Un point sur les attaques réseau

L’image stéréotypée du pirate informatique est celle d’un jeune homme (dans les 20 ans, parfois moins), socialement en marge. Les pirates ont leur propre contre-culture : des surnoms de pirates, des rites, un langage et des règles. Comme dans toute sous-culture, seul un petit pourcentage de ces pirates est véritablement intelligent. Les vrais pirates ont des connaissances de base en matière de technologie et sont poussés par le désir d’apprendre. Les autres sont des fabulateurs sans talent et des parasites. On les appele parfois des lamers ou des script kiddies (qui, avec des connaissances de base utilisent les scripts créés par les vrais hackers, ils n'ont aucune connaissance pointue). Ce n’est pas la seule sous-catégorie de hackers. On peut citer les Curious Joe, des personnes très curieuses de leur art et qui en connaissent assez pour faire des dégâts. Leurs vecteurs d'apprentissage a été Telnet, les sites FTP. Ces Curious Joe veulent tester leurs trouvailles et leurs outils sans intention foncièrement mauvaise. Souvent par leur inexpérience, ils sont néfastes involontairement. Les Wannabes sont les nouvelles forces du hacking. Ces personnes ont une véritable ambition de recherche de la connaissance dans le milieu du Hacking. Ils souhaitent devenir des élites. Ils pratiquent souvent l'amélioration de scripts de hacks déjà existants. Une fois que ces wannabes développent leurs propres scripts, ils deviennent des élites. Parmi les élites, plusieurs catégories éxistent aussi. On note les White Hats, des consultants en sécurité, des adminitrateurs réseaux ou des cyberpoliciers. Ils ont un grand sens de l'éthique et de la déontologie. Ce qu'ils aiment dans le hacking est un subtil mélange de défi, de jeu, de fierté et d'argent. Les Black Hats constituent un autre sous-ensemble des élites, ce sont eux les véritables nuisances de la famille des hackers. Ce sont eux les cybercriminels : créateurs de virus, cyber espions, cyber terrorists et cyber escrocs. Pour en finir avec les élites on indique l’existence des Grey Hats ayant une position un peu intermédiaire entre les deux sous-catégories précédentes. Ils ne rechignent pas à pénétrer dans des sytèmes mais ne veulent pas tout mettre sans dessus dessous.

Certains pirates ont des compétences considérables, parfois supérieures à celle des concepteurs d’origine du système. Ils examinent le système de l’extérieur avec un oeil d’assaillant et non pas de l’intérieur avec le regard d’un concepteur. Ils disposent en général de peu de moyens financiers mais de beaucoup de temps. Certains d’entre eux ont peur du risque et ne s’approchent qu’avec précaution des limites de la loi, alors que d’autres ne craignent pas les poursuites et s’adonnent à des activités illégales sans considérer les risques encourus. On trouve des groupes de discussions sur le piratage, des sites web et des colloques consacrés au piratage. Les pirates s’échangent entre eux des attaques et des outils d’attaques automatisés. La plupart des activités liées au piratage sont illégales. En excluant les quelques pirates travaillant dans les centres de recherche et évaluant la sécurité de système, on considère dans un cadre illégal les pirates qui s’infiltrent dans les réseaux d’autrui, détournent des pages web, bloquent des ordinateurs, diffusent des virus. Ces individus sont des criminels et la société doit les traiter comme tels. C’est pourquoi, la plupart des organisations manifestent quelques craintes à employer des pirates. On trouve néanmoins quelques exceptions comme le gouvernement à Washington qui propose des postes de spécialistes en sécurité. Certains pirates ont aussi créé des enseignes de sécurité honnêtes et professionnelles. Cela permet, de temps en temps, de réhausser l’image des pirates et de les présenter sous un jour plus respectable, mais pour la majorité des gens, il est toujours aussi difficile de distinguer des pirates de bonne moralité des criminels.

Les criminels isolés sont à l’origine de la plupart des cybercrimes. Ce sont parfois des employés qui ont remarqué une faille dans un système et décident de l’exploiter. Dans d’autres cas ils travaillent avec l’extérieur de l’organisation. En règle générale, ils n’ont pas beaucoup d’argent, disposent de peu d’accès et de peu de compétences et se font souvent prendre à cause d’erreurs stupides. Les malfaiteurs isolés ont pour cible les systèmes commerciaux car c’est là que se trouve l’argent. Leurs techniques manquent souvent d’élégance mais ils réussissent à soutirer de l’argent et coutent encore plus cher à arrêter et à poursuivre en justice… ils deviennent de plus en plus nombreux.

Un employé malveillant est un adversaire à la fois dangeureux et sournois. Il se trouve déjà dans le système qu’il souhaite attaquer et ne peut donc ignorer toutes les défenses placées sur le périmètre entourant le système. Il dispose probablement d’un niveau d’accès élevé et peut être considéré comme un utilisateur fiable par le système qu’il cherche à attaquer… les "taupes" se révèlent impossibles à contrer car ce sont les personnes auxquelles on est obligé d’accorder notre confiance.

Les employés ne s’attaquent pas toujours à un système, parfois ils le détournent à leurs propres fins. Ce ne sont pas nécessairement des employés à temps plein, il peut s’agir de consultants ou de sous-traitants. La plupart des mesures de sécurité informatiques (firewall, systèmes de détection d’intrusion, …) cherchent à contrer un assaillant extérieur mais sont quasiment impuissantes contre un assaillant interne. Il est certain que les personnels internes risquent moins d’attaquer un système que des individus extérieurs mais les systèmes sont bien plus vulnérables à leurs attaques.

Un assaillant interne sait comment les systèmes fonctionnent et en connaît les points faibles. Il connaît la structure de l’organisation et sait comment une éventuelle enquête contre ses actions serait menée. Un assaillant interne peut utiliser les propres ressources du système contre le système lui-même. Dans ces cas extrêmes, il peut posséder une maîtrise considérable, en particulier s’il a participé à la conception des systèmes qu’il est maintenant en train d’attaquer.

La vengeance, l’appât du gain, des évolutions institutionnelles et même la publicité peuvent être les motivations des assaillants internes. Il est important, toutefois de se rappeler que les attaques de l’intérieur ne sont, bien évidemment, pas une nouveauté et qu’elles dépassent le cyberespace…

Le business : c’est la guerre !! C’est une guerre avec ses arbitres ; arbitres qui définissent un cadre légal et font de leur mieux pour que les règles de ce cadre soient appliquées. Le point où la veille concurentielle (légale) s’arrête et où l’espionnage industriel (illégal) commence varie d’une juridiction à l’autre. Les assaillants par espionnage industriel possèdent des motivations précises : obtenir un avantage sur la concurrence en lui volant ses secrets industriels.

L’espionnage industriel est souvent très bien doté financièrement. Toute entreprise amorale mais rationnelle consacrera suffisament de ressources à l’espionnage industriel pour obtenir un retour sur investissement acceptable. Même si le vol de la technologie d’un rival peut coûter un demi-million de dollars, cette somme peut représenter qu’un dixième du montant qu’aurait coûté le développement de cette technologie. Ce type d’adversaire présente une tolérance aux risques moyenne parce que la réputation d’une entreprise risque d’être considérablement mise à mal si elle est prise à espionner la concurrence. Mais il est vrai que si l’on est aux abois on peut être contraint à prendre des mesures désespérées…

La presse peut être considérée comme une sous-catégorie d’espions industriels mais ses motivations sont différentes. La presse n’est pas intéressée par un avantage concurentiel sur ses cibles. Elle est intéressée par une histoire, digne d’être publiée.

Dans les pays industrialisés, la presse, contrairement à certains pays, jouit d’une liberté quasi-totale. Elle rassemble des ressources considérables pour s’attaquer à un système ou une cible donnée. Les organes de presse peuvent disposer de fonds, employer des experts et obtenir un accès. S’ils considèrent que leurs motivations sont recevables, ils peuvent accepter un certain niveau de tolérance aux risques. Des journalistes ont accepté d’être emprisonnés pour protéger ce qu’ils considèrent comme juste. Certains ont même sacrifié leur vie à leur idéal.

Le crime organisé est un business d’envergure mondiale. Les compétences du crime organisé ont largement changé au cours du siècle écoulé : drogue, prostitution, extorsion de fonds, fraudes et jeux d’argent. La technologie présente pour ces criminels une nouvelle arme. Ils se servent, en effet, d’outils de piratage pour s’infiltrer dans des ordinateurs de banques et y détourner de l’argent, mais aussi volent des codes de téléphones portables pour ensuite les revendre, s’adonnent à la fraude informatique (le vol d’identité est un secteur en pleine croissance). Ces criminels utilisent aussi la technologie dans leurs activités. Les jeux d’argent illégaux sont plus faciles à gérer. Les téléphones portables permettent aux bookmakers de travailler de n’importe où et des ordinateurs à déclenchement programmé d’effacer toutes preuves en quelques secondes en cas de descentes de police. Le blanchiment d’argent sale est de plus en plus une affaire d’ordinateurs et de transferts électroniques de fonds.

En terme de risques, le crime organisé est le résultat de l’association de criminels isolés, de fortunes et de règles d’organisation. Ces individus savent qu’il faut investir et sont prêts à le faire dans des attaques rentables contre un système bancaire. Ils ne possèdent que des compétences limitées mais peuvent en acheter, même idée pour l’accès qu’ils ont. Ils sont souvent prêts à assumer des risques plus importants que des criminels isolés. Le film "opération espadon" (swordfish en anglais) illustre ce crime organisé en employant un hacker pour pénétrer un système bancaire et dérober une somme importante.

La police dispose de moyens financiers et de compétences d’un niveau raisonnable. Ils ont la loi de leur côté. L’objectif principal de la police est le receuil d’informations ; informations exploitables devant une cour de justice. La police se doit de respecter la vie privée et de faire usage de ses droits à bon escient, ce qu’elle fait la plupart du temps, mais des abus sont fréquents et peuvent se révéler dévastateurs (écoutes téléphoniques illégales…)

Les groupes terroristes sont en général motivés par des idéaux géopolitiques ou ethno-religieux. Ils peuvent également être poussés par des idéaux moraux ou éthiques (antiavortement…). Ces groupes cherchent généralement plus à provoquer des dégats qu’à rassembler des informations. C’est pourquoi les techniques qu’ils appliquent sont plus du côté du refus de service et de la destruction totale. Si leurs objectifs à long terme sont plutôt raisonnables, leurs objectifs à court terme sont plutôt de l’ordre de la vengeance, du chaos et de la publicité hargneuse. Ils sont très peu nombreux, leurs attaques sont avant tout des actes de guerre et il faudrait probablement les classer dans la catégorie des « cyberguerriers ». Les terroristes se considèrent généralement comme étant personellement en état de guerre, ils présentent donc une tolérance aux risques très élevée. La plupart des terroristes fonctionnent avec un budget très limité ( à moins qu’un idéaliste très fortuné ne finance leurs actions…). La plupart d’entre eux ne sont pas qualifiés, bien que des exceptions existent. Ils ont tendance à commettre des erreurs stupides.

Lorsque pour la plupart des adversaires déjà cités, le « jeu » des attaques se limite à s’infiltrer dans un site web, à en extraire quelques renseignements concurrentiels, à voler de l’argent, à provoquer un certain chaos, pour les organisations nationales de renseignement (CIA, KGB, DGSE, GCHQ, BND…) le jeu est bien plus sérieux. C’est l’adversaire le plus redoutable qu’on puisse rencontrer. Elle est financièrement très bien dotée, puisqu’elle est généralement considérée comme une branche de l’armée. C’est un adversaire à la fois spécialisé et compétent, qui dispose de fonds nécessaires pour s’acheter des moyens de recherche, des équipements, de l’expertise et de la main d’œuvre expérimentée de base. Une organisation nationale de renseignement majeure dédaigne généralement prendre des risques, elles ne s’engagent pas dans des opérations risquées. Le renseignement national se fonde sur le receuil d’informations que le pays est censé ignorer, prendre des risques pourrait révéler ces opérations au public ce qui poserait de gros problèmes et entrainerait la perte d’une bonne part de l’avantage acquis.

Au delà des domaines connus que recouvrent les objectifs de l’espionnage, plusieurs organisations nationales de renseignements s’adonnent activement à l’espionnage industriel. Et transmettent des informations ainsi obtenues à des entreprises de leur propore pays. Ce genre de pratique est encore plus dévastateur dans le cyberespace. Les organisations de renseignement ne rechignent pas à utiliser des outils de piratages, voire des pirates, pour accomplir leur travail. Les techniques mises en œuvre par les agences nationales de sécurité sont variées. Avec le poids d’une nation entière les soutenant, elles peuvent se révéler très efficaces.

Un cyberguerrier est un adversaire militaire qui cherche à miner la capacité de sa cible à combattre en s’attaquant à son infrastructure d’information ou de réseau. Les attaques en rapport vont d’une modification subtile des systèmes de façon qu’ils ne fonctionnent plus, à leur destruction totale. Elles peuvent être secrètes (elles s’apparentent alors à des attaques de terroristes). Lorsqu’elles sont exécutées par Internet, ces attaques peuvent provenir de territoires étrangers ce qui rend leur détection et toute action en riposte d’autant plus difficiles.

Cet adversaire dispose de toutes les ressources d’une organisation nationale de renseignements mais il se concentre sur des objectifs à court terme qui consistent à porter atteinte à la capacité de sa cible à s’engager dans un conflit. Ce qui le distingue encore des organisations nationales, c’est qu’il est prêt à accepter des risques qui seraient inacceptables dans une perspective d’espionnage à long terme.

Parmi les cibles les plus intéressantes pour un cyberguerrier, on peut citer les équipements de commande et de contrôle militaires, les télécommunications, les équipements de logistique et d’intendance et leur infrastructure.

Les cyberguerriers ne travaillent pas tous pour des nations industrielles majeures. Ils travaillent de plus en plus pour des puissances politiques mineures.

Les adversaires du cyberespace sont nombreux. Leurs profils et leurs objectifs sont variés. Les conséquences de leurs actions peuvent être désastreuses sur de multiples plans notament économique (nous le verrons un peu plus loin). Leur existence a nécessité le développement d’outils de protection des réseaux afin d’en assurer leur sécurité. Mais, dans notre monde informatisé, international, interconnecté et interdépendant actuel, quels types de mesure de sécurité attendons-nous ?

Les entreprises ont une relation complexe avec le secret. Elles le recherchent car elles savent l’importance de ne pas voir leur linge sâle déballé dans tous les journaux et sont même disposées à payer pour le protéger. Mais quand la conjoncture se complique et que le travail doit être accompli avant tout, la sécurité est la première chose qui passe par pertes et profits. Les gouvernements gèrent très bien le secret, ils connaissent l’importance de ne pas voir leurs secrets militaires tomber entre les mains de leurs ennemis.

La plupart des pays possèdent des lois protégeant la vie privée de leur concitoyens. Les organisations qui recueillent des données personnelles doivent le signaler au gouvernement et prendre des précautions contre tout usage abusif de ces données. Il leur est en outre interdit de recueillir, utiliser et diffuser des informations personnelles sans l’accord de la personne concernée.

En ce qui concerne le secret professionnel, les bases de données des clients peuvent nécessiter une confidentialité de plusieurs années, celles des données de développement de produits peut être de quelques années seulement et pour les entreprises du secteur industriel d’une durée encore bien inférieure. Les informations concernant la santé financière de l’entreprise requièrent une confidentialité de plusieurs semaines à quelques mois ; quant aux renseignements concernant les plans marketing et statégique, le secret peut être gardé pendant plusieurs mois voire quelques années.

Les militaires disposent d’une foule d’informations qui doivent rester secrètes mais certaines de ces informations sont plus confidentielles que d’autres. Pour traiter cela, les militaires ont inventé plusieurs niveaux de classification relatifs à la sécurité. Des règles régissent les types de données qui rentrent dans chacune des catégories et chacune d’elles possède différentes règles de stockage, de diffusion…C’est pourquoi, différentes mesures de sécurité sont appliquées à différentes classes de données. Les personnes utilisant ces données doivent disposer d’autorisations d’accès correspondant au niveau de classification le plus élevé des informations sur lesquelles elles travaillent.

Un anonymat social est vital pour la santé du monde car il permet à des gens de parler de sujets auxquels ils ne souhaitent pas associer leur nom. L’anonymat politique est également important. Tout le monde a le droit de publier un publipostage politique sans mention d’expéditeur et ce même droit s’applique à Internet.

En revanche, certaines personnes se servent de l’anonymat d’Internet pour expédier des messages électroniques de menace, publier des discours haineux ou diffuser des virus et des vers informatiques, en bref : de semer le trouble parmi les bons citoyens du cyberespace.

Il existe deux types différents d’anonymat : l’anonymat complet (ex. : une lettre sans nom d’expéditeur) et le pseudonymat (seul un « pseudo » de l’expéditeur est connu). Ces deux types d’anonymat sont difficiles à mettre en œuvre dans le cyberespace parce qu’une très grande part de l’infrastructure est identifiable : un anonymat de surface est facile à mettre en œuvre mais un anonymat authentique n’est probablement plus possible sur l’Internet actuel.

La protection de la vie privée et l’anonymat sont certainement importants pour notre bien-être social et professionnel mais l’authentification est essentielle à notre survie. Elle assure la continuité des relations car elle nous permet de savoir à qui nous pouvons faire confiance et de comprendre un monde complexe. Les gens s’authentifient des dizaines de fois par jour (notament en se connectant à un système informatique…).

Falsifier une authentification peut être une opération très lucrative.

Le problème de sécurité le plus important à régler est l’authentification sur les réseaux numériques… et il y aura autant de solutions différentes qu’il y aura d’exigences. Certaines solutions devront être robustes pour protéger des valeurs pouvant atteindre des millions de dollars, d’autres seront anonymes enfin certaines exigeront une enquête très complète. Bien souvent, l’authentification informatique est invisible pour l’utilisateur.

Il est nécessaire de garder à l’esprit deux types d’authentification différents : l’authentification de session et l’authentification de transaction, les problèmes les entourant étant identiques.

Le concept d’intégrité ne doit pas être confondu avec celui d’authentification. Ils sont distincts. L’authentification concerne l’origine des données, l’intégrité les modifications postérieures à leur création. Attention, l’intégrité n’a rien à voir avec l’exactitude, c’est une affaire de relation entre les données elles-mêmes au fil du temps.

Dans toute société où des données informatisées sont utilisées pour prendre des décisions, leur intégrité est un élément important. Pour n’importe quelle donnée, nous nous servons du contexte pour vérifier l’intégrité, le problème avec le monde numérique est qu’il ne possède pas de contexte. Dans un monde sans indice concret, les gens ont besoin d’un nouveau moyen de vérification de l’intégrité de ce qu’ils voient.

L’audit est une opération vitale si l’on veut prendre la sécurité au sérieux. Ils sont destinés à aider les autorités judiciaires. Ils permettent de détecter une attaque réussie, de comprendre ce qu’il s’est passé après les faits et d’apporter des preuves devant un tribunal.

Les besoins particuliers d’un système en matière d’audit dépendent de l’application qui en est faite et de sa valeur. Les opérations d’audit peuvent s’avérer difficiles sur des ordinateurs. En effet, des fichiers informatiques peuvent être aisément effacés ou modifiés, ce qui rend le travail de vérification des enregistrements d’audit bien plus difficile. De plus, la plupart des concepteurs des systèmes ne pensent pas à l’audit lorsqu’ils développent leurs systèmes.

Vers 1995, tout le monde pensait qu’il fallait mettre au point de nouvelles formes de monnaies pour le commerce électronique, aujourd’hui il s’avère que les cartes de crédit conviennent parfaitement à Internet et tout le monde s’en sert allègrement. Des failles de sécurité comme la série de vols de numéros de cartes de crédit en 2000 laissent néanmoins sceptiques. Y aura-t-il un jour une forme de paiement propre à Internet ? Cette question relève sans doute plus de la législation que de la sécurité.

Les exigences sont simples : il faut pouvoir transférer des valeurs monétaires par le biais de réseaux informatiques. Pour cela, il est possible d’utiliser les supports des échanges monétaires existants, en les adaptant au cyberespace. Chaque support aura ses règles et ses conditions d’utilisation.

La mesure du crime a toujours été difficile. Plusieurs problèmes sont communs à toutes les catégories de crimes, en particulier des problèmes méthodologiques. La criminalité informatique se heurte à des difficultés supplémentaires. Aux obstacles méthodologiques de mesure du crime s’ajoutent des difficultés « macro-économiques » qui tiennent à la faible maturité de la réaction sociale à l’égard de ce type de délinquance. Les problèmes méthodologiques viennent essentiellement du fait qu’il n’existe pas pour l’heure, de centralisation qui permette d’avoir un observatoire statistique fiable, cohérent et périodiquement remis à jour. Un premier problème vient d’être mis en avant, celui du recensement des crimes informatiques, mais se pose aussi le problème de l’évaluation des préjudices. Le montant exact de la fraude semble, en effet, impossible à déterminer : c’est ce que la police appelle le " chiffre noir ". Plusieurs raisons expliquent cette incapacité à mesurer le coût du préjudice de la criminalité informatique:

- Le manque de réaction des sociétés ou des particuliers qui tient au fait, souvent, qu’ils ne s’aperçoivent même pas des attaques dont ils sont victimes.

- Une réticence des entreprises à dénoncer ces délits de peur de dévoiler des secrets inhérents à leur système informatique.

- L’absence d’obligation pour les victimes de porter plainte, etc.

Une évaluation quantitative du cybercrime a, toutefois, été réalisée. Depuis l’an 2000, les attaques de sécurité aux entreprises dans le monde auraient coûté en temps perdu 1.600 milliards de dollars. Au total, les entreprises auraient ainsi gaspillé près de 3,3% de leur temps entre le chômage technique et la réparation des systèmes impactés. Les sociétés du seul continent nord-américain ont globalement retranché de leur productivité 6.822 personnes pendant 365 jours. Alors qu'en 1998, la moitié des entreprises avaient été touchées, le taux serait aujourd'hui passé à près de 74%.

Sur 4.900 décideurs généraux et informatiques responsables de la sécurité interrogés autour de la planète, près de 70% considéreraient la sécurité de l'information comme une priorité (60% en 1999). D'un autre côté, les budgets consacrés restent à un niveau très bas, en dessous de 50.000 dollars pour la moitié des personnes interrogées, incluant le matériel, les logiciels, le conseil en amont et les salariés.

En l'an 2000, les décideurs considèrent que leurs politiques de sécurité sont moins en accord avec leurs objectifs business qu'en 1999. Cela peut traduire d'une part l'ouverture des systèmes d'informations vers Internet par l'intermédiaire notamment de plates-formes B to B. Mais d'un autre côté, cela traduit également la non-compréhension des principaux enjeux, tels par exemple la perte de clients en raison d'un déni de service, ou la désaffection à l'égard d'une politique globale assurant la cohérence en matière de sécurité.

Le contexte actuel des attaques réseaux vient d’être présenté. L’ampleur que prend le phénomène a été mise en avant. A présent qu’une prise de conscience de l’explosion du phénomène a été faite et que les besoins en matière de sécurité ont été évalués, il est possible et nécessaire de se lancer dans une étude technique des attaques réseaux afin de mieux les comprendre et de mieux s’en défendre. Les pages suivantes vont donc successivement vous présenter les attaques type, la cartographie et la reconnaissance, les attaques systèmes, les attaques sur les matériels réseaux et les services particulièrement vulnérables.

Cette attaque est utilisée par les hackers pour avoir des mots de passe.

En effet, lorsque l’on se connecte à un réseau qui utilise le broadcasting , toutes les données transitant arrivent à toutes les cartes réseau des PC connectés. En temps normal, seules les trames destinées à la machine sont lues, les autres sont ignorées.

Grâce à un logiciel appelé « sniffer », on peut intercepter toutes les trames que notre carte reçoit et qui ne nous sont pas destinées. Si quelqu’un se connecte par telnet par exemple à ce moment-là, comme son mot de passe va transiter en clair sur le net, on va pouvoir le lire. De même, on peut savoir à tout moment quelles pages web regardent les personnes connectées au réseau, les sessions ftp en cours, les mails en envoi ou réception.

Cette technologie n’est pas forcement illégale car elle permet aussi de détecter des failles sur un système mais mal utilisée, elle devient une arme pour le hacker. Elle est cependant limitée car ce dernier doit se trouver sur le même réseau que la machine qu’il veut pirater.

En effet, toutes les machines doivent être connectées par des hubs entre elles. Une protection efficace est donc de limiter la taille des sous-réseaux internes et de les séparer par des switchs ou un matériel qui n’utilise pas le broadcasting (routeur, firewall…).

Cette attaque consiste à se faire passer pour une autre machine en falsifiant son adresse IP. Elle est en fait assez complexe. Pour plus de précisions, se reporter au protocole TCP.

Tout d’abord, le hacker doit choisir le serveur (ou la machine) qu’il veut attaquer. Il faut ensuite obtenir le maximum de détails sur ce serveur pour savoir quelles machines sont autorisées à se connecter (celles qui ont des droits autre que la simple lecture). Cette étape peut être longue. Si aucune machine n’est autorisée à se connecter en root sur ce serveur alors cette attaque s’arrête ici.

La machine trouvée s’appelle machine de confiance car elle a une « relation de confiance » avec le serveur. Il faut maintenant la rendre inopérante pour être sure qu’elle ne réponde pas à notre place. On peut alors utiliser un DoS sur cette machine par exemple.

Le hacker va ensuite essayer de prévoir le numéro de séquencement des trames en envoyant plusieurs trames et en regardant l’incrémentation de ce numéro. Lorsqu’il pense pouvoir prédire le numéro suivant, la phase suivante commence.

Le hacker va maintenant falsifier son adresse IP en la remplaçant par celle de la machine invalidée. Il envoie alors une demande de connexion au serveur. Le serveur envoie une trame SYN ACK à la machine qu’il pense être l’émettrice. Celle-ci ne peut répondre et le hacker doit acquitter cette connexion (par une trame ACK) avec le numéro de séquence prévu plus un. Si le numéro est le bon, la connexion est établie et la machine spoofée peut alors commencer à envoyer des données sur le serveur en toute impunité.

En général, le hacker laisse une backdoor avant de partir de manière à pouvoir se reconnecter de manière beaucoup plus simple une fois ultérieure.

On peut donc résumer cette attaque comme suit :

1 : récupération de données pour deviner les numéros de séquencement et trouver une machine de confiance

2 : mise hors d’état de la machine de confiance

3 : demande de connexion avec une adresse spoofée

4 : envoi de la trame SYN ACK à la machine de confiance

5 : réponse de la machine spoofée qui a alors ouvert la connexion

Cette attaque est très dure à réaliser car elle se passe en aveugle : le pirate ne reçoit pas les données que le serveur envoie. Il doit donc parfaitement maîtriser les protocoles de manière à savoir ce qu’attend le serveur à tout moment. Une manière de pallier ce problème est d’utiliser une route source mais beaucoup de serveurs ne les autorisent plus.

Il existe des variantes car on peut spoofer aussi des adresses e-mail, des serveurs DNS ou NFS.

Une attaque de type spoofing plus simple que le spoofing d’IP est le spoffing d’adresses mails. Les courriers électroniques, sans l’ajout d’une signature ne sont pas fiables car toutes les commandes sont écrites en code ASCII. Il est donc très facile de les taper à la main à l’aide d’un Telnet ( port 25 : SMTP).

C’est d’ailleurs ce que nous avons tous fait lors du TP sur les firewalls en s’envoyant un e-mail à partir d’un telnet avec comme adresse source : machin@bidule. Cette attaque n’est cependant plus possible si le firewall est bien configuré.

Il est aussi possible de spoofer un serveur DNS mais cette attaque est tout de même assez dure.

Le DoS ou Deny of Service est une attaque visant à générer des arrêts de service et donc d’empêcher le bon fonctionnement d’un système. Cette attaque ne permet pas en elle-même d’avoir accès à des données. En général, le déni de service va exploiter les faiblesses de l’architecture d’un réseau ou d’un protocole. Il existe donc différents dénis de services :

· Le TCP-SYN flooding

· Le débordement de tampon

Ces attaques produisent la diminution de la bande passante voir la déconnexion de la machine cible ou son plantage. Actuellement, ce sont les attaques les plus utilisées sur les gros serveurs (Yahoo, eBay…).

Cette attaque consiste à envoyer à une machine de nombreux paquets IP de grosse taille. La machine cible ne pourra pas tous les traiter et finira par se déconnecter du réseau. Pour que l’attaque marche, il faut toutefois avoir un bon ping entre les deux machines de manière à envoyer les données plus vite que la machine ne peut y répondre.

Cette variante du flooding s’appuie sur le protocole TCP . En effet, on envoie un grand nombre de demande de connexions au serveur (SYN) à partir de plusieurs machines (on parle de DDoS pour Distributed DoS) ou d’une seule qui falsifie son adresse IP (par spoofing par exemple). Le serveur va envoyer un grand nombre de paquet SYN-ACK et attendre en réponse ACK qui ne viendra jamais. Si on envoie les paquets plus vite que le timeout des « demi-connexion » (connexions autorisées mais non terminées), le serveur sature et finit par se déconnecter.

Le smurf est une ancienne attaque qui s’appuie sur le ping et les serveurs de broadcast . On falsifie d’abord son adresse IP pour se faire passer pour la machine cible. On envoie alors un ping sur un serveur de broadcast. Il le fera suivre à toutes les machines qui sont connectées qui renverront chacune un « pong » au serveur qui fera suivre à la machine cible. Celle-ci sera alors inondée sous les paquets et finira par se déconnecter.

Par exemple, si on utilise une dizaine de serveurs de broadcast reroutant chacun vers environ 1000 machine et que le ping fait 1Ko, la machine cible recevra 10*1000*1 = 10 000 Ko soit 10Mo de données dans un temps très bref. Celle-ci ralentira puis finira par s’arrêter.

Cette attaque se base sur une faille du protocole IP. On envoie à la machine cible des données d’une taille supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et rassemblé par la machine cible. A ce moment, il y aura débordement des variables internes.

Suite à ce débordement, plusieurs cas se présentent : la machine se bloque, redémarre ou ce qui est plus grave, écrit sur le code en mémoire. On peut ainsi modifier directement le code des programmes de la machine.

Il existe une grande variété de virus. On peut cependant définir un virus comme un programme caché dans un autre qui peut s’exécuter et se reproduire en infectant d’autres programmes ou d’autres ordinateurs.

Les dégâts causés vont du simple programme qui affiche un message à l’écran au programme qui formate le disque dur après s’être multiplié. On ne classe cependant pas les virus d’après leurs dégâts mais selon leur mode de propagation et de multiplication :

· Les vers capables de se propager dans le réseau

· Les « chevaux de Troie » ou troyens créant des failles dans un système

· Les bombes logiques se lançant suite à un événement du système (appel d’une primitive ou date spéciale)

· Les hoax qui sont des canulars envoyés par mail.

Il est très difficile de détecter des virus car il en existe de nouveaux tous les jours. De plus, certains virus sont « mutants », c’est-à-dire que ce sont des variantes de virus déjà connus et que d’autres sont « polymorphes », c’est-à-dire qu’ils peuvent modifier leur signature. Le seul moyen de s’en prévenir est d’avoir un bon anti-virus régulièrement mis à jour et du discernement (ne pas ouvrir n’importe quelle pièce jointe par exemple).

Le ver est un programme qui peut se reproduire et se déplacer sur le réseau sans l’intervention de l’utilisateur. Actuellement, ils se développent surtout grâce à la messagerie (en particulier Outlook) en repérant l’ensemble des contacts de cette personne et en s’envoyant à ceux-ci sous forme d’une pièce jointe. Il faut donc ouvrir la pièce jointe de ce genre de mails pour être affecté.

Pour s’en prémunir, il suffit donc de ne pas ouvrir les fichiers joints sans réfléchir. En effet, un ami français qui nous enverrait un mail en anglais avec un .exe en pièce jointe est plus que douteux. On peut aussi se baser sur les extensions. Les fichiers .txt, .jpg, .gif, .bmp, .avi… par exemple ne peuvent pas contenir de virus (car on ne les exécute pas, on se contente de les ouvrir). Au contraire, des fichiers .exe, .com, .bat, .vbs, .pif peuvent contenir des virus. Attention cependant aux fichiers contenant des macros VB (Word, Excel, Power point…). Ils sont facilement infectables et infectés mais on les considère souvent comme inoffensifs ce qui est une erreur (sauf si on a désactivé les macros dans les programmes correspondants).

Les chevaux de Troie (ou trojans en anglais) sont des programmes informatiques cachés dans d’autres. Son nom vient de la légende grecque de la prise de Troie à l’aide d’un cheval en bois rempli de soldats qui prirent la ville une fois à l’intérieur.

En général, son but est donc de créer une backdoor sur la machine pour que le créateur du troyen puisse ensuite pirater facilement la machine. Il peut aussi voler des mots de passe, copier des données, exécuter des actions nuisibles.

Sa détection est difficile car il faut savoir si l’action effectuée par le programme est le comportement voulu ou non. Cependant, il existe certains symptômes : la machine est connectée au réseau et échange des données alors que l’on ne fait rien, réactions curieuses de la souris, ouverture automatique de programmes, plantages à répétition (cependant, les écrans bleus de Windows ne signifie pas forcément que vous avez un troyen si vous en avez un seul par semaine…).

Un moyen de les détecter est de vérifier les ports ouverts, la plupart en ouvrant. Un port ouvert en permanence alors qu’aucun programme ne tourne signifie certainement qu’un troyen est présent sur le disque. Tous les ports peuvent être ouverts par un cheval de Troie, même les ports 21 ou 80 utilisés d’habitude pour le ftp ou pour la navigation web.

Pour en savoir plus sur les chevaux de Troie dirigez vous vers la partie correspondant aux risques liés à la messagerie électronique : Les trojans

Les bombes logiques des dispositifs programmés dont le déclenchement s’effectue à un moment déterminé en exploitant la date du système, le lancement d’une commande ou n’importe quel appel au système. Elles sont en général invisibles tant que la condition n’a pas été remplie. Il existe par exemple une bombe appelée « Friday 13th » qui formate le disque le premier vendredi 13 qu’elle rencontre…

Son action peut être variée : consommation de ressources, destruction de fichiers, création de failles systèmes, utilisation de la machine pour des DDoS , récupération des numéros de licences…

L’événement déclencheur peut lui aussi être très varié : délai de x jours après l’installation, date spécifique, disparition d’un compte, inactivité de l’ordinateur. Une bombe peut ainsi être cachée dans un économiseur d’écran et ne se lancer qu’après une heure de veille (l’utilisateur n’étant donc sûrement plus présent).

Ce sont des canulars envoyés par mail. Ils ne font aucune action nuisible sur notre machine mais engorgent les réseaux suite à leur propagation massive. De plus, ils surchargent nos boîtes à lettres et propagent la désinformation.

En général, ils propagent une nouvelle d’un nouveau virus ou une chaîne de mails et demandent à ce qu’on les envoie à toutes les personnes que nous connaissons.

Avant de faire suivre un tel mail, il faut donc s’assurer de la véracité de celui-ci. Il existe pour cela un très bon site en français qui recense des hoax : www.hoaxbuster.com. Des exemples de ces hoax sont : le virus Wazaa (dans un mp3), solidaridad con Brian, la disparition de Christelle…

Lorsqu’un hacker arrive à accéder à un serveur à l’aide d’une des techniques présentées dans cette section, il souhaiterait y retourner sans avoir à tout recommencer. Pour cela, il laisse donc des backdoors ou « porte de derrière » qui lui permettrons de reprendre facilement le contrôle ce coup-ci.

Les hackers procèdent ensuite de deux manières différentes : ou ils mettent une seule backdoor bien cachée ou ils en mettent beaucoup en espérant qu’une ne sera pas détectée.

Il existe différents types de backdoors :

· certaines rajoutent tout simplement un nouveau compte au serveur avec le mot de passe choisi par le hacker (sur un compte root en plus).

· Modification du firewall pour qu’il accepte une IP définie (une que le hacker pourra spoofer facilement)

· Création d’un compte ftp

· Ouverture de telnet

· Utilisation d’un troyen

· Ouverture de ports

Dans tous les cas, vous perdez ainsi le contrôle total de votre ordinateur ou de votre serveur. Le hacker peut alors récupérer les données qu’il souhaite, voler des mots de passe ou même détruire des données.

Les backdoors sont très dures à détecter. Il faut surveiller les ports ouverts et s’inquiéter à tout comportement « étrange » de l’ordinateur. De plus, il faut éviter de télécharger n’importe quel programme car il peut contenir une backdoor voulue ou non par le créateur du programme.

L’ingénierie sociale (social engineering en anglais) n’est pas vraiment une attaque informatique. C’est plutôt une méthode pour obtenir des informations sur un système ou des mots de passe.

Elle consiste surtout à se faire passer pour quelqu’un que l’on est pas (en général un des administrateurs du serveur que l’on veut pirater) et de demander des informations personnelles (login, mots de passe, accès, numéros, données…) en inventant un quelconque motif (plantage du réseau, modification de celui-ci…). Elle se fait soit au moyen d’une simple communication téléphonique, soit par mail.

Pour l’éviter, ne communiquer jamais des données personnelles à des personnes dont vous n’êtes pas sûr de l’identité (une adresse e-mail n’est pas une manière fiable pour identifier une personne, voir le spoofing ). De plus, un administrateur n’a pas à demander un mot de passe ou un login, le premier étant privé et le second déjà connu de celui-ci. Enfin, ne jamais communiquer des données importantes par e-mail.

Si aucune méthode n’a permis d’obtenir des mots de passe, une autre technique utilisée par les hackers est le craquage de ceux-ci. Le craquage consiste à faire de nombreux essais jusqu’à trouver le bon mot de passe.

Il existe deux grandes méthodes :

· L’utilisation de dictionnaires : le mot testé est pris dans une liste prédéfinie contenant les mots de passe les plus courants et aussi des variantes de ceux-ci (à l’envers, avec un chiffre à la fin…). Les dictionnaires actuels contiennent dans les 50 000 mots et sont capables de faire une grande partie des variantes.

· La méthode brute : toutes les possibilités sont faites dans l’ordre jusqu’à trouver la bonne solution.

Pour éviter une telle attaque, il est judicieux de laisser un temps d’attente entre deux essais et de limiter leur nombre avant un blocage du compte. De cette manière, une attaque par craquage est quasiment impossible car beaucoup trop longue à réaliser.

Comme des braqueurs de banque, les pirates doivent relever toutes les activités de leur cible, dans le but d'établir une fiche d'identité la plus complète possible sur leur victime. Le but recherché est de pouvoir réaliser une attaque chirurgicale ciblée, et d'éviter d'être immédiatement repéré en anticipant les réactions.

Le processus de prise d'empreinte permet au pirate de constituer un profil très précis de la cible. Il concerne quatre domaines distincts :

Internet : noms de domaine, sous-réseaux, systèmes accessibles par Internet…
Intranet : protocoles réseau utilisés, architecture matérielle, utilisateurs, groupes…
Accès distant : numéros de téléphone analogiques, numériques, type de connexion…
Extranet : origine et destination de la connexion, mécanisme de contrôle d'accès…

Le premier élément à considérer est la détermination du champ de vos activités de prise d'empreinte. Allez-vous effectuer une prise d'empreinte de l'ensemble de l'organisation de votre cible, ou vous limiter à certains sites (par exemple le siège d'une entreprise) ? Internet est une mine d'information qui vous aide dans la réduction de votre champs d'activité.

La première chose à faire est d'aller visiter le site Web de l'entreprise, si elle en possède un. Souvent, le site Web contient une quantité importante d'informations susceptibles d'aider les pirates. Certaines listent leurs options de sécurité de leur système de pare-feu. Parmi les autres aspects intéressants, on peut compter :

Les implantations
Les sociétés et entités associées
Les numéros de téléphone
Les noms des contacts et adresses électroniques
Les liens vers d'autres serveurs Web de l'organisation

Vous pouvez également étudier le code source HTML et recherchez d'éventuels commentaires. Pour cela, il est préférable d'avoir effectué une copie locale du site Web. Wget (ftp://gnjilux.cc.fer.hr/pub2/wget/) sous UNIX et FlashGet (http://www.tenmax.com/teleport/) sous Windows sont d'excellents utilitaires qui permettent d'effectuer des copies miroir de sites Web complets.

Après avoir examiné le site Web, vous pouvez effectuer des recherches dans les sources ouvertes pour y trouver des informations relatives à l'organisation cible. Vous pouvez par exemple, dans des communiqués de presse, découvrir que l'organisation a déjà subi de nombreux incidents liés à la sécurité.

La suite d'outils de recherche FerretPRO de FerretSoft (http://www.ferretsoft.com) est l'un des meilleurs outils. WebFerretPRO vous donne la possibilité d'exploiter simultanément plusieurs moteurs de recherche. De plus, d'autres outils de cette suite vous permettent de parcourir les bases de données IRC, USENET, des messages électroniques, et des fichiers à recherche d'indices. De plus, si vous recherchez un moyen gratuit d'utiliser plusieurs moteurs de recherche, consultez le site http://www.dogpile.com.

Pour les sociétés cotées en bourse, vous pouvez consulter la base de données EDGAR du SEC (Securities and Exchange Commission, Commission des opérations de bourse) à l'adresse http://www.sec.gov

Les deux publications SEC les plus intéressantes à étudier sont les publications 10-Q et 10-K. Le document 10-Q donne un aperçu des activités de l'organisation au cours du dernier trimestre écoulé. Le document 10-K est une mise à jour annuelle des activités de l'entreprise, qui peut se révéler moins précise que 10-Q. Cette opération peut vous fournir des informations à propos d'entités récemment acquises. Bien des entreprises se hâtent de connecter leurs nouvelles filiales au réseau, sans bien prêter attention à la sécurité. Après tout, les pirates sont des opportunistes qui savent tirer profit du chaos, qui souvent, accompagne la combinaison de deux réseaux.

Parade : Sécurité des bases de données publiques.

Une grande partie des informations présentées ci-dessus doivent être mises à disposition du public. Ce point vaut particulièrement pour les sociétés cotées en bourse. Il est important néanmoins d'évaluer certaines des informations disséminées dans le grand public, et éventuellement de déterminer celle qui sont confidentielles.

Enfin supprimer de vos pages Web toutes les informations non indispensables qui peuvent aider un pirate à accéder à votre réseau.

La première étape du recensement d'un réseau consiste à identifier les noms de domaine et les réseaux associés d'une organisation donnée. Les noms de domaine concrétisent la présence de la société sur Internet et sont l'équivalent Internet du nom de votre société.

Pour recenser ces domaines et découvrir les réseaux auxquels ils sont reliés, vous devez écumer l'Internet. Il existe un grand nombre de bases de données qui constituent une mine de renseignements. Jusqu'à la fin 1999, Network Solutions détenait le monopole de l'enregistrement de nom de domaine et conservait ces informations dans ses serveurs whois. Il existe maintenant une foule d'organismes d'enregistrement accrédités, et il s'agit de trouver le bon organisme pour obtenir les informations que nous recherchons.

Il existe un grand nombre de mécanismes différents, permettant d'interroger les différentes bases de données whois. Quel que soit le mécanisme employé, vous devez, en principe, recueillir les même informations.

Techniques de recherche whois et sources de données

Mécanisme	Ressource	Plate-forme
WS Ping Propack	http://www.ipswitch.com	Win32
Sam Spade	http://www.blighty.com/products.html	Win32
Outils Netscan	http://www.nwpsw.com	Win32
Xwhois	http://c64.org/~nr/xwhois/	Unix + X + GTK

Sources gouvernementales, militaires ou autre

Serveur Whois	Adresses
Attribution des adresses Ip pour l'europe	http://whois.ripe.net
Attribution des adresses Ip pourl'Asie pacifique	http://whois.apnic.net
Organismes militaires américains	http://whois.nic.mil
Gouvernement américain	http://whois.nic.gov

Exemple : requête de registraire de nom de domaine pour l'entreprise Heyde AG

La base de données ARIN est une autre base de données que nous pouvons exploiter pour trouver des réseaux associés à notre domaine cible. Il est particulièrement important, pour cette opération, de déterminer si un système est la propriété de l'organisation cible, ou s'il est hébergé par son fournisseur d'accès Internet par exemple.

Exemple : requête de réseau pour l'entreprise Heyde AG

L'organisation Heyde AG n'est propriétaire d'aucun réseau.

Mais la façon la plus simple reste toujours de passer la page Web de ARIN :

Parade : Sécurité des bases de données publiques

Une grande partie des informations présentées sont obligatoires. Un contact administratif doit être fourni pour l'enregistrement d'un nom de domaine. Il existe néanmoins des mesures de sécurité qu'il convient d'appliquer pour rendre plus difficile la tâche des pirates.

Il est par exemple conseillé de fournir un numéro vert ou un numéro qui ne dépend pas d'un central téléphonique de votre organisation. Nous avons également constaté que certaines entreprises enregistrent un contact administratif fictif. Si un employé quelconque reçoit un message électronique ou un appel téléphonique de ce contact fictif, un mécanisme avertit le département de la sécurité des systèmes d'information de la présence d'un intrus potentiel.

Après avoir identifié tous les domaines associés, vous pouvez commencer à interroger le serveur DNS. Le serveur DNS est une base de données répartie utilisée pour mettre en correspondance les adresses IP avec des noms d'hôtes et vice versa. Si le serveur DNS est configuré sans les mesures de sécurité appropriées, il est possible d'obtenir des informations intéressantes concernant l'organisation.

L'une des erreurs de configuration les plus graves qu'un administrateur système puisse commettre est d'autoriser des utilisateurs Internet non validés à exécuter un transfert de zone DNS.

Un transfert de zone permet à un serveur maître secondaire de mettre à jour sa base de données de zone à partir du serveur maître principal. Cette opération permet d'exploiter des DNS redondants en cas de panne du serveur de noms principal. En règle générale, un transfert de zone DNS n'a besoin d'être exécuté que par des serveurs DNS maître de type secondaire. Toutefois, un grand nombre de serveurs DNS sont mal configurés et fournissent une copie de la zone à quiconque la demande. Fournir des informations d'adresses IP internes à un utilisateur non validé par Internet revient à fournir une copie, ou carte, complète du réseau interne de l'organisation.

Un moyen simple pour effectuer un transfert de zone consiste à utiliser le client nslookup qui est généralement fourni avec la plupart des installations UNIX ou NT. Vous pouvez enfin utiliser l'un des meilleurs outils d 'exécution de transfert de zone qui existe, à savoir axfr (ftp://ftp.cdit.edu.cn/pub/linux/).

Déterminer l'endroit où le courrier est géré est un excellent point de départ pour localiser le mur pare-feu de l'organisation cible. Dans un environnement commercial, le courrier est souvent géré sur le même système que le pare-feu, ou au moins sur le même réseau. Nous pouvons utiliser la commande host pour récolter encore plus d'informations.

Nous voyons qu'ici le courier est géré par la machine smtp-forward.acme.net.

Parade : sécurité des DNS

Les informations DNS fournissent une multitude de renseignements aux pirates. Il est donc important de réduire la quantité d'informations disponibles sur Internet. Sur le plan de la configuration d'hôte, il faut limiter les transferts de zone aux serveurs autorisés. Au niveau du réseau, il est conseillé de configurer un pare-feu ou un routeur filtreur de paquets pour rejeter toutes les connexions entrantes non autorisées vers le port 53. Comme les requêtes d'interrogation de nom sont de type UDP, et les requêtes de transfert de zone de type TCP, cette opération va déjouer toute tentative de transfert de zone.

Pour ce faire, on peut utiliser le programme traceroute (ftp://ftp.ee.lbl.gov/) qui est fourni avec différentes version d'UNIX et avec Windows NT. Dans Windows NT, cet outil s'appelle tracert du fait des problèmes de noms de fichiers hérités de la version 8.3.

Traceroute est un outil de diagnostic, qui vous permet de visualiser le chemin suivi par un paquet IP d'un hôte à un autre. Traceroute utilise l'option durée de vie (TTL) du paquet IP pour émettre un message ICMP TIME_ECEEDED (temps dépassé) pour chaque routeur. Chaque routeur manipulant le paquet est obligé de décrémenter le champ TTL. Ce champ devient de ce fait un véritable compteur de tronçon. Nous pouvons utiliser les fonctionnalités de traceroute pour déterminer l'itinéraire précis suivi par nos paquets. Comme indiqué précédemment, traceroute peut vous permettre de découvrir la topologie de réseau appliquée par le réseau cible et d'identifier les dispositifs de contrôle d'accès (pare-feu) qui peuvent éventuellement filtrer notre trafic.

Examinons un exemple : [exemple retiré sur demande explicite]

Il est important de cartographier la totalité du réseau cible à l'aide de traceroute. Après avoir appliqué cet utilitaire à plusieurs systèmes du réseau, vous pouvez commencer à créer un diagramme de réseau illustrant l'architecture de la passerelle Internet et la localisation des dispositifs qui fournissent des fonctionnalités de contrôle d'accès. On appelle ce diagramme schéma des voies d'accès.

La plupart des opérations réalisées jusqu'ici sont du type ligne de commande. Les utilisateurs privilégiant les interfaces graphiques pourront se tourner vers Visualroute (http://www.visualroute.com) pour effectuer leurs opérations de cartographie de réseau. Visualroute propose une illustration visuelle de chaque tronçon de réseau et l'intègre aux requêtes whois. Il est visuellement attrayant, mais ne convient pas à la cartographie de réseaux de grande taille.

Parade : contrer la cartographie des réseaux

Pour l'instant nous n'avons pas du tout abordé les techniques d'intrusion de réseau, mais il existe tout de même certaines mesures préventives à appliquer pour contrer et identifier les opérations de reconnaissance de réseaux que nous avons présentées. Un grand nombre de programmes de détection d'intrusion de réseau (NDIS) disponibles dans le commerce sont capables de détecter ce type de cartographie de réseau. De plus, si vous désirez contre attaquer, Humble de Rhino9 a développé un programme baptisé RotoRouter (rotorouter.tar.gz) . Cet utilitaire permet d'enregistrer les requêtes de cartographie et de générer des réponses fausses. Enfin, selon le type de votre réseau, vous pouvez limiter le trafic UDP et ICMP pour réduire par la même occasion votre vulnérabilité.

Si la prise d'empreinte peut être considérée comme l'équivalent de la recherche d'informations, le balayage systématique consiste à frapper contre les murs pour trouver toutes les portes et les fenêtres. Nous allons maintenant déterminer quels systèmes sont actifs et accessibles à partir d'Internet.

Nous devons tester chaque système cible pour vérifier s'il est actif, et déterminer quels ports peuvent être en veille.

Avant de passer aux outils de balayage systématique, nous devons vous présenter les différentes techniques de balayage disponibles.

Balayage de connexion TCP : ce type de balayage passe par une connexion avec le port cible et met en œuvre une poignée de main complète, il est facile à détecter par le système cible.

Balayage de connexion UDP : cette technique consiste à envoyer un paquet UDP vers le port cible. Si le port cible répond par un message "port ICMP inaccessible" , cela signifie que le port est fermé. A l'inverse, si nous ne recevons pas de message, nous pouvons en déduire que le port est ouvert. Le balayage UDP est une opération très lente si vous essayez de balayer systématiquement un dispositif qui exploite un filtrage de paquet intensif. Si vous projetez des balayages UDP par Internet, préparez-vous à des résultats peu fiables.

C'est un ancien utilitaire de balayage systématique UTCP qui est l'un des outils les plus rapides et les plus fiables. Strobe permet d'enregistrer les bannières associées aux ports, qui peuvent servir à identifier le système d'exploitation et le service en cours d'utilisation.
ftp://ftp.freebsd.org/pub/freebsd/ports/disfiles

Mais strobe ne contient aucun outil de balayage UDP, ainsi Strobe ne nous fournit que la moitié du panorama. Enfin, le balayage TCP reste une opération facilement détectable.

C'est sûrement un des balayeurs UDP les plus fiables du marché, il est disponible sur le site de SAINT :
http://ww.dsilx.wwdsi.com

C'est un utilitaire permettant de nombreuses opérations, mais dans notre partie relatant de la prise d'empreinte du réseau cible, nous nous limitons à certaines fonctionnalités de netcat : les fonctions de balayage UDP et TCP. Par défaut, netcat utilise le balayage TCP, nous devons spécifier l'option -u pour activer le balayage UDP.

C'est l'utilitaire de balayage le plus intéressant. Il fournit les fonctions de base TCP et UDP, mais concentre une multitude de fonctionnalités dont nous allons présenter les plus intéressantes.

Cette opération a été rendue célèbre par Hobbit (http://www.insecure.org/nmap/hobbit.ftpbounce.txt). En gros cette attaque est une méthode insidieuse de nettoyage de connexions par l'intermédiare d'un serveur FTP en faisant un usage abusif de l'assistance aux connexions FTP "en miroir". Ces attaques peuvent être utilisées pour envoyer des messages non retraçables, pour frapper à la porte de différents sites.

Bien entendu, Nmap prend en compte ce balayage avec l'option -b. Plusieurs conditions sont nécessaires : un répertoire sur le serveur FTP avec des permissions de lecture et d'écriture, la commande PORT doit être suportée par le serveur FTP. Mais un grand nombre de serveurs récents n'autorisent pas la mise en œuvre de ce type d'activité nuisible.

C'est un outil très polyvalent, il comprend l'un des meilleurs outils de balayage de ports Windows du marché sous l'onglet Port Probe. Les qualités de Port Probe comprennent une spécification flexible de la cible et de ports, un support pour les balayages TCP et UDP, et une vitesse multitransactionnelle. Cependant, les sortie présentent l'inconvénient d'être un peu confusent, ce qui rend difficile toute analyse par script.

Il peut être obtenu à l'adresse http://www.nwpsw.com

Supersan est un outil de balayage de port rapide et souple et qui est nettement plus économique, puisqu'il est gratuit. La fonction Extract from file balaie tout fichier texte et en extrait les noms d'hôtes et les adresses IP valides. Une fois tous les noms d'hôte trouvés, vous pouvez cliquer sur le bouton resolve hostname pour convertir en adresses IP en préparation au balayage de ports.

NTOScanner de NTObectives Inc. (http://www.ntobjectives.com) est un outil rapide de balayage de ports TCP de type graphique qui est également capable de capturer des bannières de ports actifs. Il exige toutefois que les hôtes fassent l'objet d'un ping au préalable si l'on souhaite balayer des réseaux de classe C.

La prise d'empreinte de pile est une technique très puissante qui permet de connaître très rapidement le système d'exploitation d'un système. Chaque éditeur interprète différemment les directives RFC lorqu'il élabore sa pile TCP/IP. Ainsi, si on recherche ces différences, on peut reconnaître les différents systèmes d'exploitation.

Sondage FIN : le document RFC 793 indique que le comportement à adopter est de ne pas répondre. Malgré tout les systèmes Windows NT ont tendance à répondre par FIN/ACK.
Sondage balise factice. Une balise TCP non définie est placée dans l'en-tête TCP d'un paquet SYN. Certains systèmes d'exploitation comme Linux vont répondre avec cette balise dans le paquet émis en réponse.
Surveillance du bit "Don't fragment bit". Certains systèmes définissent ce bit, pour augmenter les performances.
Taille initiale de la fenêtre TCP. Dans certaines mises en œuvre de piles, cette taille est unique et peut augmenter significativement la précision du mécanisme de prise d'empreinte.
Valeur ACK. Les piles différent selon le numéro de séquence qu'elles utilisent pour le champ ACK.
Mention du message ICMP. Les systèmes d'exploitation différent en fonction de la quantité d'informations indiquée lorsque les erreurs ICMP sont rencontrées.
Intégrité de l'écho ICMP. Certaines mises en œuvre de piles TCP/IP modifient les en-têtes IP lorsqu'elles renvoient les messages d'erreur ICMP.

Dans ce cas, le pirate se contente d'observer le trafic sortant du système cible pour identifier le système d'exploitation de celui-ci.

TTL. Quelle est la durée de vie définie par le système d'exploitation pour le paquet sortant ?
Taille de la fenêtre. Quelle est la taille de la fenêtre définie par le système d'exploitation ?
DF. Le système d'exploitation définit-il le bit DF (Don't Fragment) ?

Il existent encore bien d'autres outils disponibles, et de nouveaux outils sont développés tous les jours, qui facilitent la découverte de réseaux. Comme nous ne pouvons pas énumérer tous les outils possibles, nous nous contenterons de vous présenter deux utilitaires complémentaires qui viendront compléter la liste des outils déjà présentés.

Cheops (http://www.marko.net/cheops), est un outil graphique qui ambitionne de devenir un outils de cartographie complet. Il comprend des fonctionnalités ping, traceroute, de scan, et de détection de système d'exploitation regroupées sous un même toit. Il est doté d'une interface simple qui présente les systèmes et les réseaux associés, vous permettant ainsi d'appréhender aisément le champ de bataille.

Tkined fait partie du lot Scottyque que l'on peut trouver sur http://wwwhome.cs.utwente.nl/~schoenw/scotty/. Tkined est une éditeur de réseau écrit en TCL qui comprend différents outils de gestion de réseaux vous permettant de découvrir les réseaux IP. Tkined est un outil très flexible permettant de mettre en œuvre des activités de reconnaissance, et qui présente les résultats sous forme graphique. Bien qu'il n'effectue pas de reconnaissance de système d'exploitation , il effectue un grand nombre d'opérations présentées dans ce chapitre.

Si les opérations initiales d'acquisition de l'objectif et de sondage non intrusifs n'ont pas produit des voies d'accès immédiates, le pirate va ensuite chercher à identifier des comptes d'utilisateurs valides ou des ressources partagées mal protégées. Ces opérations sont appelées les opérations de recensement.

La différence essentielle entre les techniques de recueil d'information que nous avons présentées dans le chapitre précédent et le recensement tient en ce qui concerne l'intrusion. Le recensement implique des connexions actives à des systèmes et des requêtes ciblées. En tant que telles, elles doivent être en principe enregistrées et dûment consignées. Nous allons vous montrer à quoi vous devez prêter attention et comment bloquer ces intrusions le cas échéant.

Une bonne part des renseignements glanés par la méthode du recensement peut sembler inoffensive à première vue. Toutefois, les renseignements qui s'échappent par les brèches suivantes peuvent causer votre perte.

En règle générale, lorsqu'un nom d'utilisateur ou de ressource partagée est recensée, il ne se passe pas beaucoup de temps avant que l'intrus ne parvienne à deviner le mot de passe correspondant ou à identifier une faille associée au protocole de partage de ressource. En colmatant ces brèches facilement accessibles, vous supprimez le premier point d'accès de votre pirate.

Les renseignements que les intrus recueillent par recensement peuvent être classés en trois catégories :

Les techniques de recensement sont généralement propres à chaque système d'exploitation, et c'est pourquoi nous avons choisi ce plan pour cette partie.

Depuis la sortie de Windows 3.1, Microsoft propose en supplément un CD-ROM contenant des utilitaires d'administration réseaux NT : Le kit de ressources Windows NT. Ce kit, appelé NTRK (Windows NT Ressource Kit) contient une collection variée d'utilitaires puissants, par exemple des outils d'administration à distance non fournis dans la version du commerce NT.

Aucun administrateur ne devrait s'en priver.

Il y un néanmoins un inconvénient à toutes les commodités offertes par le NTRK. Un grand nombre de ces outils peuvent être utilisés par des intrus pour obtenir des informations précieuses, ce qui lui a valu d'être surnommé "The Windows NT Hacking Kit" (le kit de piratage Windows NT) dans certains milieux. Certains de ces outils sont disponibles gratuitement à l'adresse ftp://ftp.microsoft.com/bussys/winnt/winnt-public/reskit/.

Bien qu'il soit conseillé à tous les administrateurs soucieux de sécurité d'acheter tous les kits de ressources pour voir ce qu'ils ratent, il ne faut surtout pas les installer sur des serveurs de production. Au mieux, n'installez que les utilitaires pertinents pour les fonctionnalités utilisées en permanence. Il est conseillé d'installer tous les utilitaires des kits de ressources sur un disque amovible et de les utiliser uniquement à des fins de maintenance.

Windows NT présente un sérieux talon d'Achille dans les protocoles CIFS/SMB et NetBIOS, qui permettent de renvoyer des informations importantes via le port 139, même à des utilisateurs non identifiés. La première étape de l'accès à distance consiste à créer une connexion non authentifiée vers un système Windows NT, en utilisant une commande de connexion nulle :

Etablir une connexion avec la ressource partagée masquée de communication inter processus (IPC$) à l'adresse 192.168.202.33 en tant qu'utilisateur anonyme (/u:"") avec un mot de passe nul ("")

En cas de succès, l'assaillant dispose alors d'un canal ouvert par le biais duquel il peut tenter d'exploiter les diverses techniques présentées dans ce chapitre pour piller des informations à propos de la cible.

Parade à la connexion nulle

Les connexions nulles exigent un accès au port 139, et par conséquent, le moyen le plus sûr de les empêcher consiste à filtrer les ports TCP et UDP 139 liés à NetBIOS. Vous pouvez également désactiver NetBIOS sur TCP/IP sur des hôtes NT individuels.

La première opération qu'un pirate tentera sur un réseau Windows NT dont le terrain a déjà été repéré est d'essayer de déterminer ce qui s'y trouve. Nous commençons par présenter le recensement des ressources NetBIOS, puis nous vous parlerons de recensement de services TCP/IP couramment proposé par les systèmes Windows NT.

Les outils et techniques de sondage des réseaux NetBIOS sont disponibles : la plupart d'entre eux étant directement intégrés au système d'exploitation lui-même. Nous présentons ceux-ci en premier, puis passerons à quelques outils d'entreprises tierces.

La commande net view est un excellent exemple d'outil de recensement intégré. C'est un utilitaire de ligne de commande NT extraordinairement simple qui permet de dresser le liste des domaines disponibles sur le réseau et de détailler ensuite toutes les machines d'un domaine. Voici la procédure à suivre pour recenser les domaines présents sur le réseau au moyen de net view.

Lister les domaines existants

Lister les ordinateurs d'un domaine donné

Deux outils intégrés qui appellent le tableau de noms NetBIOS à partir d'un système distant.

Comme indiqué, nbtstat extrait le non du serveur (MAT), le domaine dans lequel il se trouve (RESO), voici le tableau des correspondances de codes services NetBIOS :

Code Netbios	Ressource
<nom de l'ordinateur>[00]	Workstation Service
<nom de domaine>[00]	Domain Name
<nom de l'ordinateur>[03]	User Messenger Service
<nom de l'utilisateur>[03]	Workstation Messenger Service
<nom de l'ordinateur>[20]	Server Service
<nom de domaine>[1D]	Master Browser
<nom de domaine>[1E]	Browser Service Ellections
<nom de domaine>[1B]	Domain Master Browser

Les deux principaux inconvénients de nbtstat résident dans le fait qu'il est limité à un hôte unique et que ses résultats sont assez hermétiques. Ces deux problèmes sont résolus par l'outil gratuit nbtscan, disponible sur http://www.inetcat.org/software/nbtscan.html Nbtscan est capable, au moyen de nbtstat, de traiter tout un réseau à la vitesse de l'éclair et de produire des résultats lisibles :

Accessoirement, nbtscan est un bon moyen de détecter rapidement les machines Windows sur un réseau.

Une fois qu'une connexion nulle est établie, nous pouvons aussi nous replier sur notre bon vieux net view pour recenser les ressources partagées des systèmes distants :

Quelques outils de recensement d'informations de réseaux NT méritent d'être mentionnés : epdump de Microsoft (epdump est disponible sur http://www.ntshop.net) , getmac et netdom (extraits du NTRK), et netviewx de Jesper Lauritsen (voir http://www.ibt.ku.dk/jesper/Nttools/).

Epdump interroge le mappeur de point de fin RPC et affiche les services liés à des adresses IP et des numéros de port.

Au moyen d'une connexion nulle, getmac affiche les adresses MAC et les noms de dispositifs des cartes d'interfaces réseau installées sur des machines distantes. Cette opération peut fournir des informations de réseau utiles pour un assaillant dressant le plan d'un système comprenant un grand nombre d'interfaces réseau.

Netdom est plus utile car il recense des informations clés concernant les domaines NT, notamment les membres d'un domaine et les identités des principaux contrôleurs de domaines.

Netviewx est un outil tout aussi puissant capable de dresser la liste des nœuds d'un domaine et les services exploités.

Enum, l'outil ultime du recensement

Toutes les fonctions de recensement NetBIOS sont regroupées dans un seul outil, enum. Il est disponible à l'adresse http://www.cotse.com/tools/netbios.htm. La liste des options nous montre son exhaustivité :

Enum est capable d'automatiser l'établissement et l'interruption de connexions nulles. Il faut noter, en particulier, le commutateur de recensement de règle de mot de passe, -P, qui indique à des assaillants qu'ils peuvent deviner à distance les mots de passe des comptes utilisateurs (au moyen des commutateurs -D, -u et -f) et l'appliquer jusqu'à ce qu'ils en trouvent un de vulnérable.

Parade au recensement NetBIOS

Pratiquement toutes les techniques présentées fonctionnent sur les ports NetBIOS. Ainsi donc, en refusant l'accès aux ports TCP et UDP 139, aucune de ces opérations ne pourra aboutir.

Repérer les machines et les ressources partagées est intéressant, en soi. Mais le pirate sera comblé s'il trouve des noms d'utilisateurs. 50% du travail de piratage d'un compte est effectué une fois que le nom est obtenu, et d'après certains, cette tâche exige peu d'efforts puisque, grâce à leur fréquence, les mots de passe sont faciles à deviner.

Nous allons à nouveau utiliser la connexion nulle, pour obtenir l'accès initial à partir duquel nous pourrons lancer ces techniques de recensement.

Les ordinateurs Windows NT distribuent les informations utilisateur aussi aisément qu'ils révèlent les ressources partagées.

Nous avons déjà parlé de la capacité des utilitaires nbtstat et son homologue nbtscan à recenser les utilisateurs en renvoyant la table de noms NetBIOS. L'aspect intéressant de cette technique est qu'elle n'exige pas de connexion nulle.

Telnet et Netcat constituent les outils de base de la capture de bannière. Telnet a fait ses preuves en matière de recensement d'applications dans le domaine Windows NT. Ouvrez une connexion telnet sur un port connu du serveur cible, appuyez plusieurs fois sur la touche entrée si nécessaire et notez ce qui vous est renvoyé.

Ce mécanisme fonctionne avec de nombreuses applications courantes qui répondent sur un port défini. (HTTP 80, FTP 21, SMTP 25)

Si vous cherchez un outil de sondage plus précis, vous devez utiliser netcat, disponible à l'adresse http://www.atstake.com/research/tools.html.

Connexion à un port TCP distant :

Appui de la touche entrée

Cette information permet à des intrus de bien cibler leur objectif pour s'introduire dans un système. Puisqu'ils connaissent alors la marque et la version du logiciel de serveur Web exécuté, ils peuvent se concentrer sur des techniques propres à la plate-forme concernée.

Parade : à la capture de bannière Windows NT

Commencez par faire l'inventaire de vos applications critiques puis recherchez le moyen approprié de désactiver la présentation du nom d'éditeur du logiciel. Vérifiez régulièrement votre propre réseau au moyen de balayages systématiques de ports et de connexions brutes netcat sur des ports actifs pour vous assurer que vous ne cédez pas d'informations à vos ennemis.

Un autre mécanisme de recensement d'information d'applications Windows NT implique le recueil de la base de registre Windows de la cible. La grande majorité des applications correctement installées laissent une forme ou une empreinte dans la base de registre.

Les deux outils les plus utilisés pour effectuer cette tâche sont regdmp de la boîte à outils NTRK et DumpSecde Somarsoft. Regdmp est un utilitaire assez fruste qui se contente de transférer la totalité de la base de registre vers la console.

Nous allons chercher de savoir quelles applications démarrent avec Windows

DumpSec produit des sorties bien plus jolies, mais obtient globalement les mêmes résultats. Le rapport "Dump Services" recense tous les services et pilotes noyaux Win32 du système distant, qu'ils soient exécutés ou non (en faisant l'hypothèse que l'on dispose des autorisations d'accès appropriées). Cette opération peut produire une mine de cibles potentielles à des attaquants, parmi lesquelles ils pourront choisir leur victime lorsqu'ils planifieront leur assaut. N'oubliez pas qu'une connexion nulle est nécessaire pour cette opération.

Parade contre le recensement de base de registre

Assurez-vous que votre base de registre est verrouillée et qu'elle n'est pas accessible à distance. La clé à vérifier concernant l'accès à distance à la base de registre est HKLM\SYSTEM\CurrentControlSet\SecurePipeServer\winreg et les sous-clés associées. Si cette clé existe, l'accès à distance est limité par défaut aux administrateurs. Elle est présente par défaut sur les produits Windows NT Server mais pas sur Workstation. La sous-clé optionnelle AllowedPaths définit les chemins spécifiques vers la base de registre qui possèdent un accès quelle que soit la politique définie dans winreg.

Utilisez en outre des outils performants comme DumpSec pour vous auto-contrôler.

Un grand nombre des outils que nous avons présentés peuvent être utilisés dans des scripts, pour faciliter la tâche des pirates dans le cas du recensement d'un grand réseau.

Voici un exemple de script qui exploite l'outil user2sid/sid2user. On détermine le SID du système cible par l'intermédiaire d'une connexion nulle, ensuite on exécute la boucle suivante au moyen de la commande FOR de Windows NT pour recenser jusqu'à 50 comptes sur la cible.

Ces résultats bruts peuvent ensuite être nettoyés en les passant par un filtre pour en extraire les noms d'utilisateurs. Cet exemple permet d'extraire avec succès des utilisateurs à condition que le port TCP 139 soit ouvert, que les connexions nulles soient possibles ou non.

La plupart des installations UNIX modernes reposent sur des fonctions de réseau TCP/IP standard et ne sont pas portées à livrer des informations aussi aisément que les systèmes Windows NT. Cela ne veut pas dire que UNIX est invulnérable mais les techniques qui donneront les meilleurs résultats dépendent de la manière dont est configuré le système.

Les meilleures sources d'information sur les réseaux UNIX restent les techniques TCP/IP de base présentées dans la partie deux. Toute fois, l'utilitaire UNIX showmount est un bon outil qui permet de creuser plus profondément.

Le commutateur -e fournit la liste d'exportation du serveur NFS. Mais NFS n'est plus le seul logiciel de partage de système de fichiers, en effet la suite logicielle Samba offre des services d'impression et des fichiers transparents aux clients SMB sous Windows NT. Samba est disponible sous http://www.samba.org. Bien que la configuration par défaut de serveur Samba contienne quelques paramètres de sécurité de base, une erreur de configuration peut donner lieu au partage de données non protégées.

Parmi d'autres sources potentielles de renseignements portant sur les réseaux UNIX, on peut citer NIS. Le problème de NIS vient du fait que, dès lors que vous connaissez le nom de domaine NIS d'un serveur, vous pouvez obtenir tous ses plans NIS en utilisant une simple requête RPC. Une attaque Nis classique comprend l'utilisation d'outils client NIS destinées à deviner le nom de domaine. Par ailleurs, un outil tel que pscan est capable d'extraire des renseignements intéressants au moyen de l'argument -n.

L'astuce la plus ancienne en matière de recensement d'utilisateurs est probablement l'outil UNIX finger. Un grand nombre d'outils d'attaque à base de scripts l'utilisent, et de nombreux administrateurs négligents laissent tourner finger sur des configurations où la sécurité est minimale. Le renseignement le plus dangereux fournit par finger est peut être la liste des utilisateurs connectés et des temps de repos. Cela peut donner une idée aux pirates de qui observe, et de son niveau de vigilance.

Une autre technique classique de recensement d'utilisateurs exploite le langage courant des messageries Internet, à savoir SMTP (Simple Mail Transfer Protocol). SMTP comprend deux commandes intéressantes :

L'un des moyens les plus populaires pour s'emparer du fichier des mots de passe consiste à passer par le protocole TFTP (Trivial File Tranfer Protocol)

Comme toutes les autres ressources de réseaux, les applications doivent disposer d'un moyen de communiquer les unes avec les autres par le réseau. L'un des protocoles les plus populaires assurant cette communication est RPC (Remote Procedure Call). Rpcinfo est l'équivalent de finger pour le recensement d'applications RPC actives sur des sites distants et peut être mis en œuvre sur des serveurs détectés comme étant à l'écoute du port 111 (rpcbind) ou 32771 (portmapper de Sun) à l'occasion de balayages antérieurs.

Les pirates savent ainsi ce que cet hôte est en train d'exécuter : rusersd, NFS et NIS (ypserv est le serveur NIS). Dès lors, rusers, showmount -e et pscan -n vont générer des informations complémentaires.

Une variante de rpcinfo qui peut être utilisée à partir de Windows NT est RPCdump (http://www.atstake.com/research/tools/).

Il n'existe autre aucun moyen de colmater ces fuites d'informations que d'avoir recours à une certaine forme d'authentification liée à RPC, ou de migrer vers un progiciel de type Secure RPC de Sun qui pratique des authentifications basées sur des mécanismes de cryptographie à clé publique. Enfin, assurez-vous que les ports 111 et 32771 sont filtrés au niveau du mur pare-feu.

Le moyen le plus classique de recenser les applications sous Windows NT l'est aussi sous UNIX : Telnet et Netcat.

Créer un fichier nudge.txt contenant GET /HTTP/1.0 suivi de deux retours chariot

Parade à la capture de bannières

Nous nous sommes bien entendu contentés d'aborder quelques-unes des applications les plus courantes, le temps nous manquant pour couvrir la diversité sans limites des logiciels pour réseaux disponibles. Néanmoins, en appliquant les principes de base décrits ici, vous devriez être en mesure d'obliger les applications les plus bavardes de votre réseau à se taire. Pour plus de conseils sur la manière de colmater ces brèches, consultez le site Web de l'agence canadienne de sécurité PGCI Inc. (http://www.pgci.ca/) Bonne chasse !

Peu d'éléments d'un réseau sont plus négligés que les lignes du service téléphonique ordinaire. Pourtant il faut savoir qu'un vieux modem à 9600 bauds peu permettre à des pirates une intrusion dans le système cible.

En fait, la plupart des grandes entreprises sont plus vulnérables par des lignes modems mal protégées que par des passerelles Internet protégées par des firewalls.

Le piratage par réseau commuté est traité sensiblement de la même façon que les autres formes de piratage : prise d'empreinte, balayage systématique, recensement et attaque. A quelques exceptions près, la totalité du processus de piratage peut être automatisée au moyen d'outils de piratage traditionnels appelés composeur d'attaque ou composeur démon. Ce sont globalement des outils que l'on peut programmer pour qu'ils composent automatiquement de larges banques de numéros de téléphone, pour qu'ils enregistrent des connexions valides, pour qu'ils cherchent à identifier le système placé à l'autre bout de la ligne téléphonique et enfin pour qu'ils essayent de se connecter en devinant des noms d'utilisateurs et des mots de passe courants. Une connexion manuelle à des numéros recensés est également souvent employée si des logiciels spécifiques ou des connaissances particulières du système interrogé sont nécessaires.

Le choix du logiciel de composition automatique est donc crucial aussi bien pour les utilisateurs honnêtes que pour les pirates cherchant à repérer des lignes téléphoniques mal protégées.

THC-Scan est un logiciels d'attaque par composition automatique très populaire et disponible gratuitement par Internet. Ce logiciel appelle chacun des numéros de téléphone de sa banque de données et détecte s'il s'agit d'une VMB (Voice Mail Box), d'un fax, d'une personne, d'un type de sonnerie (occupé, pas de réponse...) ou d'une porteuse c'est à dire un modem (ou plus généralement un Remote Access) qui répond. S'il découvre un Remote Access l'attaque se focalise sur la découverte d'un login/password permettant d'accéder à la machine derrière le modem.

Le réseau est l'organe vital de toute entreprise. Tout réseau local ou étendu (LAN ou WAN) est loin d'être sûr. Les vulnérabilités ne sont pas à prendre à la légère car, dès lors que des pirates ont infiltré votre réseau, ils deviennent les propriétaires de tout ce qui s'y trouve. Dans la plupart des cas, posséder le réseau permet d'espionner du trafic sensible comme le courrier électronique ou des données financières, ou de réacheminer du trafic vers des systèmes non autorisés.

Les vulnérabilités de réseau, bien que moins dévastatrices que celles des systèmes, augmentent tous les ans. La méthode générale de piratage est encore valable pour le piratage de matériel réseau. Les pirates se renseignent tout d'abord sur les équipements réseaux du système cible (concentrateur, commutateur, routeur, firewall,…), puis ils les identifient et enfin essayent d'obtenir un accès non autorisé. Les fuites d'informations, les défauts de conception, les faille SNMP, les accès par l'intermédiaire de compte par défaut, les portes dérobées MIB sont autant de failles que peuvent utiliser les pirates pour attaquer le matériel réseau.

Tout d'abord il faut garder à l'esprit que Windows 9x est un système qui n'a pas été conçu pour être un système d'exploitation protégé et partagé comme par exemple Windows NT/2000 ou Unix.

Windows 9x est un système dont la grande majorité des utilisateurs ne sont pas des personnes sensibilisés aux problèmes de sécurité donc beaucoup de ces systèmes sont mal configurés et donc facilement piratables. Cependant le fait que Windows 9x n'ait pas été conçu pour être partagé joue en sa faveur en termes de sécurité, en effet il ne comprend que des fonctions d'administration à distances très limitées.

Les techniques d'attaques à distance de Windows 9x peuvent être classées en trois catégories : Connexion directe à une ressource partagée, Installation de backdoors, Refus deserviceDoS.

Windows 9x est considérer comme une plate forme pour utilisateur final. Les attaques les plus fréquentes sur de tels systèmes consistent à passer par le niveau application(contenu Web ou messages électroniques mal veillant) plutôt que par le niveau système d'exploitation. Les protections de la couche système d'exploitation sont souvent rendues inopérantes par de telles attaques de niveau application.

Noter que Windows 9x fournit trois mécanismes d'accès direct au système : le partage de fichier, le serveur à accès commuté et la manipulation à distance de la base de registre. Chacun de ces mécanismes est piratable mais nous ne présentons que le partage de fichier car les deux autres mécanismes sont beaucoup moins répandus.

Le piratage d'une ressource partagées est de type craquage de mot de passe elle est extrêmement facile à mettre en œuvre (utilisation de logiciel). Il existe de nombreux outils et techniques qui permettent de parcourir des réseaux à la recherche de disques Windows partagés et de lancer des attaques de détection de mot de passe. Un exemple d'outil est Legion du groupe Rhino9. En plus d'être en mesure de balayer des plages d'adresses IP à la recherche de ressources partagées, Legion est doté de l'outil BF (brute force) pour détecter des mots de passe. Les dégâts provoqués par ces attaques dépendent du répertoire accédé, si part malheur un utilisateur partage la totalité de la partition racine, il suffit alors au pirate d'installer des programme back Orifice dans le répertoire %systemroot%\start Menu\Programs\Startup pour contrôler l'ordinateur cible.

La solution pour contrer ces attaques est simple. L'administrateur peut prendre la décision de désactiver le partage de fichier sur les postes Windows 9x de son réseau d'entreprise. L'utilitaire System Policy Editor permet à l'administrateur système de surveiller un grand nombre de postes et de désactiver le partage de fichier sur tout les postes de son réseau. Si les partages de fichier sont autorisés, il faut mettre des mots de passe complexes (huit caractères, métacaractères), il est bien d'ajouter un symbole $ au nom de la ressource partagée pour faire en sorte quelle n'apparaisse pas dans le voisinage réseau, ni dans les balayages des outils de détection.

Nous avons identifiés trois programmes de portes dérobées (backdoors) client-serveur très populaire : Back Orifice, NetBus et SubSeven nous décrirons uniquement Back Orifice car le fonctionnement de tout ces logiciels est très proche.

On peut comparer BackOrifice à un "outil" d'administration à distance de Windows. BackOrifice permet de prendre un contrôle quasi complet du système cible. Il permet en particulier d'ajouter et supprimer des clés de base de registre, de redémarrer le système, d'envoyer et recevoir des fichiers, de consulter des mots de passe placés dans une mémoire cache, de générer des processus et de créer des fichiers partagés. Des extensions de BO permettent de ce connecter à des canaux IRC et de révéler l'adresse IP d'une machine infectée. BO peut s'installer et s'exécuter sous n'importe quel nom de fichier ([espace].exe par défaut). Il ajoute une entrée au fichier HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices et ainsi, il est relancé à chaque redémarrage. Il écoute sur le port UDP 31337 par défaut mais peut être configuré autrement. Dans les nouvelles versions de BO, appelées BO2K et qui marche également sur Windows NT/2000, un kit de développement est disponible, ce qui rend toute variante personnalisée extrêmement difficile à détecter. D'autre part et pour finir BO2K se déguise dans la liste des tâche sous le nom d'EXPLORER pour dissuader toute tentative de fermeture forcée.

Voici l'interface en ligne de commande de BO client, on peut voir (grâce à la commande help) toute les commandes possibles.

Les serveurs de portes dérobées doivent s'exécuter sur l'ordinateur cible. Les deux moyens les plus utilisés pour installer ce serveur chez la cible sont l'exploitation de faille de sécurité connues sur des clients Internet et l'utilisation de cheval de Troie. Assurez-vous que vos logiciels client Internet sont bien à jour et configurés avec des paramètres restrictifs. Un autre moyen d'empêcher BO de fonctionner est de condamner tout accès entrant aux ports actifs généralement utilisés par ce programme, cependant on a vu qu'il est possible de configurer les port du serveur (serveur=BO installé chez la cible), les pirates peuvent alors choisir pour leur serveur les ports 80 ou 25 (qui sont presque toujours autorisés en entrée) et ainsi contourner cette parade (mais il vaut mieux réduire les risques). Enfin la parade ultime est d'avoir recours à un anti-virus mis à jour.

Il existe un grand nombre de Dos destinés à bloquer Windows 9x, les plus connus sont Ping of Death, teardrop, land ou WinNuke. WinNuke est une attaque de type refus de service qui exploite un défaut de programmation ( c'est à dire une exception non gérée). Le pirate attaque sa cible en envoyant un message spécial que Windows 9x ne sait pas gérer, ce message est un message OOB. Un message OOB (Out Of Band), est comme son nom l'indique, un message qui saute par dessus les autres paquets d'un message, qui sont envoyés et non encore reçus. Par exemple, pour interrompre une session telnet ce sont ces paquets qui sont utilisés. Pour simplifier on peut dire que c'est un message prioritaire.

Donc si on envoie ce type de message le noyau de Windows 9x "plante" tout simplement parce qu'il ne sait pas gérer ce type de message.

On obtient un message d'erreur (écran bleu) du type :

Pour lancer un WinNuke, on peut utiliser un script, il existe également de nombreux outils sur Internet.

Installer le patch Winsock2.2, service pack 4. Avec ce patch vous n'aurez plus de problèmes. Une autre solution consiste à éditer à la main la base de registre avec regedit.exe, il faut aller dans la rubrique " Hkey_Local_Machine\System\CurrentControlSet\Services\VxD\MSTCP " et mettez la valeur de BSDUrgent à 0 (sa valeur est 1 par defaut).

Le système Windows NT est le système cible favori de la communauté des pirates informatiques. On peut expliquer cela de plusieurs façons : Windows NT équipe une part significative des systèmes des réseaux, privés ou publics donc ce système est plus attaqué car en plus grand nombre. Windows NT se veut un système convivial, son interface graphique facile à utiliser rend ce système séduisant aux yeux des administrateurs débutants qui, en règle générale font peut de cas des problèmes de sécurité. Windows NT assure la compatibilité descendante : des concessions essentielles faites aux systèmes anciens rendent NT moins sûr qu'il ne pourrait l'être. Deux exemples sont l'utilisation maintenue par NT des protocoles de mise en réseau NetBios et CIFS/SMB et le recours à l'ancien algorithme LanManager (LM) de hachage de mot de passe. Cependant un système Windows NT bien configuré est un système très sûr. En effet NT ne permet pas d'exécuter du code à distance dans l'espace de traitement du serveur (contrairement aux systèmes UNIX). Tout fichier exécutable est lancé à partir d'un poste client est chargé dans l'unité de traitement CPU du client et dans la mémoire principale. De plus la possibilité de se connecter interactivement à la console est limité à quelques comptes administratifs par défaut.

En poursuivant sur le modèle de l'attaque classique, nous traitons dans ce chapitre des dernières phases de la stratégie de piratage : obtention des droits de superutilisateur et effacement des traces.

Il faut bien garder à l'esprit qu'un intrus à distance ne peut pas grand chose tant qu'il n'a pas le statut d'administrateur. Le but de tout pirate sera donc d'obtenir le statut d'administrateur et ce par tous les moyens. Les deux techniques les plus utilisées sont la détection de mots de passe d'un compte administrateur ou la détection de mots de passe d'un compte utilisateur suivie de la remontée des paliers de droits d'accès. Les attaques à distance de type refus de service ou débordement de tampon qui par l'exploitation de failles secrètes ouvre l'accès au statut d'administrateur sur un système distant sont beaucoup plus rares.

Si l'on suppose que le service de session NetBios (TCP 139), est disponible, la méthode la plus efficace de pénétrer dans Windows NT est la méthode de la détection de mots de passe à distance, c'est à dire chercher à ce connecter à une ressource partagée recensée et essayer une foule de combinaisons nom d'utilisateur/mot de passe jusqu'à en trouver une qui fonctionne. Pour effectuer cette détection de mot de passe il existe de nombreux outils à peu prés identiques à ceux de Windows 9x mais la détection peu également s'effectuer au moyen de la ligne de commande avec la commande net use comme suit :

Grâce à cette commande nous pouvons montrer le fonctionnement d'un logiciel de détection de mot de passe très simple.

Il faut commencer par créer un fichier de nom utilisateur et de mots de passe basé sur des mots de passe à forte probabilité (vide, nom du chien, ….) du style :

Executons maintenant la commande :

Cette commande analyse le fichier pass_utilisateur.txt, en extrait les deux premiers éléments de chaque ligne et insère le premier dans le champ de la variable %i (mot de passe) et le second dans le champ %j (nom d'utilisateur) d'une tentative de connexion standard net use vers la ressource partagée IPC$ du serveur cible.

Plusieurs mesures permettent de supprimer ou de limiter la détection de mot de passe. Tout d'abord si le système NT en question est un hôte Internet et ne devrait pas répondre à des requêtes portant sur des ressources partagées il faut bloquer l'accès aux ports TCP et UDP 135 à 139 au niveau du routeur ou du firewall et désactiver les liens aux clients WINS (TCP/IP). Cette opération va désactiver tous les ports de type NetBios. Si on a besoin de ressources partagées on peut utiliser les options de gestion des comptes de User Manager (on le trouve dans le menu Policies | Account), on peut mettre en œuvre grâce à cette fonction, des restrictions de mot de passe, comme la longueur minimale ou la forme des mots de passe. Les comptes peuvent également être bloqués après un nombre donné de tentative de connexion aboutissant à un échec. Enfin il est possible d'obliger des utilisateurs à se déconnecter après les horaires de connexion (cela empêche des chapardeurs nocturnes de se connecter). On peut utiliser également l'outil Passfilt DLL, livré avec le service Pack 2, qui assure une bonne sécurité. Il oblige des mots de passe puissants et s'assure que personne ne passe au travers de ces mesures de sécurités. On peut également utiliser des outils de détection des intrusions (cependant leur utilisation sort du cadre de ce document).

Si l'exercice initial de détection des mots de passe donne l'accès uniquement à un compte utilisateur, le pirate se retrouve avec peu de pouvoir, son but est alors de trouver un accès à un compte Administrateur. Le pirate utilisera des outils de sniff pour essayer de se procurer un mot de passe Administrateur. Il passera au peigne fin le maximum de renseignements système possible par exemple il pourra grâce à la fonction Rechercher chercher des chaînes comme "password" dans des fichiers .bat ou des scripts.

Il existe des outils qui permettent de remonter les différents paliers pour atteindre le niveau de compte Administrateur mais ces outils ne sont pas exécutable à partir d'un compte utilisateur de base qui n'as pas le droit d'établir une connexion interactive. Toutefois, si l'administrateur système a commis des erreurs, il est possible d'utiliser ces outils pour remonter les droits d'accès. Nous présentons un de ces outils : getadmin. Getadmin est un petit programme qui ajoute un utilisateur au groupe local des administrateurs. Il utilise un sous programme noyau NT de bas niveau pour définir une balise globale autorisant l'accès à tout processus en cours, puis il applique une technique appelée injection DLL qui insère du code malveillant dans un processus qui possède le droit d'ajouter des utilisateurs au groupe Administrateur (le processus piraté s'appelle winlogon, qui est exécuté sous le compte système).

Les pirates infiltrés dans un compte utilisateur peuvent aussi utiliser des chevaux de Troie pour essayer de remonter les droits d'accès. Il faut chercher à tromper d'autres utilisateurs (si possible un Administrateur) pour les amener à executer du code qui fait monter le compte de l'assaillant au niveau de superutilisateur.

La faille getadmin est colmatée par une rustine : post-SP 3 de microsoft.

Une fois que des intrus auront réussi à obtenir le statut Administrateur sur un système, ils feront en sorte que leur présence ne soit pas détectée. Une fois que toutes les informations intéressantes du système auront été récoltées, ils installeront plusieurs portes dérobées et une boite à outils pour s'assurer un accès ultérieur facile.

Le pirate s'attachera tout d'abord à désactiver les outils de surveillances (si des outils de ce type sont présent sur le système cible). L'outils auditpol de NTKR le permet aisément par la commande :

Ensuite ils purgeront le journal des événements NT. Ils utiliseront pour cela la fonction Event Wiewer qui peut ouvrir, lire et purger les journaux de l'hôte cible. Ce processus supprime tous les enregistrements du journal tout en insérant un nouvel enregistrement.

Puis ils vont installer une boîte à outils pour leur permettre de se connecter ultérieurement très rapidement mais cette collection d'utilitaire (chevaux de Troie…)sont autant de cartes de visite qui peuvent alerter les administrateurs. Il faut donc cacher les différents fichiers, pour cela on peut utiliser un outil (un peu vieux) DOS nommé attrib de la façon suivante :

Cette opération masque les fichiers et les répertoires des outils de ligne de commande sauf si l'option Afficher tous les fichiers de Windows explorer est activée. Enfin l'opération ultime consiste à installer un kit racine. Un kit racine est une suite logicielle qui installe des chevaux de Troie à la place de fichiers binaires du système d'exploitation.

Unix est un système complexe qui exige beaucoup de réflexion avant que l'on puisse lui appliquer des mesures de sécurités adéquates. Une foule d'attaques locales et à distances peuvent permettre à des pirates de toucher l'intégrité des systèmes Unix. Dans ce chapitre nous allons explorer les techniques associées au piratage d'un système Unix. Nous considérons que les phases de prise d'emprunte, de cartographie et de recensement ont été réalisées. Grâce aux informations récoltées les pirates vont savoir quels services viser. En poursuivant sur le modèle de l'attaque classique, nous traitons dans ce chapitre des dernières phases de la stratégie de piratage : obtention des droits de superutilisateur et effacement des traces. La plupart des pirates cherchent à obtenir un accès local par le biais d'une vulnérabilité distante. Dès qu'ils ont accès à un interpréteur de commandes interactif, on considère qu'ils ont un accès local au système. Bien qu'il soit possible d'obtenir un accès racine direct via une vulnérabilité distante, les pirates cherchent généralement à obtenir d'abord un accès utilisateur. Il accéderont ensuite au niveau racine en remontant les paliers de droit d'accès.

Comme pour les systèmes NT un des moyens les plus efficace d'accéder à un système Unix est l 'attaque par force brute (largement expliqué au chapitre sur NT). Les types de service les plus courants que l'on peut percer par force brute sont : Telnet, FTP, ssh, SNMP, POP, http/HTTPS.

Le débordement de tampon de la commande VRFY de sendmail :

Le tampon qui défini la quantité de données qui peut être enregistrée comme entrée pour la commande VRFY de sendmail a une taille de 128 octets. Supposons que sendmail possède des droits racine (ce qui n'est pas le cas sur tout système). Si des pirates se connectent au démon sendmail et envoient un bloc de donnée composé de mille "a" à la commande VRFY de sendmail au lieu d'un nom d'utilisateur court, le tampon VRFY déborde puisqu'il a été conçu pour ne contenir que 128 octets. En essayant de faire rentrer 1000 octets dans le tampon VRFY, on provoque un refus de service et on bloque le démon sendmail mais au fond tout cela n'apporte pas grand chose au pirate.

Voici comment fontionne l'attaque réussie. Au lieu d'envoyer mille lettre "a" à la commande VRFY, les pirates envoient du code spécifique qui provoque le débordement de tampon et exécute la commande /bin/sh (c'est à dire lance un shell). Etant donné que sendmail est exécuté à la racine /bin/sh est exécuté en tant que root et les pirates ont immédiatement un accés racine. En fait lorsque l'attaque est exécutée, un code assembleur spécial connu sous le nom "d'œuf" est envoyé à la commande VRFY comme partie de la chaîne utilisée pour faire déborder le tampon . Lorsque que le tampon VRFY est en débordement, les pirates peuvent régler l'adresse de retour de la fonction irrégulière de façon à modifier le flux du programme. Au lieu de permettre à la fonction de revenir à son emplacement mémoire propre, le pirates exécutent le code assembleur dangereux qui a été envoyé au sein des données de débordement de tampon et qui va exécuter /bin/sh avec des droits racines. Bien sur le code assembleur malveillant dépend de l'architecture et du système d'exploitation de la cible.

Exemple d'œuf spécifique à Linux X86 :

Mauvaise entrée et PHF :

PHF est un script d'interface de passerelle commune (common gateway interface, CGI) qui est devenu un standard avec le premières versions du serveur Web Apache.

Malheureusement, ce programme n'analysait pas et ne validait pas correctement les entrées qu'il recevait. La version originale du script PHF acceptait le caractère de retour à la ligne (%0a), une fois ce caractère tapé il permettait d'exécuter toute commandes avec les droits de l'identifiant utilisateur exécutant le serveur Web.

L'attaque PHF d'origine se présente comme suit :

Sous cette forme, cette commande ne fait rien de plus que cat avec le fichier des mots de passe. Bien sûr ces renseignements peuvent être utilisés pour découvrir des identifiants utilisateurs ainsi que des mots de passe cryptés (qui pourront être analysés plus tard par brute force).

Cependant cette faille permet plus que la récupération de mots de passe puisqu'elle permet l'exécution de n'importe quelle commande avec les droits d'accès de l'identifiant et donc d'obtenir un accès interpréteur de commande.

Il est important de comprendre la vulnérabilité exploitée, sous Unix il existe des métacaractères qui sont réservés à des usages spéciaux. Ces métacaractères comprennent par exemple :

Si un programme ou un script CGI accepte des entrées fournies par un utilisateur et qu'il ne valide pas convenablement ces données, il pourrait être trompé et être amené à exécuter du code arbitraire.

La meilleure parade au débordement de tampon consiste à appliquer des méthodes de codage sûres. Comme par exemple : concevoir le programme en ayant dès le départ des principes de sécurité à l'esprit, envisager l'utilisation de compilateurs plus sûr tels que StackGuard d'Immunix, les arguments doivent être validés lorsqu'ils sont reçus (par un utilisateur ou par un programme), il faut réduire le code exécuter avec des droits racine.

De plus il faut bien sûr tester et vérifier tous les programmes.

Enfin il est bien de désactiver des services inutilisés dangereux.

Nous avons vu deux moyens utilisés pour obtenir un accès à des systèmes Unix. Mais à ce stade rien n'est fini. Par exemple dans le cas du débordement de tampon dde la commande VRFY de sendmail, le pirate arrive à faire exécuter un shell avec le statut de root mais ce shell (/bin/sh) s'éxecute sur le système cible, le pirate ne voit rien sur son écran son but est alors d'obtenir un accès à l'interpréteur de commande pour pouvoir se servir de ce shell et prendre définitivement le contrôle du système cible. Reprenons l'exemple de PHF.

Comme les assaillants sont capables d'exécuter des commandes sur le serveur Web la technique à appliquer pour obtenir un accès interpréteur de commandes interactif est de tirer profit du système de fenêtrage Unix X. X est la fonctionnalité de fenêtrage qui permet à un grand nombre de programme de partager le même écran graphique. X est extrêmement robuste et permet à des programmes clients de type X d'afficher leurs résultats sur le serveur X local ou sur un serveur X distant fonctionnant sur les ports 6000 à 6063. L'un des client X les plus utile aux pirates est Xterm.

Le but des pirates est de lancer le client Xterm sur le système cible de façon à que celui-ci renvoie ses résultats sur le serveur X qui se trouve chez le pirate (et non sur le serveur X local). On peut utiliser PHF pour cela :

Le serveur Web va alors exécuter Xterm et réafficher le résultat obtenu sur le serveur X des pirates avec un identifiant de fenêtre de 0 et un identifiant d'écran de 0. Comme l'option -ut est activée le système cible ne va pas enregistrer cette opération. Le pirate contrôle désormais la totalité du système (puisqu'il contrôle interactivement une console).

Si l'exercice initial de détection des mots de passe ou de débordement de tampon donne l'accès uniquement à un compte utilisateur, le pirate se retrouve avec peu de pouvoir, son but est alors de trouver un accès à un compte root.

Le pirate utilisera des outils de sniff pour essayer de se procurer un mot de passe root. Il passera au peigne fin le maximum de renseignements système possible.

Il pourra aussi effectuer des attaques de débordement de tampon local et ainsi obtenir l'accès à une console root.

Le système initialement pénétré devient ensuite le point d'accés central d'attaques futures. Il est donc important que les pirates parviennent à charger et à dissimuler leur kit racine. Un kit racine Unix comprend généralement quatre groupe d'outils tous adaptés au type de plate forme et à la version spécifiques : chevaux de Troie, portes dérobées telles que des insertions inetd, sniffeurs, nettoyeur de fichier journal système.

Les logiciels de Peer to Peer sont en pleine expansion. Ils permettent de faire communiquer deux ordinateurs par le biais d'internet. Le développement croissant de l'Internet haut débit favorise l'utilisation de ce type de logiciels pour les particuliers. Ce sont communément des logiciels de "chat" comme icq ou de partage de fichier comme napster ou le récent e-donkey. Ces logiciels sont tous de type freeware, c'est à dire qu'il n'est demandé aucun paiement pour leur utilisation. Seulement voilà, les éditeurs de ce type de logiciels comptent en grande partie sur l'utilisation par les particuliers de leur freeware pour "récupérer" des informations sur vos habitudes, vos modes de consommations, vos centres d'intérêts… Les pirates ou espions seront, eux, plus intéressés par le contenu des machines connectées, la réception de ces informations etc...

Pour faciliter la récolte de ce type de renseignements, il existe des "espiogiciels", en anglais spywares. Ils se trouvent généralement dans le code d'un programme que l'utilisateur téléchargera innocemment sur internet. Dans la plupart des cas, ces espogiciels sont des "petits morceaux de code parasite" (routines) intégrés dans le code principal du programme. Dans un même programme, il peut y avoir plusieurs routines parasites différentes, ayant chacune une fonction déterminée. Dans le cas d'un logiciel de messagerie par exemple, il est possible de trouver une routine faisant qu'une copie de chaque email sera envoyée à une adresse déterminée sans laisser de trace dans la boîte éléments envoyés de l'email dupliqué.

La détection de ces routines est très difficile. En effet, plus le logiciel initialement téléchargé est volumineux, plus les chances de trouver les routines éventuelles seront faibles. Il est impossible par exemple à un développeur seul ou à une équipe d'analyser le code source d'un navigateur internet. Sans vouloir sembler paranoïaque, il est donc important de garder en mémoire que tout exécutable est potentiellement infecté d'un espiogiciel. En outre, dans certains pays, il n'est pas toujours légal de désassembler un logiciel (rendre le code source du programme lisible et donc modifiable). Impossible donc en respectant la loi de valider l'intégrité des programmes utilisés.

Dans tous les cas, l'espiogiciel aura besoin d'une connexion internet pour la transmission des données. C'est pourquoi ces routines se trouvent majoritairement dans des exécutables prévus pour fonctionner avec internet (logiciels de téléchargement de MP3, films, traducteurs, browsers etc...). Généralement les logiciels libres (freewares) et logiciels d'évaluation (sharewares) sont les principaux vecteurs d'espigociels : plus communément, on retrouvera les logiciels de Peer to Peer.

Un outil infecté par un spyware peut représenter une très grande menace pour la sécurité du système d'information infecté. En effet plusieurs routines successives peuvent permettre la détection de mots de passe encryptés et le craquage de ces informations. Il suffit pour cela d'indiquer dans une routine à l'ordinateur de mettre à profit le temps CPU disponible pour cracker le mot de passe à l'insu de l'utilisateur.

Le spyware intégré (ou interne) est une routine incluse dans le code source d'un logiciel ayant une fonction propre pour lui donner la possibilité de collecter et de transmettre des informations par internet. Ces spywares sont téléchargeables séparément ou sont proposés à l'installation en même temps que d'autres programmes gratuits, eux-mêmes généralement des spywares, grâce à des accords entre éditeurs de logiciels. C'est le cas notamment de Gator, New.net, SaveNow, TopText, Alexa et Webhancer.

Le spyware externalisé est une application autonome dialoguant avec le logiciel principal qui lui est associé, et dont la seule fonction est de se charger de la "relation client" : collecte et transmission d'informations, affichage de bannières publicitaires, etc. Ces spywares sont conçus par des régies publicitaires ou des sociétés spécialisées comme Radiate, Cydoor, Conducent, Onflow ou Web3000, avec lesquelles les éditeurs de logiciels passent également des accords. Le spyware de Cydoor est par exemple associé au logiciel peer-to-peer KaZaA, et s'installe en même temps que lui.

Se protéger des spywares n'est pas chose facile. En effet, un anti-virus ne les détectera pas puisqu'il ne détaille pas l'ensemble du code des programmes mais reconnaît des signatures au préalable identifiées. De plus, un espiogiciel n'est pas un virus. Les éditeurs d'antivirus ne travaillent donc pas sur ce "marché".

En outre, l'utilisation d'un firewall ne permettra généralement pas non plus la détection des espiogiciels. En effet, même si la routine provoque l'envoi d'un fichier par email à un destinataire non désiré, la configuration du firewall, sauf exception, n'a pas pour but d'analyser ce qui sort du PC mais à l'inverse ce qui rentre. Le firewall n'a donc pas de moyen de savoir qu'un email est émis volontairement ou à l'insu de l'utilisateur. De plus, un firewall ne s'intéresse pas à la nature des fichiers qui transitent mais aux paquets qui voyagent sur le réseau. Il n'y a donc pas de moyen simple pour le firewall d'identifier comme des menaces l'exécution des routines et la passation d'informations. Cependant, l'un des moyens existants pour suspecter un spyware sur une machine est de voir un flux de paquets nettement supérieur au flux habituel passer via le firewall ou le modem. Mais là encore, c'est très difficile à détecter.

Il existe sur le net de nombreux sites référençant des spywares. Cependant aucun ne peut prétendre avoir une liste exhaustive des espiogiciels existants. De même certains outils permettent la détection de logiciels identifiés comme ayant des spywares mais les utiliser ne garantit pas une sécurisation à 100% du PC.

Le plus simple pour détecter la présence d'un spyware est de procéder par des moyens indirects, à savoir son activité, la présence de fichiers caractéristiques ou le nom du logiciel suspect.

Il existe en effet des listes de spywares, consultables en l'état, sous forme de moteurs de recherche ou encore d'utilitaires dédiés. Près d'un millier de logiciels (spywares intégrés ou programmes associés à un spyware externalisé) ont ainsi été recensés, dont Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh.

Cette méthode de détection est simple, mais aucun site ne peut prétendre à l'exhaustivité : même l'utilitaire Ad-Search (LavaSoft) édité par un spécialiste du sujet est incomplet. Elle ne constitue donc qu'une première approche, qui reste très pédagogique car elle permet de mesurer l'ampleur du phénomène.

Certains firewalls personnels sont capables de filtrer le trafic sortant sur une base applicative, c'est-à-dire que chaque application souhaitant accéder à internet doit au préalable y avoir été autorisée. Pour ce faire, une alerte est émise, comme ici avec ZoneAlarm (ZoneLabs) et le spyware Webhancer :

Cette solution donne de bons résultats avec la plupart des spywares, y compris si le spyware est une DLL (l'application qui tente de se connecter à internet est alors RUNDLL32.EXE), mais elle ne peut rien contre les spywares intégrés si le logiciel concerné a déjà été autorisé à accéder à internet dans le cadre de son fonctionnement normal. L'utilisateur doit par ailleurs être suffisamment compétent pour pouvoir décider si l'application qui tente de se connecter doit ou non y être autorisée.

C'est pourquoi des antispywares ont été conçus sur le modèle des antivirus, afin de détecter les spywares sur la base de signatures. Utilisables facilement même par des non initiés, ils permettent de détecter un spyware même s'il n'est pas actif, mais restent dépendants de la mise à jour du fichier des signatures. OptOut étant abandonné, le plus performant des antispywares actuels est Ad-Aware (LavaSoft), qui a par ailleurs le mérite d'exister en version française :

Ce programme permet de scanner la mémoire de l'ordinateur, la base de registres et les fichiers des différents disques à la recherche des composants indiquant la présence d'un spyware.

La désinstallation d'un logiciel supprime rarement les spywares installés avec lui. Ainsi, la désinstallation de KaZaA ne supprime ni son spyware externalisé Cydoor, ni les autres spywares installés avec ce logiciel.

Pour éliminer un spyware intégré, il suffit le plus souvent d'aller dans le Panneau de configuration de Windows et de désinstaller l'application correspondante. Dans le cas d'un spyware externalisé, il est par contre généralement nécessaire de passer par une procédure fournie par son éditeur dans une obscure FAQ, ou plus efficacement d'utiliser Ad-Aware en supprimant les fichiers constitutifs du spyware :

Dans la plupart des cas, l'élimination d'un spyware externalisé fera que le logiciel associé cessera de fonctionner, affichant un message du type : "Vous avez effacé un composant du logiciel nécessaire à son exécution. Le logiciel ne fonctionnera plus mais vous pouvez le réinstaller".

Il est impossible à l'heure actuelle de surfer en étant certain que nos informations ne sont pas transmises. Il n'existe aucun moyen de s'assurer qu'un ordinateur connecté à internet ne sera pas à même d'envoyer à notre insu des éléments non désirés. C'est pourquoi il est parfois préférable d'utiliser un PC public, (cybercafé, université etc...) si l'on veut surfer en paix sans donner d'informations. Une autre solution peut être dans le cadre d'un réseau d'avoir une machine par service internet utilisé. C'est à dire par exemple un PC dédié à la messagerie, l'autre pour le surf et un troisième pour l'utilisation des services FTP par exemple. Les risques sont toujours présents mais limités à chaque fois aux informations disponibles sur une machine seulement.

La messagerie est l'activité principale et préférée des internautes. C'est pourquoi elle est une cible de choix pour les pirates voulant un peu "s'amuser" avec les utilisateurs non avertis. Il existe plusieurs techniques permettant à ces pirates d'utiliser votre messagerie ou votre logiciel de messagerie pour vous causer du mal. Voici les plus connus :

Le mailbombing est une variante belliqueuse du spamming (envoi de courier electronique à des fins publicitaires sans votre demande) qui consiste à encombrer volontairement la boîte aux lettres d'un destinataire par l'envoi de centaines de messages vides, injurieux ou volumineux, potentiellement accompagnés de virus en pièce jointe.

Le mailbombing a clairement l'intention de vous nuire, par la perte de temps qu'il vous impose pour nettoyer les dégâts et par le risque de perte de données. En effet, la plupart des fournisseurs d'accès ou d'adresses email gratuites définissent une taille maximale aux boîtes-aux-lettres, généralement de 1 à 5 Mo. Si le mailbombing sature complètement la capacité de votre boîte, les premiers courriers suivants seront détruits faute de place pour les stocker. C'est en ce point particulier que je range le mailbombing comme une attaque, même si le pirate ne rentre jamais directement en contact avec votre ordinateur. La victime d'un mailbombing sur une adresse electronique est quasi forcée d'abandonner cette adresse électronique avec tout ce que cela implique (prévenir l'entourage, perte des mails anciens, etc…).

Il est nécessaire pour l'auteur de l'attaque de se procurer un logiciel permettant de réaliser le mail bombing. Voici comment cela fonctionne

L'attaquant ici choisit différentes options :

Cet outil est aussi intuitif que le précédent. Cependant il semble nettement plus dangereux. En effet, la possibilité d'attacher une pièce jointe est une sérieuse menace, puisqu'elle permet à l'expéditeur d'insérer virus et troyens dans les messages. Une fois de plus, rappelons qu'il faut impérativement éviter d'ouvrir une pièce jointe ayant pour extension .com, .bat, .pif ou .exe...

Si vous êtes la victime d'un mailbombing, vous vous en apercevez tout de suite : lors de la levée du courrier, votre boîte de réception se remplit de dizaines (voire beaucoup plus si le pirate est méchant) d'exemplaires du même message, à n'en plus finir. Si les messages envoyés sont volumineux et que vous êtes connecté à internet via un accès bas débit (notamment RTC), vous pouvez avoir l'impression que le logiciel de messagerie se connecte mais que rien n'arrive, car les messages mettent plusieurs dizaines de secondes à se télécharger.

Dans le cas de messages volumineux, arrêtez la récupération du courrier en cours, et configurez votre logiciel de messagerie pour qu'il ne récupère que les mails de taille inférieure à 10 ou 15 Ko. Vous pourrez ainsi instantanément vider votre boîte-aux-lettres de la plupart de vos messages importants, la plupart des courriers échangés avec vos correspondants ne faisant habituellement que quelques Ko.

Il existe des petits logiciels permettant d'examiner le contenu de votre boîte aux lettres située sur le serveur, avant de télécharger les messages. C'est le cas du freeware e-remove. Il vous permet aussi de sélectionner et supprimer directement sur le serveur les messages parasites : supprimez-les tous sauf un, afin de garder un exemplaire pour analyse détaillée de son fichier source (voir ci-dessus). Vous n'avez plus ensuite qu'à relever le courrier comme habituellement, puis à porter plainte auprès du propriétaire du serveur de mails utilisé par votre agresseur (voir ci-dessus).

Même si le mailbomber utilise un autre serveur de mails que celui de son fournisseur d'accès pour envoyer ses messages parasites, il est indispensable d'en avertir le propriétaire : il pourra modifier la configuration du serveur en question et empêcher ainsi son utilisation par d'autres que ses clients ou abonnés. Il s'y prêtera d'ailleurs bien volontiers, car en restreignant l'accès à son serveur il économisera des ressources.

Si les bombardements de votre boîte aux lettres se renouvellent à partir de la même adresse mail avant que le propriétaire du serveur ait eu le temps de prendre les mesures qui s'imposent, et si votre logiciel de messagerie en possède un, configurez le gestionnaire de la boîte de réception pour qu'il ne télécharge pas les messages provenant de cette adresse, mais qu'il les détruise systématiquement sur le serveur.

Si vous êtes constamment pris pour cible par un mailbomber qui masque son identité et/ou contre lequel il est impossible de prendre des sanctions, il ne vous reste plus qu'à changer de boîte-aux-lettres. A ce moment, si vous n'avez pas suivi les quelques conseils suivants, vous risquez de le regretter...

Malgré tout, il est parfois possible de remonter jusqu'à l'émetteur. En effet, il existe des informations dans chaque message qui donnent des informations sur leur auteur. Voici un exemple de propriétés de message :

Si vous retrouvez des informations comme l'adresse email ou le serveur qui ont permis l'arrivée des messages, il est important de se plaindre auprès du fournisseur d'accès. En effet, dans la plupart des cas les fournisseurs d'accès n'apprécient pas ce type de procédés via leurs serveurs et prennent toutes les mesures nécessaires pour empêcher les auteurs de recommencer.

Afin de lutter plus efficacement contre les problèmes de mailbombing, et en attendant un durcissement de la législation, la meilleure solution reste la prévention. Gérez donc si possible votre courrier au travers de plusieurs boîte-aux-lettres :

Le mail bombing n'est, à priori, pas illégal. Il n'existe pas de limite légale déterminant le nombre maximum de messages à envoyer à un internaute. Cependant, les fournisseurs d'accès à Internet n'apprécient pas ce type de procédé. En effet, cela leur cause des soucis de bande passante et la saturation de leurs serveurs de messagerie. En conséquence, n'hésitez surtout pas à les solliciter si vous êtes victime d'une telle attaque. Ils réagissent généralement rapidement pour éviter que leurs abonnés recommencent. Par ailleurs, prendre le temps d'intaller eremove est indispensable si l'on désire éviter tout soucis et ne pas se retrouver contraint à changer d'adresse électronique. Une fois installé vous pouvez en toute quiétude ne plus craindre les attaques par mail bombing :o) !!!

Une seconde façon d'utiliser votre messagerie pour vous nuire est de l'utiliser dans un but de diffusion de chevaux de Troie. Les chevaux de Troie ("Trojan horses" ou "Trojans" en anglais) tirent leur nom de la célèbre légende mythologique. Comme dans cette dernière, ils utilisent une ruse pour agir de façon invisible, le plus souvent en se greffant sur un programme anodin.

Ils font partie des grandes menaces que l'on peut rencontrer sur le web, parmi les virus et autres vers. Pourtant, contrairement à ceux-ci, les chevaux de Troie de ne reproduisent pas (en tout cas, ce n'est pas leur objectif premier). Ce sont à la base de simples programmes destinés à être executés à l'insu de l'utilisateur.

Leur objectif est le plus souvent d'ouvrir une porte dérobée ("backdoor") sur le système cible, permettant par la suite à l'attaquant de revenir à loisir épier, collecter des données, les corrompre, contrôler voire même détruire le système. Certains chevaux de Troie sont d'ailleurs tellement évolués qu'ils sont devenus de véritables outils de prise en main et d'administration à distance.

Leur mode opératoire est souvent le même; ils doivent tout d'abord être introduits dans le système cible le plus discrètement possible. Les moyens sont variés et exploitent le vaste éventail des failles de sécurité, du simple économiseur d'écran piégé (envoyé par mail ou autre, du type cadeau.exe, snow.exe, etc...) jusqu'à l'exploitation plus complexe d'un buffer overflow. Dans 95 % (chiffre non officiel) des cas, le cheval de Troie s'introduira dans votre système par le biais d'un fichier joint à un mail. C'est pour cette raison que la problématique sur les chevaux de Troie est développée dans cette partie.

Après leur introduction dans le système, ils se cachent dans des répertoires système ou se lient à des exécutables. Ils modifient le système d'exploitation cible (sous Windows, la base des registres) pour pouvoir démarrer en même temps que la machine. De plus, ils sont actifs en permanence (car un cheval de Troie est un véritable serveur, il reste à l'écoute des connections provenant de l'attaquant pour recevoir des instructions) mais ils restent furtifs et sont rarement détectables par l'utilisateur. Ainsi, un listing des tâches courantes ne fournira pas d'indication suffisante : soit le cheval de Troie y sera invisible, soit son nom sera tout ce qu'il y a de plus banal ("Patch.exe", ".exe", "winamp34.exe", "winrar.exe", "setup.exe", "rundlls").

Du fait qu'ils ne se répliquent pas (contrairement aux virus), ils ne possèdent pas de signature de réplication et ne sont donc pas détectables par les anti-virus, en tout cas à ce niveau là. De plus, les chevaux de Troie n'altèrent en général pas les données vitales de la cible (MBR...) qui sont protégées.

Par contre, comme ils restent des programmes assez répandus sur internet et qu'ils sont rarement modifiés par les apprentis hackers, il est assez facile de les détecter avec les anti-virus actuels qui connaissent très précisément leur empreinte ou leur code. Le problème est un peu plus compliqué lorsqu'il s'agit de programmes dont les sources sont disponibles librement sur internet. Il devient alors aisé de modifier le code et de le recompiler afin d'obtenir un cheval de Troie dont l'empreinte sera unique et donc inconnue des anti-virus.

Si l'on ne peut pas détecter leur présence, on peut essayer de détecter leur activité : un cheval de Troie est obligé d'ouvrir des voies d'accès pour pouvoir communiquer avec l'extérieur. Ainsi, plusieurs ports de la machine risquent de le trahir (par exemple 12345, 31337, etc...) surtout s'ils sont habituellement inutilisés. D'autres chevaux de Troie ont détourné cette faiblesse en utilisant des ports plus communs (relatifs aux services ftp, irc...). Là encore, un utilisateur capable de voir ces ports ouverts doit se poser la question de savoir pourquoi tel service est actif. => Rappelons que la commande netstat permet d'obtenir de telles informations sous Linux et Windows.

Du point de vue réseau, il est également possible de détecter ce traffic (services/ports inhabituels) ou l'activité secondaire du cheval de Troie. En effet, il arrive que la cible infectée serve de point d'entrée à l'attaquant pour se propager dans tout le réseau. Pour cela, il devra effectuer différentes tâches dont certaines sont aisément détectables (scan de machines et de ports...).

Dans la majorité des cas, de telles données trahissent non seulement la présence du cheval de Troie mais fournissent également des informations sur son identité, permettant ainsi de mieux l'éradiquer. Il est même possible d'installer par la suite des leures qui garderont des traces des tentatives de connections externes (trahissant l'attaquant).

Voici les fonctionnalités d'un des chevaux de Troie les plus répandus :

· Accès Telnet

permet de lancer une application en mode texte type "Ms-Dos" ou "Invite de commande" de façon invisible et de rediriger l'entrée/sortie standard vers un port particulier. L'attaquant n'a plus qu'à s'y connecter (via telnet) pour communiquer directement avec l'application.

· Accès HTTP avec un navigateur, supporte le téléchargement et l'envoi de fichiers

permet de créer un serveur web basique dont la racine est celle du disque dur (défaut). Ainsi, un simple navigateur web permet de naviguer dans l'arborescence des fichiers, d'en télécharger et même d'en rajouter.

· Information sur le système distant
· Récupère tous les mots de passe

permet d'accéder aux fichiers mots de passe Windows (pwl et autres) et d'en afficher le contenu. A noter que les mots de passe utilisés pour des connections distantes, partages de documents, etc, sont également récupérés.

· Envoi de boite de dialogue (version Windows) avec réponse de l'utilisateur

permet de communiquer avec l'utilisateur.

· Télécharger/Envoyer/Supprimer/Créer des fichiers

permet d'accéder au système de fichiers dans sa totalité.

· Ouverture/Fermeture des fenêtres actives

permet d'interagir avec le système cible.

· Accés a la base de registre
· Augmenter/Diminuer le volume sonore
· Ajouter des plugins
· Démarrage d'application
· Jouer des fichiers .wav
· Afficher des images
· Ouvrir des documents
· Imprimer
· Fonction keylogger

permet d'enregistrer toute frappe au clavier pour récupération et traitement ultérieur (mots de passe sur le web, mails, etc..). Cette fonctionnalité existe également en version temps-réel : affichage des frappes clavier en direct chez l'attaquant.

· Capture d'écran

permet de visualiser le poste de travail et les actions de l'utilisateur tout en économisant la bande-passante (par rapport au streaming video)

· Capture d'image si l'ordinateur est équipé d'une webcam

opération basée sur l'utilisation détournée des librairies système (COM) qui supportent les webcams. Le résultat est complètement indétectable pour l'utilisateur.

· Capture du son si l'ordinateur/Serveur est équipé d'un microphone
· Eteindre l'ordinateur
· Redémarrer l'ordinateur
· Déconnecter l'ordinateur du réseau
· Dialogue avec l'utilisateur
· Ouverture/Fermeture du CD-ROM
· Inversion des bouton de la souris
· Envoyer l'utilisateur a une URL choisie
· Blocage du clavier

Une capture de l'interface de configuration d'un cheval de Troie :

Cette interface permet de modifier le cheval de Troie avant de l'envoyer à la cible : quel port doit-il écouter, quelle méthode de démarrage utiliser...

Il est même possible de protéger l'accès au futur cheval de Troie par login/password ce qui évitera que d'autres attaquants ne s'y connectent.

Une capture du client d'un cheval de Troie :

La partie cliente d'un cheval de Troie est l'application utilisée par l'attaquant pour se connecter au serveur, c'est-à-dire au programme installé sur la cible. Ce client permet d'automatiser et de simplifier nombre de tâches, et même de gérer plusieurs serveurs ! On y retrouve les fonctionnalités citées précédement (telnet, capture d'écran, etc...) et quelques autres comme la redirection de ports qui permet de récupérer tout le traffic que reçoit la cible sur des ports donnés, et donc de l'utiliser pour rebondir (le but étant de ne pas compromettre l'adresse IP de l'attaquant).

Les chevaux de Troie représentent aujourd'hui un phénomène inquiétant car grandissant. Ils ont changé les règles du jeu, ouvert de nouvelles voies dans lesquelles se retrouvent de plus en plus d'apprentis hackers. Car contrairement aux virus, ils sont faciles à utiliser, accessibles à tous (sans pré-requis en programmation) et très efficaces. En témoigne leur utilisation croisante à des fins professionnelles : prise en main à distance (help desk, etc...), administration centralisée, gestion de parcs informatiques. Bien sûr, la majorité des produits utilisés dans ce secteur restent des produits commerciaux, mais la récente percée de Back Orifice 2000 démontre -s'il en était encore besoin- que les choses changent.

Loin d'en promouvoir l'utilisation, rappelons enfin l'énorme menace que les chevaux de Troie représentent : ces outils sont conçus pour espionner et infiltrer les systèmes. Ils sont furtifs et très difficiles à détecter, surtout tant que l'attaquant ne cherche pas à se manisfester. Et cette efficacité ne se limite pas qu'à leur action; il ne faut pas négliger l'impact médiatique entrainé par la découverte d'un tel programme dans le système d'une entreprise : compromission, espionnage industriel, remise en cause de la politique de sécurité, etc.

Tous les navigateurs (ainsi que les clients de messagerie) possèdent des failles de sécurité. La plupart du temps c'est Internet Explorer, le navigateur de Microsoft dont la popularité est très controversée, qui est la cible d'attaques par exploitation de ses failles. Ce n'est pas seulement parce qu'Internet Explorer est mal programmé, c'est surtout parce qu'il est le navigateur le plus utilisé sur la planète et donc l'exploitation d'une faille d'Internet Explorer aura plus de conséquence que l'exploitation d'une faille de Mozilla ou Opéra.

Lorsque vous naviguez sur internet, vous surfez sur des pages web comme celle-ci. La page web est écrite en code HTML pour être compréhensible par votre navigateur. Le langage HTML est formé de différentes balises permettant d'une part le formatage des données pour l'affichage et des balises contenant du code à exécuter chez le surfeur. C'est précisément ces bouts de codes, qui la plupart du temps anodins peuvent être utilisés par les pirates pour exploiter les failles de sécurité de vos navigateurs et autres clients de messagerie supportant les messages au format HTML.

Lorsqu'il s'agit de courrier électronique en HTML, il est simple de se protéger de ces attaques : demander à votre client messagerie de recevoir les messages en texte brut. Ainsi le code contenu dans les balises HTML ne sera pas exécuté, il sera considéré comme du simple texte, et donc totalement inoffensif.

Lorsqu'il s'agit de page internet sur un site ouvert par votre navigateur, il n'est plus question de désactiver le HTML, le navigateur n'aurait alors plus aucun intérêt. Comme précisé auparavant, le but de ce type d'attaque (la plupart du temps non ciblé spécifiquement) est d'exploiter les failles de sécurité des navigateurs (Internet Explorer dans la majorité des cas). En effet, le code inséré dans les pages HTML n'est pas sensé pouvoir faire des opérations dangereuses pour votre système, c'est le codeur qui, connaissant telle ou telle faille d'un navigateur utilise le code pour l'exploiter. La solution dans ce cas est de se mettre le plus souvent possible au courant des dernières failles trouvées sur les navigateurs sur les différents sites spécialisés dans le recensement des failles (voir la section liens dans le plan) et de mettre à jour son logiciel grâce à des patchs mis à la disposition des utilisateurs par les sociétés éditrices de vos logiciels.

Il existe d'autres techniques utilisées par les pirates pour exploiter ces failles que l'exécution de code à votre insu. Voici le résumé en français de l'exemple contenu à cette adresse : http://security.greymagic.com/adv/gm002-ie/ expliquant le problème d'ouverture automatique des fichiers attachés à vos mails.

L'auteur a pris l'exemple du client de messagerie Eudora : Eudora stocke les fichiers joints (par défaut) dans le repertoire "C:/Program Files/Qualcomm/Eudora/Attach". Quand un email est envoyé à un internaute possèdant Eudora et contenant le code HTML suivant :

Et avec les fichiers joints suivants :

gmlaunch.wmv (~4 KB)
gmbind.html (~1 KB)
malicious.exe

Le déroulement est le suivant :

La victime reçoit l'e-mail, les fichiers joints sont automatiquement placés dans le repertoire par défaut d'Eudora
la victime clique sur l'e-mail pour le supprimer ou pour le voir
le contenu du mail en HTML n'indique aucun fichier attaché, la victime ne peut savoir que le mail est accompagné de fichier attaché que par l'icône à côté du message.
l'élément lance le fichier "gmlaunch.wmv", la victime ne voit pas ce fichier s'ouvrir étant donné le " display:none "
"gmlaunch.wmv" ouvre Internet Explorer sur la page "gmbind.html"
"gmbind.html" ouvre le fichier "malicious.exe" en exploitant la possibilité offerte par la balise <object> d'HTML supportée par Internet Explorer.
"malicious.exe" s'exécute, le pirate a alors un contrôle total sur l'ordinateur de sa victime

Tout se passe en moins de 2 secondes, il n'y a pas grand chose que la victime puisse faire pour briser le déroulement à partir du moment où elle a cliqué sur l'email. Cette exploitation de faille n'est pas limitée à Eudora, elle peut s'appliquer à toute les applications qui utilisent un navigateur web et dont le répertoire de fichiers attachés est prévisible.

Espionnage de votre navigation

Traces laissées lors de la navigation

Lorsque vous naviguez sur internet, votre navigateur envoie des informations vous concernant au site auquel vous vous êtes connecté. Vous pouvez voir à l'adresse suivante : vos traces quelles sont les traces que vous êtes susceptible de laisser derrière vous. Vous noterez que votre adresse IP ou le type de votre navigateur sont connus de l'autre côté, mais également les options de sécurités activées ou désactivées dans votre navigateur (comme l'exécution de javascript ou d'applet java). Ces informations peuvent naturellement être utilisées pour vous nuire. Surtout si votre adresse IP est fixe. Sachez donc que sur certains sites, votre navigation est suivie, et ce de façon totalement transparente pour l'utilisateur, en effet, il s'agit de code sur le serveur, donc votre navigateur, aussi sécuritaire soit-il ne peut pas vous prévenir que des informations vous concernant sont enregistrées sur internet.

Exploitation des informations

Connaissant votre adresse IP, il est possible pour un hacker d'intercepter toutes les trames http. Outre le fait que le pirate peut savoir quels sont les sites que vous fréquentez (ce qui atteint à votre vie privée), il peut parfois récupérer des informations importantes. En effet, lorsque par exemple vous vous rendez sur un forum de discussion, vous vous connectez en rentrant un mot de passe associé à votre login. Pour valider votre connexion, votre navigateur envoie au serveur ces informations en clair (non crypté) dans une requête http. Un pirate aura tôt fait d'utiliser ces informations pour vous nuire, en s'appropriant votre identité sur le forum et en insultant d'autres participants, ce qui nuira à votre réputation, voire plus grave dans certains cas. L'exemple du forum n'est qu'un exemple parmi d'autres : cette menace concerne tous les sites où un mot de passe est demandé et où la connexion n'est pas sécurisée.

Bien sûr, lorsqu'il s'agit de paiement en ligne ou de gestion de votre compte sur le site de votre banque, la connexion est sécurisée (aujourd'hui avec des cryptages de 128 bits, quasiment indestructible). Le pirate ordinaire n'a donc plus accès à ces informations. Mais le très bon pirate pourras toujours accéder à ce que vous envoyer sur internet. Mais rassurez-vous, les très bons pirates ne sont que peu nombreux et ne s'intéressent pas aux données des particuliers mais plutôt à celles des départements d'états américains…

Conclusion

La démocratisation de l'informatique et d'Internet n'a pas que des effets positifs. De plus en plus de personnes peuvent générer des attaques réseau et de plus en plus facilement, en se documentant sur des sites pirates ou même en utilisant directement des logiciels pirates spécialisés dans les attaques (comme un générateur de virus). Les pirates ne sont plus obligés de connaître beaucoup l'informatique. De surcroît, le nombre d'entreprises travaillant en réseau (Intranet, Extranet, Internet…) ou ayant des pages Web en liaison avec des bases de données augmente régulièrement. Mais malheureusement, toutes ces entreprises n'ont pas forcément conscience des risques de sécurité qu'elles encourent et plus d'une est vulnérable. D'après l'agence Arthur Andersen, seulement 40 % des entreprises françaises connaissent les risques d'un virus et seulement 5 % de ces entreprises pensent avoir été victimes d'un hacker. Et s'il existe un nombre non anodin d'entreprises qui se font pirater, peu d'entre elles osent porter plainte (moins de 10% aux Etats-Unis, d'après le National Computer Crime Squad, des technopoliciers américains) de peur d'une mauvaise image, ce qui donne une impression d'impunité aux pirates.

Il faut de toute façon se rendre à une évidence : on ne peut pas avoir une sécurité à 100%. Cependant, on peut augmenter considérablement la sécurité en ayant conscience, au niveau décisionnel, des risques existants et en adoptant une " stratégie sécurité " qui commence par sensibiliser le personnel sur l'enjeu de la sécurité et les maladresses à ne pas commettre.

Enfin, comme les technologies évoluent, les types d'attaque et les cibles évoluent. Par exemple, les éditeurs d'antivirus annoncent que les prochains virus pourraient bien apparaître sur les téléphones portables ou les agendas électroniques. Et on peut aussi penser que le développement de la domotique (réseau domestique) amènera son lot d'attaques.

Glossaire

Ce glossaire traite des points suivants :

broadcasting
ping
ports informatiques
protocole TCP
route source

Broadcasting

Aujourd’hui, de nombreux réseaux utilisent la technologie de « broadcasting » : chaque message est envoyé à tous les ordinateurs connectés au réseau. Seul le destinataire du message lira le contenu du message mais il est possible de configurer sa carte réseau pour qu’elle lise tout ce qu’elle reçoit.

Les hubs fonctionnent sur ce principe, les données en entrée sont redistribuées à toutes les sorties. Par contre, un switch regarde qui est le destinataire et n’envoie le paquet que sur la bonne sortie.

Les réseaux d’entreprise sont souvent organisés autour de quelques switchs reliés à des hubs. Le broadcasting ne se fait donc pas sur tout le réseau.

Ping

Un ping est une requête du protocole ICMP. Il permet de vérifier si un ordinateur est connecté en lui envoyant des paquets et en calculant le temps de réponse. On peut l’utiliser avec une adresse IP ou un nom de machine.

Voici les options proposées sous MSDOS :

Les ports informatiques

Une machine reliée à un réseau peut utiliser beaucoup d’applications TCP/IP en même temps (plusieurs navigateurs, mails, ftp…). L’ordinateur doit donc être capable de savoir à quelle application correspond les données qui arrivent. Pour cela, chaque application se voit assigner un « port » codé sur 16 bits.

Les ports sont codés sur 16 bits, il en existe donc 65536. Il sont séparés en trois catégories : de 0 à 1023, on trouve les ports réservés assignés par une autorité, l’IANA. De 1024 à 49151, on trouve les ports dits « enregistrés » et les autres ports sont les ports dynamiques ou privés. Un serveur utilisera donc surtout les premiers à l’inverse d’un client.

Les ports par défaut sont :

Port	Application ou service
7	Echo
21	FTP
22	SSH
23	Telnet
25	SMTP
53	DNS
63	Whois
70	Gopher
79	Finger
80	http
110	Pop3
111	SUNRPC
119	nntp
139	netbios session service

Protocole TCP

TCP est un protocole fiable. Il fonctionne par connexion : une machine doit se connecter à une autre pour échanger des données. Pour cela, il y a une phase de connexion.

La connexion a lieu en trois temps. Imaginons que la machine A veuille se connecter à la machine B. Celle-ci envoie donc une trame SYN à la machine B. Si elle accepte la connexion, elle répond par une trame SYN-ACK. La machine A doit ensuite confirmer la connexion grâce à la trame ACK.

De manière à assurer un transfert fiable, les paquets TCP possèdent un numéro de séquence et doivent être acquittés. Les paquets perdus sont ainsi redemandés et il est possible de remettre dans le bon ordre les paquets reçus. Ces numéros de séquence sont codés sur 32 bits.

Au départ, on utilise le ISN (Initial Sequence Number). Celui-ci s’incrémentera de 1 à chaque transfert de données. Pour qu’il n’y ait pas de problème si deux connections sont lancées, ce numéro est initialisé à 1 au démarrage et augmente de 128 000 chaque seconde et de 64 000 à chaque connexion. S’il arrive à la limite des 32 bits, il repart à 1.

Route source ou source routing

Dans les paquets IP, il est possible d’indiquer la route que le paquet doit prendre pour atteindre la machine de destination. Cette route est appellée « route source » et relie la source à la destination.

IP address	NetBIOS Name	Server	User	MAC address
------------------------------------------------------------------------------
192.168.0.3	UMBERSUN	<server>	UMBERSUN	00-50-22-8c-eb-ab
192.168.0.11	JBTT	<server>	JBTT	00-e0-7d-74-41-82
192.168.0.14	AHX	<server>	AHX	00-50-fc-44-db-e0
192.168.0.16	RSI	<server>	__VMWARE_USER_	00-50-fc-0e-c1-67
192.168.0.21	SHB	<server>	ADMINISTRATEUR	52-54-05-e4-ac-29
192.168.0.22	SERAPHIN	<server>	SERAPHIN	00-20-e0-6a-14-e2
192.168.0.29	C605-B	<server>	OKPARANOID	00-50-fc-4d-a1-36
192.168.0.30	DANY	<server>	DQNY	00-48-54-6d-5d-0a
192.168.0.36	FJORD	<server>	JORDAN SANIAL	00-10-60-75-27-5f
192.168.0.38	SELBEN	<server>	SELBEN	00-05-5d-00-ff-e9
192.168.0.40	ZZZ	<server>	ZZZ	00-50-ba-65-2b-44
192.168.0.41	LOFT1	<server>	AUDREY	00-d0-b7-48-26-ec
192.168.0.43	JARJOH	<server>	JARJOH	00-50-fc-46-83-aa
192.168.0.48	TARIK_AZIZ	<server>	TARIK	00-50-fc-4c-6f-eb
192.168.0.49	PENTY2	<server>	ADMINISTRATOR	00-01-02-9e-3e-67
192.168.0.55	ALEXALOISIO	<server>	JRAVEL	00-50-fc-24-a4-c5