30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

CERT-XMCO : Avis d’expert : semaine du 9 au 15 août

août 2010 par CERT-XMCO

– Date : 16 Aout 2010

– Gravité : Elevée

– Description :

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

Semaine chargée pour les professionnels de la sécurité avec la sortie conjointe de 14 bulletins Microsoft dans le cadre de son "Patch Tuesday", ainsi que de 3 bulletins Adobe.
Les logiciels Microsoft ciblés sont Windows (toutes versions), Internet Explorer, SilverLight et enfin Office. De son côté, Adobe a publié des bulletins concernant le lecteur Flash, le Flash Media Server et enfin le serveur d’applications Coldfusion. La criticité de tous ces bulletins varie entre "critique" et "important".
Le CERT-XMCO recommande dans un cas général de débuter par les bulletins MS10-053 (notamment pour Internet Explorer 6), MS10-052 (codec MPEG Layer-3), MS10-055 (codec Cinepack), MS10-056 (Office Word), MS10-060 (SilverLight) et enfin le APSB10-16 (Flash).

* Résumé des évènements majeurs :
– Vulnérabilités / Correctifs :
Microsoft [1], ainsi qu’Adobe [2] ont tous les deux publié de nombreux correctifs au cours de la semaine. Le nombre (36 bulletins MS et 3 Adobe) et la criticité relative des vulnérabilités corrigées étant trop importants, nous vous recommandons de vous référer à ces pages (MS [3], Adobe [4]) pour plus d’informations.

Quelques heures après qu’Adobe ait corrigé son Flash Player, Google a réagi en proposant une nouvelle version de Chrome embarquant le dernier correctif [5]. De son côté, Adobe n’a toujours pas publié de nouvelle version pour ses nombreux logiciels intégrant le plug-in...

Quelques jours après que des pirates aient mis en ligne un site [6] permettant de "jailbreaker" très simplement son iPhone, Apple a réagi en proposant une version corrigée de son iOS 4 [7]. Néanmoins, pas de correctif pour les autres versions du système d’exploitation de la marque à la pomme...

– Logiciels :
Firefox 4 sera doté d’un système de mises à jour automatiques [8]. Pour garantir un niveau de sécurité élevé, Mozilla a décidé de suivre une politique de mise à jour semblable à celle de Google vis-à-vis de Chrome. Pour les mises à jour mineures (comprendre de sécurité), FF4 téléchargera et installera seul le correctif, sans rien demander à l’utilisateur. Néanmoins, une confirmation sera demandée à l’internaute lors de l’installation d’une mise à jour majeure (changement de fonctionnalités). Fonctionnalité intéressante pour les particuliers, mais pour les entreprises... ?

– Cybercriminalité / Attaques :
D’après Verizon [9] et les services secrets américains, près d’une attaque informatique sur deux bénéficierait d’une complicité interne. Toujours d’après le même rapport, seulement 4 % des attaques nécessiteraient la mise en place de solution technique coûteuse...

Vladislav Anatolievich Horohorin, soupçonné d’être "BadB", a été arrêté à l’aéroport de Nice alors qu’il s’apprêtait à prendre un vol pour Moscou [10]. L’homme serait le pirate fondateur de l’ex-communauté "CarderPlanet", et serait toujours actif dans la vente de données bancaires volées. Il attend actuellement son extradition vers les États-Unis, où il risquerait une peine de 12 ans de prison et 500 000 $ d’amende.
Dans le même temps, Sergei Tsurikov, un jeune estonien de 26 ans, a lui déjà été extradé vers les USA où il sera jugé pour plusieurs chefs d’inculpation, dont la fraude informatique et l’usurpation d’identité aggravée [11]. L’homme est en effet accusé d’avoir participé au vol de 9 M$, ainsi qu’à celui des données personnelles de plus de 1,5 million de personnes dans le cadre du piratage de RBS WorldPay en 2008. Il risque de plusieurs années de prison, et jusqu’à 3,5 millions de dollars d’amende.

– Recherche / Conférence :
Dans le cadre de la conférence USENIX, un chercheur a présenté son travail sur un nouveau type d’attaque par canaux auxiliaires. En écoutant "simplement" le son émis par une vielle imprimante matricielle, il est possible de découvrir le contenu du texte imprimé [12]. D’après lui, il est techniquement envisageable de mener le même type d’attaque sur des imprimantes à jet d’encre, même si lui n’a pas réussi.

– Internationnal :
Après avoir été bloqués pour une courte durée en Arabie Saoudite [13], les systèmes de communication de BlackBerry ont été réactivés [14]. Il semblerait que RIM est accepté d’installer des serveurs directement dans le pays afin de les placer sous juridiction locale. L’Inde, qui était aussi en pourparler avec BlackBerry, a fait savoir qu’elle était aussi prête à procéder au blocage des communications entre les smartphones canadiens [15].

L’Allemagne a aussi émis une recommandation négative envers RIM, en recommandant à ses ministres et aux personnels des ministères de ne pas utiliser de smartphones tels que le BlackBerry ou encore l’iPhone pour des raisons de sécurité [16]. Le BSI (Bureau Fédéral pour la Sécurité de l’Information équivalent à l’ANSSI française) conseille d’utiliser le SiMKo 2 conçu par T-Systems. Ce smartphone est exclusivement vendu aux agences gouvernementales et a été approuvé par le BSI pour gérer des données confidentielles. L’Allemagne rejoint donc la France qui avait émis une telle recommandation en 2007.

De son côté, le Royaume-Uni vient de faire savoir qu’une mise à jour généralisée d’Internet Explorer était inutile, et trop couteuse en temps et en argent. IE6 semblerait amplement suffisant pour l’usage dont il est actuellement fait d’un navigateur internet par un fonctionnaire anglais [17]. D’après les services informatiques anglais, l’utilisation d’un pare-feu et d’un antivirus (à jour tout de même) suffirait amplement à protéger les fonctionnaires anglais. Pourtant, même Microsoft, qui travaille actuellement sur la version 9 du navigateur, reconnait qu’utiliser IE6 est dangereux.

– Entreprises / Juridique :
Dans un procès opposant l’ARJEL à sept fournisseurs d’accès à internet, le tribunal de grande instance de Paris a condamné les FAI à bloquer par tous les moyens l’accès à certains sites de jeux non homologués par l’Autorité de Régulation des Jeux en Ligne [18]. Ce jugement pourrait ouvrir la voie à de nombreux débordement. Les coûts de blocage sont actuellement supportés uniquement par les FAI. La mise en place de solution de filtrage telle que la DPI, évoquée au cours du procès, pourrait venir alourdir cette facture...

Après avoir été racheté par eBay, puis partiellement cédé à un groupe d’entrepreneurs, Skype a annoncé sa prochaine introduction en bourse [19].

– Référence :

[1] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0990

http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx

[2] http://www.adobe.com/support/security/

[3] http://blogs.technet.com/b/msrc/archive/2010/08/10/august-2010-security-bulletin-release.aspx

http://blogs.technet.com/cfs-filesystemfile.ashx/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-45-71/0601.August-2010-Overview-Deployment.png

[4] http://www.adobe.com/support/security/

[5] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1023

http://googlechromereleases.blogspot.com/2010/08/stable-channel-update.html

[6] http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0971

http://www.jailbreakme.com/