S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 22 juillet 2011
N° CERTA-2011-ACT-029
Affaire suivie par: CERT-FR
le 22 juillet 2011

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2011-29

Gestion du document

Référence CERTA-2011-ACT-029
Titre Bulletin d’actualité 2011-29
Date de la première version 22 juillet 2011
Date de la dernière version 22 juillet 2011
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incidents de la semaine

Fausses notifications de livraison

Les courriels prétendant avertir de la livraison de colis par coursiers sont devenus courants. Bien sûr, les délinquants de l’Internet ont sauté sur l’occasion pour transmettre de fausses notifications avec généralement des pièces jointes piégées, les liens vers les sites malveillants étant assez rares. La machine de l’imprudent qui aura ouvert la pièce jointe sera infectée par un cheval de Troie, un faux antivirus ou tout autre programme malveillant. Ces courriels frauduleux usurpent régulièrement les marques DHL, FedEx, UPS…Ils sont souvent rédigés en anglais.



Comme pour le filoutage qui a commencé par les faux sites bancaires et qui, maintenant, se diversifie (jeux en ligne, administration, fournisseurs d’énergie…), les fausses notifications couvrent un périmètre plus large.

Le CERTA a été informé de l’utilisation d’une marque française de la grande distribution qui propose un service de commande en ligne avec livraison à domicile pour expédier de fausses notifications de livraison, bien entendu avec une pièce jointe piégée. Toute marque de vente par correspondance est utilisable par les cyberdélinquants.

Dans le cas signalé, l’adresse d’expédition qui, rappelons-le, est aisément falsifiable, est crédible. Le corps de message est en français très correct. La pièce jointe est la prétendue facture, mais en fait un programme malveillant.

Recommandations

Face à ce type d’attaque, en constante évolution, la vigilance de l’utilisateur est la meilleure arme.



Lorsque l’on est client de ces services de commande et de livraison à domicile, il est pertinent d’utiliser une adresse de messagerie dédiée. Ainsi, toute notification arrivant sur une autre adresse, notamment professionnelle, sera clairement une tentative d’infection. Pour toute notification arrivant sur une adresse dédiée à cela soulevant le moindre doute, il est préférable de demander une confirmation à la marque émettrice par un canal connu antérieurement.



Les antivirus atteignent leurs limites quand les pièces jointes à l’effet identique peuvent revêtir d’innombrables apparences, parfois par des variations simples mais au spectre quasi infini de leur codage (binaire, compressions, packing, base 64, UUencodage, création du code par un script…). Comme tout outil de sécurité, les antivirus doivent être vus comme des éléments d’une architecture de défense en profondeur et non comme La protection.



Au niveau de l’administration ou de l’entreprise, il faut bien entendu appliquer les règles de base pour limiter la surface d’attaque et réduire les impacts :

  • éduquer les utilisateurs et les faire adhérer à la politique de sécurité ;
  • mettre à jour les systèmes, les logiciels, les greffons ;
  • concevoir une architecture robuste pour le système d’information, intégrant la défense en profondeur ;
  • durcir les configurations, notamment en supprimant les services et les applications inutiles ;
  • accorder les droits minimaux aux utilisateurs ;
  • superviser le fonctionnement du SI et détecter les anomalies ;
  • mettre en place une procédure de réaction en cas d’incident et la faire connaître des utilisateurs ;
  • réviser régulièrement les mesures, en fonction des retours et des audits.

2 Correction de l’alerte CERTA-2011-ALE-004 : Apple iOS

Apple a corrigé cette semaine les vulnérabilités (voir l’alerte CERTA-2011-ALE-004) impactant Apple iOS pour iPhone 4, iPhone 3GS, iPod touch 3G (et versions supérieures) et iPad.

Des codes exploitant ces vulnérabilités (notamment pour effectuer le Jailbreak de ces appareils) étant disponibles sur l’Internet, le CERTA recommande vivement l’installation de ces mises à jour.

Documentation

3 Bibliothèques et vulnérabilités

Cette semaine, l’US-CERT a émis un avis de sécurité concernant une vulnérabilité dans la bibliothèque de conversion de fichiers vsgdsf.dll (libvs_gsdf.so sous Linux). Il s’agit en fait d’une erreur dans l’analyseur de fichiers CorelDRAW conduisant à un dépassement de tampon dans la pile.

Cette vulnérabilité, bien que classique, a un impact large, la bibliothèque fautive étant très répandue. Ainsi la faille touche un grand nombre de produits d’éditeurs différents (Microsoft, Dell, IBM, etc….). Cet état de fait démontre, bien entendu, la nécessité d’appliquer au plus vite la mise à jour corrigeant la vulnérabilité, mais aussi l’importance des mises à jour liées aux bibliothèques en général.

En effet, même si de prime abord une application ne semble pas touchée par une vulnérabilité, il suffit qu’elle utilise une bibliothèque vulnérable pour être à son tour exposée. En conséquence, le CERTA recommande d’accorder une attention particulière aux mises à jour concernant des bibliothèques, en vérifiant notamment leur utilisation par les applications installées.

Documentation

4 Google alerte certains utilisateurs infectés

Cette semaine, Google a publié un article sur son blog afin de prévenir ses utilisateurs de la modification de la page d’accueil de son moteur de recherche en cas de détection d’un code malveillant particulier.

En effet, Google a détecté qu’une famille de codes malveillants avait pour comportement de faire passer tout le trafic Internet des machines compromises par un nombre limité de serveurs mandataires. Lorsque le moteur de recherche constate une requête en provenance de cette liste d’adresses IP, l’utilisateur est averti de la potentielle compromission de sa machine par un large bandeau jaune au dessus du champ de saisie.

Le CERTA rappelle qu’en cas de compromission d’une machine, il est conseillé de réinstaller complètement le système d’exploitation ainsi que l’ensemble des applicatifs dans leurs versions à jour des correctifs de sécurité. Selon Google, l’origine de l’infection semble être un faux antivirus. Il est recommandé de n’installer que des solutions antivirales téléchargées sur le site d’un éditeur de confiance.

Rappel des avis émis

Dans la période du 11 au 17 juillet 2011, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 22 juillet 2011
    version initiale.