Blog

Édition de septembre 2018

Une vague de courriels frauduleux, de type hameçonnage, a affecté l'Université de Montréal en fin de semaine. Ces courriels ont été bloqués depuis.

Plusieurs de nos utilisateurs ont reçu un message d’un expéditeur leur demandant de vérifier une facture envoyée en pièce jointe.
Il ne faut surtout pas ouvrir ces fichiers .pdf ou .doc . 

D’une façon générale, il ne faut jamais cliquer sur un lien ou sur des fichiers joints provenant d’un courriel qui vous paraît suspect.
Si vous l’avez déjà ouvert, veuillez communiquer immédiatement avec le Centre de services TI au 514 343‐7288 afin de faire vérifier votre ordinateur.

Pour de plus amples renseignements sur l’hameçonnage et sur les façons de s’en protéger , veuillez consulter la page consacrée à ce sujet.

Les TI vous remercient de votre collaboration. 
Le Centre de services TI

Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant la technologie Apache Struts2 (versions « 2.3 » à « 2.3.34 » et versions « 2.5 » à « 2.5.16 ») qu’un avis de sécurité a été publié.

Cette faille majeure permet à des systèmes malveillants d’exploiter du code à distance. De plus, l’exploitation de cette faille ne nécessite aucune authentification sur un système vulnérable.

Veuillez noter que les versions « 2.3.35 » et « 2.5.17 » d’Apache Struts2 corrigent la vulnérabilité.  Pour les versions « 2.3 » à « 2.3.34 » et les versions « 2.5 » à « 2.5.16 », un correctif peut être téléchargé à partir du site de Struts.

Les détails concernant cette faille sont disponibles aux liens suivants :

• https://struts.apache.org/announce.html
• https://cwiki.apache.org/confluence/display/WW/S2-057
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776

Si vous disposez d’un logiciel libre ou commercial qui utilise la technologie Apache Struts2, veuillez vous référer auprès de l’éditeur afin de vérifier la disponibilité des correctifs de sécurité ou des mises à jour pour votre système.

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques des unités que plusieurs vulnérabilités affectent le logiciel SAMBA (versions 3.2.0 à 4.8.3).  La faille la plus critique permet à un utilisateur malveillant de contourner les politiques de sécurité du serveur SAMBA.

Veuillez noter que les versions « 4.8.4 », « 4.7.9 » et « 4.6.16 » de SAMBA corrigent ces vulnérabilités (http://samba.org/samba/).  Pour les autres versions, des mises à jour sous forme de rustines de codes (« patch/diff ») ont été publiées et corrigent ces failles : http://samba.org/samba/patches/ . 

Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens suivants :

• CVE-2018-10858 : https://www.samba.org/samba/security/CVE-2018-10858.html
• CVE-2018-10918 : https://www.samba.org/samba/security/CVE-2018-10918.html
• CVE-2018-10919 : https://www.samba.org/samba/security/CVE-2018-10919.html
• CVE-2018-1139 : https://www.samba.org/samba/security/CVE-2018-1139.html
• CVE-2018-1140 : https://www.samba.org/samba/security/CVE-2018-1140.html

À noter que les équipements de type « NAS » utilisent souvent des implémentations SAMBA pour le service de partage de fichiers. Il est important de valider l'existence des mises à jour des micrologiciels (« firmware ») offertes par les fabricants.

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».

Pour rester informé des actualités concernant la sécurité informatique (alertes, vulnérabilités, failles, recommandations), veuillez vous abonner au blog de la Sécurité des Technologies de l’information.

Advenant le cas où vous avez reçu ce courriel et que vous n’êtes pas l’administrateur de systèmes ou le responsable informatique de votre unité, veuillez svp le transmettre à votre responsable d’unité.

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques des unités qu’une vulnérabilité critique affectant « Java VM » d’Oracle Database Server a été publiée.  L’exploitation de la faille de sécurité permet à un système malveillant de prendre le contrôle à distance d’une base de données Oracle. 

Les produits concernés par cette faille sont les versions « 11.2.0.4 », « 12.1.0.2 », « 12.2.0.1 » et « 18 » d’Oracle Database Server.

Veuillez noter que cette vulnérabilité est corrigée par une mise à jour (« hors cycle ») d’Oracle Database Server.

Pour plus d’information au sujet de cette faille de sécurité, veuillez consulter les liens suivants :

• Oracle : http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
• CVE:  CVE-2018-3110

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques des unités que des avis de vulnérabilités affectant les processeurs d’ordinateurs Intel « L1TF » ont été publiés.

Ces vulnérabilités d’exécutions spéculatives exploitent les fonctionnalités de performance des processeurs et peuvent ainsi permettre à des systèmes malveillants de dérober des données stockées sur les ordinateurs. Les informations confidentielles sont donc potentiellement à risque.

Pour remédier à ces failles, il existe trois vecteurs d’exploitation pour lesquels un correctif existe :

• CVE-2018-3615 - L1 Terminal Fault: SGX :
  • Peu d’impact sur la performance : Mise à jour du microcode CPU de Intel.

• CVE-2018-3620 - L1 Terminal Fault: OS/SMM :
  • Peu d’impact sur la performance : Mise à jour du noyau (« Kernel ») du système d’exploitation (Windows, Linux, BSD).

• CVE-2018-3646 - L1 Terminal Fault: VMM :
  • Peu d’impact sur la performance : Mise à jour de l’hyperviseur (partiel).
  • Impact sur la performance : Désactivation de l’ « HyperThreading » et mise à jour de l’hyperviseur (complet).

Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens ci-dessous :

• Vidéo de vulgarisation du vecteur de la faille :
  • https://www.youtube.com/watch?v=kBOsVt0iXE4

• Intel :
  • https://www.intel.com/content/www/us/en/architecture-and-technology/l1tf.html
  • https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html

• Faille Foreshadow :
  • https://foreshadowattack.eu/

• Oracle :
  • https://blogs.oracle.com/oraclesecurity/intel-l1tf

• Microsoft :
  • https://blogs.technet.microsoft.com/srd/2018/08/10/analysis-and-mitigation-of-l1-terminal-fault-l1tf/

• Cisco :
  • https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180814-cpusidechannel?vs_f=Cisco%20Security%20Advisory&vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=CPU%20Side-Channel%20Information%20Disclosure%20Vulnerabilities:%20August%202018&vs_k=1

• VmWare :
  • https://www.vmware.com/ca/security/advisories/VMSA-2018-0020.html

• Linux (« Kernel ») :
  • https://www.kernel.org/doc/html/latest/admin-guide/l1tf.html

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques des unités qu’un avis de sécurité affectant les imprimantes du fabricant HP a été publié (référence : PSR-2018-007).

La faille de sécurité permet à un système malveillant de prendre le contrôle et d’exécuter du code malicieux à distance sur plusieurs imprimantes de marque HP.

Une liste des produits touchés par cette faille est disponible sur le site du fabricant HP.

Veuillez noter que la mise à jour du micro logiciel (« firmware ») de l’imprimante corrige la vulnérabilité.

Pour plus d’information au sujet de cette faille de sécurité, veuillez consulter les liens suivants :

• PSR-2018-0072 (HP) : https://support.hp.com/ee-en/document/c06097712
• CVE-2018-5924 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5924
• CVE-2018-5925 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5925

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques des unités que plusieurs vulnérabilités affectent le logiciel SAMBA (versions 4.X publiées avant le 13 mars 2018).  La faille la plus critique permet à un utilisateur malveillant de modifier le mot de passe d’un usager de son choix. 

Des mises à jour sous forme de rustines de codes (« patch/diff ») ont été publiées et corrigent ces failles : http://samba.org/samba/patches/.   Veuillez noter que les versions 4.7.6, 4.6.14 and 4.5.16 et 4.8 de SAMBA corrigent ces vulnérabilités.

Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens suivants (Anglais) :

• CVE-2018-1050 : https://www.samba.org/samba/security/CVE-2018-1050.html
• CVE-2018-1057 :  https://www.samba.org/samba/security/CVE-2018-1057.html

Veuillez également noter que les équipements de type « NAS » utilisent souvent des implémentations SAMBA pour le service de partage de fichiers. Il est important d’appliquer les mises à jour des micrologiciels offerts par les manufacturiers.

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques que des avis de vulnérabilités affectant différents processeurs d’ordinateurs et de téléphones intelligents ont été publiés par Intel.

Ces vulnérabilités, nommées « Meltdown » et « Spectre », utilisent un canal auxiliaire pour exploiter des processeurs accédant à l’ensemble des informations se trouvant en mémoire sur l’ordinateur ou sur le téléphone intelligent.  Les informations confidentielles sont donc potentiellement à risque. 

« Meltdown » et « Spectre » affectent les ordinateurs ayant un processeur INTEL ou AMD, quel que soit le système d’exploitation utilisé (Windows, Linux ou MacOS). De plus, les téléphones intelligents ayant un processeur ARM (Samsung, Apple, etc.) sont également touchés.

Pour corriger ces vulnérabilités, les actions ci-dessous doivent être entreprises :

• Déploiement des correctifs Microsoft :
• https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV180002
• https://support.microsoft.com/fr-fr/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
  • https://support.microsoft.com/fr-fr/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

• Déploiement des correctifs émis par les fabricants des processeurs :
• Se renseigner sur les sites des manufacturiers de processeurs.

Pour plus d’informations, veuillez consulter les liens ci-dessous :

• https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2018/al18-001-fr.aspx
• https://spectreattack.com
• https://meltdownattack.com/
• http://www.kb.cert.org/vuls/id/584653
• https://securitytracker.com/id/1040071
• https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
• Références CVE : 
  • « Spectre » :
    • 1519778 - CVE-2017-5753 : speculative execution bounds-check bypass https://nvd.nist.gov/vuln/detail/CVE-2017-5753
    • 1519780 - CVE-2017-5715 : speculative execution branch target injection https://nvd.nist.gov/vuln/detail/CVE-2017-5715
  • « Meltdown » :
    • 1519781 - CVE-2017-5754 : speculative execution permission faults handling https://nvd.nist.gov/vuln/detail/CVE-2017-5754

Veuillez noter que les Technologies de l’information prennent en charge les mises à jour sur les postes gérés.  De plus, un communiqué sera émis à la communauté universitaire afin que les détenteurs de postes non gérés puissent apporter les correctifs nécessaires sur leurs postes.

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques que la Fondation Apache a publié une mise à jour de sécurité pour le cadre applicatif (« framework ») Apache Struts. 

Les produits affectés sont :

• Apache Struts 2.5  à Struts 2.5.14;
• Apache CouchDB avant 1.7.0 et 2.x, avant 2.1.1.

La mise à jour à la version 2.5.14.1 d’Apache Struts corrige des vulnérabilités critiques dont l'une d'elles affecte le logiciel Apache CouchDB.  La faille de sécurité permet à un utilisateur de s’octroyer des droits d’administrateur et d’exécuter des scripts ou du code malicieux.

Les Technologies de l’information demandent aux utilisateurs de ce logiciel d’installer la mise à jour publiée.

Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens suivants :

• https://cwiki.apache.org/confluence/display/WW/S2-054;
• https://cwiki.apache.org/confluence/display/WW/S2-055;
• https://github.com/mbechler/marshalsec/blob/master/marshalsec.pdf;
• CVE: https://nvd.nist.gov/vuln/detail/CVE-2017-12635;
• CVE: https://nvd.nist.gov/vuln/detail/CVE-2017-12636.

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

En septembre dernier, les Technologies de l’information mettaient en garde les utilisateurs d’ordinateurs Apple à l’endroit de la mise à niveau MacOS High Sierra 10.13.  Malgré la mise en garde, il y a des utilisateurs qui ont installé la version de MacOs High Sierra 10.13 sur leurs postes.

Nous tenons à informer ces utilisateurs qu’une faille de sécurité affectait le système d’exploitation MacOS High Sierra 10.13. Cette vulnérabilité permet de se connecter au compte administrateur (« root ») d'un ordinateur opérant ce système d'exploitation. Un utilisateur malicieux, ayant un accès physique à l’ordinateur vulnérable, peut obtenir toutes les informations contenues dans l'ordinateur, exécuter du code de son choix, modifier les réglages et installer un logiciel (possiblement malicieux) à l'insu de l'utilisateur. La faille peut aussi être exploitée à distance, par la fonction d'écran partagé.

La compagnie Apple  a publié une mise à jour de sécurité qui corrige cette vulnérabilité. Les Technologies de l’information demandent aux utilisateurs de postes fonctionnant déjà sous le système d’exploitation MacOS High Sierra 10.13 d’installer cette mise à jour : https://support.apple.com/fr-ca/HT208315. 

Il est important de noter que le correctif désactive le compte d’administration sur le poste. Si ce compte est requis, il faut le réactiver et changer le mot de passe suite à l’application du correctif. Des instructions pour réactiver le compte d’administration sont disponibles à l’URL suivant : https://support.apple.com/fr-fr/HT204012.    De plus, suite à l’application du correctif, la compagnie Apple avise que les partages de fichiers peuvent être affectés.  Pour y remédier, les utilisateurs sont invités à consulter l’URL suivant : https://support.apple.com/fr-ca/HT208317. Enfin, pour éviter une exploitation du poste à distance par un autre compte, il est recommandé de désactiver la fonction d’écran partagé.

Nous tenons également à vous informer que la version de l’antivirus McAfee présente dans la logithèque est maintenant fonctionnelle et compatible avec cette version de MacOS. Vous pouvez dès maintenant procéder à la mise à niveau MacOs High Sierra 10.13 et au téléchargement de la dernière version de l’antivirus McAfee.

Pour plus d’informations au sujet de cette faille de sécurité, veuillez consulter les liens suivants :

• https://www.macg.co/os-x/2017/11/macos-high-sierra-la-root-est-ouverte-tous-une-solution-100551
• CVE :  http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13872

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques que la compagnie HP a publié un bulletin de sécurité avisant qu’une vulnérabilité de sécurité affecte plusieurs imprimantes et numériseurs de marque « HP ».

Cette faille de sécurité permet à un système malveillant de prendre le contrôle ou d’exécuter du code malicieux sur l’équipement vulnérable.

Les produits touchés par cette faille sont les suivants (Nom du produit; modèles) :

• HP Color LaserJet Enterprise; M652, M653, M577, M552, M553;
• HP Color LaserJet; M680;
• HP Color LaserJet Managed; E65050, E65060;
• HP LaserJet Enterprise 500 color; MFP; M575;
• HP LaserJet Enterprise 500; MFP, M525;
• HP LaserJet Enterprise 700 color; MFP, M775;
• HP LaserJet Enterprise 800 color; MFP, M880, M855;
• HP LaserJet Enterprise color flow MFP; M575;
• HP LaserJet Enterprise flow; M830z, MFP, M525, M630, M631, M632, M632, M633;
• HP LaserJet Enterprise; MFP M630, M631, M632, M633, M725, M806;
• HP LaserJet Managed; E60055, E60065, E60075;
• HP LaserJet Managed Flow MFP; E62555, E62565, E62575;
• HP LaserJet Managed MFP; E62555, E62565;
• HP OfficeJet Enterprise Color Flow MFP; X585;
• HP OfficeJet Enterprise Color MFP; X585;
• HP PageWide Enterprise Color MFP; 586, 765, 780, 785, X556;
• HP PageWide Managed Color; E55650, E75160;
• HP PageWide Managed Color Flow; MFP, 586, E77650, E77660, E77650;
• HP ScanJet Enterprise Flow N9120 Doc Flatbed Scanner;
• HP Digital Sender Flow 8500 fn2 Doc Capture Workstation.

Les Technologies de l’information demandent aux responsables d’unités qui utilisent des produits apparaissant dans la liste précédente, de tester et d’installer les versions de micrologiciels (« firmware ») corrigées, publiées par le manufacturier HP.

Pour plus d’information au sujet de cette vulnérabilité, veuillez consulter les liens suivants :

• https://support.hp.com/nz-en/document/c05839270
• https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2017/av17-176-fr.aspx
• https://sensorstechforum.com/fr/cve-2017-2750-hp-printers/
• CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2750

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques des unités que plusieurs vulnérabilités affectent le logiciel SAMBA (versions antérieures à 3.6.0). Ces failles permettent, par malveillance, de compromettre un système utilisant ce logiciel et d'exploiter les fuites d’informations provenant du contenu de la mémoire qui est allouée dynamiquement.

Des mises à jour sous forme de rustines de codes (« patch/diff ») ont été publiées et corrigent ces failles : http://samba.org/samba/patches/.   À noter que les versions 4.7.3, 4.6.11 et 4.5.15 de SAMBA corrigent ces vulnérabilités. 

Les Technologies de l’information demandent aux utilisateurs du logiciel SAMBA (versions antérieures à 3.6.0) d’installer les mises à jour nécessaires.

Pour plus d’information au sujet de ces vulnérabilités, veuillez consulter les liens suivants :

• https://www.samba.org/samba/security/CVE-2017-14746.html
• https://www.samba.org/samba/security/CVE-2017-15275.html
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14746
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15275

Pour toutes questions concernant ce message, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer les responsables informatiques que plusieurs vulnérabilités affectent le langage de programmation PHP.  La vulnérabilité la plus sévère (CVE-2016-1283) pourrait permettre à un utilisateur malicieux distant d'exécuter du code arbitraire.

L'éditeur a publié des mises à jour de sécurité qui corrigent ces vulnérabilités. Nous demandons à ceux qui utilisent ce logiciel d’installer les mises à jour publiées.

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.

Les Technologies de l’information souhaitent informer la communauté de l’UdeM que le certificat de sécurité SSL pour l'accès au réseau sans fil « UdeM avec cryptage » sera renouvelé le 3 octobre 2017.  

Le changement de certificat sur les équipements qui assurent l'authentification des utilisateurs au réseau sans fil affectera tous les appareils mobiles (postes PC et Apple, iPhone, iPad) qui utiliseront la connexion « UdeM avec cryptage » sur le campus.  Certains appareils devront être reconfigurés afin d’établir une connexion au réseau sans fil « UdeM avec cryptage ».  Ainsi, lorsque la mise à jour du certificat de sécurité sera appliquée, les utilisateurs obtiendront une fenêtre de configuration lors d’une tentative de connexion au réseau sans fil « UdeM avec cryptage ».  

Pour connaître les détails des configurations à apporter aux différents appareils mobiles, veuillez vous référer au document joint.