Avril 2006 

4 avril : Microsoft déclare que le rétablissement après un code nocif devient impossible

« En cas de confrontation avec un Rootkit et certains programmes espions évolués, la seule solution est une reconstruction à partir de zéro. Dans certains cas, il n’est pas possible de rétablir les systèmes sans les exploser en vol », déclare Mike Danseglio, un gestionnaire de programme du Groupe de solutions de sécurité de Microsoft présent à la conférence mondiale InfoSec. La meilleure des actions pour les sociétés est d’investir dans des processus de récupération automatisés afin de rétablir les systèmes affectés par un code nocif.

5 avril : un logiciel public en version bêta permet aux Macs à base d’Intel d’exécuter Windows XP

Apple a publié une version bêta appelée « Boot Camp » permettant l’installation de Windows XP sur les machines Macintosh à base de processeur Intel. Après installation et redémarrage, l’utilisateur se voit offrir la possibilité de lancer Mac OSX ou Windows XP. Boot Camp est une composante de « Leopard », le nom de code employé pour la prochaine version du système Mac OSX d’Apple, dont nous aurons un premier aperçu en août 2006.

5 avril : Cisco publie des informations concernant des vulnérabilités 

Des vulnérabilités ont été découvertes sur plusieurs périphériques de Cisco. Le premier périphérique concerné est le commutateur Cisco 11500 Content Services, qui présente une vulnérabilité des requêtes HTTP. Si ces commutateurs sont paramétrés pour accomplir une compression pour HTTP, ils s’exposent à des attaques de type refus de service (DDoS) lors du traitement d’une requête HTTP spécialement étudiée.

Plusieurs vulnérabilités ont été découvertes sur les systèmes Cisco Optical Networking Systems (ONS). Elles affectent les plates-formes d’approvisionnement multiservice des modèles ONS 15310, ONS 15327, ONS 15600 ainsi que les plates-formes de transport multiservices du modèle ONS15454. Les nuds optiques disposant de cartes de contrôle communes sont connectés à un réseau de communication de données et sont affectés lorsqu’ils sont employés pour IP4. L’exploitation de cette faille peut provoquer une attaque de type refus de service sur les cartes de contrôle communes.

Une vulnérabilité a été découverte sur le lanceur d’applet Cisco Transport Controller. Elle peut mener à l’exécution de code arbitraire sur la station de travail.

Cisco a publié un logiciel permettant de supprimer les vulnérabilités pour ces périphériques. 

6 avril : Oracle publie accidentellement des informations relatives à ses propres défauts 

Oracle a publié accidentellement des informations concernant un défaut non corrigé sur son propre site MetaLink, avec tous les détails nécessaires, code d’exploitation compris. Ce défaut affecte toutes les versions de la base de données Oracle, de la version 9.2.2.0 à la 10.2.0.3. Aussitôt après avoir pris conscience du fait que ces informations étaient librement disponibles, Oracle les a ôtées de son site web. Le défaut concerne la gestion par la base de données Oracle de certaines vues spécialement conçues et créées par des utilisateurs sans privilèges. Ces utilisateurs peuvent acquérir des privilèges de type SELECT dès qu’ils mettent à jour, suppriment ou insèrent des données dans les bases de données.

Il est intéressant de noter que c’est généralement Oracle qui critique les sociétés qui publient des informations détaillées concernant leurs vulnérabilités. Maintenant, Oracle l’a fait, bien que ce soit accidentel. 

7 avril : preuve de concept d’infection Linux/Win32

Il semble bien que 2006 soit l’année des preuves de concept, en voici une nouvelle : un virus de fichier infectant à la fois les fichiers Windows (format PE) et Linux (format ELF). Le virus emploie deux techniques différentes pour infecter les fichiers sur les deux plates-formes. Il utilise la fonction Kernel32.dll pour infecter les fichiers Windows et la fonction d’appel système Int 80 pour infecter les fichiers Linux. À part infecter les deux formats, ce virus n’a aucune action nocive. 

10 avril : SecureBlue : proposé par BigBlue 

IBM a créé un périphérique physique de cryptage - dérivé de la sécurité des gros systèmes - dont la tâche est de protéger les produits domestiques, les appareils médicaux, les systèmes de défense et les médias numériques. Cette technologie, appelée « SecureBlue », peut être appliquée à une grande variété d’équipements stockant des informations confidentielles ou privées, comme les téléphones portables, les PDA, les PC, les ordinateurs portables, etc. 

11 avril : MS06-013, exécution à distance depuis Internet Explorer 

Une vulnérabilité a été découverte dans l’API CreateTextRange ; elle permet l’exécution à distance à partir de code par l’intermédiaire de sites web ou de messages électroniques spécialement conçus. Les véritables dégâts ont été limités car Microsoft a travaillé en étroite collaboration avec des partenaires tels que Norman pour démanteler les sites abritant le code nocif et partager les URL des sites nocifs. 

17 avril : encore deux douzaines de défauts de sécurité dans Firefox 

Bien qu’on le présente toujours comme étant plus sûr que Microsoft Internet Explorer, Mozilla Firefox a déjà proposé plus de mises à jour de sécurité cette année qu’Internet Explorer dans toute l’année dernière. À ce jour, Mozilla Foundation a déjà proposé 21 correctifs pour les défauts du navigateur web Firefox. Entre autres choses, ces défauts peuvent être exploités pour accomplir des attaques de phishing et s’en prendre aux restrictions de sécurité ou aux données sensibles. 

18 avril : Norman subit un DDoS 

À 16 h 30, le très populaire Sandbox Information Center de Norman (http://sandbox.norman.com) a subi une attaque de type refus de service (DdoS). Le serveur web/sql a été saturé à la suite de l’attaque d’un réseau de robots (botnet). Avec l’aide de notre fournisseur d’accès, nous avons pu bloquer le DDoS au niveau de la colonne vertébrale de l’internet norvégien, de telle sorte que le fonctionnement interne de Norman a pu continuer normalement. Le botnet a été démantelé.

Depuis que Norman a mis en place le Sandbox Information Center, certaines personnes tentent de vaincre le Sandbox. Ceci produit quelques références intéressantes en matière de code nocif dans lesquelles, par exemple, les préférences sexuelles de Norman (selon les délinquants), sont répertoriées. Il n’est pas besoin de préciser que les préférences sexuelles de Norman sont confidentielles et que les éventuelles suggestions ne sont que des spéculations. 

19 avril : trois douzaines de défauts supplémentaires dans Oracle 

Cette année semble devenir celle des correctifs fréquents et nombreux. Bien que ces correctifs s’adressent à plusieurs produits Oracle, y compris le logiciel d’application base de données et serveur, l’usage intensif qui en est fait au sein de grandes compagnies rend ce nombre inquiétant. Profitant de ces correctifs sécuritaires, Oracle a également modifié ses outils existants de vérification des connexions par défaut et des mots de passe faibles. Les mots de passe trop faibles peuvent être découverts ou utilisés lors d’attaques brutales, ce qui permet un accès aisé aux pirates.

Mai 2006

1er mai : American Express affaibli par une pop-up falsifiée 

La fameuse compagnie de cartes de crédit American Express a souffert de l’apparition d’une pop-up falsifiée demandant des détails personnels tels que le nom, la date de naissance, le numéro de sécurité sociale et le nom de jeune fille de la mère. Le point important est qu’elle pouvait même apparaître lorsque l’utilisateur naviguait dans le propre site web d’American Express. Cette pop-up est probablement créée par un logiciel espion ayant investi l’ordinateur des utilisateurs subissant ce désagrément. Plusieurs centaines de nouveaux chevaux de Troie bancaires sont découverts chaque mois. 

2 mai : DDoS sur un site de blogs 

Des millions de blogs sont devenus indisponibles à la suite d’un refus de service sur Six Apart, l’un des services de blogs les plus populaires des États-Unis. Les refus de service (DDoS) deviennent de plus en plus communs sur les sites populaires.

9 mai : Bienvenue au carnaval : tous en SpyCar

Le fichier de test EICAR a été créé pour garantir le bon fonctionnement de vos produits antivirus et vérifier qu’ils détectent les virus et entreprennent les actions appropriées. Pour contrer une idée reçue : le contrôle du fichier de test EICAR ne constitue PAS une assurance que votre produit antivirus détecte absolument tous les virus. Certains éditeurs de produits antivirus ont délibérément choisi de ne pas procéder à la détection du fichier de test EICAR pour des raisons qui leur sont propres. Tous les produits Norman intégrant le moteur de détection de Norman procèdent au contrôle du fichier de test EICAR.

Une nouvelle initiative a vu le jour afin d’aider les utilisateurs à contrôler la présence de logiciels espions : le projet SpyCar. Selon la propre définition de ses concepteurs, SpyCar est un ensemble d’outils conçus pour mimer le comportement des logiciels espions, mais sous une forme bénigne. Intelguardians a créé SpyCar afin que chacun puisse tester les défenses basées sur le comportement d’un logiciel anti-espions. Mais les actions entreprises par SpyCar sont plutôt génériques. Le changement de page d’accueil par défaut dans Internet Explorer est une action que de nombreux utilisateurs accomplissent de leur plein gré et automatiquement en cliquant sur un lien de leur page favorite. Il en est de même pour la page de recherche par défaut. Ces actions ne sont pas nécessairement entreprises par un logiciel espion ou publicitaire.

L’un des aspects négatifs de SpyCar est qu’il se concentre totalement sur Internet Explorer et n’accorde que peu d’attention aux autres navigateurs très populaires que sont Firefox et Opera. Le fichier de test EICAR est indépendant de la plate-forme antivirus. La demande d’un fichier de test anti-espions s’est étendue récemment. EICAR va changer la description du fichier de test EICAR qui, d’un fichier purement antivirus, deviendra un fichier de lutte contre le code nocif. La définition et le contenu du fichier de 68 octets restent identiques. Ils ne peuvent pas être modifiés sans provoquer des problèmes au niveau mondial dans l’industrie antivirus. 

11 mai : sécurité maximum sur OSX, 43 défauts corrigés 

Mac OSX, qui est présumé être le plus sûr des systèmes, ne l’est peut-être pas tant que cela. C’est l’apparition de BootCamp qui a rendu les machines Macintosh plus populaires. Les nouvelles machines Macintosh sont à base de processeur Intel, et BootCamp permet le démarrage du Mac sur Mac OSX ou sur Windows. Comme le vecteur cible s’est élargi, un plus grand intérêt se porte sur Mac OSX et des vulnérabilités sont donc découvertes dans des quantités inimaginables auparavant. Pas moins de 31 vulnérabilités d’OSX ont été corrigées, et 12 pour Safari. Safari est le navigateur internet pour Mac OSX. 

12 mai : le RootKit ContextPlus mord la poussière 

ContextPlus a stoppé ses activités. Les programmes les plus connus de cette société sont PeopleOnPage et Apropos. Une fois installés, il contrôlent votre comportement lors de la navigation et envoient les informations obtenues aux serveurs ContextPlus. L’utilisateur se voit proposer des fenêtres de type pop-up reflétant assez fidèlement ses secteurs d’intérêt. Ceci est, bien entendu, plutôt irritant si ces pop-ups s’affichent en permanence. L’installation des ces programmes met en uvre la technologie RootKit en mode noyau, ce qui lui permet de passer inaperçue des programmes anti-espions. Il est bien connu que la détection des programmes s’abritant derrière ce type de technologie est loin d’être aisée. 

25 mai : le nouvel ‘argument commercial’ 

Quel que soit l’événement, il devient une source potentielle de profit. C’est, cette fois, au tour de la Coupe du Monde de Football, organisée en Allemagne, d’en être la victime. Un nouveau vers appelé W32/Banwarum envoie des courriers électroniques en allemand proposant, dans certains cas, des billets imprimables pour la compétition. En réalité, le ver envoie une archive protégée par un mot de passe - contenant une autre copie du ver - le mot de passe se trouvant dans le message. Inutile de préciser que l’archive ne contient aucun billet (comme s’ils étaient aussi facilement imprimables).

Juin 2006

6 juin : attaque en nombre 

Depuis le 6 juin, un grand nombre de sociétés constatent l’apparition de faux courriers électroniques dans lesquels l’adresse du destinataire est identique à celle de l’expéditeur. La ligne d’objet et le corps sont constitués de nombres de longueur variable (3 à 7 chiffres) et les messages ne contiennent ni script ni pièce jointe. L’examen des en-têtes permet de constater que l’identité de l’expéditeur est usurpée. Certains germes de code nocif envoient ces messages de test. On pense, entre autres spéculations, qu’il pourrait s’agir d’une tentative de nettoyage d’une liste principale d’entrées de courrier invalides ou, peut-être, de vérification des nouvelles entrées. D’autres disent que ces codes seront employés pour le spam ou le phishing. On a finalement découvert que ces messages étaient expédiés par une nouvelle variante de Bagle. 

12 juin : le Ministère de l’Énergie piraté 

Des informations personnelles telles que les noms et les numéros de sécurité sociale ont été copiées à partir d’un fichier stocké sur un système du Ministère de l’Énergie. Ces informations concernant, pour la plupart, du personnel contractuel, peuvent, bien entendu, faire l’objet d’utilisations frauduleuses diverses. Ces données se trouvaient dans une zone non classée secrète du réseau, et non dans la partie contenant les données des systèmes nucléaires, dont la sécurité est renforcée. Bien que le vol ait eu lieu quelques mois auparavant, il n’a été admis qu’à la suite d’une audience publique. Jusqu’à cette audience, les personnes dont les informations ont été dérobées n’en avaient pas été informées.

13 juin : MS06-021, de nouvelles failles dans Internet Explorer 

Cette mise à jour ne corrige pas moins de huit vulnérabilités critiques et importantes. Un attaquant sachant tirer parti de ces faiblesses peut prendre le contrôle total d’un système affecté. L’intrus peut alors installer des programmes ou falsifier de précieuses données. En outre, il peut créer de nouveaux comptes avec des droits d’utilisateur complets.

13 June: MS06-027, Vulnerability in Microsoft Word

Une vulnérabilité découverte dans Microsoft Word, également référencée CVE2006-2492, l’expose aux attaques. Après élaboration d’un document Word adapté, un intrus peut exécuter un code de commandes lui permettant de prendre le contrôle total du système. Plusieurs preuves de concept de cette vulnérabilité circulent mais ne contiennent heureusement aucune nocivité.

21 juin : WiFi comme faille sécuritaire 

Des chercheurs basés au États-Unis ont pu prendre le contrôle d’un ordinateur portable en manipulant le code du pilote de la carte WiFi du système. Grâce au programme open-source « Lots of Radio Connectivity » (LORCON), ils ont envoyé un certain nombre de progiciels à différentes cartes sans fil. L’application de cette technique leur a permis de mettre à jour de nombreux défauts dans les pilotes WiFi. L’un d’entre eux leur permet même, après exploitation, de prendre le contrôle total de l’ordinateur. Les chercheurs divulgueront l’information, démonstration à l’appui, le 2 août, au cours du Black Hat de cette année, à Las Vegas. 

30 juin : nouvelle attaque pour Macintosh 

Le lendemain de la publication par Apple de mises à jour pour ses systèmes d’exploitation, dont OSX, un code exploitant une vulnérabilité était publié. Bien que cette vulnérabilité (dans le composant système « lancé ») soit corrigée par la mise à jour, l’expérience montre qu’il faut un certain temps avant que chacun applique les correctifs. Il semble bien que l’univers Mac soit appelé à devenir aussi peu sûr que celui de Windows. C’est un effet collatéral provoqué par la popularité croissante du Macintosh, en particulier depuis que les modèles PowerBook sont équipés d’un processeur Intel qui leur permet de travailler sous Windows XP.

30 juin : WinFS de nouveau mis de côté

WinFS, le système de fichiers avancé de Microsoft qui devait être intégré dans Windows Vista, a de nouveau été mis à l’écart. À l’origine, ce devait être l’un des éléments principaux de Windows Vista, un système de fichiers piloté par une base de données mais, au fil des ans, il a déjà provoqué des retards. Microsoft a d’ores et déjà annoncé que Vista serait livré sans WinFS et que ce dernier ne serait pas proposé comme module de Windows Vista ou de Windows XP.

La raison de cette mise à l’écart n’est pas claire. Si elle n’est pas technique, elle pourrait bien être légale. Plusieurs personnes ont déjà soulevé les problèmes liés aux lois antitrust que pourrait entraîner le système WinFS, du fait de son pilotage par une base de données. 

Vue d’ensemble des événements sécuritaires précédents

Le bulletin « Vue d’ensemble des événements sécuritaires » du 1er trimestre de 2006 est accessible à partir de ce lien.