1 Incidents de la semaine
1.1 Le PC compromis sert à attaquer le serveur
Cette semaine le CERTA a traité un incident relatif à la compromission d'un serveur web. Suite à la compromission, par unenregistreur de frappes clavier, d'une des machines servant à mettre à jour le site web, les attaquants ont réussi à récupérer les informations de connexion au service FTP. Munis de ces informations, il a été facile aux attaquants de compromettre le site Internet légitime et d'y déposer des fichiers frauduleux afin de réaliser un filoutage contre une banque anglaise. Une fois informé, l'administrateur du serveur a rapidement identifié les causes de l'incident.
Le CERTA rappelle qu'il est dangereux de stocker des identifiants de connexion dans un fichier ou dans un appareil transportable susceptible d'être perdu ou volé (clé USB, téléphone, assistant personnel, etc.). De plus les mots de passe doivent être choisis de manière à être suffisamment complexes à deviner par un attaquant ou par une recherche exhaustive à base de dictionnaires. Le CERTA rappelle également que la politique de sécurité des mots de passe doit inclure une politique de changement régulière de ceux-ci.
Documentation
- Note d'information du CERTA sur les mots de passe :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-001/
- Note d'information du CERTA sur les bons réflexes en cas d'incident :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/
1.2 Le site web oublié
Cette semaine le CERTA a informé une victime que son site Internet hébergeait des codes malveillants. Ces codes, de type PHP Shell, ont participé à des attaques informatiques contre d'autres serveurs web. La victime a indiqué que ce site web n'était plus utilisé et qu'elle pensait devoir le conserver pour ne pas perdre son nom de domaine. Le CERTA rappelle que le nom de domaine et les services Internet comme l'hébergement de site web, la messagerie, ... sont des informations distinctes. Il est tout à fait possible de conserver un nom de domaine sans pour autant avoir un site web. Dans le cas de cet incident, la victime contactera son hergeur pour désactiver son site et modifiera ses enregistrements DNS inutilisés.2 Les attaques utilisant les référencements
Le début d'année est souvent propice aux bilans de l'année précédente. La fréquentation du site du CERTA a augmenté par rappor t à l'année précédente, ce qui indique certainement l'intérêt toujours croissant des internautes pour la sécurité informatique. Cette hausse de fréquentation est également en rapport avec un meilleur référencement du site dans les moteurs de recherches. Mais la hausse du nombre de visiteurs est sans commune mesure avec la hausse du nombre de tentatives d'attaque contre le site web. Cela s'explique car de plus en plus de programmes malveillants se basent sur les résultats des moteurs de recherches pour conduire leurs attaques.
Les journaux des connexions ne sont pas les seules sources d'informations contre une compromission. Toutefois ils peuvent permettre de mettre en évidence des vulnabilités et des tentatives d'attaque. La politique de sécurité doit inclure l'analyse et la gestion des journaux des connexions.
3 Fin du support de Netscape Navigator
AOL a annoncé, le 28 décembre 2007, la fin du support de son navigateur à compter du premier février 2008. Après cette date AOL, propriétaire de Netscape Navigator ne fournira plus de correctifs de sécurité à son application. Malgré la sortie de Netscape Navigator 9 en juin dernier, celui-ci ne sera plus maintenu et il n'y aura plus d'évolution, tout comme pour les versions précédentes. Il restera cependant disponible en téléchargement. Le CERTA recommande l'utilisation d'un navigateur alternatif toujours maintenu par son éditeur afin de permettre sa mise à jour et de limiter ainsi les risques de vulnérabilité.
4 Bogue dans Windows Home Server
Microsoft a publié cette semaine le bulletin KB946676 relatif à un problème dans Windows Home Server. Ce dysfonctionnement apparaît lorsque des fichiers présents sur le machine équipée de Windows Home Server sont édités par certaines applications comme :
- Windows Vista Photo Gallery ;
- Windows Live Photo Gallery ;
- Microsoft Office OneNote 2007 ;
- Microsoft Office OneNote 2003 ;
- Microsoft Office Outlook 2007 ;
- Microsoft Money 2007 ;
- SyncToy 2.0 Beta ;
Les fichiers édités par l'intermédiaire des partages réseau sont corrompus au moment de l'enregistrement et les rendent inutilisables. Ce problème intervient alors que le système est en pleine charge lors de l'édition des fichiers. Le dysfonctionnement ne concerne que Windows home Server et serait dû au système de partage de répertoire qui a été simplifié afin de le rendre plus convivial. Microsoft travaille à la création d'un correctif. Le CERTA recommande de faire une sauvegarde des données présentes sur les machines équipées de ce système d'exploitation et de ne pas éditer de fichiers via le réseau avec les applications précédemment citées.
Documentation :
- Bulletin Microsoft KB946676 du 29 décembre 2007 :
http://support.microsoft.com/kb/946676
5 Les "métadonnées" surprennent encore
5.1 Introduction
Une métadonnée (du grec meta (après) et du latin data (informations)) est une donnée servant à décrire une autre donnée. Si le terme est devenu relativement courant, nombreux sont ceux qui les utilisent sans s'en rendre compte. L'exemple le plus courant, et qui a fait partie de notre actualité de la semaine, concerne simplement les photos numériques, mais les métadonnées concernent quasiment tous les fichiers électroniques.
Les appareils photos numériques utilisent en standard le format de fichier JPEG et exploitent les métadonnées associées. Ces informations sont renseignées par l'appareil au moment de la prise et contiennent des détails tel que la vitesse d'obturation, les dimensions, la date, la marque, voire le numéro de série de l'appareil et des coordonnées GPS. Elles contiennent aussi une vignette de taille réduite servant d'aperçu. Il existe plusieurs formats de métadonnée, et la norme JPEG prévoyant un champ d'informations de taille variable, il est possible d'en utiliser plusieurs à la fois sur la même photo. Historiquement, les fichiers JPEG contiennent des métadonnées au format Exif qui n'est plus maintenu et il est conseillé d'utiliser des alternatives tel que XMP (Extensible Metadata Plateform) ou IPTC (International Press Telecommunications Council).
Lors de manipulations graphiques ces informations ne sont pas toujours modifiées, par exemple, lors d'un redimensionnement ou de modification des contrastes, la marque de l'appareil ou la date de la prise de la photo ne sont pas modifiées. Si les logiciels d'imagerie courants n'exploitent pas ces champs, il existe des logiciels dédiés tel que exiv2 ou hachoir qui permettent d'éditer ces informations.
5.2 La preuve par l'exemple
La photo utilisée dans l'exemple suivant a été prise par un photographe professionnel. Elle montre bien la cohabitation des métadonnées. En effet, le champ résolution fait partie du format Exif, alors que le copyright vient du format IPTC.#exiv2 imageOriginale.jpg File name : imageOriginale.jpg File size : 280937 Bytes Camera make : NIKON CORPORATION Camera model : NIKON D200 Image timestamp : 2007:08:31 13:37:25 Exposure time : 1/320 s Aperture : F9.5 ... Exif Resolution : 964 x 646 Thumbnail : JPEG, 5764 Bytes Copyright : photos : � xxxxxxxxxxxxxxxxxxxxxxxxe.com, � tous droits reserv�s � all rights reserved
En utilisant l'option -pt d'exiv2 on peut obtenir davantage d'informations. Ainsi on voit que la photo originale a été modifiée sous Photoshop le 09/09/2007. En s'amusant à la redimensionner et modifier sous Gimp, on remarque aussi que le thumbnail n'a plus la même taille et a donc certainement été regénéré. Cela est facilement verifiable grâce à la commande exiv2 -et file1.jpg file2.jpg qui va extraire les aperçus dans file1-thumb.jpg et dans file2-thumb.jpg. On voit aussi, que la description Exif de la taille ne change pas, ce qui prouve qu'il n'est vraiment pas aisé de maîtriser l'évolution de ces informations discrètes.
#exiv2 -pt imageOriginale.jpg ... Exif.Image.Software Ascii 30 Adobe Photoshop CS3 Macintosh Exif.Image.DateTime Ascii 20 2007:09:09 22:22:12 Exif.Photo.PixelXDimension Long 1 964 Exif.Photo.PixelYDimension Long 1 646 Exif.Thumbnail.JPEGInterchangeFormatLength Long 1 5764 ...
Après modification sous GIMP (redimensionnement et gribouillage)
#exiv2 -pt imageRetouch�e.jpg ... Exif.Image.Software Ascii 15 GIMP 2.4.0-rc3 Exif.Image.DateTime Ascii 20 2008:01:04 09:19:13 Exif.Photo.PixelXDimension Long 1 964 Exif.Photo.PixelYDimension Long 1 646 Exif.Thumbnail.JPEGInterchangeFormatLength Long 1 6440 ...
5.3 Les métadonnées dans notre actualité
Dans le cas de cette semaine, un webmestre indélicat utilisait des photos sans en citer l'auteur, pensant qu'un simple renommage et redimensionnement suffirait à en faire disparaitre la provenance. C'est là que les tags Exif l'on desservit, il serait très étonnant qu'il eut été en possession d'exactement le même appareil, qu'il lui aurait permis de prendre une photo en simultané au même endroit et avec les même paramètres....
Pourtant ces informations « cachées » ont déjà défrayé la chronique. En 2003, une personnalité de la télévision américaine, Catherine Schwartz, avait mis en ligne une photo de ses yeux, résultat de la découpe d'une de ses photos personnelles. Malheureusement, la manipulation n'avait pas modifiée la vignette d'aperçues qui la montrait à moitié nue.
5.4 conclusion
Si la présence de ces informations peut parfois aider à résoudre des problèmes de propriété intellectuelle, le manque de visibilité les concernant peut gêner aussi les développeurs qui finalement ne gèrent pas correctement ces champs. Ainsi plusieurs vulnérabilités touchant différents logiciels sont exploitables à l'aide d'images aux champs Exif spécifiquement construits ( CVE-2007-6351, CVE-2007-6352, ...).Le CERTA rappelle que les métadonnées concernent de très nombreux fichiers (DOC, PDF, ...) et qu'il est important de maîtriser complètement les formats utilisés pour éviter toute fuite d'informations.
6 Mise à jour et support de PHP
Comme décrit dans l'avis CERTA-2008-AVI-002, une mise à jour pour la branche 4 du langage PHP vient d'être publiée. Outre le fait que cette version apporte des correctifs de sécurité, il est à noter que, comme indiqué sur le site http://www.php.net, la branche 4 de PHP ne connaîtra plus de nouvelles versions. En effet, depuis le 31 décembre 2007, le développement de cette dernière est arrêté. la nouvelle version 4.4.8 ne fera donc plus l'objet que de correctifs de sécurité en cas de faille majeure. Elle sera definitivement abandonnée le 8 août 2008.
Documentation :
Il est donc recommandé de migrer vers la dernière version de la branche 5 : la 5.2.5 au moment de la rédaction de la présente publication