Avis d’expert : semaine du 3 au 9 Octobre 2011

Avis d’expert : semaine du 3 au 9 Octobre 2011

Cisco a publié de nombreux correctifs de sécurité pour ses logiciels. Bien que l’exploitation de la majorité des failles de sécurité corrigées ne permette que de provoquer un déni de service, le CERT-XMCO recommande l’installation des mises à jour, ou la mise en place des solutions de contournement.

Résumé des évènements majeurs

Vulnérabilités :

Une vulnérabilité au sein du serveur Web Apache a été rendue publique cette semaine. L’exploitation de celle-ci permet de contourner une restriction de sécurité au sein du module mod_proxy.

Mozilla recommande aux internautes concernés de désactiver l’extension ScriptScan de McAfee qui serait à l’origine de nombreux crash de Firefox d’après les rapports de bogue envoyés par les internautes à la Fondation.

Correctifs :

Pour la seconde semaine consécutive, Cisco a publié plusieurs correctifs de sécurité. Parmi les logiciels concernés, Cisco Identity Services Engine, le pare-feu Cisco, Cisco NAC Manager et enfin les produits Cisco ASA et Catalyst.

Plusieurs autres correctifs ont été publiés. Ceux-ci concernent Adobe Photoshop Elements, SPIP, Novell Identity Manager, Google Chrome, plusieurs logiciels VMware, IBM Rational AppScan et enfin au sein du serveur Apache sur Solaris.

Exploit :

Plusieurs preuves de concept ont été divulguées cette semaine pour CA Total Defense et le navigateur Opera. Les codes d’exploitation sont présents au sein du framework d’exploitation Metasploit.

Conférence / Recherche :

SpyEye continue d’évoluer pour contourner les protections mises en place par les banques. Des chercheurs ont récemment découvert une nouvelle fonctionnalité permettant au malware de modifier le numéro de téléphone vers lequel la banque d’un internaute envoie les codes de vérifications à usage unique. Par une injection de formulaire web et une attaque de social engineering, le malware peut ainsi récupérer les codes envoyés par la banque par SMS. Cette nouvelle fonctionnalité leur permet de réaliser des opérations sensibles telles que des virements vers des comptes externes de façon totalement transparente pour le détenteur du compte, puisqu’il n’est plus du tout sollicité lors de cette opération.

Tout comme le fait Google avec Chrome, la Fondation Mozilla envisage de mettre en place un mécanisme de mise à jour automatique transparent pour l’internaute au sein de ses logiciels. Firefox 10 pourrait être la première version du navigateur à en bénéficier.

Selon une étude faite à partir de données dérobées à des pirates, 37 % des versions de Java utilisées ne seraient pas à jour.

Cybercriminalité / Attaques :

Dans le cadre des Assises de la sécurité qui se déroulait en fin de semaine, Patrick Pailloux, le directeur général de l’ANSSI a rappelé à l’ordre les entreprises françaises en matière de sécurité. Les récentes attaques subies par la France et médiatisées démontrent le peu de sérieux avec lequel est prise la sécurité informatique. Cependant, il suffirait de peu pour élever la sécurité à un niveau acceptable.

Une nouvelle faction d’hacktivistes se faisant appeler AnonAnalytics vient de voir le jour au sein des Anonymous. Celle-ci ne cherche plus à promouvoir le droit à l’information, à la liberté d’expression, ou encore à la transparence dans le domaine politique comme le proclamaient les Anonymous. Au lieu de cela, les AnonAnalytics cherchent à promouvoir la transparence au niveau du monde de l’entreprise et de la finance. Leur première cible est une société chinoise appelée « Chaoda Modern Agriculture ». D’après eux, la société escroquerait depuis environ 11 ans les marchés financiers en falsifiant des documents légaux, et en détournant beaucoup d’argent obtenu en levant des fonds. Au lieu de s’attaquer à la société en elle-même en lui volant des informations, ou en mettant à mal ses moyens de communication, cette attaque cible plus particulièrement la réputation de la société, ce qui pourrait avoir un impact fort sur les marchés boursiers sur lesquels est cotée Chaoda.

Selon une étude réalisée par le gouvernement américain, le nombre d’incidents de sécurité aurait augmenté de 650 % par rapport à 2006.

La mise en place d’une unité de police spécialisée dans le cyber-crime aurait permis au Royaume-Uni de sauvegarder 140 millions de livres sterling en seulement 6 mois. L’unité devrait permettre au pays d’économiser au moins 540 millions de livres d’ici 4 ans.

Entreprise :

Vasco, la maison mère de l’autorité de certification DigiNotar vient de publier ses premières estimations sur le coût des attaques menées contre sa filiale. Celles-ci seraient comprises entre 3,3 millions de dollars et 4,8 millions de dollars.

Dans le cadre de son « Patch Tuesday« , Microsoft a annoncé la publication de 8 bulletins de sécurité le mardi 11 octobre prochain.

HTC a introduit une vulnérabilité critique au sein de ses smartphones en ajoutant à Android une application capable de récupérer l’ensemble des informations personnelles stockées sur le smartphone, et en laissant accessibles ces données à n’importe quelle autre application.

Internationnal :

Une nouvelle fois, la Chine aurait détourné une partie du trafic Internet mondial, en modifiant la configuration BGP de certains de ses réseaux. Cette opération, dont nul ne sait s’il s’agit d’une erreur involontaire ou pas, aurait transformé un miroir local du serveur DNS Racine F en un miroir global accessible via IPv6. Résultat, les internautes interrogeant ce serveur auraient pu voir certaines de leurs requêtes modifiées lorsque celles-ci traversaient le grand pare-feu chinois. L’impact a cependant dû rester relativement faible.

Juridique :

La justice anglaise a condamné un groupe de cyber-escrocs. Ceux-ci tiraient parti de Zeus pour vider les comptes de nombreux citoyens américains et anglais. Ces condamnations sont une bonne nouvelle puisqu’elles démontrent la capacité de la justice à poursuivre les cyber-délinquants même si tout le monde sait que les nombreuses poursuites actuellement en cours ne ciblent qu’une infime partie d’un réseau de criminels particulièrement bien organisé.

En France, un jeune pirate s’est fait prendre à son propre jeu. Après avoir acheté pour près de 3000 euros de matériel, une société, dont les paiements avaient été refusés puisqu’ils avaient été réalisés avec carte volée, a réussi à appâter le pirate en lui envoyant un mail lui faisant croire qu’il avait gagné à un tirage au sort. Le pirate a ainsi été arrêté alors qu’il venait récupérer son lot, et devrait être jugé au début de l’année prochaine.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Cert-XMCO