1 Nouvelle attaque en hameçonnage ciblant des utilisateurs d’une banque française
Les utilisateurs d’un établissement bancaire français ont été victimes le 07 mars d’une nouvelle tentative d’hameçonnage (phishing). Le courrier électronique frauduleux envoyé massivement aux internautes reprenait la charte graphique de la banque et invoquait des considérations de sécurité pour les inciter à suivre les liens proposés et à entrer leur code d’accès aux services en ligne. La banque a aussitôt émis une alerte sur son site web.
Le CERTA rappelle l’importance de signaler le plus rapidement possible ce type d’attaques afin de limiter le nombre de victimes. Il doit être rappelé aux utilisateurs la réalité de cette menace et la prudence nécessaire dans l’ouverture des liens insérés dans les messages. Le CERTA recommande la lecture d’un communiqué de la FBF (Fédération Bancaire Française) disponible au lien suivant :
http://www.fbf.fr/web/internet/content_particuliers.nsf/(WebPageList)/49D5DCBE7BA021D9C125701100492858
Ces recommandations de bon sens s’appliquent à la plupart des services en ligne.
2 Réflexions sur les concours d’intrusion
Ces dernières semaines ont vu l’apparition de plusieurs concours de piratage de machines, notamment sous système d’exploitation MacOS X. Ces concours attirent toujours l’attention des medias, probablement pour son côté ludique. L’éditeur Symantec a également publié un certain nombre de statistiques sur différents systèmes d’exploitation Linux et sur leur résistance aux attaques.
Le CERTA recommande la plus grande prudence face à ce genre d’allégations, de concours et de « statistiques ».
La conclusion sous-jacente à la lecture de ce type d’articles est « tel système d’exploitation (ou telle version) est plus sécurisé que les autres. Prendre ce système plus sécurisé que les autres dispenserait des actions nécessaires pour assurer la sécurité au quotidien. »
L’expérience tirée par le CERTA des incidents de sécurité montre sans ambiguïté que tous les systèmes d’exploitation ont été l’objet de vulnérabilités exploitées. La sécurité ne se situe pas dans le choix définitif d’un outil en particulier mais dans des pratiques d’administration au quotidien.
Les mesures décrites à la section 6 sont de nature à apporter une meilleure sécurité que le choix des outils qui pourrait être influencé par le résultat d’un concours.
Rappel des avis émis
Dans la période du 27 février au 05 mars 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-093 : Vulnérabilité dans Winamp
- CERTA-2006-AVI-094-001 : Vulnérabilité de unzip
- CERTA-2006-AVI-095-003 : Multiples vulnérabilités dans Squirrelmail
- CERTA-2006-AVI-096 : Mises à jour de sécurité Mac OS X
- CERTA-2006-AVI-097-001 : Vulnérabilité dans SecureCRT et SecureFX
- CERTA-2006-AVI-098 : Vulnérabilité sur BOMArchiver sous MAC
- CERTA-2006-AVI-099 : Multiples vulnérabilités dans Joomla!
- CERTA-2006-AVI-100 : Vulnérabilité dans OpenSSH
- CERTA-2006-AVI-101 : Vulnérabilité dans HP System Management Homepage
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2005-AVI-195-004 : Vulnérabilité de libtiff
- CERTA-2005-AVI-486-004 : Vulnérabilité de Perl
- CERTA-2005-AVI-487-005 : Vulnérabilité de Ethereal
- CERTA-2006-ALE-001-001 : Vulnérabilité dans le traitement de certains fichiers sous MAC OS X
- CERTA-2006-AVI-013-001 : Vulnérabilité du module mod_ssl dans Apache 2
- CERTA-2006-AVI-049-001 : Vulnérabilité de ImageMagick
- CERTA-2006-AVI-050-001 : Vulnérabilité du package nfs-server
- CERTA-2006-AVI-086-002 : Vulnérabilité de GnuPG