S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 novembre 2006
N° CERTA-2006-ACT-045
Affaire suivie par: CERT-FR
le 10 novembre 2006

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2006-45

Gestion du document

Référence CERTA-2006-ACT-045
Titre Bulletin d’actualité 2006-45
Date de la première version 10 novembre 2006
Date de la dernière version 10 novembre 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Défiguration

Le CERTA a traité cette semaine un cas de défiguration dans lequel les attaquants ont une nouvelle fois utilisé une faille par injection de code. Le ou les intrus ont trouvé le site par le biais d’une recherche ciblée sur un moteur de recherche. Ils ont ensuite testé le contrôle, par le site, du contenu des variables passées en paramètre. L’une, au moins, de ces variables n’était pas protégée. Ce paramètre ne devrait contenir être qu’un entier, hors dans les journaux du serveur web nous avons constaté que derrière l’entier les attaquants ont pu ajouter du code SQL qui a été interprété par le serveur. Plus concrétement, la valeur du paramètre attendue était « ID=1 », mais a été remplacée par « ID=1 update TABLE set CHAMPS=***MESSAGE***; ».

Ils ont pu, alors, insérer leur message dans la base de données du site web.

Afin d’éviter cette attaques il aurait suffit de contrôler que la valeur passée au paramètre ID était un entier compris dans des bornes raisonnables.

Recommandations :

Cette compromission rappelle une nouvelle fois l’importance de vérifier la valeur, le contenu et la cohérence des paramètres avant leur traitement.

1.2 Des responsabilités

Le CERTA rappelle, suite à un incident ayant été traité cette semaine, que des responsabilités particulières s’imposent quand un site Internet offre des services en ligne. De manière générale, il est important de garder à l’esprit certains articles de loi, afin d’administrer le site en conséquence. Parmi eux :

  • Art. 226-17 du Code Pénal :
« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n°78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende. »
  • Art 34 de la loi n°78-17 du 6 janvier 1978 (informatique et libertés), modifiée par la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel du 6 août 2004 :
« Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage de ce fait, vis à vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. »

2 Bulletins de sécurité et Firefox 2.0

Le projet Mozilla a annoncé publiquement le 24 octobre 2006 la version 2 du Navigateur Internet Firefox version 2.

En l’absence d’information sur les corrections apportées dans la version 2 définitive et dans la mesure où la branche 1.5 de Firefox est encore maintenue, le CERTA avait recommandé d’attendre un peu avant de déployer la version 2.

Cette semaine, Mozilla a publié trois avis de sécurité qui ont conduit à l’apparition de la version 1.5.0.8. Les avis font également mention de la version 2.0, et des corrections qui y ont été apportées.

La version 2.0 de Firefox est donc maintenue, et peut a fortiori être utilisée, en remplacement de la version 1.5.0.8. Cette dernière reste cependant toujours valable et actualisée.

Documentation :

3 Vulnérabilités de Windows

Le CERTA a fait mention dans le bulletin d’actualité CERTA-2006-ACT-043 de l’existence d’une vulnérabilité qui serait exploitable via le navigateur Internet Explorer 7.

Il est apparu que cette vulnérabilité n’est pas directement liée à cette nouvelle version du navigateur de Microsoft, mais réside dans la gestion des redirections mhtml. Celles-ci sont effectuées au moyen de la librairie inetcomm.dll, un composant du client de messagerie Outlook.

La vulnérabilité devrait être corrigée prochainement. Dans l’attente du correctif, le CERTA rappelle quelques bonnes pratiques à appliquer :

  • le client de messagerie doit être configuré pour ne recevoir que des courriels au format texte ;
  • le client de messagerie doit être configuré pour envoyer par défaut des courriels au format texte ;
  • Les activeX et le Javascript doivent être désactivés par défaut au cours de l’utilisation d’Internet Explorer. Leur activation doit être ponctuelle et maîtrisée.

Documentation :

4 Recommandations concernant les supports de stockage USB

Les périphériques USB (pour Universal Serial Bus) occupent actuellement une place prépondérante dans l’univers de l’appareillage informatique. Ils peuvent être de tout type, comme par exemple un support de données amovible (clé USB, lecteur de musique au format MP3, etc).

De part leur facilité d’installation, ces périphériques s’échangent très facilement d’une machine à une autre. Cependant, cette opération présente des risques, aussi bien pour le périphérique que pour l’ordinateur d’accueil.

Du fait de la simplicité et de la furtivité des attaques basées sur ces échanges, il est important de prendre des mesures préventives. Il n’est bien sûr pas question de remettre en cause l’utilité de l’USB, notamment les différents périphériques de stockage, mais certaines considérations doivent être prises avant leur utilisation, que ce soit pour l’utilisateur ou l’administrateur.

Le CERTA a publié cette semaine la note d’information CERTA-2006-INF-006, présentant les risques et des recommandations à ce sujet.

Documentation :

Rappel des avis émis


Gestion détaillée du document

    le 10 novembre 2006
    version initiale.