Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-017

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 29 avril 2011
No CERTA-2011-ACT-017

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-17


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-017

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-017.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-017/

1 Les réseaux sociaux vecteurs de contenu malveillant

Ces quelques dernières années ont vu l'émergence et la démocratisation sur l'Internet des sites de réseaux sociaux.

Ces plateformes d'échange sont d'ores et déjà connues pour poser différents problèmes d'atteinte à la vie privée, mais représentent également des cibles privilégiées pour la diffusion à grande échelle de contenu malveillant.

Ces codes malveillants profitent largement des liens sociaux entre différents utilisateurs. Par exemple, un message provenant d'un « ami » paraîtra toujours plus légitime que s'il provenait d'un compte inconnu. La technique n'est pas nouvelle, certains logiciels malveillants se propageant par courrier électronique vont chercher leurs cibles dans le carnet d'adresse de la victime initiale afin de gagner en légitimité. Cette technique est amplifiée par le fait que le cercle d'« amis » sur les réseaux sociaux est beaucoup plus étendu que celui d'un carnet d'adresses utilisé pour contacter sa famille et ses collègues de travail par exemple.

La plupart de ces sites invitent chaque utilisateur à apporter sa contribution telle que l'ajout de commentaires, d'images, ou encore inciter d'autres utilisateurs à se rendre sur certaines pages, à s'enregistrer auprès de nouveaux services, à utiliser de nouveaux jeux, etc.

Pour toutes ces raisons, et en prenant en compte le développement très rapide de ces réseaux, beaucoup d'attaquants peuvent être attirés par ce terrain fertile pour diffuser de contenu malveillant au plus grand nombre.

C'est pourquoi, depuis quelques mois, plusieurs vulnérabilités affectant les plus gros réseaux sont découvertes puis corrigées. La technique qui semble être la plus employée est l'injection de code indirecte à distance (ou XSS), qui permet entre autre d'exécuter du code arbitraire dans le contexte de la session d'un utilisateur. Le code peut alors se répliquer par commentaires sur les pages des contacts « amis », propager des messages diffamatoires, collecter des informations sur le profil de la victime ou encore la rediriger vers d'autres sites malveillants.

D'autres méthodes de compromission se développent. Certains liens sur des sites se font passer pour le bouton « J'aime » du site Facebook et utilisent des méthodes de détournement de clic (ou clickjacking). La victime ayant effectivement cliqué sur ce lien pourra voir son poste compromis, et propagera en même temps ce lien vers ses contacts via le mécanisme classique des notifications « J'aime ».

Enfin, ces sites peuvent aussi être utilisés comme canaux de commande et de contrôle pour certains botnets, comme le CERTA l'a présenté dans le bulletin d'actualité CERTA-2009-ACT-045.

Pour toutes ces raisons, le CERTA recommande que les responsables des systèmes d'information s'interrogent sur les politiques d'accès à ces sites.

Documentation

2 Infection par un ransomware

Récemment, le CERTA a reçu une demande d'analyse concernant une machine ayant été infectée par un ransomware.

Ce type de code n'est pas nouveau. Il parcourt les documents accessibles et les chiffre. Ensuite, il demande une rançon à l'utilisateur pour qu'il puisse récupérer ses fichiers dans leur état original.

Afin de procéder à une analyse, il est important de conserver l'état de la machine et de réaliser une copie de la mémoire vive et du disque dur. En effet, ces éléments peuvent aider à trouver une méthode de décryptage lorsque le programme présente un défaut dans l'implémentation ou l'utilisation de l'algorithme de chiffrement. De plus, dans un cadre judiciaire, la possible identification de l'attaquant peut également être un moyen de retrouver les éléments permettant de déchiffrer et retrouver ses documents.

Enfin, le CERTA rappelle que l'utilisation régulière de sauvegardes stockées sur des serveurs physiquement séparés reste le meilleur moyen de récupérer ses fichiers.


3 Rappel des avis émis

Dans la période du 22 au 28 avril 2011, le CERTA a émis les publications suivantes :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-247/index.htmlCERTA-2011-AVI-247 : Vulnérabilité dans CA SiteMinder
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-248/index.htmlCERTA-2011-AVI-248 : Vulnérabilités dans CA Output Management Web Viewer
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-249/index.htmlCERTA-2011-AVI-249 : Multiples vulnérabilités dans Asterisk
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-250/index.htmlCERTA-2011-AVI-250 : Vulnérabilité dans Adobe Reader et Acrobat
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-251/index.htmlCERTA-2011-AVI-251 : Vulnérabilité dans des produits d'accès VPN de CheckPoint
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-252/index.htmlCERTA-2011-AVI-252 : Vulnérabilité dans Webmin
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-253/index.htmlCERTA-2011-AVI-253 : Vulnérabilité dans Hitachi Web Server
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-254/index.htmlCERTA-2011-AVI-254 : Vulnérabilité dans Hitachi Web Server
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-255/index.htmlCERTA-2011-AVI-255 : Vulnérabilité dans WordPress
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-256/index.htmlCERTA-2011-AVI-256 : Vulnérabilités dans CA Arcot WebFort Versatile Authentication Server
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-257/index.htmlCERTA-2011-AVI-257 : Vulnérabilité dans HP SiteScope
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-258/index.htmlCERTA-2011-AVI-258 : Vulnérabilités dans BestPractical RT
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-259/index.htmlCERTA-2011-AVI-259 : Vulnérabilités dans IBM DB2
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-260/index.htmlCERTA-2011-AVI-260 : Multiples vulnérabilités dans HP OpenView Storage Data Protector
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-261/index.htmlCERTA-2011-AVI-261 : Multiples vulnérabilités dans MediaWiki
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-262/index.htmlCERTA-2011-AVI-262 : Vulnérabilité dans Cisco Wireless Lan Controllers
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-263/index.htmlCERTA-2011-AVI-263 : Multiples vulnérabilités dans Cisco Unified Communications Manager
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-264/index.htmlCERTA-2011-AVI-264 : Vulnérabilités dans OpenSUSE Build Service
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-265/index.htmlCERTA-2011-AVI-265 : Vulnérabilité dans JBoss
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-266/index.htmlCERTA-2011-AVI-266 : Multiples vulnérabilités dans Google Chrome

Durant la même période, les publications suivantes ont été mises à jour :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-003/index.htmlCERTA-2011-ALE-003-004 : Vulnérabilité dans Adobe Flash Player, Adobe Reader et Acrobat (annonce des dates de publication des correctifs)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-190/index.htmlCERTA-2011-AVI-190-002 : Vulnérabilité dans le client DHCP ISC (ajout des bulletins de sécurité Debian, Fedora, Mandriva, NetBSD et Ubuntu)


Liste des tableaux

Gestion détaillée du document

29 avril 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-28