1 Bonne année

L’année 2009 s’achève, c’est le moment des bilans et des bonnes résolutions.

Encore une fois, cette année a été riche en événements, avec comme point d’orgue la propagation de différentes versions de vers exploitant la vulnérabilité MS08-067 (Conficker, Kido, …). Ces événements nous ont prouvé, s’il en était encore besoin, que les procédures les plus simples (contrôle du SI, mises à jour, etc.) restent la base de la sécurisation des systèmes. Sans cette brique essentielle, tout le reste ne sera que château de sable et s’écroulera au premier problème venu.

L’année 2009 aura également été marquée par une forte augmentation des alertes. Le CERTA rappelle que de nombreuses vulnérabilités sont toujours non corrigées comme dans Adobe Reader, Adobe Acrobat et Thunderbird 2. La plus grande prudence est donc recommandée lors de l’ouverture de certains courriels ou documents PDF, par exemple les cartes de vœux.

D’un côté plus organisationnel, 2009 a vu la naissance de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), dont le CERTA fait partie, preuve s’il en est que la sécurité informatique est au cœur des préoccupations de l’État.

Le bulletin d’actualité est pour le CERTA, le moyen de partager sa vision et son expérience en matière de traitement d’incident. Tout retour sur cette production est toujours bénéfique. N’hésitez donc pas à nous faire part de vos remarques.

Il ne nous reste désormais plus qu’à vous souhaiter une bonne fin d’année 2009 et à vous donner rendez-vous l’année prochaine pour continuer ensemble l’effort global de sécurisation de nos systèmes d’information.

Très bonne année à toutes et à tous !

2 Incidents de la semaine

Danger des scripts de gestion de fichiers

Certains webmestres ont recours à des scripts, généralement écrits en PHP, pour assurer la gestion des fichiers sur le serveur. Leur rôle consiste à permettre le dépôt de fichiers (upload) ou le téléchargement (download). Malheureusement, ils ne sont pas toujours bien écrits ou ne s’adaptent pas toujours à la politique de sécurité du système d’information.

En l’espace d’une semaine, le CERTA a traité plusieurs incidents relatifs à de tels scripts :

  • une porte dérobée a été déposée dans un répertoire de stockage de fichiers temporaires puis utilisée pour la mise en place d’un site de phishing;
  • un scénario similaire a mené à la défiguration d’un site Web ;
  • plusieurs fichiers de téléchargement ont été utilisés par des attaquants pour récupérer des fichiers de configuration de serveur Web. L’un de ces fichiers contenait des identifiants de connexion à une base de données.

Le recours à de tels scripts doit avant tout s’inscrire dans la politique de sécurité. Il est nécessaire d’identifier au préalable les fichiers susceptibles d’être manipulés et de restreindre l’utilisation des scripts à ces fichiers. D’autre part, une attention toute particulière doit être apportée à l’écriture de ces programmes. Il est possible qu’ils fassent appel à des fonctions dangereuses qui peuvent être détournées pour réaliser diverses attaques. Enfin, le fait qu’il s’agisse souvent d’un développement « maison » ne préserve pas des attaques, puisqu’ils sont assez facilement trouvés à l’aide d’un moteur de recherche.

3 Un cadeau de Noël pour Microsoft IIS

La semaine dernière, de nombreux articles ont été publiés concernant une vulnérabilité non corrigée dans Microsoft IIS 6.

Microsoft, par l’intermédiaire de son centre de sécurité, a répondu qu’il ne s’agissait pas d’une vulnérabilité. Même si une faiblesse existe dans le traitement du caractère « ; » dans une URL par le serveur web de Microsoft, celle-ci ne peut être exploitée que sur un serveur mal configuré.

En effet, il est nécessaire pour une personne malveillante voulant profiter de cette faiblesse d’avoir les droits en écriture et en exécution sur le répertoire dans lequel un fichier malveillant aurait été déposé. Cette configuration, qui n’est pas celle par défaut, n’est pas en accord avec les bonnes pratiques de configuration d’un serveur Web.

Le CERTA recommande donc aux utilisateurs de Microsoft IIS de prendre connaissance et d’appliquer les bonnes préconisations de Microsoft disponibles ci-après.

Documentation

4 D’où vient mon plug-in ?

D’une manière générale, le CERTA recommande de ne pas installer de greffons supplémentaires, et ceci pour plusieurs raisons : confiance dans l’éditeur, manque de lisibilité, ajout de vulnérabilités supplémentaires, etc. Cependant, force est de constater que dans certains cas, l’ajout de greffons supplémentaires à un navigateur apporte un plus tant en termes de fonctionnalité qu’en termes de sécurité.

Lorsque l’on installe un de ces greffons ou une mise à jour de ces greffons, plusieurs choix s’offrent à nous :

  • le bon choix : se rendre sur la page de l’éditeur et rechercher directement le greffon souhaité ;
  • le mauvais choix : installer le greffon directement depuis un site tiers (avec tous les risques que cela comporte) ;
  • le choix médian : cliquer sur le lien d’un site tiers nous proposant de télécharger et d’installer le greffon depuis le site de l’éditeur.

A priori, ce dernier choix semble sûr : une fois rendu sur le site de l’éditeur, l’utilisateur peut vérifier qu’il est bien sur un site légitime, éventuellement en HTTPS avec un certificat valide. Malheureusement, ce n’est pas si simple. En effet, il est aisé pour un site malveillant de construire un lien qui aura deux actions conjointes : afficher la page valide de l’éditeur et proposer le téléchargement d’un greffon provenant d’un site tiers malveillant (cf. Capture d’écran). Même si dans le cas de Firefox (dans cet exemple), le nom du site malveillant s’affiche, rien n’empêche l’attaquant de construire un nom de domaine approchant ou trompeur. Il est alors très difficile pour l’utilisateur se rendre compte qu’il est en train de télécharger et d’installer un greffon malveillant. À noter que ceci est vrai pour tous les navigateurs permettant l’ajout d’extensions.

Figure 1: Exemple de téléchargement d’un greffon malveillant
Image plugin

Le seul bon choix reste donc le premier. Le CERTA vous encourage donc, dans le cas où vous auriez besoin d’installer un greffon supplémentaire, à faire la recherche de ce greffon sur un site de confiance (l’éditeur dans la plupart des cas).

Rappel des avis émis

Dans la période du 21 au 27 décembre 2009, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :