Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTFR-2017-ACT-008

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 20 février 2017
No CERTFR-2017-ACT-008

Affaire suivie par :

CERT-FR

Objet : Bulletin d'actualité CERTFR-2017-ACT-008

1 - Report de la mise à jour mensuelle de Microsoft

La mise à jour mensuelle de Microsoft, initialement planifiée pour le mardi 14 février 2017, ne sera pas réalisée ce mois. Les correctifs de l'éditeur devraient être inclus dans la version du mois de mars. Microsoft informe que ce report fait suite à la découverte d'un problème pouvant impacter ses clients.

Documentation

https://blogs.technet.microsoft.com/msrf/2017/02/14/february-2017-security-update-release/

2 - Sensibilisation aux dangers du "remplissage automatique"

En 2010, Google a ajouté dans son navigateur la fonctionnalité de remplissage automatique de champs d'un formulaire. Le principe, bien connu de tous, est de pré-remplir certains champs d'un formulaire (lors de la création d'un compte sur un site par exemple). Cependant, il s'avère qu'un attaquant peut exploiter cette fonctionnalité pour obtenir certaines informations personnelles stockées par le navigateur web. Cette fonctionnalité permet de stocker dans le navigateur des champs tels que le nom, la ville, le code postal, le pays, etc., mais également des informations bancaires comme le numéro de carte, la date d'expiration, ou bien le possesseur de la carte. Pour exploiter cette fonctionnalité, l'attaquant va mettre en place un formulaire sur un site web et ajouter des champs cachés correspondant aux données qui l'intéressent. Une première approche serait d'utiliser un tag "hidden" pour le type de du champs :
<input type=hidden name=item_no value=00001>

Cependant, dans plusieurs navigateurs, les champs de type hidden ne sont pas préremplis par le navigateur et donc cela ne fonctionne pas. Une seconde approche est de cacher les champs voulus à la suite d'un champ légitime, en utilisant l'attribut "overflow:hidden" du style de la balise "div" :

<table><tr><td><div style="overflow:hidden;height:35px;">
  Nom <input id="cn" autocomplete="cc-name"><br><br>
      <input name="ao" autocomplete="organization">
      <input name="af" autocomplete="street-address">
      <input name="Pays" autocomplete="country">
</div></td></tr>/table>

Lorsque la victime saisit les informations dans le seul champ qu'elle voit, à savoir le Nom, Chrome remplira également (si possible) les autres champs et enverra le tout au serveur, qui aura alors récupéré des données personnelles de la victime.

Contre-mesures

Afin de pallier ce problème, certains navigateurs web ont mis en place quelques mécanismes de protection. Par exemple, certains ne complètent les champs concernant les données bancaires que dans le cas d'une connexion HTTPS. Ceci n'est cependant pas une solution idéale étant donné que le site malveillant peut très bien avoir un certificat valide et donc opérer une connexion SSL. La vraie solution consiste simplement à désactiver cette fonctionnalité dans le navigateur.
  • Pour Chrome : Paramètres -> Afficher les paramètres avancés -> sous Mots de passe et formulaires, décocher Activer la saisie automatique.
  • Pour Safari : Préférences -> Décocher Saisie automatique
  • Pour Opera : Paramètres -> Décocher Saisie automatique
Documentation


3 - Rappel des avis émis

Dans la période du 13 au 19 février 2017, le CERT-FR a émis les publications suivantes :

  • CERTFR-2017-AVI-047 : Vulnérabilité dans Xen QEMU
  • CERTFR-2017-AVI-048 : Vulnérabilité dans F5 BIG-IP
  • CERTFR-2017-AVI-049 : Vulnérabilité dans SCADA Siemens SIMATIC Logon
  • CERTFR-2017-AVI-050 : Multiples vulnérabilités dans le noyau Linux SUSE
  • CERTFR-2017-AVI-051 : Multiples vulnérabilités dans Adobe Flash Player
  • CERTFR-2017-AVI-052 : Multiples vulnérabilités dans les produits Cisco
  • CERTFR-2017-AVI-053 : Multiples vulnérabilités dans le noyau Linux de SUSE

Gestion détaillée du document

20 février 2017
version initiale.
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2017-ACT-008

CERT-FR
2017-02-20
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-28