Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-025

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 24 juin 2011
No CERTA-2011-ACT-025

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-25


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-025

Gestion du document


Tableau 1: Gestion du document
Référence CERTA-2011-ACT-025
Titre Bulletin d'actualité 2011-25
Date de la première version 24 juin 2011
Date de la dernière version -
Source(s) -
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Rappel sur la vulnérabilité Debian OpenSSL de 2008

En 2008, le CERTA publiait dans le bulletin d'actualité CERTA-2008-ACT-020 une vulnérabilité dans le générateur de pseudo-aléa utilisé par le paquet OpenSSL distribué par Debian. Toutes les clés privées créées par cette version du paquet présentent des faiblesses cryptographiques permettant, entre-autre, à une personne malveillante de réaliser des attaques de type « homme au milieu » (Man in the middle). Cette semaine, le CERTA a été alerté de l'utilisation d'un de ces certificats généré avec une clé faible sur un serveur de consultation de courrier IMAPS.

Pour rappel, toute clé privée produite avec la bibliothèque OpenSSL, et tout certificat signé avec l'une d'entre-elles sous les systèmes Debian et Ubuntu entre le 8 avril 2007 et le 15 mai 2008 sont potentiellement vulnérables. Les détails sont disponibles dans les avis CERTA-2008-AVI-246 et CERTA-2008-AVI-248. Plusieurs outils sont disponibles pour automatiser la vérification des éléments cryptographiques :
  • la commande openssl-vuln disponible dans le paquet openssl-blacklist ;
  • la commande ssh-vulnkey disponible dans le paquet openssh-client.

D'autre part, le projet Debian fournit des méthodes pour procéder au recouvrement des clés faibles pour différents paquets victimes de la vulnérabilité OpenSSL comme OpenVPN, cryptsetup ou OpenSSH.

Le CERTA recommande d'effectuer la vérification, et au besoin le changement des clés privées et certificats utilisés par des protocoles sécurisés sous systèmes basés sur Debian qui ont pu être créés avec la bibliothèque OpenSSL vulnérable.

4.1 Documentation

2 Redirections depuis des sites Web compromis

Le CERTA a été amené à traiter récemment le cas de plusieurs sites Web compromis. La compromission de ces sites est caractérisée par la présence de code effectuant une redirection vers d'autres sites, ces derniers hébergeant soit des pages de phishing bancaire, soit des offres commerciales pour des produits pharmaceutiques.

La principale particularité de ces incidents vient du fait que la redirection ne survient pas systématiquement. En effet, si l'accès se fait en tapant l'adresse de la page dans le navigateur, aucune redirection n'est constatée, et les pages légitimes sont affichées. Par contre, si la visite se fait en suivant un lien particulier, alors l'internaute est redirigé vers un autre site Web.

Un tel comportement est caractéristique d'une compromission du serveur Web visité initialement. Les redirections sont le fait de scripts PHP ou de fichiers .htaccess malveillants. Elles surviennent typiquement lorsque le client de navigation annonce un champ referer particulier (par exemple, celui d'un moteur de recherche avec des mots-clefs spécifiques).

La détection des incidents exploitant cette mécanique est difficile. Elle suppose que l'administrateur du site Web compromis accepte de suivre un lien pour constater de lui-même l'intrusion, ce qui peut ne pas être conforme avec la politique de sécurité. Il peut donc être préférable d'accorder davantage de confiance au tiers qui signale le problème, surtout si c'est un CSIRT de référence.

3 Mise à jour Firefox et changement de version

Cette semaine la fondation Mozilla a publié une mise à jour de son navigateur Firefox. Cette mise à jour marque le passage en version 5.0 du logiciel et comble de nombreuses vulnérabilités, détaillées dans l'avis CERTA-2011-AVI-365.

Mozilla a profité de cette nouvelle mouture pour changer sa politique de gestion des versions de Firefox. En effet, la récente version 4 sortie le 22 mars 2011 n'est plus maintenue. Les deux seules branches encore maintenues sont les branches 3.6 et 5. Il est donc fortement recommandé aux utilisateurs de la version 4 de mettre à jour le logiciel en version 5.0.

Mozilla a pris la décision d'augmenter le rythme de publication des versions majeures de son navigateur. Ainsi, le délai entre deux versions majeures devraient se situer entre 16 et 18 semaines.

Documentation

4 Fin du support MS-Office XP

La fin du support de la suite bureautique Office XP de Microsoft est annoncée pour le 11 juillet 2011, conformément à la politique de support de l'éditeur. Il n'y aura donc plus de correctifs de sécurité après cette date. Les utilisateurs sont donc invités à migrer vers une solution bureautique maintenue.

4.1 Documentation

5 Recommandations pour l'utilisation de RSA SecureID

Après l'attaque qu'elle a subie en mars 2011, la société EMC a indiqué que les intrus avaient visé les données relatives à son produit RSA SecureID, dont le but est de permettre de l'authentification à deux facteurs.

Des sociétés américaines ont ensuite fait état d'attaques contre leurs systèmes d'information, mettant en cause l'utilisation de données relatives aux jetons d'authentification (tokens) RSA SecureID.

Face à l'affaiblissement potentiel de cette solution de sécurité, l'ANSSI émet des recommandations dont l'application dépendra de la politique de sécurité et du contexte opérationnel :

  • renouveler les éléments sensibles, susceptibles d'avoir été compromis, en particulier les « graines » cryptographiques des jetons. Cette opération est possible pour les versions logicielles. Elle se traduit par le remplacement pour les jetons matériels. La politique de remplacement pourra prendre en compte la qualité de chaque utilisateur et la probabilité qu'il fasse l'objet de tentative d'usurpation d'identité ;
  • mettre en garde les utilisateurs de ces produits et le service de support associé contre les pratiques d'ingénierie sociale (filoutage, observation du jeton par un curieux, demande de prêts) ;
  • demander le signalement de tout fait suspect de cette nature ou la perte même momentanée d'un jeton ;
  • définir des politiques de communication, de support aux utilisateurs et de réaction en cas de détection de l'usurpation d'un compte ou de tentatives d'usurpation ;
  • informer les utilisateurs des changements de configuration du système, notamment ceux prévus au titre des autres mesures, via un canal de confiance aisément identifiable par eux et les mettre en garde contre toute communication par un autre canal ;
  • dissimuler autant que possible les numéros de série des jetons matériels ;
  • se protéger contre l'écoute passive des authentifications légitimes en sécurisant le canal de communication utilisé pour ces authentifications, par exemple à l'aide des protocoles TLS et IPsec ;
  • utiliser des facteurs d'authentification complémentaires : activer sur le serveur RSA SecureID la fonctionnalité d'authentification complémentaire par code confidentiel en utilisant la complexité maximale offerte par la solution, soit huit caractères alphanumériques ;
  • étudier les possibilités d'utilisation combinée d'autres facteurs d'authentification (certificats...) ;
  • détecter les tentatives d'attaques : analyser les journaux afin de détecter les erreurs d'authentification, en particulier celles dues à un jeton invalide, une connexion à une heure inhabituelle, une erreur de synchronisation horaire entre jeton et serveur ou à une mauvaise correspondance entre jeton et utilisateur, etc. ;
  • suspendre les accès après 3 à 5 codes confidentiels incorrects ;
  • réévaluer les droits octroyés aux utilisateurs authentifiés par cette solution.

Plus globalement, il est nécessaire d'inscrire l'utilisation d'un produit de sécurité dans une architecture de défense en profondeur, et de considérer que l'utilisation d'un tel produit ne dispense pas de toutes les bonnes pratiques en matière de SSI.


6 Rappel des avis émis

Dans la période du 17 au 23 juin 2011, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-361 : Vulnérabilité dans Google Chrome
  • CERTA-2011-AVI-362 : Vulnérabilité dans Trend Micro Control Manager
  • CERTA-2011-AVI-363 : Vulnérabilité dans Avaya IP Office Manager
  • CERTA-2011-AVI-364 : Vulnérabilité dans des produits Blue Coat
  • CERTA-2011-AVI-365 : Multiples vulnérabilités dans les produits Mozilla
  • CERTA-2011-AVI-366 : Vulnérabilité dans DokuWiki
  • CERTA-2011-AVI-367 : Vulnérabilité dans Citrix EdgeSight
  • CERTA-2011-AVI-368 : Vulnérabilités dans LibreOffice

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2011-ALE-003-005 : Vulnérabilité dans Adobe Flash Player, Adobe Reader et Acrobat (annonce des dates de publication des correctifs)


Liste des tableaux

Gestion détaillée du document

24 juin 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-28