Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2012-ACT-001

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 06 janvier 2012
No CERTA-2012-ACT-001

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2012-01


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-001

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-001.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-001/

1 Vulnérabilité de la semaine

1.1 Faiblesse dans le protocole Wi-Fi Protected Setup (WPS)

Un chercheur en sécurité a récemment révélé une faiblesse dans le protocole Wi-Fi Protected Setup (WPS) affectant la sécurité des points d'accès Wi-Fi supportant ce protocole. Malheureusement, la majorité des points d'accès Wi-Fi récents possèdent le WPS activé par défaut, ce qui touche une large gamme de produits.

1.1.1 Qu'est-ce que le WPS ?

Le but de WPS est de simplifier la configuration d'un client sans-fil. Les informations de sécurité (par exemple, la clé WPA2 dans le cas où ce protocole est utilisé) sont envoyées automatiquement au client par le point d'accès. Il y a trois modes possibles :
  1. le mode Push Button Connect : il faut appuyer sur un bouton présent sur le point d'accès, ce qui lui permet de communiquer avec un client ayant besoin d'être configuré ;
  2. le mode PIN client : l'appareil client possède un code PIN attribué par le fabriquant. Il faut alors se connecter à l'interface de configuration du point d'accès Wi-Fi et entrer le code PIN du client autorisé à récupérer les informations de configuration ;
  3. le mode PIN routeur : le point d'accès Wi-Fi possède un code PIN secret de 8 chiffres qu'il faut renseigner sur un appareil client pour que ce dernier puisse récupérer les informations.
Les deux premières méthodes nécessitent un accès physique au point d'accès ou à son interface de configuration. En revanche, la troisième méthode nécessite seulement de connaître le code PIN secret de 8 chiffres et c'est dans celle-ci que se trouve la faiblesse.

En théorie, il existe cent millions de codes PIN possibles. Cependant, le protocole, tel qu'il est conçu, permet de trouver le bon code PIN en effectuant au maximum 11000 tentatives, ce qui rend les attaques par recherche exhaustive relativement efficaces.

Par conséquent, il est conseillé de désactiver le support du WPS lorsque celà est possible ou de mettre à jour le firmware du point d'accès Wi-Fi lorsque des mises à jour seront disponibles (se référer au constructeur de votre point d'accès).

Documentation

2 Incidents récents

2.1 Fuites de données sur des serveurs web

Le CERTA est régulièrement amené à contacter ses correspondants pour leur signaler des données accessibles à tous les internautes, alors que leur nature ne laisse pas supposer qu'une telle audience soit le fait d'un choix délibéré.

Dans certains cas, il s'agit de sauvegardes de la base de données situées dans l'arborescence des documents composant le site web.

Un site web construit sur une base de données est une situation courante. Les gestionnaires de contenu (CMS) comme Joomla!, SPIP, Drupal, etc... reposent sur une base de données pour produire les pages web à partir des articles et des canevas (templates, skeleton...). Ce contenu est public, en définitive, et l'accessibilité de ces sauvegardes peut ne pas choquer.

Le problème devient rapidement plus aigu avec les fonctions variées qu'offrent les CMS et qui permettent la manipulation de données nominatives ou de données sensibles comme des mots de passe. Ces fonctions, dans le CMS ou dans des extensions, recouvrent la gestion des contacts, donc des données personnelles, l'envoi d'une revue électronique (newsletter) donc la collecte d'adresses électroniques, des agendas, des extranets, etc...

Pour éviter ces fuites d'informations, les pistes sont diverses :

  • pour des données telles que des configurations et des sauvegardes, le positionnement des fichiers hors de l'arborescence des documents et des scripts du site web est préférable ;
  • le contrôle des droits positionnés lors de l'installation des logiciels tels les CMS et leurs extensions, et la rectification si nécessaire ;
  • le positionnement des droits au niveau du système de fichiers ne doit permettre que les accès indispensables, aux comptes nécessaires ;
  • pour les fichiers dans l'arborescence du site web, des protections telles que les fichiers .htaccess d'Apache permettent de limiter les accès ;
  • éventuellement chiffrer les données.


3 Rappel des avis émis

Dans la période du 30 décembre 2011 au 05 janvier 2012, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-727 : Vulnérabilités dans l'implémentation ASPNet du Microsoft .NET Framework
  • CERTA-2011-AVI-728 : Vulnérabilité dans PHP
  • CERTA-2011-AVI-729 : Vulnérabilité dans Ruby
  • CERTA-2011-AVI-730 : Vulnérabilité dans Apache Tomcat
  • CERTA-2012-AVI-001 : Vulnérabilité dans Arkoon FAST360
  • CERTA-2012-AVI-002 : Vulnérabilité dans WordPress
  • CERTA-2012-AVI-003 : Multiples vulnérabilités dans Apache Struts

Gestion détaillée du document

06 janvier 2012
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-29