S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 06 décembre 2013
N° CERTA-2013-ACT-049
Affaire suivie par: CERT-FR
le 06 décembre 2013

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTA-2013-ACT-049

Gestion du document

Référence CERTA-2013-ACT-049
Titre Bulletin d’actualité CERTA-2013-ACT-049
Date de la première version 06 décembre 2013
Date de la dernière version 06 décembre 2013
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 – Publication d’une note sur la mise en œuvre d’un système de journalisation

L’ANSSI a publié le 2 décembre 2013 une note technique présentant des recommandations de sécurité pour la mise en œuvre d’un système de journalisation. Les journaux sont au cœur du traitement d’incident. Ils permettent de constater rapidement des anomalies mais également a posteriori de faciliter une éventuelle investigation numérique (périmètre de compromission, domaines ou adresses IP d’exfiltration, etc.). Malheureusement le CERTA constate encore très souvent des manquements dans les procédés de journalisation mis en œuvre par les victimes (absence de synchronisation horaire, requêtes DNS non journalisées, etc.).

Ce guide aborde les prérequis à la mise en place d’un système de journalisation, à savoir :

  • les fonctionnalités de journalisation ;
  • l’horodatage des évènements ;
  • la synchronisation des horloges ;
  • le dimensionnement des ressources nécessaires à la journalisation (espaces de stockage …).

Plusieurs recommandations d’architecture et de conception du système de journalisation sont abordées. Elles concernent notamment :

  • la résilience du système de journalisation ;
  • la protection des données échangées ;
  • le stockage des journaux ;
  • la consultation des journaux ;
  • les aspects juridiques et réglementaires (conservation de données à caractère personnel, valeur probatoire des éléments conservés).

Le CERTA recommande la lecture de cette note technique et l’application des 23 recommandations identifiées.

Documentation

2 – Fin de support de Microsoft Windows XP et d’Office 2003

Comme évoqué dans le bulletin d’actualité CERTA-2013-ACT-016, Microsoft a planifié l’arrêt du support de Microsoft Windows XP le 08 avril 2014. A cette date, l’éditeur cessera d’assurer la publication de correctifs de sécurité pour Windows XP, y compris en cas de découverte d’une vulnérabilité critique. Il en est de même pour Microsoft Office 2003, qui cessera d’être supporté à la même date.

Actuellement deux vulnérabilités dites « 0day » touchent ces logiciels : la première (CVE-2013-3906) concerne un composant graphique de Microsoft Office et la seconde (CVE-2013-5065) le pilote NDPROXY de Windows XP. Si des failles similaires étaient révélées après le 08 avril 2014, Microsoft ne fournirait pas les correctifs appropriés. Les systèmes d’information utilisant encore Windows XP ou Microsoft Office resteraient alors fortement exposés aux risques de compromissions.

Le CERTA recommande donc de migrer le plus rapidement possible les systèmes Microsoft Windows XP et Microsoft Office vers des versions supportées à long terme.

Documentation

3 – Déroutage BGP

Alors que les usurpations de préfixes d’adresses IP de l’Internet sont généralement causées par des inadvertances et engendrent l’inaccessibilité des préfixes en question, des cas d’usurpations au caractère inédit ont récemment été mis en évidence par des chercheurs américains. Des attaquants sont parvenus à dévier vers la Biélorussie et l’Islande une partie du trafic IP destiné à des organisations américaines, et ce pendant plusieurs mois, sans que les utilisateurs, ni même les administrateurs réseaux, aient pu le remarquer. Bien que le but des attaques ne soit pas connu, la configuration des usurpations aurait permis l’écoute ainsi que la modification du trafic IP des victimes.

Une telle usurpation de préfixe est provoquée en exploitant le protocole de routage Internet BGP pour qu’un préfixe IP soit annoncé depuis plusieurs emplacements géographiques. En effet, les opérateurs utilisent le protocole BGP pour s’interconnecter, et ainsi, font confiance aux autres opérateurs pour router leur trafic sur Internet. Or, Internet est aujourd’hui composé de plusieurs dizaines de milliers d’opérateurs et BGP ne dispose pas de mécanisme empêchant un opérateur d’annoncer un préfixe IP qui ne lui appartient pas.

C’est pourquoi l’ANSSI recommande aux opérateurs de surveiller la bonne propagation de leurs préfixes sur Internet, et notamment de détecter l’annonce de leurs préfixes IP par des opérateurs non autorisés, pouvant mener à des usurpations de préfixes. En outre, l’ANSSI préconise la mise en oeuvre des recommandations du guide des bonnes pratiques BGP.

L’ANSSI considère l’Internet comme une infrastructure importante et évalue son bon fonctionnement au sein de l’Observatoire de la résilience de l’Internet français. Pour cela, l’Observatoire étudie plusieurs indicateurs techniques mesurables de la résilience, comme les usurpations de préfixes, dont les acteurs présents sur le territoire français sont parfois victimes.

Documentation

4 – Comment procéder à un dépôt de plainte

Dans le cadre de sa mission de conseil et de soutien, l’ANSSI est souvent interrogée sur les modalités d’un dépôt de plainte pour des faits pouvant être interprétés comme des actes de « cyber-délinquance ».

Le dépôt de plainte est une démarche juridique positive qui permet de porter à la connaissance du procureur de la République des faits pouvant donner lieu à des poursuites pénales. Il peut être effectué soit directement auprès du procureur de la République soit auprès d’un service de police ou de gendarmerie. Il permettra à la victime d’évaluer le préjudice subi.

Le procureur de la République décidera du service compétent pour diligenter l’enquête. Ainsi, en fonction des faits dénoncés, il pourra saisir un service spécialisé (OCLCTIC, BEFTI, DCRI, DLCC ) ou des enquêteurs spécialisés présents sur toute la France. Le service saisi pourra alors constater la matérialité de l’infraction puis rechercher et identifier le ou les auteurs.

Lors du dépôt de plainte, le déclarant devra justifier de son identité. S’il s’agit d’un représentant d’une personne morale telle qu’une société, il devra également fournir un extrait Kbis de la société et un mandat émanant du représentant légal.

Afin de faciliter le traitement de la plainte il est fortement recommandé, surtout lors d’incidents complexes, de remettre au service saisi un rapport d’incident détaillé permettant de préciser :

  • la nature et la date de l’attaque,
  • les systèmes concernés et leur localisation géographique,
  • les mesures prises pour préserver les traces et indices,
  • les mesures prises en réaction à l’incident,
  • l’importance du préjudice subi (durée de l’interruption de service, valeurs des données compromises, coût des opérations de remédiations, etc.),
  • les coordonnées des contacts privilégiés (technicien, etc.).

Dans tous les cas, il conviendra de remettre au service de police ou de gendarmerie tous les éléments permettant de caractériser l’infraction subie et d’identifier les éventuels auteurs. Le plaignant pourra par exemple remettre, sous format électronique, des journaux d’évènements, des fichiers suspects voire des supports physiques (disques durs) ou leurs copies physiques intégrales.

Dans les cas d’affaires particulièrement complexes, le dépôt de plainte pourra être suivi par l’audition d’un technicien.

Documentation

Rappel des avis émis

Dans la période du 25 novembre au 01 décembre 2013, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 06 décembre 2013
    version initiale.