Professional Documents
Culture Documents
PLAN
1. INTRODUCTION
2. Un système d'information.
1. Architecture.
2. Logiciels de communications.
3. Les actions pirates.
1. Le décryptage des mots de passe.
1. introduction
2. le fonctionnement des logiciels "crackers".
2. Le "sniffage" des mots de passe.
3. L'accès à des données "interdites".
1. chercher les trous de sécurité
2. La mascarade IP(ip spoofing)
3. Le détournement de paquets IP (ip spoofing + icmp redirects)
4. Le détournement de paquets éthernet (ARP spoofing)
5. Le détournement de paquets IP par détournement de leur route
6. Le routage a la source (source routing)
7. Recuperer le fichier des mots de passe
4. Endommager un système
1. Crasher une machine avec une "Land attack".(exemple typique de
bug)
2. Crasher une machine avec une "Teardrop attack".
3. Endomager X-Window
4. Les moyens de protection.
1. Utilisation de xhost, .rhosts.
2. Controle d'accès des serveurs au moyen de:
3. Configuration des routeurs et création d'un firewall.
1. Le filtrage au niveau des routeurs
2. Le filtrage au niveau des machines : Utilisation de inetd + tcpd.
3. Le filtrage au niveau des machines : Utilisation de xinetd.
4. Syslog et vérification des fichiers de log
5. Conclusion
------------------------------------------------------------------------------
1
INTRODUCTION
La sécurité informatique est une notion de plus en plus présente dans le monde
actuel. En effet, l'informatique joue un rôle de plus en plus important au sein de
l'entreprise et la moindre défaillance du système informatique aurait de lourdes
conséquences sur sa productivité. De plus, les systèmes d'informations de
l'entreprise sont de plus en plus ouverts sur le monde ce qui ouvre une voie
d'accès a l'entreprise a n'importe qui.
Cette page Web a pour but de donner un aperçu sur les différents types de
piratages et quand c'est possible, d'y proposer un remède.
Un système d'information.
Le système d'information a pour but l'échange d'informations entre différents
logiciels situes sur une machine seule ou sur des machines distantes.
2
Nous pouvons classer les réseaux en plusieurs catégories par ordre croissant de
risque :
Un terminal est compose d'un clavier, d'un écran et d'une interface le reliant a
un gros ordinateur.
Plusieurs utilisateurs peuvent travailler en même temps sur le gros ordinateur.
idem que précédemment mais possibilité communications inter-ecran/display
(voir xhost)
pour le cas de terminaux X.
idem que pour un réseau local mais en plus il y a communication avec des
réseaux extérieurs, utilisation de routeurs.
une attaque pourrait venir de n'importe ou dans le monde.
3
Logiciels de communications. Les logiciels de communication ont 2 buts
différents :
Ils utilisent les protocoles servant a la gestion du système (NIS, NFS, RIP,
SNMP, Syslog etc..)
ex : routed, gated, ypbind etc...
+ Login distants (rlogin, telnet etc..).
4
SNMP=Simple Network Management Protocole : permet d'administrer un
réseau a distance.
Ils utilisent des protocoles comme SMTP (pour les mails), HTTP (pour les pages
Web),FTP (pour les transferts de fichiers) ainsi que tous les protocoles
propriétaires.
Un piratage de ces communications n'affecterait que les applications et
utilisateurs concernes.
5
Les systèmes Unix sont multi-utilisateurs ce qui nécessite un mécanisme
d'identification de l'utilisateur nécessaire a l'autorisation de login.
C'est le mécanisme du mot de passe qui est utilise (il peut y avoir sur certains
systèmes des mécanismes de reconnaissance vocale, ou de reconnaissance
d'empreintes digitales etc ..).
Dans la plus part des systèmes Unix, c'est le fichier /etc/passwd qui contient les
mots de passe cryptes associes aux noms de login.
Ce fichier est accessible en lecture par tout utilisateur de la machine et par tout
programme tournant sur la machine y compris les programmes cgi (voir plus
loin).
N'importe quel utilisateur de la machine peut alors récupérer ce fichier et faire
tourner chez lui un programme qui va décrypter les mots de passe sans que
personne ne le sache.
Ce fichier peut aussi être récupéré par des utilisateurs extérieurs (voir : accès à
des données "interdites") le fonctionnement des logiciels "crackers"
Rem : il suffit qu'un seul mot de passe soit trouve pour pouvoir utiliser
illegalement la machine.
Le "sniffage" des mots de passe.
1er cas :
L'attaquant recupere le trames ethernet qui circulent sur le reseau avec un
logiciel comme TCPDUMP ou Snoop ...
Dans ce cas, l'attaquant (le sniffeur) doit se trouver sur le meme reseau local que
la cible qui emmet son mot de passe ou alors sur le meme reseau local que le
recepteur (un serveur).
Il attent que la cible se connecte sur un serveur qui attend son mot de passe ex :
rlogin, telnet, ftp etc ...
et en general, le mot de passe se trouve en clair dans les premieres trames
6
echangees.
attention : un cas particulier est celui ou le sniffeur se trouve sur un reseau par
lequel va transiter le mot de passe (en effet, celui-ci est transmit de routeurs en
routeurs par IP jusqu'au reseau ou se trouve le serveur recepteur).
2eme cas :
L'attaquant ouvre un DISPLAY sur l'ordinateur de la cible et recupere les
touches frappees par celle-ci.
Ce type d'attaque n'est possible que dans un environnement X-Window, mais
l'attaque peut venir de n'importe ou sur Internet (l'attaquant peut etre separe
de la cible par 1 ou plusieurs routeurs).
Pour cela, la commande unix Traceroute permet de savoir quel est le "chemin"
vers la cible.
exemple :
traceroute www.supaero.fr
traceroute to iris.supaero.fr (134.212.188.2), 30 hops max, 20 byte packets
1 cisco33 (139.124.33.250) 2 ms 2 ms 2 ms
2 ciscocampus (139.124.250.250) 3 ms 3 ms 2 ms
3 193.48.48.137 (193.48.48.137) 6 ms 6 ms 7 ms
4 marseille1.r3t2.ft.net (193.48.48.17) 22 ms 21 ms 6 ms
5 marseille.renater.ft.net (193.48.48.249) 18 ms 20 ms 12 ms
6 stamand1.renater.ft.net (195.220.180.21) 44 ms 48 ms 31 ms
7 stamand2.renater.ft.net (195.220.180.42) 47 ms 37 ms 41 ms
8 toulouse.renater.ft.net (192.93.43.38) 50 ms 52 ms 48 ms
9 toulouse1.remip.ft.net (192.70.80.100) 44 ms 47 ms 44 ms
10 onera-cert-toulouse.remip.ft.net (193.55.155.98) 54 ms 53 ms 51 ms
11 memphisP1.onecert.fr (134.212.177.1) 53 ms 48 ms 48 ms
12 iris.supaero.fr (134.212.188.2) 58 ms 46 ms 56 ms
7
=> la cible est sur un reseau de classe B. (subnette ?)
Avec nslookup
exemple :
conan /export/conan/home/promo98/dev/securite :nslookup
Using /etc/hosts on: conan
> www.supaero.fr
Using /etc/hosts on: conan
Name: iris.supaero.fr
Address: 134.212.188.2
exemple :
conan /export/conan/home/promo98/dev/securite :nslookup
Using /etc/hosts on: conan
> 134.212.188.1
Using /etc/hosts on: conan
Name: naurouze.cert.fr
Address: 134.212.188.1
=> on apprend que le www de sup-aero est sur le meme reseau local que la
machine naurouze.cert.fr du CERT (ils ont la meme politique de securite).
8
extérieur de se faire passer pour une machine du réseau intérieur et ainsi de
profiter de tous ses droits.
L'attaquant donne a son ordinateur l'adresse IP d'une machine appartenant au
réseau interne.
Rem 1 : Le site interne peut aussi donner des droits a un site externe dit "ami".
l'attaquant pourra alors se faire passer pour une des machines externe du site
ami.
hasard.
Voici le filtre de type TCP Wrapper du "serveur X" qui est abuse par une
attaque de type mascarade.
monhost a l'@IP:144.135.10.1
monhost / :cat /etc/hosts.allow
fingerd : ALL : ( mail -s finger-from-%h admin@monhost.mon-domaine.fr )
ALL : LOCAL
ALL : .mon-domaine.fr
ALL : 144.135.10. ==========>monhost autorise accès a tous ses
9
daemons a toute machine dont l'adresse IP commence par 144.135.10.
demandée
10
station ayant pour destination son routeur par défaut vers une autre station du
même réseau local causant la perte des paquets.
===> la station attaquée ne peut plus émettre vers l'extérieur.
La trame icmp est encapsulee dans une trame IP : l'attaquant peut être
extérieur au réseau interne.
La station qui reçoit la trame icmp vérifie qu'elle vient bien de son routeur par
défaut => l'attaquant doit utiliser l'IP spoofing pour se faire passer pour le
routeur par défaut.Les attaques spoofing ip + icmp
redirects Le détournement de
paquets éthernet (arp spoofing)Le détournement de paquets éthernet n'est
possible que sur un réseau local.
Rappels sur l'utilisation d'ARP :
ARP est un protocole nécessaire a la communication sur un réseau local éthernet.
En général, les applications communiquent entre elles grâce a la couche 5 (TCP).
Elles utilisent comme paramètres l' adresse IP et le port de la machine sur laquelle
s'exécute l'application distante.
L'idee est de transmettre (router) les paquets de données a travers tout Internet
11
jusqu'au dernier routeur : celui qui possède la station distante sur un des ses réseaux
locaux(éthernet) et qui se chargera de transmettre au niveau local (dans une trame
éthernet avec comme @ethernet destination celle de la station distante) les paquets de
données.
La difficulté pour le routeur est de passer de l'@IP qui lui a été fourni par le routeur
précédent et qui sert au niveau global pour le routage a l'@ethernet qui sert au niveau
local.
ARP réalise la conversion @IP -> @éthernet.
Le routeur envoie une trame ARP request en diffusion sur son réseau local.
Une station reconnaît son adresse IP et retourne alors au routeur une trame ARP
réponse contenant son adresse éthernet.
rem : la trame ARP agissant au niveau local est encapsulé dans une trame éthernet.
12
spoofing Voici quelques
passages d'un programme permettant d'envoyer des trames arp :
struct arp_packet {
// pour la partie éthernet :
u_char targ_hw_addr[ETH_HW_ADDR_LEN]; // @eth destination
u_char src_hw_addr[ETH_HW_ADDR_LEN]; // @eth source
u_short frame_type; // type du paquet encapsulé dans la trame éthernet
// pour la partie arp :
u_short hw_type; // type de hard 0001=ethernet
u_short prot_type; // type d'@ que l'on veut résoudre 0800=internet
u_char hw_addr_size; // longueur des @éthernet
u_char prot_addr_size; // longueur des @IP
u_short op; // code du paquet
u_char sndr_hw_addr[ETH_HW_ADDR_LEN]; // @eth source
u_char sndr_ip_addr[IP_ADDR_LEN]; // @IP source
u_char rcpt_hw_addr[ETH_HW_ADDR_LEN]; // @eth cible
u_char rcpt_ip_addr[IP_ADDR_LEN]; // @IP cible
u_char padding[18]; //bourrage pour ethernet=min 64 octets
};
sock=socket(AF_INET,SOCK_PACKET,htons(ETH_P_RARP));
pkt.frame_type = htons(ARP_FRAME_TYPE);
13
pkt.hw_type = htons(ETHER_HW_TYPE);
pkt.prot_type = htons(IP_PROTO_TYPE);
pkt.hw_addr_size = ETH_HW_ADDR_LEN;
pkt.prot_addr_size = IP_ADDR_LEN;
pkt.op=htons(OP_ARP_REQUEST);
get_hw_addr(pkt.targ_hw_addr,argv[4]);
get_hw_addr(pkt.rcpt_hw_addr,argv[4]);
get_hw_addr(pkt.src_hw_addr,argv[2]);
get_hw_addr(pkt.sndr_hw_addr,argv[2]);
get_ip_addr(&src_in_addr,argv[1]);
get_ip_addr(&targ_in_addr,argv[3]);
14
Le détournement de paquets
IP
rem 2 : RIP est utilise a l'interieur du systeme autonome ce qui limite un peu ce
type d'attaque.
15
Le routage a la source
(source routing)
Il est possible de préciser dans un paquet IP la route exacte qu'il doit suivre.
Dans ce cas, les routeurs considèrent ces paquets comme prioritaires et les
laissent passer sans leur appliquer de filtre.
De plus, la réponse parcourra le même chemin qu'a l'allée ce qui veut dire que
si quelqu'un fait de l'IP spoofing, celui qui reçoit le paquet va y répondre a
n'importe qui.
16
Recuperer le fichier des mots de passe
Ce fichier s'appelle généralement /etc/passwd ou aussi /etc/shadow dans le cas de
mots de passe caches. Pour les systèmes utilisant les yellow pages (NIS) il est
accessible par la commande ypcat passwd.
buffet /tmp/.X11-unix :l
total 3
drwxrwxrwx 2 root sys 512 Dec 20 20:49 .
drwxrwxrwt 6 sys sys 1024 Dec 24 16:20 ..
Srwxrwxrwx 1 root sys 0 Dec 20 20:49 X0
buffet /tmp/.X11-unix :mv X0 Y0
17
L'effacer peut aussi empêcher l'ouverture de fenêtres (xterm...) sur d'autres
systèmes (sur Linux).
Crasher une machine avec une "Land Attack"Le principe d'une Land Attack :
Envoyer un paquet masque (spoofed) sur la machine cible sur un port en cours
d'utilisation avec le bit SYN mis a 1 et l'@IP source et le port source EGAL a
@IP cible et le port cible.
18
HP-UX 10.20 IS vulnérable
IRIX 6.2 NOT vulnérable
Linux 2.0.30 NOT vulnérable
Linux 2.0.32 NOT vulnérable
MacOS 8.0 IS vulnérable (TCP/IP stack crashed)
NetBSD 1.2 IS vulnérable
NeXTSTEP 3.0 IS vulnérable
NeXTSTEp 3.1 IS vulnérable
Novell 4.11 NOT vulnérable
OpenBSD 2.1 IS vulnérable
OpenBSD 2.2 (Oct31) NOT vulnérable
SCO OpenServer 5.0.4 NOT vulnérable
Solaris 2.5.1 IS vulnérable (conflicting reports)
SunOS 4.1.4 IS vulnérable
Windows 95 (vanilla) IS vulnérable
Windows 95 + Winsock 2 + VIPUPD.EXE IS vulnérable
tcpdump -x
tcpdump: listening on eth0
20:54:56.030574 linux20.35616 > 139.124.51.48.49398: udp 28 (frag 242:36@0+)
4500 0038 00f2 2000 4011 dc86 8b7c 3314
8b7c 3330 8b20 c0f6 0024 0000 0000 0000
19
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000
20:54:56.070574 linux20 > 139.124.51.48: (frag 242:4@24)
4500 0018 00f2 0003 4011 fca3 8b7c 3314
8b7c 3330 8b20 c0f6
ex:
xhost + autorise l'ouverture pour toutes les autres machines.
xhost + hostname autorise l'ouverture pour la machine hostname
xhost - interditl'ouverture pour toutes les autres machines.
xhost - hostname interdit l'ouverture pour la machine hostname
.rhosts est un fichier qui contient tous les noms de machine a partir de laquelle tel ou
tel utilisateur peut se rloguer sans taper de mot de passe
=> le mot de passe ne circule pas sur le reseau Utilisation de inetd + tcpd
20
#in.fingerd: LOCAL :spawn (echo "finger local ok by %h %u %d"|Mail -s report
root)&
in.fingerd: .esil.univ-mrs.fr :spawn (echo "finger ok by %h %u %d"|Mail -s
report root)&
ALL EXCEPT in.fingerd: 139.124Utilisation de xinetd
Le filtrage permet de faire une sélection des paquets qui passent par le routeur.
Un filtre est une table située dans le routeur au format suivant:
autorisation protocole @IPsource son_masque @IPdest son_masque op port
(permit/deny) (tcp/ip..) @ et masques (eq/gt..) port
21
! no ip source-routing //commentaire rappelant que le
routeur est configure pour ne pas admettre de paquets IP contenant leur route a
suivre (cette configuration est independante du système de filtrage).
=> en effet, ces paquets ne sont jamais filtres.
!
! Filtres sur interface (a) en entrÕe
! ===================================
!
! Protection contre la mascarade
access-list 101 deny ip X.Y.0.0 0.0.255.255 0.0.0.0 255.255.255.255
=>interdire toutes les @IP source (du réseau externe : Internet) dont la partie
réseau est X.Y. et allant vers toutes les machines du réseau interne.
On a vu que la mascarade etait a l'origine de nombreux types d'attaques
complexes. Celles-ci sont rendues totalement ineficaces juste grace a cette ligne
du filtre disant que tout paquet provenant d'un réseau exterieur ne doit pas
avoir ne doit pas avoir son adresse réseau egale a celle du réseau interieur (ici
X.Y.).
Cette condition realisee, aucune machine exterieure ne pourra avoir la même
adresse IP qu'une machine interieur (son adresse réseau etant toujours
differente).
!
! Eviter des attaques douteuses.
!
access-list 101 deny ip 127.0.0.0 0.255.255.255 0.0.0.0 255.255.255.255
=>interdire les @IP source commencant par 127.
En effet, les @IP commencant par 127 sont reservees par ex : 127.0.0.1 est l'@
de loopback.
!
! Regle explicite pour n'autoriser sur le réseau d'interconnexion
! que les deux CISCO (utile?)
!
access-list 101 permit ip E.F.G.1 0.0.0.0 E.F.G.2 0.0.0.0
!
! autoriser tout ce qui entre si la destination est A.B.C.0 (autre site ami)
!
access-list 101 permit ip 0.0.0.0 255.255.255.255 A.B.C.0 0.0.0.255
=>autoriser a toutes les machines exterieures de communiquer avec toutes les
machines interieures appartenant au réseau A.B.C.
!
22
! Barrer la route Á qui l'on veut (sites vraiment douteux), et pour tout!
!
access-list 101 deny ip a.b.c.0 0.0.255.255 0.0.0.0 255.255.255.255
=>interdire a toutes les machines du réseau a.b.c de communiquer avec toutes les
machines du réseau interieur.
!
! Pour certains sites (un peu douteux) ne leur autoriser que le mail, le DNS
! et les choses dont les port sont >1023
!
access-list 101 permit tcp b.n.0.0 0.0.255.255 0.0.0.0 255.255.255.255 gt 1023
access-list 101 permit udp b.n.0.0 0.0.255.255 0.0.0.0 255.255.255.255 gt 1023
access-list 101 permit udp b.n.0.0 0.0.255.255 0.0.0.0 255.255.255.255 eq 25
access-list 101 permit udp b.n.0.0 0.0.255.255 0.0.0.0 255.255.255.255 eq 53
access-list 101 deny ip b.n.0.0 0.0.255.255 0.0.0.0 255.255.255.255
!
! interdire les connexions entrantes tftp, portmapper, NFS,
!
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq
69
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq
111
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq
111
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq
2048
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq
2049
!
! empêcher accès aux terminaux X
!
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6000
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6001
=>empeche un ordinateur externe d'ouvrir un DISPLAY sur un ordinateur
interne.
En effet, l'ouverture d'un DISPLAY sur un ordinateur distant permet de
récupérer tous les caracteres tapes sur celui-ci dont les mots de passe (sniffing).
!
! autoriser telnet vers une machine uniquement
! (machine que l'on peut considÕrer comme bastion)
23
!
permit tcp 0.0.0.0 255.255.255.255 X.Y.x.y 0.0.0.0 eq 23
=>type de filtre nécessaire pour la construction d'un firewall : envoyer les
trames vers une machine contenant des proxy.
!
! barrer accès telnet, rlogin et rsh vers le reste
!
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 23
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 512
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 513
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 514
!
!
! ...et autoriser tout le reste.
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
=>dans cet exemple de filtre, les accès sont tres larges. Il serait interessant de
proteger en plus certains services comme les daemons fingerd (port 79), syslogd
(port 514), netBios(port 137,138,139), SNMP (port 161,162), routed (port 520), .
On vient de voir qu'un routeur filtrant ne protege qu'un minimum le réseau interne
(on acceptera toujours des trames suceptibles être dangereuses).
Un premier pas vers un veritable firewall :
On peut donc a la place d'utiliser les filtres, imposer aux routeurs d'envoyer toutes les
trames qu'ils recoivent a une machine P, dans un réseau dit bastion, qui va les
prendres en charges pour assurer d'un cote le dialogue avec la machine externe et
d'un autre le dialogue avec la machine interne (le logiciel de la machine P qui se
charge de ces operations est appele proxy).
REM 1 : pour envoyer tous les paquets IP vers P, il faut que P soit declare comme
"routeur" de passage obligatoire pour traverse le réseau bastion sur les 2 routeurs qui
entourent ce réseau bastion (ces 2 routeurs ne doivent pas se
24
connaitre).
REM 2 : la machine P ne devrait pas faire marcher ses couches 3 et sup (pour ne pas
perdre son temps a jeter les paquets IP qui ne lui sont pas destines) et pour laisser agir
le logiciel "proxy".
REM 3 : le logiciel "proxy" doit prentre en charge les paquets au niveau éthernet et se
servire des entetes ip et tcp pour de l'autre cote ouvrir une connexion avec le
destinataire normal. C.a.d. le proxy doit gerer toutes les couches du modele OSI =>
On arrive la a la notion de PASSERELLE.
D'ou le deuxieme pas : Rassembler les 2 routeurs et les proxys en une seule machine :
une passerelle (gateway) specialisee sécurité.
Cette machine utilise un noyau securise : par exemple un noyau unix modifie pour le
seul fonctionnement des services du firewall.
Cette passerelle peut mettre en oeuvre tous les mécanismes qu'elle veut avant que le
proxy etablisse la connexion avec l'interieur : filtrage, authentification du client (ex :
avec le programme Sock), etc...
25
mailbox.nomreseau.fr - - [20/Jan/1998:13:42:35 +0100] "GET /Eleves/P98/dev/
HTTP/1.0" 200 644 "-" "Mozilla/3.0 (X11; I; IRIX 5.3 IP20) via proxy gateway
CERN-HTTPD/3.0 libwww/2.17"
mettant en evidance l'utilisation de proxy dans un firewall.
Voici une liste de sites proposant une solution firewall-proxy:
http://www.actane.com/ : firewall utilisant SNMP
http://www.wingate.net/
Les types d'attaques se basant sur des bugs des logiciels de communication (ici
IP et TCP : teardrop, land attack etc ...) sont beaucoup plus difficiles a controler.
En effet, l'administrateur système doit attendre que l'editeur ou le constructeur
distribue un patch qui corrige l'erreur.
26
Entre le temps que le bug soit decouvert par les organismes de sécurité et
corrige, les pirates ont tout leur temps de l'exploiter.
Les adminstrateurs systèmes doivent en permanance se tenir au courant de ces
bugs en etant abonne aux listes les concernant ex :
http://www.netsys.com/firewalls/ .(backup)
ou la liste d'ISS (Internet security systems) :
mail majordomo@iss.net avec dans le corp du message : subscribe alert <your
email>
Le site ISS propose aussi des logiciels de sécurité : internet security systems
:www.iss.net
Rem : on peut penser que logiciels de sécurité vont evoluer en parallele des
logiciels anti-virus et suivant les memes principes :
• un nouveau virus est identifie => l' antivirus doit evoluer pour le prendre
en compte
• une nouvelle methode de piratage est identifiee => le logiciel de sécurité
doit evoluer pour la prendre en compte.
Pour finir, pour ceux qui veulent être toujours au courant des nouveaux
problèmes de sécurité : Internet vous apportera toujours la solution : un moteur
de recherche associe a la requete "security hole" ou firewall+proxy vous donnera
des réponses precises.
27