1 Négligences entrainant la divulgation de données sensibles sur l'Internet
1.1 Les faits
Cette semaine, le CERTA a traité un incident particulièrement intéressant comme cas d'école. Plusieurs personnes ont reçu un message électronique de la part de prétendus « pirates bienveillants ». Celui-ci était composé d'un avertissement et contenait en clair le nom, le prénom et l'adresse postale du destinataire, ainsi qu'un mot de passe. Après vérification, ce mot de passe était bien valide.
Après analyses et recherches du CERTA, il est apparu que ces données avaient été récupérées par le biais d'une sauvegarde de base de données d'un site de e-commerce. Ces sauvegardes avaient été indexées par les moteurs de recherche (en particulier Google) et étaient ainsi disponible à tous, en clair, sur l'Internet. Les personnes touchées avaient pour certaines utilisé leur adresse professionnelle comme adresse de contact client, ainsi que le même mot de passe que celui utilisé pour des applications en interne.
1.2 Enseignements : les négligences
La première négligence revient à l'administrateur de ces sites de e-commerce. En effet, même si sa volonté d'effectuer des sauvegardes est louable, les informations sensibles de ce type auraient dû être confinées dans un espace privé. De plus, les mots de passe n'auraient jamais dû être accessibles en clair. Il y a pour cela plusieurs moyens, à commencer par le stockage d'un condensat du mot de passe, et une comparaison systématique de condensat à condensat. Cette pratique est d'ailleurs implémentée dans les gestionnaires de bases de données classiques.
Les clients, victimes de cette négligence, ne sont pas exempts de tout reproche. En premier lieu, les adresses professionnelles sont censées être, par définition, réservées à un usage professionnel. Encore faut-il que cette assertion soit inscrite dans la politique de sécurité de l'entité, et que cette politique soit appliquée.
Par contre, le fait de changer régulièrement de mot de passe et d'utiliser des mots de passe différents suivant les usages relève des bonnes pratiques que chacun se devrait d'appliquer.
2 Vulnérabilité du noyau Linux exploitée
Cette semaine, le CERTA a été alerté par un de ses homologues que la vulnérabilité de type pointeur NULL présente dans certains noyaux Linux (jusqu'au 2.6.30.4) était exploitée sur l'Internet. Cette vulnérabilité est détaillée dans l'avis CERTA-2009-AVI-337.
Elle permet à un individu malintentionné d'élever ses privilèges, après avoir obtenu un accès distant à la machine. Un scénario assez classique consiste à ce que l'attaquant compromette d'abord un compte non-privilégié par le biais d'une attaque par dictionnaire sur un serveur ssh par exemple, puis utilise cette faille pour obtenir les droits d'administration (root).
Or, il semblerait que cette vulnérabilité soit suffisamment fiable pour être utilisée à cette fin. Elle n'est pas sans rappeler la vulnérabilité affectant l'appel système ptrace il y a quelques années. Elle n'affecte pas un pilote spécifique, mais une fonction de base du noyau. De plus, les vulnérabilités de type pointeur NULL peuvent, sous certaines conditions, être exploitées malgré la présence de SELinux.
Cette faille a été corrigée par plusieurs éditeurs et dans les dernières versions du noyau. Dans la mesure où cette vulnérabilité est exploitée, il conviendra de bien vérifier l'application des correctifs associés.
3 Multiples mises à jour des produits Cisco
Cette semaine, pas moins de onze mises à jour ont été publiées par Cisco. Ces mises à jour concernent Cisco IOS (neuf vulnérabilités) et Cisco Unified Communication Manager (deux vulnérabilités). La plupart des vulnérabilités corrigées peuvent être exploitées afin de réaliser un déni de service à distance sur les équipements Cisco.
Documentation
- Avis du CERTA numéros CERTA-2009-AVI-402 et CERTA-2009-AVI-403 :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-402/
http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-403/
- Récapitulatif des mises à jour Cisco :
http://www.cisco.com/en/US/products/products_security_advisories_listing.html
- Bloc-notes de sécurité Cisco :
http://blogs.cisco.com/security
