Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2009-ACT-047
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 20 novembre 2009 No CERTA-2009-ACT-047 |
Affaire suivie par :
CERTA
Objet : Bulletin d'actualité
2009-47
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-047 |
Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-047.pdf
Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-047/
Le CERTA rappelle qu'il est crucial de prévoir les mesures permettant la résolution des incidents informatiques dans les contrats d'hébergement. Les clauses du contrat doivent prévoir différentes situation comme :
Une vulnérabilité dans Windows 7 et Windows Server 2008 R2 a été récemment rendue publique. Le CERTA a donc publié une nouvelle alerte afin d'avertir les utilisateurs de ces deux systèmes d'exploitation des risques résultant de cette faille. Il est en effet possible pour un individu malintentionné de provoquer un déni de service à distance par le biais du protocole SMB.
Dans l'attente d'un correctif officiel, le CERTA rappelle l'impérative nécessité de filtrer l'utilisation des ports TCP/139 et TCP/445 ou de les bloquer complètement s'ils sont inutiles. De telles mesures peuvent nuire au fonctionnement de certains services ou applications comme le partage de fichiers et d'imprimantes ou le système de fichiers Distributed File System (DFS).
Le CERTA rappelle que les ports TCP/139 et TCP/445 ne doivent en aucun cas être ouverts sur l'Internet et qu'un filtrage sur les équipements périphériques du système d'information doit être mis en place.
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-019/
http://www.microsoft.com/technet/security/advisory/977544.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3676
Lors du lancement commercial d'une nouvelle application sur le Web, certains éditeurs utilisent un système d'invitations pour permettre à un groupe réduit d'utilisateurs d'accéder à leur dernière création. Outre les retours d'expérience des utilisateurs ayant été invités, ces invitations présentent, pour l'éditeur, l'avantage de créer un phénomène d'attente auprès du grand public et de créer l'événement.
Le problème étant que lorsqu'un utilisateur demande une invitation, ou se fait inviter par un autre ayant à sa disposition des invitations à distribuer, l'attente peut parfois durer plusieurs jours. Et c'est lors de cette période d'attente que l'utilisateur est particulièrement vulnérable aux attaques informatiques usurpant l'identité de l'éditeur en question.
Il existe aujourd'hui des logiciels qui font croire à l'utilisateur qu'il aura accès à une invitation, alors qu'ils installent un cheval de Troie sur le système. Il existe également des attaques de type phishing, l'agresseur se faisant passer pour la société émettrice de l'invitation, afin de récupérer des mots de passe de messagerie, par exemple.
Le CERTA recommande la plus grande vigilance face à ces offres d'invitation. C'est-à-dire de s'assurer que l'URL du site dont émane l'invitation correspond bien à l'éditeur officiel de l'application.
La plupart des routeurs dits « grand public » sont administrables et configurables via une interface web. Celle-ci permet généralement de configurer, entre autre, les paramètres réseau des interfaces internes : Wi-Fi ou filaire, les fonctionnalités de redirections de port (NAT/PAT) ou de filtrage. Bien entendu, tous ces paramètres influent sur le niveau de sécurité proposé par le routeur. L'authentification pour accéder à l'interface d'administration de ces équipements est donc quasi systématique.
Une première recommandation, sur laquelle l'utilisateur est pleinement acteur, est de changer d'emblai le mot de passe fixé par défaut, souvent d'une bien piètre robustesse et largement documenté sur l'Internet. Pour aider dans le choix d'un bon mot de passe, il est possible de s'appuyer sur la note d'information CERTA-2005-INF-005.
Cependant, l'utilisateur peut être contraint par les limitations techniques de l'équipement. Ainsi, le CERTA a rencontré récemment un routeur sur lequel l'interface limitait grandement le jeu de caractères utilisables pour le mot de passe. En effet, on ne pouvait le construite qu'à partir de caractères alphanumériques ! Ceci est très clairement insuffisant et se justifie techniquement assez mal. La plupart des équipements de ce type sont généralement capables de supporter l'utilisation de la table IA5 soit 256 caractères au moins dans le but d'offrir un bon rendu des pages de l'interface et ce dans plusieurs langues. On trouve normalement déjà suffisamment de caractères dans cet ensemble pour construire des mots de passe robustes. Il est donc pour le moins incongru qu'une telle limitation existe.
Autant que faire ce peut, il convient d'éviter d'utiliser des équipements présentant de telles limitations. Si toutefois cela était impossible, une solution envisageable est de rallonger la taille du mot de passe pour compenser le faible nombre de caractères disponibles. On gardera ainsi un nombre de possibilités suffisant améliorant la robustesse du mot de passe.
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-005/
Le CERTA recommande donc aux possesseurs de terminaux mobiles la plus grande prudence. Il convient par exemple de ne pas autoriser les connexions automatiques aux points d'accès et d'appliquer les bonnes pratiques générales. La note de recommandation CERTA-2002-REC-002 sur la sécurité des réseaux sans fil peut aider à la mise en place de bonnes pratiques.
http://www.certa.ssi.gouv.fr/site/CERTA-200-REC-002/
Dans la période du 13 au 19 novembre 2009, le CERTA a émis les avis suivants :
Pendant la même période, les avis suivants ont été mis à jour :