Avis d’expert : semaine du 21 au 27 Mai 2012

Avis d’expert : semaine du 21 au 27 Mai 2012

Résumé des évènements majeurs

Vulnérabilités :

De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent Linux (NFSv4, mmap_sem, HUGETLB_PAGE), PHP, Windows et enfin IBM Lotus Quickr. L’exploitation de ces différentes failles de sécurité permet à un pirate de provoquer un déni de service, d’élever ses privilèges, voire de prendre le contrôle d’un système à distance.

Correctifs :

Plusieurs correctifs ont été publiés. Ceux-ci concernent EMC AutoStart, Solaris (libvorbis, OpenSSL, Flash Player), Google Chrome, Citrix Presentation Server et de XenApp, Symantec Enpoint Protection, Wireshark, HP-UX et enfin Symantec Web Gateway.

Exploit :

Plusieurs codes d’exploitations ont aussi été divulgués cette semaine pour OpenOffice, Novell Client, PHP et enfin HP Virtual SAN Appliance. Un pirate est ainsi en mesure d’élever localement ses privilèges, voire de prendre le contrôle d’un système à distance.

Conférence / Recherche :

FlashBack ne rapporterait pas autant d’argent aux pirates que ce qui avait été envisagé initialement. D’après une étude de Symantec, au lieu de rapporter près de 10 000 dollars par jours, ce n’est que 15 000 dollars qui auraient pu être amassés par les pirates sur une période de 3 semaines….

Le chercheur Behrang Fouladi a procédé à une annonce importante. Il aurait réussi à cloner un token RSA SecurID, et aurait ainsi été en mesure de générer des codes d’identification valides depuis un autre ordinateur. Même si cette annonce est importante, son impact reste limité. En effet, la prouesse du chercheur ne concerne pour le moment que la version logicielle du token, et non la version physique.

Google a lancé la semaine dernière une campagne de sensibilisation afin d’alerter les internautes victimes de DNSChanger. Selon les données récoltées par le FBI sur les anciens serveurs des pirates, il y aurait encore environ 330 000 internautes victimes du malware.

Moxie Marlinspike et Trevor Perrin, deux chercheurs réputés pour leurs travaux en matière de cryptographie viennent de publier auprès de l’IETF une nouvelle proposition de norme afin de faire évoluer l’écosystème SSL/TLS. Baptisée « Trust Assertions for Certificate Keys » (TACKS), la proposition est très proche de la technique de « certificat pining » mise en place par Google au sein de son navigateur Chrome, et vise à la rendre suffisamment générique pour être adaptable dans tous les contextes, et déployable à grande échelle. En effet, ces deux points correspondaient aux points faibles de la technique de Google.

De nombreux expatriés français souhaitant voter sont confrontés à des problèmes pour se connecter au système de vote en ligne. En effet, la dernière mise à jour de Java 1.7 serait incompatible avec l’application Java utilisée au sein du système de vote en ligne développé par la société espagnole Scytl.

Cybercriminalité / Attaques :

Initialement, la compromission de Global Payments remontait au début de l’année 2012. Il y a quelques semaines, les premières traces de cette dernière avaient pu être datées de juin 2011. Aujourd’hui, selon une nouvelle source, les premières traces de l’attaque remonteraient en réalité à janvier 2011.

SpyEye et Zeus, deux des malwares les plus connus du moment continuent d’évoluer. De nouvelles fonctionnalités viennent en effet de leur être ajoutées. Mais contrairement à ce qui avait pu être observé jusqu’alors, les derniers ajouts ne sont plus liés directement à la fonctionnalité première de ces « bankers ». SpyEye est désormais capable de filmer et d’enregistrer un internaute à son insu via la webcam et le micro de l’ordinateur. De son côté, Zeus est désormais capable de se transformer en « ransomware » en verrouillant complètement l’ordinateur de la victime tant que ce dernier n’a pas payé une rançon.

Entreprise :

Yahoo a publié par erreur une clef de chiffrement privée avec son extension « Axis » pour Google Chrome.

Juridique :

La Commission européenne proposera, d’ici la fin de l’année, une législation contraignante pour l’ensemble des États membres afin d’aider ces derniers à combler leurs lacunes dans le domaine de la cyber-sécurité.

Le botmaster de Bredolab a récemment été condamné à 4 ans de prison en Arménie.

Vie Privée :

Le FBI vient de créer une unité nommée « Domestic Communications Assistance Center« , chargée de surveiller les communications électroniques : Internet, réseaux sans fil, voix sur IP. Cette unité permettra notamment au FBI de s’adapter aux évolutions technologiques des moyens de communication, renforçant ainsi ses capacités d’écoutes légales.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : @CERTXMCO


Cert-XMCO