S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 15 décembre 2006 No CERTA-2006-ACT-050

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-50

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-050.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-050/

1 Activité en cours

1.1 Filoutage

Cette semaine le CERTA a été informé d'un cas de filoutage (phishing) impliquant le serveur Web d'une collectivité territoriale. Ce serveur se trouvait physiquement chez un hébergeur privé. Suite à l'appel du CERTA indiquant la conduite à tenir en cas d'incident, les victimes ont contacté leur hébergeur. Celui-ci a immédiatement modifié la configuration de son serveur, négligeant les recommandations et faisant potentiellement disparaître des informations importantes pour une analyse.

Le CERTA rappelle qu'une bonne analyse dépend de la pertinence (et de l'existence) des informations. Quand un site Web est la victime d'une défiguration, il est préférable de tout mettre en oeuvre pour conserver des traces, et de communiquer ce besoin à l'hébergeur. La document CERTA-2004-ALE-001 intitulé « Obstacles à la résolution d'incidents » aborde ce problème. Des conseils sont dispensés par le CERTA dans la note d'information CERTA-2002-INF-002.

2 Avis Microsoft du mois de décembre 2006

Cette semaine sept bulletins de sécurité Microsoft ont été publiés. Ces bulletins apportent des corrections sur les produits et services suivants :

• Microsoft Windows Media ;
• Microsoft Remote Installation Service (RIS) ;
• Microsoft Outlook Express ;
• Microsoft Windows ;
• Microsoft SNMP Service ;
• Microsoft Internet Exlporer ;
• Microsoft Visual Studio.

A la date de rédaction de ce bulletin d'actualité, les vulnérabilités de Microsoft Office PowerPoint et Microsoft Word ne sont pas corrigées. Microsoft a mis à disposition par erreur pendant quelques heures un correctif pour la version Mac de Word. Cette mise à jour (version 11.3.1 pour Office 2004), qui n'aurait pas été validée, a rapidement été supprimée et Microsoft demande à ceux qui ont pu l'installer de le désinstaller rapidement.

Une mise à jour d'un correctif pour Microsoft Office Excel était également disponible ce 12 décembre. Il s'agit de la référence KB924164, associée à la précédente mise à jour MS06-059 d'Excel. La version précédente du correctif ne semblait pas avoir correctement mis à jour le binaire excel.exe.

3 Concernant les réponses automatiques aux courriers électroniques

La grande majorité des clients de messagerie offre la possibilité de créer des messages de type réponses automatiques.

L'utilisation de réponses automatiques peut être sollicitée dans le cas d'absences prolongées, de congés, de départ en retraite, de mutation, etc.

Ces messages, courts, informent l'émetteur d'un courriel que le destinataire ne peut pas répondre. Les messages sont généralement standards, quelle que soit le courrier reçu.

Ces informations, bien que limitées aux réponses de courriers, peuvent très vite s'assimiler à de l'information publique. Pour s'en convaincre, il suffit d'imaginer que les courriers non sollicités (ou spam) reçoivent en retour les mêmes messages de réponses.

Il convient donc de s'interroger sur quelques points avant l'utilisation, ou l'écriture de tels messages :

• les numéros de téléphone et autres coordonnées concernant des points de contact de remplacement sont-ils publics ? Les personnes citées dans ces courriers sont-elles au courant ?
• est-il bon de diffuser comme contre-partie son adresse personnelle pour recevoir ces courriers pendant les congés ? Est-il conforme à la Politique de Sécurité PSSI de transférer des courriers professionnels vers des adresses personnelles ?
• est-il bon d'être trop bavard sur sa situation actuelle (congé marternité, retraite, formation de tel type, etc) ? Cela fournit autant d'informations permettant ensuite aux personnes d'envoyer des courriers illégitimes ou dangereux bien mieux ciblés, et trompant toujours d'avantage la vigilance de l'utilisateur.

En conclusion, les réponses automatiques sont un problème délicat, dans la mesure où l'information qu'elles véhiculent est rendue publique. Certaines précautions doivent par voie de conséquence être considérées.

4 Concernant les vulnérabilités de cartes Wi-Fi

Le CERTA a émis la semaine dernière l'avis CERTA-2006-AVI-539 concernant les pilotes de cartes Wi-Fi Madwifi. Ceux-ci sont utilisés par diverses distributions Linux, pour les cartes possédant une puce de type Atheros. Des vulnérabilités impliquant d'autres pilotes avaient également été abordées dans le bulletin d'actualité CERTA-2006-ACT-046. Le CERTA rappelle à cet égard que les mises à jour concernant les pilotes ne sont pas toujours simples et évidentes, mais elles sont souvent suffisemment critiques pour justifier des tests et des vérifications.

Dans le cas présent, la vulnérabilité peut être exploitée par un paquet malveillant, afin de prendre le contrôle complet de la machine, qui n'aurait pas installé la version 0.9.2.1 du pilote. Les solutions de sécurité appliquées au monde Wi-Fi (WEP, WPA, 802.11i, IPsec, 802.1X, etc) aussi criticables soient-elles, ne peuvent de toutes les façons pas protéger contre une attaque de plus bas niveau (pilote).

Il faut garder à l'esprit que tout appareil (PDA, ordinateur portable), possédant un des pilotes vulnérable, présente un risque pour le réseau, si la carte est activée. Il est donc important de rappeler, à tout utilisateur de carte Wi-Fi, que celle-ci doit rester désactivée si elle n'est pas utilisée. L'administrateur peut vérifier, au moyen d'outils simples, les cartes activées, en récupérant les adresses sources des trames circulant dans les locaux de son réseau.

De manière plus générale, il ne faut pas utiliser de technologies sans-fil qui offriraient une porte d'entrée béante à des réseaux filaires lourdement sécurisés (pare-feux, VPN, etc), sous peine de remettre en cause les considérations de contrôles d'accès au sein du réseau.

5 Rappel des avis émis

Durant la période du 07 au 14 décembre 2006, le CERTA a émis les avis suivants :

• CERTA-2006-AVI-539 : Vulnérabilité dans Madwifi
• CERTA-2006-AVI-540 : Vulnérabilité dans Computer Associates BrightStor ARCserve Backup
• CERTA-2006-AVI-541 : Vulnérabilités de Sophos Anti-Virus
• CERTA-2006-AVI-542 : Vulnérabilité dans Clam AntiVirus
• CERTA-2006-AVI-543 : Vulnérabilités dans Cahier de Texte
• CERTA-2006-AVI-544 : Vulnérabilité dans Microsoft Visual Studio 2005
• CERTA-2006-AVI-545 : Multiples vulnérabilités dans Microsoft Internet Explorer
• CERTA-2006-AVI-546 : Vulnérabilité dans le service SNMP de Microsoft Windows
• CERTA-2006-AVI-547 : Vulnérabilité dans Microsoft Windows
• CERTA-2006-AVI-548 : Vulnérabilité dans Microsoft Outlook Express
• CERTA-2006-AVI-549 : Vulnérabilité dans Remote Installation Service de Microsoft
• CERTA-2006-AVI-550 : Vulnérabilités dans le lecteur Windows Media
• CERTA-2006-AVI-551 : Vulnérabilité dans HP ILO
• CERTA-2006-AVI-552 : Vulnérabilité dans le client Novell
• CERTA-2006-AVI-553 : Vulnérabilité de ClamAV
• CERTA-2006-AVI-554 : Vulnérabilité de l'antivirus Sophos

Gestion détaillée du document

15 décembre 2006

version initiale.