Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2013-ACT-047

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 22 novembre 2013
No CERTA-2013-ACT-047

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité CERTA-2013-ACT-047

1 - Retour d'expérience suite à une fuite d'information

Le CERTA a récemment été amené à traiter une affaire de fuite d'information concernant des identifiants de connexion à des services d'administration à distance de type réseau privé virtuel (VPN). Ces identifiants étaient disponibles dans un fichier texte déposé dans un répertoire non protégé du serveur web d'un prestataire de service. Le fichier avait également déjà été indexé et mis en cache par plusieurs moteurs de recherche.

Le CERTA tient à profiter de cet incident pour rappeler quelques principes de sécurité : il est important de mettre en place une gestion adéquate des mots de passe, de mettre en place une configuration correcte de serveur web et de vérifier les droits d'accès à un système d'information.

La génération et le stockage sécurisé des mots de passes sont une composante essentielle d'une gestion saine d'un système d'information. Les mots de passes doivent ainsi respecter les bonnes pratiques en matière de longueur et de complexité et être stockés de manière sécurisée dans un logiciel adapté (tel que KeePass par exemple).

Par ailleurs, les serveurs web mettant à disposition des données (informations, mises à jour techniques, etc.) se doivent d'être correctement configurés afin de ne pas permettre l'accès à des données sensibles. Une attention particulière doit être portée sur les données réellement mises à disposition, sur la restriction des accès à ces données (authentification, gestion des droits, etc.) et sur la journalisation de ces accès.

Plus généralement, les accès au système d'information d'une entité doivent être contrôlés, filtrés et journalisés. Le recours à des sociétés d'infogérance ne doit pas en faire perdre la maîtrise et ces accès doivent être restreints au maximum.

Documentation

2 - De la nécessité des sauvegardes

Un programme malveillant, cryptolocker, a récemment impacté de nombreux utilisateurs, aussi bien dans le domaine grand public que dans le domaine professionnel. Il s'agit d'un membre de la famille des rançongiciels : il met en place un chiffrement des fichiers du poste qu'il infecte, et exige de l'utilisateur le paiement d'une rançon afin de lui rendre l'accès aux fichiers.

Ce type de menaces peut être assimilé au cas plus général de perte d'accès à des données informatiques. Cette perte d'accès peut également survenir à la suite d'une défaillance matérielle, comme celle d'un disque dur par exemple.

Une solution de sauvegarde des données (backup) permet de répondre à toutes ces problématiques. La mise en place d'un Plan de Continuité ou d'un Plan de Reprise d'Activité, telle que recommandée dans le guide d'hygiène informatique publié par l'ANSSI, inclut cette mesure.

Le CERTA recommande la mise en place de ces procédures indispensables ainsi qu'un test régulier de la capacité à restaurer ces achives, afin de pouvoir réagir rapidement et efficacement en cas de nécessité.

Il conviendra de faire attention, dans le cadre de la restauration de données pour faire face à un code malveillant, à utiliser une archive saine qui prédate l'infection.

Documentation

3 - Déni de service par amplification CHARGEN

Le CERTA a récemment traité une attaque en déni de service (en anglais DDoS) se basant sur des services CHARGEN. Cette technique de DDoS, bien qu'ancienne, est encore parfois utilisée. Plusieurs entités du secteur financier ont été par exemple ciblées cette année.

CHARGEN (Character Generator Protocol) est un service conçu à l'origine pour générer du trafic sur le réseau afin de réaliser des mesures de bande passante ou de qualité de service. Il peut fonctionner avec le protocole UDP : lorsqu'un client envoie un datagramme UDP vers le port 19 d'un serveur CHARGEN, ce dernier renvoie un datagramme UDP au client contenant un nombre aléatoire de caractères.

Le principe du DDoS par amplification CHARGEN est le même que celui de l'amplification DNS et s'appuie sur le fait que le protocole UDP soit "non connecté". Un attaquant va envoyer des datagrammes UDP à des serveurs CHARGEN accessibles depuis l'Internet en usurpant l'adresse IP de sa victime. Cette dernière recevra alors les réponses des serveurs CHARGEN, contenant entre 200 et 1000 fois plus de données que les datagrammes UDP initiaux de l'attaquant.

Il est nécessaire de s'assurer qu'aucun service CHARGEN ne soit accessible depuis l'Internet pour éviter d'être impliqué dans une attaque contre une autre entité, et de saturer sa propre bande passante. Il est à noter qu'outre les serveurs applicatifs, les équipements réseau (routeurs, pare-feux, etc.) et plus généralement tous les équipements connectés au réseau sont à prendre en considération. On retrouve, par exemple, beaucoup d'imprimantes connectées au réseau possédant un service CHARGEN actif.

Tout service fournissant une réponse de taille supérieure à la requête initiale et n'étant pas basé sur un protocole connecté peut être utilisé pour réaliser des attaques en déni de service par amplification. Une bonne pratique consiste à lister tous les services disponibles sur le réseau, à désactiver ceux qui sont inutilisés et à ne les rendre accessibles depuis l'Internet que si un besoin métier le justifie, moyennant un filtrage en amont des adresses IP source autorisées à y accéder.

Un service non légitime accessible depuis l'Internet par défaut est aussi symptomatique d'un problème de sécurité plus important : la bonne gestion des flux entrants et sortants. Il est indispensable de s'assurer que seuls les flux identifiés comme nécessaires sont autorisés. L'ANSSI propose un ensemble de recommandations pour définir une politique de filtrage réseau adaptée aux contraintes métier et aux besoins de sécurité.

Le CERTA recommande aussi la lecture de la note d'information publiée le 14 janvier 2013 sur les dénis de service. Cette note donne des orientations pour se préparer à l'éventualité d'une attaque et pour en réduire les impacts.

Documentation


4 - Rappel des avis émis

Dans la période du 15 au 21 novembre 2013, le CERTA a émis les publications suivantes :

  • CERTA-2013-AVI-639 : Vulnérabilité dans Apple iOS
  • CERTA-2013-AVI-640 : Vulnérabilité dans Google Chrome
  • CERTA-2013-AVI-641 : Vulnérabilité dans VMware
  • CERTA-2013-AVI-642 : Multiples vulnérabilités dans les produits Mozilla
  • CERTA-2013-AVI-643 : Vulnérabilité dans Opera
  • CERTA-2013-AVI-644 : Vulnérabilité dans nginx
  • CERTA-2013-AVI-645 : Multiples vulnérabilités dans Drupal

Gestion détaillée du document

22 novembre 2013
version initiale.
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-047

CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-08-21