Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-049

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 09 décembre 2011
No CERTA-2011-ACT-049

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-49


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-049

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-049.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-049/

1 Des nouvelles pratiques de fournisseurs de téléchargements

Cette semaine,un message sur la liste de diffusion de développement du logiciel Nmap a annoncé que le site Web de Download.com proposait au téléchargement certaines versions des logiciels qui leur sont proposés encapsulées dans un installateur produit par ce site de téléchargement.

Sous prétexte d'assurer un téléchargement « sécurisé » ou encore « plus performant », le visiteur se verra proposer l'installation de barres d'outils, ou encore le changement automatique de la page d'accueil de son navigateur Web. Ces options sont bien entendu activées par défaut, et il faudra que le visiteur soit vigilant lors de l'installation pour demander explicitement de ne pas modifier son système.

Ces pratiques récentes apportent évidemment des bénéfices financiers au site qui installe une barre d'outils, par l'affichage de publicités, ou la redirection de certaines recherches vers des résultats bien définis. Le Bulletin d'Actualité CERTA-2011-ACT-021 rappelle les risques engendrés par ces barres d'outils.

Depuis que cette pratique a été publiquement dénoncée par certains éditeurs de logiciels, il est maintenant proposé aux développeurs de désactiver l'encapsulation dans l'installateur de Download.com. Download.com a également indiqué que tous les logiciels à source ouverte proposés ne sont plus sujets à cette pratique.

Le CERTA recommande, lors du téléchargement d'un logiciel ,soit de passer par un fournisseur qui sera soit géré par le système d'exploitation utilisé, soit de se connecter directement au site de l'éditeur. Cette dernière méthode est d'ailleurs généralement la seule permettant de vérifier la signature cryptographique de l'exécutable récupéré, lorsque celle-ci est disponible.

Documentation

2 Imprimantes en réseau, un tendon d'Achille

Les annonces récentes de fabricants d'imprimantes nous rappellent que ces appareils ne sont plus des périphériques « passifs » mais des systèmes à part entière. Leurs vulnérabilités peuvent avoir un impact sur tous les systèmes d'information sur lesquels elles sont connectées.

2.1 Risques signalés récemment

Les imprimantes en réseau sont des ordinateurs à part entière, avec des fonctions de serveur, pour envoyer les documents à imprimer, mais également pour configurer ces imprimantes, les mettre à jour à distance et en consulter divers éléments.

Les fabricants Xerox et HP viennent de rappeler que des mots de passe doivent être positionnés et différents des mots de passe usine pour protéger le mécanisme de mise à jour du microgiciel (firmware). La même recommandation s'étend à tous les matériels (imprimantes, copieurs multifonctions, etc.) de toutes les marques dès lors que des fonctions de consultation (ex. : fichiers soumis) ou de modification existent.

La protection par mot de passe est un minimum. Elle est insuffisante quand le mot de passe transite en clair sur le réseau local. La mise en place d'un tunnel chiffrant, au moins jusqu'à un équipement proche de l'imprimante est alors complémentaire. Ce tunnel protégera également les documents transmis pour impression.

D'autre moyens sont complémentaires, comme l'accès à l'imprimante restreint à certains ordinateurs.

2.2 Impacts sur le SI

L'impact des vulnérabilités sur les imprimantes peut être évident ou, au contraire, très indirect :
  • un déni de service par modification de la configuration ;
  • la fuite d'information, par capture d'un flux non chiffré vers l'imprimante, par accès non autorisé au stockage sur l'imprimante ou par utilisation abusive d'une fonction de réimpression ;
  • un comportement dangereux (surchauffe, incendie) ou non (gaspillage de consommables) par la modification du microgiciel ;
  • infection des postes de travail, par dépôt d'une réserve discrète de programmes malveillants, sur ce prépiphérique que l'on ne pensera pas à désinfecter lors du traitement d'une intrusion d'ampleur. Ce dépôt peut se faire, par exemple, par l'exploitation d'une vulnérabilité présente sur l'un des serveurs.

Documentation

3 Alerte du CERTA concernant une vulnérabilité dans Adobe Reader

Le 6 décembre 2011, l'éditeur Adobe a publié une alerte portant sur une vulnérabilité dans les produits Adobe Reader et Acrobat. Selon l'éditeur, il semble que cette vulnérabilité soit actuellement exploitée sur l'Internet au moyen d'un fichier PDF spécialement conçu. Afin d'offrir un rendu en trois dimensions dans des documents PDF, certains produits Adobe interprètent le format U3D. La vulnérabilité précitée est causée par une erreur dans le traitement des fichiers au format U3D. L'exploitation de cette vulnérabilité permet à une personne malveillante d'exécuter du code arbitraire à distance au moyen d'un fichier au format PDF spécialement construit. Le CERTA recommande d'appliquer les contournements provisoires décrits dans son alerte CERTA-2011-ALE-008 du 07 décembre 2011 afin de limiter l'impact lié à l'exploitation de cet vulnérabilité.

Documentation


4 Rappel des avis émis

Dans la période du 03 décembre au 08 décembre 2011, le CERTA a émis les publications suivantes :

  • CERTA-2011-ALE-007 : Vulnérabilité dans ftpd et ProFTPD sur FreeBSD
  • CERTA-2011-ALE-008 : Vulnérabilité dans Adobe Reader et Acrobat
  • CERTA-2011-AVI-670 : Vulnérabilité dans Adobe Flex
  • CERTA-2011-AVI-671 : Vulnérabilités dans JBoss
  • CERTA-2011-AVI-672 : Vulnérabilité dans Blue Coat ProxyAV
  • CERTA-2011-AVI-673 : Vulnérabilité dans libXfont
  • CERTA-2011-AVI-674 : Vulnérabilité dans MIT Kerberos
  • CERTA-2011-AVI-675 : Vulnérabilités dans Opera
  • CERTA-2011-AVI-676 : Vulnérabilité dans Foxit Reader
  • CERTA-2011-AVI-677 : Vulnérabilité dans ISC DHCP

Gestion détaillée du document

09 décembre 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-23