S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 05 septembre 2008
N° CERTA-2008-ACT-036
Affaire suivie par: CERT-FR
le 05 septembre 2008

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2008-36

Gestion du document

Référence CERTA-2008-ACT-036
Titre Bulletin d’actualité 2008-36
Date de la première version 05 septembre 2008
Date de la dernière version 05 septembre 2008
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incidents traités cette semaine

1.1 Une idée reçue sur le filoutage et les liaisons sécurisées

Comme chaque semaine, et comme tout le monde, le CERTA reçoit des courriels frauduleux l’invitant à fournir ses informations personnelles et confidentielles en cliquant sur un lien qui est en fait un site de filoutage. Le pourriel dont parle cet article contenait un lien vers une page frauduleuse déposée sur un site légitime compromis. Ce qui fait l’originalité de l’adresse de la page de filoutage c’est que le site compromis utilisait la version chiffrée du protocole http : https. Donc la page de filoutage bénéficiait également du protocole chiffré. Or il n’est pas rare de lire des affirmations telle que : «Un moyen sûr de savoir si l’on se trouve sur un site de confiance est la présence de https dans l’adresse et d’un cadenas dans la fenêtre de son navigateur».

Ce pourriel est le contre-exemple typique de cette affirmation inexacte. La présence du cadenas indique uniquement que le navigateur affiche un page utilisant un certificat. Pour s’assurer de l’authenticité de ce dernier, il convient de consulter les informations du certificat en cliquant sur l’icône du cadenas de son navigateur. Le CERTA rappelle également qu’il ne faut en aucun cas suivre les liens présents dans les courriers électroniques.

1.2 Un hébergeur « recycle » un serveur compromis

Cette semaine, le CERTA a traité un incident relatif à la compromission d’un serveur dédié chez un hébergeur. À l’origine, la victime de cet incident a commandé un serveur dédié et pré-installé par son hébergeur. Ce dernier a donc fourni un serveur installé sous Windows comme demandé. La victime, confiante, n’a pas prêté attention à d’anciens profils désactivés mais toujours présents sur le serveur. Quelques mois plus tard une compromission est survenue. Lors de son analyse, le CERTA a mis en évidence que le serveur avait été compromis plusieurs mois avant sa livraison et que, loin d’avoir réinstallé correctement le serveur avant de le livrer, l’hébergeur n’a même pas pris le soin de nettoyer le serveur des différents codes malveillants toujours présents.

Le CERTA rappelle qu’en cas de compromission, il convient de suivre des règles élémentaires de sécurité décrites dans la note d’information concernant les bons réflexes en cas d’intrusion dans un système d’information, notamment de réinstaller complètement à partir de souches saines.

1.2.1 Documentation

2 Cartes mère avec système d’exploitation embarqué

Depuis quelques temps, certaines cartes mère embarquent un système d’exploitation minimal. C’est le cas notamment des cartes de marque Asus et de leur environnement Splashtop (appelé également Express Gate). Le système d’exploitation, un mini-linux, est fourni avec quelques outils :

  • le navigateur Firefox ;
  • l’outil de messagerie instantanée pidgin ;
  • le logiciel Skype ;
  • un mécanisme permettant de réaliser des copies de disque dur appelé Drive Xpert ;
  • un visualiseur de photos.

Il est assez difficile de connaître les versions des logiciels utilisés, car Asus utilise son propre système de numérotation.

Ce système d’exploitation présente deux avantages :

  • le premier, assez évident, est que ce système peut être utilisé pour réaliser des recherches sur l’Internet en cas de problème matériel/logiciel ;
  • le second, beaucoup plus discutable, est que l’on pourrait naviguer de façon « sécurisée ». L’argument avancé est qu’il n’y a pas d’écriture sur le disque. En fait, cela dépend du port SATA sur lequel le disque dur est connecté. En effet, si le disque dur est connecté à l’un des deux ports SATA accessibles depuis Drive Xpert, alors des écritures devraient être possibles. Les logiciels installés n’étant pas forcément à jour, de nombreux problèmes de sécurité subsistent.

L’utilisation d’Express Gate peut éventuellement constituer un contournement de la politique de sécurité, notamment du fait des logiciels qui y sont contenus. Il est cependant possible, via le BIOS, de désactiver Express Gate puis de protéger l’accès au BIOS par un mot de passe.

2.1 Documentation

3 Nouveau navigateur : Google Chrome

3.1 Présentation générale

Google a mis à disposition du public, cette semaine, une première version de test (bêta) de son navigateur pour les systèmes Windows XP et Vista. Ce dernier, nommé Google Chrome est la version estampillée « Google » du projet libre Chromium.

Le nouveau navigateur propose plusieurs fonctionnalités intéressantes :

  • l’utilisateur accède à une configuration et une interface simplifiées ;
  • il y a un processus pour chaque manipulation d’onglets et celui-ci dispose de droits très réduits ;
  • la barre de navigation sert également d’accès au moteur de recherche. Elle est appelée « omnibox » (que l’on peut traduire par « boîte à tout faire ») ;
  • une navigation plus discrète laissant moins de traces sur le poste de l’utilisateur et accessible via la combinaison de touches clavier Ctrl – Shift – n ;
  • il existe un accès à certaines adresses particulières, comme about:, about:cache, about:crash, about:dns, about:histograms, about:memory, about:network ou about:plugins ;
  • les informations de l’utilisateur sont stockées sous forme de fichier SQLite (format 3) ;
  • etc.

L’objectif de cet article n’est pas d’établir une comparaison entre différents navigateurs. Au contraire, une certaine diversité dans le choix des applications est une bonne chose. Il tient cependant à rappeler certaines défiances à avoir vis-à-vis des versions de test encore instables et n’ayant pas fait l’objet de contrôles complets.

3.2 Problématique des versions de test

3.2.1 Des remarques et des vulnérabilités

La presse a rappelé cette semaine qu’une version de test pouvait souffrir de défauts et de vulnérabilités. Dans la version disponible du navigateur, on remarque par exemple que :

  • l’interprétation de certaines adresses réticulaires ne s’effectue pas correctement, provoquant l’arrêt complet du navigateur ;
  • la version actuelle de Google Chrome n’utilise pas la dernière version du moteur WebKit. Or le moteur intégré actuellement souffre de quelques vulnérabilités qui ont déjà été rencontrées avec des navigateurs comme Safari ou Epiphany ;
  • le choix des moteurs de recherche « par défaut » est limité à ceux fournis dans la version de base ;
  • l’utilisation de l’option avancée « Activer la protection contre le phishing et les logiciels malveillants » induit des écritures et des téléchargements de listes sur le disque (fichiers pouvant dépasser les 50Mo) ;
  • l’omnibox ne permet pas de manière simple de déterminer si les données entrées sont directement utilisées comme adresse de site sur lequel on souhaite naviguer ou si elles sont envoyées à un autre service pour retourner une recherche ou des suggestions. Par défaut, il est préférable de désactiver l’option « Afficher des suggestions pour les requêtes et les URL entrées dans la barre d’adresse » ;
  • la gestion des fichiers de session Google (cookies) se complique davantage avec l’utilisation de nouveaux fichiers pour la mise à jour du navigateur (cf. article « Contournement HTTPS publié dans CERTA-2008-ACT-033) ;
  • etc.

Une simplification de l’interface d’accès et de la configuration du navigateur se fait au détriment d’un réglage de configuration et de sécurité plus fin.

3.2.2 Recommandations

Comme le CERTA l’a déjà préconisé à l’apparition des versions de tests de Firefox 3 et d’IE8, il est préférable de ne pas déployer actuellement une application dans une version qui n’est pas stable. Il faut également sensibiliser les utilisateurs afin qu’ils ne prennent pas l’initiative de l’installer sur leur poste, l’installation ne nécessitant pas de droits particuliers.

Il est possible de vérifier l’usage de ce navigateur en regardant les journaux de connexions d’une passerelle de navigation. Google Chrome n’a pas de valeur user-agent propre. Celui actuellement présenté par le navigateur est très semblable à celui de Safari, de la forme :

 Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/XX
                        (KHTML, like Gecko) Chrome/XX Safari/XX

o� « XX » peut prendre diff�rentes valeurs.

Sous Safari, la chaîne de caractères « Chrome » est normalement remplacée par « Version ».

Il ne faut enfin pas sous-estimer les risques de divulgations d’informations, comme cela a été évoqué dans la note CERTA-2006-INF-009.

Il peut être préférable, pour s’affranchir de certaines contraintes d’utilisation, d’utiliser directement le projet Chromium sous licence BSD. Celui-ci a aussi les derniers correctifs.

3.3 Documentation associée

4 Mise à jour semi-automatique de Firefox en version 3

Les utilisateurs de Firefox 2 vont se voir proposer, comme mise à jour de leur navigateur, la version 3, alors que jusque là les 2 « branches » évoluaient parallèlement. La version 2.0.0.X est maintenue jusqu’à mi-décembre 2008 et reste disponible au téléchargement (c.f. la section Documentation). Les modules additionnels ne fonctionnant pas tous avec la nouvelle version du navigateur, il peut être tentant de conserver l’ancienne. Cependant, la version 3 est disponible depuis plusieurs mois et il vaut mieux se poser la question du niveau de maintenance des modules concernés et, dans la mesure du possible, les abandonner, quitte à les réinstaller le jour où ils seront à nouveau compatibles. De manière générale, l’usage de ces modules est à éviter : ils sont dans la majorité des cas développés par des personnes tierces, ils ne sont pas audités et ils ne sont pas toujours convenablement maintenus.

4.1 Documentation

Rappel des avis émis

Dans la période du 25 au 31 août 2008, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 05 septembre 2008
    version initiale.