S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 16 novembre 2012
N° CERTA-2012-ACT-046
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTA-2012-ACT-046

Gestion du document

Référence CERTA-2012-ACT-046
Titre Bulletin d'actualité CERTA-2012-ACT-046
Date de la première version 16 novembre 2012
Date de la dernière version 16 novembre 2012
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Sécurité des données et mobilité

Les médias relatent régulièrement des cas de vol ou d'accès illégitimes à des matériels nomades contenant des données sensibles, notamment à l'occasion de déplacements professionnels.
En effet, les données contenues sur des supports amovibles, des ordiphones et des ordinateurs portables sont susceptibles d'être ciblées à des fins d'intelligence économique, d'espionnage, etc.

Afin de se prémunir contre les conséquences d'une perte ou d'un vol, le CERTA rappelle que l'ANSSI a publié un passeport de conseils aux voyageurs édictant les règles fondamentales à respecter dans le cadre d'un déplacement professionnel, parmi lesquelles :

  • utiliser du matériel dédié aux missions ;
  • sauvegarder au préalable, les données emportées ;
  • ne pas se déplacer avec des données sensibles sans lien avec les missions ;
  • marquer les appareils d'un signe distinctif pour pouvoir détecter les substitutions ;
  • utiliser des solutions de chiffrement.

Concernant ce dernier point, le CERTA ne peut que recommander l'utilisation des solutions de chiffrement certifiées par l'ANSSI, dans le respect de la législation du pays visité sur l'utilisation de la cryptographie.

Documentation

2 Les greffons ciblés par les plates-formes d'exploitation

Une technique classique d'attaque consiste à déposer des codes malveillants sur des sites Internet, puis à attirer les victimes sur ces sites (en usant par exemple de techniques d'ingénierie sociale), dans le but de les compromettre en exploitant une faille présente dans leur navigateur. Ce mode opératoire a beaucoup été utilisé pendant plusieurs années, mais désormais les navigateurs intègrent divers mécanismes de sécurité (notamment de type « bac à sable »). Les attaquants ont donc modifié leur mode opératoire pour cibler les greffons (plugins) intégrés aux navigateurs. Ces greffons représentent alors des vecteurs d'attaque intéressants pour les attaquants, puisque le panel des technologies utilisées sur le Web est largement diversifié.

Plusieurs résultats d'études rapportent qu'aujourd'hui la majorité des failles exploitées concernent la technologie Java et les produits Adobe Reader et Flash ; ce phénomène est confirmé par le CERTA dans les incidents qu'il traite. Parallèlement, une autre étude récemment publiée indique que désormais la plupart des plates-formes d'exploitation disponibles ont tendance à privilégier l'intégration de codes d'exploitation pour Java, qui devance à présent les produits Adobe plus massivement concernés les années précédentes.

Le CERTA recommande l'application régulière des correctifs pour ces logiciels tiers, voire leur désactivation complète si aucun correctif n'est disponible ou si leur utilisation n'est pas justifiée. Par exemple, l'intégration d'un greffon PDF au sein d'un navigateur n'est pas indispensable. En le désactivant, la consultation d'un document PDF provoquera son téléchargement. Ce dernier pourra ensuite être lu avec le lecteur PDF local à la machine, après analyse par l'anti-virus de la machine.

Documentation

3 Mise à jour mensuelle Microsoft

Lors de la mise à jour mensuelle de Microsoft, six bulletins ont été publiés.

Quatre bulletins sont considérés comme critiques :

  • MS12-071 : concernant Microsoft Internet Explorer, cette mise à jour de sécurité corrige trois vulnérabilités permettant à un attaquant, à l'aide d'une page Web spécialement conçue, d'exécuter du code à distance avec les droits de l'utilisateur courant ;
  • MS12-072 : concernant le porte-documents, cette mise à jour de sécurité corrige deux vulnérabilités permettant à un attaquant, à l'aide d'un porte-documents spécialement conçu, d'exécuter du code à distance avec les droits de l'utilisateur courant ;
  • MS12-074 : concernant le framework .NET, cette mise à jour de sécurité corrige cinq vulnérabilités dont la plus grave permet à un attaquant, s'il arrive à persuader un utilisateur d'utiliser un fichier de configuration de proxy spécialement conçu, d'exécuter du code à distance en l'injectant dans l'application en cours d'exécution ;
  • MS12-075 : concernant le noyau Windows, cette mise à jour de sécurité corrige trois vulnérabilités permettant à un attaquant :
    • d'élever ses privilèges grâce à une application spécialement conçue ;
    • d'exécuter du code à distance avec des droits système à l'aide d'un fichier de police TrueType spécialement conçu.

Un bulletin est considéré comme important (MS12-076) et concerne Microsoft Excel. Cette mise à jour de sécurité corrige quatre vulnérabilités permettant à un attaquant, à l'aide d'un document Excel spécialement conçu, d'exécuter du code à distance avec les droits de l'utilisateur courant.

Un bulletin est considéré comme modéré (MS12-073) et concerne Microsoft IIS 7.0. Cette mise à jour de sécurité corrige deux vulnérabilités permettant la divulgation d'informations :

  • de connexion (nom d'utilisateur / mot de passe) contenues dans le fichier journal non protégé ;
  • par le biais de commandes FTP spécialement conçues.

En dehors de la vulnérabilité d'envoi de commandes spécialement conçues corrigée par le bulletin MS12-073, aucune de ces vulnérabilités n'avait été divulguée publiquement précédemment. D'après les observations de Microsoft, aucune attaque exploitant ces vulnérabilités n'a été révélée avant la publication de ces bulletins.

Le CERTA recommande l'application de ces mises à jour dès que possible.

Documentation

Rappel des publications émises

Dans la période du 05 novembre 2012 au 11 novembre 2012, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 16 novembre 2012
    version initiale.