Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-013

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 01 avril 2011
No CERTA-2011-ACT-013

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-13


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-013

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-013.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-013/

1 Incidents de la semaine

Faux antivirus

Si cette journée, le premier avril, est propice aux plaisanteries, les faux antivirus dépassent le cadre de la blague et sévissent toute l'année.



Cette semaine le CERTA a reçu plusieurs signalements dont le point commun est l'infection de postes de travail par de faux antivirus. La terminologie anglo-saxonne fréquente est fake AV ou rogue AV.

Les modes de propagation sont divers, mais reposent souvent sur la crédulité de l'internaute :

  • sites proposant gratuitement une analyse antivirale du poste ou des antivirus ;
  • invitation de réseaux sociaux piégées ;
  • courriels alarmistes sur l'état du poste et proposant un lien miracle ou une pièce jointe salvatrice...

Pour mieux tromper la victime potentielle, les noms présentés par ces programmes malveillants se rapprochent de ceux d'outils légitimes. Ainsi un MS Removal Tool tente de créer la confusion avec l'outil Microsoft Malicious Software Removal Tool.

La première étape du schéma consiste à inhiber les défenses présentes sur le poste (antivirus réel), à simuler une analyse du poste et à prétendre avoir trouvé des infections. En général, le blocage de l'ordinateur accompagne cette information toujours inquiétante.

La deuxième étape consiste à indiquer que la version gratuite ne permet pas l'éradication et à demander des informations bancaires pour permettre le téléchargement d'une version payante, prétendument capable d'éradiquer les virus présents. La captation des informations bancaires est quasi certaine tandis que la remise en état du poste reste très hypothétique.



Le CERTA recommande donc la plus grande méfiance à l'égard :

  • des sites qui proposent des analyses antivirales de l'ordinateur ;
  • des messages alarmistes sur l'état d'infection du poste, simples canulars (hoax) ou bien courriels avec pièce jointe ou lien malveillants ;
  • des fenêtres surgissantes indiquant une infection, en particulier si l'icône ou la présentation est différente (même légèrement) de celle du produit antiviral présent sur le poste. Parfois la ressemblance est forte. L'utilisateur pourra être systématiquement méfiant.

Pour l'utilisateur, le plus sage face à une alerte de cette nature est d'en référer sans délai à son support informatique ou à son RSSI. L'incident sera traité selon les procédures en vigueur.

Pour le gestionnaire d'un parc, il est primordial, lorsque la gestion de l'antivirus est centralisée, de regarder quotidiennement les journaux, voire en temps quasi-réel pour détecter les arrêts imprévus de l'antivirus installé sur le poste, signes d'une infection possible, et les alertes réelles, de manière à avertir l'utilisateur par un moyen que ce dernier peut reconnaitre comme fiable, un agent de support de proximité par exemple. L'utilisateur saura mieux être circonspect quand une fenêtre surgissante d'alerte virale apparaît et qu'il n'est pas informé par le canal fiable.

Par ailleurs, le téléchargement d'un produit de sécurité comme un antivirus doit se faire depuis le site de l'éditeur ou depuis un miroir officiel, c'est-à-dire mentionné par l'éditeur, et non depuis un site sans rapport avec l'éditeur, voire avec des noms de domaine aux extensions exotiques (.cc, .vu...).

2 Attaque via le User-Agent

La lecture des journaux peut parfois révéler des attaques étranges, basées sur des commandes UNIX stockées dans le champ User-Agent. Pour l'attaquant, la technique est simple : il lui suffit de modifier son propre User-Agent en le remplaçant par des commandes UNIX. Il navigue ensuite sur des sites Web, en limitant son activité au minimum (en général, une seule requête GET suffit). Ces actions sont donc théoriquement enregistrées dans les journaux d'accès du site Web, ce qui revient à réaliser une injection de code indirecte persistante.

Si un administrateur lit ses journaux avec un logiciel vulnérable, sa machine peut exécuter le code stocké dans le champ User-Agent.

Quelques mesures peuvent être mises en place pour se préserver de telles attaques :

  • mettre à jour les logiciels de lecture des journaux ;
  • consulter les journaux depuis des consoles soumises à du filtrage en sortie (pas le droit de se connecter sur l'Internet par exemple) ;
  • utiliser un compte non privilégié.

L'enregistrement du User-Agent reste pertinent car cette information peut être importante, notamment dans le cadre du traitement d'un incident.

3 Campagne d'hameçonnage contre le Ministère du Travail, de l'Emploi et de la Santé

Cette semaine, il a été signalé au CERTA qu'une campagne d'hameçonnage à l'encontre du site www.sante.gouv.fr était en cours. Le Ministère du Travail, de l'Emploi et de la Santé a d'ailleurs réagit rapidement en publiant sur son site un message d'alerte avertissant les visiteurs de l'existence de site usurpant l'original : http://www.sante.gouv.fr/carte-vitale-et-hameconnage-ou-phishing.html.

Sur le site contrefait, de façon très classique, l'aspect général du site légitime a été repris mais on y trouve en plus la présence d'un formulaire invitant les victimes à donner leurs coordonnées bancaires, leur numéro de carte vitale ainsi que leur numéro de carte d'identité.

Le CERTA rappelle donc que d'autres entités que les banques peuvent être la cible de campagnes de phishing. En particulier, les sites de télépaiement de l'administration peuvent être usurpés mais également les sites comme celui de la Caisse des Affaires Familiales ou bien encore celui du Ministère de la Santé.


4 Rappel des avis émis

Dans la période du 25 au 31 mars 2011, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-170 : Vulnérabilité dans SPIP
  • CERTA-2011-AVI-171 : Vulnérabilités dans Google Chrome
  • CERTA-2011-AVI-172 : Vulnérabilité dans Zend Server
  • CERTA-2011-AVI-173 : Vulnérabilité dans IBM Rational
  • CERTA-2011-AVI-174 : Vulnérabilité dans Xerox WorkCentre (SMB)
  • CERTA-2011-AVI-175 : Vulnérabilité dans Xerox WorkCentre (Web)
  • CERTA-2011-AVI-176 : Vulnérabilité dans rsync
  • CERTA-2011-AVI-177 : Vulnérabilité dans Pure-FTPd
  • CERTA-2011-AVI-178 : Vulnérabilité dans VMWare
  • CERTA-2011-AVI-179 : Vulnérabilité dans EMC Data Protection Advisor Collector
  • CERTA-2011-AVI-180 : Vulnérabilité dans Cisco Secure ACS
  • CERTA-2011-AVI-181 : Vulnérabilité dans Cisco NAC Guest Server


Liste des tableaux

Gestion détaillée du document

01 avril 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-28