1 Activité en cours

1.1 Incidents traités

1.1.1 Caïn et Abel

Le CERTA a été contacté afin de donner un avis technique sur un incident touchant plusieurs machines. Ayant remarqué un ralentissement anormal, l'administrateur a repéré la présence du logiciel Caïn et Abel (outil utilisant de multiples techniques pour découvrir des mots de passe) sur trois serveurs. Ce programme a été transmis par l'administrateur à l'éditeur de l'antivirus utilisé sur son réseau afin que les bases de signature soient mises à jour, ce qui a permis de découvrir d'autres machines « infectées ».

L'installation de ce logiciel a été rendue possible pour différentes raisons dont en particulier :

  • une faible qualité des mots de passe ;
  • une gestion trop permissive des droits des utilisateurs ;
  • une authentification des machines sur l'intranet insuffisante.

1.1.2 Compromission d'un serveur SSH

Le CERTA a été informé de la compromission d'un serveur suite à l'exploitation d'un mot de passe faible pour un compte n'ayant pas les privilèges de l'administrateur. La machine compromise était utilisée comme rebond afin de découvrir d'autres serveurs avec des comptes utilisant des mots de passe faibles. Les compromissions de ce type laissent des traces flagrantes dans les journaux.

Recommandations :

Le CERTA constate que de nombreux incidents sont liés à une problématique de mots de passe et rappelle les bonnes pratiques élémentaires suivantes :

  • avoir une politique de gestion des mots de passe cohérente avec les enjeux de sécurité (CERTA-2005-INF-001) ;
  • ne pas donner aux utilisateurs des privilèges d'administration ;
  • ne pas autoriser l'utilisation de machines personnelles sur les intranet ;

Il existe de nombreux outils (dont certains sont gratuits) permettant de tester la robustesse des mots de passe. Une utilisation de tels outils pour détecter les mots de passe faibles peut éviter les compromissions de ce type.

Rappel des publications émises

Dans la période du 20 mars 2006 au 26 mars 2006, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :