jeudi 3 mai 2007

Administration et Open Source : c'est pas gagné ...

Je parle bien sûr de l'administration française, pas de l'administration des réseaux informatiques :)

Comme beaucoup de contribuables 2.0, j'ai reçu ce mail hier :


Sauf qu'il semble y avoir un petit problème de sécurité :


En regardant le source du message, je ne peux pas en croire mes yeux (j'ai légèrement modifié le code pour passer les filtres de Blogger) :

[...]
Received: from mail.dgi.minefi.gouv.fr (mta3-milter-pas2.dgi.minefi.gouv.fr [145.242.2.164])
by lmin06.st1.spray.net (Postfix) with ESMTP id 7D04B340E4
for ; Thu, 3 May 2007 06:05:46 +0000 (GMT)
Received: from mail.dgi.minefi.gouv.fr (localhost.localdomain [127.0.0.1])
by localhost (Postfix) with SMTP id A96735E4C4E
for ; Thu, 3 May 2007 08:05:45 +0200 (CEST)
Received: from E59A-60.eole.dgi (e59a-60.eole.dgi [10.153.67.60])
by mail.dgi.minefi.gouv.fr (Postfix) with ESMTP id EC9365E4C43
for ; Thu, 3 May 2007 08:05:44 +0200 (CEST)
Received: from E59B-60.eole.dgi (unknown [10.153.68.60])
by E59A-60.eole.dgi (Postfix) with ESMTP id CF7561362C4
for ; Thu, 3 May 2007 08:05:44 +0200 (CEST)

Received: from localhost.localdomain (unknown [10.153.67.42])
by E59B-60.eole.dgi (Postfix) with ESMTP id AC2733BA66
for ; Thu, 3 May 2007 08:05:44 +0200 (CEST)


Date: Thu, 3 May 2007 06:05:44 UT

Subject: Impôts sur le revenu : Déclaration par internet
From: direction-generale-des-impots@dgi.finances.gouv.fr
X-Mailer: MIME::Lite::HTML 1.21
[...]
xmlns:v="urn:schemas-microsoft-com:vml"
xmlns:o="urn:schemas-microsoft-com:office:office"
xmlns:w="urn:schemas-microsoft-com:office:word"
xmlns:st1="urn:schemas-microsoft-com:office:smarttags"
[...]
meta name="ProgId" content="Word.Document"
meta name="Generator" content="Microsoft Word 11"
meta name="Originator" content="Microsoft Word 11"
[...]
o:mainfile href="2007_02_mel_abonnés_fidélisation_Vdepcomv=2.htm"
o:File HRef="image001.png"
o:File HRef="image002.jpg"
o:File HRef="image005.wmz"
o:File HRef="image006.gif"
o:File HRef="header.htm"
o:File HRef="filelist.xml"
[...]
o:documentproperties
o:author GRU
o:lastauthor dgi
o:revision 3
o:totaltime 0
o:lastprinted 2007-03-16T17:17:00Z
o:created 2007-04-18T15:23:00Z
o:lastsaved 2007-04-18T15:27:00Z
o:pages 1
o:words 355
o:characters 1955
o:lines 16
o:paragraphs 4
o:characterswithspaces 2306
o:version 11.5606
[...]

object classid="clsid:38481807-CA0E-42D2-BF39-B33AF135CC4D" id=ieooui
[...]


Pour résumer :

  • Ce mail a été rédigé avec Microsoft Office 2007 en format XML natif, ce qui explique sa taille incroyable (1455 lignes de code source, pour une trentaine de lignes de texte utile).
  • Les propriétés du document n'ont pas été supprimées avant envoi, d'où la fuite d'information sur l'auteur et la configuration Office.
  • Le mail contient des références à des contrôles ActiveX (ici le contrôle SmartTags). Si ces contrôles sont présents sur le poste du destinataire, et que sa configuration de sécurité est laxiste, ils seront exécutés.
  • Le mail contient des images aux formats PNG, JPG, WMZ, GIF et VML. Quant on connait le nombre de failles trouvées dans les décodeurs Microsoft pour ces formats, ça fait peur. Surtout le format WMZ qui est du WMF compressé : non seulement il serait possible d'exécuter du code sur les machines non à jour du patch MS06-001, mais en plus la compression ZIP risque d'empêcher l'analyse par les antivirus (j'espère que non, mais sait-on jamais ;).
  • Le mail n'est pas signé, alors que la DGI possède un certificat de confiance.
A mon avis, peut mieux faire !

3 commentaires:

rangzen a dit…

Sans oublier l'adressage interne :)

marc a dit…

... la compression ZIP risque d'empêcher l'analyse par les antivirus ...

bonsoir

Cela me remet en mémoire les travaux d'une part de Thierry Zoller sur le sujet, et d'autre part -surtout-, l'étude de Danchev sur les capacité des A.V. à savoir ouvrir les zip et assimilés (http : // www.anti-malware.ru / doc / packers_support_08.2006.xls) (espaces glissés çà et là par respect des règles de prudence)

Merci pour ce moment de franche jubilation

Kravas a dit…

J'ai reçu un mail du même style. Sachant que l'adresse que j'utilise n'est pas mon adresse "administrative".
Voici le contenu de l'entête (je n'ai pas ouvert le mail :

From bernard SALEL Wed Dec 28 14:18:27 2011
X-Apparently-To: ...... via 87.248.110.164; Wed, 28 Dec 2011 14:18:36 +0000
Return-Path:
Received-SPF: pass (domain of dgfip.finances.gouv.fr designates 145.242.11.153 as permitted sender)
LS0tLQoKICAKICAgIAogICAgICBTdWpldMKgOiA8L3RoPgogICAgICB0cmFu
c2ZlcnQgcGVuc2lvbiBOwrAzMTExMC8xMTAzMzUxN2I8L3RkPgogICAgPC90
cj4KICAgIAogICAgICBEYXRlwqA6IDwvdGg.CiAgICAgIFdlZCwgMjggRGVj
IDIwMTEgMTM6MTI6MjIgKzAxMDA8L3RkPgogICAgPC90cj4KICAgIAogICAg
ICBEZcKgOiA8L3RoPgogICAgICBiZXJuYXJkIFNBTEVMIDwBMAEBAQE-
X-YMailISG: sZRwDn8WLDvhxfG_pZQgUsNjtOV2UcjLYhzVzW9TBERtBTRC
N7Z.CLF7olYEal2waZre.0p7AXmYn992NEIVEP_IzurmVlnG_kkhm9jMwLRp
uxpSN4x8EHOPv5RUlgg6EmoX1Ls1bgsgX9xYKfVIHxOUiFVO56Tpr2Z4jw7u
9RSnUAyvU8k.CoWQtC0AkRi4h3HHOx.I03eH.RfaNJrpH46scByzy6YdJD_x
lilhno50vevcwxQV7moo1ipZqrEGt_in2P2D29tASg4YWFFzudCMJ8hxInUL
Axss3Bs6wddN0.eQ8TUz9nQqNUUYxyyuqtE25KmRrcpc_NjIfYiY0fgmA1QR
XoUMxPYLp7XL4tQEacBCNOzKYtaX4ddAVN5XwEMrpwb2QnS2OBuZP.8kgoUI
VS0TN0LLA4msubTE3TAKDiTJk0vBnogyjQ8ZHPy_AikKm7bWOYGFO3lXx3_5
UCCuUCe7_v9g.edmEpnUZeYPY8OfUsJ35veg6Oz_i8Lrb45PiGRDtlmJ.g5H
aG9GtB6jx.cZ9ooa740etF35J2wna6wBfgkH4L6deUNnJnceFPFpr3tzz9WI
WHaQRS_SAzdMtoSTkLJYPY1fKXEyxAcEn8.TAcZ2EJZpwQLxhFkhfmJp_Rku
ri18Z40W9Un8M3FQYcuf0OoHoAFUVGj.hlRqsI4ew0Y0RZho_SjN942GvhzV
.nXsWpjcS_f2ZqWI7.nM8On5yNabi9eqKVIeX0K9cz1ugOlPlhYPv..K9ysm
Uf1x0h1qzvWF975Wd7x7n2HN1rlCpkWNXFhJh6sQDZFjXSVMBbntN.XlzEgA
zunUp0Xz38rqlciiSHLKAoo8_oGU3YGaBSi1HgEuACwmysrmFEXbZCDEf2j9
.bHInvHWA1jhQNmej2Yg3TIVi3nzS.g2TyOTluc9fRv7EDhW
X-Originating-IP: [145.242.11.153]
Authentication-Results: mta1047.mail.ird.yahoo.com from=dgfip.finances.gouv.fr; domainkeys=neutral (no sig); from=dgfip.finances.gouv.fr; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO mail.dgi.minefi.gouv.fr) (145.242.11.153)
by mta1047.mail.ird.yahoo.com with SMTP; Wed, 28 Dec 2011 14:18:36 +0000
Received: from mail.dgi.minefi.gouv.fr (localhost.localdomain [127.0.0.1])
by localhost (Postfix) with SMTP id 1CEA4F5000B
for <......>; Wed, 28 Dec 2011 15:18:36 +0100 (CET)
Message-ID: <26301_1325081916_4EFB253C_26301_14132_1_4EFB2533.8030203@dgfip.finances.gouv.fr>
Date: Wed, 28 Dec 2011 15:18:27 +0100
From: bernard SALEL
User-Agent: Thunderbird 2.0.0.21 (Windows/20090302)
MIME-Version: 1.0
To: ......... Subject: [Fwd: transfert pension =?windows-1252?Q?N=B031110/11033517b=5D?=
Content-Type: text/html; charset=windows-1252
Content-Transfer-Encoding: 8bit
Content-Length: 1510


Mais pas de fichier joint.

Ton article est donc toujours d'actualité.

Merci pour les infos.