Avis d’expert : semaine du 23 au 29 mai 2011

Avis d’expert : semaine du 23 au 29 mai 2011

L’affaire du piratage de la société Lockheed Martin doit être suivie de près. En effet, certains avancent que cette attaque se serait déroulée grâce aux vols de clés RSA survenues quelques semaines plutôt. Si cela était avéré, de très nombreuses entreprises pourraient être victimes d’attaques similaires.

Résumé des évènements majeurs :

Vulnérabilités :

Une vulnérabilité a été découverte au sein de la gestion des sockets par PHP. En exécutant un script tirant parti de la fonction « socket_connect() », un pirate est en mesure de prendre le contrôle d’un système à distance. Une autre faille de sécurité affectant la gestion de certains types de fichier par Lotus Notes a aussi été rapportée. Son exploitation permet aussi de prendre le contrôle d’un système à distance.

Une faille de sécurité au sein d’Internet Explorer a été présentée dans le cadre d’une conférence. Le chercheur serait en mesure d’exfiltrer un cookie arbitraire vers le site d’un pirate en contournant les nombreuses protections d’IE 9. L’exploitation de cette vulnérabilité nécessite cependant la connaissance du nom d’utilisateur de la victime et de l’inciter à manipuler une iframe via sa souris.

Correctifs :

De nombreux correctifs ont été publiés cette semaine. PHPMyAdmin), Google Chrome, le serveur de messagerie Dovecot, le serveur de noms Bind,le moteur de blog Drupal, Cisco Web Management Interface, Cisco IOS XR, Cisco Content Delivery System et enfin Symantec Backup Exec ont ainsi été mis à jour.

Par ailleurs, une nouvelle version de WordPress a été publiée, même si celle-ci n’apporte aucun correctif de sécurité, plusieurs fonctions visant à protéger le système contre plusieurs types d’attaque ont été améliorées.

Exploit :

Un code d’exploitation a été publié cette semaine. Celui-ci permet de tirer parti de la faille présente au sein de PHP afin d’obtenir une invite de commande lors de l’exécution du script.

Conférence / Recherche :

Un étudiant de l’université d’Amsterdam a annoncé avoir été en mesure de télécharger plus de 35 millions de profils utilisateurs Google. Les identifiants uniques de profil étaient en effet contenu dans des fichiers XML accessibles publiquement. Quelques requêtes HTTP suffisaient donc pour récupérer et traiter les informations personnelles d’un très grand nombre d’internautes.

Elcomsoft a annoncé avoir « cassé » l’algorithme de chiffrement utilisé par Apple pour protéger les données personnelles des utilisateurs d’iPhone. En réalité, la société aurait uniquement trouvé une faille au sein de la gestion des clefs de chiffrement permettant de les extraire d’un smartphone.

Des chercheurs de Trend Micro ont (re)découvert une faille au sein du service Hotmail de Microsoft. Son exploitation aurait permis à des pirates de récupérer l’ensemble des courriels associés à un compte Hotmail en réalisant une attaque ciblée. Cette faille n’impactait pas uniquement les internautes, mais également les sociétés qui externalisent leur messagerie chez Microsoft. Nul ne sait si cette faille était activement exploitée par les cybercriminels.

Une étude a montré la faiblesse des captchas audio. Selon les chercheurs, seule Recaptcha.net, l’implémentation de Google, serait résistante aux attaques proposées…

Cybercriminalité / Attaques :

Lockheed Martin pourrait être l’une des premières victimes du piratage de RSA. La société serait en effet actuellement confronté à de nombreux problèmes de sécurité liés à l’utilisation de tokens RSA SecurID… Lockheed Martin aurait d’ailleurs demandé à RSA le remplacement de l’ensemble de ces tokens.

Les sociétés TMG et Sony ont été victimes de nouvelles attaques cette semaine. Plusieurs serveurs de la société responsable de l’identification et du fichage des internautes qui téléchargent des fichiers soumis au droit d’auteur pouvaient être facilement compromis. De son côté, Sony a annoncé que le piratage du PSN lui couterait au minimum 171 millions de dollars.

Après avoir été longuement décriée pour ne pas vouloir aider ses clients, Apple a reconnu officiellement le problème « Mac Defender » en publiant une note sur son site internet expliquant aux internautes comment se débarrasser du malware.

Entreprises :

Alors que l’autorité de certification Comodo avait été victime d’attaque il y a quelques semaines, une nouvelle autorité d’enregistrement vient d’être compromise. Une faille de type injection de code SQL aurait ainsi été exploitée sur le site de l’autorité Comodo BR. Celle-ci aurait permis aux attaquants de récupérer les identifiants de nombreux comptes. Selon Comodo, rien ne prouve à l’heure actuelle que ceux-ci aient été utilisés pour générer de faux certificats.

Facebook a annoncé dans le cadre de la conférence HITB, qui se déroulait il y a peu à Amsterdam, le prochain lancement d’un programme visant à récompenser les chercheurs pour la découverte de vulnérabilités sur ses applications web.

Google a lancé un nouveau service en ligne. Google Wallet permet depuis la semaine dernière aux Américains de réaliser des achats dans un certain nombre de magasins en réalisant une transaction de paiement à l’aide de leur téléphone portable. Concrètement, le système est une sorte de porte-monnaie virtuel avec lequel il est possible de réaliser ces achats. Paypal et Visa, qui sont particulièrement concernées par ce service concurrent, semblent avoir déjà réagi à ce lancement.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Cert-XMCO