Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-040

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 08 octobre 2010
No CERTA-2010-ACT-040

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-40


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-040

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-040.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-040/

1 Mise à jour des produits Adobe Reader et Acrobat

Cette semaine, Adobe a publié une mise à jour pour ses produits Adobe Reader et Adobe Acrobat. Ce correctif comble 23 vulnérabilités dans les branches 8 et 9 pour toutes les plateformes supportées. Cet ensemble de correction a fait l'objet de l'avis CERTA-2010-AVI-470.

L'une de ces 23 vulnérabilités, détaillée dans l'alerte CERTA-2010-ALE-014, avait été activement exploitée sur l'Internet. Le CERTA rappelle donc qu'il est impératif de mettre le plus rapidement possible à jour ces applicatifs afin de limiter les risques de compromission de son SI.

Documentation

2 Cybersurveillance de l'activité des salariés par leur employeur

Dernièrement, un site proposant aux employeurs un produit permettant de surveiller l'activité de leurs employés a défrayé la chronique. Cette solution formidable permet d'enregistrer les frappes clavier, de conserver des captures d'écran, d'enregistrer les mots de passe, de faire des captures ICQ, Miranda, Skype, Google Talk, MSN, ...

Cet outil ne peut que faire le bonheur des employeurs, comme en témoigne un directeur sécurité... Bien sûr, ce site rappelle qu'il faut faire une déclaration à la CNIL, informer préalablement les employés de la mise en service de cet outil et consulter préalablement le comité d'entreprise.

En effet, le droit du travail considère que l'employeur a le droit de contrôler l'activité professionnelle de ses salariés, mais cela doit s'opérer dans certaines conditions et en respectant certains principes :

  • l'informatique doit être au service de chacun ; toutefois, elle ne doit porter atteinte ni à l'identité humaine ni aux droits de l'Homme, ni à la vie privée, ni aux libertés individuelles et privées (article 1er de la loi du 6 janvier 1978) ; la Cour de Cassation reconnaît de son côté que « chacun a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances... »
  • le recours au contrôle doit être motivé et proportionnel au but poursuivi (art. L 121-8 du Code du Travail).

On peut noter que ce dernier point est totalement « oublié » de la page d'avertissement de ce site commercial, et à ce propos on ne peut considérer comme justifié, pour mener à bien le contrôle de l'activité des salariés, d'utiliser les fonctionnalités d'enregistrement de frappes clavier, enregistrement de mots de passe, captures ICQ, Skype, MSN (dialogue en ligne, ou clavardage comme diraient nos amis québécois)... Au contraire, cela pourrait susciter des poursuites au pénal, notamment en matière d'atteinte au secret des correspondances. Ainsi, il apparaît que l'utilisation de ce type de solution n'est ni conforme au principe de proportionnalité, ni respectueux des principes posés par la loi « informatique et libertés », tant en matière de respect de la vie privée que de finalité.

3 Vulnérabilité dans les libc

Cette semaine, une vulnérabilité touchant la bibliothèque de fonctions libc a été rendue publique. Il s'agit d'un problème liée à la fonction glob(). Celle-ci permet à son utilisateur de mettre en œuvre le support des caractères génériques (wildcards) comme l'astérisque «* », le point d'interrogation « ? » ou encore la virgule « , ».

Dans la mesure où l'activation de ce support dans certaines applications peut entraîner une importante consommation de mémoire en fonction des wildcards utilisés, il existe dans les différentes implémentations de libc une variable globale à renseigner dans le code source limitant la consommation de mémoire par la fonction glob(). Or dans certains cas, cette variable, bien que correctement renseignée, est inopérante car non-prise en compte par la fonction. Ainsi des attaques visant à saturer les ressources du système vulnérable par le biais de wildcards particuliers sont possibles.

Or, la fonction glob() est utilisée dans de nombreux cas, en particulier par des serveurs FTP. Ainsi, sont concernés les serveurs standards livrés dans NetBSD, FreeBSD, OpenBSD, Oracle Solaris mais également ceux s'appuyant sur la bibliothèque GNU/libc. De plus, la plupart du temps cette fonctionnalité bien pratique est activée par défaut. Il est donc facile de s'en prendre à un serveur FTP vulnérable en particulier s'il autorise une connexion anonyme (pas d'authentification requise). En fonction de la capacité de la machine et des particularités locales, l'attaque pourra se traduire par de « simples » dysfonctionnements ou par un ralentissement pouvant aller jusqu'à un déni de service complet. Il est à noter que les serveurs SFTP s'appuyant sur les mêmes briques de base (ftp et libc) peuvent être également vulnérables.

Recommandation :

Pour le moment seul NetBSD a publié un correctif (NetBSD-SA2010-008) corrigeant le problème. Dans tous les autres cas, il conviendra, en attendant une mise à jour, de désactiver la fonctionnalité « glob ».

4 Cassage du chiffrement des fichiers de sauvegarde BlackBerry

Un certain nombre d'articles ont annoncé, cette semaine, qu'une société russe commercialisait un produit permettant de casser rapidement la protection des données des BlackBerry.

Il est nécessaire de préciser que ce n'est pas la protection des données sur les ordiphones (smartphones) qui est concernée mais la protection des fichiers de sauvegarde, stockés hors du smartphone. Ces fichiers de sauvegarde sont chiffrés à l'aide de l'algorithme AES avec une clé 256 bits. Ce n'est bien évidemment pas cet algorithme qui est attaqué, mais la fonction de dérivation de clé (PBKDF2), utilisée pour créer une clé AES à partir du mot de passe de l'utilisateur. Cette fonction n'étant pas correctement utilisée, il est possible de retrouver la clé calculée à l'aide d'une attaque par force brute.

La portée de cette attaque reste limitée par le fait qu'il est nécessaire d'avoir accès au poste où est stocké le fichier de sauvegarde.


5 Rappel des avis émis

Dans la période du 01 au 07 octobre 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-461 : Multiples vulnérabilités dans VMware ESX Server
  • CERTA-2010-AVI-462 : Vulnérabilité dans HP-UX Directory Server
  • CERTA-2010-AVI-463 : Vulnérabilité dans IBM WebSphere Application Server Community Edition
  • CERTA-2010-AVI-464 : Vulnérabilité dans les commutateurs 3Com H3C 3100 et 3600
  • CERTA-2010-AVI-465 : Vulnérabilité dans IBM DB2 Administration Server
  • CERTA-2010-AVI-466 : Vulnérabilités dans les produits Horde
  • CERTA-2010-AVI-467 : Vulnérabilité dans Blue Coat ProxySG
  • CERTA-2010-AVI-468 : Vulnérabilité dans Novell iManager
  • CERTA-2010-AVI-469 : Vulnérabilités dans MySQL
  • CERTA-2010-AVI-470 : Vulnérabilité dans Adobe Reader et Adobe Acrobat
  • CERTA-2010-AVI-471 : Vulnérabilité dans PostgreSQL
  • CERTA-2010-AVI-472 : Vulnérabilité dans Dovecot
  • CERTA-2010-AVI-473 : Vulnérabilités dans MantisBT
  • CERTA-2010-AVI-474 : Multiples vulnérabilités dans TYPO3
  • CERTA-2010-AVI-475 : Vulnérabilité dans Foxit Reader et Foxit Phantom
  • CERTA-2010-AVI-476 : Vulnérabilité dans MIT Kerberos

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-418-001 : Vulnérabilités dans MantisBT (ajout des références CVE)


Liste des tableaux

Gestion détaillée du document

08 octobre 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-09-22