Avis d'expert : semaines du 12 au 25 Décembre 2011

À la suite de la publication par Microsoft et Adobe des nombreux correctifs dans le cadre de leurs cycles de sécurité, le CERT-XMCO recommande l’installation des correctifs MS11-087 (Windows), MS11-092 (Windows Media), MS11-090 (Windows) et APSB11-30 (Adobe Reader). Ce dernier correctif correspondrait à une faille de sécurité actuellement exploitée par les pirates dans le cadre d’attaque ciblée sur Internet.

Enfin, l’équipe responsable des aspects « sécurité » du logiciel TYPO3 recommande l’installation de la dernière version du logiciel à la suite de la correction d’une faille de sécurité permettant de prendre le contrôle complet du système depuis Internet. Cette faille serait, elle aussi, activement exploitée par les pirates.

Résumé des évènements majeurs

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent Java, le noyau Linux (pilote BATMAN, KVM et l’IOCTL « SG_IO »), IBM ECM et DB2, Novell Sentinel Log Manager, Windows 7, Kaspersky Internet Security.

Correctifs :

Dans le cadre de son « Patch Tuesday » du mois de décembre, Microsoft a publié des correctifs pour Windows (MS11-087), Office avec support du Chinois (MS11-088), Word (MS11-089), les contrôles ActiveX sur Internet Explorer (MS11-090), Publisher (MS11-091), Windows Media (MS11-092), le composant OLE de Windows (MS11-093), PowerPoint (MS11-094), Active Directory (MS11-095), Excel (MS11-096), le processus CSRSS de Windows (MS11-097), Windows (MS11-098), et enfin Internet Explorer (MS11-099). L’exploitation de ces failles permettait à un pirate d’élever localement ses privilèges, voire de prendre le contrôle du système à distance.

Dans le même temps, Adobe a publié les bulletins APSB11-29 et APSB11-30 correspondant à des correctifs pour Coldfusion (XSS) et Adobe Reader et Adobe Acrobat (prise de contrôle d’un système à distance).

Plusieurs autres correctifs ont aussi été publiés. Ceux-ci concernent les produits IBM Rational Rhapsody, Lotus Domino, IBM Java, AIX (X et Inventory Scout), Tivoli Federated Identity Manager, Barracuda Control Center et Barracuda Web Filter, HP Managed Printing Administration, HP-UX, les produits WebSense, VLC, phpMyAdmin (PMASA-2011-19, PMASA-2011-20), Mozilla Firefox et Thunderbird, Avaya Call Management System, le serveur DNS Unbound, RoundCube, Novell Access Manager, TYPO3, Solaris, JBoss Enterprise Portal Platform, RSA SecurID Software Token et RSA Adaptive Authentication, Google Chrome, Cacti et enfin Winamp.

Enfin, Oracle a publié une mise à jour de Java (Java SE 6 Update 30). Celle-ci n’apporterait cependant pas de correctif de sécurité.

Conférence / Recherche :

Selon une récente étude réalisée par la société Accuvant, Google Chrome, le navigateur web de Google serait le navigateur le plus sûr du marché pour naviguer sur Internet. Pour aboutir à ce résultat, les chercheurs ne seraient pas intéressés au nombre de failles de sécurité rapportées et/ou corrigées, qui ne décrivent pas forcément la qualité ou la sécurité d’un logiciel ; mais plutôt aux fonctions de sécurité implémentées au sein de ces logiciels.

OpenDNS, une société qui offre un service gratuit de résolution de noms de domaines, vient de lancer un nouveau « service » baptisé DNSCrypt. Celui-ci vise à simplifier la sécurisation de ce protocole. En effet, bien que le protocole DNS soit utilisé partout et tout le temps (internet, ail, messagerie instantanée, etc.), il est réputé pour être particulièrement sensible en matière de sécurité. Malgré cela, il n’intègre, de base, aucune fonction de sécurisation. L’objectif de l’outil et du protocole est de chiffrer les données échangées entre le client et le serveur DNS interrogé afin de garantir la confidentialité et l’intégrité de données.

Selon les résultats d’une étude publiée par la société ViaForensic, l’application Google Wallet stockerait des données sensibles de façon non sécurisée.

Le NIST a publié un brouillon détaillant le fonctionnement du modèle de vérification de confiance au niveau du BIOS.

Tout comme l’a fait Google pour Chrome, Microsoft devrait ajouter, en 2012, une fonction de mise à jour automatique à Internet Explorer.

Microsoft serait actuellement en train de travailler sur une nouvelle méthode d’authentification pour Windows 8. Microsoft s’est probablement inspirée du mécanisme d’authentification de Google pour les smartphones Android. Au lieu de reconnaitre le déplacement d’un doigt passant par des points clairement identifiés sur l’écran tactile du smartphone, l’utilisateur devra reproduire des mouvements enregistrés au préalable à l’aide de son doigt sur une photo. Pour complexifier la chose, plusieurs types de mouvements seront demandés à l’utilisateur lors de l’enregistrement de son « geste » d’authentification : un cercle, une ligne et enfin un clic.

Cybercriminalité / Attaques :

Symantec a confirmé les récentes attaques contre le secteur de la défense américain. Celles-ci reposent sur la faille découverte par le CSIRT de Lockheed Martin au sein d’Adobe Reader, qui a été corrigée cette semaine. Selon plusieurs chercheurs, le récent 0day Adobe aurait pu être utilisé pour obtenir des informations secrètes sur les drones de combat américain.

Afin de dérober les informations contenues dans la piste magnétique des cartes bancaires, les pirates ne s’attaquent plus seulement aux distributeurs automatiques de billets, mais également aux autres équipements intégrant un lecteur de cartes. Ainsi, la chaine américaine de supermarchés Lucky a annoncé avoir détecté la présence de skimmers sur les lecteurs de cartes présents sur les bornes de paiement présentes dans les caisses libre-service.

Un analyste spécialisé en cyber-défense travaillant pour l’U.S. Air Force Research Institute a annoncé dans une interview au journal « The Diplomat » que ce ne sont pas les États-Unis et Israël qui se cachent derrière Stuxnet, mais la Russie. En effet, selon lui, il est inconcevable que ces deux grands pays en soient à l’origine étant donné que tous deux démentent officiellement toute implication dans cette affaire, alors que « rien ne les y oblige »…

Alors que l’on vient tout juste d’apprendre que Gemmet, une filiale de l’autorité de certification KPN, aurait été victime de pirates, une autre autorité de certification baptisée GlobalSign vient de publier une analyse de l’attaque dont elle a été victime au début du mois de septembre. Il est important de noter que pour une fois, une autorité de certification présente en détail les différents tenants et aboutissants de cet incident de sécurité. Il semblerait que l’autorité de certification ait manoeuvré de la meilleure façon qu’il soit, aussi bien en terme de communication qu’en terme de gestion d’incident, pour sortir grandi par cet incident de sécurité.

Visa serait actuellement en train de mener une enquête dans le cadre de la possible compromission des systèmes d’un prestataire de paiement basé dans l’est de l’Europe (probablement en Roumanie). D’après les premières informations, Visa semble avoir été informée de la mise en vente sur internet de données personnelles appartenant aux détenteurs de carte de paiement.

Le code source de la version 11 du système d’exploitation Solaris aurait été publié sur Internet. Très peu d’informations sont disponibles au sujet de cette fuite d’information. Il s’agirait d’un fichier de 100 Mo de données correspondant à la version 11 Build 175 de l’OS, et à la révision 33 du système de fichiers propriétaire ZFS.

Entreprise :

Microsoft vient d’annoncer qu’il arrêtera de supporter les produits des gammes « professionnelles » Windows XP et Office 2003 à partir du 8 avril de l’année 2014. À partir de cette date, l’éditeur ne publiera plus aucun correctif de sécurité concernant ces deux logiciels. L’éditeur aura donc offert respectivement 12 ans et 10 ans de supports pour ces deux logiciels. C’est l’abandon progressif des utilisateurs de ces deux logiciels qui aurait poussé l’éditeur à prendre cette décision.

Afin de mettre un terme à l’affaire « CarrierIQ », la société éditrice du logiciel vient de publier un descriptif très complet de sa solution installée sur de nombreux smartphones aux États-Unis. Celui-ci présente entre autres le fonctionnement de la solution, mais il identifie aussi les données présentes sur un smartphone auxquelles un opérateur est en mesure d’accéder. Enfin, le document précise comment les données personnelles sont protégées grâce au processus défini par CarrierIQ.

Internationnal :

Les États-Unis ont publié leurs priorités en matière de R&D dans le secteur de sécurité. Afin de répondre aux différents challenges précédemment identifiés, le document propose une stratégie reposant sur 4 points principaux permettant de rendre le cyber-espace plus sûr et plus fiable. Les quatre points en questions sont :

  • induire le changement ;
  • développer les Fondements scientifiques ;
  • maximiser l’impact de la recherche ;
  • et enfin, accélérer la mise en application.

D’après une étude demandée par le gouvernement, entre 500 000 et 1 million de passeports biométriques seraient des faux, alors que ceux-ci sont considérés comme infalsifiables. La faille de sécurité ne se situerait pas au niveau du document administratif en lui-même, mais plutôt dans le processus à suivre pour l’obtenir. En effet, il est possible d’obtenir un passeport biométrique en présentant simplement un acte de naissance. Or il est tout à fait possible de produire un faux acte de naissance à l’aide d’une simple photocopieuse.

Juridique :

Tandis que la France vient tout juste de porter plainte contre X dans une affaire de phishing, l’unité de police baptisée PCeU (« Police Central e-Crime Unit ») a procédé à l’arrestation de 6 personnes dans le cadre d’une affaire similaire ayant permis aux pirates de dérober plus d’un million de Livres sterling à des étudiants anglais boursiers.

XMCO a récemment publié un nouvel article sur son blog :

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO

CERT-XMCO

Découvrir d'autres articles