1 Incidents de la semaine

1.1 Utilisation imprudente d’un service gratuit externe

Il est tentant d’utiliser des services gratuits en ligne « ponctuellement », sans forcément prendre conscience de toutes les conséquences de cette utilisation.



Dans un cas survenu récemment, un agent de l’administration s’est servi du site pastebin.com, transférant sur celui-ci des données apparement non-sensibles. Cette utilisation naïve, sans intention de nuire, mais sans avoir la moindre conscience des risques et des impacts, a rendu des contenus accessibles de tout l’Internet, indexables par des moteurs de recherche et non effaçables.

De plus, si les fragments d’informations paraissent peu sensibles, ils permettent d’en apprendre toujours un peu plus sur un organisme et sur ses membres, et de faciliter une approche par ingénierie sociale.

Quelle que soit la raison qui a poussé l’utilisateur à procéder de la sorte, il doit y avoir au préalable une prise de conscience des risques liés à la diffusion d’informations sur des serveurs externes. Le guide de l’ANSSI sur l’externalisation (voir Documentation) est conçu dans l’optique d’une passation de marché pour une prestation, mais les principes qui le sous-tendent sont valables y compris pour une utilisation ponctuelle d’un service externe, fût-il gratuit.



Dans la même optique, celle des services sur l’Internet gratuits, on peut signaler les antivirus gratuits en ligne auxquels il est possible de soumettre un fichier à analyser. L’utilisation de ces services soulèvent plusieurs questions :

  • qu’advient-il du document analysé après affichage du verdict (infection detectée ou non) par le serveur ?
  • quelles informations connexes (adresse IP, date et heure de soumission, etc.) sont collectées, publiées ou accessibles en mode restreint, et par qui ?

D’autres questions sont intéressantes, concernant la protection de données sensibles (classifiées, personnelles) ou pour la lutte contre l’intelligence économique :

  • quelle société opère le service ? La réponse est aisée pour un antivirus proposé par l’éditeur lui-même, mais beaucoup plus difficile dans d’autres cas (ex. : virscan.org) ;
  • dans quel(s) pays les données sont-elles transférées ?

La soumission de certains fichiers dépendra des risques que l’organisme assume, et sera de préférence formalisée dans sa PSSI.

Documentation

2 Mise à jour mensuelle Microsoft

Cette semaine, Microsoft a publié son ensemble mensuel de correctifs de sécurité. Ce sont ainsi treize bulletins de sécurité qui ont été mis en ligne. Le CERTA rappelle l’impérative nécessité de déployer au plus vite ces mises à jour. Une synthèse des bulletins publiés est disponible dans la section Documentation ci-après. Il est à noté que le bulletin MS11-087 corrige la vulnérabilité exploitée par le logiciel malveillant Duqu (cf alerte CERTA CERTA-2011-ALE-006).

Documentation

Rappel des avis émis

Dans la période du 05 au 11 décembre 2011, le CERT-FR a émis les publications suivantes :