S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 05 septembre 2008 No CERTA-2008-ACT-036

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2008-36

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-036.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-036/

1 Incidents traités cette semaine

1.1 Une idée reçue sur le filoutage et les liaisons sécurisées

Comme chaque semaine, et comme tout le monde, le CERTA reçoit des courriels frauduleux l'invitant à fournir ses informations personnelles et confidentielles en cliquant sur un lien qui est en fait un site de filoutage. Le pourriel dont parle cet article contenait un lien vers une page frauduleuse déposée sur un site légitime compromis. Ce qui fait l'originalité de l'adresse de la page de filoutage c'est que le site compromis utilisait la version chiffrée du protocole http : https. Donc la page de filoutage bénéficiait également du protocole chiffré. Or il n'est pas rare de lire des affirmations telle que : «Un moyen sûr de savoir si l'on se trouve sur un site de confiance est la présence de https dans l'adresse et d'un cadenas dans la fenêtre de son navigateur».

Ce pourriel est le contre-exemple typique de cette affirmation inexacte. La présence du cadenas indique uniquement que le navigateur affiche un page utilisant un certificat. Pour s'assurer de l'authenticité de ce dernier, il convient de consulter les informations du certificat en cliquant sur l'icône du cadenas de son navigateur. Le CERTA rappelle également qu'il ne faut en aucun cas suivre les liens présents dans les courriers électroniques.

1.2 Un hébergeur « recycle » un serveur compromis

Cette semaine, le CERTA a traité un incident relatif à la compromission d'un serveur dédié chez un hébergeur. À l'origine, la victime de cet incident a commandé un serveur dédié et pré-installé par son hébergeur. Ce dernier a donc fourni un serveur installé sous Windows comme demandé. La victime, confiante, n'a pas prêté attention à d'anciens profils désactivés mais toujours présents sur le serveur. Quelques mois plus tard une compromission est survenue. Lors de son analyse, le CERTA a mis en évidence que le serveur avait été compromis plusieurs mois avant sa livraison et que, loin d'avoir réinstallé correctement le serveur avant de le livrer, l'hébergeur n'a même pas pris le soin de nettoyer le serveur des différents codes malveillants toujours présents.

Le CERTA rappelle qu'en cas de compromission, il convient de suivre des règles élémentaires de sécurité décrites dans la note d'information concernant les bons réflexes en cas d'intrusion dans un système d'information, notamment de réinstaller complètement à partir de souches saines.

1.2.1 Documentation

• Note du CERTA sur les bons réflexes en cas d'intrusion sur un système d'information :

  http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/
  

2 Cartes mère avec système d'exploitation embarqué

Depuis quelques temps, certaines cartes mère embarquent un système d'exploitation minimal. C'est le cas notamment des cartes de marque Asus et de leur environnement Splashtop (appelé également Express Gate). Le système d'exploitation, un mini-linux, est fourni avec quelques outils :

• le navigateur Firefox ;
• l'outil de messagerie instantanée pidgin ;
• le logiciel Skype ;
• un mécanisme permettant de réaliser des copies de disque dur appelé Drive Xpert ;
• un visualiseur de photos.

Il est assez difficile de connaître les versions des logiciels utilisés, car Asus utilise son propre système de numérotation.

Ce système d'exploitation présente deux avantages :

• le premier, assez évident, est que ce système peut être utilisé pour réaliser des recherches sur l'Internet en cas de problème matériel/logiciel ;
• le second, beaucoup plus discutable, est que l'on pourrait naviguer de façon « sécurisée ». L'argument avancé est qu'il n'y a pas d'écriture sur le disque. En fait, cela dépend du port SATA sur lequel le disque dur est connecté. En effet, si le disque dur est connecté à l'un des deux ports SATA accessibles depuis Drive Xpert, alors des écritures devraient être possibles. Les logiciels installés n'étant pas forcément à jour, de nombreux problèmes de sécurité subsistent.

L'utilisation d'Express Gate peut éventuellement constituer un contournement de la politique de sécurité, notamment du fait des logiciels qui y sont contenus. Il est cependant possible, via le BIOS, de désactiver Express Gate puis de protéger l'accès au BIOS par un mot de passe.

2.1 Documentation

• Article d'Asus concernant Splashtop :

  http://usa.asus.com/news_show.aspx?id=8750
  

3 Nouveau navigateur : Google Chrome

3.1 Présentation générale

Google a mis à disposition du public, cette semaine, une première version de test (bêta) de son navigateur pour les systèmes Windows XP et Vista. Ce dernier, nommé Google Chrome est la version estampillée « Google » du projet libre Chromium.

Le nouveau navigateur propose plusieurs fonctionnalités intéressantes :

• l'utilisateur accède à une configuration et une interface simplifiées ;
• il y a un processus pour chaque manipulation d'onglets et celui-ci dispose de droits très réduits ;
• la barre de navigation sert également d'accès au moteur de recherche. Elle est appelée « omnibox » (que l'on peut traduire par « boîte à tout faire ») ;
• une navigation plus discrète laissant moins de traces sur le poste de l'utilisateur et accessible via la combinaison de touches clavier Ctrl - Shift - n ;
• il existe un accès à certaines adresses particulières, comme about:, about:cache, about:crash, about:dns, about:histograms, about:memory, about:network ou about:plugins ;
• les informations de l'utilisateur sont stockées sous forme de fichier SQLite (format 3) ;
• etc.

L'objectif de cet article n'est pas d'établir une comparaison entre différents navigateurs. Au contraire, une certaine diversité dans le choix des applications est une bonne chose. Il tient cependant à rappeler certaines défiances à avoir vis-à-vis des versions de test encore instables et n'ayant pas fait l'objet de contrôles complets.

3.2 Problématique des versions de test

3.2.1 Des remarques et des vulnérabilités

La presse a rappelé cette semaine qu'une version de test pouvait souffrir de défauts et de vulnérabilités. Dans la version disponible du navigateur, on remarque par exemple que :

• l'interprétation de certaines adresses réticulaires ne s'effectue pas correctement, provoquant l'arrêt complet du navigateur ;
• la version actuelle de Google Chrome n'utilise pas la dernière version du moteur WebKit. Or le moteur intégré actuellement souffre de quelques vulnérabilités qui ont déjà été rencontrées avec des navigateurs comme Safari ou Epiphany ;
• le choix des moteurs de recherche « par défaut » est limité à ceux fournis dans la version de base ;
• l'utilisation de l'option avancée « Activer la protection contre le phishing et les logiciels malveillants » induit des écritures et des téléchargements de listes sur le disque (fichiers pouvant dépasser les 50Mo) ;
• l'omnibox ne permet pas de manière simple de déterminer si les données entrées sont directement utilisées comme adresse de site sur lequel on souhaite naviguer ou si elles sont envoyées à un autre service pour retourner une recherche ou des suggestions. Par défaut, il est préférable de désactiver l'option « Afficher des suggestions pour les requêtes et les URL entrées dans la barre d'adresse » ;
• la gestion des fichiers de session Google (cookies) se complique davantage avec l'utilisation de nouveaux fichiers pour la mise à jour du navigateur (cf. article « Contournement HTTPS publié dans CERTA-2008-ACT-033) ;
• etc.

Une simplification de l'interface d'accès et de la configuration du navigateur se fait au détriment d'un réglage de configuration et de sécurité plus fin.

3.2.2 Recommandations

Comme le CERTA l'a déjà préconisé à l'apparition des versions de tests de Firefox 3 et d'IE8, il est préférable de ne pas déployer actuellement une application dans une version qui n'est pas stable. Il faut également sensibiliser les utilisateurs afin qu'ils ne prennent pas l'initiative de l'installer sur leur poste, l'installation ne nécessitant pas de droits particuliers.

Il est possible de vérifier l'usage de ce navigateur en regardant les journaux de connexions d'une passerelle de navigation. Google Chrome n'a pas de valeur user-agent propre. Celui actuellement présenté par le navigateur est très semblable à celui de Safari, de la forme :

 Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/XX 
                        (KHTML, like Gecko) Chrome/XX Safari/XX

où "XX" peut prendre différentes valeurs.

Sous Safari, la chaîne de caractères « Chrome » est normalement remplacée par « Version ».

Il ne faut enfin pas sous-estimer les risques de divulgations d'informations, comme cela a été évoqué dans la note CERTA-2006-INF-009.

Il peut être préférable, pour s'affranchir de certaines contraintes d'utilisation, d'utiliser directement le projet Chromium sous licence BSD. Celui-ci a aussi les derniers correctifs.

3.3 Documentation associée

• Site officiel du navigateur Google Chrome :

  http://www.google.com/chrome
  

• Site du projet Chromium :

  http://code.google.com/chromium
  

• Modifications apportées au développement du projet Chromium :

  http://codereview.chromium.org/
  

• Conditions d'utilisation EULA du navigateur Chrome :

  http://www.google.com/chrome/eula.html
  

• Discussions concernant les conditions d'usage et des changements effectués :

  http://tapthehive.s483.sureserver.com/chrome.html
  

• Note d'information du CERTA CERTA-2006-INF-009, « Outils d'indexation et de recherche » :

  http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-009/
  

4 Mise à jour semi-automatique de Firefox en version 3

4.1 Documentation

• Annonce de la mise à jour :

  http://developper.mozilla.org/devnews/index.php/2008/08/25/firefox-2-about-to-get-a-major-update/
  

• Présentation de fonctionnalités de protection de Firefox 3 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-028
  

• Téléchargement de Firefox 2 :

  http://www.mozilla.com/en-US/firefox/all-older.html
  

5 Rappel des avis émis

Dans la période du 28 au 05 août 2008, le CERTA a émis les avis suivants :

• CERTA-2008-AVI-432 : Vulnérabilités dans Red Hat Directory Server
• CERTA-2008-AVI-433 : Vulnérabilité dans libxml2
• CERTA-2008-AVI-434 : Vulnérabilité de HP Enterprise Discovery
• CERTA-2008-AVI-435 : Vulnérabilités de AWStats Totals
• CERTA-2008-AVI-436 : Vulnérabilité dans IBM WebSphere
• CERTA-2008-AVI-437 : Vulnérabilité dans ClamAV
• CERTA-2008-AVI-438 : Vulnérabilité dans IBM AIX
• CERTA-2008-AVI-439 : Vulnérabilité du noyau de FreeBSD pour plateforme amd64
• CERTA-2008-AVI-440 : Multiples vulnérabilités dans VLC
• CERTA-2008-AVI-441 : Multiples vulnérabilités des équipements Cisco ASA et PIX
• CERTA-2008-AVI-442 : Multiples vulnérabilités dans Novell eDirectory
• CERTA-2008-AVI-443 : Vulnérabilité dans OpenOfficeorg
• CERTA-2008-AVI-444 : Multiples vulnérabilités dans Wireshark

Pendant la même période, l'avis suivant a été mis à jour :

• CERTA-2008-AVI-428-001 : Vulnérabilités dans des mises à jour d'OpenSSH sous Red Hat

  (ajout du CVE spécifique pour l'incident)

Gestion détaillée du document

05 septembre 2008

version initiale.