1 Des nouvelles pratiques de fournisseurs de téléchargements
Cette semaine,un message sur la liste de diffusion de développement du logiciel Nmap a annoncé que le site Web de Download.com proposait au téléchargement certaines versions des logiciels qui leur sont proposés encapsulées dans un installateur produit par ce site de téléchargement.
Sous prétexte d'assurer un téléchargement « sécurisé » ou encore « plus performant », le visiteur se verra proposer l'installation de barres d'outils, ou encore le changement automatique de la page d'accueil de son navigateur Web. Ces options sont bien entendu activées par défaut, et il faudra que le visiteur soit vigilant lors de l'installation pour demander explicitement de ne pas modifier son système.
Ces pratiques récentes apportent évidemment des bénéfices financiers au site qui installe une barre d'outils, par l'affichage de publicités, ou la redirection de certaines recherches vers des résultats bien définis. Le Bulletin d'Actualité CERTA-2011-ACT-021 rappelle les risques engendrés par ces barres d'outils.
Depuis que cette pratique a été publiquement dénoncée par certains éditeurs de logiciels, il est maintenant proposé aux développeurs de désactiver l'encapsulation dans l'installateur de Download.com. Download.com a également indiqué que tous les logiciels à source ouverte proposés ne sont plus sujets à cette pratique.
Le CERTA recommande, lors du téléchargement d'un logiciel ,soit de passer par un fournisseur qui sera soit géré par le système d'exploitation utilisé, soit de se connecter directement au site de l'éditeur. Cette dernière méthode est d'ailleurs généralement la seule permettant de vérifier la signature cryptographique de l'exécutable récupéré, lorsque celle-ci est disponible.
Documentation
- Message de la liste de diffusion Nmap dénonçant la pratique :
http://seclists.org/nmap-hackers/2011/5
- Message de Download.com à propos de leur installateur :
http://download.cnet.com/8301-2007_4-57338809-12/a-note-from-sean-regarding-the-download.com-installer/
- Bulletin d'Actualité du CERTA CERTA-2011-ACT-021 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-021/
2 Imprimantes en réseau, un tendon d'Achille
Les annonces récentes de fabricants d'imprimantes nous rappellent que ces appareils ne sont plus des périphériques « passifs » mais des systèmes à part entière. Leurs vulnérabilités peuvent avoir un impact sur tous les systèmes d'information sur lesquels elles sont connectées.2.1 Risques signalés récemment
Les imprimantes en réseau sont des ordinateurs à part entière, avec des fonctions de serveur, pour envoyer les documents à imprimer, mais également pour configurer ces imprimantes, les mettre à jour à distance et en consulter divers éléments.
Les fabricants Xerox et HP viennent de rappeler que des mots de passe doivent être positionnés et différents des mots de passe usine pour protéger le mécanisme de mise à jour du microgiciel (firmware). La même recommandation s'étend à tous les matériels (imprimantes, copieurs multifonctions, etc.) de toutes les marques dès lors que des fonctions de consultation (ex. : fichiers soumis) ou de modification existent.
La protection par mot de passe est un minimum. Elle est insuffisante quand le mot de passe transite en clair sur le réseau local. La mise en place d'un tunnel chiffrant, au moins jusqu'à un équipement proche de l'imprimante est alors complémentaire. Ce tunnel protégera également les documents transmis pour impression.
D'autre moyens sont complémentaires, comme l'accès à l'imprimante restreint à certains ordinateurs.
2.2 Impacts sur le SI
L'impact des vulnérabilités sur les imprimantes peut être évident ou, au contraire, très indirect :- un déni de service par modification de la configuration ;
- la fuite d'information, par capture d'un flux non chiffré vers l'imprimante, par accès non autorisé au stockage sur l'imprimante ou par utilisation abusive d'une fonction de réimpression ;
- un comportement dangereux (surchauffe, incendie) ou non (gaspillage de consommables) par la modification du microgiciel ;
- infection des postes de travail, par dépôt d'une réserve discrète de programmes malveillants, sur ce prépiphérique que l'on ne pensera pas à désinfecter lors du traitement d'une intrusion d'ampleur. Ce dépôt peut se faire, par exemple, par l'exploitation d'une vulnérabilité présente sur l'un des serveurs.
Documentation
- Bulletin de sécurité HP c03102449 du 30 novembre 2011 :
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03102449
- Rappel de sécurité de Xerox du 30 novembre 2011 :
http://www.xerox.com/information-security/enus.html
- Référence CVE CVE-2011-4161 :
https://www.cve.org/CVERecord?id=CVE-2011-4161
3 Alerte du CERTA concernant une vulnérabilité dans Adobe Reader
Le 6 décembre 2011, l'éditeur Adobe a publié une alerte portant sur une vulnérabilité dans les produits Adobe Reader et Acrobat. Selon l'éditeur, il semble que cette vulnérabilité soit actuellement exploitée sur l'Internet au moyen d'un fichier PDF spécialement conçu. Afin d'offrir un rendu en trois dimensions dans des documents PDF, certains produits Adobe interprètent le format U3D. La vulnérabilité précitée est causée par une erreur dans le traitement des fichiers au format U3D. L'exploitation de cette vulnérabilité permet à une personne malveillante d'exécuter du code arbitraire à distance au moyen d'un fichier au format PDF spécialement construit. Le CERTA recommande d'appliquer les contournements provisoires décrits dans son alerte CERTA-2011-ALE-008 du 07 décembre 2011 afin de limiter l'impact lié à l'exploitation de cet vulnérabilité.Documentation
- Alerte CERTA-2011-ALE-008 du 07 décembre 2011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-008/
- Alerte de sécurité Adobe APSA11-04 du 6 décembre 2011 :
http://www.adobe.com/support/security/advisories/apsa11-04.html
- Référence CVE CVE-2011-2462 :
https://www.cve.org/CVERecord?id=CVE-2011-2462