Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-021

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-021.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-021/

1 Barres d'outils indésirables

1.1 Description

Les barres d'outils sont des modules ajoutés aux navigateurs Web. Elles existent notamment pour Firefox, Internet Explorer, Opera... Celles-ci proposent des fonctionnalités supplémentaires à l'utilisateur, par exemple un cadre permettant de faire rapidement des recherches.

Le danger est que ces barres d'outils comportent du code qui sera exécuté. Celui-ci peut contenir des vulnérabilités ou réaliser des actions non souhaitées. Certaines barres d'outils peuvent être associées à des logiciels espions (spywares) dans le sens où elles vont collecter et transférer des informations sur l'utilisateur, son poste et ses habitudes sans que celui-ci en soit conscient.

De plus, ce type de modules d'extension ne requière généralement pas les droits administrateur pour s'installer.

1.2 Exemples

Les sites conduit.com et predictad.com proposent chacun une plate-forme permettant de développer ses propres barres d'outils. Les modules ainsi développés sont capables d'envoyer silencieusement des données à des sous-domaines de conduit.com et predictad.com. Il s'agit là d'une fuite de données non contrôlée, qu'il est préférable de filtrer.

D'autres barres d'outils sont reconnues par certains antivirus comme étant potentiellement dangeureuses. Ainsi Funwebproducts est vue comme un publiciel par Bitdefender. Widgi Toolbar est reconnue de même par Sophos.

1.3 Mesures envisageables

Pour détecter ce phénomène au niveau réseau, il y a plusieurs possibilités selon les barres d'outils. Par exemple, une recherche des requêtes DNS contenant conduit.com ou predictad.com ou encore toolbar.zynga.com peut être effectuée. Pour l'exemple conduit.com, il y a notamment le sous-domaine alert.services.conduit.com. Vers ce serveur partent des requêtes HTTP avec la méthode POST, vers des URI /Alerts/AlertServices.asmx/GetToolbarAlertsInfo ou encore /Alerts/AlertServices.asmx/AlertLogin. Autre exemple pour la toolbar Zynga, une requête HTTP de type GET est envoyée toutes les 5 minutes à l'URL toolbar.zynga.com/heartbeat.php. D'autres barres d'outils sont visibles au niveau du User Agent du navigateur qu'elles modifient. Par exemple, les User Agent vont contenir WidgiToolbar ou FunWebProducts ou encore Hotbar.

De manière générale, il est de bonne pratique que les serveurs Web mandataires contrôlent les User Agent, de préférence avec une liste blanche adaptée. Il est aussi possible de mettre en liste noire des domaines utilisés pour la mise à jour de ces barres d'outils. Les utilisateurs doivent également être sensibilisés pour ne pas installer ce genre de logiciels.

Références

Informations relatives à Funwebproducts :

http://www.bitdefender.com/VIRUS-197041-en-Adware.Bundler.Funwebproducts.M.html

Informations relatives à WidgiToolbar :

http://www.sophos.com/en-us/threat-center/threat-analyses/adware-and-puas/Widgi
  Toolbar.aspx

Informations relatives à HotBar :

http://www.symantec.com/fr/fr/security_response/writeup.jsp?docid=2003-080410-3847-99

2 Faux antivirus malveillants sur Mac OS X

Contrairement à une idée répandue, Mac OS X est également une cible pour les auteurs de programmes malveillants.

Le bulletin d'actualité CERTA-2011-ACT-018 décrit la mise en place d'une vague d'attaques par redirections involontaires (drive by downloads). Cette vague d'attaques est notamment utilisée pour tromper les utilisateurs de Mac Os X, en leur faisant croire que leur poste est infecté, avant de leur proposer un faux antivirus Mac Os X du nom de Mac Defender (il peut exister sous d'autres noms). Une fois téléchargé avec Safari, ce programme est automatiquement installé si l'option ouvrir automatiquement les fichiers « fiables » n'est pas désactivée.

Ce faux antivirus a pour vocation d'extorquer le code de carte de crédit de l'utilisateur. Pour ce faire, il lui fait croire que son poste est compromis en remontant une liste aléatoire de fichiers supposés infectés et en ouvrant des pages Web indésirables. L'utilisateur est alors invité à enregistrer son produit en donnant son numéro de carte de crédit afin de pouvoir « désinfecter » la machine.

Face à cette menace, Apple a réagi en proposant une procédure de suppression manuelle du programme et prévoit de diffuser prochainement une mise à jour permettant d'identifier et de supprimer ce programme dans ses différentes variantes.

Outre la sensibilisation des utilisateurs à la problèmatique des faux antivirus, le CERTA recommande :

l'utilisation d'un compte avec des droits restreints ;
la désactivation de l'option ouvrir automatiquement les fichiers « fiables » dans Safari ;
de façon plus générale la ré-installation complète du système après une compromission (cf : CERTA-2002-INF-002, Que faire en cas d'intrusion ? ).

Documentation

Bulletin d'actualité CERTA-2011-ACT-018 :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-018/

Note Apple HT4650 sur la suppression de Mac Defender :
```
http://support.apple.com/kb/HT4650
```

3 Rappel des avis émis

Dans la période du 20 au 26 mai 2011, le CERTA a émis les avis suivants :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-303/index.htmlCERTA-2011-AVI-303 : Multiples vulnérabilités dans Cisco Unified Operations Manager
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-304/index.htmlCERTA-2011-AVI-304 : Vulnérabilité dans Cisco Common Services
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-305/index.htmlCERTA-2011-AVI-305 : Multiples vulnérabilités dans Moodle
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-306/index.htmlCERTA-2011-AVI-306 : Vulnérabilités dans phpMyAdmin
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-307/index.htmlCERTA-2011-AVI-307 : Vulnérabilité dans EMC SourceOne Email Management
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-308/index.htmlCERTA-2011-AVI-308 : Multiples vulnérabilités dans Google Chrome
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-309/index.htmlCERTA-2011-AVI-309 : Vulnérabilité dans IBM OS/400
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-310/index.htmlCERTA-2011-AVI-310 : Multiples vulnérabilités dans IBM Lotus Notes
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-311/index.htmlCERTA-2011-AVI-311 : Vulnérabilité dans Sybase EAServer
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-312/index.htmlCERTA-2011-AVI-312 : Vulnérabilité dans les contrôleurs Ethernet Intel
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-313/index.htmlCERTA-2011-AVI-313 : Vulnérabilité dans IBM WebSphere
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-314/index.htmlCERTA-2011-AVI-314 : Multiples vulnérabilités dans Cisco IOS XR
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-315/index.htmlCERTA-2011-AVI-315 : Vulnérabilité dans Cisco Content Delivery System Internet Streamer
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-316/index.htmlCERTA-2011-AVI-316 : Vulnérabilité dans Dovecot

Gestion détaillée du document

27 mai 2011: version initiale.

CERTA
2012-01-04

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 25/05/2012

Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques

3 Rappel des avis émis

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques