S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 31 décembre 2010
N° CERTA-2010-ACT-052
Affaire suivie par: CERT-FR
le 31 décembre 2010

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2010-52

Gestion du document

Référence CERTA-2010-ACT-052
Titre Bulletin d’actualité 2010-52
Date de la première version 31 décembre 2010
Date de la dernière version 31 décembre 2010
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Meilleurs voeux !

L’année 2010 s’achève, c’est donc le moment des bilans et des bonnes résolutions.

Et cette année qui se termine a été particulièrement riche dans le domaine de la SSI. Stuxnet, premier code malveillant ciblant spécifiquement des systèmes informatiques industriels, a fait beaucoup parler de lui. Ce programme informatique n’incorporait pas moins de quatre « 0-day », c’est-à-dire quatre codes d’attaques nouveaux ne disposant pas encore de correctif. Sa capacité à infecter des réseaux déconnectés, en se propageant notamment via des clés de stockage USB lui a, sans doute, permis d’accéder à des réseaux sensibles. Malheureusement, ce scénario d’attaque n’est pas nouveau, et ne peut que nous rappeler les événements de 2009, et le célèbre Conficker. L’année 2010 a été marquée par une augmentation du nombre d’avis et d’alertes publiés par le CERTA. Pas moins de 639 avis et 21 alertes ont ainsi été diffusés. Les attaques exploitant des vulnérabilités présentes dans les formats bureautiques ont encore eu beaucoup de succès. Le CERTA a pu constater dans les incidents qu’il est amené à traiter la forte augmentation d’attaques par le biais de fichiers PDF plus ou moins spécialement conçus pour son destinataire. Aussi, en cette fin d’année, il ne faut pas relâcher sa vigilance lors de l’ouverture de certains courriels tels les traditionnelles cartes de vœux. D’un point de vue plus organisationnel, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), dont le CERTA fait partie, a continué sa croissance. Une nouvelle ouverture et des propositions de services à destination des « OIV » (Opérateurs d’Importance Vitale) sont ainsi en train de voir le jour. Le CERTA rappelle également que des postes sont toujours à pourvoir au sein de l’équipe et plus largement au sein de l’ANSSI. Les offres d’emploi sont disponibles à l’adresse suivante : http://www.ssi.gouv.fr/site_rubrique27.html.

Le bulletin d’actualité est, pour le CERTA, le moyen de partager sa vision et son expérience en matière de traitement d’incident. Les retours sur cette production sont toujours bénéfiques. N’hésitez donc pas à nous faire part de vos remarques.

Il ne nous reste désormais plus qu’à vous souhaiter une bonne fin d’année 2010 et une bonne année 2011 et à vous donner rendez-vous l’année prochaine pour continuer ensemble l’effort global de sécurisation de nos systèmes d’information. Très bonne et heureuse année à toutes et à tous !

2 Incident de la semaine

Publicité malveillante sur un site légitime

Cette semaine, le CERTA a été alerté de la compromission de plusieurs machines. Cette compromission s’est manifestée après la mise à jour de la base de signatures de la solution antivirale installée sur les postes de travail.

Après analyse du fichier malveillant, il apparaît que la charge utile téléchargée par ce dernier n’est autre qu’un BHO (Browser Helper Object) ayant pour objectif d’insérer des publicités lors de la navigation de l’utilisateur.

Lors de l’inspection de la machine et de son système de fichiers, il est apparu que le fichier malveillant avait été installé grâce à l’exploitation d’une vulnérabilité dans la machine virtuelle Java qui n’était pas à jour. Cette exploitation s’est faite par le biais d’une publicité malveillante diffusée sur des sites légitimes.

Le CERTA profite de cet incident pour rappeler deux bonnes pratiques :

  • il est important de déployer les mises à jour des applicatifs installés sur un poste de travail au plus tôt. Cette rapidité de validation de mise à jour et d’installer est d’autant plus importante si l’applicatif est présent sur l’ensemble du parc ;
  • les publicités sont souvent diffusées par des prestataires externes au site visité. Même si le site visité est considéré de confiance, il est nécessaire de limiter les interactions vers les autres sites pointés, par exemple, par un bandeau publicitaire. Des modules additionnels au navigateur peuvent aider à la limitation de ces interactions.

3 Une base publique de clés privées SSL

Le 19 décembre 2010, un groupe s’intéressant aux équipements embarqués a rendu public une base de données de plus de 2000 clés privées SSL. Il s’agit des clés privées intégrées dans différents microgiciels installés principalement dans des équipements à destination du grand public du type routeur ou point d’accès WiFi. Ces clés sont principalement utilisées par le serveur Web intégré donnant accès à l’interface d’administration de l’équipement, et permettent donc une connexion sécurisée à ce serveur.

Or, comme l’indique le groupe en question, ces clés sont contenues dans les microgiciels des équipements, le plus souvent sans qu’il soit proposé à l’administrateur d’en installer de nouvelles lors de la première mise en route de l’appareil.

Les clés ont été obtenues pour la plupart à partir des microgiciels du projet à source ouverte DD-WRT. En connaissant par exemple la version précise de ce microgiciel, il est facile de trouver la clé privée utilisée par cette version dans la base de données. Il est également possible pour un attaquant d’obtenir la clé publique fournie par le certificat du serveur Web, ou en interceptant une connexion chiffrée à l’interface d’administration. Il pourra alors vérifier si la clé privée associée est connue. Si c’est le cas, il pourra alors déchiffrer la communication, et obtenir par exemple les identifiant d’accès à l’interface.

Ce type d’attaque n’est pas nouveau. Elle repose sur le principe qu’il est possible à une tierce personne d’avoir accès aux paramètres privés. L’outil récemment rendu public permet en revanche de faciliter cette recherche de la clé privée dans des cas précis.

Pour éviter de s’exposer à cette attaque, les fabricants devraient installer dans chaque équipement un certificat différent, ou demander à l’administrateur d’en générer un lui-même et qui sera propre à cet équipement.

Rappel des avis émis

Dans la période du 20 au 26 décembre 2010, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 31 décembre 2010
    version initiale.