Avis d’expert : semaine du 14 au 20 Novembre 2011

Avis d’expert : semaine du 14 au 20 Novembre 2011

A la suite de la découverte d’un malware signé à l’aide d’un certificat SSL, le CERT-XMCO recommande l’installation de la mise à jour référencée KB2641690 proposée par Microsoft. Cette mise à jour permet de révoquer les certificats racines de l’autorité de certification intermédiaire malaisienne DigiCert Sdn. Bhd. Cette autorité aurait en effet émis une vingtaine de certificats SSL faiblement sécurisés et pouvant être utilisés par des pirates afin de forger des certificats frauduleux considérés comme valides par les systèmes des internautes.

Résumé des évènements majeurs

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le noyau Linux (EXT3 et NFSv4), Coldfusion et SonicWall SSL-VPN. L’exploitation de ces différentes failles de sécurité permettait à un pirate de provoquer un déni de service, d’accéder à des informations sensibles, voire de prendre le contrôle d’un système.

Une méthode permettant de contourner le mécanisme de bac à sable implémenté au sein de Mac OS X a été rendue publique.

Correctifs :

À la suite d’un incident au cours duquel de très nombreux serveurs Bind sur Internet ont été impactés, une faille de sécurité a été découverte au sein du logiciel, et a été corrigée par l’ISC. La réception d’un paquet spécialement conçu provoquait un arrêt du serveur.

Adobe a publié une nouvelle version de son logiciel Flash Player (APSB11-28). De nombreuses vulnérabilités critiques pouvaient être exploitées afin de provoquer une corruption de la mémoire, résultant en un déni de service ou en la prise de contrôle d’un système. Ces vulnérabilités étaient exploitables en incitant simplement un internaute à ouvrir une page spécialement conçue.

Microsoft a publié une mise à jour afin de révoquer plusieurs certificats SSL. Une autorité de certification intermédiaire ayant émis plusieurs certificats faiblement sécurisés, ces derniers pouvaient être utilisés par des pirates pour créer de faux certificats SSL valides, mais frauduleux.

Plusieurs autres correctifs ont été publiés. Ceux-ci concernent le navigateur Google Chrome, SPIP, Joolma!, ProFTPd, Dovecot, NginX, VMware vCenter (VMSA-2011-0014), CA Directory, SAP Netweaver, Oracle Secure Global Desktop, GnuTLS, iTunes, les produits AirPort et Time Capsule, l’iOS d’Apple, JUNOS de Juniper, IBM WebSphere, AIX et Lotus Domino, HP SAN/iQ, HP Directories Support for ProLiant Management Processors, HP Network Node Manager i (NNMi) et enfin HP-UX.

Exploit :

Une preuve de concept relative au récent correctif MS11-083 publié par Microsoft a été divulguée cette semaine. Celle-ci permet d’envoyer un grand nombre de paquets UDP afin de provoquer un déni de service.

Conférence / Recherche :

Des développeurs français ont publié les premières informations concernant le fonctionnement de Siri, l’assistant personnel d’Apple.

Une équipe de chercheurs travaillant pour l’université de Nanyang à Singapour vient de publier une nouvelle famille de fonctions de hachage baptisée PHOTON. Cette dernière serait optimisée pour être utilisée dans des contextes restreints, tels que les puces RFID. Avant de ne pouvoir les utiliser, il reste cependant nécessaire d’attendre le temps que de nombreux cryptographes puissent valider la sécurité de ces fonctions.

Google a introduit dans la dernière version d’Android une nouvelle fonctionnalité. Cette dernière permet à un utilisateur de déverrouiller son smartphone en se plaçant devant l’objectif de son smartphone afin que celui-ci prenne une photographie du visage, et la compare avec le visage de référence. En étudiant ce mécanisme, des chercheurs ont réussi à le contourner en plaçant simplement une photo devant le téléphone…

Cybercriminalité / Attaques :

En s’attaquant aux systèmes de contrôle de distribution d’eau de la ville de Springfield dans l’Illinois, des pirates ont détruit une pompe à eau. Après Stuxnet, c’est la première attaque contre un système de supervision SCADA rendue publique ayant eu un impact réel.

Une faille de sécurité a été découverte après avoir observé l’arrêt intempestif de nombreux serveurs Bind sur l’ensemble de l’Internet. Cette faille pourrait avoir été exploitée par des pirates dans le but de provoquer un crash des serveurs.

Après l’annonce de Microsoft de révoquer les certificats de l’autorité de certification intermédiaire malaisienne DigiCert Sdn. Bhd., plusieurs éditeurs de solutions antivirales ont découvert des malwares signés à l’aide de certificats SSL révoqués, mais considérés comme étant valides par les systèmes des internautes. Cette découverte a mis en avant la difficulté de gérer les listes de révocation de certificats SSL, ainsi que la confiance aveugle qui est faite par les internautes à ces autorités de certifications. En effet, VeriSign ayant spécifié la date de révocation du certificat frauduleux sans faire de recherche particulière pour savoir avec précision la date d’apparition de ce certificat, de nombreux autres malwares ayant été signés avant la date de révocation ont été considérés comme valides par les systèmes des internautes…

Enfin, la Corée du Sud serait actuellement en train de réfléchir au blocage du port 25 afin de lutter contre les pourriels.

Entreprise :

En piratant la page d’accueil du site de BFM, les hackers du projet Voxel ont voulu annoncer la mise à disposition de la France de leurs compétences afin de défendre les Systèmes d’Informations français des Anonymous et autres script kiddies.

Internationnal :

L’OTAN serait actuellement en train de rédiger une proposition de loi et de réfléchir à différents moyens de coopération permettant aux états membres de lutter plus efficacement contre les risques de cyber-guerre.

Vie Privée :

Les Anonymous auraient récupéré les identifiants d’accès aux comptes email de près de 10 % de la population finlandaise.

XMCO a récemment publié plusieurs articles sur son blog :

L’application iCERT-XMCO est enfin disponible sur l’Android Market à l’adresse suivante :

Celle-ci vous permettra de suivre l’actualité de la sécurité informatique en restant informé des attaques informatiques du moment et des plus récentes découvertes de vulnérabilités des systèmes informatiques. Pour rappel, cette application est aussi disponible pour iPhone à l’adresse suivante :

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO


Cert-XMCO