTA a publié cette semaine un avis (CERTA-2011-AVI-018) concernant une faille critique découverte dans SPIP. Cette vulnérabilité affecte les versions 2.0.x et 2.1.x du logiciel et permet de détruire des fichiers du site, ainsi que la base de données. Il est à noter que des utilisateurs de ce gestionnaire de contenu se sont plaints de la destruction de leurs sites, ce qui laisse supposer que cette faille est déjà exploitée par des personnes malveillantes.

Les développeurs de SPIP ont publié la version 2.1.8 qui corrige cette vulnérabilité, mais ils ont également mis à jour l'écran de sécurité en version 0.9.7 afin de prendre en compte cette faille. Le CERTA recommande le déploiement de ces correctifs.

Documentation

3 Imprimantes et copieurs multifonctions : pensez à la sécurité

La reprographie et l'informatique ont fini par converger. Un appareil d'impression professionnel actuel offre de multiples fonctions : impression en réseau, réimpression, envoi par courriel, gestion de comptes, de quotas, administration à distance et/ou centralisée, télémaintenance, numérisation, photocopie... Certains appreils permettent également d'émettre et de recevoir des télécopies, pourvu qu'ils soient reliés à une ligne téléphonique.

Cette richesse fonctionnelle repose sur une infrastructure matérielle qui fait de l'appareil un ordinateur à part entière. Un appareil d'impression ou de reprographie doit donc être pris en compte dans la politique de sécurité du système d'information (PSSI).

3.1 Exemples de risques

Les risques que font courir ces appareils perfectionnés sont de plusieurs ordres. Ils proviennent des fonctions elle-mêmes, des architectures, du cycle de vie et des matériels eux-mêmes. Ce découpage est simplifié, les causes se combinant dans bien des cas.

Quelques fonctions illustrent parfaitement l'augmentation des risques qui accompagne l'enrichissement des fonctionnalités.

La commande d'impression ou d'envoi de télécopie à partir d'un poste client est rarement authentifiée. Cette faiblesse permet une forme particulière d'injection de code indirecte, appelée parfois cross site printing. Cette injection est décrite dans un bulletin d'actualité du CERTA (voir section Documentation).

L'allocation de quotas ou la personnalisation du droit d'imprimer en couleur n'a de sens que si une authentification robuste est disponible.

La fonction de réimpression, activée sans garde-fou comme la création de comptes et l'utilisation de codes personnels, permet à quiconque d'imprimer le document d'autres utilisateurs. Cett fonction induit la présence sur l'appareil d'une mémoire non volatile, un disque en général, et un non-effacement des fichiers imprimés ou numérisés. Ce disque est donc une proie pour celui qui veut copier des informations.

En particulier, l'intervention sur l'appreil d'un technicien extérieur peut être l'occasion d'une copie des fichiers restants. La fin de vie de l'appareil ou du disque, gérée sans précaution, pose le même risque de divulgation.

Les possibilités d'impression en ligne sont courantes et permettent de mutualiser les appareils. Ce partage induit une communication indirecte entre les postes de travail client, donc de propagation d'infection ou de contournement de cloisonnement, si la politique d'impression n'a pas pris en considération ce cloisonnement.

Les appareils qui remplissent à la fois les fonctions d'imprimante partagée et de télécopieur disposent d'une double connexion : le réseau de données de l'administration (ou de l'entreprise) et le réseau téléphonique public. Ce dernier fait rarement l'objet de filtrage, en particulier pour les appels entrants en fonction de l'appelant. Les appareils sont des passerelles qui contournent les protections périmétriques du réseau de données.

Certains appareils permettent la télémaintenance par liaison téléphonique. Lorsque l'appareil est utilisé comme télécopieurs, il est branché en permanence sur le réseau téléphonique. L'organisme utilisateur ne peut donc contrôler les interventions du mainteneur par activation/désactivation de la liaison. La liaison est donc constamment disponible, en particulier pour des attaquants. Trop souvent, le mot de passe est faible ou est public (mot de passe usine disponible dans la documentation en ligne). Circonstance aggravante, la télémaintenance donne trop souvent des droits étendus sur l'appareil. Un attaquant qui utilise cette porte d'entrée peut sévir sans trop d'entrave.

Les liaisons non filaires avec ces appareils induisent des risques supplémentaires (Bluetooth, WiFi, etc.).

Des appareils bavards remontent au fabriquant les niveaux des consommables ou les compteurs (nombre de copies). Ces informations peuvent, dans des mains indésirables, faciliter des opérations d'intelligence économique.

Les appareils qui offrent des possibilités d'administration à distance embarquent des serveurs. Ceux-ci sont moins facilement mis à jour que des serveurs classiques, soit par conception, soit parce que ces appareils sont oubliés. Comme tous les logiciels, ces serveurs présentent des vulnérabilités, exploitables pour diverses malversations. Certaines sont exploitables pour prendre le contrôle complet du système d'impression. Des exemples sont donnés dans la section documentation.

3.2 Recommandations

Ce tableau peu reluisant sur le plan de la sécurité ne doit pas décourager. Le point le plus important est de considérer les appareils d'impression et de numérisation comme des ordinateurs à part entière et de les intégrer à la politique de sécurité.

Des recommandations publiques, liées à la politique d'impression ou à la sécurité pour ces appareils, sont listées dans la section documentation.

3.3 Documentation


4 Rappel des avis émis

Dans la période du 14 au 20 janvier 2011, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-013 : Vulnérabilité dans sudo
  • CERTA-2011-AVI-014 : Vulnérabilité dans BlackBerry Enterprise Server
  • CERTA-2011-AVI-015 : Vulnérabilités dans HP OpenView Network Node Manager
  • CERTA-2011-AVI-016 : Multiples vulnérabilités dans Google Chrome
  • CERTA-2011-AVI-017 : Vulnérabilités dans SAP
  • CERTA-2011-AVI-018 : Vulnérabilité dans SPIP
  • CERTA-2011-AVI-019 : Vulnérabilité dans HP LoadRunner
  • CERTA-2011-AVI-020 : Vulnérabilité dans IBM Websphere MQ
  • CERTA-2011-AVI-021 : Vulnérabilités dans IBM WebSphere Application Server
  • CERTA-2011-AVI-022 : Multiples vulnérabilités dans les produits Oracle
  • CERTA-2011-AVI-023 : Vulnérabilité dans Asterisk
  • CERTA-2011-AVI-024 : Vulnérabilité dans Citrix Provisionning Services
  • CERTA-2011-AVI-025 : Vulnérabilités dans Cisco ASA
  • CERTA-2011-AVI-026 : Vulnérabilités dans Cisco IOS

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-420-001 : Multiples vulnérabilités dans Mozilla Firefox et Mozilla SeaMonkey (Ajout de la référence au bulletin de sécurité Oracle Solaris)
  • CERTA-2010-AVI-508-001 : Multiples vulnérabilités dans les produits Mozilla (Ajout des CVE CVE-2010-3175, CVE-2010-3176 et de la référence au bulletin de sécurité Oracle Solaris)
  • CERTA-2010-AVI-521-001 : Multiples vulnérabilités dans des produits Mozilla (ajout de la référence au bulletin de sécurité Oracle Solaris)


Liste des tableaux

Gestion détaillée du document

21 janvier 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-28