Alertes en provenance du CERTA CERT-Renater » History » Version 7
Herve Ballans, 05/08/2013 14:53
1 | 1 | Herve Ballans | h1. Alertes en provenance du CERTA CERT-Renater |
---|---|---|---|
2 | 1 | Herve Ballans | |
3 | 7 | Herve Ballans | h2. Clés USB, encore et toujours un risque pour le SI |
4 | 7 | Herve Ballans | |
5 | 7 | Herve Ballans | Comme mentionné par le passé, l'utilisation de clés USB non maitrisées présente un risque important pour la sécurité du SI. |
6 | 7 | Herve Ballans | |
7 | 7 | Herve Ballans | Cette menace est aujourd'hui d'autant plus importante que depuis quelques semaines, certains constructeurs commercialisent des clés piégées prêtes à l'emploi, utilisant un mécanisme d'émulation d'un périphérique clavier plutôt que l'utilisation des fonctionnalités dîtes d'exécution automatique (Autorun). |
8 | 7 | Herve Ballans | |
9 | 7 | Herve Ballans | Cette technique, bien que déjà connue dans le milieu de la recherche en sécurité, n'en reste pas moins efficace et permet d'exécuter une charge malveillante lors de la connexion de la clé à un poste Windows. |
10 | 7 | Herve Ballans | |
11 | 7 | Herve Ballans | De plus, même si les modèles actuels semblent limités au système de Microsoft, des clés utilisant des principes similaires pourraient voir le jour sur d'autres systèmes. |
12 | 7 | Herve Ballans | |
13 | 7 | Herve Ballans | D'un point de vue extérieur, rien ne permet aujourd'hui de différencier ce type de clé piégée d'une clé saine. Il est cependant possible d'observer les activités malveillantes car elle fait apparaitre une invite de commandes lors de son insertion. |
14 | 7 | Herve Ballans | |
15 | 7 | Herve Ballans | Le CERTA recommande, une nouvelle fois, de prendre garde à ce type de périphériques aujourd'hui largement accessibles. Il est notamment nécessaire de sensibiliser les utilisateurs à ce type d'attaque afin qu'ils puissent prévenir rapidement la chaîne SSI en cas de comportements suspects. |
16 | 7 | Herve Ballans | Documentation |
17 | 7 | Herve Ballans | |
18 | 7 | Herve Ballans | Bulletin d'actualité CERTA-2013-ACT-029, périphériques USB promotionnels et cadeaux électroniques : |
19 | 7 | Herve Ballans | |
20 | 7 | Herve Ballans | http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-029/index.html |
21 | 7 | Herve Ballans | |
22 | 5 | Herve Ballans | h2. Protections dans les applications Adobe redaer et Adobe Acrobat (Avis CERTA du 18 février 2013) |
23 | 1 | Herve Ballans | |
24 | 5 | Herve Ballans | L’ANSSI a publié une alerte sur une faille activement exploitée des produits Adobe Reader et Adobe Acrobat. L’ANSSI recommande d’utiliser la version XI (11) de ces produits qui offrent des fonctionnalités supplémentaires de sécurité (sandbox) permettant de contrer nombre d’attaques. Il faut noter que cette version XI n’est pas disponible sur tous les systèmes. Pour ces systèmes (Vista, Linux) où il n’est pas possible d’installer la version XI, il est vivement conseillé d’utiliser la dernière version disponible (X pour Vista, 9 pour Linux) qui est plus sécurisée que les précédentes. Dans tous les cas il faut appliquer les derniers correctifs de sécurité. Le CERTA recommande aussi d’activer la « Vue protégée », cette fonctionnalité n’est disponible que pour la version XI : |
25 | 1 | Herve Ballans | |
26 | 5 | Herve Ballans | (Edition à Préférences à Protection (renforcée) à cocher « Activer le mode protégée au démarrage » et sous « Vue protégée » « Tous les fichiers ». |
27 | 5 | Herve Ballans | |
28 | 5 | Herve Ballans | Pour toutes les versions il est aussi recommandé d’activer la « Protection renforcée » ce qui en principe est la valeur par défaut à l’installation : |
29 | 5 | Herve Ballans | |
30 | 5 | Herve Ballans | Edition à Préférences à Protection (renforcée) à cocher « Activer la protection renforcée ». |
31 | 5 | Herve Ballans | |
32 | 5 | Herve Ballans | L’ANSSI recommande aussi de désactiver JavaScript : |
33 | 5 | Herve Ballans | |
34 | 5 | Herve Ballans | Edition à Préférences à JavaScript à Ne pas cocher la case « Activer Acrobat JavaScript ». |
35 | 5 | Herve Ballans | |
36 | 5 | Herve Ballans | L’ANSSI recommande aussi de désactiver (désinstaller) les logiciels Adobe Reader et Acrobat. Cette mesure, certes efficace, ne nous semble pas réaliste et nous préférons insister sur la vigilance nécessaires vis-à-vis de fichiers PDF téléchargés et le durcissement des configurations évoqué précédemment. |
37 | 5 | Herve Ballans | |
38 | 5 | Herve Ballans | h2. Un code malveillant utilise GoogleDocs (Alerte CERTA du 21 décembre 2012) |
39 | 5 | Herve Ballans | |
40 | 2 | Herve Ballans | Les cas d'utilisation malveillante des réseaux sociaux ou de l'informatique dans le nuage, voire de webmails, se multiplient. |
41 | 2 | Herve Ballans | |
42 | 2 | Herve Ballans | Cette année le CERTA a également été amené à traiter plusieurs incidents en relation avec ces services. Symantec a récemment publié un article à propos d'un code malveillant dont les connexions aux serveurs de commande et contrôle passaient par Google Docs. Un tel détournement a été rendu possible par une fonctionnalité de visualisation de fichier, à laquelle on peut soumettre une URL, sans vérification de sa malveillance. Ce phénomène rend difficile la détection des flux illégitimes : |
43 | 1 | Herve Ballans | |
44 | 3 | Herve Ballans | * les serveurs destinataires ne sont, par essence, pas malveillants ; |
45 | 3 | Herve Ballans | * les flux entre le poste infecté et le serveur sont généralement chiffrés. |
46 | 2 | Herve Ballans | |
47 | 2 | Herve Ballans | Ce comportement confirme également que les botnets évoluent vers des alternatives plus discrètes qu'IRC, historiquement utilisé comme protocole de communication, et donc plus difficile à bloquer. |
48 | 2 | Herve Ballans | |
49 | 2 | Herve Ballans | Le CERTA recommande donc de faire preuve de vigilance, voire de réserve, à l'égard de l'utilisation des réseaux sociaux, des services de stockage dans le nuage ou de messagerie en ligne, quelle que soit la réputation de l'hébergeur. |
50 | 1 | Herve Ballans | |
51 | 2 | Herve Ballans | Il est également préconisé de surveiller de tels flux à des heures qui ne correspondent pas une activité classique de bureau. |
52 | 2 | Herve Ballans | Documentation |
53 | 3 | Herve Ballans | |
54 | 2 | Herve Ballans | Symantec - Malware targeting Windows 8 Uses Google Docs |
55 | 2 | Herve Ballans | |
56 | 2 | Herve Ballans | www.symantec.com/connect/blogs/malware-targeting-windows-8-uses-google-docs |
57 | 3 | Herve Ballans | |
58 | 2 | Herve Ballans | Bulletin d'actualité CERTA-2009-ACT-045 : |
59 | 2 | Herve Ballans | |
60 | 2 | Herve Ballans | http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-045/ |
61 | 2 | Herve Ballans | |
62 | 1 | Herve Ballans | |
63 | 2 | Herve Ballans | |
64 | 6 | Herve Ballans | h2. Vigilance vis à vis des rançongiciels ou ransomwares (annonce CERT-RENATER du 22 août 2012) |
65 | 1 | Herve Ballans | |
66 | 1 | Herve Ballans | De : rssi-request@ml.recherche.gouv.fr [mailto:rssi-request@ml.recherche.gouv.fr] De la part de Dominique Launay |
67 | 1 | Herve Ballans | Envoyé : mercredi 22 août 2012 16:14 |
68 | 1 | Herve Ballans | À : rssi@ml.recherche.gouv.fr |
69 | 1 | Herve Ballans | Objet : [rssi] Vigilance vis à vis des rançongiciels ou ransomwares |
70 | 1 | Herve Ballans | |
71 | 1 | Herve Ballans | Bonjour à toutes et à tous, |
72 | 1 | Herve Ballans | |
73 | 1 | Herve Ballans | Nous attirons votre attention sur l’augmentation de l’activité d'un type de malware appelé « ransomware » ou « rançongiciel ». |
74 | 1 | Herve Ballans | Il s’agit de malware infectant l’ordinateur cible par différents biais, notamment des pages web piégés (streaming ou autre). |
75 | 1 | Herve Ballans | |
76 | 1 | Herve Ballans | Le malware bloque alors tout accès à l’ordinateur (chiffrement de vos données par exemple) et, se faisant passer souvent pour un logiciel des autorités, demande le paiement d’une somme d’argent en échange du déblocage de la machine. |
77 | 1 | Herve Ballans | |
78 | 1 | Herve Ballans | Cette somme est vue par l’utilisateur comme une amende car il croit avoir affaire aux autorités et, de plus, est souvent honteux du type de contenu qui l’a amené à cette situation (téléchargement illégal entre autre). |
79 | 1 | Herve Ballans | Les sommes demandées vont parfois jusqu’à 500€. |
80 | 1 | Herve Ballans | |
81 | 1 | Herve Ballans | Le paiement de cette somme passe généralement par des systèmes type ukash ( http://www.ukash.com/fr/fr/home.aspx ) ou paysafecard ( http://www.paysafecard.com/fr/fr-paysafecard/ ) et on perd alors toute trace des commanditaires. |
82 | 1 | Herve Ballans | |
83 | 1 | Herve Ballans | Le CERT polonais propose une page afin d’aider les personnes bloquées par ce type de logiciels : http://www.cert.pl/news/5707/langswitch_lang/en |
84 | 1 | Herve Ballans | |
85 | 1 | Herve Ballans | Nous avons peu de cas pour le moment sur RENATER mais suffisamment pour se dire que la rentrée risque de compliquer les choses. |
86 | 1 | Herve Ballans | |
87 | 1 | Herve Ballans | La sensibilisation des usagers est importante et un antivirus à jour est très efficace contre ces malware. Il est essentiel que les usagers ne paient pas. |
88 | 1 | Herve Ballans | |
89 | 1 | Herve Ballans | Il ne faut pas hésiter à porter plainte pour escroquerie si un paiement a été effectué. |
90 | 1 | Herve Ballans | |
91 | 1 | Herve Ballans | Quelques références sur le sujet : |
92 | 1 | Herve Ballans | - Abuse.ch : https://www.abuse.ch/?p=3718 |
93 | 1 | Herve Ballans | - ANSSI : http://www.ssi.gouv.fr/fr/menu/actualites/attention-arnaque-en-ligne-portant-le-logo-de-l-anssi.html |
94 | 1 | Herve Ballans | - à propos du malware citadelle : http://www.ic3.gov/media/2012/120809.aspx |
95 | 1 | Herve Ballans | - le virus « gendarmerie » : http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/ |
96 | 1 | Herve Ballans | - FBI (ransomware reveton): http://www.fbi.gov/news/stories/2012/august/new-internet-scam |
97 | 1 | Herve Ballans | - Article de l’ANSSI sur le site sécurité informatique : http://www.securite-informatique.gouv.fr/gp_article781.html |
98 | 1 | Herve Ballans | |
99 | 1 | Herve Ballans | Si des cas apparaissent dans votre établissement, n’hésitez pas à le signaler au CERT RENATER : certsvp@renater.fr |
100 | 1 | Herve Ballans | |
101 | 1 | Herve Ballans | -- |
102 | 1 | Herve Ballans | Dominique Launay |
103 | 1 | Herve Ballans | RENATER |