Avis d'expert : semaine du 4 au 10 octobre 2010

Le CERT-XMCO attire votre attention sur la sortie du bulletin de sécurité APSB10-21 corrigeant un grand nombre de vulnérabilités au sein d’Adobe Reader et d’Acrobat. Par ailleurs, Microsoft et Oracle publieront dans la semaine à venir un grand nombre de correctifs : 16 bulletins corrigeant 49 vulnérabilités pour Microsoft ainsi qu’un bulletin concernant 81 vulnérabilités pour Oracle.

* Résumé des évènements majeurs :
Vulnérabilités :
RIM, le fabricant de la solution BlackBerry, a été évoqué à plusieurs reprises au cours de la semaine.
Une vulnérabilité a été découverte au sein du système d’exploitation de la plateforme mobile de Research In Motion (RIM) : BlackBerry. Un pirate est ainsi en mesure d’accéder à des informations sensibles en incitant un utilisateur à ouvrir une page Internet spécialement conçue utilisant le mécanisme HTML des « IFRAMES ».
Une autre faille de sécurité liée à l’utilisation du logiciel « BlackBerry Desktop Software » a été découverte par la société Elcomsoft. La mauvaise utilisation de la fonction de dérivation de clef « PBKDF2 » associée à l’algorithme de chiffrement AES permettrait à un pirate de mener une attaque par force brute pour découvrir la valeur de la clef privée de 256 bits utilisée pour chiffrer les sauvegardes du système… Un pirate pourrait donc accéder en relativement peu de temps à l’ensemble des données sauvegardées par un utilisateur.

Correctifs :
Microsoft a annoncé la date de publication de ses correctifs. Le 12 octobre, le « Patch Tuesday » comprendra donc 16 bulletins corrigeant 49 vulnérabilités présentes au sein de Windows, SharePoint, Microsoft Web Applications ainsi que dans la suite bureautique Office. Microsoft juge celles-ci comme étant « critiques » pour quatre d’entre elles, « importantes » pour dix d’entre elles, et enfin « modérées » pour les deux restantes. Par ailleurs, l’édition d’octobre du « Patch Tuesday » sera aussi l’occasion pour Microsoft de corriger les deux vulnérabilités « 0day » exploitées par le malware Stuxnet pour élever ses privilèges.

Le même jour, Oracle publiera de son côté son bulletin de sécurité trimestriel « cpuoct2010 » corrigeant 81 vulnérabilités au sein de l’ensemble des logiciels Oracle et Sun.

Adobe a publié cette semaine son correctif hors cycle APSB10-21. Celui-ci corrige 23 vulnérabilités dont les failles de sécurité « 0day » référencées CVE-2010-2883 et CVE-2010-2884 présentées par Adobe dans les alertes APSA10-02 et APSA10-03. Dans le même temps, les professionnels de la sécurité, réunis pour la conférence annuelle « Virus Bulletin » qui se tenait à Vancouver au Canada, ont symboliquement voté pour l’abolition du format PDF… Si aucune vulnérabilité ou aucun code d’exploitation ne sont publiés avant la fin du prochain cycle de sécurité d’Adobe, les prochains bulletins accompagnés de leur correctif sont attendus pour le 8 février 2011.

Enfin, MySQL, PostgreSQL et Typo3 ont publié des correctifs pour leurs logiciels respectifs.

Cybercriminalité / Attaques :
Stuxnet continue de faire parler de lui. Cette semaine, l’Iran a annoncé avoir arrêté les « espions » responsables de la prolifération du malware dans le pays. Dans le même temps, le régime islamique a reporté au début de l’année 2011 le lancement de la centrale nucléaire de Bushehr. De légères fuites au coeur de la centrale forceraient les Iraniens à retarder la mise en production de la centrale, qui devait avoir lieu initialement au début du mois de novembre…

De nombreuses arrestations ont eu lieu cette semaine un peu partout dans le monde : en Angleterre, aux États-Unis et en Ukraine. Les pirates étaient soupçonnés de faire partie d’organisations liées au cybercrime tirant parti du malware ZeuS pour détourner de l’argent.

Plusieurs articles relatifs au cybercrime ont été publiés. Parmi ceux-ci, une étude rappelant l’organisation complexe des criminels, ainsi que la vision de Microsoft pour s’en protéger à l’échelle mondiale.

Justice :
En Angleterre, un jeune homme de 19 ans vient d’être condamné à quatre mois de prison pour avoir refusé de divulguer un mot de passe. Celui-ci avait été arrêté en mai 2009 dans une affaire de pédophilie, mais la Police n’a pu accéder au contenu chiffré du portable…

Conférence / Recherche :
À la suite de l’étude menée sur l’utilisation des données personnelles par les applications Androïd, c’est au tour des applications pour l’iOS d’Apple d’être montrées du doigt. Seuls 14 % des 57 applications provenant en partie des catégories « Most popular » et « Top Free » de l’AppStore n’utiliseraient pas de données personnelles. Inversement, près de 68 % des applications échangeraient au moins l’UDID (« Unique Device Identifier ») avec des serveurs privés.

Entreprises :
T-Mobile et HTC ont annoncé la commercialisation d’un nouveau smartphone basé sur Androïd, dont la particularité sera d’être équipé d’un rootkit matériel permettant à l’opérateur et au fabricant d’empêcher toute modification du système. C’est sûrement la première fois qu’un éditeur propose d’un côté aux utilisateurs un système ouvert, et au fabricant un système verrouillé…

Le fournisseur d’accès à Internet américain Comcast a annoncé le déploiement à l’échelle nationale d’un programme pilote initié à Denver l’année dernière. L’objectif de ce programme est d’alerter de façon automatisée les abonnés du FAI lorsque certains signes caractéristiques de la compromission d’un système ont été observés. Pour le moment, deux solutions techniques existent : l’envoi d’un courriel à l’internaute, ainsi que l’affichage d’une bannière en haut de chaque page Internet visitée avec un navigateur web. Dans le même temps, le FAI donne des conseils à ses clients afin de les aider à sécuriser leur ordinateur.

Internationnal :
Les Émirats Arabes Unis ont retiré la demande de suspension des services proposés par RIM dans le cadre de son offre BlackBerry, précédemment formulée auprès des opérateurs locaux. La solution proposée par RIM devrait donc satisfaire les exigences des émirats en terme de sécurité nationale.

Prévention :
Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) continue son initiative de sensibilisation à la sécurité informatique avec son Mois de la Sensibilisation à la Cyber-Sécurité (« Cyber Security Awareness Month », aka « CSAM »). Déjà dix bonnes pratiques concernant l’informatique au sein du cercle familial ont été formulées.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

CERT-XMCO

Découvrir d'autres articles