Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Save to My Library
Look up keyword
Like this
3Activity
0 of .
Results for:
No results containing your search query
P. 1
SSTIC03-article-Ruff-Le_spyware_dans_Windows_XP NASRO@

SSTIC03-article-Ruff-Le_spyware_dans_Windows_XP NASRO@

Ratings: (0)|Views: 19 |Likes:
Published by api-3746044

More info:

Published by: api-3746044 on Nov 30, 2009
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

03/18/2014

pdf

text

original

Le Spyware dans Windows XP
Nicolas Ru\ufb00
EdelWeb
Nicolas.ruff@edelweb.fr
1 Introduction
1.1 Contexte
Le SpyWare, en lien avec le respect de la vie priv\u00b4ee, est un sujet `

a la mode en ce moment - tout particuli`erement dans ce contexte de lutte contre le terrorisme o`

u nos libert\u00b4es individuelles sont menac\u00b4ees.

En France des lois de plus en plus restrictives sont adopt\u00b4ees (Loi S\u00b4ecurit\u00b4e Quotidienne, Loi sur la Con\ufb01ance dans l\u2019Economie Num\u00b4erique), dont certaines autorisent des formes d\u2019espionnage \u201dl\u00b4egal\u201d (\u00b4ecoute, conservation de traces).

Le g\u00b4eant Microsoft fait na\u02c6\u0131tre de nombreuses angoisses compte-tenu de l\u2019h\u00b4eg\u00b4emonie
du syst`eme d\u2019exploitation Windows et de la facilit\u00b4e avec laquelle celui-ci pourrait
se transformer en instrument d\u2019espionnage mondial (si \u00b8
ca n\u2019est d\u00b4ej`
a le cas).

De nombreuses alertes - dont la m\u00b4ediatisation n\u2019est pas toujours proportion- nelle au risque r\u00b4eel (ex. \u201dsupercookie\u201d Windows Media), ainsi que les nouveaut\u00b4es de Windows XP telles que le \u201dProduct Activation\u201d, ont contribu\u00b4e `

a diminuer la con\ufb01ance des utilisateurs \ufb01naux que nous sommes. Sans parler des initiatives TCPA et Palladium, dont il ne sera pas question ici, mais qui pr\u00b4e\ufb01gurent un avenir \u201dconnect\u00b4e\u201d.

1.2 Objectif

L\u2019objectif de cette pr\u00b4esentation est de faire un tour d\u2019horizon des principales nouveaut\u00b4es de Windows XP dont la fonction est de pr`es ou de loin d\u00b4ependante d\u2019une communication avec un serveur Web Microsoft. Une analyse factuelle des sites contact\u00b4es, des informations \u00b4echang\u00b4ees et des possibilit\u00b4es d\u2019exploitation de ces informations par Microsoft sera r\u00b4ealis\u00b4ee \u2013lorsque cela est possible.

Cette pr\u00b4esentation souhaite rester objective sans alimenter de fantasmes, tout en mentionnant les zones d\u2019ombre qui persistent des m\u00b4ecanismes \u00b4echappant `

a l\u2019analyse. En\ufb01n des solutions concr`etes et applicables pour limiter les \ufb02ux `
a
destination d\u2019Internet seront propos\u00b4ees en guise de conclusion.
1.3 Moyens
Le document de r\u00b4ef\u00b4erence de cette \u00b4etude est un \u201dwhite paper\u201d Microsoft de
pr`es de 200 pages d\u00b4edi\u00b4e au th`eme des communications avec Internet :
2
Actes du symposium SSTIC03
\u201dUsing Windows XP Pro SP1 in a Managed Environment : Controlling Com-
munication with the Internet\u201d

Ce document a \u00b4et\u00b4e d\u00b4ecortiqu\u00b4e et valid\u00b4e sur di\ufb00\u00b4erentes plateformes de test au sein du laboratoire R&D de EdelWeb. Les r\u00b4esultats de ces travaux, ainsi que d\u2019autres men\u00b4es par des soci\u00b4et\u00b4es tierces (tels que les auteurs des outils \u201dAd- Aware\u201d ou \u201dXP AntiSpy\u201d) sont pr\u00b4esent\u00b4es ici.

2 Noyau
3 Installation
D`es l\u2019installation, Windows recherche une connexion r\u00b4eseau a\ufb01n d\u2019acc\u00b4eder
aux sites de mise `

a jour et d\u2019activation produit. Windows dispose pour cela de 2 m\u00b4ethodes : \u2013 Con\ufb01guration manuelle

\u2013 Autod\u00b4etection de la con\ufb01guration r\u00b4eseau, selon les m\u00b4ethodes d\u00b4ecrites ci-
dessous
M\u00b4ethode 1: via des options DHCP
Si la con\ufb01guration de l\u2019interface r\u00b4eseau a \u00b4et\u00b4e obtenue depuis un serveur
DHCP, Windows envoie un message DHCP \u201dInform\u201d `
a ce serveur pour lui de-
mander les options suivantes :
\u2013 Informations envoy\u00b4ees

\u2013 12 Hostname = \u201dmachine name\u201d
\u2013 53 Message Type = \u201dInform\u201d
\u2013 60 Vendor = \u201dMSFT 5.0\u201d
\u2013 61 Client ID = Ethernet + MAC Address
\u2013 55 Parameters (cf. ci-dessous)

\u2013 Informations demand\u00b4ees
\u2013 1 : subnet
\u2013 3 : router
\u2013 6 : DNS

\u2013 12 : hostname
\u2013 15 : domain name
\u2013 31 : router discovery
\u2013 33 : static route
\u2013 43 [param`etres sp\u00b4eci\ufb01ques au vendeur] Non document\u00b4e
\u2013 44, 46, 47 : NetBT con\ufb01guration
\u2013 249 [extension Microsoft] Non document\u00b4e
\u2013 252 [extension Microsoft] Option WPAD (cf. Q296591)

M\u00b4ethode 2: via une requ\u02c6ete DNS
Windows utilise l\u2019extension WPAD (Web Proxy Auto Discovery) : il e\ufb00ectue
une r\u00b4esolution DNS sur le nom wpad.\u00a1domaine\u00bf, o`
u \u00a1domaine\u00bf instancie tous les
domaines connus du client.
Actes du symposium SSTIC03
3
Remarque : d\u2019apr`es la documentation disponible, les m\u00b4ecanismes d\u2019autocon-
\ufb01guration ont \u00b4et\u00b4e am\u00b4elior\u00b4es dans Windows 2003.
3.1 Activation
Pr\u00b4esentation g\u00b4en\u00b4eraleIl ne faut pas confondre \u201dactivation\u201d et \u201denregistre-
ment\u201d du produit.
\u2013 L\u2019activation permet d\u2019obtenir une licence d\u00b4e\ufb01nitive `

a partir de la cl\u00b4e de licence coll\u00b4ee sur le bo\u02c6\u0131tier du CD. Elle est obligatoire sous 90 jours. Les cl\u00b4es de licence dites \u201den volume\u201d outrepassent cette fonction. L\u2019objectif principal annonc\u00b4e par Microsoft est la lutte contre le piratage.

\u2013 L\u2019enregistrement permet de d\u00b4eclarer aupr`es de Microsoft l\u2019installation de
logiciels. Cette op\u00b4eration est facultative.
D\u00b4etails techniquesLe processus d\u2019activation du produit est complexe et tr`es

bien document\u00b4e par le sitehttp://www.licenturion.com/xp/. Pour r\u00b4esumer, la cl\u00b4e de licence temporaire est utilis\u00b4ee en conjonction avec les param`etres ci- dessous et d\u2019autres \u00b4el\u00b4ements tels qu\u2019une cl\u00b4e Microsoft et un al\u00b4ea pour g\u00b4en\u00b4erer un ID d\u2019installation. A cet ID correspond une cl\u00b4e de licence d\u00b4e\ufb01nitive qui ne peut \u02c6etre calcul\u00b4ee que par le support Microsoft. Les algorithmes utilis\u00b4es (MD5 et SHA-1 entre autres) sont `

a sens unique et ne permettent pas de reconstituer

les informations initiales.
Param`etres mat\u00b4eriels pris en compte :
\u2013 Num\u00b4ero de s\u00b4erie de la partition syst`eme
\u2013 Adresse MAC de l\u2019interface r\u00b4eseau
\u2013 Cha\u02c6\u0131ne d\u2019identi\ufb01cation du CD-ROM
\u2013 Cha\u02c6\u0131ne d\u2019identi\ufb01cation de la carte graphique
\u2013 CPU ID
\u2013 Cha\u02c6\u0131ne d\u2019identi\ufb01cation du disque dur
\u2013 Cha\u02c6\u0131ne d\u2019identi\ufb01cation de la carte SCSI
\u2013 Cha\u02c6\u0131ne d\u2019identi\ufb01cation du contr\u02c6

oleur IDE
\u2013 Mod`ele de CPU
\u2013 RAM install\u00b4ee (en puissances de 32 Mo)
\u2013 Syst`eme amovible ou non

D`es lors que plus de 3 des param`etres ci-dessus sont modi\ufb01\u00b4es, le produit doit
\u02c6etre r\u00b4eactiv\u00b4e.

L\u2019outil d\u2019enregistrement est MSOOBE.EXE (%WinDir%\System32\OOBE) - pour \u201dOut Of the Box Experience\u201d. Celui-ci supporte 2 m\u00b4ethodes de trans- mission : le t\u00b4el\u00b4ephone ou Internet. Dans ce dernier cas, c\u2019est le sitehttp:

//wpa.one.microsoft.com/qui est contact\u00b4e.
Le stockage de la cl\u00b4e de licence d\u00b4e\ufb01ntive s\u2019e\ufb00ectue dans :
%WinDir%\System32\wpa.dbl
HKLM\SYSTEM\WPA

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->