table des matieres

Navixia Newsletter, 23.01.2009
TABLE DES MATIERES
•
•
•
•
•
Vulnérabilités / Incidents
Veille Technologique / Tools
Informations Fournisseurs
Sites d'intérêt
Informations / News Navixia
Vulnérabilités / Incidents
Le ver Downadup/Conficker, un cas d’école
Ce début de 2009 est marqué par une épidémie du worm Downadup, aussi appelé Conficker : plus
de 9 millions de machines auraient été infectées, et à ce jour on parle même d’une machine sur 16
dans le monde. Downadup se caractérise par le fait qu'il est très agressif et particulièrement
difficile à éradiquer, au grand désespoir des éditeurs d’antivirus qui, pour certains, ont eu du mal à
fournir un patch approprié.
Il s’agit presque d’un cas d’école. Downadup utilise plusieurs méthodes différentes pour se
propager : en exploitant une vulnérabilité récemment patchée de Windows Server service, en
devinant les mots de passe (force brute) ou en infectant les clés USB. Le malware une fois entré
dans le réseau d'entreprise s’avère inhabituellement difficile à faire disparaître : étant activé très
tôt dans le processus de redémarrage du PC, il s’auto-protège en bloquant l’accès aux dossiers ou
sections du registry le concernant. De plus, Downadup télécharge des versions modifiées de luimême à partir d'une liste de plusieurs centaines de sites web infectés; le choix du site de
download à un instant précis est opéré de manière aléatoire.
Nous vous rappelons que les recommandations suivantes restent constamment d'actualité :
• appliquer les derniers patches de Microsoft;
• vérifier que les antivirus sont à jour (logiciel et base de données);
• désactiver les fonctions autorun et autoplay des sticks USB;
• s'assurer que la complexité des mots de passe utilisés dans l'entreprise (au niveau user et au
niveau administrateur) est suffisante.
Vonage et Google Notebook ou l’histoire d’une confiance mal placée
Voici un autre cas d’école récent, qui concerne la société américaine Vonage (services de
téléphonie IP). En violation du règlement de Vonage, un agent externe de la société sauvegardait
toutes ses données clients (noms, adresses, numéros de cartes de crédit, numéro de compte
bancaire)… sur Google Notebook.
Et voilà que, comme par hasard, toutes ces informations confidentielles se sont soudain
retrouvées accessibles librement sur Internet. Vonage a porté l’affaire devant la justice, et a édicté
des règles très strictes à l’usage de ses agents externes. Un pas peut-être vers moins de naïveté
dans le domaine de la sauvegarde de données en ligne ?
MD5 mis à mal
La nouvelle est passée relativement inaperçue en raison de son timing (annonce le 30 décembre
2008), mais l’événement est tout de même de taille. Une équipe composée de hackers renommés
(Alexander Sotirov, pour ne citer que lui) et de professeurs du monde académique (Prof. Arjen
Lenstra de l’EPFL par exemple) sont parvenus à exploiter les faiblesses maintenant connues du
hash MD5 pour fabriquer une fausse « Certificate Authority (CA) » reconnue par les browsers web.
En résumé, ils ont réussi à faire signer un certificat ordinaire par un CA connu (RapidSSL), puis à
modifier ce certificat sans en modifier la signature MD5 (ils ont donc généré ce qu’on appelle une
« collision »). De plus, le nouveau certificat a été modifié de façon à apparaître comme une
« Issuing CA », donc une sous-autorité de certification de RapidSSL. Tout certificat émis par cette
nouvelle autorité apparaît désormais comme valide pour les browsers (puisque signé par RapidSSL
à la base).
Ceci pourrait être utilisé par exemple pour des attaques de « phishing » quasi-parfaites.
Il faut tout de même relativiser le risque : Cette attaque a demandé de gros moyens techniques
(dont un cluster de 200 PlayStations 3 à l’EPFL, ça ne s’invente pas !) et environ 6 mois de travail.
De plus, les autorités de certification savent qu’elle doivent migrer de MD5 vers SHA1 (plus sûr),
et beaucoup d’entre-elles l’ont déjà fait. Le papier n’en reste pas moins très intéressant à lire, et il
se trouve ici.
Veille Technologique / Tools
MessageLabs Intelligence : 2008 Annual Security Report
Intéressant et bourré d’exemples : voici un premier rapport sur les tendances observées dans le
domaine de la sécurité pour l’année écoulée. MessageLabs (qui fait maintenant partie de
Symantec) y analyse les tendances dans les domaines du spam, du malware, du phishing. Selon
cette étude, la Suisse a été en 2008 le deuxième pays au monde à intercepter le plus de spam, et
elle est au premier rang pour l’interception des virus e-mail. Le rapport est consultable en ligne ici
(6Mb).
Netwitness Investigator
Pour ceux qui veulent analyser leurs fichiers pcap autrement qu’en format hexadécimal,
Netwitness met gracieusement à disposition un outil permettant une exploitation simplifiée des
fichiers de capture réseau. On peut le télécharger ici.
Créez votre propre clé USB bootable
Créer votre propre clé USB bootable, en moins de 5 minutes, et en choisissant votre distribution
préférée. C’est possible avec le projet UnetBootin. Téléchargement ici.
FortiCleanUp Tool
Fortinet a développé un tool gratuit qui permet de nettoyer un téléphone portable atteint par le
virus CurseSMS, sur un certain nombre de modèles Nokia, Samsung, Panasonic et Lenovo.
CurseSMS est une attaque du type déni de service : la réception d’un SMS contaminé bloque la
messagerie SMS et MMS du téléphone portable, qui peut nécessiter un reset du fabricant pour
fonctionner à nouveau.
Pour en savoir plus sur les NAC
Certains disent que 2009 sera l’année du NAC… Voici un article général qui explique le phénomène
et donne aux CIOs des conseils sur ce qu’il faut faire et ne pas faire pour déployer un NAC
efficacement.
Biométrie en entreprise : le document de référence
Après plusieurs années de flou, le Préposé fédéral à la protection des données et à la transparence
vient de publier un document concernant l’utilisation de la biométrie en entreprise. Ce document
très complet couvre les différents types de système biométriques, la manière dont ils traitent et
stockent les données biométriques, et quels sont les droits des utilisateurs de ces systèmes. Vous
pouvez télécharger le document (en français) ici.
Informations Fournisseurs
Nokia sécurité et Check Point
Vous le savez, Check Point a annoncé le 22 décembre 2008 la reprise de la division sécurité de
Nokia. Depuis lors, peu de nouvelles, sinon qu’on sait que les deux compagnies travaillent
actuellement activement ensemble pour assurer la meilleure transition possible. Nous vous ferons
part de tout élément nouveau dès que possible.
e-DMZ renforce sa position sur le marché
La société e-DMZ Security (solutions de contrôle d’accès sécurisés) vient de l’annoncer : elle a
conclu avec l’une des dix plus grandes banques du monde un contrat de déploiement à l’échelle
mondiale pour sa solution Password Auto Repository (PAR).
A ce jour, e-DMZ déploie la solution PAR auprès de cinq des sept première banques du classement
international Forbes 2008 des plus grandes sociétés. Une jolie performance pour cette société
américaine, fondée en 2001.
Dernières versions software
La liste des dernières versions utilisées dans nos produits se trouve ici.
Sites d'intérêt
Visio Café
Ce site communautaire vous permet de compléter votre collection de « shapes » Visio.
Check Point Forum
Le site des professionnels de la sécurité qui utilisent les produits Check Point: fireverse.org
Informations / News Navixia
Plus important que jamais : la sensibilisation à la sécurité
Navixia recommande de mettre l’utilisateur du système d’information de l’entreprise au centre de
la stratégie sécurité de l’entreprise en l’informant régulièrement sur ce qui lui est permis ou
interdit, mais aussi en le sensibilisant aux risques liés à une utilisation inadéquate des systèmes
informatiques et de communications en général.
C’est le but de nos cours de sensibilisation à la sécurité destinés à tout le personnel non
technique. Ces cours s'organisent dans vos locaux à votre convenance. Contactez-nous sans
hésiter et sans engagement pour plus d’infos.
Nouvelles sessions du « Café, croissants et sécurité de l’information »
Autre information en avant-première : les 17, 19 et 20 mars 2009, Navixia vous proposera de
nouvelles sessions de son « Café, croissants et sécurité de l’information » dans différentes villes
de Suisse Romande.
Cette fois, nous vous parlerons des nouveaux outils d’investigation sur Internet et de la relecture
impitoyable qu’ils permettent de faire des informations répandues sur la toile – qu’elles concernent
les entreprises et leurs infrastructures techniques ou les individus. Une démonstration
impressionnante de ce qu’internet peut vraiment révéler, et de comment s’en protéger.
Comme d'habitude, notre présentation reposera sur des démonstrations pratiques. Peu de
powerpoint : du vécu, interactif et en direct. L'occasion de poser toutes vos questions à nos
spécialistes. Plus d’infos sur notre site web dès la fin de février.
Navixia dans la presse
Un article de Jacques Medina portant sur la surveillance de l’utilisation d’internet et du courriel
dans l’entreprise a été publié dans le numéro de décembre de ICT Journal 2008, et vous pouvez
aussi consulter la liste de nos autres articles publiés.