S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 décembre 2008
N° CERTA-2008-ACT-052
Affaire suivie par: CERT-FR
le 26 décembre 2008

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2008-52

Gestion du document

Référence CERTA-2008-ACT-052
Titre Bulletin d’actualité 2008-52
Date de la première version 26 décembre 2008
Date de la dernière version 26 décembre 2008
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Le dernier de l’année

Ce numéro 052 du bulletin d’actualité du CERTA est le dernier de l’année 2008. C’est pour nous l’occasion de vous souhaiter d’excellentes fêtes de fin d’année.

L’année 2008 aura été riche en événements dans notre domaine d’activité. Dans l’immédiat, soyez vigilants avec l’envoi des tradionnelles cartes de voeux électroniques ; elles peuvent être réellement moins sympathiques que leur aspect virtuel ne le laisserait penser !

Les bulletins d’actualité contribuent au retour d’expérience : n’hésitez pas à nous solliciter afin d’améliorer notre production toujours perfectible. Notre seul objectif est de vous aider au mieux dans votre prise de décision (par prévention ou par réaction) pour la sécurité de votre réseau.

Bonne cyberannée à tous !

2 Périphériques de saisie sans-fil

Le CERTA a été sollicité pour un incident de sécurité mettant potentiellement en cause l’existence d’un enregistreur de frappes clavier. En effet, à première vue, les frappes clavier réalisées sur l’un des postes du réseau se retrouvaient immédiatement affichées à l’écran d’un autre poste de ce même réseau.

Après investigation, il est apparu que les deux postes en question étaient équipés de clavier et souris sans-fil pour l’un et d’une souris sans-fil pour l’autre, et par conséquent, tout ce qui était saisi par le poste disposant du clavier sans-fil était également reçu par le poste équipé du récepteur pour la souris sans-fil.

Le CERTA recommande de conduire une analyse des risques liés à l’utilisation des équipements sans-fil en fonction des besoins opérationnels. En effet, le bénéfice apporté par l’usage d’équipements de ce type doit être supérieur aux risques qu’ils entraînent.

3 DNS Changer v. 2.0

3.1 Les faits

Une nouvelle mouture du code malveillant DNS Changer a récemment fait son apparition sur l’Internet. Cette nouvelle version se distingue de la précédente par son mode opératoire permettant la modification des paramètres DNS.

Pour rappel, la précédente version détaillée dans les bulletins d’actualité CERTA-2008-ACT-047 et CERTA-2008-ACT-049, tentait de modifier les configurations des boîtiers de connexion à l’Internet afin que ces derniers distribuent des paramètres de résolution de noms erronés. Ces paramètres, une fois enregistrés, permettaient de rediriger les flux DNS vers des serveurs malveillants.

Cette variante, reconnue par certains éditeurs d’anti-virus sous le nom Trojan.Flush.M, installe un pilote réseau NDISProt.sys ou ndisprot.inf autorisant ainsi la réception et l’émission de paquets Ethernet. Une fois compromise, la machine se transforme en serveur DHCP afin de propager des configurations DNS malveillantes et rediriger tous les ordinateurs du réseau en DHCP -sans avoir à y installer des logiciels malveillants- vers des serveurs de noms malintentionnés basés à l’étranger.

3.2 Les recommandations

Le CERTA réitère les mêmes conseils :

  • surveiller le trafic DNS afin de s’assurer que celui-ci s’effectue vers des serveurs légitimes ;
  • contrôler la configuration DNS des clients ;
  • utiliser un compte aux droits limités afin de prévenir une tentative d’installation d’un nouveau pilote.

3.3 Documentation

4 Voyants lumineux et fausses interprétations

4.1 Le cas des claviers

L’activation des lumières d’un clavier est configurable, comme l’illustrent plusieurs liens cités dans la section Documentation de cet article. Les voyants sont utilisés par défaut pour afficher des modes bien connus : majuscules, verrou numérique et défilement. En réalité, l’affectation de l’affichage du voyant, qui dépend d’un état du clavier, est programmable.

Ainsi, dans le fichier de configuration du serveur graphique X.org, il est possible d’ajouter des options (XkbOptions).

Section « Input Device »
        Identifier « Generic Keyboard »
        …
        Option « XkbOptions » « grp:alt_shift_toggle,grp_led:scroll »
        …

Le voyant « Scroll Lock » indiquera alors un changement de groupe correspondant à l’appui sur les touches « alt+shift ». D’autres applications, comme blinkd1, ledcontrol, mailleds ou tleds sous Linux se chargent d’assurer l’utilisation des voyants pour visualiser d’autres événements : réception d’un courrier électronique, balayage de ports, etc.

On retrouve ces mêmes facilités quel que soit le système d’exploitation utilisé.

L’objet de ce paragraphe n’est pas de lister toutes les possibilités offertes mais plus simplement de montrer la faisabilité et la relative facilité à manipuler les voyants du clavier.

Le lecteur peut se demander quel usage malveillant est bien applicable ici, hormis gêner l’utilisateur ou faire fuir de l’information sous forme de clignotements lumineux.

La question est alors : est-ce bien différent pour les autres voyants existants, et en particulier pour ceux associés aux interfaces sans-fil, Bluetooth ou Wi-Fi ?

4.2 Le cas des interfaces sans-fil

L’activation des lumières est une action indépendante de la connexion.

À valeur d’exemple, certains portables DELL sous Ubuntu 8.04 peuvent avoir une connexion Wi-Fi active mais pas de voyant lumineux si les modules complémentaires linux-backports-modules-XXX ne sont pas installés.

Il existe différentes façons d’intervenir pour modifier le comportement des voyants. Cela peut se faire directement via le BIOS, le système d’exploitation et les pilotes, les combinaisons de touches configurées, etc.

Les ordinateurs portables disposent parfois d’un interrupteur (radio killswitch), qu’il soit physique ou logique (registre mémoire). Le fait d’avoir une touche avec une icône Wi-Fi ou Bluetooth ne suffit pas pour affirmer que le Wi-Fi est géré de manière matérielle. Un ensemble d’astuces est maintenu, par exemple, selon le modèle de cartes sur le site du projet RFSwitch (cf. section Documentation).

En fonction des pilotes utilisés et des systèmes d’exploitation, les diodes ne clignotent pas toujours comme attendu. Plusieurs discussions sur les forums confirment ces comportements inattendus (exemple sous Ubuntu Gutsy avec les pilotes ipw3945 et iwlwifi pour certaines cartes Intel).

Le voyant peut ne pas fonctionner malgré des activités de l’interface. Cela peut être dû à un problème système ou à une compromission.

En résumé :

  • l’interface peut être active et connectée malgré l’absence de voyant ;
  • le voyant peut être allumé et l’interface non opérationnelle ;
  • etc.

Il est donc très difficile, de manière générale, de garantir l’état de son interface sans-fil à l’instant t. Dans le monde filaire, débrancher le câble présente bien moins d’ambiguïté.

4.3 Que faut-il en retenir ?

Les voyants sont des indicateurs. Ils ne sont pas liés directement à l’état de la connexion. Ils sont souvent manipulables de manière logicielle. La confiance ne peut donc pas s’appuyer complètement sur eux.

En terme de connexion Wi-Fi, la seule garantie de ne pas établir à son insu de communications reste d’enlever physiquement la carte de son support.

4.4 Documentation

Rappel des avis émis

Dans la période du 15 au 21 décembre 2008, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 26 décembre 2008
    version initiale.