Objet: Bulletin d’actualité 2012-01

1 Vulnérabilité de la semaine

1.1 Faiblesse dans le protocole Wi-Fi Protected Setup (WPS)

Un chercheur en sécurité a récemment révélé une faiblesse dans le protocole Wi-Fi Protected Setup (WPS) affectant la sécurité des points d’accès Wi-Fi supportant ce protocole. Malheureusement, la majorité des points d’accès Wi-Fi récents possèdent le WPS activé par défaut, ce qui touche une large gamme de produits.

1.1.1 Qu’est-ce que le WPS ?

Le but de WPS est de simplifier la configuration d’un client sans-fil. Les informations de sécurité (par exemple, la clé WPA2 dans le cas où ce protocole est utilisé) sont envoyées automatiquement au client par le point d’accès. Il y a trois modes possibles :

1. le mode Push Button Connect : il faut appuyer sur un bouton présent sur le point d’accès, ce qui lui permet de communiquer avec un client ayant besoin d’être configuré ;
2. le mode PIN client : l’appareil client possède un code PIN attribué par le fabriquant. Il faut alors se connecter à l’interface de configuration du point d’accès Wi-Fi et entrer le code PIN du client autorisé à récupérer les informations de configuration ;
3. le mode PIN routeur : le point d’accès Wi-Fi possède un code PIN secret de 8 chiffres qu’il faut renseigner sur un appareil client pour que ce dernier puisse récupérer les informations.

Les deux premières méthodes nécessitent un accès physique au point d’accès ou à son interface de configuration. En revanche, la troisième méthode nécessite seulement de connaître le code PIN secret de 8 chiffres et c’est dans celle-ci que se trouve la faiblesse.

En théorie, il existe cent millions de codes PIN possibles. Cependant, le protocole, tel qu’il est conçu, permet de trouver le bon code PIN en effectuant au maximum 11000 tentatives, ce qui rend les attaques par recherche exhaustive relativement efficaces.

Par conséquent, il est conseillé de désactiver le support du WPS lorsque celà est possible ou de mettre à jour le firmware du point d’accès Wi-Fi lorsque des mises à jour seront disponibles (se référer au constructeur de votre point d’accès).

Documentation

• Entrée du blog de Stephan Viehböck du 27 Décembre 2011 :

  http://sviehb.wordpress.com/2011/12/27/wi-fi-protected-setup-pin-brute-force-vulnerability/
  

2 Incidents récents

2.1 Fuites de données sur des serveurs web

Le CERTA est régulièrement amené à contacter ses correspondants pour leur signaler des données accessibles à tous les internautes, alors que leur nature ne laisse pas supposer qu’une telle audience soit le fait d’un choix délibéré.

Dans certains cas, il s’agit de sauvegardes de la base de données situées dans l’arborescence des documents composant le site web.

Un site web construit sur une base de données est une situation courante. Les gestionnaires de contenu (CMS) comme Joomla!, SPIP, Drupal, etc… reposent sur une base de données pour produire les pages web à partir des articles et des canevas (templates, skeleton…). Ce contenu est public, en définitive, et l’accessibilité de ces sauvegardes peut ne pas choquer.

Le problème devient rapidement plus aigu avec les fonctions variées qu’offrent les CMS et qui permettent la manipulation de données nominatives ou de données sensibles comme des mots de passe. Ces fonctions, dans le CMS ou dans des extensions, recouvrent la gestion des contacts, donc des données personnelles, l’envoi d’une revue électronique (newsletter) donc la collecte d’adresses électroniques, des agendas, des extranets, etc…

Pour éviter ces fuites d’informations, les pistes sont diverses :

• pour des données telles que des configurations et des sauvegardes, le positionnement des fichiers hors de l’arborescence des documents et des scripts du site web est préférable ;
• le contrôle des droits positionnés lors de l’installation des logiciels tels les CMS et leurs extensions, et la rectification si nécessaire ;
• le positionnement des droits au niveau du système de fichiers ne doit permettre que les accès indispensables, aux comptes nécessaires ;
• pour les fichiers dans l’arborescence du site web, des protections telles que les fichiers .htaccess d’Apache permettent de limiter les accès ;
• éventuellement chiffrer les données.

Rappel des avis émis

Dans la période du 26 décembre 2011 au 01 janvier 2012, le CERT-FR a émis les publications suivantes :

• CERTA-2011-AVI-718 : Vulnérabilité dans telnetd sur FreeBSD
• CERTA-2011-AVI-719 : Vulnérabilité dans phpMyAdmin
• CERTA-2011-AVI-720 : Vulnérabilité dans phpMyAdmin
• CERTA-2011-AVI-721 : Multiples vulnérabilités dans HP Managed Printing Administration
• CERTA-2011-AVI-722 : Vulnérabilité dans pam_ssh sur FreeBSD
• CERTA-2011-AVI-723 : Multiples vulnérabilités dans les produits Websense
• CERTA-2011-AVI-724 : Vulnérabilité dans IBM Lotus Domino
• CERTA-2011-AVI-725 : Vulnérabilité dans IBM DB2
• CERTA-2011-AVI-726 : Multiples vulnérabilités dans F5 Enterprise Manager
• CERTA-2011-AVI-727 : Vulnérabilités dans l’implémentation ASP.Net du Microsoft .NET Framework
• CERTA-2011-AVI-728 : Vulnérabilité dans PHP
• CERTA-2011-AVI-729 : Vulnérabilité dans Ruby
• CERTA-2011-AVI-730 : Vulnérabilité dans Apache Tomcat

Durant la même période, les publications suivantes ont été mises à jour :

• CERTA-2011-ALE-007-001 : Vulnérabilité dans ftpd et ProFTPD sur FreeBSD
• CERTA-2011-AVI-706-001 : Vulnérabilité dans OpenPAM