1 Incident de la semaine

Le contrat d’hébergement ralentit la résolution d’un incident

Cette semaine le CERTA à traité le cas d’un serveur de l’administration ayant subi une intrusion. Afin d’effectuer une première analyse, le CERTA a demandé à la victime les journaux d’événement de la machine. Malheureusement, la victime s’est aperçue que les clauses du contrat d’hébergement souscrit avec le prestataire ne prévoient pas la communication au client des journaux de connexion au site web en cas de problème. Le CERTA n’a donc pas été en mesure d’analyser les journaux et donc d’identifier les causes de l’intrusion, ce qui ralentit le retour à la normale.

Le CERTA rappelle qu’il est crucial de prévoir les mesures permettant la résolution des incidents informatiques dans les contrats d’hébergement. Les clauses du contrat doivent prévoir différentes situation comme :

  • l’accès inconditionnel aux journaux d’évènements ;
  • la désignation d’une équipe technique d’intervention ;
  • l’accès à la machine physique si un copie de disque doit être effectué ;
  • le respect de la PSSI …

2 Vulnérabilité dans Windows 7 et Windows Server 2008 R2

Une vulnérabilité dans Windows 7 et Windows Server 2008 R2 a été récemment rendue publique. Le CERTA a donc publié une nouvelle alerte afin d’avertir les utilisateurs de ces deux systèmes d’exploitation des risques résultant de cette faille. Il est en effet possible pour un individu malintentionné de provoquer un déni de service à distance par le biais du protocole SMB.

Dans l’attente d’un correctif officiel, le CERTA rappelle l’impérative nécessité de filtrer l’utilisation des ports TCP/139 et TCP/445 ou de les bloquer complètement s’ils sont inutiles. De telles mesures peuvent nuire au fonctionnement de certains services ou applications comme le partage de fichiers et d’imprimantes ou le système de fichiers Distributed File System (DFS).

Le CERTA rappelle que les ports TCP/139 et TCP/445 ne doivent en aucun cas être ouverts sur l’Internet et qu’un filtrage sur les équipements périphériques du système d’information doit être mis en place.

4.3 Documentation

3 Invitations en nombre limité et malveillance

Lors du lancement commercial d’une nouvelle application sur le Web, certains éditeurs utilisent un système d’invitations pour permettre à un groupe réduit d’utilisateurs d’accéder à leur dernière création. Outre les retours d’expérience des utilisateurs ayant été invités, ces invitations présentent, pour l’éditeur, l’avantage de créer un phénomène d’attente auprès du grand public et de créer l’événement.

Le problème étant que lorsqu’un utilisateur demande une invitation, ou se fait inviter par un autre ayant à sa disposition des invitations à distribuer, l’attente peut parfois durer plusieurs jours. Et c’est lors de cette période d’attente que l’utilisateur est particulièrement vulnérable aux attaques informatiques usurpant l’identité de l’éditeur en question.

Il existe aujourd’hui des logiciels qui font croire à l’utilisateur qu’il aura accès à une invitation, alors qu’ils installent un cheval de Troie sur le système. Il existe également des attaques de type phishing, l’agresseur se faisant passer pour la société émettrice de l’invitation, afin de récupérer des mots de passe de messagerie, par exemple.

Le CERTA recommande la plus grande vigilance face à ces offres d’invitation. C’est-à-dire de s’assurer que l’URL du site dont émane l’invitation correspond bien à l’éditeur officiel de l’application.

4 Routeurs grand public et identification

4.1 Les faits

La plupart des routeurs dits « grand public » sont administrables et configurables via une interface web. Celle-ci permet généralement de configurer, entre autre, les paramètres réseau des interfaces internes : Wi-Fi ou filaire, les fonctionnalités de redirections de port (NAT/PAT) ou de filtrage. Bien entendu, tous ces paramètres influent sur le niveau de sécurité proposé par le routeur. L’authentification pour accéder à l’interface d’administration de ces équipements est donc quasi systématique.

Une première recommandation, sur laquelle l’utilisateur est pleinement acteur, est de changer d’emblai le mot de passe fixé par défaut, souvent d’une bien piètre robustesse et largement documenté sur l’Internet. Pour aider dans le choix d’un bon mot de passe, il est possible de s’appuyer sur la note d’information CERTA-2005-INF-005.

Cependant, l’utilisateur peut être contraint par les limitations techniques de l’équipement. Ainsi, le CERTA a rencontré récemment un routeur sur lequel l’interface limitait grandement le jeu de caractères utilisables pour le mot de passe. En effet, on ne pouvait le construite qu’à partir de caractères alphanumériques ! Ceci est très clairement insuffisant et se justifie techniquement assez mal. La plupart des équipements de ce type sont généralement capables de supporter l’utilisation de la table IA5 soit 256 caractères au moins dans le but d’offrir un bon rendu des pages de l’interface et ce dans plusieurs langues. On trouve normalement déjà suffisamment de caractères dans cet ensemble pour construire des mots de passe robustes. Il est donc pour le moins incongru qu’une telle limitation existe.

4.2 Les recommandations

Autant que faire ce peut, il convient d’éviter d’utiliser des équipements présentant de telles limitations. Si toutefois cela était impossible, une solution envisageable est de rallonger la taille du mot de passe pour compenser le faible nombre de caractères disponibles. On gardera ainsi un nombre de possibilités suffisant améliorant la robustesse du mot de passe.

4.3 Documentation

5 Wi-Fi, PDA et smartphones

Cette semaine plusieurs articles ont parlé de possibles attaques en man in the middle sur les téléphones communicants. Voilà l’occasion pour le CERTA de rappeler que ces appareils sont des ordinateurs à part entière, exposés aux mêmes risques techniques, et qu’il est nécessaire que leurs utilisateurs en aient conscience afin d’avoir au moins les mêmes comportements sécuritaires. En effets, la majorité des attaques décrites ne sont pas propres aux terminaux mobiles, mais elles sont simplifiées par la différence de comportement des utilisateurs de ces terminaux.

Le CERTA recommande donc aux possesseurs de terminaux mobiles la plus grande prudence. Il convient par exemple de ne pas autoriser les connexions automatiques aux points d’accès et d’appliquer les bonnes pratiques générales. La note de recommandation CERTA-2002-REC-002 sur la sécurité des réseaux sans fil peut aider à la mise en place de bonnes pratiques.

Documentation

Rappel des avis émis

Dans la période du 09 au 15 novembre 2009, le CERT-FR a émis les publications suivantes :