Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-021

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 27 mai 2011
No CERTA-2011-ACT-021

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-21


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-021

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-021.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-021/

1 Barres d'outils indésirables

1.1 Description

Les barres d'outils sont des modules ajoutés aux navigateurs Web. Elles existent notamment pour Firefox, Internet Explorer, Opera... Celles-ci proposent des fonctionnalités supplémentaires à l'utilisateur, par exemple un cadre permettant de faire rapidement des recherches.

Le danger est que ces barres d'outils comportent du code qui sera exécuté. Celui-ci peut contenir des vulnérabilités ou réaliser des actions non souhaitées. Certaines barres d'outils peuvent être associées à des logiciels espions (spywares) dans le sens où elles vont collecter et transférer des informations sur l'utilisateur, son poste et ses habitudes sans que celui-ci en soit conscient.

De plus, ce type de modules d'extension ne requière généralement pas les droits administrateur pour s'installer.

1.2 Exemples

Les sites conduit.com et predictad.com proposent chacun une plate-forme permettant de développer ses propres barres d'outils. Les modules ainsi développés sont capables d'envoyer silencieusement des données à des sous-domaines de conduit.com et predictad.com. Il s'agit là d'une fuite de données non contrôlée, qu'il est préférable de filtrer.

D'autres barres d'outils sont reconnues par certains antivirus comme étant potentiellement dangeureuses. Ainsi Funwebproducts est vue comme un publiciel par Bitdefender. Widgi Toolbar est reconnue de même par Sophos.

1.3 Mesures envisageables

Pour détecter ce phénomène au niveau réseau, il y a plusieurs possibilités selon les barres d'outils. Par exemple, une recherche des requêtes DNS contenant conduit.com ou predictad.com ou encore toolbar.zynga.com peut être effectuée. Pour l'exemple conduit.com, il y a notamment le sous-domaine alert.services.conduit.com. Vers ce serveur partent des requêtes HTTP avec la méthode POST, vers des URI /Alerts/AlertServices.asmx/GetToolbarAlertsInfo ou encore /Alerts/AlertServices.asmx/AlertLogin. Autre exemple pour la toolbar Zynga, une requête HTTP de type GET est envoyée toutes les 5 minutes à l'URL toolbar.zynga.com/heartbeat.php. D'autres barres d'outils sont visibles au niveau du User Agent du navigateur qu'elles modifient. Par exemple, les User Agent vont contenir WidgiToolbar ou FunWebProducts ou encore Hotbar.

De manière générale, il est de bonne pratique que les serveurs Web mandataires contrôlent les User Agent, de préférence avec une liste blanche adaptée. Il est aussi possible de mettre en liste noire des domaines utilisés pour la mise à jour de ces barres d'outils. Les utilisateurs doivent également être sensibilisés pour ne pas installer ce genre de logiciels.

Références

2 Faux antivirus malveillants sur Mac OS X

Contrairement à une idée répandue, Mac OS X est également une cible pour les auteurs de programmes malveillants.

Le bulletin d'actualité CERTA-2011-ACT-018 décrit la mise en place d'une vague d'attaques par redirections involontaires (drive by downloads). Cette vague d'attaques est notamment utilisée pour tromper les utilisateurs de Mac Os X, en leur faisant croire que leur poste est infecté, avant de leur proposer un faux antivirus Mac Os X du nom de Mac Defender (il peut exister sous d'autres noms). Une fois téléchargé avec Safari, ce programme est automatiquement installé si l'option ouvrir automatiquement les fichiers « fiables » n'est pas désactivée.

Ce faux antivirus a pour vocation d'extorquer le code de carte de crédit de l'utilisateur. Pour ce faire, il lui fait croire que son poste est compromis en remontant une liste aléatoire de fichiers supposés infectés et en ouvrant des pages Web indésirables. L'utilisateur est alors invité à enregistrer son produit en donnant son numéro de carte de crédit afin de pouvoir « désinfecter » la machine.

Face à cette menace, Apple a réagi en proposant une procédure de suppression manuelle du programme et prévoit de diffuser prochainement une mise à jour permettant d'identifier et de supprimer ce programme dans ses différentes variantes.

Outre la sensibilisation des utilisateurs à la problèmatique des faux antivirus, le CERTA recommande :

  • l'utilisation d'un compte avec des droits restreints ;
  • la désactivation de l'option ouvrir automatiquement les fichiers « fiables » dans Safari ;
  • de façon plus générale la ré-installation complète du système après une compromission (cf : CERTA-2002-INF-002, Que faire en cas d'intrusion ? ).

Documentation


3 Rappel des avis émis

Dans la période du 20 au 26 mai 2011, le CERTA a émis les avis suivants :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-303/index.htmlCERTA-2011-AVI-303 : Multiples vulnérabilités dans Cisco Unified Operations Manager
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-304/index.htmlCERTA-2011-AVI-304 : Vulnérabilité dans Cisco Common Services
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-305/index.htmlCERTA-2011-AVI-305 : Multiples vulnérabilités dans Moodle
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-306/index.htmlCERTA-2011-AVI-306 : Vulnérabilités dans phpMyAdmin
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-307/index.htmlCERTA-2011-AVI-307 : Vulnérabilité dans EMC SourceOne Email Management
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-308/index.htmlCERTA-2011-AVI-308 : Multiples vulnérabilités dans Google Chrome
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-309/index.htmlCERTA-2011-AVI-309 : Vulnérabilité dans IBM OS/400
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-310/index.htmlCERTA-2011-AVI-310 : Multiples vulnérabilités dans IBM Lotus Notes
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-311/index.htmlCERTA-2011-AVI-311 : Vulnérabilité dans Sybase EAServer
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-312/index.htmlCERTA-2011-AVI-312 : Vulnérabilité dans les contrôleurs Ethernet Intel
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-313/index.htmlCERTA-2011-AVI-313 : Vulnérabilité dans IBM WebSphere
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-314/index.htmlCERTA-2011-AVI-314 : Multiples vulnérabilités dans Cisco IOS XR
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-315/index.htmlCERTA-2011-AVI-315 : Vulnérabilité dans Cisco Content Delivery System Internet Streamer
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-316/index.htmlCERTA-2011-AVI-316 : Vulnérabilité dans Dovecot


Liste des tableaux

Gestion détaillée du document

27 mai 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22