Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2002-REC-001

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 28 mars 2002
No CERTA-2002-REC-001

Affaire suivie par :

CERTA

Objet : Usage de la messagerie instantanée ou de l'IRC

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-001

Gestion du document


Tableau 1: gestion du document
Référence CERTA-2002-REC-001
Titre Usage de la messagerie instantanée ou de l'IRC
Date de la première version 28 mars 2002
Date de la dernière version -
Source(s) Note d'incident du CERT/CC IN-2002-03
  Avis de sécurité du CERTA CERTA-2002-AVI-012
Pièce(s) jointe(s) Aucune
   

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

  • Divulgation d'informations ;
  • exécution de code arbitraire ;
  • participation à des attaques en déni de service distribuées (DDoS).

2 Résumé

Les logiciels de messagerie instantanée et de discussion en ligne (IRC, Chat ou « causette ») sont de plus en plus répandus. Ces logiciels comportent certains risques qu'il faut connaître :

  • ils exposent l'utilisateur à une divulgation rapide de son identité ou éventuellement d'autres informations le concernant ou concernant son système ;
  • l'utilisateur peut être tenté de télécharger toute sorte d'outils contenant des chevaux de Troie et permettant à un utilisateur mal intentionné d'exploiter les machines de ses victimes ;
  • ces logiciels, souvent installés par défaut sur les systèmes Windows ou avec un navigateur web, présentent un certain nombre de vulnérabilités connues.

Il faut donc rester aussi vigilant pour les logiciels de messagerie instantanée et pour l'IRC que pour le mél.

3 Introduction

Le mél est un moyen simple et rapide de communication, avec tous les risques qu'il comporte (fichiers attachés, courrier composé en HTML et renfermant des scripts ou autres contenus actifs, liens cachés, etc.). Il existe d'autres outils de communication plus simples et plus ludiques :

  • la messagerie instantanée : ICQ (I Seek You), AIM (AOL Instant Messenger), MSN Messenger (the MicroSoft Network Messenger), Yahoo Messenger, etc.
  • l'IRC (Internet Relay Chat) aussi appelé chat.

3.0.1 Qu'est-ce que la messagerie instantanée ?

La messagerie instantanée est un moyen de communiquer en privé avec d'autres personnes de son choix. Le client se connecte à un serveur qui contient les informations sur tous les utilisateurs inscrits, connectés ou non. Chaque personne possède un pseudonyme qui n'est pas forcément unique, et un identifiant unique dans la base de données du serveur. Cet identifiant peut être un numéro, une adresse mél, etc. Si l'on désire parler à une personne, on la recherche dans cette base. On peut créer une liste d'interlocuteurs préférés. Deux personnes peuvent communiquer en direct si elles sont simultanément connectées au serveur. Sinon, elles peuvent consulter leurs messages dans leur boîte aux lettres au moment où elles se connectent.

3.0.2 Qu'est-ce que l'IRC ?

L'IRC est un moyen de communiquer en direct avec des groupes de personnes via l'Internet. Les clients se connectent à des serveurs qui sont eux-mêmes reliés entre eux, formant un réseau IRC. Tous les clients sont donc susceptibles de communiquer entre eux en temps réel à travers le réseau.

4 Les dangers

4.1 Divulgation d'informations « sensibles »

Sur IRC ou par messagerie instantanée, certains de vos interlocuteurs chercheront à obtenir des informations sur vous, votre employeur ou sur le système que vous utilisez :

  • il faut savoir que sur IRC et sur la plupart des logiciels de messagerie instantanée, votre adresse IP est visible de façon immédiate ;
  • vos messages transitent par des serveurs bien définis :
    • certains systèmes de messagerie instantanée sont des logiciels propriétaires se connectant à des serveurs administrés par des sociétés de droit privé souvent situées à l'étranger ;
    • Sur IRC, les opérateurs IRC et les administrateurs des serveurs ont la possibilité de suivre les conversations tenues sur un canal ou suivre les connexions d'une adresse IP donnée. De plus, l'administrateur de serveur IRC peut avoir une visibilité complète de tous les échanges réalisés au travers de son serveur.
  • Comme par téléphone, vous prenez part à une discussion, vous n'écrivez pas une lettre que vous pourrez relire. Une phrase envoyée est lue instantanément par vos correspondants. Il n'est plus possible de la corriger ...

    Faites attention à ce que vous dites. Parler en direct fait parfois dire beaucoup (trop) de choses ...

  • Sur les logiciels de messagerie instantanée, il est possible de remplir un formulaire d'informations vous concernant. Ce que vous mettrez dans ce formulaire sera visible par n'importe quelle personne utilisant le même logiciel. Dans certains cas, ces informations sont aussi visibles sur un site web dédié à ce logiciel.

    Sur IRC, il est possible de donner des informations supplémentaires dans les paramètres de votre client (nom d'utilisateur, nom réel,etc.). Ne laissez pas ces paramètres tels qu'ils sont définis par défaut, il peuvent être révélateurs pour un curieux. Ne mettez pas de vraies informations si celles-ci sont sensibles.

4.2 Les sites web incitant à installer un outil

Comme indiqué dans l'alerte CERTA-2001-ALE-011 concernant la propagation d'un cheval de Troie au moyen d'un site web proposant de télécharger un faux anti-virus, méfiez-vous de la publicité reçue par mél, sur votre messagerie instantanée ou en arrivant dans un canal IRC, vous incitant à télécharger tel ou tel programme.

  • N'installez que des logiciels téléchargés depuis le site web de leur éditeur (les autres pouvant contenir des portes dérobées par exemple) et préférez les CD-ROM originaux.
  • Ne faites pas confiance aux pièces jointes d'un mél même s'il a l'air de provenir d'un éditeur de logiciel ou de personnes connues.
  • Mettez à jour votre anti-virus et contrôlez avec celui-ci les fichiers téléchargés.
  • Sous Linux il est possible d'aller vérifier les signatures MD5 sur le site web de la distribution concernée (commande md5sum dont le résultat est à comparer avec celui indiqué sur le site de l'éditeur).

Evitez d'installer des scripts IRC, ils peuvent contenir un cheval de Troie, changer les paramètres de votre client, voire y ajouter des composantes contrôlables à distance.

4.3 Téléchargement de fichiers

Avec les logiciels de messagerie instantanée, il est possible d'envoyer des fichiers en point à point. Vous pouvez envoyer une image, un document, ou un fichier exécutable à vos correspondants ; vous devenez alors serveur pendant le temps de cet envoi.

De même, deux clients IRC peuvent s'échanger d'autres éléments que des messages. Ils peuvent aussi échanger des fichiers. Pour celà il faut établir une connexion DCC (Direct Client to Client). Le récepteur doit accepter la requête (en faisant DCC Get), mais souvent les interfaces des clients IRC masquent cette étape. Encore une fois, certains clients sont paramétrés par défaut de façon à accepter automatiquement tout transfert de fichier par DCC.

Enfin, il est possible d'ajouter des scripts permettant aux clients IRC d'effectuer des tâches plus ou moins automatisées. Ces scripts sont un moyen de propagation supplémentaire pour les vers et les virus (cf. CERTA-2001-ALERTE-001 et CERTA-2001-ALE-009).

Comme pour le mél, prenez les précautions de base :

  • n'exécutez pas ce qui provient d'un inconnu et vérifiez que vos interlocuteurs connus ne vous ont pas envoyé un fichier à leur insu. Vérifiez systématiquement le fichier avec un antivirus que vous avez mis à jour ;
  • sachez qu'un éditeur d'antivirus ou de logiciel ne vous enverra jamais de correctif ou de mise à jour par le biais de la messagerie instantanée, de l'IRC ou du mél ;
  • il est possible que votre logiciel soit paramétré par défaut pour accepter ces fichiers, assurez-vous que vous avez bien modifié ces configurations avant de vous connecter ;
  • n'installez pas de scripts si vous n'en connaissez pas toutes les fonctionnalités (maîtriser le language utilisé, et lire les sources). Surveillez les modifications des fichiers de scripts dans le répertoire courant du logiciel IRC ;
  • ne suivez pas tous les liens hypertexte que vous lisez quelque soit leur moyen de diffusion.

4.4 Vulnérabilités des clients

Le logiciel en lui-même peut être vulnérable, et permettre l'exécution de code arbitraire par le biais d'un débordement de mémoire (cf. CERTA-2002-AVI-012).

Inversement, un logiciel de messagerie instantanée peut appeler d'autres composants Windows, tels que le navigateur web par défaut ou les éléments de Netmeeting par exemple. Il peut aussi exister des vulnérabilités dans ces composants (cf. CERTA-2000-AVI-063).

Ainsi il faut maintenir à jour des correctifs de tous les logiciels quels qu'ils soient. Un élément du système ou un module externe d'un logiciel doit être mis à jour s'il possède une vulnérabilité connue. Supprimez les outils non utilisés.

5 Documentation

Gestion détaillée du document

28 mars 2002
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 22/05/2012