Avis d’expert : semaine du 30 mai au 5 juin 2011

Avis d’expert : semaine du 30 mai au 5 juin 2011

L’affaire du piratage de la société RSA doit être suivie de près. Après Lockheed Martin et L-3 Communications, Northrop Grumman serait potentiellement la troisième société à avoir été une victime collatérale de l’attaque de RSA… L’utilisation de token RSA SecurID étant avérée, de très nombreuses entreprises pourraient être victimes d’attaques similaires.

Résumé des évènements majeurs :

Vulnérabilités :

Une faille de sécurité a été découverte au sein de Nagios. Son exploitation permettrait de réaliser une attaque de type « Cross-Site Scripting » (XSS).

Correctifs :

Cisco a publié plusieurs correctifs pour Network Registrar, Unified IP Phones, AnyConnect VPN Client et enfin Media Experience Engine. L’exploitation des failles corrigées permettait de contourner certaines restrictions de sécurité, voire de compromettre un système à distance.

Apple a publié une mise à jour supprimant le malware « Mac Defender » et ajoutant certaines fonctions de sécurité visant à protéger un utilisateur contre celui-ci.

De nombreux autres correctifs ont aussi été publiés pour les produits VMware (VMSA-2011-0009), Symantec Mail Security, Brightmail et Data Loss Prevention, Apache Subversion, Asterisk (AST-2011-007), HP-UX, IBM Tivoli et WireShark.

Par ailleurs, une nouvelle version du moteur de blog Dotclear a été publiée. Bien que celle-ci n’apporte aucun correctif de sécurité, seules des fonctions de sécurité ont été améliorées.

Exploit :

Deux codes d’exploitation ont été publiés cette semaine. Ceux-ci permettent de prendre le contrôle d’un système HP Data Protector à distance via deux failles de sécurité différentes.

Conférence / Recherche :

Un chercheur a publié une description du protocole propriétaire utilisé par le fameux service voix sur IP Skype. Ce travail ne fait que débuter, puisqu’il s’agit pour l’instant d’une ancienne version du protocole.

Des chercheurs se sont rendu compte que Google Docs pouvait être utilisé afin de réaliser des attaques de phishing envers Google. En effet, il est possible de créer des formulaires personnalisés afin de récupérer des informations saisies par l’internaute. Le site étant hébergé par Google, il est encore plus simple de tromper un internaute.

cybercriminalité / Attaques :

L’attaque qu’a subie RSA semble de plus en plus grave. En effet, après Lockheed Martin, puis L-3 Communications, Northrop Grumman serait potentiellement la troisième société à avoir été une victime collatérale de l’attaque de RSA… Étrangement, ces sociétés interviennent toutes sur le secteur de la défense américaine. Il semblerait que l’origine de ces attaques soit l’utilisation d’une copie d’un token SecurID permettant aux pirates d’accéder à distance au réseau interne des sociétés visées.

Alors même qu’Apple a publié cette semaine une mise à jour visant à éradiquer Mac Defender, une nouvelle version du malware capable de contourner le correctif vient de faire son apparition…

Une étudiante rennaise est accusée d’avoir piraté le système d’information de son université pour modifier ses notes et ainsi valider ses années d’étude. Pour réaliser son acte de piratage, elle aurait utilisé le mot de passe de l’un de ses collègues.

Les pirates utilisent de nouvelles techniques pour tromper les internautes. Ainsi, les pirates publient sur Internet de fausses pages d’alerte ressemblant aux alertes émises par les navigateurs pour inciter les internautes à télécharger de faux antivirus malveillants…

Entreprises :

Allied Telesis, un fabricant d’équipements réseau japonais a accidentellement publié des informations concernant des portes dérobées présentes au sein de ses propres produits.

Internationnal :

Après le Royaume-Uni, les États-Unis ont publiquement évoqué le sujet de la cyber-guerre. Les deux pays ont présenté leur vision de ce nouveau type de conflit, ainsi que les enjeux qui en découlent. Ils ont aussi déclaré officiellement travailler à définir des portefeuilles de compétences, de techniques, d’outils leur permettant de réagir dans le cadre d’une cyber-attaque.

Dans le même temps, la France vient de présenter une série de mesures ayant pour objectif de renforcer la sécurité des réseaux français. Les principales propositions concernent la mise en place de « groupes d’intervention rapide » (GIR) composés d’informaticiens prêts à réagir, la définition de règles de sécurité strictes afin d’uniformiser les pratiques au sein du gouvernement, la création d’une fondation visant à promouvoir la recherche et la formation en cyber-sécurité, et enfin la mise en place de partenariat avec les opérateurs d’infrastructures vitales afin d’établir un réseau permettant de réagir rapidement dans le cadre d’une attaque informatique.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Cert-XMCO