Avis d’expert : semaine du 19 au 25 Septembre 2011

Avis d’expert : semaine du 19 au 25 Septembre 2011

A la suite de l’exploitation par les pirates d’une faille de sécurité de type « 0day », Adobe a publié une nouvelle version de son Flash Player. Le CERT-XMCO recommande son installation dans les plus brefs délais.

Résumé des évènements majeurs

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le système d’exploitation Mac OS X Lion, le client de VoIP Skype sur iPhone, JasperServer, FortiAnalyzer, ou encore AWStats.

Correctifs :

Adobe a publié une nouvelle version de son plug-in Flash Player (APSB11-26) à la suite de l’exploitation d’une faille de sécurité de type « 0day » utilisée par les pirates pour mener des attaques de « Cross-Site Scripting » (XSS). D’autres vulnérabilités ont par la même occasion été corrigées. L’exploitation de celles-ci permettrait à un attaquant de prendre le contrôle du système.

Plusieurs autres correctifs ont, dans le même temps, été publiés. Ceux-ci concernent les systèmes d’exploitation Windows et Solaris (Fetchmail, Apache HTTP Server, Pango et W3M), WebSphere Commerce, HP Business Service Automation et HP NonStop, Cisco Identity Services Engine, Google Chrome et enfin le navigateur Opera sur Android.

Exploit :

Un nouveau code d’exploitation a été ajouté au framework Metasploit. Celui-ci permet de prendre le contrôle d’un système à distance en incitant un utilisateur à ouvrir un fichier .QCP spécialement conçu avec le contrôle ActiveX RealPlayer d’Internet Explorer.

Plusieurs autres preuves de concept ont été divulguées cette semaine pour Cisco Telepresence, BlueCoat Reporter et AWStats.

Conférence / Recherche :

Deux chercheurs ont présenté en fin de semaine le fruit de leur travail concernant BEAST à la conférence internationale Ekoparty. Les deux cryptographes ont découvert une faille de sécurité au sein des protocoles SSL 3.0 et TLS 1.0 permettant de déchiffrer le contenu d’un cookie de session en menant une attaque cryptographique connue sous le nom de « chosen plaintext attack ». Même si cette attaque est relativement importante dans le monde de la cryptographie, elle reste relativement complexe à mettre en oeuvre et à exploiter…

De nouvelles failles de sécurité ont été découvertes au sein des systèmes SCADA de Rockwell Automation, Cogent Datahub, Measuresoft et Progea. Certains éditeurs auraient déjà publié des correctifs relatifs à plusieurs failles découvertes.

D’après des chercheurs spécialisés dans le jailbreak des iPhone, au moins 5 failles de sécurité permettant de jailbreaker le prochain iPhone 5 auraient déjà fait l’objet de recherche et rempliraient toutes les conditions requises pour publier un outil de jailbreak dès la sortie du prochain smartphone d’Apple.

Cybercriminalité / Attaques :

D’après une étude publiée par Symantec, 1,4 million de Belges ont été victimes de la cybercriminalité en 2010, soit environ trois victimes chaque minute.

Le site Internet de la ville de Rennes a été pris pour cible par les pirates. Officiellement, il s’agirait de protester contre la récente interdiction de prier dans les rues à Paris, et la mise à disposition d’une ancienne caserne de pompier pour cela. Officieusement, il s’agirait plutôt de gêner le bon déroulement d’un prochain débat intitulé « France/Banlieues : le choc programme. Comment la division est organisée ? Pourquoi la réconciliation est urgente ? » au cours duquel sont prévu les interventions d’Alain Soral et d’Hassan Iquioussen.

Un jeune pirate russe aurait dérobé plus de 3,2 millions de dollars à des internautes majoritairement américains avec l’aide du malware SpyEyes.

Enfin, le FBI aurait procédé à l’arrestation de plusieurs membres présumés des Anonymous et des LulzSec. L’un d’entre eux aurait été démasqué grâce à l’aide du site HideMyAss.com, qui offre un service de VPN d’anonymisation qui avait été utilisé par le pirate pour attaquer Sony il y a quelques mois.

Entreprise :

Microsoft pourrait se mettre à dos la communauté Linux. En effet, il voudrait imposer aux fabricants de PC la mise en place d’une nouvelle fonction de sécurité, le géant de Redmond pourrait empêcher ses clients d’installer leurs systèmes d’exploitation alternatifs (Linux et autres). Selon Microsoft, rien n’est imposé aux fabricants, seul un cadre technique leur est décrit s’ils veulent obtenir la certification « Windows 8 ». De plus, Microsoft ne met pas en place une fonction de sécurité lui permettant d’empêcher ses clients d’utiliser d’autres systèmes d’exploitation, mais s’appuie seulement sur une norme « indépendante » (UEFI) pour offrir une nouvelle fonction de sécurité au sein de son OS. Reste à voir comment les constructeurs de PC interpréteront les critères de Microsoft.

Fin de l’affaire DigiNotar : l’autorité de certifications a été mise en faillite par sa maison mère Vasco.

Adobe a annoncé la date de mise à disposition de la version 11 de son Flash Player. Cette future version offrira de nouvelle fonction de sécurité telle que le support des sockets SSL, la mise en place d’un générateur d’aléa plus sûr, et enfin un meilleur support de l’ASLR. En effet, concernant cette dernière fonctionnalité, Adobe fournira des versions 64 bits de son plug-in. La version Android du plug-in devrait par ailleurs bénéficier du mode de « navigation privée » et d’une interface de configuration dédiés similaires à ce que la version classique offre déjà.

Vie Privée :

Alex Türk a annoncé sa démission de la CNIL. Celle-ci a pris effet la semaine dernière. Isabelle Falque-Pierrotin, l’ex-Vice Présidente de la commission prend la succession du sénateur du Nord. Dans le même temps, la CNIL a émis un sévère avertissement à la société Page Jaunes, pour avoir utilisé à des fins commerciales de très nombreuses informations personnelles publiées sur Internet par Facebook.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Cert-XMCO