Avis d’expert : semaine du 26 Septembre au 2 Octobre 2011

Avis d’expert : semaine du 26 Septembre au 2 Octobre 2011

Cisco a publié de nombreux correctifs de sécurité pour son système d’exploitation IOS. Bien que l’exploitation de la majorité des failles de sécurité corrigées ne permette que de provoquer un déni de service, le CERT-XMCO recommande l’installation des mises à jour, ou la mise en place des solutions de contournement.

Résumé des évènements majeurs

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le moteur PHP, ainsi que les produits SoniWall, Barracuda IM Firewall et enfin Barracuda Backup.

Correctifs :

Dans le cadre de la publication bisannuelle de ses correctifs, Cisco a corrigé de nombreuses failles de sécurité au sein de son système d’exploitation IOS. Les vulnérabilités concernaient la gestion du SLA, du NAT, du SIP, du MPLS, du DLSw, de l’IPv6, des fonctionnalités « IPS » et « Zone-Based Firewall« , du logiciel Unified Communications Manager, de l’ICMP, de Cisco Smart Install et enfin de Jabber.

De nombreuses autres failles de sécurité ont été découvertes au sein de Symantec IM Manager, des produits Mozilla Firefox, Thunderbird et SeaMonkey, de Joomla!, d’HP-UX, d’IBM WebSphere et Tivoli Enterprise Portal, de Novell GroupWise, de Citrix Provisioning Services, de Puppet, de Perl, d’Apache Tomcat, de PostgreSQL et enfin de Windows.

Exploit :

Plusieurs preuves de concept ont été divulguées cette semaine permettant d’élever ses privilèges au sein de Mac OS X, et de réaliser des attaques de type XSS au sein de Joomla!.

Conférence / Recherche :

Récemment, la France a créé un consortium en charge de répondre au deuxième appel à projets concernant la sécurité informatique dans le cadre du Grand Emprunt. Ce consortium, composé de l’ESIEA (École supérieure d’informatique, électronique et automatique) et des entreprises Qosmos et Nov’IT, devrait déposer prochainement un dossier correspondant au projet Davfi (Démonstrateur antivirus français et international). Celui-ci serait d’ailleurs déjà supporté par la DCNS. Le Jury du Grand Emprunt responsable de la sélection des projets serait tenu de rendre son verdict début 2012. Théoriquement, ceci permettrait à la France d’avoir sa propre solution antivirale dès 2013. D’après les principales caractéristiques énoncées, ce logiciel s’annonce très prometteur.

Trend Micro a publié une analyse poussée du «business model» monté par SOldier, un pirate utilisant SpyEye pour dérober des informations bancaires. Celui-ci aurait dérobé plus de 3,2 millions de dollars à l’aide de son botnet.

L’observatoire d’Internet, un projet soutenu par l’Europe, devrait bientôt offrir des statiques temps-réel sur les échanges en cours sur l’intégralité du réseau des réseaux.

IBM a récemment déclaré avoir constaté une baisse significative du spam, du phishing et des attaques à l’encontre des navigateurs web. Il semblerait que des efforts accrus pour suivre et démanteler les botnets ne soient pas étrangers à cette tendance. À l’opposé, les mobiles seraient une cible de plus en plus privilégiée des pirates.

Cybercriminalité / Attaques :

Après s’être attaqué au site MySQL.com, le pirate connu sous le nom Sourcec0de a mis en vente sur un site Internet les identifiants permettant un accès « root » au système pour 3000$.

Dans le même temps, un pirate se faisant appeler TiGER-M@TE a réussi à pirater 700 000 sites Internet hébergés chez Inmotion Hosting Server.

Après s’être attaqué à plusieurs sites de préfectures françaises au cours de l’été, SaMo_Dz vient de frapper une nouvelle fois sur le site de l’association Ubuntu-fr.

Un nouveau type de malware vient de faire son apparition. Camouflé derrière l’icône correspondant au type de fichier PDF, cet exécutable ouvre en tache de fond un vrai fichier PDF avec le lecteur de fichier correspondant, tout en exécutant parallèlement d’autres actions malveillantes. Cette nouvelle approche montre que les pirates cherchent toujours plus de discrétion en présentant des informations incitant l’utilisateur à ne pas se méfier.

« OSX/flashback.A« , un nouveau cheval de Troie cible Mac OS X lion. Lors de la visite d’un site internet, le site malveillant pousse l’internaute à télécharger et à installer un exécutable correspondant soi-disant au lecteur Flash. En réalité, il ne s’agit que d’un cheval de Troie chargé de désactiver certaines mesures de sécurité, et de dérober certaines informations sensibles de l’utilisateur.

Entreprise :

Le groupe nucléaire français Areva aurait été pris pour cible par des pirates. Très peu d’informations sont actuellement disponibles, mais il semblerait que l’attaque remonte à environ 2 ans…

SABMiller, l’une des plus grosses brasseries au monde, a reconnu avoir dû récemment stopper l’une de ses usines à cause de son infection par Conficker. Cet arrêt lui aurait couté environ 7,2 millions de livres, à cause d’une faille non corrigée vieille de plusieurs années.

Microsoft aurait, avec l’aide de Kaspersky Lab, démantelé le botnet Kelihos.

Internationnal :

Quelques mois après l’affaire Stuxnet, et la compromission de plusieurs autorités de certification, l’Iran a menacé les États-Unis et le Royaume-Uni de représailles en cas de futures cyberattaques.

Le CERT-EU vient d’être officiellement lancé. Bien que toujours en phase de lancement le CERT a déjà publié un livre blanc intitulé « Additional Malware Protection with MSS ».

Juridique :

D’après la législation australienne sur les données personnelles, Sony n’est pas responsable de s’être fait dérober des millions de données personnelles.

Vie Privée :

Linky devrait bientôt être déployé dans tous les foyers français. Il s’agit d’un nouveau type de compteur électrique communicant et intelligent. Ce type de technologie, appelée « Smart Grid », n’en est qu’à ces balbutiements, et de nombreuses failles de sécurité pourraient être découvertes dans un futur plus ou moins proche. Ce type de systèmes évolués pourrait donc être détourné pour falsifier la consommation d’un ménage, ou pour provoquer des dénis de service du type clôture de ligne intempestive.

Le CERT-XMCO a publié un livre blanc intitulé « Monnaies virtuelles : les nouveaux circuits financiers clandestins« . Ces monnaies aux structures complexes et parfaitement rodées semblent infaillibles malgré leur caractère frauduleux. Elles ont en effet des années d’avance sur les moyens d’investigations utilisés par les services répressifs et les législations en vigueur.

Télécharger l’étude au format PDF à l’adresse suivante : http://www.xmco.fr/whitepapers/XMCO-LesNouveauxCircuitsFinanciersClandestins-Sept2011.pdf

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Cert-XMCO