Avis d'expert : semaine du 21 au 27 Novembre 2011

Un code d’exploitation permettant à un pirate de prendre le contrôle d’un système à distance en incitant simplement un internaute à ouvrir un fichier Excel spécialement conçu a été publié sur Internet. Bien que ce code exploite la vulnérabilité MS10-038 publiée en 2010, le CERT-XMCO recommande l’installation de ce correctif.

Résumé des évènements majeurs

Vulnérabilités :

Deux vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le système d’exploitation Windows et le serveur web Apache further proxy/rewrite URL validation security issue (CVE-2011-43]. Windows est vulnérable à un déni de service, alors qu’Apache est vulnérable à un contournement de restriction de sécurité.

Correctifs :

Plusieurs correctifs ont été publiés. Ceux-ci concernent le navigateur Firefox, les produits de la suite Horde Don’t display task details of private tasks via the API (Bug #10712).], Novell Netware et Open Enterprise Server, le serveur Bind sur Solaris et AIX, Perl sur IBM System Storage, IBM Java, HP Operations Agent et HP Performance Agent, Tomcat sur HP-UX, et enfin RealPlayer.

Exploit :

Plusieurs preuves de concept ont été divulguées cette semaine.

La première permet de prendre le contrôle d’un système Windows à distance en incitant un internaute à ouvrir un document Excel spécialement conçu. La seconde permet de provoquer un déni de service sur un système Windows en exécutant un programme spécialement conçu. La troisième et la quatrième permettent de prendre le contrôle d’un système à distance via plusieurs failles de sécurité au sein de WireShark. La cinquième permet d’élever ses privilèges au sein d’Android. Enfin, la dernière permet d’accéder à des informations sensibles via une faille de sécurité au sein de VMware vCenter.

Conférence / Recherche :

Google continue de travailler afin de protéger du mieux possible les internautes et leur vie privée. Le géant de la recherche vient pour cela de mettre en place un nouveau mécanisme baptisé « forward secrecy ». Dans leur configuration précédente, les serveurs de Google ne protégeaient pas les échanges des internautes sur le long terme. En effet, en enregistrant aujourd’hui des échanges HTTPS, un pirate aurait été en mesure de les déchiffrer dans leur intégralité dans un futur plus ou moins lointain. En mettant en place ce nouveau mécanisme, Google s’assure que même si un pirate réussi a cassé la clef de chiffrement d’un échange, le pirate ne pourrait pas découvrir le contenu des autres échanges.

Dans le même temps, l’EFF a proposé la mise en place d’un nouveau mécanisme baptisé « Sovereign Keys » afin de redonner confiance aux internautes dans l’écosystème SSL. Celui-ci cherche à proposer une solution technique permettant à un logiciel reposant sur SSL de s’adapter à la configuration SSL et aux erreurs de validation rencontrées. En effet, selon l’EFF, SSL est trop complexe en l’état actuel pour être correctement appréhendé par les internautes.

La société néerlandaise Fox-It vient de publier de nouvelles informations sur les certificats utilisés récemment par les pirates pour signer les malwares découverts par F-Secure. Selon cette étude, les clefs privées correspondant aux certificats auraient été bruteforcées par les pirates, après que ceux-ci aient trouvé les certificats sur Internet. La société a d’ailleurs été en mesure de retrouver la liste des sites utilisant ces certificats vulnérables au sein de données publiquement accessibles. Pour rappel, Microsoft avait été obligée de révoquer les certificats racines de l’autorité de certification malaisienne DigiCert Sdn. Bhd. à la suite de la révélation par une entité tierce de l’émission de certificats faiblement sécurisés. Mozilla et Google avaient d’ailleurs agi de la même façon en supprimant les certificats racines en cause.

Depuis quelque temps, les opérateurs de serveurs anti-censure tels que Tor détectent un nouveau comportement étrange lors de l’établissement des connexions en provenance de la Chine. En effet, au lieu de recevoir les données envoyées par le client Tor de l’internaute, les serveurs Tor reçoivent en premier lieu un bloc de données dont le contenu semble être aléatoire. Celui-ci est parfois suivi du début de la connexion de l’internaute. Mais au final, celle-ci est soudainement coupée. D’après les analyses réalisées par les développeurs de ce type de service, il semblerait que ce nouveau comportement puisse être lié à la mise en place chez certains fournisseurs d’accès à Internet d’une nouvelle solution permettant au gouvernement chinois de détecter ce type de serveur en envoyant des données avant que la connexion ne soit établie entre l’internaute et le serveur.

Cybercriminalité / Attaques :

Alors que Duqu ne semble plus faire parler de lui, c’est au tour de Stuxnet de revenir sur le devant de la scène. Le malware est en effet soupçonné d’être à l’origine de l’explosion meurtrière d’un missile sur la base iranienne d’Alghadir.

D’après un récent rapport publié par Reuters, l’attaque dont aurait été victime le groupe NASDAQ ONX, en charge de l’un des principaux indices boursiers américains, aurait comme origine un faible niveau de sécurité du système d’information. Il semble en effet que les systèmes sur lesquels étaient hébergés l’application « Director’s Desk », qui avait été exploité par les pirates pour accéder à des informations sensibles, étaient protégés par des par-feux mal configurés, n’étaient pas à jour en terme de correctifs de sécurité, et utilisaient des versions non supportées de certains logiciels telles que le système d’exploitation Windows Server 2003.

D’après une étude réalisée par Juniter Networks, le nombre de malwares ciblant les smartphones Android serait en très forte augmentation.

Trois ans après que la faille ait été révélée, Apple a corrigé une faille de sécurité au sein d’iTunes actuellement exploitée par un malware afin de prendre le contrôle d’un système à distance. La faille serait liée à la gestion du téléchargement des mises à jour.

Au début du mois de novembre, le site internet d’une société spécialisée dans la vente en ligne a subi une attaque de déni de service distribuée (DDoS) durant toute une semaine. D’après une spécialisée dans la protection contre ce type d’incident, cette attaque serait la plus importante en volume de l’année. Au point le plus critique de l’attaque, le serveur recevait jusqu’à 15 000 requêtes par secondes, soit environ 45 Gbps de trafic !

Entreprise :

L’ANSSI vient d’annoncer avoir mis en place un partenariat avec Telecom SudParis afin de former ses élèves en vue de leur délivrer le titre d' »Expert en Sécurité des Systèmes d’Information » (ESSI). Cette initiative vise à doter la France des compétences nécessaires pour faire face à la multiplication des attaques contre les systèmes d’information de l’État et des entreprises.

Internationnal :

Le Royaume-Uni a réalisé cette semaine un exercice de simulation avec de nombreuses sociétés privées pour voir comment le pays réagirait face à un cyber-incident majeur en marge de la préparation des Jeux olympiques de 2012. En fin de semaine, le pays a aussi publié sa stratégie en matière de cyber-sécurité. Bon nombre de mesures ambitieuses sont ainsi proposées afin de faire du pays l’endroit le plus sur pour l’activité des entreprises, et faire du secteur de la cyber-sécurité un secteur majeure dans l’économie du pays.

Dans le même temps, les États-Unis ont annoncé officiellement qu’ils répondraient par la force à toutes les cyber-attaques.

Juridique :

La Cour Européenne de Justice (CEJ) vient de statuer sur le téléchargement de contenus piratés. Aucun organisme n’est en droit de demander aux fournisseurs d’accès à Internet de bloquer l’accès à ce type de fichiers à leurs clients. Cette décision vient conclure une procédure qui a débuté en 2004 opposant la SABAM, l’équivalent belge de la SACEM, au FAI belge Scarlet. La SABAM souhaitait en effet imposer au FAI de bloquer l’accès aux contenus piratés à ses clients.

Après avoir été obligé de fermer son site en juin dernier, le fondateur de CCCAmpremium, le plus gros site de CardSharing de France, vient d’être arrêté par les gendarmes. Depuis 2009, ce pirate fournissait pour 100 ¤ par an un accès aux chaînes CanalSAT et Orange TV. D’après le procureur cette activité illégale aurait fait perdre aux alentours de 2,5 millions d’euros à Canal+.

Selon une nouvelle étude publiée par l’Observatoire National de la Délinquance et des Réponses Pénales (ONDRP), la fraude sur les paiements par carte bancaire à distance représenterait 62 % du montant total de la fraude en 2010.

Vie Privée :

Google a récemment ajouté une nouvelle fonctionnalité au nom pour le moins suspicieux : « silentlyInstall() ». Cette fonction permet à Google d’installer automatiquement, et sans en avertir l’internaute, des extensions au sein du navigateur. Il semblerait que cette fonction soit utilisée afin de simplifier l’installation des extensions « +1 » et « Notifications ».

« Do Not Track« , le futur standard proposé par Mozilla est en cours de validation par le W3C. Le principe est le suivant : le navigateur envoie un signal informant les sites Web que l’utilisateur ne souhaite pas que ces données soient enregistrées lorsque le navigateur se connecte à un site qui utilise les informations comportementales (historique de navigation) afin de personnaliser les publicités présentées à l’internaute en fonction de son profil. Actuellement, Internet Explorer, Firefox et Safari supporteraient ce standard. Google, dont les principaux revenus proviennent de la publicité en ligne, ne l’a pas (encore ?) ajouté à Chrome.

XMCO a récemment publié plusieurs articles sur son blog :

L’application iCERT-XMCO est enfin disponible sur l’Android Market à l’adresse suivante :

Celle-ci vous permettra de suivre l’actualité de la sécurité informatique en restant informé des attaques informatiques du moment et des plus récentes découvertes de vulnérabilités des systèmes informatiques. Pour rappel, cette application est aussi disponible pour iPhone à l’adresse suivante :

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO

CERT-XMCO

Découvrir d'autres articles