Escolar Documentos
Profissional Documentos
Cultura Documentos
Audit de sécurité au
service des entreprises
Aujourd'hui, presque plus personne n'est à l'abri des e-menaces :
attaques malveillantes, phishing ou spam. En effet, les attaques
sont de plus en plus „sophistiquées” et très difficiles à détecter.
Pour mieux prévenir ces menaces, il est nécessaire de ne pas y aller
de main morte. Ceux qui souhaitent apprendre à mieux protéger
leur système d'information s'aideront de notre dossier sur l'Audit
de sécurité. En effet, dans ce numéro, nous nous concentrerons
sur les Tests de pénétration. Grâce à l'article de Régis Senet
Tests de pénétration système, vous apprendrez ce qu'est un test
d'intrusion, sa procédure et son déroulement. L'article intitulé Test
de pénétration – organisation du projet vous expliquera comment
vous préparer et mener un projet de tests de pénétration au sein de
votre entreprise. L'auteur de cet article vous présentera quelques
méthodologies et vous aidera à choisir celle appropriée à votre
société.
Dans la section Pratique, nous vous recommandons l'article sur les
réseaux WiFi mal sécurisés. L'article Intrusion et exploitation d'un
réseau mal sécurisé vous expliquera le fontionnement du WEP et
ses faiblesses ; les particuliers comme les entreprises font souvent
appel à des points d'accès WiFi. Or, le protocole de chiffrement
WEP (41% des box en possèdent) présente plusieurs failles.
Vu la popularité grandissante des sujets liés à la sécurité des
réseaux et du Web, nous avons créé, pour nos lecteurs, une nouvelle
rubrique : Sécurité Réseaux. Dorénavant, vous trouverez dans
chaque numéro de Hakin9, un article consacré à cette thématique.
Cette fois-ci, l'article est dédié à la sécurisation des applications
Web. L'auteur de l'article Sécuriser les applications Web présentera
les moyens techniques à mettre en place pour sécuriser efficacement
les applications web. Vous trouverez également quelques bonnes
pratiques à ne pas manquer dont le filtrage des attaques web.
3/2010 HAKIN9 3
FOCUS PRATIQUE
48 Windows FE Live CD
20 Restaurer les symboles de d'investigation informatique
débogage à partir de binaires Windows-PE
compilés statiquement MARC REMMERT
JUSTIN SUNWOO KIM Au cours de l'année 2008, des rumeurs ont circulé
La restauration des symboles de débogage sur la distribution d'un Live CD Microsoft Windows
est primordiale pour mieux appréhender les FE. Sur Internet tous les types de sujets étaient
problèmes spécifiques aux fichiers binaires abordés dont celui de la sécurité et de l'investigation
strippés. La méthode exposée dans le présent informatique, pourtant ce CD Windows n'a pas
article peut être réutilisée dans d'autres champs connu un franc succès.
d'étude.
4 HAKIN9 1/2010
1/2010 HAKIN9 5
6 HAKIN9 3/2010
IPAD EN FRANCE
Le terminal lancé aux Etats-Unis le 3 avril
vient de débarquer en Europe.
Presqu' un mois après l'apparution
aux Etats Unis, iPad arrive aussi en de chaque mot de passe tapé sur Twitter, la plus fréquente menace constatée en
Australie, au Canada, en Allemagne, en les internautes devraient profiter de cette France. Ce ver exploite la fonction de
Italie, au Japon, en Espagne, en Suisse et information et changer leurs mots de démarrage automatique qui s’applique
au Royaume-Uni. passe aussi dans les autres services. généralement au chargement d’un CD
Avec un design similaire à l'iPhone contenant un programme exécutable. En
grand format, l'iPad possède un écran infectant plus généralement des clés USB,
9,7 pouces tactile capacitif (1024x768), et UNE CENSURE CROISSANTE ce virus s’exécute sur l’ordinateur dès
d'un processeur SoC Apple (développé DANS L'INTERNET l’insertion du média au lieu du programme
par PA Semi) cadencé à 1GHz. Apple Dans le rapport annuel des Reporters sans souhaité. Au cours du mois de février
jure la capacité de son appareil pour 10 frontières se montre un constat inquiétant: 2010, INF/Autorun a représenté 7,85% des
heures en usage et 1 mois en veille. Il est les blogueurs et les sites internet sont de menaces. À la seconde place, Win32/
possible de synchroniser son iPad avec plus en plus nombreux à être touchés par PSW. OnlineGames continue de perturber
iTunes via un câble USB pour le relier à la censure et la répression avec plus de les joueurs en ligne en atteignant le taux
un ordinateur. 155 % par rapport à 2008. de 6,22%. Il reste la référence des chevaux
Ayant pour objectif de se présenter de Troie dans le domaine des jeux en
comme un livre électronique à part ligne commercialisés principalement sur
entière, l'iPad comprend une application INTERNET PARMI LES DROITS DE le marché noir.
iBooks permettant une lecture entièrement L'HOMME? Le virus Win32/Mabezat vient en
contrôlée avec les doigts. Près de 80 % des adultes dans le monde troisième position avec un taux de
Selon les sondages francais 73% estiment que l’accès à internet est un droit 4,08%, laissant le fameux Win32/
des internautes ayant entendu parler de humain fondamental. Un peu moins de la Conficker prendre la quatrième place
l'appareil se disent prêts à acheter l'iPad moitié affirme ne pas pouvoir se passer des menaces constatées en France
(parmi les possesseurs de produits Apple d’internet malgré quelques inquiétudes en février 2010. Exploitant une faille
il s'agit de 96%). sur la sécurité du Web. de l’OS Windows Server de Microsoft,
Win32/Conficker affiche un score de
3,07%. À l’évidence, les mises à jour
TWITTER – PROTÉCTION RAPPORT MENSUEL DES régulières de sécurité, proposées par
RENFORCÉE MENACES IDENTIFIÉES PAR ESET Microsoft, s’imposent. À noter que ce
Twitter veut protéger ses abonnés contre EN FRANCE ET EN EUROPE virus apparaît en tête en Europe avec un
tout risque d'usurpation de leur compte en Février 2010 taux de 9,62%.
interdisant la création de mot de passe Quant au virus Win32/Agent, il se
jugés trop simples. Pour le faire il a créé • L’infection des médias amovibles est positionne à la cinquième place avec
une liste noire de 370 mots de passe la principale menace constatée en un taux de 2% en France et de 3,57% en
dont beaucoup sont de prénoms, des France Europe. Il continue de progresser mois
marques de voiture, des noms de villes, • Les joueurs en ligne sont toujours après mois en approchant le niveau
des mots grossiers... Ce que provoque menacés par Win32/PSW. Online- qu’il avait atteint pendant l’été 2009. ESET
les questions c'est le fait que l'origine Games considère cette menace comme une
et les critères qui ont présidé à son forme de ver malicieux entrant dans la
élaboration restent inconnus. Pourtant, si En modifiant le contenu d’un média catégorie des PC data stealer, c’est à dire
elle provient d'une analyse systématique amovible, le virus INF/Autorun demeure le piratage de données.
3/2010 HAKIN9 7
8 HAKIN9 2/2010
2/2010 HAKIN9 9
CD-ROM – HAKIN9.LIVE
PDFCRACK
PDFCrack est un petit outil Open Source
(GNU/Linux) qui est destiné à craquer les
mots de passe des documents PDF. Pour
suivre pas à pas le craquage du mot de
passe, il ne vous reste qu'à regarder la
vidéo. Vous trouverez quelques conseils
de protéction dans l'article d' Alexandre
Lacan Sécurité des mots de passe dans
les fichiers PDF.
10 HAKIN9 2/2010
S’il vous est impossible de lire le CD. et que ce dernier n’est pas
endommagé physiquement, essayez de lire dans au moins 2
lecteurs différents.
6/2008 HAKIN9 11
pénétration
Degré de difficulté
système
De nos jours, garder la sécurité du systeme d’information reste
primordial pour les entreprises. Le présent article expliquera
comment protéger son SI grâce aux tests de pénétration.
U
n test de pénétration système, aussi relatives aux biens et aux personnes alors que
appelé test d’intrusion ou encore cela n’est pas possible par un pentest.
régulièrement abrégé en pentest, est une A l’inverse d’une réelle intrusion, un pentest,
méthode d'évaluation de la sécurité d'un système bien qu’assez libre, resté néanmoins encadré.
ou d'un réseau informatique durant un laps de La personne en charge de réaliser ce(s) test(s)
temps déterminé. se doit de signer un contrat avec l’entreprise
Ce(s) test(s) consiste(nt) à simuler l’attaque accueillant le test. Ce contrat inclut des clauses
par un utilisateur mal intentionné ou par un de non-divulgation au cas où une faille serait
logiciel malveillant. Sont alors analysés les risques détectée. Le prestataire s’engage également à
potentiels dus à une mauvaise configuration d'un prendre toutes les mesures nécessaires pour
système, d'un défaut de programmation ou encore sécuriser les données des clients.
d'une vulnérabilité liée à une solution présente Il existe de nombreux prestataires de services
dans le système informatique cible. aptes à réaliser ce genre de test d’intrusion.
Lors d'un test d'intrusion, nous nous retrouvons Initialement appelés Hackers, ce nom fut petit à
donc dans la position de l'attaquant potentiel. Le petit détourné par les internautes pour n’y voir que
principal but de cette manœuvre est de trouver des pirates informatiques alors qu’initialement, il
des vulnérabilités exploitables en vue de proposer n’en est rien. Afin donc de bien faire la distinction
un plan d'actions permettant d'améliorer la entre le bon et le mauvais coté, un nouveau terme
sécurité d'un système. est apparu, il s’agit des Ethical Hackers.
Il est important de faire la différence entre Comme indiqué précédemment, à la suite
un test de pénétration système et un audit de d’un pentest, un Ethical Hacker se doit de
sécurité. La différence entre les deux réside fournir un rapport de son activité. Ce rapport
1. CET ARTICLE dans la motivation de la personne à aller devra comporter l’ensemble des trouvailles du
EXPLIQUE... jusqu'à l'exploitation des failles, montrant ainsi la prestataire avec un indice de gravité des failles. Au
Ce qu’est un test de pénétration vulnérabilité. L'exploitation n'a, bien sûr, pas pour cas où une faille critique serait trouvée durant le
Comment réaliser un test de but de détruire ou endommager le système, mais test de pénétration système, il est de bon ton que
pénétration elle permettra de situer le degré du risque lui étant le prestataire s’arrête afin de prévenir l’entreprise
Quel est l’intérêt de mettre en associé. demandeuse de service.
place un test de pénétration
Un audit de sécurité, quant à lui, est plus Une fois le pentest terminé, l’auditeur rend
CE QU'IL FAUT théorique qu’un pentest. Néanmoins, grâce à un son rapport aux responsables de son test de
SAVOIR... audit de sécurité, l’architecture est auditée, ainsi pénétration. Ce dernier doit obligatoirement
Bases en sécurité informatique que les méthodologies de sécurité mise en place, être remis en format papier en main propre ou
12 HAKIN9 3/2010
encore, par voie informatique sécurisée. l’entreprise, il est donc nécessaire de ne 50,2% des attaques avaient pour objectif
Il est nécessaire de se rappeler que les pas oublier ce genre de test. d’exploiter les ressources informatiques
rapports sont strictement confidentiels. WhiteBox – Au cours de ce genre de d’entreprises victimes ciblées au hasard
Le prestataire n’est pas dans test, l’Ethical Hacker connait l’ensemble : stockage, puissance de calcul, réseau
l’obligation de réparer les failles qu’il aura des informations relatives à l’entreprise sont ensuite utilisés ou revendus pour
décelées sauf si cette option a été ajoutée : du code source du site internet, au d’autres activités criminelles ou illicites.
aux contrats. schéma de configurations des routeurs De plus, depuis l’avènement de la
tout en passant pour le code source loi Hadopi, les petites entreprises sont
Comment se déroule un de l’application C++ leur servant de également devenues des cibles pour du
test de pénétration système passerelle réseau. Ces tests sont les plus stockage de film en masse ou l’utilisation
Différents test de pénétration système complets car ils allient les techniques abusive de connexion sans fil.
existent. Trois types de pentest diffèrent en des tests BlackBox en ajoutant des A l’heure actuelle, la sécurité
raison des informations que connaîtra le informations complémentaires. Ces tests informatique concerne réellement tout le
prestataire de service à son début. sont également, en règle générale, les monde même si les tests de pénétration
L'analyse se réalise donc selon trois plus longs. système étant assez chers, sont
cas : principalement destinées aux entreprises
BlackBox – Au cours de ce genre de Qui est concerné par un disposant d’un parc informatique et/ou de
test, l’Ethical Hacker se met réellement test de pénétration système données sensibles.
dans la peau d'un attaquant potentiel Aujourd’hui, quasiment personne n’est
et ne possède aucune information sur à l’abri des attaques en provenance Qu’est ce qui peut être
le réseau ou sur les infrastructures d’internet. Les média parlent de plus en testé durant un test de
de l’entreprise. Seule une connexion à plus régulièrement de phishing, de spam pénétration système ?
internet lui est fournie et, de là, il doit tenter etc. mais qu’en est-il vraiment de cette Des statistiques nous ont montré qu’une
de récupérer le maximum d’informations menace ? attaque à l’aveugle sur un système
par n’importe quelle méthode (Internet, Les menaces internet sont en effet distant est dans 99% des cas totalement
Faille de sécurité sur les serveurs de moins en moins immédiatement inefficace. Il est absolument nécessaire
disponibles via le net, Social Engeniering, détectables. Là où, il y a cinq ans, la d’entamer une collecte d’informations
Phising, Reverse Engeniering, etc.). Il majorité des menaces consistaientt sur le système visé, dans le but d’élargir
s’agit du type de pénétration système à perturber visiblement l’utilisateur par ses possibilités d’attaques et de s’offrir
le plus demandé. Il existe deux types un déni de service, la suppression ainsi plus de flexibilité sur le choix des
de BlackBox, un internet et un externe. de fichiers ou l’envoi en masse de méthodes d’attaque. La stratégie est
Les BlackBox externes consistent à courriers électroniques (spam), les aussi importante que la manœuvre elle-
attaquer le système de l'entreprise "en nouvelles menaces hybrides apparues même.
aveugle", sans avoir aucune information ces dernières années ont pour principal La règle des 5P constitue le squelette
sur le matériel informatique et leurs objectif de ne pas être détectées. type de toutes les attaques informatiques
techniques de défense alors que les Cela est dû au fait que les menaces distantes.
BlackBox internes se font au sein des internet sont aujourd’hui le fait de Le premier P correspond à Probe qui
locaux de l'entreprise. En effet, le système véritables organisations criminelles qui peut se traduire par enquêter.
d'information peut être sécurisé de recherchent à tirer un bénéfice financier Savoir mener des recherches
l’extérieur et, malgré tout, être vulnérable de leurs attaques. Selon une étude efficaces sur Internet est la clé de la
depuis l'intérieur. réalisée en 2006 par IBM ISS X-Force, réussite. Personne n’a la science infuse,
GreyBox – Au cours de ce genre de
test, l’Ethical Hacker connaît un nombre
limité d’informations. Il peut par exemple
connaître l’adresse IP de l’ensemble des
serveurs, le plan d’adressage ou encore
les protocoles réseau utilisés au sein
de l’entreprise. Ce genre de pentest est
très intéressant car il permet de vérifier
la sécurité des infrastructures depuis
de l’intérieur (Les tests en GreyBox
sont également appelés des Internal
Testing). Une étude estime que 80% des
attaques réseau et des actes de piratage
proviennent de l’intérieur même de Figure 1 : Utilisation de Nmap
3/2010 HAKIN9 13
Recherche d’information
active
Après avoir vu la recherche d’information
passive par les moteurs de recherche et
internet dans sa généralité, nous allons
passer à des méthodes dites actives.
A l’inverse des méthodes dites passives,
ces nouvelles méthodes laissent des
traces sur le réseau cible permettant de
remonter jusqu’à l’adresse IP de l’attaquant
grâce aux fichiers de log etc. Néanmoins,
cette étape est indispensable car elle
permet de révéler un nombre important
d’informations sur le système cible.
Commencer par lancer un balayage
de port grâce au célèbre Nmap sur le ou
les serveur(s) de l’entreprise permet de
détecter les ports ouverts sur la machine.
Cette prise d’empreinte révèle les services
tournant sur la machine cible et donne
donc les différents points d’entrée possible
Figure 2 : Utilisation d’Autoscan (voir Figure 1).
14 HAKIN9 3/2010
Un scan des ports sur une machine version d’Apache ou le type de serveur Ces logiciels détectent rapidement
distante montre les ports ouverts, ce qui FTP tournant sur la machine cible, il est une vulnérabilité dans un système-cible
peut aiguiller nos attaques. En effet, une nécessaire d’aller faire un tour sur le site mais ils restent énormément bruyants et
attaque sur un port protégé sera nettement http://www.exploit-db.com/ reprenant ont tendance à affoler un peu les fichiers
plus difficile. l’ancien site très connu qu’était Milw0rm, de log.
Dans notre exemple, nous pouvons voir pour vérifier l'existence connue d'une faille Le logiciel Metasploit est également un
que le port 79 est ouvert, ce qui peut être dans cette version. logiciel en vogue actuellement car il devient
une très bonne chose pour toute collecte Dans le cas où le logiciel/service de plus en plus simple à utiliser et est de
d’information. En effet, le port 79 est un est vulnérable, il est facilement possible plus en plus documenté, notamment
utilitaire Internet qui permet à quelqu'un de trouver l’exploit accélérant ainsi grâce à ce lien : http://www.offensive-
d'obtenir des informations sur vous, grandement votre exploitation. security.com/metasploit-unleashed/
y compris votre nom complet, votre login et Dans l’éventualité où nous découvrons Le logiciel Metasploit permet, quant à lui,
autres informations de profilage. sur l’une des machines-cible un serveur d’exploiter des vulnérabilités découvertes
De plus, le port 80 est également Apache muni du module Tomcat dans sa grâce aux logiciels précédemment cités.
ouvert nous renseignant qu’un site version 1.2.19, il est possible d’y exécuter
internet est très probablement en cours un Buffer Overflow à distance. http:// Les applications web
de fonctionnement dessus. Cela ne nous www.exploit-db.com/exploits/6100 De nombreuses possibilités s'offrent à
donne pas d’information sur le site en lui- Cela permet d'accéder à une machine vous si le système dispose d'un serveur
même mais nous permet d’élargir notre rapidement et sans laisser de nombreuses web sur le même réseau. Le service web
champ de vision et donc, d’augmenter la traces dans les fichiers de log. est l'un des plus exploités des Hackers et
superficie de l’attaque. Des outils tels que Nessus, FastTrack, débutants. Ainsi, il est primordial d'avoir
NOTE : Il est important de se rappeler Saint, CoreImpact ou encore OpenVAS une bonne sécurité. D'autant plus que la
que plus le nombre d’entrées dans un détectent les vulnérabilités sur un système- sécurité d'un site web est beaucoup plus
réseau informatique est important, plus cible distant. Ils signalent les faiblesses mise en péril en raison du grand nombre
cela laisse de possibilités à l’attaquant. En potentielles ou avérées sur les machines- d'attaquants qui préféreront ce type
outre, cela augmente également le travail cible en incluant les services vulnérables d'attaque à la recherche d'autres failles
de l’administrateur qui doit défendre tous à des attaques permettant la prise de dans le système.
les points simultanément. contrôle de la machine, l'accès à des La plupart, pour ne pas dire la totalité
A l’intérieur-même du réseau, l’outil informations sensibles, les fautes de des failles présentes sur le web sont
Autoscan (voir Figure 2) lance une série de configuration, les patchs de sécurité non dues à une mauvaise programmation
scan pour trouver toutes les machines et appliqués, les mots de passe par défaut, du service proposé. De multiples
tout matériel (routeur, pare-feu...) connectés. quelques mots de passe communs et vulnérabilités sont connues à ce jour,
Ses principales caractéristiques sont l'absence de mots de passe sur certains telles que les injections SQL, les failles
la reconnaissance des systèmes comptes-système etc. CSRF, etc.
d'exploitation de ses hôtes et une série
d'informations intéressantes (ports
ouverts, nom de la machine, détection de
ressources partagées,...).
Il est à présent possible de connaître
toute la structure du réseau allant des
machines hôtes aux Access Point Wifi en
passant par les routeurs.
3/2010 HAKIN9 15
Tableau 1. Tableau des sociétés offrant des services sur Audit de sécurité
société adresse web sur le marché depuis tests de pénétration audit de sécurité
16 HAKIN9 3/2010
Conclusion
Un test de pénétration système est un test
à réaliser régulièrement, permettant d’avoir
une estimation sur la sécurité de votre
système d’information. En règle générale,
une société externe prendra en charge
cette tâche car les employés-même
de l’entreprise travailleraient avec une
connaissance de l’entreprise, ce qui n’est
pas adapté à un test vraiment impartial.
Cet article donne les pistes à suivre
pour le commencement d’un test
d’intrusion mais ne peut être un guide pour
l’ensemble des pentest. En effet, les pentest
différent de par les enjeux des données à
protéger, les services qu’il est possible de
trouver sur les machines cibles etc.
N’hésitez pas à régulièrement faire valider
la sécurité de votre système informatique par
des audits de sécurité ainsi que des tests de
pénétration système.
Auteur
Régis SENET est étudiant en cinquième année à l’école
Supérieur d’informatique Supinfo. Passionné par les
tests d’intrusion et les vulnérabilités web, il tente
de découvrir la sécurité informatique d’un point de vue
entreprise. Il s'oriente actuellement vers les certifications
Offensive Security et CEH.
Contact : regis.senet@supinfo.com
Site internet : http://www.regis-senet.fr
Test de
pénétration
Organisation du projet
Degré de difficulté Puisque presque tous les numéros de notre magazine décrivent
les méthodes d'analyse de vulnérabilité, d'identification des
attaques, d'utilisation des fragments de code pour des activités
destructrices, le présent article se concentrera sur la bonne
organisation du projet, à savoir des tests de pénétration. Nous
décrirons les meilleures pratiques relatives à la gestion de projets
de tests de pénétration
D
urant les dernières années, le nom- Voici des exemples de protection (technique)
bre de systèmes et de services infor- permettant d'augmenter le niveau de sécurité :
matiques utilisés dans les entreprises
a considérablement augmenté. Parallèlement • possibilité de travailler avec un système cen-
à l'augmentation des systèmes, la quantité tral d'identification d'informations,
d'informations traitées s'est également agrandie. • possibilité de contrôler les modifications
Comme nous le savons tous, l'information est dans l'utilisation des systèmes d'exploitation,
une des activités les plus précieuses dont les des applications et d'autres types de
entreprises disposent. Pour cette raison, il est logiciel,
important qu'elle soit protégée convenablement. • possibilité de travailler avec le système
Tout le monde attend des systèmes informa- central d'aide à la gestion et à la collecte
tiques qu'ils répondent aux exigences relatives d'informations relatives aux incidents con-
à la confidentialité, à l'intégrité et à la disponibil- cernant la sécurité du système informatique,
ité des informations qui y sont traitées. Voici les • possibilité de gérer de manière centralisée
définitions des termes susmentionnées selon la et à distance des dispositifs de contrôle de
norme ISO/IEC 13335-1:2004 : transmission et d'accès, des modifications
ACL et autres (par exemple, en séparant le
• disponibilité – propriété de ce qui est acces- segment VLAN dédié pour ce type de dis-
CET ARTICLE EXPLI- sible et utilisable à la demande par une entité positifs),
QUE... autorisée, • possibilité de diviser le réseau d'institutions
Comment mener en pratique un • confidentialité – se dit d'une information qui physiquement/logiquement (par exemple,
projet de tests de pénétration
dans votre entreprise, n'est pas rendue disponible ni révélée à des segments VLAN),
comment définir correctement
personnes, des entités ou des processus non • possibilité de créer des copies de sauve-
l'objectif et l'étendue du projet, autorisés, gardes d'informations ; ces copies sont
à quoi faut-il faire attention, • intégrité – la propriété de conserver et gérées et réalisées de manière centrale,
quelles méthodologies utiliser, d'assurer l'exactitude et la complétude d'une • possibilité de se protéger de manière cent-
ce qu'un rapport de tests de information. rale et distribuée (avec une gestion centrale)
pénétration doit contenir. contre les logiciels malveillants comme : vi-
En pratique, répondre aux exigences ci-dessus rus informatiques, vers de réseau, chevaux
CE QU'IL FAUT
SAVOIR... signifie mettre en place des protections tech- de Troie, bombes logiques, etc.,
niques et organisationnelles appropriées dans les • possibilité de surveiller de manière centrale
Vous devez avoir des notions de
base sur la sécurité. solutions conçues. les journaux des opérateurs/des événe-
18 HAKIN9 3/2010
3/2010 HAKIN9 19
20 HAKIN9 3/2010
des mesures appropriés. Standardiser la tront d'effectuer des tentatives d'attaque. amap, xprobe2, sinfp, nbtscan, netenum,
manière de réalisation des tests permet Cette étape commence le plus souvent fping.
également de choisir les prestataires par une collecte passive des informa- À part l'opération de scanne des ports
d'une manière plus souple. Nous ne tions. Nous utilisons ici des requêtes des à l'étape de reconnaissance, nous utilisons
dépendons plus de la même équipe ou ressources Internet disponibles, telles que une série d'outils automatiques pour ana-
entreprise spécialisée dans les tests de noms de domaines, moteurs de recherche lyser la vulnérabilité. Les outils les plus con-
pénétration. Internet, annuaires téléphoniques, groupes nus et les plus souvent utilisés s'appellent
Il est possible de créer notre propre de discussion, profils sur les portails com- Nessus, MaxPatrol et NGS Typhon. Ces
méthodologie de réalisation des tests munautaires, etc. De plus, nous vérifions programmes servent à analyser la sécurité
de pénétration ou d'utiliser l'une des les informations contenues dans les en- du réseau du point de vue de la présence
méthodologies connues conçues par les registrements DNS. des failles ou des erreurs connues dans la
organisations chargées de la sécurité no- Ensuite, nous passons à la collecte configuration du logiciel. Les scanneurs se
tamment : ISACA, ISECOM, OWASP, NSA, active des informations. Cette étape con- prêtent très bien à l'identification des ports
CESG, NIST, WASC, etc. siste le plus souvent à scanner les ports et des services actifs.
Voici quelques méthodologies choisies et à utiliser des outils plus invasifs chargés Les informations collectées à l'étape
pour effectuer des audits des systèmes in- d'analyser la vulnérabilité par exemple en de reconnaissance relatives aux failles
formatiques : employant l'énumération. et aux menaces découvertes permettent
Scanner les ports consiste à faire des d'effectuer une attaque. L'attaque consiste
• Open Source Security Testing Meth- tentatives de connexion sur les ports d'un à préparer un programme approprié (un
odology v 3.0 – méthodologie conçue ordinateur donné afin de lister les services exploit) qui utilise la vulnérabilité détectée.
par l'organisation ISECOM (Institute actifs. L'énumération consiste en revanche Lancer les exploits vise à prendre le con-
for Security and Open Methodolo- à se connecter à un port précis et à faire trôle sur le système ou à bloquer son activ-
gies), une commande permettant d'obtenir des ité (attaque du type DoS). Il existe plusieurs
• Nist 800-42, 800-115 – plan-type informations souhaitées. outils qui lancent automatiquement les
conçu par l'organisation NIST (Nation- Les outils les plus fréquemment uti- exploits mais il ne s'agit que d'outils aux-
al Institute of Standards and Technol- lisés à cette étape sont Nmap, netcat, iliaires.
ogy),
• OWASP Testing Guide v3 – manuel
du testeur de sécurité comprenant Sur le Net
les meilleures pratiques relatives à Organisations chargées de sécurité
la sécurité des applications Web,
• ISACA – Information Systems Audits and Control Association – http://www.isaca.org/,
conçu dans le cadre du projet OW-
• ISECOM – Institute for Security and Open Methodologies – http://www.isecom.org/,
ASP (Open Web Application Security
• OWASP – Open Web Application Security Project community – http://www.owasp.org/
Project), index.php/Main_Page
• BSI Penetration Testing Model – • NSA – National Security Agency – http://www.nsa.gov/.
méthodologie pour réaliser des tests • CESG – http://www.cesg.gov.uk/
proposée par BSI (Bundesamt fur • NIST – National Institute of Standards and Technology – http://csrc.nist.gov/,
Sicherheit in der Informationstech- • WASC – Web Application Security Consortium – http://www.webappsec.org/.
3/2010 HAKIN9 21
22 HAKIN9 3/2010
High-Tech Bridge SA a été fondée à Genève en 2007. Bien que fournissant de multiples
services et solutions relatifs à la Sécurité des Systèmes d’Information, son entreprise
principale demeure l’Ethical Hacking et le test de pénétration. Depuis sa création,
High-Tech Bridge a acquis plus de 50 clients majeurs en Suisse et à l’étranger.
H
igh-Tech Bridge se distingue Multilateral Partnership Against Cyber grandes entreprises. High-Tech Bridge
des autres sociétés de Sécurité Threats), qui regroupe les efforts de 193 facture sur la base d’un taux jour-homme
Informatique de par son niveau pays dans leur lutte contre les menaces fixe. Néanmoins, il est possible d’établir
élitiste d’expertise technique, son équipe informatiques, permet par exemple à High- des offres spécifiques aux besoins de
Suisse de confiance, son large réseau de Tech Bridge de communiquer directement clients particuliers, lesquelles sont alors
partenaires rigoureusement sélectionnés avec les dirigeants de l'industrie de la délimitées par un nombre de jours précis
et la planification exemplaire de ses sécurité des systèmes d’information et ou un coût global contractuel. Un test de
projets personnalisés. les représentants des différentes autorités pénétration peut être réalisé sous 5 jours
Le plus haut niveau d’expertise gouvernementales. en pure Black Box tout comme il peut l’être
technique d’High-Tech Bridge repose Les experts de High-Tech Bridge en 5 semaines avec une méthodologie
sur son département de Recherche & sont des citoyens suisses de réputation White Box incluant une revue de code.
Développement, lequel regroupe en une irréprochable et disposant de plus de Généralement, les clients choisissent une
seule équipe les plus grands experts en 10 ans d’expérience dans le domaine solution intermédiaire de type Grey Box.
Sécurité Informatique et des White Hat de la sécurité informatique. Leurs clients Parallèlement aux tests de pénétration
Hackers répartis sur toute la planète. peuvent vérifier l’identité de chacun et à ses audits de sécurité, High-Tech
Chercher et découvrir de nouvelles des intervenants ayant accès à des Bridge propose des services d’aide à
vulnérabilités, coder de nouveaux Exploits données confidentielles ou privées durant la reprise d’activités après incident et
0-Day et développer ses propres outils chaque test de pénétration et audit de d’investigation numérique. Ses experts
permettent à High-Tech Bridge de sécurité. Habituée à intervenir dans des en sécurité peuvent notamment effectuer
conserver constamment une longueur environnements extrêmement confidentiels, des enquêtes complexes permettant de
d’avance sur toute norme de sécurité et l’équipe a déjà été contrainte d’exercer sous découvrir la source réelle d'une attaque
autres systèmes d’évaluation automatisée surveillance vidéo et dans des bunkers lorsque les pirates ont pris le soin de
de la sécurité ou de détection de souterrains de certains clients accordant dissimuler leur identité en effectuant
vulnérabilités. La sécurité par la recherche une importance capitale à leur patrimoine de multiple rebonds sur différentes
et la prévention est la philosophie sur informationnel. À la fin de chaque projet, machines préalablement compromises.
laquelle s’appuient ses tests de pénétration. toutes les informations relatives au client Cette prestation particulière est de plus
Son équipe découvre les vulnérabilités sont restituées et les données résiduelles en plus sollicitée. Par ailleurs, High-
avant les Hackers, et y remédie avant les de l’audit sont irréversiblement détruites. De Tech Bridge surveille constamment les
développeurs concernés. même, chaque mandat commence par un ressources communes à de nombreux
High-Tech Bridge coopère avec solide accord contractuel sous forme de Hackers dans le but de rester informée
diverses sociétés de sécurité et de NDA (Non Disclosure Agreement) mutuel, sur la communauté Underground.
multiples fournisseurs de logiciels pour permettant d’assurer l’absolue confidentialité Pour tout complément d’information,
élaborer les meilleures solutions proactives des données de leurs mandants. n’hésitez pas à consulter le site WEB
et permettre une diffusion optimale des La planification de leurs projets est officiel de High-Tech Bridge:
correctifs sécuritaires. Un partenariat flexible et convient parfaitement aux http://www.htbridge.ch.
stratégique avec IMPACT (International besoins spécifiques des moyennes et
3/2010 HAKIN9 23
La vulnérabilité
Cross Site
Request Forgery
Degré de difficulté Cet article explique la vulnérabilité Cross Site Request Forgery,
nom que nous abrègerons indifféremment en CSRF ou XRF dans
toute la suite du document. Nous reviendrons d’abord sur une
méthode qui a été utilisée pour prendre le contrôle d’une box grâce
à l’exploitation de la vulnérabilité Cross Site Request Forgery. Nous
expliquerons ensuite, à titre anecdotique, en quoi consisterait une
attaque de type drive by pharming.
Aujourd’hui, internet s’est très largement la victime. Bien qu'elle soit aujourd’hui encore très
développé dans les foyers français. Seize peu médiatique et assez peu documentée sur
millions et demi de foyers - estimation au 30 le Web, elle fait en 2007 une entrée fracassante
Septembre 2007, selon l’Arcep - possèdent dans le classement de l’OWASP ("Le top 10 de
une connexion internet, qui, pour la plupart l'Owasp fournit des méthodes de base pour se
s’étend à l’offre télé/téléphone. Par ailleurs, pour protéger contre les vulnérabilités" Sébastien Gioria,
connecter plusieurs machines et gagner en le président du bureau français de l'Owasp).
mobilité, les utilisateurs choisissent souvent le Très facile à mettre en place, elle obtient un
mode wifi. Le mode wifi permet la transmission taux de réussite très impressionnant et peut,
des données par ondes radio autour d'un point par conséquent, être à l’origine d’attaques très
d’accès ; ainsi, plusieurs ordinateurs peuvent compromettantes. Le CSRF se mène de n’importe
être connectés simultanément. Néanmoins, où, par n’importe qui sous réserve de quelques
ces ondes sont captables par un ensemble de connaissances fondamentales.
machines espionnes placées à une distance Le principe est simple : le navigateur de la
CET ARTICLE raisonnable. Guillaume Valadon, dans son article victime est forcé d'envoyer une requête silencieuse
EXPLIQUE... Tour d’horizon du wifi à Paris (MISC janvier/février vers un site où elle possède un accès privilégié.
La vulnérabilité XRF, les 2008), explique que dans les 5emes et 13èmes Ainsi, la confiance qu’un site attribue à l’utilisateur
paramètres d'URL, la force
de la balise img, les détails arrondissements de Paris on compte entre 3107 est détournée.
d'anciennes attaques pour la et 5090 points d’accès sans fil par kilomètre
compromission d'un routeur
personnel, la notion de drive by carré. L'omniprésence de ces box donne une Les paramètres d'URL
pharming légitimité à cette cible. La configuration du réseau Toutes les URL ne servent pas uniquement à
Nous allons revenir sur ces que nous allons étudier est la configuration adresser une page ou un site Web. D'autres, qui
attaques qui ont pu défrayer
la chronique des scandales il
minimale, la plus repandue, à savoir une box, des font appel aux paramètres d'URL permettent
y a quelque temps mais qui, ordinateurs connectés à cette box qui sert de d'exécuter une action. Un paramètre d’URL est
même si elles sont aujourd’hui
souvent avortées, pourraient
passerelle du réseau local vers le réseau internet. un binôme nom/valeur qui ajouté à la fin de l’URL
certainement ressurgir un jour Nous verrons comment prendre possession d'un après un point d'interrogation, permet de donner
ou l’autre.
routeur personnel en exploitant une faille du type des valeurs précises aux paramètres. Chaque
CE QU'IL FAUT Cross Site Request Forgery. valeur correspond à une action particulière. Par
SAVOIR... exemple, une requête vers l’URL
Notions sur le développement XRF, une faille de niveau applicatif http://www.parametredurl.com/exemple/para
web et les protocoles applicatifs, Le Cross Site Request Forgery est un type de faille metre.php?compte=4593028492&versement=1&
idées sur le fonctionnement du
protocole HTTP de niveau applicatif ; elle exploite le navigateur de somme=10000& compte2=544789375
24 HAKIN9 3/2010
peut correspondre au versement de – fonctionnement normal -. Dès lors, le la taille du cadre. Si nous créons un
la somme de 10000 euros du compte navigateur enverrait une requête vers cadre de taille nulle, nous pourrons,
4593028492 vers le compte 544789375. l'URL piégée sans que l'utilisateur ne s'en comme précédemment, appeler une
Une action passe par la modification d’un aperçoive (cf. Figure 2). URL piégée, de façon transparente.
paramètre et donc la modification de • Un script dans un mail Ce script
l'URL. La requête avec la nouvelle URL Un piège bien maquillé pourrait lancer la connexion vers une
est envoyée au serveur qui commande Si la balise image est un outil puissant, autre page.
l'exécution de l'action, sous réserve que la requête peut être cachée de diverses • Une url vers un site piégé contenant
l'expéditeur soit identifié et authentifié. façons : des images cachées (ou des
L’idée directrice de la faille CSRF est de IFRAMES intégrés) qui effectuent des
piéger la victime en faisant appel à ce • Une balise img dans un mail requêtes. Le nom du site peut être
genre d’URL. Car, lorsque la victime suit un Cependant, un obstacle subsiste. caché en utilisant un lien hypertexte.
lien avec une URL piégée vers un site où Certains webmail ou logiciels de • Une URL piégée - qui effectue l’action
elle a des privilèges particuliers, elle peut messagerie désactivent par défaut souhaitée - mais cachée par dans
exécuter une action, sans s'en apercevoir. le téléchargement automatique un lien hypertexte. Dès lors, lorsque
Il s’agit donc de proposer un lien des images afin d’avorter ce genre l’utilisateur suit le lien hypertexte, il
malicieux à la victime mais de le d’attaque (cf. Figure 3). Lorsque effectue lui-même la requête.
déguiser afin qu’elle fasse une requête la victime consulte ses mails, ces
involontairement. logiciels de messagerie lui proposent Grâce à l'une de ces méthodes, il sera
d’afficher les images. Par défaut, donc possible au pirate de maquiller
La force de la balise img l’utilisateur affiche souvent les images, sa requête afin que la cible exécute une
Le langage HTML est un langage de surtout si le sujet l’intéresse. action sans s'en apercevoir. Voyons quels
balisage qui permet de décrire la mise en • Un cadre intégré IFRAME IFRAME est risques encourent la victime et comment
forme des objets sur une page Web. Il est une balise html qui "est utilisée afin peut se présenter une telle attaque.
directement interprété par le navigateur d’insérer dans une page HTML un autre
(Internet Explorer, Firefox, Safari…). document HTML (définition CERTA au Un scénario d'attaque
Lorsque ce dernier trouve une balise img, 17/07/2008)". Les paramètres sont Un utilisateur est connecté sur le site de
il procède au téléchargement de l’image. l’URL du document HTML à insérer et sa banque, afin de voir l’évolution de ses
Par exemple, pour le code
<img src=http://
www.sitedefectueux.com/image/
exemple.gif>
3/2010 HAKIN9 25
Figure 3. Certains webmails, comme Gmail n'affichent pas les images afin de protéger les utilisateurs de ce vecteur d'infection
26 HAKIN9 3/2010
bouton pour envoyer les paramètres à un Pour piéger quelqu’un avec cette méthode, La réponse au premier problème est
fichier. Les variables envoyées sont : l’option il convient de connaitre le modèle exact quasi-immédiate, il suffit de découvrir son
choisie (ici, le cryptage en WEP), le SSID du du routeur de la victime, se le procurer SSID, ce qui est très facile avec des outils
réseau, le niveau de sécurité ainsi qu’une et l'étuder de manière pointue afin de comme aircrack.
variable demandant si le filtrage MAC est découvrir, grâce aux méthodes proposées Pour le problème identification/
activé. Nous pouvons facilement capturer ci-dessus, les paramètres utiles et leur authentification, il convient de remarquer que
l’adresse appelée en utilisant un ajout de valeur. les box sont livrées avec un mot de passe
Firefox appelé Tamper Data, ou utiliser http Voici quelques problèmes qui par défaut, très rarement modifié. Par ailleurs,
headers - Ce module complémentaire susceptibles de survenir dans la quasi il est possible de s'identifier sur une page
permet de capturer l’ensemble des requêtes totalité des cas : grâce à une URL avec la syntaxe suivante:
http émises. C'est vers ce type d'URL que la http://login:motdepasse@nomdusite. Si
cible devra faire une requête, permettant ainsi • Il faut connaitre le SSID du réseau WIFI nous intégrons, avec cette méthode, les
le non chiffrement des dialogues AP/station. à piéger mots de passe et nom d’utilisateurs par
L’analyse du résultat proposé par • L’accès à la zone d’administration est défaut dans l’URL piégée, nous aurons
http header permet de connaître tous filtré avec un couple nom d’utilisateur/ résolu le deuxième problème.
les paramètres importants ainsi que la mot de passe. A titre d’information, le site internet
valeur qu’il faut leur attribuer pour enlever le • Une protection propre à firefox mag-securs, spécialisé dans la sécurité
chiffrement des données sur une box qui demande une validation pour se informatique expliquait le 26 Janvier 2009
ne nous appartient pas. connecter à ces URL mais, intégré qu’une telle faille était exploitable sur les
Il est important de noter que toutes les dans une page HTML cette protection routeurs Siemens ADSL SL2-141. Car, pour
box fonctionnent de manière différente. disparait. faire face à cette attaque, les routeurs de
P U B L I C I T É
28 HAKIN9 3/2010
Olivier Franchi et Paolo Pinto sont Directeurs Associés de Sysdream depuis 2007. Co-fondateur, Paolo Pinto
est expert certifié en sécurité informatique, il est le Directeur Technique de Sysdream. Olivier Franchi, directeur
commercial, est issu du milieu industriel des produits et services destinés aux SI.
Pouvez-vous nous présenter Sys- vulnérable aux attaques. Pouvez- Quelles sont les mesures à pren-
dream et son activité ? vous nous expliquer comment se dre pour assurer la sécurité opti-
Sysdream est un cabinet de conseil passe un tel test d'intrusion ? male de son SI ? Est-il nécessaire
& d'audit en sécurité informatique, de L'idée principale d'un test d'intrusion est de former des personnes respon-
développement sécurisé et de formation. de se mettre en condition réelle d'attaque sables pour les applications de
Spécialisé dans l'audit, de plus en plus de afin de mettre en évidence les points de mesures de sécurité ?
clients nous contactent pour la formation faiblesse de l'infrastructure cible. En fonction Comme tout art ou technologie, il est
d'administrateur, d'analyste ou d'expert des informations et des demandes que le souvent nécessaire de les comprendre
en sécurité informatique, véritable point client fournit à nos équipes, les consultants pour pouvoir les utiliser au mieux. Même
central aujourd'hui, de la fiabilité des s'appliquent à effectuer divers tests durant avec des outils perfectionnés, les logiciels
modèles économiques. une période que le client a définie : scanner offrant une sécurité prêt à l'emploi perdent de
de services et de vulnérabilités, social leur efficacité avec une personne néophyte.
Sysdream mise sur les recher- engineering et reversing d'applications princi- C'est la principale raison du succès de
ches pointues dans les processus palement. S'en suit alors un rapport complet nos formations. L'homme est bien souvent
de sécurité en entreprise. Quelle détaillant le travail des consultant, les failles le seul capable d'analyser et de prédire un
est votre mission dans le dévelop- détectées et les corrections à apporter. événement malheureux dans son SI.
pement ?
Tout le monde ne peut s'improviser expert Quels types d'interventions Sysdream propose des forma-
en sécurité informatique et la constante propose Sysdream en matière tions en sécurité. Qui sont vos
évolution des technologies et des logiciels d'audit de sécurité ? formateurs et à qui s'adressent
impose bien souvent un risque grandissant Il y a plusieurs types d'audit de sécurité vos formations ?
pour les entreprises. Ce constat nous pratiqué par Sysdream. L'audit technique, Nos formateurs sont nos consultants,
a poussés à investir nos recherches sur qui désigne généralement le test chacun étant expert dans un domaine
l'amélioration d'outils visant à transférer notre d'intrusion et l'audit organisationnel qui particulier. Ils alternent audits et formations
expertise dans certains domaines comme permet d'analyser la politique de sécurité afin de rester en permanence au faîte des
Syclop, un outil de test de pénétration évolué globale de l'entreprise. Concernant l'audit dernières techniques et des méthodologies
ou encore Sysghost, un système de ghost technique, il existe plusieurs types de test des hackers, ceci pour proposer aux
sécurisé permettant l'analyse forensic et d'intrusion. Le premier, le plus demandé stagiaires une formation complète au
l'acquisition de data, via le réseau. De plus, par les clients, est la Boîte Noire. Le plus proche de la réalité. Les formations
nous participons au perfectionnement des client désigne simplement la ou les s'adressent à un public professionnel
solutions actuelles avec la recherche des infrastructures qu'il souhaite tester sans en relation directe avec les nouvelles
vulnérabilités sur les logiciels grand public nous donner plus d'information. Nos technologies. La sécurité, si longtemps vue
ou l'approfondissement de nos supports consultants se mettent alors dans la peau comme une spécialité réservée à quelques
de cours pour nos stagiaires. Sysdream des hackers et identifient puis testent un cas précis, est aujourd'hui devenue
est labellisée JEI depuis 2009 grâce à ses maximum de vulnérabilités connues ou primordiale face à l'espionnage industriel, la
efforts dans le domaine de la recherche de non. Le second type de test d'intrusion cyberdélinquance et les failles de sécurité
vulnérabilités. est la Boîte Blanche. Ici, nous opérons lors du développement ; en résumé, nos
avec la participation complète du client. formations s’adressent à tous ceux qui
Les tests de vulnérabilités et tests Avec un plein accès aux informations de sont confronté à ces problèmes, de près,
d'intrusions permettent de savoir l'infrastructure, nous analysons alors en ou de loin.
si l'entreprise est potentiellement détails la politique de sécurité du client. www.sysdream.com
3/2010 HAKIN9 29
Les
keyloggers
Une menace sérieuse
Degré de difficulté
P
lusieurs méthodes permettent à un Bien que dans certains cas, d'autres méthodes
attaquant de récupérer des données saisies puissent être employées, les keyloggers sont de
par un utilisateur (informations utilisateur, e- plus en plus utilisés par la médecine légale dans
mails, coordonnées bancaires…). Un attaquant le cadre des affaires criminelles. Dans ce dernier
peut alors transférer de l'argent du compte de cas, leur utilisation est justifiée.
sa victime vers son propre compte bancaire ou Mais malheureusement, les keyloggers sont
mener d'autres actions frauduleuses. « détournés » de leur fonction première à des fins
Dans le cadre de cet article, nous aborderons frauduleuses. En règle générale, ces affaires font
l’utilisation des keyloggers matériels avant de nous la une de la presse. Les keyloggers permettent
intéresser aux différentes méthodes et outils pour notamment aux attaquants de subtiliser des
s'en prémunir. données confidentielles telles que les mots de
passe, noms d'utilisateur, données internes à
Présentation une entreprise, coordonnées bancaires... pour les
Un keylogger est une solution matérielle ou revendre à des organisations criminelles ou pour
logicielle qui permet d'enregistrer l’ensemble menacer leurs victimes en échange de rançons.
des données saisies par un utilisateur (Voir Différents modèles de keyloggers existent sur
Figure 1). le marché, toutefois ils peuvent être divisés en deux
De nombreuses raisons peuvent expliquer grandes catégories : les keyloggers logiciels et les
l’utilisation d’un keylogger. Les fabricants de ce type keyloggers matériels.
de logiciels/matériels [1] [2] [3] [4] les emploient de Dans le cadre de cet article, nous nous
CET ARTICLE
EXPLIQUE... manière légale : intéresserons à la seconde catégorie, celle des
keyloggers matériels.
Ce que sont les keyloggers,
leurs menaces potentielles et • pour faire une copie d'éléments de preuve
leur principe de fonctionnement. dans le cadre d'une enquête Keyloggers logiciels
Comment protéger votre • pour faire une copie de documents sensibles Les keyloggers les plus sophistiqués disposent de
entreprise de ces menaces.
en cas de crash système ou matériel plusieurs fonctions, parmi lesquelles l'enregistrement
Ce à quoi vous pouvez vous
attendre dans le cadre des • pour surveiller l’accès aux contenus des frappes clavier. En règle générale, il est possible
développements futurs. pornographiques et protéger les enfants de réaliser des captures d'écran de la machine
• pour surveiller les possibles abus d’employés cible puis de s’authentifier sur le programme pour
CE QU'IL FAUT
SAVOIR... pendant leur temps de travail consulter les données enregistrées. Aujourd'hui, la
• pour servir de support aux détectives privés et plupart des keyloggers autorisent la transmission
Aucune connaissance préalable
n'est requise. experts en sécurité automatique des fichiers logs vers des adresses
30 HAKIN9 03/2010
mails ou serveurs web. D'autres keyloggers L'un des points particulièrement forts des non-volatile de type EEPROM ou FLASH. La
permettent d'enregistrer la voix, les flux vidéo keyloggers matériels est l'enregistrement de capacité mémoire de ce type de supports
sur webcams ou les données saisies par l'ensemble des données dès le lancement est relativement faible (512ko et 4Mo) mais
l'utilisateur (les keyloggers utilisés pas les de l'ordinateur, sans être détectés par les amplement suffisante pour enregistrer
pirates intègrent généralement des rootkits anti-virus ou anti-spywares. Il est donc des données texte. Il existe également des
et d'autres programmes malveillants pour possible de récupérer des mots de passe modèles PS/2 et USB. Vous n'avez donc pas
exploiter les données de l'utilisateur ; il s'agit cryptés sur le système cible ou à partir du à vous soucier de cet aspect lorsque vous
alors d’applications « hybrides ». BIOS. L'utilisation de keyloggers matériels branchez l'appareil au clavier (Voir Figure 7).
L’un des principaux défauts des est discrète et ne provoque pas l'affichage Les claviers fonctionnent tous à peu
keyloggers logiciels est leur manque de de messages d'avertissement à l'écran de près de la même manière. Toutes les
discrétion, ils sont facilement repérables. l'utilisateur. À noter également que ce type touches sont répertoriées sous la forme
Les keyloggers logiciels exécutent des de keyloggers est indépendant du système d'une matrice. Chacune a soit le statut
programmes sur la machine cible et d'exploitation utilisé. Windows, Linux/ key down (touche enfoncée), soit key freed
laissent plus ou moins de traces selon UNIX, Mac OS, Solaris n'offrent aucune (touche libérée). Un microcontrôleur, appelé
le système. Par ailleurs, les keyloggers protection contre les keyloggers matériels. encodeur de clavier, détermine le statut de
logiciels se lancent au démarrage Les keyloggers matériels ont également chaque touche et transmet l'information à
du système d'exploitation ou après l’avantage de récupérer les données saisies l'ordinateur par scancode. La carte mère
authentification à l'écran d'accueil Windows. par l’utilisateur sans laisser de traces (Voir possède un contrôleur clavier qui récupère
Il est donc impossible d'enregistrer des Figure 4). ces données, les décode et les transmet
mots de passe du BIOS, informations de Avec des keyloggers matériels sans fil au système d'exploitation ou au logiciel [9].
connexion au démarrage de Windows ou ou Bluetooth [8], l'attaquant doit disposer Le protocole PS/2 est un protocole
des partitions cryptées de type TrueCrypt. de plusieurs points d'accès à la machine simplifié, compatible avec tout type
même si un seul point d’accès physique de claviers. Même si l'USB tend à le
Keyloggers matériels est suffisant. En clair, vous ne pouvez pas remplacer, ce protocole est toujours utilisé
Les keyloggers matériels sont moins utilisés envoyer de logs vers une ou plusieurs dans le monde entier.
que les keyloggers logiciels, mais leur adresse(s) mail(s) (Voir Figure 5). La norme USB est gérée de manière
portée est beaucoup plus dévastatrice. Autre désavantage, tous les claviers plus complexe, mais les touches clavier sont
Contrairement aux keyloggers logiciels, ne sont pas supportés et le fichier log enregistrées sans difficulté. Généralement,
les keyloggers matériels doivent être peut être corrompu ou incomplet. les données sont d'abord récupérées avant
branchés physiquement à la machine L'analyse peut être longue et difficile. d'être recopiées sur le support.
cible. En général, cette catégorie de Bien que toutes les frappes claviers soient Outre les multiples possibilités de
keyloggers est branchée entre le clavier et enregistrées, rien ne permet d'indiquer connexion et d'enregistrement des frappes
l'ordinateur (en externe). L'installation se fait la provenance (site Web, formulaires, clavier, de nombreux keyloggers disposent
donc en seulement quelques secondes document Word, Tchat, banque...) des de fonctionnalités de cryptage, horodatage
sans configuration préalable, ce qui permet données capturées. Il est donc difficile de et communications sans fil.
même aux débutants d'utiliser ce type faire la différence entre données sensibles Le cryptage des données est utilisé
de matériel (Voir Figure 2). Le keylogger ou non (Voir Figure 6). Par ailleurs, le prix comme méthode de protection lors
s'adapte parfaitement aux claviers avec de ce type de matériel est coûteux et d'un accès frauduleux à une page non
ports PS/2 ou USB sur l'ordinateur. dépend des fonctionnalités d'installation/ autorisée (détection/analyse).
Il en existe même qui sont intégrés désinstallation recherchées. Selon l’objectif visé, les keyloggers
directement aux claviers [6] ou aux qui disposent de fonctions timestamping
commutateurs KVM (clavier, carte vidéo, Implémentation et modèles peuvent être utilisés pour des enquêtes ou
souris) tandis que d'autres sont reliés La plupart des keyloggers sont fournis pour analyser l’utilisation des ressources
directement à la carte mère, généralement avec un microcontrôleur et une mémoire en période de temps de travail.
PCI [7] (en interne) (Voir Figure 3).
03/2010 HAKIN9 31
Scénarios
Les keyloggers matériels sont une véritable
menace. Ils peuvent être utilisés avec
d'autres attaques pour compromettre un
système informatique.
L'objectif est généralement d'obtenir Figure 4. KeeLog USB KeeLogger TimeKeeper
des informations avant de poursuivre
une attaque. Parfois, il suffit à l’attaquant
d’obtenir un seul mot de passe utilisateur
pour perpétrer une attaque à grande
échelle. Ce principe se retrouve sur
les sites Web, forums, réseaux sociaux
et autres sites apparentés. Ces sites Figure 5. Mise en place d'un Keylogger Bluetooth [8]
contiennent généralement des données
dites sensibles.
32 HAKIN9 03/2010
Si la limitation de l'accès physique est sera plus facilement détecté parmi tous les sensibles et mots de passe. Un clavier
difficile à mettre en œuvre, il est toujours branchements à l’ordinateur. virtuel existe par défaut sous Windows XP
possible de sécuriser les connexions de Bien que l'auteur n'ait pas trouvé (Démarrer >Tous les programmes >Acces
l’ordinateur. Lorsque les connexions PS/2 de keyloggers qui fonctionnent en tant soires >Accessibilité > Clavier visuel) (Voir
et USB ont été correctement paramétrées, il qu'adaptateurs, rien ne prouve qu'il n'en Figure 14).
est difficile de brancher un autre appareil. existe pas. Dans ce cas, la souris est utilisée
Si un attaquant n'a pas accès à Autre recommandation : utiliser les pour entrer les informations à l’écran.
l'ordinateur, ni aux connexions, il cherchera claviers virtuels pour la saisie de données Les keyloggers matériels ne peuvent
à s'attaquer au clavier. Sur le clavier (et les
boîtiers d'ordinateurs) des scellés peuvent
être ajustés, semblables à celles qui sont
sur les portables et les disques dur.
D'autres mesures plus onéreuses
existent, comme les CCTV ou gardiens de
sécurité.
Les keyloggers matériels ne sont pas
détectés par les logiciels ; par conséquent,
une inspection visuelle est recommandée.
Les fils clavier/souris sont à disposer de
manière à procéder plus rapidement
à l'inspection. Il en va de même pour
les scellés présents sur le clavier et
l'ordinateur.
Il est également recommandé de ne
pas utiliser de convertisseurs PS/2 et USB,
ni de rallonges, qui pourraient s'apparenter
aux keyloggers matériels. Ainsi, un keylogger
Figure 9. Keylogger Bluetooth - PS/2 [8] Figure 11. Logiciel KeeLogs - Récupérer les fichiers logs
03/2010 HAKIN9 33
Conclusion
Figure 12. Avant/Après (Keylogger sans fil) Nous vous avons donné un bref aperçu
des techniques utilisées sans tomber dans
l'exhaustivité. Ces attaques sont faciles à
mettre en œuvre et peuvent provoquer de
lourds dégâts. Bien que peu utilisés, les
keyloggers matériels représentent une
vraie menace pour les entreprises et les
particuliers.
Il existe plusieurs contre-mesures
dont certaines sont faciles à mettre en
œuvre pour réduire considérablement les
risques. N'oublions pas que la formation
Figure 13. Keyghost USB - Keylogger [4]
des employés joue également un rôle
primordial et qu’un utilisateur averti en vaut
deux !
Michael R. Heinzl
Michael R. Heinzl est un expert en sécurité informatique
depuis plusieurs années et se spécialise dans les tests
d'intrusion et les techniques de rétro-ingénierie.
Vous pouvez le contacter directement à partir de son site
www.awesec.com ou sur le site de sécurité autrichien
Figure 14. Clavier virtuel Microsoft Windows XP www.defense.at.
34 HAKIN9 03/2010
La sécurité
périmétrique
avec Checkpoint
Degré de difficulté Nous vous présenterons, d'une manière générale, les moyens
techniques à mettre en œuvre pour réaliser une sécurité
périmétrique efficace avec l'un des équipements Checkpoint.
Cette sécurisation passe par la mise en place d'un pare-feu. Nous
parlerons de la technologie Checkpoint, leader dans la sécurité
périmétrique auprès des plus grandes organisations, comme des
banques.
L
a sécurité périmétrique est aujourd'hui une qui est une technologie leader sur le marché et
composante essentielle à la sécurité d'une qui protège les plus grandes organisations dans
infrastructure. Cette sécurité passe par le monde.
la mise en place d'un pare-feu (ou firewall). De
nombreux constructeurs sont présents sur ce Rappel sur les pare-feux
créneau, tels Cisco, Checkpoint ou encore Juniper. Un firewall est un équipement physique de sécurité
Nous traiterons ici de la technologie Checkpoint réseau qui permet de filtrer le trafic entre différents
Clusters de
firewalls
CET ARTICLE Checkpoint
EXPLIQUE...
Comment fonctionne la
technologie Checkpoint.
CE QU'IL FAUT
SAVOIR...
Quelques notions sur le
fonctionnement d'un firewall. Figure 1. Schéma de principe d'une architecture Checkpoint
36 HAKIN9 3/2010
réseaux. Les firewalls réseau actuels sont encore plus accrue, il est même conseillé montrant une architecture Checkpoint
stateful, c'est-à-dire qu'ils conservent d'avoir deux barrières firewalls avec des de base.
toutes les sessions dans une table. C'est versions différentes, voire de constructeurs La flèche rouge représente les flux
bien plus efficace que du simple filtrage différents. Les firewalls Checkpoint ne d'administration alors que la flèche bleue
de paquets proposés sur des routeurs s'administrent pas directement en se représente le flux qui installe la politique
utilisés avec des access lists. Nous n'irons connectant dessus en SSH ou HTTP. Il sur les firewalls. Les firewalls se gèrent
pas plus loin dans la définition d'un firewall faut installer sur un serveur à part, une à travers le serveur et non pas en s'y
car nous partons du principe que vous station de management. Cette station connectant directement.
avez les bases dans ce domaine. Notre est la SmartCenter qui tourne, elle aussi,
but est de vous présenter les principes de sur différentes plates-formes (Windows, La console d'administration
la technologie Checkpoint. Solaris ou Secure Platform). La figure La console d'administration Checkpoint
1 représente un schéma de principe est accessible avec un client appelé
L'architecture Checkpoint
Avant toute chose, il convient d'expliquer
un peu l'architecture Checkpoint qui est
un peu particulière. Checkpoint est en fait
un UTM (Unified Threat Management),
c'est-à-dire une appliance qui dispose
de plusieurs fonctionnalités de sécurité
comme le pare-feu réseau, l'IPS, le VPN
SSL ou encore le filtrage d'URL. Depuis sa
création, Checkpoint est majoritairement
utilisé comme pare-feu, ce qui en fait
sa force. Il est aussi beaucoup utilisé
pour sa fonctionnalité VPN site à site. La
couche firewall Checkpoint est installée
sur une plate-forme. Elle s'installe soit sur
une plate-forme de type Windows, soit
Solaris, Secure Platform ou encore Nokia Figure 2. Console d'administration Checkpoint
IPSO. Secure Platform est un OS fondé
sur une Red Hat Linux développée par
Checkpoint. Les plates-formes Windows,
Solaris et Secure Platform ne sont en fait
que de simples serveurs. Nokia IPSO est
un OS s'appuyant sur FreeBSD qui tourne
sur une appliance. Mais depuis le rachat
de Nokia par Checkpoint, un nouvel OS
IP Publique: x.x.x.x.
issu de la fusion entre IPSO et Secure
Platform est en cours de développement.
Cet OS s'appelle Gaia. Par expérience,
DMZ Publique
les firewalls les plus performants sont
ceux tournant les plates-formes Nokia
IPSO. Puisque les firewalls Checkpoint
protègent généralement de grandes Clusters de
firewalls
organisations, ils sont redondés. Deux Checkpoint
barrières de firewalls (une barrière en
frontend et une en backend) sont aussi
relativement souvent rencontrées. C'est
ce qui s'appelle faire de la sécurité en
IP Privée
profondeur. En effet, si un pirate arrive 192.168.0.1
à pénétrer les DMZ publiques qui sont
derrière la première barrière de firewall, il
y a encore une autre barrière de firewall
à pirater, ce qui complexifie énormément
la tâche des pirates. Pour une protection Figure 3. Static Source NAT
3/2010 HAKIN9 37
LAN
Le NAT
Chez Checkpoint, il existe trois types de
NAT :
La redondance
Comme indiqué plus haut, il est important
Figure 5. Hide NAT d'avoir un cluster de firewalls pour la
38 HAKIN9 3/2010
Le Troubleshooting
SmartView Tracker
Afin de troubleshooter les flux transitant
dans le firewall, l'utilitaire SmartView Tracker
de Checkpoint est extrêmement efficace. Il
permet de consulter tous les logs du
firewall. Vous pouvez observer un aperçu
sur la figure 6.
Fw monitor
Fw monitor est un utilitaire propriétaire
Checkpoint qui équivaut un peu à tcpdump
Figure 6. SmartView Tracker sous Unix. C'est un outil très efficace pour
récupérer des traces réseau et analyser
des requêtes.
Exemple d'architecture
Checkpoint
La figure 7 représente un cas réel
d'exemple d'architecture Checkpoint.
Routeur Routeur Les firewalls Checkpoint sont
opérateur 1 opérateur 2 positionnés derrière des IPS réseau, eux-
mêmes disposés derrière les routeurs
Internet. Les firewalls sont configurés en
cluster et sont directement connectés au
cœur de réseau de la société.
Frontend
DMZ Publique
Conclusion
Nous venons de voir uniquement les
interco
bases de la sécurité périmétrique avec
Checkpoint et pourtant, la performance de
cette technologie et ses très bons outils de
Backend
troubleshooting semblent évidents.
LAN
DMZ Management
À propos de l'auteur
L'auteur travaille en tant qu'ingénieur sécurité chez
SmatrCenter Dimension Data Luxembourg. Son métier consiste en la
conception, la mise en œuvre et le support d'architectures
de sécurité pour des clients grands comptes. Diplômé
d'un Master en « Sécurité Informatique » à l'EPITA à Paris,
il se passionne pour les technologies de sécurité de
Figure 7. Exemple d'architecture Checkpoint l'information.
3/2010 HAKIN9 39
Intrusion et
exploitation d'un
réseau mal sécurisé
Souvent au cœur des polémiques, le protocole Wired Equivalent
Degré de difficulté
Privacy reste implémenté par défaut dans la plupart des routeurs
domestiques, voire des entreprises peu soucieuses de la sécurité de
leurs systèmes d'information. Cet article propose un nouveau tour
d'horizon du fonctionnement de ce protocole et de ses faiblesses.
L'approche se veut didactique afin de comprendre en profondeur les
différentes étapes de la compromission d'un réseau peu sécurisé.
N
ous nous concentrerons dans une sorte que seule une machine possédant la clé
premiere partie sur le contrôle d'un point puisse comprendre le message. Néanmoins,
d'accès à chiffrement faible. Celui-ci, au ce protocole de chif frement possède plusieurs
mieux, utilise un protocole de chiffrement de type failles le rendant vulnérable. Dès lors, des outils
WEP – Wired Equivalent Privacy –. se sont développés en vue d’exploiter ces failles.
Après avoir compris les problèmes intrinsèques
Le chiffrement au protocole, nous allons étudier l’utilisation de
Wired Equivalent Privacy l’un de ces outils, la suite Aircrack–ng – open
Que ce soient les particuliers avec les box source – utilisée avec une distribution de linux
ou les entreprises avec des routeurs plus spécialisée dans l'analyse réseau et les tests
professionnels, tous ont souvent recours à des d'intrusion : Backtrack .
points d'accès sans fil Wifi pour des questions
de mobilité. Dans le cas des particuliers, le wifi Les Beacons
est souvent fourni par défaut et activé dans Un point d'accès envoie de façon régulière
les box avec un chif frement faible : WEP. Pour et rapprochée – en moyenne toutes les 0,1
introduire l'étonnante actualité de cet article secondes – des trames de balisage. Celles-ci,
sur l'éternel sujet de la sécurité du WEP, une nommées beacons, permettent à une station qui
étude menée à Paris démontre que 41% des pénètre dans la zone d'émission du point d'accès
box ont un chif frement WEP, 47% un chif frement de connaître son existence, ainsi que certains
CET ARTICLE WPA et 12% sont non sécurisées. Cette étude paramètres de la cellule Wifi – en général : SSID,
EXPLIQUE... est publiée dans l'article Tour d'horizon ESSID, la liste des débits ainsi que les modes
Le fonctionnement détaillé du du wifi à Paris, MISC Janvier/Février et les méthodes d'authentification – En écoutant,
protocole WEP, ses faiblesses,
l'intrusion dans un réseau wifi
2009. Le protocole WEP a été pensé afin nous connaissons alors l’ensemble des points
mal sécurisé, les fondements de rendre confidentiels les dialogues Box/ d'accès – que nous nommerons dans toute
et la réalisation d'un rogue
AP, d'une attaque MITM avec
ordinateurs, dans une optique de sécurité. la suite AP – non invisibles qui émettent à une
le logiciel ettercap et d'un L'idée était de proposer une sécurité semblable distance raisonnable : il s'agit de l’ensemble
empoisonnement DNS.
à celle qu'of frait l'Ethernet c'est-à-dire que des AP à l'origine des beacons reçus. Il est
CE QU'IL FAUT les messages doivent être accessibles par important de noter ici que certains points
SAVOIR... l'ensemble des machines du sous-réseau d'accès sont configurés pour ne pas émettre
Connaissances sur le protocole et celles-là uniquement. Dans cette optique, de beacons, ce qui constitue une mesure de
DNS, connaissances de chaque donnée est chif frée avec une clé sécurité performante lorsqu'aucune station n'est
base d'UNIX et des certificats
numériques secrète puis transmise ainsi sur le canal de telle connectée.
40 HAKIN9 3/2010
3/2010 HAKIN9 41
42 HAKIN9 3/2010
soit valable. La méthode chopchop repose réception du signal, les ESSID et BSSID $ aireplay–ng –1 0 –e ESSID –a
également sur le fait qu'un message – respectivement les noms et adresses adr_mac_AP –h
tronqué devient invalide. L'idée est donc MAC de l’AP –, le canal d’émission, ainsi adr_mac_station
de tronquer un message légitime de son que le type de chiffrement de chacun des interface
dernier octet et de le renvoyer. En effet, routeurs. Nousne nous concentrerons
en effectuant un XOR avec une certaine évidemment que sur les routeurs qui Nous allons maintenant utiliser airplay qui
valeur, le message tronqué M deviendra de utilisent un chiffrement de type WEP. Pour est un injecteur de paquets. "Le but est
nouveau valide. Cette valeur ne dépend que restreindre notre attaque sur une seule box, ici de générer des messages chiffrées
de l'octet tronqué, ce qui donne une fois de nous passerons en paramètre l'adresse en grande quantité avec des vecteurs
plus des informations intéressantes. MAC du point d'accès cible et le canal sur d'initialisation – iv – variés de telle sorte
lequel il émet. qu'à terme, nous aurons suffisamment de
La prise de contrôle d'une Nous lançons un processus iv faibles pour réduire l'entropie du domaine
box à chiffrement faible d'association. La notion d'association dans des clés et la découvrir". La documentation
Voici une procédure qui permet de les réseaux wifi correspond à la mise en sur aireplay indique que l’attaque la plus
découvrir en quelques minutes la clé WEP relation d'un point d'accès avec notre pertinente est l’attaque de type –3, dite de
souhaitée : station. Cette association n'est possible réinjection d’ARP. Il s’agit en fait d’injecter
Nous détectons les interfaces wifi que si le processus d'authentification de la des requêtes ARP que nous envoyons
présentes sur notre ordinateur et nous station auprès de l'AP a réussi avec succès. par milliers au point d’accès. L'avantage
nous assurons que notre carte wifi permet Il s'agit donc de s'authentifier auprès du de l'injection d'ARP est que les paquets
l’injection de paquets. Ceci dépend des point d'accès. Pour cela, nous utiliserons transmis sont très courts et, comme ils
puces – chipset – positionnées sur la carte une attaque "–1" dite de fake authentication. correspondent à une certaine norme, la
réseau. Des listes de cartes wifi supportant Cette attaque enverra un paquet de réponse de l'AP est connue dans la quasi
l’injection de paquets sont disponibles sur désauthentification à une station connectée totalité. La syntaxe est la suivante :
internet. Nous sélectionnons l’interface qui recherchera alors immédiatement à
choisie et la plaçons en mode monitor se reconnecter. Notre ordinateur prendra $aireplay–ng –3 –e ESSID –b @_mac_AP
: ce mode – également appelé mode alors soin d'écouter attentivement le défi –h @_mac_station
promiscuous – permet à notre ordinateur proposé et récupèrera ainsi une sortie interface
de recevoir tous les paquets, même RC4 afin de se faire passer à son tour pour
ceux qui ne nous sont pas destinés. Ces une machine légitime. Nous ouvrons une Puis, pour finir, nous utiliserons le fichier
différentes actions se font avec les lignes seconde console en parallèle pour laisser de capture, fichier dans lequel tous les
de commandes suivantes : tourner airedump et nous proposons la paquets ont été positionnés. Pour avoir des
ligne de commande suivante : chances de trouver la clé, comptons qu’il
$ airmon–ng //détecte les interfaces wifi
$ airmon–ng start ath0 // met l’interface
ath0 en mode promiscuous.
3/2010 HAKIN9 43
44 HAKIN9 3/2010
intrusion. En effet, après avoir pris le contrôle notre AP. Pour cela, il existe plusieurs façons Nous devrions obtenir la réponse suivante :
d'une box, nous circulons sur la toile avec de s’y prendre. Dans tous les cas, nous
une fausse identité. Les conséquences commençons par donner à notre propre $11:09:28 Sending DeAuth to station
en sont graves ; pour ne prendre qu'un box l’identité de BoxPiégée. Ainsi, il n’y a plus –– STMAC: [00:0F:
exemple, revenons sur le très polémique aucune différence entre notre box et celle B5:34:30:30]
HADOPI. Quels seront en effet les recours de la victime : les deux box sont jumelles ;
du quidam, au fin fond de sa campagne, rien ne doit permettre de les distinguer de Ces paquets de deauth sont envoyés
quand il se verra retirer sa connexion sous l’extérieur. Ce sont les « evil twins ». directement de notre PC vers la cible. Il
prétexte de téléchargement illégal ? Mais faudra donc veiller à être physiquement
cette exploitation de notre travail n'est La déshautentification proche d’elle pour que notre carte wifi
qu'une cerise sur le gâteau. L'idée est bel Il s’agit maintenant de piéger l’ordinateur puisse l’atteindre.
et bien de tirer profit de cet accès. Tout de notre cible. Nous commençons par le Une fois déconnectée, la station cible
d'abord, voyons comment se ramener à déconnecter de sa box en utilisant une attaque tente immédiatement de se reconnecter.
un cas similaire lorsque notre victime se de type aireplay–ng déauth . Nous allons Le gestionnaire de réseau Windows
connecte à un hotspot. désauthentifier la station déjà connectée avec – ou Linux – est en effet paramétré pour
De plus en plus, ces points d'accès la ligne de commande suivante : se reconnecter de façon immédiate
libres fleurissent autour de nous, offrant la et il s'attèle à sa tâche. L'attaque est
possibilité au nomade d'accéder à la toile $aireplay–ng –0 1 –a adresseMACdel'AP réussie s'il ne s’est pas reconnecté
et donc à tous ses comptes directement –c adresseMACduclient à BoxPiégée, mais à notre box. Le
lors de sa promenade dans le parc ou ath0 passage délicat est ici. En effet, nous
tout simplement au café du coin. Si les savons que le gestionnaire se connecte
points d'accès sont parfois relativement dont les paramètres signifient : par défaut au réseau qui émet la plus
bien sécurisés de telle sorte que nous ne grande puissance. Il aura donc suffit
pouvons pas les investir afin d'assujettir • 0 = désauthentification au préalable d'augmenter au maximum
l'ensemble du sous réseau. En revanche, • 1 = nombre de deauth. a envoyer (peut notre puissance ou d'être très proche de
il est possible de tromper les internautes être +) la victime. Ainsi, la victime se retrouve
en les connectant à notre propre point • -a adresseMACdel'AP = MAC de l’AP connectée sur notre box. Il est presque
d'accès ; cette idée passe par la notion • -c adresseMACduclient = MAC du impossible ni pour la victime ni pour son
de rogue AP. client que nous sommes en train de ordinateur de voir la différence. Les box
deauth. sont devenues jumelles.
Création du rogue AP
Le rogue AP est un AP qui n’est pas
légitime sur le réseau. Il est rajouté et
émet à l’insu de l’administrateur du réseau.
L'idée est de déconnecter l’utilisateur de
sa propre box pour le reconnecter à la
nôtre, de manière totalement transparente
pour lui. Cela donnera des avantages
considérables – empoisonnement DNS,
possibilité de connaître les sites visités,
les mails envoyés, les mots de passe
utilisés … – que nous détaillerons par
la suite. Ainsi, l’utilisateur sera connecté
à notre box, sans s’en apercevoir. Il s’agit
d’un échange d’identité sur la toile. De plus,
cette technique a l'avantage de pouvoir
être utilisée sur tous les réseaux faiblement
sécurisés ainsi que sur tous les hotspots
proposés par Le Neuf, orange et free, ou
certains cafés et restaurants.
Préparaion préliminaire
des evil twins
La cible est initialement connectée à Figure 6. Le logiciel ettercap permet la récupération des mots de passe sur des sites
BoxPiégée. L’idée est de la reconnecter sur non sécurisés
3/2010 HAKIN9 45
46 HAKIN9 3/2010
physique de la carte réseau – adresse fixe protégé est susceptible d'être lu, copié ou ce nom de domaine, est une conversion en
et donnée par le constructeur – et l’adresse modifié. adresse IP. Pour cela, il envoie une requête
IP. Un paquet qui circule sur internet utilise Si ces cas sont déjà très intéressants à son serveur DNS, serveur attribué lors de
pour se localiser exclusivement l’adresse car la plupart des sites aujourd'hui la négociation de la connexion, afin que
IP. Arrivée dans le sous-réseau, l’adresse fonctionnent sur un modèle faiblement celui–ci lui fournisse l’IP correspondante.
IP n’est plus utilisée que pour la traduction sécurisé, les données sensibles – comptes Une fois qu’il a cette IP, l’ordinateur peut
avec l'adresse MAC qui, elle permettra bancaires, webmails... - ont très souvent faire une requête vers cette IP et ainsi avoir
l'acheminement final du paquet. investi sur le chiffrement des données. Dès accès aux informations qui permettront
Donnons un exemple. Un paquet envoyé lors, tout le trafic issu du protocole HTTPS, d’afficher la page WEB.
par Alice à Bob après avoir parcouru la puisqu'il est chiffré avec un secret partagé Cette image est une capture d’écran
toile est arrivé dans le sous réseau de Bob entre la machine et le serveur ne sera pas de l’analyse de trafic avec wireshark lors du
au niveau du routeur. Le routeur connait accessible sans travail pour le pirate. Une démarrage de Firefox. Nous comprenons
l’adresse IP de Bob mais pas son adresse explication succincte de ce fonctionnement alors bien ce qui se passe. La première
MAC. Il fait alors appel au protocole ARP est proposé dans la Figure 2. requête effectuée par l'ordinateur – dont
qui permet d’établir une correspondance l'adresse IP est 192.168.1.12 – est la
entre l’adresse IP et la MAC. Tout d’abord, DNS Spoofing demande de conversion du nom de
il regarde dans son cache s'il a la En sniffant le trafic émis par la victime, le domaine start.ubuntu.com en adresse IP.
correspondance ipBob MACBob. S’il ne pirate aura très vite accès à ses sites favoris, Pour cela, l’ordinateur fait une requête à
l’a pas, il lance une requête ARP whohas. sa page d’accueil d’internet et tous les sites son serveur DNS –Les informations de
Celle ci, envoyée en broadcast à tout le qu’elle visite très régulièrement. Il pourra connexion indiquent que le serveur DNS
sous-réseau, demande à qui appartient l’IP alors compromettre la bonne marche responsable du sous-réseau est contenu
en question. L'ordinateur de Bob répond en des événements en intervenant au niveau dans la BOX, 192.168.1.1 – Une fois la
donnant en même temps sa MAC. La table du protocole DNS. Les détournements correspondance obtenue – start.ubuntu.com
ARP est mise à jour et le message peut de DNS sont des attaques très en vogue = 91.189.94.199 – la connexion désirée
être envoyé à l’adresse MACBob. à l’heure actuelle. Le rapport annuel de s'établit. Nous comprenons bien ici au
Dans le cadre d’une attaque MITM, le Trend Micro sur les menaces Web mars passage que le contrôle de la box permet
pirate, MAX, va corrompre le cache ARP du 2009. Très faciles à mettre en place, elles le contrôle exclusif du serveur DNS, ce qui
routeur et de l’ordinateur de Bob, la victime. peuvent fournir des informations d’une représente un pouvoir fort.
En envoyant régulièrement des paquets qui certaine valeur –numéro de compte, mots Placé à une place stratégique depuis
mettent à jour le cache ARP, Max donnera à passe pour tel ou tel site…– Le principe l’attaque MITM, l'ordinateur malveillant
l'ordinateur de Bob l’association ipdelabox/ en est simple, mais nécessite une bonne intercepte les requêtes DNS de la
MACMax –et se fera ainsi passer aux yeux connaissance du protocole DNS. cible. Ainsi, lorsqu'elles demandent l’IP
de la station de Bob comme étant le point Le protocole DNS est un protocole de correspondant à un nom de domaine
d'accès – et à la box l’association ipBob/ niveau applicatif qui assure la conversion particulier, l'ordinateur pirate est en mesure
MACMax – et se fera ainsi passer pour entre une adresse ip et un nom de de lui proposer une adresse pointant
l'ordinateur de Bob aux yeux de l'AP –. Dès domaine. L’utilisateur, quand il souhaite sur un site vitrine – site malicieux conçu
lors, le pirate a une position d’intermédiaire visiter un site, saisit le nom de domaine, spécialement pour induire la victime
entre Bob et la box. Chaque paquet transite dit adresse, dans sa barre d’URL – une dans l'erreur. Il s'agit donc pour le pirate
par lui. En effet, l'ordinateur de Bob étant adresse du type www.cestquoiledns.com de consulter certaines pages visitées
sûr que cet ordinateur est le routeur, il lui –. Cette adresse est en fait le nom d’une régulièrement par la victime, et créer un
enverra tous les paquets à transmettre. machine qui est localisée sur internet, site vitrine très similaire avec par exemple
Après une étude, l'ordinateur de Max les comme toutes les autres machines, grâce en fond le téléchargement de logiciels
retransmet à la box avec une modification à une adresse IP (voir Figure 3). Dès lors, la malveillants qui lui permettront de gagner
éventuelle. De même, l'AP est persuadé que première chose que fait l’ordinateur avec un accès sur la station.
l'ordinateur du pirate est en fait celui de Bob.
Il luis transférera donc tous les paquets à
destination de Bob. Ils sont interceptés puis Sur Internet
transmis au destinataire légitime. • http://clubinternet.box-news.fr/forums/viewtopic.php?id=580 – tutoriel de Club Internet sur
Dès lors, Max peut suivant sa volonté l'utilisation de WEPtool
écouter ou modifier les paquets non • http://www.movizdb.com/tags/weptool/ - telechargement de WEPtool
chiffrés avant de les acheminer vers la • http://www.unixgarden.com/index.php/securite/la-mort-annoncee-du-wep -
cible. La récupération de mots de passe • http://www.aircrack-ng.org/doku.php?id=korek_chopchop – documentation officielle de
l'attaque chopchop
issus de protocoles non sécurisés –
• http://sid.rstack.org/blog/index.php/57-pourquoi-c-est-pourri-le-wep-part-2-cassage-en-
comme pop, smtp, telnet, ftp...- est alors regle – détail du protocole WEP, de ses faiblesses, et principe des principales attaques
immédiate. L'intégralité du trafic non
3/2010 HAKIN9 47
48 HAKIN9 3/2010
dans les
nuages
Degré de difficulté
Impossible d'éviter le cloud computing. Les fournisseurs de services
feront en sorte de nous attacher à leurs services et s'occuperont
ensuite de nos données. Ce phénomène n'aura pas lieu ni cette
année ni l'année prochaine mais la tendance est claire : de plus
en plus de données et de calculs seront éparpillés sur le Net. Cela
vaut tout simplement le coup.
U
n hacker enfermé dans une pièce sombre exemple d'utilisation du cloud computing. L'utilisateur
utilise son terminal pour accéder à la emploie n'importe quel navigateur et appareil (par
puissance de calcul du serveur. Hacker exemple, un téléphone) pour accéder à son compte.
les protections n'était pas simple mais rentable : Toutes les données sont stockées sur les disques
un utilisateur ordinaire n'a pas d'accès aux du fournisseur et les calculs sont effectués par les
ressources stockées sur le Net. serveurs reliés par le réseau et travaillant ensemble.
S'agit-il des souvenirs du début des années Grâce à cette solution, l'ordinateur de l'utilisateur
80 du 20ème siècle ? Pas du tout – c'est le futur ne nécessite pas une grande puissance de calcul
proche. indispensable par exemple pour filtrer quelques
milliers de messages électroniques. Les serveurs le
Comment un nuage feront plus rapidement que le téléphone. Le dispositif
fonctionne-t-il ? de réception ne doit que télécharger et afficher les
Le terme cloud computing (informatique dans données et communiquer avec le serveur. Il ne sert
les nuages) à la mode ce dernier temps signifie que de terminal.
une manière de partager des ressources et des Les feuilles de calcul, disponibles en-ligne,
services via le Net. L'idée consiste à créer une ainsi que d'autres applications nécessitant une
abstraction qui présente à l'utilisateur un résultat grande puissance de calcul fonctionnent de la
d'une opération ou une ressource sans entrer en même manière. Cette idée n'est pas neuve. Les
CET ARTICLE détails dans le fonctionnement des logiciels et de premiers ordinateurs, accessibles aux utilisateurs
EXPLIQUE
l'équipement et sans les acquérir. Les points forts ordinaires, fonctionnaient exactement de la même
si vos données sont sûres et
pourquoi elles ne le sont pas,
de cette solution sont liés à une évolutivité élevée et manière. L'ordinateur central se trouvait à l'université
à une répartition des coûts de gestion du système ou dans le siège de l'entreprise et les employés
pourquoi vous deviendrez
dépendant de l'Internet sans fil, dans le temps. Les utilisateurs individuels (utilisant s'y connectaient depuis des terminaux lents mais
pourquoi les script kiddies les services tels que messagerie électronique relativement peu chers. Seule la manière d'accéder
doivent partir et qui les par webmail), les petites entreprises qui ne sont aux ressources a changé : au lieu d'un serveur
remplacera.
pas obligées d'investir dans des équipements on a maintenant recours à tout un réseau de
CE QU'IL FAUT chers et dans une maintenance technique et serveurs. Ce réseau constitue un concept abstrait
SAVOIR les grandes entreprises qui peuvent obtenir pour l'utilisateur et sa réalisation physique n'est pas
avoir des connaissances de quasiment instantanément un nombre plus élevé important (d'où le nom cloud ; computing signifie
base sur les processus de
production,
de ressources peuvent en bénéficier. bien évidemment calcul). Les techniques modernes,
L'accès à une messagerie électronique via comme AJAX, améliorent la façon de présenter les
avoir des notions sur les
attaques type. une interface sur un site Web constitue le meilleur données et le confort de l'utilisation.
50 HAKIN9 03/2010
Payer les services énorme confiance dans le fournisseur. nos données peuvent par exemple être
SaaS (Service as a Software) est un La question principale est de choisir une lues par un fournisseur malhonnête. Il est
modèle de distribution des logiciels où bonne entreprise et de lui faire confiance, vrai que les données sont cryptées mais
les programmes fonctionnent sur le dit Łukasz Żur de la société Infrastruktura24 les manières de le faire sont diverses
serveur. Seul le résultat du fonctionnement proposant des sauvegardes avec le et variées. Il est possible de voir aussi
de l'application est communiqué aux cloud computing et le modèle SaaS. En bien une situation où le fournisseur de
utilisateurs. Le règlement s'effectue en envoyant les données dans le nuage, services est en possession (!) de la clé de
général en cycle annuel ou mensuel et nous attendons qu'elles soient traitées chiffrement que des manières avancées
il est aussi possible d'acheter un meilleur par des professionnels dont les services de chiffrement dont l'utilisateur a le contrôle
paquet de services, plus de place sur seraient trop chers pour nous si nous complet. Stocker une copie de la clé par
le disque ou de la puissance de calcul voulions les embaucher. D'un côté, c'est le prestataire nous garantit qu'elle ne sera
supplémentaire. Cette solution est pratique une solution sûre mais de l'autre côté, pas supprimée si elle était par exemple
pour le fournisseur et les destinataires. Le
propriétaire du logiciel ne s'expose pas
aux copies illégales de programmes,
reçoit un versement mensuel et attache
les utilisateurs à son programme. Le client
n'est pas obligé de payer immédiatement
le montant total du logiciel, il peut modifier
à tout moment l'étendue des services (par
exemple, s'il a acheté trop de services ou
s'il décide de développer temporairement
son activité). Les petites entreprises et
les personnes individuelles considèrent
comme importante la maintenance
des serveurs par des administrateurs
expérimentés et trouvent important d'avoir
accès à un meilleur équipement. Confier
ses données, en particulier lorsqu'il s'agit
des informations essentielles pour une
entreprise, est toutefois lié à des risques.
La technologie est encore jeune et
aucun règlement n'existe pour proposer
les services de sauvegarde ou de livraison
des logiciels via le cloud computing, ni
de paiement pour le résultat et non pour Figure 1. Antivirus en-ligne emploie un nuage de calcul du fournisseur mais il obtient un
l'application. Le marché progresse toutefois accès complet aux données. Combien d'utilisateurs lira le contrat ?
plus vite que prévu et les analystes de
l'organisation Gartner affirment que sa
valeur dépassera 150 milliards de dollars
en cinq ans. Pendant cette période, les
entreprises veilleront elles-mêmes à créer
des certificats de sécurité appropriés
et à éduquer les utilisateurs mais pour
l'instant, tout le monde n'est pas conscient
du risque. Les petites entreprises qui
souhaitent avoir un accès à un disque sur
un nuage (ou plutôt des disques virtualisés
– cf. l'encadré) pour quelques centaines
d'euros, ne se rendent pas toujours compte
que leurs données peuvent être volées par
exemple par un fournisseur malhonnête.
Pas un jour sans rapport sur une fuite
ou une perte de données. Pour opter pour Figure 2. Outils pour les sauvegardes en-ligne sont des petits programmes qui ont
les services sur un nuage, il faut avoir une l'accès aux centres de données modernes pour un coût peu élevé
03/2010 HAKIN9 51
52 HAKIN9 03/2010
eu lieu de nombreuses fois. À titre d'exemple, et ne publiera plus de patches pour les téléchargé sur un serveur, il est ensuite
rappelons la fuite l'année dernière d'une failles détectées. Sans support de la part de rendu en prenant en compte les fonctions
base de données de 100000 utilisateurs Microsoft, l'utilisateur sera tout simplement de l'écran du client, il est compressé et
d'un portail communautaire Pendant laissé au gré des cybercriminels. Ce point cette version-là est envoyée à l'écran
plusieurs semaines, ses propriétaires ont concerne également les ordinateurs plus du téléphone. Les serveurs Opera sont
dissimulé l'information que les mots de vieux équipés de Windows 2000 ou 98, chargés de toutes ces opérations et
passe n'étaient plus sûrs et ont assuré, toujours présents. Du premier abord, ces l'application installée sur le téléphone ne
une fois le responsable trouvé, que toutes utilisateurs ont ce qu'ils ont voulu car ils fonctionne que comme client. Google a fait
les copies volées de la base avaient été n'installent pas de patches et utilisent de un pas plus en avance. Il est très difficile
récupérées. Cela semble ridicule car vieux logiciels. L'ordinateur d'un tel utilisateur de déterminer une frontière entre ce qui
comment peut-on vérifier le nombre de fois peut devenir toutefois une station cible pour fonctionne localement dans le système
que les données ont été copiées ? Malgré accéder aux ressources plus précieuses du Android et ce qui fonctionne sur le nuage.
cette situation, les utilisateurs se sont sentis nuage, destinées à un plus grand nombre
rassurés, la police s'est jointe à l'enquête et de personnes. Il est facile d'imaginer un Le nuage, c'est pour qui ?
l'administration publiait des messages sur logiciel malveillant qui se servira du disque Tout le monde ne peut pas se permettre
les progrès. La plupart de situations de ce en-ligne lié à l'ordinateur attaqué ou utilisera d'utiliser des nuages des autres, ils créent
type, en particulier si elles concernent les la puissance de calcul disponible pour donc les leurs, notamment les entreprises
données plus importantes que des mots de craquer les mots de passe. Des attaques et les institutions gouvernementales. Un
passe pour un portail communautaire, ne similaires ont été effectuées à une grande nuage de calcul est en fait un réseau de
sont jamais rendues publiques. échelle (notamment pour craquer les mots serveurs dont la structure ne doit pas être
de passe des utilisateurs du service eBay). essentielle pour les utilisateurs. Toutes les
Attention aux terminaux Remarquons aussi l'importance de entreprises qui ne peuvent pas confier leurs
Les banques se comportent d'une manière plus en plus grande des téléphones données aux fournisseurs des services
similaire dans les situations de crise et mobiles pour lesquels être connecté au externes sont ainsi capables d'utiliser le
les attaques sur des banques seront nuage de calcul donne des possibilités cloud computing. L'objectif principal de
analogiques. Il est plus facile d'attaquer un tout à fait nouvelles. Les versions mobiles cette solution consiste en effet à mieux
seul client qu'un centre de données bien du navigateur Opera constituent ici un très utiliser les ressources et à réduire les
protégé mais la différence en bénéfices bon exemple. Dans ce cas-là, le site est coûts. Un problème apparaît toutefois dans
est aussi significative. Dans quelques
années, lorsque le cloud computing
progressera suffisamment, l'utilisateur
n'aura qu'un netbook, un ordinateur peu
cher ou un téléphone équipés d'un système
d'exploitation et d'un navigateur. La suite
bureautique, le client de messagerie
électronique et autres programmes se
trouveront sur le nuage. L'utilisateur se servira
également du disque en-ligne fourni par le
fournisseur de services. Facile à deviner qui
sera l'objectif d'une attaque. Il semblerait
que le système sera ici exceptionnellement
sécurisé. Malheureusement, ce n'est pas le
cas. Le vieux Windows XP est toujours installé
sur les netbooks, qui ont potentiellement le
plus besoin d'être supporté par le nuage.
Microsoft a même déclaré que ni Vista
ni Windows 7 ne pourraient pas être
installés sur les ordinateurs portables
où la mémoire RAM sera inférieure à 1
Go. Cette solution n'est pas bonne pour
un utilisateur ordinaire ; Vista configuré
par défaut garantira plus de sécurité que
Windows XP standard dépourvu de service
packs. La situation peut empirer lorsque Figure 5. Les suites bureautiques disponibles en-ligne constituent des exemples
Microsoft arrêtera de supporter ce système d'utilisation d'un nuage de calcul
03/2010 HAKIN9 53
54 HAKIN9 03/2010
des exploits et des informations sur les pourraient commencer à protéger de gratuit au téléphone, aux ressources
« failles jour 0 ». Une attaque d'un centre de tels utilisateurs. À titre d'exemple, le travail de l'ordinateur central ou voulaient tout
données ou des nuages de serveurs ne de toutes les cartes dans un processus simplement prouver aux autres que le
pourra plus être utilisée par des amateurs séparé devrait devenir standard, comme système n'est pas sûr. Les attaques
qui ont trouvé par hasard des programmes c'est le cas chez Google Chrome. De l'autre n'étaient pas un acte de vandalisme mais
appropriés sur le Net (script kiddies) côté, les fournisseurs des services peuvent servaient à des objectifs définis. Bien
mais deviendra le domaine de groupes ne pas autoriser certains utilisateurs, évidemment, les attaques étaient centrée
capables d'investir dans leurs propres qui se servent des logiciels vétustes et sur des grandes entreprises mais en
programmeurs ou de corrompre des dangereux, d'accéder au Net. Actuellement, réalité elles étaient les seules victimes, en
employés d'une entreprise attaquée afin afin d'accéder à une partie de ressources, plus des concurrents des hackers.
de faire sortir le programme à l'extérieur. liées en particulier à la sauvegarde de Plus tard, avec la propagation de
La plupart de personnes pourraient en données, il faut utiliser des logiciels clients l'Internet, nous avons vu arriver des
être contents : finis les attaques pour fournis par le fournisseur des services. Il criminels qui guettaient des internautes
s'amuser ou pour se vanter devant des semble donc naturel que tout le monde inconscients, à qui il était toujours facile de
copains, mais l'avenir n'est pas si rose. Les n'autorisera pas des navigateurs anciens voler des mots de passe, qui ne modifiaient
salles de serveurs sont bien évidemment et dangereux d'entrer sur le Net ou ces pas les mots de passe par défaut et qui
pour des raisons évidentes (comme des navigateurs ne seront pas tous supportés. installaient tout et n'importe quoi. De l'autre
administrateurs expérimentés) plus sûres Nous le remarquons en ce moment avec côté, les hooligans d'Internet n'ont pas du
qu'un ordinateur à domicile ou au bureau l'approche des banques qui fonctionnent mal d'obtenir des outils et donc de passer
mais les applications utilisées dans le cloud de manière similaire que les entreprises aux attaques. Utiliser un exploit téléchargé
computing peuvent être plus dangereuses. liées au cloud computing. depuis Internet pour faire une blague à
Une mafia ou un gouvernement d'un pays un copain peut être amusant mais les
se préparant à une cyber-guerre peuvent Retour aux sources attaques réalisées par des personnes
prendre le contrôle des attaques sur les Les changements dans l'approche de qui n'ont aucune idée de ce que fait le
nuages de calcul. Le retour à l'époque la sécurité peuvent signifier le retour aux programme téléchargé consistent en
des groupes d'hackers serait la meilleure débuts du hacking. Lorsque les mauvais général à détruire sans aucune raison
perspective possible parce que personne hackers apparaissaient, cracker les une base de données des autres ou des
de raisonnable ne pourrait parier qu'avec le protections ne consistait pas à télécharger données sur un serveur FTP.
transfert de la plupart de services dans les des scripts prêts depuis Internet ou à Si le cloud computing se développe
nuages, les problèmes avec les attaques acheter un magazine, à l'ouvrir sur la page jusqu'au moment où nous n'utiliserons
des données disparaîtront. Elles passeront consacrée aux Attaques et à utiliser les qu'un navigateur, nous pourrons nous
tout simplement à un niveau supérieur, programmes décrits. Il allait les inventer attendre à plus de professionnalisme de
inaccessible à la plupart de gens. d'abord. Les personnes qui crackaient la part du hacking. Les serveurs Web et
De l'autre côté, en dehors du nuage les protections avaient pour but un accès FTP d'entreprise disparaîtront suivi par la
sûr, il existe des milliers d'utilisateurs
ordinaires qui se servent des milliers de
navigateurs différents sur des centaines
de systèmes d'exploitation. En transférant
leurs programmes sur le Net, ils mettent
la responsabilité pour leurs ressources
à des administrateurs et fournisseurs
des services. Dans une telle situation, ils
peuvent perdre complètement conscience
de la question de la sécurité. Une utilisation
constante des services partagés via le Net,
y compris la protection antivirus, peut donc
ramener à la disparition de la conscience
quant aux menaces venant de l'Internet
et à une plus grande confiance pour les
programmes lancés du côté du serveur.
Ces changements ne seront pas toutefois
importants.
Les fabricants des logiciels installés
sur les machines locales (et il s'agira dans Figure 6. Emplacement des 38 centres de données de Google. Source :
l'avenir principalement des navigateurs) wayfaring.com/
03/2010 HAKIN9 55
56 HAKIN9 03/2010
questionnées ne sont pas encore prêtes à salles de serveurs et des applications qui identiques que pour d'autres services de
transférer l'infrastructure dans les nuages y fonctionnent. Les dangers de base sont ce type (dommages physiques, erreurs
mais elles veulent utiliser cette technologie
dès qu'elle sera davantage sécurisée.
Les clients potentiels des fournisseurs Nuage dans les yeux du client
des logiciels, qui servent à créer des nuages, Dorota Oviedo, analyste du marché ICT de la société Frost & Sullivan (www.frost.com), nous dit
comment les clients individuels et les entreprises perçoivent le fait de stocker et de traiter des
attendent d'eux de faire particulièrement
informations dans les nuages de calcul.
attention à créer des solutions sûres et Les nuages de calcul et la distribution de logiciels dans le modèle SaaS sont non seulement
une manière de les certifier. Actuellement, des concepts à la mode dans le secteur ICT mais aussi des tendances claires du marché
il est difficile de comparer les systèmes d'aujourd'hui. Les plus grands acteurs investissent actuellement dans les infrastructures basés sur
concurrents et les fournisseurs soulignent les nuages de calcul. Les leaders du marché de télécommunication unifiée et de travail en équipe
eux-mêmes que les clients se basent promeuvent Saas, ce que nous pouvons remarquer par exemple chez Cisco et WebEx, IBM et
LotusLive ou bien Microsoft et des services de la gamme BPOS. De plus, la popularité des médias
principalement sur la confiance et les
communautaires et de la messagerie électronique comme Gmail chez les utilisateurs individuels
recommandations d'une entreprise donnée.
aide à accepter le concept de nuages.
Le système universel de certificats pourrait Ce qui est intéressant, ce que aussi bien les petites que les grandes entreprises portent l'intérêt
résoudre ce problème. Aussi bien les à ces services et demandent aux fournisseurs des services d'administrer, de garantir l'accessibilité
utilisateurs qui auraient un choix facilité que et la sécurité, ce qui leur permet de se concentrer davantage sur le développement de leur activité
les entreprises honnêtes en auraient profité. principale.
Le ralentissement de l'économie mondiale aide décidément ce marché de services à
progresser. Actuellement, les entreprises préfèrent les solutions basées sur les dépenses courantes.
Fournisseurs ciblés Les plus petites entreprises font également attention au niveau d'avancement des systèmes de
Une attaque peut toucher un prestataire communication commerciale moderne ainsi qu'à l'absence d'un personnel qualifié pour gérer ces
et non seulement les utilisateurs du systèmes. Dans le cas de grandes entreprises, la souplesse des services de télécommunication
cloud computing. Il est facile d'imaginer permet de tester les outils disponibles. Bien que la perte de contrôle et la sécurité soient citées
une situation où les utilisateurs – des comme la menace principale pour le développement du marché, le renommé d'un fournisseur
particuliers – pourraient essayer d'obtenir des services, les contrats SLA (standard de services) et les exemples de solutions mises en place
réduisent les craintes des clients potentiels. En pratique, l'attention est portée surtout au coût, en
plus de ressources que prévues pour eux.
particulier par les petites entreprises.
Il faut donc faire attention à la sécurité des
P U B L I C I T É
03/2010 HAKIN9 57
58 HAKIN9 03/2010
type Request
DATA
Degré de difficulté
Cet article porte sur les failles de type Request DATA, leurs dangers
face aux nouvelles applications Web et les moyens de prévention
mis en place par certaines plates-formes.
A
vec Internet, les e-boutiques fleurissent sur L'utilitaire le plus souvent utilisé est Tamper
le Web et proposent leurs services. Ces DATA. Il s'agit d'un add-on pour Mozilla Firefox qui
dernières ont parfois des problèmes de permet, entre autres, de visualiser et d'éditer les
sécurité faisant transiter des informations critiques Headers HTTP/HTTPS ainsi que les données en
comme, par exemple, le prix du produit souhaité POST et bien d'autres fonctionnalités que vous
dans le corps de la requête. découvrirez grâce au lien fourni en annexe ; cet
Un des risques potentiels serait que cette outil sera le petit couteau suisse des curieux !
brèche soit utilisée à des fins malhonnêtes, Cet utilitaire a permis de constater que les
notamment acheter de nombreux produits à des données envoyées aux serveurs cibles contiennent
prix qui n'ont rien à voir avec ceux indiqués sur les de nombreuses informations, dont le prix.
sites cibles. Dans notre cas, l'utilitaire Tamper DATA altère
La présente étude portera donc dans un ces données et les envoient ensuite, comme dans
premier temps sur les risques des failles de la procédure normale. Nous aurions très bien pu
type Request DATA, sur la façon de les détecter réaliser un utilitaire permettant de forger nos propres
et sur la manière dont un attaquant les utilise à requêtes POST avec les champs nécessaires et
son profit. les valeurs que nous voulions mais l'utilisation de
Dans un second temps, nous nous Tamper DATA nous semble être la plus efficace
intéresserons à une méthode pour pallier ce et la plus rapide à mettre en place. D'autres outils
problème et pour 'patcher' l'application Web existent, comme FireBug, permettant de modifier la
concernée. source de la page et changer certains attributs du
formulaire (voir Figures 1 et 2).
Utilisation à l'encontre des Sites Un schéma permettra de mieux comprendre
CET ARTICLE Web, E-boutiques et autres l'attaque.
EXPLIQUE
structures Web Nous allons maintenant nous intéresser à un
le principe des failles de type
Request DATA, leur utilisation à
Essayons d'apprendre à détecter la présence cas réel, à savoir une e-boutique.
l'encontre des e-boutiques, mais d'une telle faille dans notre application Web et Nous ne donnerons pas plus de détails car
aussi le moyen de sécuriser
son site web pour se prémunir voyons ainsi comment un pirate pourrait l'exploiter. notre but n'est pas de nuire à une entreprise mais
contre ces risques. Ce qu'il faut déjà comprendre, c'est qu'il existe d'introduire une nouvelle notion de vulnérabilité qui
deux types de requête HTTP : GET et POST. sévit sur la toile.
CE QU'IL FAUT
SAVOIR Malheureusement, les deux méthodes Comme toute e-boutique, différents menus
n'échappent pas à la vulnérabilité qui sera vous sont proposés avec un choix d'articles à
avoir des notions importantes en
PHP, SQL et (x)HTML. présentée ici. acheter et lorsque vous cliquez sur l'un d'eux, une
60 HAKIN9 3/2010
fiche produit s'affiche, présentant ses d'une partie des données transférées en Contrairement aux problèmes qu'ont
différentes caractéristiques (la taille, la POST (voir Figure 3). rencontrés les sites Web avec leurs
disponibilité,...) ; mais ce qui nous intéresse Comme le montre la copie d'écran, le propres structures pour gérer leurs
ici est tout simplement le prix. prix est en clair dans la requête HTTP ; dès articles avec leurs prix ou toutes autres
Ce dernier est donc affiché et vous lors, nous le modifions à notre guise sans sortes d'attributs, d'autres méthodes sont
renseignez la quantité désirée. Ensuite, aucun problème. présentes sur la toile, comme recourir à
vous cliquez sur le bouton Ajouter au Cette brèche de sécurité permet des systèmes déjà conçus à cet effet, tels
panier qui enverra les données à un script à une personne mal intentionnée d'y Paypal.
lequel gèrera la mise dans le panier, bref écrire ce que bon lui semble, comme par De nombreuses E-boutiques font
un exemple commun à tous. exemple un prix à 0€ ; cela fonctionne appel à ces services pour réaliser
Commandons un article avec des sans problème. un système de paiement 'sécurisé'.
attributs aléatoires et décortiquons la Voici donc un exemple de cas avec le Malgré cela, leurs implémentations
requête POST. Voici la capture d'écran prix à 0€ (voir Figure 4). au niveau des plates-formes web
laissent quelques fois à désirer : elles
permettent tout autant à une personne
mal intentionnée de changer les prix de
différents articles.
Le principe est le même, ce dernier
altère la requête POST envoyée au
service Paypal, contenant les informations
cruciales comme le prix de l'article.
Une capture d'écran a été réalisée,
représentant la preuve du concept depuis
un cas précis. Malgré les sécurités
instaurées par Paypal, il est donc possible
d'altérer l'intégrité des données qui
transitent sur le réseau avant d'arriver
sur la page avec notre propre panier (voir
Figure 5).
Et voici le résultat sur le site PayPal
(voir Figure 6).
Nous avons montré comment il était
possible d'altérer des données plus que
Figure 1. Page principale de l'utilitaire Tamper DATA sensibles de E-boutiques malgré des
méthodes de paiement différentes. Nous
Serveur cible
3/2010 HAKIN9 61
62 HAKIN9 3/2010
<?php
/*
inclusion du fichier de configuration avec les identifiants pour votre base de données.
*/
if (isset($_POST['id']) && $_POST['id']!='' && isset($_POST['prix']) && $_POST['prix']!='') {
$id = htmlspecialchars(mysql_real_escape_string($_POST['id']));
$prix=htmlspecialchars(mysql_real_escape_string($_POST['prix']));
/*
Nous avons donc utilisé htmlspecialchars(); pour éviter les risques de failles XSS (soit Cross Site Scripting) et mysql_
real_escape_string(); pour éviter les risques d'injection SQL.
En poussant plus loin, il aurait fallu faire la même chose pour éviter
les risques de failles CSRF, mais pour cela, nous vous renvoyons à l'article paru
dans le magazine de Mai-Juin.
*/
$sql = "select * from Articles where id = '".$id."';";
/*
Réalisons une requête en recherchant toutes les informations de notre article correspondant à $id.
*/
$resultat = mysql_query($sql) or die("Problème au niveau de la requête !");
$ligne=mysql_fetch_array($resultat);
if ($prix==$ligne[1])
{
/*
traitement des données et si tout se passe bien, l'article est mis dans le panier.
Nous avons fait une comparaison du prix donné dans le formulaire en type Hidden et celui de la base de données. Nous
aurions pu ne pas mettre celui dans le formulaire mais nous contenter juste de récupérer celui de la
base de données qui aurait correspondu à l'id souhaité, unique pour chaque produit.
*/
}else{
/*
Le prix de la base de données diffère de celui du formulaire. Dans ce cas, il s'agit peut-être d'une tentative de faille Request
DATA, il faudrait donc afficher un message d'erreur qui en expliquerait les raisons.
*/
}
?>
Conclusion d'attaques. Nous vous conseillons donc Forgeries (CSRF) ou les Injections SQL
Nous vous avons montré à quel point de vérifier vos propres applications et font d'énormes dégâts. Pour cela, dans le
il est facile d'altérer les requêtes HTTP lors d'un projet, d'envisager toutes les code source, il faut « sécuriser » toutes les
afin de les tourner à l'avantage de possibilités susceptibles d'entraver le bon données provenant de l'internaute. Utiliser
l'attaquant. Aucune des méthodes (GET fonctionnement du Site Web en réalisant des fonctions comme htmlspecialchars()
ou POST) n'est épargnée mais grâce à des diagrammes de cas d'utilisation, de et mysql_real_escape_string() sont
une bonne rigueur de programmation, séquences etc. obligatoires au bon fonctionnement du
nous pouvons protéger notre propre En outre, ces vulnérabilités ne sont pas projet.
application contre cela. Malheureusement, les seules qui touchent les applications
au moment où sont écrites ces lignes, Web spécialisées dans le commerce
de nombreuses E-boutiques et plates- (ou autre). Les attaques de type Cross
formes Web sont vulnérables à ce genre Site Scripting (XSS), Cross site Request
À propos de l'auteur
Sur Internet L'auteur est actuellement en DUT informatique à
Fontainebleau. Il se passionne pour la sécurité
informatique depuis plusieurs années. Depuis peu, il
• https://addons.mozilla.org/en-US/firefox/addon/966 – Lien vers l'add-on Tamper DATA (utilisé à s'intéresse à la sécurité des systèmes d'information
l'appui de cet article) afin de comprendre les risques éventuels et les moyens
permettant de les pallier. Il envisage de préparer
• https://addons.mozilla.org/fr/firefox/addon/1843 – Lien vers l'add-on FireBug (utile pour un diplôme d'ingénieur en informatique. Après de
éditer des codes source en direct) nombreuses recherches sur les failles de type Cross
• http://shiflett.org/articles/sql-injection – Article de Chris Shiflett très intéressant sur les Site Request Forgeries (CSRF, article publié au mois de
Mai-Juin), il s'est frotté à d'autres problèmes permettant
Injections SQL.
de manipuler les requêtes HTTP. Le principe des failles
• https://www.paypal.com/ipn - Information sur le service IPN offert par PayPal permettant de type Request DATA est simple à comprendre : une
d'avoir toutes les traces etc. concernant ses transactions. requête est envoyée à un serveur distant et il suffit de
l'altérer pour produire un état précis sur le serveur cible.
3/2010 HAKIN9 63
Comment
récupérer les mots
de passe des
applications Google
Degré de difficulté
Cet article s'intéresse au stockage des mots de passe des
applications Google sur un ordinateur. Il ne s'intéresse pas à la
récupération des mots de passe par ingénierie sociale, ou par des
techniques de type Man-in-the-Middle. Pour l'ensemble des détails
décrits ci-après, nous supposons disposer d'un accès complet à
la machine.
N
agareshwar Talekar (http://twitter.com/ si un utilisateur coche la case remember
tnagareshwar) est un chercheur en password, une clé est créée dans la base de
sécurité spécialisé en ingénierie inverse. registre à l'emplacement :
Il vient de publier plusieurs articles relatifs au
déchiffrement des mots de passe des applications HKEY_CURRENT_USER\Software\Google\Google
Google, dont cet article s'est inspiré. Il a mis en Talk\Accounts
ligne les logiciels GooglePasswordDecryptor et
ChromePasswordDecryptor permettant d'auto- Le nom de la clé correspond au nom d'utilisateur
matiser la récupération et le déchiffrement de ces et le mot de passe est stocké dans la valeur
mots de passe. pw. Le logiciel chiffre le mot de passe Google
en utilisant les fonctions cryptographiques de
Google Talk Windows (http://msdn.microsoft.com/en-us/
Google Talk est une application de messagerie librar y/aa380252%28VS . 85%29.aspx #data_
instantanée (cf. Figure 1). Lors de l'authentification, encryption_and_decryption_functions). Pour
CET ARTICLE
EXPLIQUE...
où sont stockés les mots de
passe des applications Google,
CE QU'IL FAUT
SAVOIR...
notions de développement. Figure 1. Stockage des identifiants Google Talk dans la base de registre
64 HAKIN9 3/2010
déchiffrer le mot de passe, procédez fondant sur la version d'Internet Explorer • Pour chaque entrée découverte,
comme suit : installée. déchiffrer le mot de passe grâce à la
Si l'ordinateur utilise une version fonction CryptUnprotectData.
• récupérez le nom d'utilisateur et d'Internet Explorer 6 ou moins récente, le
le nom du domaine utilisé pour la mot de passe est protégé par Protected Google Desktop Search
session Windows courante, Storage (http://msdn.microsoft.com/en- Desktop Search permet d'indexer le
• grâce aux fonctions cryptographiques us/library/bb432403%28VS.85%29.aspx). contenu d'un disque dur pour rendre la
de Windows, créez le hash du nom Un logiciel comme Cain (http://www.oxid.it) recherche d'un élément plus rapide. En
d'utilisateur et celui du nom de permet de récupérer aisément le mot de y attachant un compte Gmail, la recherche
domaine, passe en clair. dans le contenu des mails est plus
• la valeur sur 16 octets obtenue est Si l'ordinateur utilise Internet Explorer rapide. Ce petit logiciel permet d'avertir
ensuite utilisée pour obtenir un hash 7 ou plus récent, le mot de passe est un utilisateur de l'arrivée de ses mails.
du mot de passe chiffré, alors stocké de manière sécurisée en Gmail Notifier utilise différentes méthodes
• enfin, le mot de passe est déchiffré utilisant Windows Credential Provider. Pour pour sécuriser les mots de passe, en se
grâce à la fonction CryptUnprotect- récupérer le mot de passe, il faut : fondant sur la version d'Internet Explorer
Data. installée. Les comptes configurés sont
• utiliser la fonction CredEnumerate stockés à l'emplacement suivant :
Picasa pour lister les mots de passe protéger
Picasa est un logiciel de classement et par Windows Credential Provider, HKEY_CURRENT_USER\Software\Google\
de retouche photo. Google propose en • sélectionner l'entrée associée au Google Desktop\
parallèle un service de stockage gratuit compte google en vérifiant si la valeur Mailboxes\Gmail
sur Internet pour le partage de photos. Les TargetName commence par le texte
identifiants Picasa Web enregistrés sur : Microsoft_WinInet_www.google.com: La clé POP3_Name contient le nom
l'ordinateur sont stockés dans la base 443, du compte, et la clé POP3_Credentials
de registre à l'emplacement suivant :
Gmail Notifier
Ce petit logiciel permet d'avertir un
utilisateur de l'arrivée de mails sont.
Gmail Notifier utilise différentes méthodes
pour sécuriser les mots de passe, en se Figure 3. Chrome - Contenu de la table logins avec SQLite Database Browser
3/2010 HAKIN9 65
void DecryptGmailNotifierPassword()
C:\Documents and Settings\<username>\
{
DATA_BLOB DataIn; Local Settings\
DATA_BLOB DataOut; Application Data\
DATA_BLOB OptionalEntropy; Google\Chrome\
tmpSalt[37];
char *strSalt={"abe2869f-9b47-4cd9-a358-c22904dba7f7"};
User Data\Default
CredFree(Credential);
}
66 HAKIN9 3/2010
applications
Degré de difficulté
web
L'article présente d'une manière générale les moyens techniques
à mettre en œuvre pour sécuriser les applications web d'une
entreprise. Cette sécurisation passe par la mise en place d'un
WAF (Web Application Firewall). Dans cet article, nous utiliserons
le mod_security d'Apache pour expliquer la mise en œuvre de ce
type de protection.
A
ujourd'hui, les attaques sont de moins en C’est pour cela que des équipements, appelés
moins réalisées sur les serveurs ou sur WAF (Web Application Firewall ou Firewall applicatif
les réseaux car ils sont de mieux en mieux en français), font leur apparition et sont maintenant
protégés. La majeure partie des vulnérabilités se un maillon indispensable dans la sécurité d’une
trouvent dans les applications et les applications architecture. Pour répondre à ce besoin, il existe
Web sont aujourd’hui extrêmement répandues. une multitude d’appliances sur le marché telles
Flux HTTP/HTTPS
68 HAKIN9 3/2010
L'architecture
Figure 3. Fichier de configuration de mod_security2
La figure 1 représente un schéma
basique d'une architecture web protégée
par un WAF.
Les clients sur Internet interrogent
le reverse proxy en HTTP ou en HTTPS
selon l'application. Le reverse proxy filtrant
analyse les requêtes web, les autorise ou
non et redirige les requêtes en HTTP au
serveur web correspondant. Le reverse
proxy est généralement placé dans une
DMZ publique car elle est joignable depuis
l'extérieur et les serveurs web sont, quant Figure 4. News déposée sur Joomla
3/2010 HAKIN9 69
document.body.appendChild(form);
LoadModule security2_module libexec/
form.submit();
} apache22/mod_
</script> security2.so
<iframe name="hidden" style="display: none"></iframe>
Configuration de mod_security2 :
70 HAKIN9 3/2010
3/2010 HAKIN9 71
Démonstration d'une
Sur Internet attaque sur Joomla
• http://www.howtoforge.com/remo_modsecurity_apache – Un tutorial pour débuter avec REMO. Nous avons réalisé une attaque sur notre
• http://www.modsecurity.org/ – Le site officiel de mod_security. installation de Joomla pour ensuite tester
• http://software.inl.fr/trac/wiki/Ouadjet – Le site de ouadjet. son blocage avec mod_security2.
• http://www.hsc.fr/ressources/breves/modsecurity.html.fr – Un article d'HSC traitant de mod_ Explication de l'attaque :
security.
• http://www.hsc.fr/ressources/breves/relais-inverse.html.fr – Un article d'HSC traitant d'Apache
• 1/ Création d'un utilisateur classique
en relais inverse.
• http://httpd.apache.org/docs/2.0/mod/mod_proxy.html – La documentation officielle de dans Joomla.
mod_proxy. • 2/ Cet utilisateur dépose ensuite
une news dans Joomla avec un lien
contenant cette attaque (Figure 4).
Listing 2. Règles mod_security
72 HAKIN9 3/2010
nettoyer son
PC ?
Degré de difficulté
N
ettoyer son PC présente de nombreux Les fichiers se fragmentent à force d’installer/
avantages. Tout d’abord, cela permet de désinstaller des logiciels, supprimer des fichiers,
se débarrasser des parasites, spywares etc.
et autres virus qui nuisent au bon fonctionnement La défragmentation a donc pour fonction de
de votre installation informatique. D’autre part, rendre toute sa fraîcheur au PC. Répétez l’opération
cela permet d’éliminer les fichiers temporaires pour chacun de vos disques si vous en avez
qui, s’ils ne présentent aucun risque pour la plusieurs.
stabilité de votre système, prennent parfois Windows propose un outil de défragmentation
énormément de place sur votre disque dur que vous utilisez d'un clic droit sur le disque dur à
et, par conséquent, réduisent d’autant ses défragmenter, sélectionnez Propriétés et rendez-
performances. vous dans l’onglet Outils.
Fichiers temporaires, en double, corrompus, La défragmentation par l’outil de Windows
inactifs, les éléments à enlever sans risque est une bonne chose mais il n’est pas très
sont légion, sachant qu’ils représentent performant (cf. Figure). En effet, il existe des outils
parfois plusieurs Mo (ou même Go, selon que entièrement dédiés à cela comme Disk Defrag,
nous prenions soin ou non de les éradiquer Diskeeper ou encore l’excellent O&O Defrag (cf
régulièrement). Figure 2).
Toutes les solutions, astuces et logiciels Bien que O&O Defrag soit un shareware, sa
proposées dans cet article sont compatibles tant version 10 est disponible gratuitement à l’adresse
avec XP qu’avec Vista. L’ensemble des installations suivante : http://www.oo-software.com/home/en/
se fera sur un ordinateur équipé de Windows XP special/komputerswiat/
Pro SP3. L’ensemble des outils présentés sera
gratuit.
CET ARTICLE
EXPLIQUE...
La défragmentation
Les méthodes pour nettoyer un
PC infecté Attaquons le vif du sujet en commençant par une
Les méthodes pour éviter de défragmentation du disque dur. La défragmentation
nouvelles infections d’un disque regroupe les fichiers fragmentés pour
optimiser les performances du système. Cette
CE QU'IL FAUT
SAVOIR... opération s’effectue tous les mois ou une fois par
trimestre selon que vous sollicitez beaucoup ou
Aucune connaissance n’est
requise non votre disque dur. Figure 1. Défragmentation avec Windows
74 HAKIN9 3/2010
Suppression des fichiers Par défaut, les paramètres avancés Pour modifier manuellement le registre,
inutiles sont désactivés. La plus grande prudence tapez regedit en ligne de commande (cf.
A force d’utilisation, votre ordinateur est de rigueur si vous activez ces cases Figure 4, 5).
à la fâcheuse tendance à garder de car votre système risquerait de devenir Puis validez via Ok.
nombreux fichiers absolument pas instable. En déroulant l’ensemble des listes,
nécessaires. Il s’agit, par exemple, Une fois les bons paramètres vous accédez à toute la base de registre
des fichiers temporaires internet, des sélectionnés, cliquez sur Analyse puis, de l’ordinateur cible.
documents récents, des fichiers dans la celle-ci terminée, sur Lancer le Nettoyage. Cette utilisation de la base de
corbeille, etc. Dans la même catégorie que registre est très efficace mais requiert
Si vous ne supprimez jamais CCleaner, il existe également : une très bonne connaissance en la
l’ensemble de ces petits fichiers, vous EasyCleaner, nCleaner ou encore Disk matière. Nous allons donc préférer
risquez d'avoir à supprimer plusieurs Mo Cleaner l’utilisation de logiciels spécialisés pour
ou Go. faire ce nettoyage.
Au lieu de chercher l’ensemble de Nettoyer la base de registre Nous allons donc utiliser Regseeker
ces fichiers à la main, nous allons faire Le registre de Windows est une base de offrant toute une palette de services
appel à des programmes permettant, données de configuration du système concernant la base de registre.
en un clic, d’éradiquer de votre disque d’exploitation et des divers logiciels L’interface de RegSeeker, même si elle
dur absolument tous les fichiers installés sur l’ordinateur. Elle a la est en anglais, est excessivement simple
indésirables et temporaires. Parmi eux, particularité d'être extrêmement sensible. d’utilisation.
il y a CCleaner. Après chaque installation, de nouvelles Choisissez les clés à analyser puis
CCleaner est vraiment ultra simple entrées s'effectuent dans la base de vérifiez que la case « Backup before
à utiliser. Dans un premier temps, vous registre mais ne se retirent pas forcément deletion » est effectivement activée.
utilisez sa fonction Nettoyeur et éliminez lors des désinstallations. Ensuite, cliquez simplement sur Ok !
toutes les traces et fichiers temporaires de Attention : toute opération sur la base pour lancer le nettoyage automatique (cf.
Windows et de vos diverses applications. de registre requiert une grande vigilance. Figure 6).
A vous de déterminer les applications Il est recommandé de systématiquement Une fois le scan terminé, il est
que vous souhaitez purger et celles faire une sauvegarde préalablement à possible de tout sélectionner en prenant
applications à épargner (cf. Figure 3) toute opération. soin de vérifier que les entrées rouges ne
présentent aucun risque. Si vous avez le
moindre doute quant à leur suppression,
ne supprimez que les entrées vertes (cf.
Figure 7).
Figure 3. Suppression des fichiers inutiles avec CCleaner Figure 5. Base de registre sous Windows
3/2010 HAKIN9 75
76 HAKIN9 3/2010
Les malwares • Les virus. Un virus est un programme avec les vers qui sont des programmes
Voici la dernière catégorie et non pas la capable de se propager à d'autres capables de se propager et de se
moindre, il s’agit des Malwares. Certains ordinateurs en s'insérant dans des dupliquer par leurs propres moyens
d’entre vous sont peut être en train de programmes légitimes appelés hôtes. sans contaminer de programme hôte.
sauter sur leur siège en se disant « Mais il En plus de se reproduire, un virus peut • Les vers (worms). Le ver est un
n’a pas parlé des virus !!!!! ». effectuer d'autres actions susceptibles programme qui se répand par courrier
Par définition, le terme Malware signifie de nuire à l'utilisateur de l'ordinateur électronique en profitant des failles
Logiciel malveillant et donc, inclut les virus infecté ou à d'autres utilisateurs reliés des logiciels de messagerie. Dès
ainsi que les vers. par réseau à l'ordinateur infecté. Les qu'un ver a infecté un ordinateur, il
Par définition (Cf Wikipédia) virus ne doivent pas être confondus tente d'infecter d'autres ordinateurs en
s'envoyant lui-même à des adresses
contenues dans le carnet d'adresses
de l'ordinateur infecté.
P U B L I C I T É
3/2010 HAKIN9 77
Anti-spywares :
• http://www.lavasoft.fr - Ad Aware
• http://www.safer-networking.org/index2.html - SpyBot
78 HAKIN9 3/2010
SecureIP Solutions
La sécurité de l’information est une chose importante pour les entreprises et même
pour les particuliers. C’est pourquoi SecureIP Solutions vous propose différents
produits et services pour protéger vos précieuses données tels qu’un service de
sauvegarde en ligne, les différents produits BitDefender et bien plus encore.
http://www.secureip.ca
NUMERANCE
NUMERANCE, Spécialisée dans la sécurité informatique, intervient auprès des
Petites et Moyennes Entreprises, en proposant des prestations d’audit, d’accompa-
gnement, et de formation.
http://www.numerance.fr
TippingPoint
TippingPoint est un leader mondial dans la prévention des intrusions réseaux
(Network IPS) de 50Mbps à 10Gigabits ainsi que la vérification d’intégrité de po-
ste et le contrôle d’accès du réseau (NAC).
Tél : 01 69 07 34 49, E-mail : francesales@tippingpoint.com
http://www.tippingpoint.com
Sysdream
Cabinet de conseil et centre de formation spécialisé en sécurité informatique. L’e-
xpérience c'est avant tout les recherches publiques, visant à améliorer la sécurité
des applications et des systèmes d’informations. Les résultats disponibles sur des
portails de recherche, dans la presse spécialisés.
http://www.sysdream.com
MICROCOMS
Microcoms est une société spécialisée dans les produits Microsoft qui a pour
vocation d'aider les particuliers, les TPE-PME et les professions libérales sur 6
axes principaux de l'informatique : Assister, Dépanner, Conseiller, Sécuriser, For-
mer, Maintenir.
Tél. : 01.45.36.05.81
e-mail : contact@microcoms.net
http://www.microcoms.net
Club .PRO
ALTOSPAM
Ne perdez plus de temps avec les spams et les virus. Sécurisez simplement vos
emails professionnels. ALTOSPAM est un logiciel externalisé de protection de la
messagerie électronique : anti-spam, anti-virus, anti-phishing, anti-scam...
Testez gratuitement notre service, mis en place en quelques minutes.
http://www.altospam.com OKTEY – 5, rue du Pic du Midi – 31150 GRATENTOUR
comment se dèfendre
ou par courrier :
Prénom/Nom ........................................................................................
Entreprise .............................................................................................
Adresse .................................................................................................
................................................................................................................
Ville ........................................................................................................
Téléphone .............................................................................................
Fax .........................................................................................................
................................................................................................................
................................................................................................................
................................................................................................................
PRIX D’ABONNEMENT
À HAKIN9 COMMENT SE DÉFENDRE : 35 €
Je règle par :
Carte bancaire n° CB
et recevez
un cadeau !
Virement bancaire :
Nom banque :
Nordea Bank Polska S.A.
banque guichet numéro de compte clé
IBAN : PL 55 1440 1101 0000 0000 1018 8113
Adresse Swift (Code BIC) : NDEAPLP2
DOSSIER ATTAQUE
Cloud Hosting • CISCO
• XSHM
Le bimestriel hakin9 est publié par Parc d’activités de Chesnes, 55 bd de la Noirée Abonnement (France métropolitaine, DOM/TOM) :
Software Press Sp. z o. o. SK BP 59 F - 38291 SAINT-QUENTIN-FALLAVIER 1 an (soit 6 numéros) 35 €
CEDEX La rédaction fait tout son possible pour s’assurer
(c) 2009 Software Press Sp. z o. o. SK, tous les que les logiciels sont à jour, elle décline toute
Président de Software Press Sp. z o. o. SK: droits réservés responsabilité pour leur utilisation. Elle ne fournit
Paweł Marciniak pas de support technique lié à l’installation ou
Directrice de la publication: Ewa Lozowicka Béta-testeurs : Didier Sicchia, l’utilisation des logiciels enregistrés sur le CD-ROM.
Redacteur en chef: Aneta Mazur Pierre Louvet, Anthony Marchetti, Tous les logos et marques déposés sont la
Régis Senet, Paul Amar, Julien Smyczynski, propriété de leurs propriétaires respectifs.
aneta.mazur@hakin9.org
Gregory Vernon, Latorre Christophe, Timotée
Fabrication: Andrzej Kuca
Neullas Le CD-ROM joint au magazine a été testé avec
andrzej.kuca@software.com.pl
AntiVirenKit de la société G Data Software Sp. z o.o.
Les personnes intéressées par la
coopération sont invitées à nous contacter : AVERTISSEMENT
DTP : fr@hakin9.org Les techniques présentées dans les articles ne
Przemysław Banasiewicz
peuvent être utilisées qu’au sein des réseaux
Couverture : Agnieszka Marchocka Préparation du CD : Rafal Kwaśny internes.
Couverture CD : Przemyslaw Banasiewicz Imprimerie, photogravure :
Publicité : publicite@software.com.pl ArtDruk www.artdruk.com La rédaction du magazine n’est pas responsable
Abonnement : abo_fr@software.com.pl Adresse de correspondance : de l’utilisation incorrecte des techniques
Diffusion : Ilona Lepieszka Software Press Sp. z o. o. SK présentées.
Ilona.lepieszka@software.com.pl Bokserska 1, 02-682 Varsovie, Pologne
Dépôt légal : à parution Tél. +48 22 427 32 87, Fax. +48 22 244 24 59 L’utilisation des techniques présentées peut
ISSN : 1731-7037 www.hakin9.org provoquer la perte des données !
Distribution : MLP