Vous êtes sur le site public du Cert-IST
Rappel des évènements de l'année 2004

Date :17 Juin 2005

Publication: Article

En ce mois de décembre, le Cert-IST vous propose de revenir sur les évènements qui ont marqué l'année 2004.

Les faits les plus marquants :

Les virus/vers détiennent toujours une part importante dans les évènements de cette année. Mais la tendance sur les techniques virales évolue et suit un phénomène déjà mentionné dans le bilan 2003. Aujourd'hui, les virus/vers les plus notoires contiennent généralement des "charges utiles" utilisées pour relayer du Spam et/ou créer des réseaux de postes infectés communiquant généralement au travers de canaux IRC ("Botnet").

La faille "LSASS" des systèmes Microsoft, faille réseau touchant le service d'authentification "LSASS" (CERT-IST/AV-2004.119 - CERT-IST/DG-2004.002) a engendré le ver "Sasser" (CERT-IST/AV-2004.132  - CERT-IST/AL-2004.004). Cette faille a été jugée comme très critique car elle a impactée par défaut tous les systèmes Windows 2000 et XP.

On peut également noter l'apparition soutenue de multiples variantes des vers "Netsky" (environ 43 variantes) et "Bagle" (environ 60 variantes) - CERT-IST/IF-2004.001, ainsi que de nombreux vers opportunistes à la suite de "Sasser" (bulletin sécurité n°80).

La recherche d'une exploitation de plus en plus rapide des vulnérabilités, autre tendance de l'année, a conduit les "hackers" à se transmettre les codes sources, soit des logiciels qu'ils souhaitaient contourner (vol de code source avec mise aux enchères) soit même à rendre public le code source d'un ver en vue de sa réutilisation par d'autres ("Netsky", "Cabir").

Le phénomène des attaques de type "Phishing" a considérablement augmenté dans le monde et en France. Ces attaques utilisent la crédulité des internautes, mais aussi des vulnérabilités dans les navigateurs web pour "détourner" des sites web. Des informations sur cette tendance ont été régulièrement publiées dans les Bulletins Sécurité du Cert-IST.

Le phénomène précédent a aussi contribué à voir les messages de Spam exploser (70% des messages électroniques - source : F-Secure).

Les logiciels nuisibles de type "Spyware" sont devenus de plus en plus courants dans la communauté des internautes. Leurs buts restent selon les cas assez différents (surveillance, collecte d'information sur le système, ...). Un article du Bulletin Sécurité n°85 du mois d'octobre (Les "spywares") a permis de faire le point sur cette nouvelle menace.

Les applications web sont également de plus en plus sollicitées par les pirates. Ces derniers s'attaquent à ces services au travers  de vulnérabilités liées à une programmation non sure des applications (Bulletin Sécurité n°72 - septembre 2003 : Vulnérabilité "include" sous PHP et Sécurisation des applications PHP) ou via des failles contenues dans des logiciels tiers (Ver "Santy" affectant les serveurs web utilisant "phpBB" CERT-IST/IF-2004.006 et ses variantes) ou le ver "Skyki" affectant les sites web contenant la vulnérabilité "PHP Include" (CERT-IST/DG-2004.011).

Un phénomène nouveau est apparu de manière prononcée cette année : l'impact sur le grand public des failles des navigateurs web, notamment celles liées au navigateur Internet Explorer. Elles ont donné lieu à des traitements plus ou moins importants en fonction du risque induit sur le système d'information. Aujourd'hui encore à l'heure où nous publions ce bulletin, il existe des vulnérabilités non corrigées sur les navigateurs web, parmi lesquelles des vulnérabilités critiques affectant le navigateur web de Microsoft (en particulier, les vulnérabilités décrites dans les avis et danger CERT-IST/AV-2004.405 et CERT-IST/DG-2004.012).

Détail des vulnérabilités apparues en 2004 relatives aux navigateurs web :

Une part également significative a été prise par des vulnérabilités impactant les librairies graphiques dans les mondes Linux/Unix ("PNG" - CERT-IST/AV-2004.234 et "TIFF" - CERT-IST/AV-2004.314) et Microsoft ("JPEG" - CERT-IST/AV-2004.273). Bien que certaines d'entre elles pouvaient laisser présager des effets plus notoires (JPEG - CERT-IST/DG-2004.009), elles sont restées au final relativement discrètes.

Les nombreuses vulnérabilités Oracle découvertes (Avis Oracle #68 -  CERT-IST/AV-2004.261) et la publication de détails très précis ont amené le Cert-IST a émettre un autre Danger Potentiel (CERT-IST/DG-2004.008).

Enfin, il ne faudrait pas oublier l'évènement majeur du monde Microsoft avec la sortie du Service Pack 2 de Windows XP dont l'objectif principal était de proposer des mécanismes de sécurité par défaut (garde-barrière personnel, configuration restrictive du navigateur, ...) sur les systèmes Windows XP. Un article du Bulletin Sécurité n°83 du mois d'août ("Service Pack 2" de Windows XP) a présenté un résumé des nouvelles fonctionnalités de ce "Service Pack".

Les tendances :

Le nombre de vulnérabilités publiées par le Cert-IST par rapport à l'année 2003 est en légère augmentation, mais reste autour de 400 vulnérabilités et vers/virus/chevaux de Troie par an (424 avis ont été émis cette année par le Cert-IST).

Une nette tendance dans l'émergence de l'utilisation des technologies sans-fil est également à noter cette année (réseau "WLAN", "HotSpot", "Bluetooth", "Pocket PC"). Ces technologies ont également fourni aux "hackers" un nouveau terrain d'activité qui a été rapidement exploité :

Suite aux multiples infections virales touchant plus particulièrement les PC des utilisateurs particuliers, de nombreux réseaux de type "BotNet" ont été exploités pour mener à bien des attaques de type Déni de service distribué ("DDoS") notamment aux Etats-Unis, mais aussi contre des organisations non gouvernementales (ONG) sensibles. Ces réseaux sont aussi utilisés comme menace pour extorquer des fonds à des sociétés dont la notoriété est étroitement liée aux services qu'elles proposent sur Internet (commerce en ligne, ...). Ce dernier point montre maintenant les liens étroits qui peuvent exister entre le milieu des hackers et des organisations criminelles.

Mais pour donner une note plus optimiste à ce panorama, on peut noter que les grands éditeurs modifient de manière sensible leur politique vis-à-vis de la publication des correctifs et de leur communication. Ils tendent à rendre leurs informations plus transparentes afin que les entreprises et les utilisateurs finaux puissent se protéger de manière efficace et ce, dans des délais de plus en plus courts.

Vulnérabilités marquantes :

Parmi les vulnérabilités dont le Cert-IST vous a fait part cette année, voici celles qui ont le plus retenu l'attention de la communauté (par rapport au produit/service impacté, au risque induit et à la couverture médiatique de ces dernières).

Monde Microsoft :

  • Vulnérabilité ASN.1 de Microsoft Windows - CERT-IST/AV-2004.045

    • Prise de contrôle du système

  • Vulnérabilité dans la librairie JPEG sous Windows- CERT-IST/AV-2004.273

    • Accès au système et déni de service partiel

Monde Unix/Linux :

Monde des réseaux :

Monde des virus/vers :

On voit également apparaître des prototypes de virus et chevaux de Troie destinés aux terminaux mobiles ("Symbian" et technologie "Bluetooth").

Monde des suites intégrées :