Avis d’expert : semaine du 18 au 24 octobre 2010

Avis d’expert : semaine du 18 au 24 octobre 2010

Une vulnérabilité affectant Adobe Shockwave Player et la preuve de concept associée ont été publiées en fin de semaine dernière. Le CERT-XMCO recommande de rester vigilant, car des attaques massives pourraient avoir lieu dans les prochains jours.

* Résumé des évènements majeurs :
Vulnérabilités :
Une preuve de concept exploitant une faille de sécurité présente au sein d’Internet Explorer (7 et 8) a été publiée. Le chercheur l’ayant découvert aurait déjà alerté Microsoft il y a environ deux ans, sans aucune réaction officielle de l’éditeur. L’exploitation de cette faille permettrait à un pirate d’obtenir certaines informations sensibles via la simple visite d’une page Internet malveillante.

Une faille de sécurité a été découverte au sein du plug-in multimédia VLC pour Mozilla. En incitant un internaute à visiter un site web spécialement conçu, un pirate était en mesure de compromettre un système.

Le chercheur Tavis Ormandy (Google) a découvert une vulnérabilité au sein de la librairie partagée Glibc. En n’implémentant pas correctement une règle de sécurité définie par les concepteurs du format de fichiers exécutable ELF, les développeurs de la librairie ont introduit une faille de sécurité exploitable localement par un utilisateur malveillant afin d’élever ses privilèges. La faille de sécurité est plus précisément liée à l’expansion de la variable « $ORIGIN » lors de la manipulation des fichiers exécutables « setuid » ou « setgid ».

À la suite de la mise à disposition sur Internet d’une preuve de concept permettant d’exploiter une faille de sécurité présente au sein du plug-in Shockwave Player, Adobe a publié un bulletin d’alerte APSA10-04. Aucune information sur la date prévisionnelle de sortie du correctif n’a été donnée par Adobe. Cette faille n’est pas encore massivement exploitée sur Internet.

Correctifs :
Adobe a publié cette semaine deux correctifs référencés APSB10-23 et APSB10-24. « RoboHelp » et « RoboHelp Server » seraient vulnérables à des attaques de type « Cross-Site Scripting » (XSS) (CVE-2010-2885 et CVE-2010-2886). La vulnérabilité présente au sein de InDesign permettrait de charger automatiquement une librairie malveillante afin de compromettre un système à distance via l’ouverture d’un fichier.

La fondation Mozilla a publié cette semaine des correctifs pour ses logiciels phares : Firefox et Thunderbird. La visite d’une page Internet spécialement conçue permettait à un pirate de provoquer de multiples dommages.
Toujours dans le domaine des navigateurs web, Google a aussi publié une mise à jour de Chrome.

Cybercriminalité / Attaques :
Après Microsoft la semaine précédente, c’est au tour de systèmes appartenant à l’éditeur d’antivirus Kaspersky et au fabricant de PC chinois Lenovo d’être compromis. Les pirates utilisaient les serveurs compromis afin d’infecter les visiteurs. Un faux antivirus était ainsi proposé aux internautes visitant le site de téléchargement des produits Kaspersky…

Justice :
Facebook a déposé trois plaintes devant la cour fédérale de San Jose en Californie contre plusieurs personnes (physiques et morales) ayant abusé de son image pour monter des arnaques contre des internautes. Celles-ci visent deux hommes : Steven Richter et Jason Swan, ainsi qu’une entreprise canadienne spécialisée dans le marketing viral : MaxBounty. Ce n’est pas la première fois que Facebook poursuit des pirates devant les tribunaux, mais c’est une première concernant les sociétés « d’affiliation » telles que MaxBounty. D’après la société, MaxBounty serait responsable de plusieurs campagnes d’envoi de pourriels…

Conférence / Recherche :
D’après les observations de Microsoft, Java pourrait bientôt remplacer le format PDF en tant que vecteur d’attaque favori des pirates. En effet, l’interopérabilité de Java, et l’ajout de nouvelles fonctionnalités de sécurité au sein des logiciels Adobe feront probablement pencher la balance du côté de Java. Par ailleurs, de plus en plus de packs d’exploitation embarquent les exploits ciblant les vulnérabilités présentes au sein de Java.

Entreprises :
Adobe a annoncé la prochaine sortie des versions « X » de ses logiciels phares Adobe Reader, mais aussi Acrobat Suite, Acrobat Pro et Acrobat Standard. Cette nouvelle version majeure apportera entre autres de nouvelles fonctionnalités telles que la mise en place d’un bac à sable permettant de limiter le risque d’exploitation d’une faille de sécurité par un pirate.

Internationnal :
Après avoir commencé à travailler sur un nouveau système d’exploitation visant à garantir la sécurité et l’indépendance de l’Inde, le pays réfléchit actuellement à la mise en place d’une solution permettant de se « déconnecter » d’Internet. Cet « interrupteur » permettait ainsi aux autorités indiennes de gagner du temps afin de mettre en place des protections lors de potentielles cyberattaques (cf. Estonie et la Géorgie en 2007 et 2008).

L’Allemagne aurait de nouveau fait appel à un pirate afin d’obtenir des informations confidentielles détenues par la banque suisse Julius Bär. Un CD contenant environ 200 noms de clients de la banque suspectée de fraude fiscale aurait été acheté pour 1,5 million d’euros par un Land allemand (Rhénanie du Nord/Westphalie). Le pirate aurait agi, non pas pour son intérêt personnel, mais pour une « juste cause » puisqu’il aurait reversé cette somme à une oeuvre de bienfaisance. Celle-ci aurait refusé cet argent « douteux »…

Dans sa « National Security Strategy », le Royaume-Uni aurait décidé d’allouer environ 567 millions d’euros afin de faire face aux cybermenaces. Le document métrait en place le contexte pour la « Strategic Defence Review » de demain. La cyberguerre est désormais officiellement considérée comme l’une des menaces les plus sérieuses pour le Royaume-Uni, et est classée au même niveau que le terrorisme, les pandémies ou encore les crises militaires internationales. Le document met en avant les Jeux olympiques de 2012 comme étant un évènement à haut risque en terme de cyberattaques.

Des pirates chinois auraient mené des attaques contre de nombreux officiels sud coréens afin de leur dérober de nombreux documents confidentiels tout au long de 2010. Apparemment, les hackers ciblaient les fonctionnaires chargés des relations avec la Corée du Nord.

Prévention :
Google, le géant de la recherche sur Internet, a publié une checklist « sécurité » composée de 18 recommandations réparties en 5 grandes catégories : l’ordinateur, le navigateur Internet, le compte Google, les réglages de Gmail et enfin d’autres rappels. Celle-ci est principalement destinée aux utilisateurs de son service de messagerie Gmail.

Le centre ISC (Internet Storm Center) du SANS Institute (SysAdmin, Audit, Network, Security) continue son initiative de sensibilisation à la sécurité informatique avec son Mois de la Sensibilisation à la Cyber-Sécurité (« Cyber Security Awareness Month », aka « CSAM »). Déjà 25 bonnes pratiques concernant l’informatique au sein du cercle familial, scolaire et professionnel ont été formulées.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

XMCO :
Le cabinet XMCO est à la recherche d’un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html


Cert-XMCO