Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-013

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-013.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-013/

1 Activité en cours

Le CERTA a été contacté afin de donner un avis technique sur un incident touchant plusieurs machines. Ayant remarqué un ralentissement anormal, l'administrateur a repéré la présence du logiciel Caïn et Abel (outil utilisant de multiples techniques pour découvrir des mots de passe) sur trois serveurs. Ce programme a été transmis par l'administrateur à l'éditeur de l'antivirus utilisé sur son réseau afin que les bases de signature soient mises à jour, ce qui a permis de découvrir d'autres machines « infectées ».

L'installation de ce logiciel a été rendue possible pour différentes raisons dont en particulier :

une faible qualité des mots de passe ;
une gestion trop permissive des droits des utilisateurs ;
une authentification des machines sur l'intranet insuffisante.

1.1.2 Compromission d'un serveur SSH

Le CERTA a été informé de la compromission d'un serveur suite à l'exploitation d'un mot de passe faible pour un compte n'ayant pas les privilèges de l'administrateur. La machine compromise était utilisée comme rebond afin de découvrir d'autres serveurs avec des comptes utilisant des mots de passe faibles. Les compromissions de ce type laissent des traces flagrantes dans les journaux.

Recommandations :

Le CERTA constate que de nombreux incidents sont liés à une problématique de mots de passe et rappelle les bonnes pratiques élémentaires suivantes :

avoir une politique de gestion des mots de passe cohérente avec les enjeux de sécurité (CERTA-2005-INF-001) ;
ne pas donner aux utilisateurs des privilèges d'administration ;
ne pas autoriser l'utilisation de machines personnelles sur les intranet ;

Il existe de nombreux outils (dont certains sont gratuits) permettant de tester la robustesse des mots de passe. Une utilisation de tels outils pour détecter les mots de passe faibles peut éviter les compromissions de ce type.

2 Rappel des avis et mises à jour émis

Durant la période du 24 mars au 30 mars 2006, le CERTA a émis l'avis suivant :

CERTA-2006-AVI-128 : Multiples vulnérabilités de Symantec Veritas NetBackup

Pendant cette même période, les mises à jour suivantes ont été publiées :

CERTA-2006-AVI-104-002 : Vulnérabilité de Kpdf
(ajout de la référence au bulletin de sécurité Debian DSA-1019)
CERTA-2006-AVI-121-001 : Vulnérabilité dans FreeRADIUS
(ajout de la référence au bulletin de sécurité Mandriva et de la référence CVE)
CERTA-2006-AVI-127-001 : Multiples vulnérabilités dans RealPlayer
CERTA-2006-AVI-124-001 : Vulnérabilité de Sendmail
(ajout de la référence au bulletin de sécurité OpenBSD et Avaya)
CERTA-2006-AVI-127-002 : Multiples vulnérabilités dans RealPlayer
(ajout de la référence au bulletin de sécurité Gentoo)
CERTA-2006-AVI-110-001 : Vulnérabilité dans Flex
(ajout de la référence au bulletin de sécurité Debian)
CERTA-2006-AVI-124-002 : Vulnérabilité de Sendmail
(ajout de la référence au bulletin de sécurité HP-UX)