S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 06 janvier 2012
N^o CERTA-2012-ACT-001

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2012-01

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-001

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-001.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-001/

1 Vulnérabilité de la semaine

1.1 Faiblesse dans le protocole Wi-Fi Protected Setup (WPS)

Un chercheur en sécurité a récemment révélé une faiblesse dans le protocole Wi-Fi Protected Setup (WPS) affectant la sécurité des points d'accès Wi-Fi supportant ce protocole. Malheureusement, la majorité des points d'accès Wi-Fi récents possèdent le WPS activé par défaut, ce qui touche une large gamme de produits.

1.1.1 Qu'est-ce que le WPS ?

Le but de WPS est de simplifier la configuration d'un client sans-fil. Les informations de sécurité (par exemple, la clé WPA2 dans le cas où ce protocole est utilisé) sont envoyées automatiquement au client par le point d'accès. Il y a trois modes possibles :

le mode Push Button Connect : il faut appuyer sur un bouton présent sur le point d'accès, ce qui lui permet de communiquer avec un client ayant besoin d'être configuré ;
le mode PIN client : l'appareil client possède un code PIN attribué par le fabriquant. Il faut alors se connecter à l'interface de configuration du point d'accès Wi-Fi et entrer le code PIN du client autorisé à récupérer les informations de configuration ;
le mode PIN routeur : le point d'accès Wi-Fi possède un code PIN secret de 8 chiffres qu'il faut renseigner sur un appareil client pour que ce dernier puisse récupérer les informations.

Les deux premières méthodes nécessitent un accès physique au point d'accès ou à son interface de configuration. En revanche, la troisième méthode nécessite seulement de connaître le code PIN secret de 8 chiffres et c'est dans celle-ci que se trouve la faiblesse.

En théorie, il existe cent millions de codes PIN possibles. Cependant, le protocole, tel qu'il est conçu, permet de trouver le bon code PIN en effectuant au maximum 11000 tentatives, ce qui rend les attaques par recherche exhaustive relativement efficaces.

Par conséquent, il est conseillé de désactiver le support du WPS lorsque celà est possible ou de mettre à jour le firmware du point d'accès Wi-Fi lorsque des mises à jour seront disponibles (se référer au constructeur de votre point d'accès).

Documentation

Entrée du blog de Stephan Viehböck du 27 Décembre 2011 :

http://sviehb.wordpress.com/2011/12/27/wi-fi-protected-setup-pin-brute-force-vulnerability/

2 Incidents récents

2.1 Fuites de données sur des serveurs web

Le CERTA est régulièrement amené à contacter ses correspondants pour leur signaler des données accessibles à tous les internautes, alors que leur nature ne laisse pas supposer qu'une telle audience soit le fait d'un choix délibéré.

Dans certains cas, il s'agit de sauvegardes de la base de données situées dans l'arborescence des documents composant le site web.

Un site web construit sur une base de données est une situation courante. Les gestionnaires de contenu (CMS) comme Joomla!, SPIP, Drupal, etc... reposent sur une base de données pour produire les pages web à partir des articles et des canevas (templates, skeleton...). Ce contenu est public, en définitive, et l'accessibilité de ces sauvegardes peut ne pas choquer.

Le problème devient rapidement plus aigu avec les fonctions variées qu'offrent les CMS et qui permettent la manipulation de données nominatives ou de données sensibles comme des mots de passe. Ces fonctions, dans le CMS ou dans des extensions, recouvrent la gestion des contacts, donc des données personnelles, l'envoi d'une revue électronique (newsletter) donc la collecte d'adresses électroniques, des agendas, des extranets, etc...

Pour éviter ces fuites d'informations, les pistes sont diverses :

pour des données telles que des configurations et des sauvegardes, le positionnement des fichiers hors de l'arborescence des documents et des scripts du site web est préférable ;
le contrôle des droits positionnés lors de l'installation des logiciels tels les CMS et leurs extensions, et la rectification si nécessaire ;
le positionnement des droits au niveau du système de fichiers ne doit permettre que les accès indispensables, aux comptes nécessaires ;
pour les fichiers dans l'arborescence du site web, des protections telles que les fichiers .htaccess d'Apache permettent de limiter les accès ;
éventuellement chiffrer les données.

3 Rappel des avis émis

Dans la période du 30 décembre 2011 au 05 janvier 2012, le CERTA a émis les avis suivants :

CERTA-2011-AVI-727 : Vulnérabilités dans l'implémentation ASPNet du Microsoft .NET Framework
CERTA-2011-AVI-728 : Vulnérabilité dans PHP
CERTA-2011-AVI-729 : Vulnérabilité dans Ruby
CERTA-2011-AVI-730 : Vulnérabilité dans Apache Tomcat
CERTA-2012-AVI-001 : Vulnérabilité dans Arkoon FAST360
CERTA-2012-AVI-002 : Vulnérabilité dans WordPress
CERTA-2012-AVI-003 : Multiples vulnérabilités dans Apache Struts

Gestion détaillée du document

06 janvier 2012: version initiale.

CERTA
2012-01-31