1 Activité en cours

1.1 Code malveillant déposé sur un site défiguré

Un de nos correspondants a été infecté par un code malveillant suite à une visite sur un site défiguré. Le code malveillant, téléchargé sous la forme d’une bibliothèque dll, n’était pas reconnu par les antivirus. La visite sur le site défiguré a également provoqué l’arrêt inopiné du navigateur (Mozilla Firefox).

D’une manière générale, il est important de prendre conscience que les incidents de ce type peuvent survenir lorsque l’on navigue sur un site qui a subi une attaque. Il convient de prendre un maximum de précautions avant de vérifier la présence d’une page défigurée. Il est important de ne pas naviguer avec un compte ayant des privilèges d’administration, et des solutions basées sur des environnements virtuels (comme VMWare par exemple) peuvent être envisagées.

1.2 Alerte concernant Microsoft Word

Une nouvelle vulnérabilité, commune à de nombreuses versions du logiciel Word et fonctionnant sur les systèmes d’exploitation Windows et MacOS, est apparue. Elle n’est pas encore corrigée et le CERTA a publié une alerte le mercredi 6 décembre 2006 (CERTA-2006-ALE-014). Cette vulnérabilité est déjà exploitée.

Il est recommandé aux utilisateurs de ne pas ouvrir de documents Word dont la provenance est incertaine. Cette vulnérabilité est un vecteur idéal pour conduire des attaques ciblées, par exemple via une pièce jointe à un courriel. Par ailleurs, les fêtes de fin d’année seront propices à l’envoi de multiples messages électroniques contenant des pièces jointes de toutes sortes. Une grande vigilance est donc à nouveau recommandée dans l’ouverte des fichiers insérés en pièces jointes. Tout incident ou doute lors de l’ouverture d’un tel fichier devrait être immédiatement signalé.

Quelques liens utiles :

2 Nouvelle technique de contournement des antivirus

Une nouvelle technique de contournement des antivirus a été rendue publique cette semaine. Certains antivirus n’auraient pas le comportement attendu lors du traitement de fichiers encodés en base64. En particulier, lorsqu’un attachement contient un caractère ne faisant pas partie de « l’alphabet base64 », certains antivirus ne prennent pas correctement en compte le fichier attaché, alors que le client de messagerie l’affiche normalement.

Cette technique peut donc être utilisée pour échapper au contrôle de certains antivirus.

On peut donc s’attendre à la publication de correctifs par des éditeurs d’antivirus dans les jours à venir.

Pour plus d’informations, vous pouvez consulter le document à l’adresse suivante :

http://www.quantenblog.net/security/virus-scanner-bypass

3 Les clics dans les courriels

3.1 Introduction

Les courriers éléctroniques, tout comme les lettres postales, sont un moyen de communication aisé pour transmettre de l’information. Cependant, le processus standard pour les transmettre n’offre pas, sans service complémentaire, certaines garanties. Pour les lettres postales, l’expéditeur n’est pas vérifié, et l’entête du courrier (adresses, téléphone, dates) peut être falsifié. Il en va de même pour la messagerie électronique.

Ces problèmes sont à la source des attaques de filoutage (ou phishing), ou servent à conduire les utilisateurs vers des pages Web spécifiques.

3.2 Une origine incertaine

Parmi les protocoles de messagerie, SMTP (pour Simple Mail Transfer Protocol) est le plus fréquent, et est utilisé au transfert de courriers vers les serveurs de messagerie. Son fonctionnement est assez simple : après avoir indiqué l’expéditeur et le destinataire du message, le corps du message est transféré. C’est celui-ci qui s’affiche ensuite dans le client de messagerie. Il est possible de modifier l’expéditeur à tout moment. En général, ce dernier n’est pas vérifié, ni même la cohérence entre celui indiqué dans l’entête du message, et celui utilisé par l’envoi SMTP.

3.3 Un contenu pas nécessairement fiable

Le contenu que vous visualisez n’est pas nécessairement complet et exact. Par exemple, dans un message rédigé en HTML, un lien sera codé de la façon suivante :

<_a_ href= »\emph{adresse-malveillante} »>\emph{adresse-apparente}</_a_>

Le client de messagerie, s’il est configuré pour interpréter les messages en HTML, ne vous affichera que adresse-apparente, mais vous serez redirigé vers adresse-malveillante. Il y a également des questions d’encodage, qui peuvent perturber la visualisation correcte d’un courrier.

Recommandations du CERTA :

Comment pourriez-vous réagir étant donné les problèmes mentionnés dans les deux paragraphes précédents ?

Comme vous avez pu le constater, il n’est pas aisé de déterminer si un courriel a été envoyé à des fins malveillantes.

Quelques bons réflexes vous permettront, malgré la difficulté d’estimer le risque, de limiter les impacts d’une telle attaque :

  • soyez circonspect quand l’expéditeur ou le destinataire affiché vous est inconnu, ou quand le style ou la syntaxe sont approximatifs ;
  • soyez vigilant lorsqu’un courriel vous demande des actions urgentes, vous propose de l’argent facile ou des produits peu chers ;
  • si vous avez cliqué trop vite, ne fournissez pas d’information sur le site Internet qui s’affiche en remplissant par exemple un formulaire ou en renseignant un mot de passe ;
  • faites appel à votre correspondant informatique ou de sécurité si vous avez le moindre doute sur la nature d’un courriel reçu ou sur une page Internet visitée suite au clic depuis un courriel.

Quelques mesures plus techniques :

Pour aller plus loin, vous pouvez considérer des initiatives plus techniques :

  • tapez directement dans le navigateur Internet l’adresse indiquée par le courrier électronique, sans cliquer dessus, et après l’avoir vérifiée. En effet le lien qui s’affiche à l’écran n’est pas nécessairement la véritable adresse Internet cible ;
  • configurez votre client de messagerie pour lire tous vos courriers électroniques au format texte ;
  • configurez votre navigateur Internet pour qu’il n’interprète pas les ActiveX, Java et le Javascript par défaut ;
  • consultez le code source du courrier électronique pour vérifier les adresses incluses dans les liens HTML.

Rappel des avis émis

Dans la période du 27 novembre au 03 décembre 2006, le CERT-FR a émis les publications suivantes :