Avis d’expert : semaine du 11 au 17 octobre 2010

Avis d’expert : semaine du 11 au 17 octobre 2010

Le CERT-XMCO recommande l’installation des correctifs de sécurité Microsoft (de MS10-071 à MS10-086) et Oracle corrigeant un grand nombre de vulnérabilités au sein de Windows, d’Office, de SharePoint et des nombreux produits Oracle.

* Résumé des évènements majeurs :
Vulnérabilités :
Une vulnérabilité au sein de la fonction PHP « filter_var() » a été découverte. Lorsque le filtre « FILTER_VALIDATE_EMAIL » était sélectionné, la validation d’une chaine excessivement longue permettait à un pirate de provoquer un déni de service.

Une vulnérabilité au sein de SAP a été découverte. Le module Axis2 utiliserait l’identifiant et le mot de passe fourni par défaut. Un pirate pourrait exploiter cette vulnérabilité afin de compromettre un système vulnérable.

Correctifs :
Microsoft a publié ses 16 bulletins de sécurité dans le cadre de son « Patch Tuesday » du mois d’octobre. 49 vulnérabilités ont été corrigées au sein des produits Microsoft. Le CERT-XMCO recommande l’installation des correctifs MS10-071 (Internet Explorer), MS10-075 (Windows Media Player), MS10-76 (gestionnaire Windows de police de caractères EOT) et MS10-077 (.NET) dont l’exploitation des vulnérabilités corrigées permettrait de compromettre un système.
Par ailleurs, Microsoft a également corrigé une des vulnérabilités d’élévation de privilèges exploitée récemment par le virus Stuxnet (MS10-073).

Oracle a publié ses deux bulletins de sécurité du mois d’octobre : cpuoct2010 et javacpuoct2010. Oracle juge ces correctifs critiques. Parmi les logiciels vulnérables : Oracle Database, Oracle Fusion Middleware, Oracle Application Server, Oracle BI Publisher, Oracle Identity Management, Oracle E-Business Suite, Oracle Agile PLM, Oracle Transportation Management, PeopleSoft Enterprise, PeopleSoft Enterprise PeopleTools, Oracle Siebel Core, Primavera P6 Enterprise Project Portfolio management, Oracle Sun Product Suite (Solaris, OpenOffice, …), Oracle VM.

D’autres vulnérabilités au sein de Solaris ont aussi été corrigées (Tomcat, LibTiff).

Cybercriminalité / Attaques :
L’ENISA, le CSIRT européen, a annoncé récemment la réalisation avant la fin de l’année 2010 d’une simulation appelée « CYBER EUROPE 2010« . Cet exercice européen de protection des infrastructures critiques (« Critical Information Infrastructure Protection », aka « CIIP ») se décompose en deux phases. La première se tenait fin septembre et était destinée à la présentation et à la préparation de la seconde phase qui se tiendra au mois de novembre. Alors que Stuxnet fait des ravages, il est important de voir l’Europe moteur dans le domaine de la protection des infrastructures critiques.

Conférence / Recherche :
36 heures après avoir été rendu accessible, le système de vote en ligne de Washington DC a été cassé par des chercheurs. La faille de sécurité se trouvait dans le traitement des noms de fichiers correspondants aux bulletins des votants. En insérant des commandes, les pirates pouvaient alors contrôler le serveur à distance, découvrir les votes effectués… Les autorités ont mis plusieurs jours à réagir, avant de supprimer la fonctionnalité de vote en ligne. Les citoyens ont par la suite dû renvoyer par courrier postal les bulletins imprimés…

Entreprises :
Après avoir reçu un avis favorable de la part des Émirats Arabes Unis, c’est au tour de l’Inde de rassurer RIM. D’après plusieurs sources proches du dossier, mais non officielles, RIM aurait réussi à convaincre ses interlocuteurs indiens sur la mise en place d’une solution d’interception légale. Celle-ci consisterait à forcer les entreprises indiennes utilisant le système à mettre en place des solutions techniques permettant aux agences indiennes d’obtenir les infos nécessaires, sans que RIM ait besoin d’abaisser la sécurité de son système.

Google a étendu son service d’alerte visant à informer les détenteurs d’un site internet lorsque leur site est utilisé dans le cadre d’une attaque. Dès maintenant, Google alertera les ayant droits lorsqu’un site de phishing sera découvert.

Internationnal :
Le gouvernement indien fait part de ses ambitions dans le domaine de la sécurité informatique. Il a récemment mis à pied d’oeuvre une équipe d’une cinquantaine de chercheurs ayant pour objectif de développer un nouvel OS sécurisé. Celui-ci serait sous le contrôle du gouvernement indien pour en garantir sa « sécurité ». La sécurité par l’obscurité n’a jamais été pérenne, la volonté du gouvernement indien risque donc de se voir confrontée à la réalité d’ici quelques années…

Prévention :
Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) continue son initiative de sensibilisation à la sécurité informatique avec son Mois de la Sensibilisation à la Cyber-Sécurité (« Cyber Security Awareness Month », aka CSAM). Déjà dix-sept bonnes pratiques concernant l’informatique au sein du cercle familial, à l’école et au travail ont été formulées.

XMCO :
Le cabinet XMCO est à la recherche d’un stagiaire pour janvier 2011 : http://www.xmcopartners.com/stage-fr.html

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco


Cert-XMCO