Documente Academic
Documente Profesional
Documente Cultură
Actus 06
Virus ou pas virus ? Vous trouverez ici les nouvelles du monde de la sécu-
Il n'y a pas si longtemps, le bruit avait couru que le premier rité des systèmes informatiques.
virus agissant autant dans différentes versions de Windows
que dans les systèmes Linux avait été créé. Pour rappeler
(d'après Wikipédia) – Un virus informatique est un logiciel CD-ROM
malveillant écrit dans le but de se dupliquer sur d'autres
ordinateurs. [...]. Il peut se répandre à travers tout moyen hakin9.live 10
d'échange de données numériques [...]. Comment, suivant Nous vous présentons le contenu et le mode de fonc-
les informations ci-dessus, comprendre la description de tionnement de la version récente de notre principale
laquelle il résulte que pour activer le virus sous Linux, l'uti- distribution hakin9.live.
lisateur doit télécharger l'archive, le compiler et exécuter le
fichier binaire ? Pourquoi Kaspersky Lab – où certainement
travaillent des spécialistes de ce domaine – a appelé si Outils
volontiers une application malicieuse un virus multiplatefor-
mes et l'a nommé Virus.Linux.Bi.a/Virus.Win32.Bi.a, bien TTpU (TDFS's TCP/IP Packets
qu'à première vue, ce ne soit pas un virus ? Pourquoi (si Unlimited)
c'est vrai) avec les noyaux plus récents de la série 2.6, est-il
12
nécessaire d'appliquer un correctif écrit par Linus Torvalds Alberto Maria Scattolo
pour faire fonctionner le virus ? Pourquoi a-t-on annoncé TTpU est un outil capable de générer n'importe quelle
que l'apparition de ce programme termine l'époque où les sorte de paquets TCP/IP en permettant de spécifier
systèmes avec un pingouin étaient sûrs, bien que ce ne un grand nombre d'options IP et TCP.
soit qu'un POC (Proof of Concept), et les virus pour Linux
(à présent, il en existe environ 40), MacOS (quelques dizai- Amap 13
nes) et systèmes commerciaux UNIX (quelques) étaient déjà
Konrad Kierys
conçus depuis longtemps ? Est-ce que – à la fin – ces faits
sont liés aux tentatives de grands éditeurs des programmes Amap est un outil, qui, contrairement aux autres
anti-virus d'entrer sur le marché des systèmes Linux ? scanneurs, identifie les démons de l'ordinateur donné
La conviction de la résistance totale de Linux aux virus d'après les réponses sur les paquets envoyés et non
est erronée et on le sait depuis quelques temps. D'ailleurs, d'après les numéros de ports où ils sont lancés.
au fur et à mesure que ce système devient de plus en plus
populaire non seulement dans les environnements indus-
triels mais aussi dans les bureaux, la probabilité de conce-
Interview
voir des programmes malicieux s'approchent de 1. Linux de
bureau avec Firefox et Thunderbird n'atteindra jamais une On ne peut être jamais
telle vulnérabilité à tous les types de virus que Windows totalement sûr 14
avec Internet Explorer et Outlook (à présent, il existe plus de Interview avec dr Lars Packschies
60 000 de ce type de programmes dont la plupart sont très
destructifs et se répandent facilement).
Malgré tout, le comportement de Kaspersky Lab (qui
à présent ne fournit pas des informations sur le virus détecté)
Dossier
m'étonne. Je suis curieux de savoir quand on commencera
une promotion agressive des outils anti-virus pour Linux, qui
Protection réseaux grâce aux puits
d'ailleurs existent déjà.
stationnaires et aux puits IP basés
Encore une explication de ce phénomène me vient sur les évènements 16
à l’esprit : Microsoft avant la première de Windows Vista sur Victor Oppleman
le marché veut discréditer Linux comme système sûr et con- Rien n'est plus efficace que la présentation, même
vaincre les personnes qui voudraient passer à un système succincte, des techniques de protection des réseaux
gratuit, que celui-ci est tout aussi vulnérable aux dangers afin de mieux se défendre contre les attaques de déni
provenant du réseau. Cette opinion certainement aiderait les de service ou attaques DoS.
utilisateurs à prendre une décision d'acheter une nouvelle
version d'un système déjà connu au lieu de passer à un nou-
veau système, difficile et aussi vulnérable aux attaques... Focus
Il ne faut pas oublier une chose – même les programmes
anti-virus très avancés ne sont pas capables de penser Sécurité d'IPv6 30
à la place des utilisateurs et des administrateurs. Le plus
important est d'être conscient des dangers et de savoir où Rita Pužmanová
trouver les informations sur les méthodes de défense et de Le présent article est consacré à la sécurité intégrée,
prévention. Ces informations – indépendamment du niveau l'un des principaux avantages d'IPv6 par rapport
de danger de la part de Virus.Linux.Bi.a/Virus.Win32.Bi.a à son prédécesseur IPv4. Nous comparerons aussi
– sont constamment fournies par le magazine hakin9. les deux protocoles en ce qui concerne la sécurité
Je vous invite à la lecture. de la communication en tenant compte des failles de
Marek Bettman sécurité.
Alentours
Fabrication : Marta Kurpiewska marta@software.com.pl
Diffusion : Monika Godlewska monikag@software.com.pl
Publicité : publicite@software.com.pl
Social engineering 70 Si vous êtes intéressé par l’achat de licence de publication de revues
merci de contacter :
Tomasz Trejderowski
Monika Godlewska
La sociotechnique existe depuis le début de l'hu- e-mail : monikag@software.com.pl
manité, mais l'exploitation de ses règles pour les tél : +48 (22) 887 12 66
attaques vers les entreprises et les systèmes infor- fax : +48 (22) 887 10 11
matiques n'est présente que depuis quelques derniè- La rédaction fait tout son possible pour s’assurer que les logiciels sont à jour,
res années. pourtant elle décline toute responsabilité pour leur utilisation. Elle ne fournit pas
de support technique lié à l’installation ou l’utilisation des logiciels enregistrés
Bibliothèque
sur le CD-ROM. Tous les logos et marques déposés sont la propriété de leurs
78 propriétaires respectifs.
Network Security Bible ; Linux Server Security ; Intro- Le CD-ROM joint au magazine a été testé avec AntiVirenKit de la société G Data
duction aux scripts shell. Software Sp. z o.o.
hakin9.live
L
e CD joint au magazine contient hakin9.live
(h9l) en version 3.0-aur – une version bootable Attention !
d'Aurox contenant divers outils, de la documen- Safety-Lab propose aux lecteurs du magazine Hakin9 la ver-
tation, des tutoriaux et les matériaux complémen- sion complète de Shadow Database Scanner valable sur 2
taires des articles. Pour commencer le travail avec adresses IP pendant 30 jours. Vous devez indiquer 2 adresses
hakin9.live, il vous suffit de démarrer l'ordinateur à par- IP de serveur de base de données par email à l'adresse sui-
tir du CD fournit. Après le démarrage du système, vous vante : support@safety-lab.com.
pouvez ouvrir la session en tant qu'utilisateur hakin9 La version complète sera valable pendant 30 jours dès
réception des adresses IP. Pour recevoir dès à présent votre
sans mot de passe.
version, veuillez écrire à support@safety-lab.com en indiquant
La structure des répertoires se présente comme
dans l'objet de votre message hakin9-safety-lab-offer. Offre
suit : valable jusqu'au 30 septembre 2006.
TTpU est un outil capable de générer n'importe quelle sorte de paquets TCP/IP
en permettant de spécifier un grand nombre d'options IP et TCP.
La majorité des connexions sur un réseau repose sur les séquence et celui de l'accusé de réception. Ces numéros
protocoles TCP (Transmission Control Protocol) et IP (Inter- sont utilisés afin de maintenir les paquets dans le bon ordre,
net Protocol). Le protocole TCP définit comment établir et de sorte que le système puisse déterminer leur traitement.
fermer une connexion, comment conserver les paquets Supposons, par exemple, que le serveur cible soit
dans le bon ordre et comment agir lorsque certains paquets 192.168.0.94:65534. Grâce à un renifleur de réseau,
manquent ou en cas d'erreurs. Le protocole TCP réalise nous parviendrons à intercepter les informations sui-
toutes ces tâches en utilisant des options particulières, vantes : le client est 192.168.0.23:33128, le numéro de
appelées drapeaux TCP, ainsi que les numéros de séquen- séquence, 1674837801, et le numéro d'accusé de récep-
ces et d'accusés de réception. Ces opérations sont gérées tion, 1682618503. Si nous envoyons un paquet avec les
par le système d’exploitation de sorte que les utilisateurs numéros de séquence et d'accusé de réception corrects, le
n'aient pas à s'en soucier. Et s'il était possible d'indiquer l'IP serveur le validera. En revanche, si nous le marquons avec
source et de destination, le port source et de destination, des drapeaux sans sens comme SYN PSH ACK, le serveur
les numéros de séquences et d'accusés de réception, les nous retournera un paquet RST et fermera la connexion.
drapeaux TCP, la taille des fenêtres et les données faculta-
tives à envoyer avec les paquets ? TTpU peut s'en charger. # ttpu eth0 192.168.0.94 33128 192.168.0.23 65534 1674837801
Les possibilités sont réellement nombreuses. Un renifleur 1682618503 0 1 1 0 1 0 8192
de réseau fonctionnant en mode espion doit, par exemple,
pouvoir observer le trafic TCP. Grâce à TTpU, vous pouvez Grâce à TtuP, il est possible de réaliser certaines actions
lancer de nombreux types de scans, comme par exemple permettant de tester les vulnérabilités de systèmes d'ex-
les scans syn et connect. ploitation à distance.
Le concept du scan syn est très simple : un paquet Certains systèmes d'exploitation sont connus pour
marqué SYN est envoyé à l'hôte distant sur un certain être vulnérables aux paquets déclarant les mêmes hôtes
port. Si le port est fermé, un paquet marqué RST et ACK et ports en tant que source et destination. Windows
sera retourné. Si rien n'est retourné, il est probable qu'un XP SP2 (sans pare feu) en fait partie. Supposons que
élément (un pare feu, par exemple) bloque ce paquet, ce 192.168.0.94 exécute un système vulnérable à ce genre
qui signifie que le port est filtré. Si vous souhaitez lancer d'attaques alors que le port 139 est ouvert.
un scan de type connect, il faut essayer d'établir une con-
nexion en envoyant un paquet SYN. Si le port distant est # ttpu eth0 192.168.0.94 139 192.168.0.94 139 1674837801 0 0
ouvert, un paquet SYN et ACK envoyé par l'hôte distant 1 1 0 1 0 8192
sera retourné. Voici la syntaxe des TTpU :
Sur un système Windows XP SP2, cette action produira
# ttpu <network interface> <source IP> <source port> en 15 secondes à peine un déni de services, avec une
<destination ip> <destination port> <sequence number> utilisation totale de l'unité centrale.
<acknowledgment number> Il existe bien d'autres vulnérabilités pouvant être tes-
<urg> <ack> <psh> <rst> <syn> <fin> <window size> [data] tées grâce à TTpU. Il est ainsi possible d'inonder un ser-
veur de requêtes de connexion, au moyen d'une attaque
Supposons que vous souhaitiez scanner le port 80 sur d'inondations SYN, en envoyant une grande quantité de
l'hôte 192.168.0.94 ; le code sera le suivant : paquets SYN à partir de différents hôtes et ports.
TTuP permet également de détecter un système d'ex-
# ttpu eth0 192.168.0.23 32456 192.168.0.94 80 3718131341 0 ploitation à distance. Chaque dispositif utilisant le protocole
0 0 0 0 1 0 8192 TCP pour communiquer avec d'autres dispositifs sur un
réseau doit respecter la référence TCP. Vous trouverez de
Pour pouvoir injecter des données dans une connexion plus amples informations sur le site http://www.insecure.org/
établie, il faut maîtriser quelques notions fondamentales. nmap/nmap-fingerprinting-article.html
Chaque paquet TCP stocke deux numéros, le numéro de Alberto Maria Scattolo
Amap
Système d'exploitation : *NIX, Windows
Licence : GPL
Objectif : Identification de services fonctionnant sur les ports donnés
Page d'accueil : http://thc.org/thc-amap/
Amap est un outil, qui, contrairement aux autres scanneurs, identifie les
démons de l'ordinateur donné d'après les réponses sur les paquets envoyés et
non d'après les numéros de ports où ils sont lancés.
Démarrage rapide : Imaginez que vous avez besoin Les valeurs de paquets spéciaux, envoyées par
d'informations sur les services lancés sur un ordina- Amap, sont enregistrées dans le fichier appdefs.trig ;
teur donné. Aussi bien Nmap, le plus populaire de il se trouve dans le répertoire /usr/local/etc/ et il est
scanneurs, que d'autres outils de ce type, scannent fourni avec la distribution standard du programme. On
par défaut les ordinateurs sélectionnés d'après les compare les réponses reçues par Amap aux réponses
ports ouverts. Ensuite, ils attribuent les services aux enregistrées dans le fichier appdefs.resp, disponible
ports ouverts, d'après les schémas par défaut. C'est par défaut dans le même répertoire. Il est également
un mécanisme très simple qui n'analyse pas en fait les possible d'utiliser votre propre fichier avec les valeurs
démons lancés sur le serveur mais les ports ouverts de paquets pour scanner le programme. N'oubliez pas
dessus. Chaque administrateur conscient peut alors se toutefois de le préparer au préalable. Pour l'employez,
protéger facilement contre les résultats du scannage optez pour le paramètre -D. Si vous voulez obtenir
de ce type car il suffit de modifier le socket traditionnel davantage d'informations, utilisez l'option -b. Une fois
où écoute chaque service. Que peut-on faire dans une que le port, où par exemple sshd a été lancé, est véri-
telle situation ? Amap, l'outil de nouvelle génération de fié, cette option vous permettra d'obtenir l'information
tests de pénétration vous vient en aide. Son fonction- suivante : SSH-1.99-OpenSSH _ 3.9p1\n. D'après elle, la
nement consiste à envoyer les paquets spéciaux au version du protocole SSH porte le numéro 1.99 et celle
port donné et à comparer les réponses qu'il reçoit à de OpenSSH - 3.9p1.
une liste spéciale. Grâce à cette technique, on vérifie Vous pouvez enregistrer les résultats de l'analyse
les applications vraiment lancées sur le serveur et non dans le fichier pour les analyser ultérieurement. Pour ce
les ports ouverts. faire, lancez Amap avec l'option -o nomdufichier. Il est
Il est possible de télécharger le programme depuis également possible de vérifier les services fonctionnant
le site officiel. Ensuite, décompressez-le dans n'im- sur les ports appartenant au protocole UDP.
porte quel répertoire. Pour installer l'application, l'étape Défauts : Amap n'identifie pas encore les réponses de
suivante consiste à donner trois commandes standards services rarement rencontrés. Si vous rencontrez un
dans la console : ./configure && make && make install. résultat, inconnu à l'application, vous pouvez envoy-
N'oubliez pas que vous avez besoin de droits de root pour er un message à l'adresse de messagerie électroni-
effectuer la dernière d'entre elles. que de concepteurs. Ils pourront ainsi résoudre des
Il est temps de tester l'application en pratique. problèmes existants.
Imaginez que sur l'ordinateur à scanner fonctionnent Konrad Kierys
le démon sshd sur le port 80 et le démon httpd sur le
port 23. Si vous utilisez le programme Nmap, vous
apprendrez que les ports sont ouverts et les services :
http (80) et telnet (23) y fonctionnent. La réalité est
toute autre.
Figure 1. Résultats de l'analyse par Amap Figure 2. Résultats de l'analyse par Nmap
Interview
phie. Ce qui est intéressant, la plupart d'eux ne se LP : Depuis plusieurs mois, le développement va vers
rendent pas compte qu'ils procèdent ainsi, pour l'uti- la simplification de la gestion. De bons exemples sont les
lisateur ordinaire cette technique est cachée. SSH projets Thunderbird, éventuellement Mozilla Mail avec
est un exemple d'une technique de chiffrage qui a Enigmail Plug-in, ainsi que le projet Kmail, qui offrent une
été implémentée dans l'environnement IT d'une façon excellente intégration avec les technologie de chiffrage.
complètement incohérente, et n'a pas été encore perçu Il existe plusieurs autres clients de messagerie qui sont
ou considérée comme nuisible. On peut dire que c'est dotés de fonctions Open PGP et S/MIME. Pour plusieurs
une situation idéale. espaces utilisateurs, certains projets offrent directement
Ce qui paraît moins compliquée, c'est l'application de les paramètres pour la génération et l'utilisation de la clé
VPN qui est introduit par l'utilisateur à partir de la maison de GnuPG, par exemple Gnu Privacy Tray sous Windows
dans le réseau universitaire grâce à un tunnel crypto- ou Kgpg sous KDE. Il s'agit ici des programmes très clairs
graphique déprotégé. Ce tunnel doit être tout d'abord et simple d'emploi, grâce auxquels le travail avec le chif-
construit à l'aide des programmes clients spéciaux pour frage est intuitif et facile.
que les services universitaires particuliers puissent être H9 : D'après vous, comment faut-il procéder dans le
envoyés à la maison. Et à ce moment, beaucoup d'uti- travail quotidien du point de vue de la sécurité ?
lisateurs se heurtent aux petits problèmes qui – pour LP : Consacrer un peu de temps et être prêt
eux – sont un obstacle sérieux. Nous montrons à nos à résoudre les problèmes. Les questions importantes
clients la nécessité d'appliquer les moyens appropriés et pendant le chiffrage du courrier électronique sont :
ainsi la conscience dans ce domaine augmente. Et alors, savoir utiliser les clés, créer les certificats de retour et
l'accès aux emails sur notre serveur chiffré uniquement la connaissance des points faibles dans la chaîne des
au moyen de SSL ou TLS n'est pas un problème. Cela moyens assurant la sécurité, c'est-à-dire les phrases
concerne chaque utilisateur et tout le monde doit devenir des mots de passe pour les clés privés et elles-mêmes.
de plus en plus conscient. On pense très rarement, et je le rappelle souvent aux
H9 : Et quoi concrètement, vous et votre centre, que utilisateurs, que les méthodes de cryptographies se
faites vous pour sensibiliser les utilisateurs à cette ques- basent sur les hypothèses et la théorie. On ne peut être
tion ? jamais totalement sûr. Par exemple, si nous trouvons
LP: Nous offrons les formations spécialisées concer- une méthode très rapide de décomposition de grands
nant ce sujet et qui sont destinés surtout aux débutants. produits de nombres premiers, certaines méthodes
Les formations avancées concernant Linux en général deviendront moins sûres. Jusqu'au moment où les
et l'email ou l'utilisateur de serveur abordent souvent ce ordinateurs quantiques deviennent la réalité. On oublie
sujet. Des informations claires sont très importantes pour souvent qu'à ce moment, il sera possible de déchiffrer
les clients qui ne veulent ou ne peuvent pas participer non seulement les messages chiffrés, mais aussi tous
à ces types de formations. ce qui ont été créés par le biais de cette méthode. Il
Par exemple, dans notre bulletin d'information, nous faut en être conscient pour savoir comment procéder
publions régulièrement les articles ou les nouveautés sur avec ces machines puissantes.
le chiffrage des emails ou l'accès sûr au serveur. Toutes Pour apprendre les bases, il suffit de quelques heu-
les publications sont disponibles sur Internet. res. La gestion des plug-ins des programmes de messa-
H9: Est-ce que la paresse est un prétexte que tu gerie, l'intégration de SSH, SFTP ou SCP dans plusieurs
acceptes ? L'utilisateur a-t-il toujours du mal à mettre la produits, sont assez faciles, comme par exemple dans
cryptographie en pratique ? Konqueror (gestionnaire de fichiers du projet KDE).dans
LP : Tout d'abord, il faut dire que les méthodes cryp- les dernières années, plusieurs choses sont devenues
tographiques dans le trafic du courrier électronique sont plus simples et il ne faut pas craindre les problèmes liés
optionnelles. Bien sûr, ces méthodes sont fortement à la gestion. Si on a bien compris les problèmes, il est
recommandées. Si quelqu'un ne les souhaite pas, c'est plus facile de les résoudre. La cryptographie est en pra-
bien. La paresse est parfois le voile qui couvre le vrai tique moins compliquée que l'on ne croît. En quelques
souci, si nous avons négligé nos devoir. J'essaie de ren- étapes, il est possible de mettre en oeuvre les moyens de
dre conscients les utilisateurs quelle est leur situation, de sécurité appropriés, et de convaincre les amis.
décrire les problèmes auxquels ils se sont heurté et de Une chose est sûre : il est possible de nous pénétrer
proposer la solution à ces problèmes. Et ainsi je les guide de plusieurs manières, alors les agences d'assurance,
pas à pas vers la solution – une simple implémentation de les institutions d'état et les agences de publicité seront
la signature et au chiffrage par un clic ou un appui sur une fortement intéressées par nos données confidentielles.
touche. Mais je me préoccupe du respect des principales Et nous, par quelques étapes simples, nous pouvons
règles, ce qui permet de créer un environnement clair et rendre notre communication plus sûre.
compréhensible. Dans ces conditions, la paresse n'est en H9 : Merci beaucoup de votre entretien.
aucun cas un argument.
H9 : S'il s'agit des programmes du courrier électroni-
que, beaucoup a changé du point de vue de l'utilité ? Interview faite par Ulrich Wolf et Heike Jurzik
Degré de difficulté
L
a technique des puits a été déployée par tration, ainsi que d'autres évènements liés
les fournisseurs d'accès à Internet de à la surveillance de votre réseau comme la
manière générale afin de protéger leurs détection d'intrusions.
clients finaux. Comme nous allons l'expliquer • Protection contre les attaque de type DoS :
dans le présent article, cette technique, connue comment certaines organisations et leurs
sous le nom de puits ou sinkhole en anglais, fournisseurs d'accès à Internet ont déve-
permet également d'obtenir des informations loppé un moyen de protection contre le
intéressantes sur les menaces auxquelles est déni de service au moyen de déploiements
confronté votre réseau. En implémentant des extensifs et basés sur les évènements.
puits, vous ajoutez une protection supplémen- • Rétrodiffusion et pisteurs : brève explica-
taire à votre réseau tout en pouvant glaner tion de la rétrodiffusion et de l'utilisation du
des informations sur les menaces et certaines pistage afin d'identifier le point d'entrée des
erreurs évidentes de configuration présentes attaques DoS dans un réseau important.
dans votre réseau.
Destiné principalement aux utilisateurs de
réseaux savvy, le présent article présentera les Cet article explique...
éléments suivants :
• Comment utiliser les techniques de puits (sin-
khole en anglais) afin de se protéger contre les
• Contexte et fonction des puits : brève ex- attaques de type DoS.
plication des puits IP et de leur installation
réussie par un certain nombre d'organisa- Ce qu'il faut savoir...
tions.
• Déploiement de réseaux leurres : applica- • Maîtriser le fonctionnement des attaques DoS.
tion des techniques de puits au moyen de • Connaître les problèmes liés au trafic des
réseaux invisibles et de réseaux de pots réseaux du côté des Fournisseurs d'Accès
de miel, afin de piéger et d'analyser des à Internet (abrégés ci-après en FAI).
scans malveillants, des tentatives d'infil-
conserver une copie des données et réseau invisible. Pour commencer, Pots de miel virtuels
d'utiliser un grand nombre d'outils dif- vous trouverez ci-après une liste de Sont désignés par pots de miel vir-
férents chargés de relire les fichiers certains de nos outils : tuels des systèmes complets de pots
ultérieurement à la recherche de de miel “sur le modèle logiciel” char-
caractéristiques pertinentes du trafic • Capteur IDS (Bro, Snort, et al.). gés de reproduire des conditions en-
analysé. La règle générale veut que • Renifleur de paquet (tcpdump tel vironnementales comme le système
vous utilisiez un programme de type que décrit plus haut). d'exploitation, la pile du réseau et
tcpdump combiné à une expression • Programme d'analyse des flux les services fournis sous forme de
spécifique BPF (Berkeley Packet Fil- de données (Argus, exportations leurres. Un serveur physique peut
ter, ou filtre de paquets de Berkeley) des flux du réseau à partir du proposer un réseau de milliers de
afin de détecter des éléments dans routeur, SiLK, outils de flux de pots de miel virtuels.
ces fichiers. Comme cette tâche peut données).
être lancée au moment de l'exécution • Analyseur des fichiers journal Pots de miel à basse
(ou de la capture), en conservant un de pare feu venant alimenter les interaction
enregistrement de l'ensemble du bases de données RRD pour les Les pots de miels dits à basse inte-
trafic, vous pouvez utiliser différents graphiques. raction (type le plus répandu de pots
outils ultérieurement sans prendre le • MRTG afin de représenter les de miel aujourd'hui) ont été conçus
risque de perdre des informations de compteurs de trafic sous forme afin de tromper les programmes mal-
grande importance. de graphiques. veillants au moyen d'une ou plusieurs
Argus (Audit Record Generation • p0f (par Michal Zalewski) afin vulnérabilités supposées exploita-
and Utilization System) pour les de classer les plate-formes de bles, d'établir avec ces programmes
réseaux développé par Qosient est dispositifs infectés ou servant un dialogue, et de capturer les tout
un autre outil très utile capable de à réaliser des scans malveillants. premiers paquets de communication
simplifier la visualisation des flux de avec le programme malveillant. De
données relatives au trafic. Bien que Déployer des réseaux toutes évidences, le programme
nous puissions exposé ici en détail la de pots de miel malveillant ou le logiciel malicieux
configuration complexe de cet outil, À l'instar d'un réseau invisible, un autonome en conversation avec le
nous utilisons Argus régulièrement réseau de pots de miel désigne pot de miel se rendra compte que
afin de détecter des flux de données en général une partie d'espace IP sa cible ne peut être exploitée, mais
intéressants dans nos réseaux invisi- acheminée et allouée. Toutefois, au avant de s'en apercevoir réellement,
bles. Argus propose une interface de lieu de fournir une destination vers des informations de grande impor-
résumé des flux de données agréa- laquelle les paquets vont s'échouer, tance peuvent déjà être exposées,
ble censée vous aider à comprendre ici la destination imite un service comme la tactique d'exploitation ou
exactement ce qui se passe en ter- réel (ou plusieurs services), afin de la signature du logiciel malveillant.
mes de trafics malveillants. permettre la connexion (poignée de De tels pots de miel à basse inte-
Afin de pouvoir visualiser le volu- mains), et d'établir un dialogue à deux raction sont de nos jours utilisés afin
me de trafic entrant dans votre réseau sens. Un pot de miel ou honeypot en de modéliser les tactiques d'attaque
invisible, des outils de compteur d'in- anglais, soit le système chargé d'imi- des polluposteurs (qui tentent de
terface comme MRTG (veuillez con- ter un service réel, désigne en réalité dériver les heuristiques comme les
sulter le site http://www.mrtg.org/) de une ressource étroitement et réguliè- caractéristiques temporelles des
Tobias Oetiker devraient vous aider. rement contrôlée destinée à tromper transactions SMTP des pollupos-
MRTG vous permet de produire des les programmes malveillants afin de teurs, par exemple).
graphiques lisibles du trafic de votre les infiltrer et de les examiner. Quoi- Il n'existe que très peu d'ins-
réseau invisible relativement illisible. que de différents types, l'objectif des tallations commerciales de cette
Il existe également une douzaine pots de miel reste toujours le même : technologie liée aux pots de miel,
d'autres outils capables d'analyser apprendre les tactiques et recueillir mais la plupart des implémentations
les journaux des pares feu, pouvant autant d'informations que possible les plus utilisées sont disponibles
remplacer rapidement et facilement sur le programme malveillant. via un projet libre intitulé honeyd,
les outils d'analyse plus complexes dirigé par Niels Provos. Vous trou-
basés sur le format pcap ou Argus. Il Pots de miel physiques verez plus d'amples informations sur
ne faut pas ignorer les problèmes que Sont désignées par pots de miel phy- l'obtention et la configuration d'ho-
soulèvent les journaux du filtre des siques d'importantes machines resi- neyd à l'adresse suivante : http://
paquets au format texte et l'analyse dant dans le réseau de pots de miel www.honeyd.org.
supplémentaire que de tels fichiers et dotées de leur propre adresse IP, Astuce : honeyd a été conçu
exigent. de leur propre système d'exploitation sous forme de pot de miel/ réseau
Vous pouvez utiliser au bas mot et de leurs propres outils d'imitation de pots de miel virtuel capable
des douzaines d'outils sur votre de services. de simuler un certain nombre de
Tableau 1. Paquets ICMP (Internet Control Massage Protocol) annoncés à l'échelle du réseau au
Paquets ICMP Signification moyen de leurs routeurs périphé-
riques ayant recours au protocole
BGP (Border Gateway Protocol). Le
3.0 Réseau inatteignable
trafic malveillant est ainsi acheminé
3.1 Hôte inatteignable vers un trou noir à chaque point d'en-
trée, lequel peut noyer les attaques
3.3 Port inatteignable
dès leur arrivée et (dans la plupart
3.4 Fragmentation requise des cas) éviter une congestion de
l'ossature ainsi que des périphéries
3.5 Echec du chemin source
du réseau. Certains fournisseurs ont
3.6 Erreur inconnue sur le réseau de même étendu le contrôle et l'automa-
destination tisation de cette technique au client
3.7 Erreur inconnue sur l'hôte de desti- final au moyen des dénommés trous
nation noirs en temps réel amorcés par le
3.10 Hôte administrativement interdit client.
3.11 Type de service réseau inatteigna-
Declancher un routage
ble
vers un trou noir
3.12 Type de service hôte inatteignable
Comme nous venons de le men-
3.13 Communication administrativement tionner plus haut, d'importants
interdite fournisseurs d'accès à Internet ont
11.0 Expiration TTL lors du transit installé un système distribué et
11.1 Réassemblage des fragment trop automatisé capable de declancher
long un routage vers des trous noirs
sur des adresses IP ciblées. Ce
Paquets TCP (Transmission Signification déclanchement peut être provoqué
Control Protocol) par le fournisseur d'accès à Internet
RST bit set Redémarrage du protocole TCP ou par les clients eux-mêmes, soit
de manière manuelle soit automa-
tiquement. Le routage provoqué
sur cette installation à l'adresse sui- fois protéger entièrement la perfor- vers un trou noir utilise la technique
vante : http://phoenixinfragard.net/ mance de tout le réseau, notamment du simple puit évoquée plus haut
meetings/past/200407hawrylkiw.pdf les clients adjacents partageant dans la partie intitulée Contexte
certaines parties de la topologie et fonction. Le puit peut être confi-
périphérique du transporteur sur le guré sur tous les routeurs d'entrée
Installer des puits pour réseau cible. Aujourd'hui, les grands (périphériques) au sein du réseau
se protéger contre les fournisseurs en télécommunications du fournisseur d'accès à Internet
attaques DDoS ont structuré leurs réseaux pour y dans lequel celui-ci échange du
Récemment la technique des puits inclure des versions sophistiquées trafic avec d'autres fournisseurs ou
connaît une nouvelle application de cette mesure de défense dans le clients. Une fois la nature de l'atta-
sous forme de tactique de défense cadre de leur politique de conception que dirigée contre le réseau ciblé
contre les attaques de déni de servi- des réseaux. Dans de nombreux cas, identifiée, le fournisseur d'accès à
ce (distribuées). Le premier exemple ces fournisseurs sont désormais ca- Internet ou le client peut indiquer le
exposé dans la partie intitulée Con- pables d'utiliser une technique de préfixe attacked (ou un préfixe plus
texte et fonction illustrait la forme la pistage afin de localiser les points spécifique) dans la table de routage
plus simple que peut prendre cette d'entrée de l'attaque et rediriger vers BGP. Le préfixe attaqué est marqué
nouvelle technique de réacheminer un trou noir les paquets de données d'un attribut next-hop acheminé de
le trafic vers un trou noir. Une fois la malveillants (vers leurs propres manière statistique vers l'interface
cible exacte d'une attaque identifiée, points d'entrée), sans permettre au de suppression sur tous les rou-
l'adresse IP ciblée a été détournée programme malveillant d'attaquer teurs périphériques, puis propagé
vers l'interface de suppression si- l'ossature du réseau jusqu'au lien dans le réseau du fournisseur d'ac-
tuée à la périphérie du réseau, avant du réseau ciblé. Cette technique cès à Internet via un protocole BGP
de traverser le lien final vers la cible. de pistage demeure toutefois inutile interne (ou iBGP). Ainsi, quelle que
Cette technique a permis d'éviter au bien souvent dans la mesure où les soit l'entrée des paquets destinés
réseau cible un arrêt total provoqué chemins conduisant aux trous noirs au préfixe attaqué dans le réseau
par la saturation du lien, sans toute- des fournisseurs sont habituellement du FAI (point d'entrée), ces derniers
blablement de type /32) ciblés sidérées comme sources des pa- lequel vous pouvez cherchez les
par l'attaque pour chacune de quets rétrodiffuseurs valident le adresses IP de vos passerelles.
vos passerelles. La plus grande fait que ces passerelles sont en Cette tactique de pistage combi-
attention est requise en termes réalité des points d'entrée pour née à une défense de type trou noir
de transfert vers l'interface de le trafic de l'attaque. Voilà ! Vous contre les attaques DDoS se révèle
suppression venant remplacer venez de trouver le point d'entrée utiles dans des situations où les flux
l'utilisation d'un filtre à paquets de l'attaque dans votre réseau. de trafics malveillants ont falsifié les
censé stopper les paquets de Même si vous ne disposez pas en-têtes. Il s'agissait jusqu'à très ré-
l'attaque. Cette opération de d'outils de réseau invisibles cemment de la forme la plus répan-
trou noir obligera le routeur de la sophistiqués, une simple liste due pour lancer ce type d'attaques.
passerelle concernée à générer d'accès appliquée à l'interface du Toutefois, avec la prolifération des
des messages ICMP inatteigna- routeur de votre réseau invisible machines zombies et des réseaux
bles, retournés (ou tentés d'être suffira à faire le travail à votre de zombies, de nombreux pirates
retournés) vers les sources falsi- place, de la manière suivante : ont désormais cessé la falsification
fiées des paquets de l'attaque. access-list 105 permit icmp any des paquets DdoS. En effet, nul be-
• utiliser dans les réseaux invisibles any unreachables log; access- soin de falsifier les en-têtes si votre
des outils chargés de détecter le list 105 permit ip any any armée de systèmes d'attaque se
trafic de rétrodiffusion (vraisem- trouve partout. C'est la raison pour
blablement sous la forme de Enfin, si vous entrez en mode con- laquelle les administrateurs réseau
messages ICMP inatteignables) trôle terminal dans cette liste d'accès observent une chute considérable
à l'aide de l'adresse IP des rou- (ou tout simplement si vous suivez le des attaques DdoS falsifiées au pro-
teurs de passerelles. Toutes les journal), vous obtiendrez un modeste fit du large déploiement des uRPF et
adresses IP des passerelles con- rapport sur les rétrodiffuseurs dans du filtrage de points d'entrée. l
P U B L I C I T É
Focus
Rita Pužmanová
Degré de difficulté
B
ien que la plupart des systèmes d'ex- nération. IPv6 offre des adresses uniques aux
ploitation d'aujourd'hui et des périphé- différents périphériques et senseurs. Il permet
riques réseau supportent déjà IPv6 aussi la mobilité et une communication peer-to-
(Internet Protocol version 6), l'utilisation de ce peer effective.
protocole dans les réseaux n'est pas encore La sécurité dans IPv6 est similaire à celle
universelle. Cette situation est due aux plu- dans IPv4. C'est une nouvelle bonne et mau-
sieurs facteurs. Ce sont avant tout les coûts vaise à la fois. Tout d'abord, grâce à la pro-
liés au passage d'IPv4 à IPv6 et le fait que tection réseau, nous voulons savoir qui nous
les utilisateurs ne se rendent pas compte des envoie des messages, qui lit les messages
avantages apportés par ce dernier. Le présent que nous envoyons et que les messages ne
article est consacré à la sécurité intégrée, l'un sont pas modifiés lors de la communication.
des principaux avantages d'IPv6 par rapport De plus, il est nécessaire que le réseau soit
à son prédécesseur IPv4. Nous comparerons
aussi les deux protocoles en ce qui concerne la
sécurité de la communication en tenant compte Cet article explique...
des failles de sécurité.
• Comment évaluer les propriétés d'IPv6 et les
profits liés à son utilisation.
Sécurité dans IPv4 • S'il faut l'utiliser.
La sécurité dans IPv4, de même que dans • Quels sont les principaux dangers d'IPv6 et
IPv6, est en développement permanent ce quels moyens de défense on peut appliquer.
qui les expose à un certain risque. Certaines
questions, telles que la sécurité des applica- Ce qu'il faut savoir...
tions mobiles ou multidiffusion (multicast) ne
seront pas analysées car le sujet est trop large. • Les notions de base de TCP/IP, notamment
Par contre, vous allez voir que la sécurité n'est l'adressage IPv4 (éventuellement Ipv6).
qu'un des avantages dont nous bénéficierons • La sécurité dans les réseaux IP, surtout IPSec.
après le passage au protocole de nouvelle gé-
ble donnée (d'après RFC 1918). Du Network Address and Port Trans- sans intermédiaire entre les stations
point de vue d'un utilisateur externe, lation), on utilise une adresse IP et basée sur la règle peer-to-peer. Il
tous les datagrammes arrivent à la plusieurs ports TCP et UDP (l'ob- supporte mieux que son prédéces-
NAT et en réponse, sortent à partir jectif : économiser les adresses IP). seur de nouvelles applications et
de celui-ci. Du point de vue d'un utili- La NAT établit les valeurs des ports services tels que VoIP, les jeux en li-
sateur interne, la NAT est un routeur juste après l'en-tête IP dans l'unité gne menés par plusieurs utilisateurs,
connecté à Internet. de données. Avec l'IPSec, le principe les vidéoconférences, les services
précédent ne peut pas être satisfait. de transfert des données avec la
Inconvénients de la NAT De plus, l'ESP chiffre l'en-tête TCP téléphonie mobile, ainsi que la con-
Dans plusieurs applications, les ou UDP encore en mode tunnel, ce nexion à distance des senseurs (par
règles de la NAT sont inaccepta- qui est inadmissible pour la NAT ; exemple RFID, Radio Frequency
bles car celles-ci ne peuvent pas pour cette raison, la translation des IDentification), les ménages infor-
fonctionner correctement avec la adresses doit avoir lieu avant l'appli- matisés, les bâtiments intelligents ou
translation des adresses. La NAT ne cation d'IPSec. Plusieurs nouveaux grid computing.
peut pas coopérer avec les protoco- produits IPSec supportent l'utilisa- Mais il ne s'agit pas tout à fait
les qui utilisent les informations sur tion de la NAT en implémentant l'en- d'une nouvelle architecture réseau
les adresses à l'intérieur d'un simple capsulation UDP, mais ce n'est pas car IPv6 a hérité beaucoup de ca-
datagramme. L'en-tête contient les une solution universelle. ractéristiques d'IPv4. Il y a le même
adresses traduites à l'aide de la NAT, service datagramme, les mêmes pro-
mais à l'intérieur des datagrammes, tocoles de transport et pratiquement
Protocole de nouvelle
la NAT n'effectue pas l'opération de les mêmes applications. Pourtant,
translation d'adresses. La nouvelle génération IP version 6 IPv6 offre aussi de nouveaux élé-
version de la NAT est capable de et sa protection ments, tels que l'espace d'adressage
résoudre ce problème. En générale, La nouvelle version du protocole IP plus étendu, l'autoconfiguration, le
la NAT n'est pas adaptée aux diffé- (IPng, IP next generation), portant support des technologies mobiles et
rentes tâches d'IP, il ne faut donc pas le numéro 6 (IPv6; RFC 2460) a été la politique de sécurité intégrée.
s'attendre à ce que les applications élaborée il y a dix ans. La nécessité
fonctionnent aussi efficacement en d'apporter les améliorations à IPv4 Adressage dans le protocole
présence de la NAT dans leur con- était liée au système d'adressage in- IP version 6
ception initiale. Il serait peut-être suffisant et à son utilisation ineffica- Pour satisfaire aux exigences liées
juste que toutes les applications ce en allouant des blocs d'adresses à l'élargissement de l'espace
supportent la NAT, mais à vrai dire, trop grands. IPv6 résout tous ces d'adressage pour IP, IPv6 utilise
cette solution n'est pas bonne vu la problèmes grâce au format permet- 128 bits au lieu de 32 (RFC 4291).
performance, l'extensibilité et l'implé- tant d'utiliser 1038 d'adresses uni- L'espace d'adressage devient alors
mentation des applications. ques, mais sa mise en point dans les quasi infini : 2128. L'adresse IPv6
La NAT pose des problèmes réseaux modernes est motivée aussi type est divisée en deux parties : le
même sous IPSec où la communi- par d'autres facteurs que seulement préfixe et l'identificateur d'interface.
cation se fait entre deux extrémités. l'espace d'adressage plus large. Un identificateur d'interface peut
Cette situation ne peut pas être com- Grâce à l'adressage individuel, avoir plusieurs adresses IPv6. Il
parée à une adresse de substitution. IPv6 permet une communication existe différents types d'adresses
IPSec, qui utilise l'en-tête authentifié,
calcule la valeur d'authentification
à partir du datagramme entier
– y compris son adresse IP source et
destination. Une modification quel-
conque de l'adresse IP, par exemple
au moyen de la translation, entraîne
le calcul d'une autre valeur, et
à cause de cela, l'authentification est
refusée. La NAT doit être donc utili-
sée avant le traitement avec IPSec.
En cas d'ESP, l'authentification ne se
fait pas à partir d'un en-tête extérieur,
alors la translation NAT peut avoir
lieu après l'application d'IPSec.
Si l'on combine la translation
d'adresses et de ports (NAPT, Figure 6. L'utilisation du mode tunnel
avec IPv6), il faut décider quel type assurer l'unicité des adresses et sup- communiquer sans l'intermédiaire
d'adresses doit être utilisé. porter IP sur les équipements qui ne des serveurs ou routeurs.
sont pas surveillés par un administra- Les équipements suivent les
Configuration automatique teur réseau (il s'agit par exemple des messages des routeurs qui envoient
IPv4 n'offre pas directement une dispositifs récepteurs domestiques). régulièrement l'information (router
configuration automatique de la L'auto configuration sans état permet advertisement) annonçant aux équi-
machine lors de sa connexion au aussi aux nœuds une communica- pements l'adresse du préfixe (prefix
réseau. L'alternative pour la configu- tion dans les réseaux sans routeurs adress) d'un réseau donné et l'infor-
ration manuelle de chaque machine (réseaux ad hoc). mation sur la passerelle (default ga-
est le protocole DHCP. À partir de L'autoconfiguration utilise le teway) et sa durée de vie. En même
la requête de la machine, le serveur protocole ICMPv6 (Internet Control temps, grâce à ces informations,
DHCP lui affectera une adresse IP et Message Protocol) et est basée sur l'équipement saura s'il faut utiliser la
fournira les informations nécessaires la découverte des voisins (NDP, configuration avec état ou sans état.
pour le travail dans le réseau donné. Neighbor Discovery Protocol, RFC L'équipement nouvellement con-
Dans IPv6, il est possible d'utiliser le 2461 et RFC 3122). L'équipement necté peut demander tout seul ces
protocole DHCPv6 remanié, mais connecté au réseau IPv6, en premier informations à partir des routeurs,
l'apport positif d'IPv6 est la confi- lieu crée son adresse locale (link- alors il ne doit pas attendre leur
guration automatique (RFC 2462 local) à partir du préfixe prédéfini annoncepériodique. Dans le cadre
et RFC 3041) qui n'exige aucun hexFE80, et ensuite, ajoute à celui- de la configuration sans état, à partir
serveur. ci son identificateur (EUI, End User du préfixe annoncé, l'équipement
L'autoconfiguration n'a pas été Identifier). L'équipement vérifie dans construira sa propre adresse IPv6
intégrée dans le projet IPv6 pas le réseau si cette adresse n'est pas unique en ajoutant à ce préfixe l'EUI
à cause du manque de confiance utilisée par quelqu'un d'autre. Tous de l'adresse locale. Si l'équipement
envers les utilisateurs finaux, mais les nœuds dans un segment répon- effectue la configuration avec état,
pour faciliter les modifications d'ISP, dront à une station donnée, et après DHCPv6 est utilisé.
supporter les technologies mobiles, l'échange des informations pourront Pour des raison de sécurité, il
faut vérifier si l'information diffusée
dans le réseau provient d'un routeur
Format de l'en-tête obligatoire autorisé et avec quelles exigences
• version (version) – numéro de la version du protocole (6), de sécurité en ce qui concerne la dé-
• priorité (priority) – permet à la source d'identifier la priorité de chaque datagramme couverte des voisins que nous avons
par rapport au reste des datagrammes provenant d'une même source ; il s'agit de déjà mentionné.
la priorité du point de vue de la transmission et de la livraison, SEND (SEcure Neighbor Disco-
• étiquette de flux (flow label; RFC 3697) – permet d'identifier les datagrammes very; RFC 3971) définit de nouvelles
spécialement traités lors du routage ; les équipements et les routeurs qui ne sup- possibilités d'ICMPv6 dans le cadre
portent pas ce champ, ne peuvent pas le changer. Le flot de données est défini du protocole NDP, sur la base des si-
comme une suite de datagrammes envoyés d'une source à un destinataire ou à gnatures utilisant les clés publiques.
un groupe de destinataires. Le marquage du flux et le champ précédent priority
La fonction de hachage de la clé
permettent ensemble de définir la priorité de la transmission dans le cadre de
publique est utilisée pour la géné-
QoS (Quality of Service) – le contrôle de la bande passante. Vu qu'il n'existe pas
ration de l'adresse, les routeurs sont
de mécanisme d'authentification, les attaques DoS (Denial of Service) ou les vols
du service peuvent avoir lieu. C'est pourquoi, les mécanismes de type pare-feu ne certifiés par l'intermédiaire de X.509,
doivent pas baser entièrement sur les marquages du flux pour prendre les déci- les données sont signées et les mar-
sions, queurs de temps confirment le mo-
• longueur des données dans le datagramme (payload length) – la longueur de la ment de la création du message.
partie restante du datagramme Ipv6, c'est-à-dire la longueur de tous les en-têtes
complémentaires et la longueur du champ de données, Datagramme IP version 6
• en-tête suivant (next header) – identifie le type de l'en-tête directement après l'en- IPv6 transmet efficacement aux
tête obligatoire du datagramme IPv6, extensions des en-têtes optionnels
• nombre maximal de routeurs (hop limit) – le nombre de routeurs permis (une ana-
les informations qui ne sont pas
logie au champ de durée de vie sous IPv4 – TTL, Time To Live) ; chaque routeur le
nécessaires dans le datagramme.
réduit d'une unité. Si cette valeur est réduite à 0, le datagramme ne peut pas être
L'en-tête obligatoire ( Figure 9) a la
transmis plus loin ni qu'un message ICMP soit généré,
• adresse source (source address) – l'adresse de la source d'une longueur de 128 longueur constante (40 octets) et ne
bits, contient que 8 champs. La Figure 8
• adresse destination (destination address) – l'adresse du destinataire voulu d'une présente le format du datagramme
longueur de 128 bits (dans certains cas, il ne s'agit pas d'un périphérique cible, IPv4). Après l'en-tête obligatoire
à moins qu'une extension de l'en-tête pour diriger n'ait été utilisée). peuvent venir les en-têtes option-
nels d'une longueur variable. Les
Tableau 2. Les en-têtes d'extension vent identique à celui d'IPv4 (6 pour pourquoi la présence de la protection
et leurs identificateurs TCP, 17 pour UDP ou 46 pour RSVP, au niveau de transport ne dépend que
identifi- en-tête d'extension mais 58 pour ICMPv6). La valeur 59 de l'utilisateur et des applications. On
cateur dans le champ En-tête suivant indi- ne peut donc pas prétendre qu'IPv6
que que rien ne suit cet en-tête – s'il soit un protocole plus sécurisé que
0 hop-by-hop
y a quand même des données, elles son prédécesseur, mais on peut
43 routing seront négligées. dire qu'IPv6 est un pas en avant pour
44 fragment l'élargissement de l'authentification
50 encapsulating security Sécurité d'IPv6 et de la protection au niveau des
payload header, ESP IPv6 utilise obligatoirement le proto- protocoles de transmission. L'AH
51 authentication header, cole de sécurité IPSec, ce qui signifie assure l'intégrité des données (MAC)
AH qu'il supporte nativement l'authenti- et l'authentification (vérification de
fication, le chiffrement, VPN. Avec l'identité de la source), mais ne garan-
59 no next header
le nouveau protocole, de nouveaux tit pas la confidentialité. Le calcul de
60 destination options types d'attaques apparaissent, il ne MAC est réalisé par la source avant la
62 mobility faut donc pas attendre qu'IPv6 sera fragmentation du datagramme, et le
supersécurisé. En particulier, il faut se contrôle de l'intégrité se fait après la
données qu'ils contiennent seront rendre compte du fait qu'IPSec veille à reconstitution du datagramme dans le
utilisées dans les nœuds extrêmes, la sécurité de la couche réseau et pas nœud destination. Le MAC concerne
mais très rarement dans les rou- des applications spécifiques, et qu'il toutes les parties du datagramme qui
teurs. Ainsi, les routeurs ne s'occu- ne préviendra les attaques contre cel- ne changent pas pendant le trajet
pent que de l'en-tête d'une longueur les-ci. IPv6 ne protégera pas non plus dans le réseau (comme pour quel-
constante, moins compliqué que contre les attaques par inondation de ques types d'en-têtes). Pour le MAC,
dans IPv4, ce qui a permis d'accé- datagrammes. on utilise MD5 et SHA-1.
lérer son fonctionnement. Les mécanismes d'authentifica- L'ESP a pour but de chiffrer les
À la différence d'IPv4, l'en-tête tion et de chiffrement sont ajoutés données. On peut chiffrer soit les don-
obligatoire ne contient pas ici une au datagramme IPv6 au moyen nées de niveau transport, c'est-à-dire
information superflue sur la longueur des en-têtes d'extension optionnels. le segment TCP/UDP ou le message
de l'en-tête, et en même temps, il ne Même si le support de ces en-têtes ICMP (transport-mode), soit le data-
contient pas non plus la somme de est obligatoire, IPv6 ne les détermine gramme IPv6 entier (tunnel-mode,
contrôle en se référant aux autres pas à l'aide des applications, c'est voir la Figure 11). Dans le premier cas,
couches. Dans IPv6, contrairement
à IPv4, la fragmentation d'après la
longueur admissible de l'unité de Ordre des en-têtes optionnels
données (MTU, Maximum Trans- Une revue des en-têtes et leurs identificateurs sont présentés dans le Tableau 2 :
mission Unit) n’est réalisée que par
• en-tête des options sauts après sauts (hop-by-hop options header) – définit les
les nœuds sources et les routeurs
options qui doivent être examinées et traitées par chaque routeur le long du chemin
sur le trajet ne le peuvent pas. Cela emprunté par le datagramme, par exemple l'avertissement du routeur sur le contenu
veut dire que la MTU minimale d'un du datagramme intéressant (RFC 2711, le choix de l'identificateur 5) ou le support
transfert donné doit être déduite par de l'emploi de ce qu'on appelle jumbogrammes (RFC 2675, le choix de l'identifica-
l'ordinateur source (RFC 1981) avant teur 194), les datagrammes d'une taille supérieure à 65 Ko et inférieure à 4 Mo,
l'envoi du datagramme. Le fait de • en-tête des options de destination (destination options header) – contient les infor-
défendre la fragmentation des data- mations optionnelles pour la destination (l'en-tête optionnel peut être placé après
grammes aux routeurs réduit dans tous les autres en-têtes et définit l'action du dernier nœud destination).
une certaine mesure les abus de la • en-tête de routage (routing header) – donne une liste des routeurs qui doivent être
fragmentation qui ont pour but de visités le long du trajet vers la destination ; la destination doit ensuite utiliser cet
en-tête pour déterminer le trajet dans le sens inverse,
violer la sécurité de la transmission.
• en-tête de fragmentation (fragment header) – contient les informations servant à
Après l'en-tête obligatoire IPv6,
fragmenter et rassembler les datagrammes. La fragmentation n'est réalisé que par
peuvent venir certains en-têtes un nœud source, c'est pourquoi le nœud source doit être capable de déterminer
d'extension optionnels. Chaque la MTU pour que le datagramme ne soit pas détruit lors de la transmission. La
en-tête identifie l'en-tête suivant – il reconstitution du datagramme est effectué par la station destination,
contient le champ définissant le type • en-tête d'authentification (AH) – assure l'intégrité et la véracité du datagramme,
de l'en-tête consécutif (l'exemple sur • en-tête d'encapsulation de charge utile sécurisée (ESP) – assure la protection des
la Figure 10). Si il n'y aucun en-tête données transférées dans le datagramme, leur authenticité et leur intégrité ; si le
suivant, le protocole de transport est chiffrement est nul (null), seuls les services d'authentification et d'intégrité sont
spécifié par l'intermédiaire du numé- assurés.
ro du protocole, qui est le plus sou-
SDJE
En Europe, le retard ne concerne IPv6 (mais pas avec la méthode de tains réseaux terminaux connectés
pas les exigences envers les blocs tunnellisation). à CESNET2 supportent aussi IPv6
d'adresses IPv6 provenant de RIPE Le réseau CESNET2 basé sur outre IPv4 en mode dual stack, alors
NCC, mais il est dû au manque de le protocole IPv6 a été mis en place une connexion au réseau MPLS par
support pour IPv6 dans chaque équi- déjà en 1999, et depuis 2004, le pro- un routeur du côté client est simple.
pement réseau dans le domaine des tocole IPv6 est offert comme service Dans d'autres cas, il est nécessaire
services et des applications. Plu- standard. Au lieu de la tunnellisation d'implémenter les routeurs spéciaux
sieurs applications utilisent actuelle- ordinaire IPv6 dans Ipv4, CESNET2 supportant Ipv6 ; il faut aussi utiliser
ment les adresses IPv4 au lieu des implémentait le mécanisme de la le mécanisme d'après IEEE 802.1Q
noms (hostname), alors le passage transmission des datagrammes pour séparer l'exploitation d'IPv6 de
vers IPv6 nécessite le changement IPv6 via MPLS (MultiProtocol Label celle d'IPv4.
du côté clients et serveurs. Switching) basée sur la technologie Le réseau national pour les
Le premier réseau mis en place 6PE (supporté par Cisco Systems et recherches et l'éducation (NREN)
pour tester IPv6 était 6Bone, créé dé- Juniper) qui consistait à la commuta- CESNET2 fait aussi partie d'un ré-
jà en 1995. En Europe, c'était le pro- tion des paquets IPv4 en IPv6. Cer- seau européen IPv6 GÉANT dans
jet Euro6IX (http://www.euro6ix.org)
qui a permis de mettre en place une
véritable infrastructure d'IPv6. Il était
la base pour construire le premier
réseau européen non commercial
IPv6 – Internet Exchange et 6NET
(http://www.6net.org). Cela a con-
firmé la nécessité de passer à IPv6
pour permettre le développement
d'Internet. Environ trente partenaires
ont participé à la construction du
réseau 6NET, y compris l'entreprise
tchèque CESNET, qui déjà au début
de 2003 a mis au point dans son
pays – dans le cadre de 6NET – le
premier réseau basé sur le protocole Figure 12. Le chiffrement et l'authentification dans IPv6
Tableau 4. Les différences dans les en-têtes des datagrammes IPv4 et IPv6
Informations dans le datagramme IP version 4 IP version 6
longueur du datagramme variable – spécification de la lon- constante – sans devoir spécifier la
gueur nécessaire longueur dans le datagramme
Longueur du datagramme spécifiée dans le champ longueur n'est pas donnée; seule longueur du
totale paquet après en-tête est donnée – le
champ payload length
type de service champ ToS – actuellement pour champ de priorité et flow label
DSCP
durée de vie Définie dans le champ TTL définie dans le champ hop limit
fragmentation champ d'identification, fragmentation fragmentation uniquement par la
par routeurs source – seule l'en-tête d'extension
protocole supérieur numéro du protocole l'en-tête
somme de contrôle de l'en-tête protection protocole supérieur
possibilités longeur du datagramme l'en-tête
lequel Ipv6 est disponible en stan- pour l'instant en abondance. D'après matériel). Environ 17% craignent les
dard depuis 2003. Son successeur, les analyses effectuées par Juniper problèmes techniques.
GÉANT2 (http://www.geant2.net), Networks sur un groupes de respon- La plupart des applications IPv6
un nouveau réseau européen cons- sables IT et les cadres de l'adminis- se heurtent au problèmes liés aux
truit à des fins éducatives, supporte tration du gouvernement des États coûts que beaucoup d'utilisateurs
IPv6 et IPv4 en mode dual stack. Unis, seulement 7% sur 349 per- ne peuvent pas franchir, d'autant
GÉANT2, dont la première phase a sonnes questionnées considèrent plus s'ils ne sont pas capables de
été déjà terminée, servira pour tester le protocole IPv6 comme important prévoir les bénéfices potentiels. On
les technologies réseaux et les appli- dans leur travail, bien que la gestion a toujours l'impression qu'il n'existe
cations, y compris IPv6. facile des réseaux et l'amélioration pas encore d'application (killer ap-
Il existe un organisme inter- de la qualité de la communication plication) pour laquelle il vaudrait la
national qui surveille et supporte soient dans leur intérêt. De plus, le peine de passer à IPv6. Mais une
l'application du protocole IPv6 dans protocole de la nouvelle génération justification suffisante pour passer au
différents types de réseaux. Il s'ap- peut réduire les coûts de la transmis- nouveau protocole est le nombre im-
pelle IPv6 Forum. En 2003, il a lancé sion multiutilisateur (multicast), vidéo portant d'utilisateurs des téléphones
un programme international de certi- et simplifier le passage vers VoIP. Ce mobiles ou la popularité croissante
fication des composants Ipv6 appelé qui est très important – pour un tiers des réseaux informatiques domesti-
IPv6 Ready Logo Program! (http:// des personnes interrogées par Juni- ques. Et on peut encore ajouter un
www.ipv6ready.org). Le forum a pu- per Networks, la raison pour rester électronique portative, les minisen-
blié aussi une analyse dans laquelle sur IPv4 est... le manque de motiva- seurs et la technologie RFID...
il avertit de l'épuisement potentiel tion pour les changements. Un autre
des adresses IPv4 déjà en 2008 tiers serait pour le changement, mais Plages à problèmes
(pour plus d'informations : Internet – d'après eux – les coûts liés à ce IPv6 est un protocole réseau du fu-
Protocol Journal 9/2005). changement sont importants (sur- tur, mais sa sécurité n'est pas encore
Dans les réseaux scientifiques tout ceux concernant l'échange du complète. La politique de sécurité,
et universitaires, IPv6 est soumis
aux tests permanents, mais dans les
autres, il est utilisé plutôt par obliga-
tion car les personnes intéressées
par ce protocole ne sont pas nom-
breuses. Il y a un véritable abîme
entre les concepteurs et les implé-
mentateurs, et la vulgarisation de ce
protocole et son utilisation dans la
pratique dépendent justement de ces
derniers. Quand le premier groupe
déclare la nécessité d'utiliser IPv6,
le second le voit autrement : IPv4 est
encore très bon et les adresses sont Figure 13. La tunnellisation d'IPv6 à IPv4
Fiche technique
Bartosz Przybylski
Degré de difficulté
P
cap est une des libraires les plus utili- Tcpdump
sées servant à chiffrer le trafic réseau. Tcpdump est encore un très bon sniffeur. Ce
Elle offre un accès très détaillé aux sont ses auteurs qui ont conçu la bibliothè-
couches ISO/OSI spécifiques. De plus, elle est que Pcap. Le programme possède quelques
disponible sur plusieurs systèmes d'exploitation front-end non officiels, mais il a été conçu
(pour plus d'informations, lisez l'article de Kon- spécialement pour être utilisé directement
rad Malewski Plein contrôle ou accès de bas à partir de la ligne de commande (shell) du
niveau au réseau du numéro 5/2005 de hakin9) système.
et dans plusieurs langages de programmation.
Notre armement
Marteau, tourne-vis, sniffeur Voici la liste des programmes et scripts que
ou outils pour l'analyse nous allons utiliser pour l'analyse du trafic
Si nous voulons envisager l'analyse réseau, il réseau :
est impossible de nous débrouiller sans outils
qui pourrait nous faciliter la tâche. Commen-
çons par les sniffeurs. Cet article explique...
• Comment analyser le trafic réseau.
Ethereal • Comment détecter les tentatives d'attaque
Ethereal est l'un des outils le plus connu servant grâce à l'analyse.
à analyser les réseaux. Il possède beaucoup • Comment bloquer ces tentatives.
d'options très utiles pour l'analyse. Les deux
caractéristiques dominantes de ce projets sont : Ce qu'il faut savoir...
l'enregistrement du trafic réseau sous différents
formats et l'interface graphique. Bien que nous • Les notions de base du fonctionnent des ré-
n'avions pas besoin directement de la seconde seaux (ISO/OSI).
caractéristique pour l'analyse, elle est un complé- • Utiliser le shell de Linux.
ment très agréable et facilite le travail.
Sur Internet
• http://www.ethereal.com/ – le site du projet du sniffeur ethereal,
• http://www.tcpdump.org/ – le site de libpcap et tcpdump,
• http://www.netfilter.org/ – le site du projet iptables.
• ftp://tracer.csl.sony.co.jp/pub/mawi/tools/ – à partir de ce site, vous pouvez télé-
charger tcpdstat
• http://aqu.banda.pl/scripts/network_analyzing/ – à partir de ce site, vous pouvez
télécharger zonk.pl
Degré de difficulté
P
our atteindre ces buts, une analyse très De cela, nous prendre des mesures suffi-
détaillée du fonctionnement des logiciels santes pour résoudre chaque type de problè-
malveillants est nécessaire ; c'est l'ingé- mes auxquels nous pouvons nous heurter.
nierie inverse qui entre ici en jeu.Les concepteurs
des programmes malveillants (virus, troyens, Hooking
rootkits) essaient de rendre cette analyse extrê- Comme on peut remarquer, il existe beaucoup
mement difficile, par exemple à l'aide des techni- d'astuces qui ont pour but de rendre difficile
ques empêchant le déboguage, des techniques l'utilisation du débogueur (aussi bien au niveau
polymorphiques, des techniques stealth ou des Ring0 que Ring3) qui est un principal outil dans
programmes pour la compression des fichiers ; l'ingénierie inverse. De cela, il est nécessaire
ces derniers non seulement réduisent la taille des
fichiers exécutables, mais aussi ajoute une cou-
che protectrice plus ou moins complexe. Cet article explique...
Dans ces situations, c'est le temps qui
• Comment utiliser hooking pour l'analyse des
compte avant tout : grâce à une analyse longue
programmes malveillants (malware).
et précise, tôt ou tard, nous atteindrons notre
• Comment exploiter Structure Exception Han-
but et pourrons connaître tous les détails du dling pour la création d'un désassembleur de
danger. Hélas, il arrive que nous n'avons pas taille.
assez de temps et dans ce cas il faut optimiser
les opérations liées aux procédures de l'ana-
Ce qu'il faut savoir...
lyse. Imaginez un ver exploitant une erreur
inconnue d'un programme qui lui permet de • Connaître Assembleur x86 y C.
se répandre via Internet. Le temps investi dans • Connaître Win32 Api et Structure Exception
l'analyse et la compréhension du fonctionne- Handling.
ment de ce ver marque la limite entre la vrai • Avoir les notions de base des techniques utili-
catastrophe des utilisateurs et le danger réduit sées par les logiciels malveillants et les virus.
et neutralisé.
Tableau 1. Les données disponibles pour la gestion des exceptions, si celle- C'est pourquoi, il faut développer
ci est active une technique le moins agressive
T Données envers le code source qui permet-
trait à la fonction accrochée de fonc-
ESP+4 Pointeur à la structure
tionner normalement tout en restant
EXCEPTION_RECORD
constamment sous contrôle. Cette
ESP+8 Pointeur à la structure ERR technique est appelée Detour (elle
ESP+C Pointeur à la structure a été présenté par Galen Hunt et
CONTEXT_RECORD Doug Brubacher des laboratoires
Microsoft)
appel de la fonction démarrera sans à détecter parce qu'il est suspect si le
doute le code précédent. En nous point d'entrée d'une fonction système Detour
servant du schéma d'Inline Hooking, contient le saut inconditionnel vers une Par rapport à Inline hooking, la
nous remplacerons ces premières autre adresse dans la mémoire. Nous technique Detour implémente deux
instructions par notre propre crochet pouvons utiliser une autre option étant nouvelles conceptions : la fonction
qui modifiera le flux normal de la la combinaison de PUSH + RET . Detour et la fonction Trampoline.
fonction dans la direction du filtre.
01 68EFBEADDE push 0DEADBEEF • Fonction Detour doit se compo-
Différentes possibilités 02 C3 retn ser d'une partie dans laquelle
pour le même objectif 03 A118000000 mov eax,[00000018] sont réalisées les premières
Il existe différentes méthodes de chan- opérations sur les données ob-
gement du flux dans la direction du Dans ce cas, nous remplaçons les tenues, ensuite vient l'appel à la
notre code. La plus simple consiste à 6 premiers octets. Si nous regar- fonction Trampoline et à la fin, se
changer les premiers octets de Close- dons ce fragment avec attention, trouve la partie du code qui sera
Handle par un saut inconditionnel. nous constatons que le code origi- lancé après la terminaison de la
nal CloseHandle est effectivement fonction Trampoline.
01 E9732FADDE jmp 0DEADBEEF changé, mais non du point de vue • Fonction Trampoline contient aussi
02 64A118000000 mov eax,fs:[00000018] des instructions ajoutées, mais aussi bien les instructions de la fonction
certaines d'entre elles sont perdues cible, remplacées complètement
Nous avons remplacé 5 premiers et d'autres ont changé. C'est une par le saut inconditionnel, que
octets par un saut vers l'adresse question à discuter. Bien que nous celles qui ont été changées par-
0xDEADBEEF. Bien sûr, cette avions atteint notre objectif et inter- tiellement. Ensuite, il y a un saut
adresse n'est pas valide car nous cepté tous les appels de la fonction, à l'instruction suivante correspon-
travaillons en mode utilisateur. la modification étaient si importante dant à la fonction cible.
À cette adresse, il y aurait le code qu'elle a entraîné les anomalies du
que nous avons introduit dans l'espa- comportement, ce qui en résultat Ainsi, nous pouvons résoudre le
ce adressable du fichier exécutable. pourrait provoquer la fin inattendue problème lié aux données perdues
Vu que c'est la méthode la plus du programme pendant le premier ou aux instructions modifiées qui
simple, elle est aussi la plus facile appel CloseHandle. se produisait dans Inline Hooking.
Il s'agit de sauver ces instructions
dans la fonction Trampoline pour
qu'elles puissent être exécutées. En-
suite, nous sautons à une instruction
suivante où la fonction cible fonction-
nera normalement. Une fois la fonc-
tion cible terminée, nous reprenons
le contrôle sur la fin de la fonction
Detour. Elle est capable de récupérer
le chemin de démarrage en restau-
rant le contrôle de la fonction source
ou la possibilité de réaliser un autre
type d'opération.
Mais comment savoir combien
d'instructions faut-il copier dans la
fonction Trampoline à partir de la
fonction cible ? Chaque fonction
Figure 2. Le schéma de base de la technique Detour cible sera différente, et de cela il
+ +
147 €
12 Nos 6 Nos
99 € 12 Nos 6 Nos
+ +
Commande
Merci de remplir ce bon de commande et de nous le retourner par fax : 0048 22 887 10 10 ou par courrier :
Software-Wydawnictwo Sp. z o. o., Piaskowa 3, 01-067 Varsovie, Pologne ; E-mail : abonnement@software.com.pl
Adresse ...........................................................................................................................................................................................................
E-mail ................................................................................................
Je règle par :
Dans la ligne 25, nous enregis- Objectif Taille 2 octets +3 octets des précé-
trons l'adresse de la mémoire où Le but de cette partie du code est dents = 5 octets. On continue
commencent nos instructions sur- l'analyse de la longueur des instruc-
veillées, ce qui nous permettra au tions surveillées jusqu'à trouver la 04 64A118000000 mov eax,fs:[00000018]
moment de l'émulation des appels valeur supérieure ou égale à celle
et des sauts conditionnels et incon- qui occuperait notre crochet, indé- Taille 6 octets +5 octets des précé-
ditionnels. pendamment du fait, si ce serait un dents = 11 octets. C'est déjà fait !
saut inconditionnel (jmp 5 octets) ou Notre désassembleur de taille
push+ ret (6 octets). Imaginons par retournera 11. Que cela signifie-t-il ?
Analyse exemple que le type de notre cro- Cela veut dire que pour un crochet
des instructions chet est push+ret et nous essayons composé de six octets, pour ne pas
surveillées d'accrocher CloseHandle. Nous perdre aucune instruction, il faut co-
Jusqu'alors, tout ce que nous avons indiquons au désassembleur que pier onze octets de la fonction cible
présenté, pourrait être contenu dans notre crochet occupe 6 octets (Hoo- dans la fonction Trampoline.
le bloc préparation de l'environne- kLength = 6). Il commencera alors
ment. Nous allons commencer à exa- à compter la longueur de la première Analyse des données
miner le code appartenant à l'analyse instruction Nous avons ici un bloc initial de l'ana-
des instructions surveillées. lyse. Jusqu'à la ligne 46, nous avons
01 8BFF mov edi,edi l'algorithme permettant d'émuler les
Listing 1. Observation du code appels et les sauts. Cet algorithme
Taille 2 octets. Vu qu'il est inférieure consiste à vérifier le décalage entre
27 Int1h: à 6, il continue comme suit EIP dans lequel l'exception s'est pro-
28 mov ecx, eax duite et la valeur précédente du re-
29 sub eax, [PrevEip]
02 55 push ebp gistre. Si ce décalage est important,
30 cmp ax, 10h
31 jb NoCall nous avons à faire avec un appel ou
32 mov ebx, dword [edx] Taille 1 octet +2 octets de l'instruc- un saut, c'est pourquoi nous passe-
33 mov edx,ebx tion précédente = 3 octets. Toujours rons à la récupération du contexte
34 sub ebx, [PrevEip] inférieur à 6. pour qu'il pointe vers une instruction
35 cmp bl, 7
surveillée suivante au lieu d'exécu-
36 jbe HabemusCall
37 mov edi,[PrevEip] 03 8BEC mov ebp,esp ter le processus jusqu'à l'adresse 4
38 inc edi
39 inc edi
40 mov dword [esi + 0B8h], edi
41 mov ecx,edi
42 jmp NoCall
43 HabemusCall:
44 mov dword [esi + 0B8h], edx
45 mov ecx,edx
46 NoCall:
47 mov [PrevEip], ecx
48 sub ecx, Code
49 cmp ecx, [HookLength]
50 jge Success
51 RetSEH:
52 or word [esi + 0C0h], 0100h
; Activation de Trap Flag
53 xor eax,eax
54 ret
55 Success:
56 mov [LenDasm], ecx
;Nous restaurons la longueur
de l'instruction
57 mov esp, [OrigEsp]
;Nous récupérons Esp
58 mov ebp, [OrigEbp]
; Nous récupérons Ebp
59 pop dword [fs:0]
;Nous nettoyons l'étendue SEH
60 add esp, 4
;Nous ajustons la pile
laquelle pointait l'appel ou le saut. ver. Imaginons aussi que ce petit empêche notre analyse et l'utilisation
Nous compterons aussi avec notre code était compacté avec le pro- du débogueur. Il ne reste pas aussi
compteur combien d'octets occupe gramme contenant plusieurs types longtemps dans la mémoire qu'il soit
notre instruction. de protections anti-déboguage et possible de le décompresser sur le
Dans les lignes 47, 48, 49, nous anti-désassemblage. Nous devons disque dur à l'aide d'un outil de dé-
vérifions s'il y a suffisamment d'ins- vite savoir comment il s'infiltre dans compactage (ProcDump...). En fait,
tructions pour mettre notre crocher. un autre fichier exécutable et quel le fichier exécutable ne reste dans la
La partie la plus principale du dé- code il introduit. Pour tout cela, il mémoire que pendant des dizaines
sassembleur sont les lignes 52, 53 et serait nécessaire d'effectuer sur- de secondes empêchant également
54. Là, nous activons Trap Flag en le-champ le désassemblage du de capturer son image. Que pou-
configurant à 1 le bit approprié dans fichier exécutable, mais comme vons-nous faire ?
le registre EFLAGS. C'est la base nous l'avions dit, il contient un pro- Pour résoudre ce problème, on
pour le nettoyage pas à pas. gramme de compactage (packer) qui pourrait accrocher ExitProcess, la
À partir de moins de 256 octets,
nous avons construit un désassem- Listing 2. ACPInject
bleur de taille tout à fait opérationnel.
Maintenant nous pouvons l'appliquer #include <stdio.h>
#include <windows.h>
dans la pratique.
typedef BOOL (WINAPI *PQUEUEAPC)(FARPROC,HANDLE,LPDWORD);
int main(int argc, char *argv[])
Application pratique {
PROCESS_INFORMATION strProces;
pour l'analyse d'un STARTUPINFOA strStartupProces;
programme malveillant PQUEUEAPC QueueUserApc;
DWORD MessageAddr,Ret1,Ret2,Longueur;
On utilise les techniques differentes : char *szExecutableName;
unsigned char Snippet[]=
• Pour nos besoins, nous allons "\x90" /* nop */
créer un programme qui intro- "\x6A\x00" /* push NULL */
"\x6A\x00" /* push NULL */
duira et démarrera du code dans
"\x6A\x00" /* push NULL */
le fichier exécutable qui lui sera "\x6A\x00" /* push NULL */
passé en paramètre. Les techni- "\xB9\x00\x00\x00\x00" /* mov ecx,MessageBox*/
ques d'insertion du code dans les "\xFF\xD1" ; /* Call ecx */
processus sont bien connues. Il Longeur = (DWORD) strlen(
"c:\\windows\\system32\\calc.exe") + 1;
en existe différents types, mais
ZeroMemory( &strStartupProces, sizeof( strStartupProces) );
toutes sont basées pratiquement strStartupProces.cb = sizeof( strStartupProces );
sur les mêmes API. ZeroMemory( &strProces, sizeof( strProces) );
• VirtualAllocEx sert à allouer de la szExecutableName = (char*) malloc( sizeof(char) * Długość);
mémoire dans le processus cible. if( szExecutableName ) strncpy(szExecutableName,
"c:\\windows\\system32\\calc.exe",Longueur);
Le code sera introduit dans cet
else exit(0);
espace mémoire. Pour cela, nous _QueueUserApc = (PQUEUEAPC)GetProcAddress( GetModuleHandle (
utiliserons WriteProcessMemory. "kernel32.dll" ), "QueueUserAPC");
• Au moment du démarrage du MessageAddr = (DWORD) GetProcAddress ( LoadLibraryA(
code, nous pouvons choisir "user32.dll") , "MessageBoxA" );
// U32!MessageBoxA
parmi CreateRemoteThread ou
*( DWORD* )( Snippet + 10 ) = MessageAddr;
SetThreadContext. Ret1 = CreateProcessA( szExecutableName, NULL, NULL, NULL,
0, CREATE_SUSPENDED,
Mais nous nous servirons d'une NULL,NULL,
autre fonction : QueueUserAPC. &strStartupProces,&strProces);
Ret2 = (DWORD) VirtualAllocEx( strProces.hProcess,NULL,sizeof(Snippet),
MEM_COMMIT,
Domaines d'application PAGE_EXECUTE_READWRITE);
Ce programme introduit dans la
calculette Windows un petit code WriteProcessMemory(strProces.hProcess,(LPVOID)Ret2, Snippet,
qui entraîne l'affichage d'une boîte sizeof(Snippet), NULL);
_QueueUserApc((FARPROC)Ret2,strProces.hThread,NULL);
de message (Message Box). La
ResumeThread(strProces.hThread);
calculette ne s'affichera pas après return 0;
le démarrage de ce code. Imaginons }
qu'au lieu d'un code innocent, nous
introduisons un code malicieux d'un
Vous pouvez en quelques minutes et en toute sécurité vous abonner à votre magazine préféré.
Nous vous garantissons :
• des tarifs préférentiels,
• un paiement en ligne sécurisé,
• la prise en compte rapide de votre commande.
Abonnement en ligne sécurisé à tous les magazines de la maison d’édition Software !
bulletin d’abonnement
Merci de remplir ce bon de commande et de nous le retourner par fax : 0048 22 887 10 11 ou par courrier :
Software-Wydawnictwo Sp. z o.o., Piaskowa 3, 01-067 Varsovie, Pologne ; Tél. 0048 22 887 13 44 ;
E-mail : abonnement@software.com.pl
Adresse .................................................................................................................................................................................................................................
Nombre de Nombre
Titre
À partir du
numéros d’abonne- Prix
numéro
annuels ments
Programmation sous Linux (1 CD ou DVD)
Bimestriel pour les programmeurs professionnels 6 38 €
Total
Je règle par :
¨ Carte bancaire n° CB expire le date et signature obligatoires
type de carte .......................................................................... code CVC/CVV
¨ Virement bancaire :
Nom banque : Société Générale Chasse/Rhône
banque guichet numéro de compte clé Rib
30003 01353 00028010183 90
IBAN : FR76 30003 01353 00028010183 90
Adresse Swift (Code BIC) : SOGEFRPP
Problèmes
d'authentification HTTP
Pratique
Emilio Casbas
Degré de difficulté
A
ctuellement dans le réseau, des millions • Serveurs réseau sur Internet – c'est une
de transactions ont lieu et les données situation la plus populaire. À partir de la
privées et confidentielles sont rendues maison ou d'un cyber-café, l'utilisateur se
publiques. Dans le réseau, tout cela est possi- connecte sur un serveur sur lequel l'authen-
ble, mais pour des raisons de sécurité, il faut tification HTTP est configurée pour accéder
savoir qui a accès aux données vulnérables et à certaines ressources. Si vous consultez
qui peut exécuter des opérations privilégiées. les pages Web des entreprises, vous pou-
Nous devons être sûrs que les utilisateurs vez observer que beaucoup de pages utili-
non autorisés ne peuvent pas consulter les sent ce type d'authentification pour donner
documents auxquels ils n'ont pas d'accès. Les accès aux parties protégées du site.
serveurs essaient de savoir qui est l'utilisateur • Serveurs réseau dans un Intranet- dans ce
et à partir de ces informations décider quel type cas, le domaine d'application est plus restreint
d'action ceux-ci peuvent exécuter. L'authentifi-
cation est une technique d'identification qui
consiste à vérifier l'identité d'une personne à Cet article explique...
partir de certaines preuves telles que mot de
• Différents niveaux d'autorisation HTTP.
passe ou PIN. HTTP fournit une fonctionnalité
• Différences dans l'autorisation HTTP sur les
naturelle permettant une authentification. niveaux différents.
En fait, HTTP définit deux protocoles offi- • Exemples pratiques de communication HTTP.
ciels d'authentification : une authentification de • Faiblesses de l'autorisation.
base et une authentification digest. Dans cet • Solutions et alternatives.
article, je me concentrerai particulièrement sur
la méthode d'authentification de base qui est Ce qu'il faut savoir...
largement utilisée par les clients et les serveurs
réseau et est moins sûre. • Modèle OSI.
Les domaines d'application de cette mé- • Connaissance du protocole HTTP.
thode d'authentification :
#!/usr/bin/perl
use MIME::Base64;
while (<>) {
print MIME::Base64::decode_
base64($_);
}
Accept-Encoding:
gzip,deflate\rn
Accept-Charset:
ISO-8859-1,utf-8;q=0.7,*;q=0.7\rn
Keep-Alive: 300\rn
Proxy-Connection:
keep-alive\rn
Proxy-Authorization:
Basic
ZWNhc2Jhc0B1bmF2Lm
VzOnBydWViYTAx\rn
Tableau 1. L'authentification de serveur réseau et l'authentification proxy authentifications pour différents ser-
Serveur réseau Serveur Proxy. vices, mais les réutilisent.
Code d'état sans autorisation : 401 Code d'état sans autorisation : 407 Conclusion
WWW-authenticate Proxy-Authenticate L'authentification HTTP de base est
Authorization Proxy-authorization simple et commode, mais ce n'est
pas une méthode sûre. Il faut l'em-
Authentication-Info Proxy-Authentication-Info.
ployer dans les cas où l'accès aux
informations doit avoir le caractère
privé et son utilisation ne peut pas
compromettre la sécurité des autres
systèmes.
Les gens utilisent souvent le
même nom d'utilisateur et le même
mot de passe à des fins différentes.
De cela, même si ceux-ci sont uti-
lisés dans des environnements de
confiance et dans les cas d'un accès
aux informations non sensibles, il
existe toujours un risque que les
mêmes authentifications pourraient
nous donner accès aux services
plus importants tels que courrier
électronique, documents privés ou
Figure 9. La fenêtre Live HTTP Headers bases de données.
Au moyen d'un sniffeur réseau
d'authentification des utilisateurs. réseau (IPSEC), les programmes et de quelques scripts permettant
Elle ne protège pas l'identité de l'utili- avec une connexion sécurisée, etc. d'interpréter le trafic intercepté, en
sateur et celle-ci est transmise à tra- Si l'une des ressources emploie ce quelques minutes on peut obtenir
vers le réseau en texte clair. D'autre type d'authentification, vous avez un des centaines de paires utilisateur/
part, HTTP ne refuse pas l'utilisation accès immédiat à tous les services mot de passe par la méthode décrite
des schémas d'authentification addi- disponibles. ci-dessus. Dans l'authentification
tionnels et des mécanismes de cryp- Un champ idéal pour implémen- HTTP, les mots de passe traversent
tage qui augmentent et améliorent la ter ce type d'authentification serait, le réseau en texte clair, et lors de
sécurité d'authentification de base. par exemple, l'accès aux statistiques la connexion, les en-têtes avec les
Malgré les faiblesses de ce type d'utilisation d'un serveur donné ou mots de passe le traversent plus
d'authentification, comme on a pu l'accès à une autre ressource, si d'une fois. Pendant la connexion,
voir ci-dessus, cette méthode est vous trouvez qu'un accès illégal ils sont renvoyés pour chaque tran-
utilisée dans différents environne- à celle-ci n'est pas dangereux. De saction réalisée. Cela est dû à la
ments où le plus grand danger est cela, les authentifications d'accès propriété du protocole HTTP qui ne
lié à l'existence de Single Sign On, doivent être fournies par l'adminis- conserve pas l'état et il est nécessai-
quand un seul mot de passe vous trateur du site ou par un programme re de rappeler les données qui sont
sert à vous identifier auprès de tou- générateur. Elles ne doivent jamais fournies pendant chaque connexion
tes les ressources. Ainsi, il n'est pas être choisies par l'utilisateur car ainsi au serveur ou au proxy. Pour amé-
important si vous utilisez les méca- on se retrouvera avec le même pro- liorer cette manière d'authentification
nismes d'accès sécurisé par le biais blème qu'auparavant. Les gens n'ont ou la remplacer par d'autres métho-
de SSL, les connexions chiffrées au pas l'habitude d'utiliser différentes des plus sûres, il faudrait :
Alentours
Tomasz Trejderowski
Degré de difficulté
A
lbert Einstein a dit une fois : Il n'existe mais probablement longtemps après l'évè-
que deux choses infinies, l'univers et la nement, ne feront pas le lien entre certains
bêtise humaine... mais pour l'univers, je faits. Bien que cela paraisse perfide – l'attaque
n'ai pas de certitude absolue. Plusieurs person- sociotechnicien est une subtilité. Kevin Mitnick
nes associent cette citation à la sociotechni- – le sociotechnicien le plus célèbre (et pas le
que et au social engineering. À moins que cracker – comme il est injustement appelé par
dans le premier cas cela ait du sens, je suis les média) du monde répétait toujours dans ses
plus sceptique en ce qui concerne le social interviews qu'il avait obtenu les informations
engineering. Il s'agit plutôt d'inconscience que seulement parce qu'il les demandait. Évidem-
de bêtise. Le fait de ne pas se rendre compte ment, de la manière appropriée.
de certaines règles est à la base de la plupart
des attaques sociotechniciens contre les entre- Sociotechnicien
prises. Par contre, on peut qualifier de bêtise le Les principes théoriques du social engineering
comportement des employés seulement quand constituent la sociotechnicien qui est une scien-
ils acceptent consciemment les méthodes ce de la manipulation des êtres humains. Dans
exploitées par un sociotechnicien s'attaquant chaque attaque exploitant le social engineering,
à leur entreprise. nous pouvons retrouver les traces des règles
C'est dans cette inconscience que réside la communes à la base de la sociotechnicien :
puissance du social engineering. Si un cracker
expérimenté casse la protection réseau d'une • Règle de réciprocité – chaque chose posi-
entreprise, il y aura toujours quelqu'un qui vou- tive (aide, support, cadeau) obtenue de la
drait expliquer la situation par l'inconscience part d'une personne, génère la volonté de
et l'incompétence des administrateurs ou des rendre la politesse
utilisateurs du réseau. Par contre, si un socio- • Règle de preuve de justification sociale
technicien s'attaque à une entreprise – les – 10 mille clients ne se trompent pas ! Con-
victimes de cette attaque non seulement ne formément à cette règle, il est plus facile de
se rendront pas compte qu'ils sont manipulés, nous convaincre de quelque chose, si l'on
nous démontre que les autres fluence totale sur les sociétés entiè- les mécanismes sont réflexifs et
pensent ou se comportent de la res (de grands groupes sociaux) est automatiques. Contre ces attaques,
même manière. le social engineering. Une manipu- aucun pare-feu, ni programme anti-
• Règle de sympathie – si nous lation informative d'un individu (d'un virus, ni des millerrs dépensées pour
aimons quelqu'un ou il nous paraît petit groupe de gens) est un social la sécurité informatique, ne sont pas
sympathique, nous répondrons engineering. Dans le deuxième cas, capables de nous protéger. Seuls
plus volontiers à ses demandes. on utilise aussi les notions socioin- les cours de sociotechnicien perma-
• Règle d'autorité – nous n'avons formatique et sociohacking. nents peuvent nous protéger contre
pas assez de courage pour nous Beaucoup de gens trouvent que ce danger car ils éliminent l'incons-
opposer à quelqu'un de plus sage, l'informatique et le totalitarisme (et cience dont j'ai parlé au début de
plus expérimenté ou plus haut que également le marketing, les médias, l'article.
nous dans la hiérarchie. Ce méca- les affaires, etc.) sont des domaines Dans la suite de l'article, je mon-
nisme fonctionne même si nous très éloignés. Malgré tout, on peut trerai que c'est seulement en appa-
sommes contraints que la décision considérer l'exercice de l'influence rence que le danger ne nous con-
ou que l'action prises par cette per- sur les êtres humains sur ces ni- cerne pas. En fait, il est présent dans
sonne sont erronées. veaux comme mécanismes équiva- chaque entreprise, chaque ville et
• Règle d'engagement et de con- lents et identiques. C'est pourquoi, à tout moment.
séquence – si nous sommes en- on utilise dans tous les cas la même
gagés dans quelque chose, nous expression – social engineering. Qui et pourquoi ?
allons viser à réaliser le but. La notion la plus populaire est Il n'est pas possible de déterminer qui
• Règle d'indisponibilité – la valeur le social engineering et elle a été a utilisé la sociotechnicien pour la
d'une chose donnée augmente, si utilisée dans ce texte, bien qu'elle première fois. Il y a quelques milliers
celle-ci est temporairement ou con- ait autant de partisans que d'adver- d’années que les prêtres égyptiens
stamment indisponible. Il y a aussi saires. utilisaient les moments de l'éclipse du
une Règle inversée d'indisponibi- Soleil calculées mathématiquement
lité – les choses fréquentes, évi- Niveau d'insécurité pour manipuler leurs peuple et se
dentes et facilement disponibles ne La conscience du danger qui me- faire obéir.
présentent pas une grande valeur nace de la part de la sociotechnicien Quant au social engineering, alors
à nos yeux. et du social engineering est négligée l'exploitation de la sociotechnicien pour
• Règle de valeur et de profit – il dans la plupart des entreprises. s'attaquer aux entreprises et aux sys-
vaut la peine de lutter pour les cho- D'où je prends ces données ré- tèmes informatiques, la question de
ses de valeur (y compris spirituelles vélatrices ? Je me baserai sur mon la première utilisation de ce mécanis-
telles que l'honneur, la bonne re- propre exemple qui, selon moi, mon- me n'est pas facile à déterminer. Plu-
nommée, la gloire). Si une so- tre très bien l'étendue du problème. sieurs personnes croient que pour la
ciotechnicien suscite en nous Outre les articles, je donne aussi des première fois, cette méthode a été
l’impression que ces aspects de cours. Le centre des formations où utilisée par le célèbre Kevin Mitnick.
notre vie sont menacés, il peut je travaille est le seul dans la région Moi, personnellement, je suis d'avis
facilement nous contraindre aux à organiser des cours du domaine qu'il a seulement rendu plus po-
actions que nous-mêmes n'avons de la sociotechnicien et du social pulaire cette technique de collecte
jamais entreprises. engineering. Au cours de l'année, des données. Le social engineering
nous organisons deux cours et nous existe aussi longtemps qu'il existe de-
Ces règles sont très souvent exploi- avons des difficultés pour trouver dix puis probablement aussi lengtemps
tées dans la manipulation sociotechni- clients. Et j'habite et je travaille dans qu’il existe des ordinateurs. C’est à dire
cien (dans le média, la politique, la vie une ville (Katowice, Pologne) qui a depuis les années soixante ou même
professionnelle). Quand on parle du 300 mille d’habitants et 50-80 mille cinquante du siècle passé.
social engineering, différentes com- entreprises (comme dans plusieurs La réponse à la question pour-
binaisons de ces règles sont utilisées. villes européennes). C'est la preuve quoi ce mécanisme est utilisé ? est
Il ne faut pas oublier que le méca- suffisante d'une très basse cons- banale et je l'ai donnée dans les pa-
nisme le plus populaire utilisé par les cience dans cette matière. ragraphes précédents. C'est tout sim-
sociotechniciens dans les attaques En attaquant, un sociotechnicien plement fructueux. En Europe, c'est
sur les entreprises est tout simple- touche le point le plus faible de cha- encore (heureusement) la phase ini-
ment le mensonge. que entreprise – homme. La socio- tiale qui domine, pendant laquelle la
technicien et le social engineering plupart des attaques sont exécutées
Manque d'équivalence s'attaquent au niveau subconscient par des sociotechniciens - amateurs.
des notions de l'esprit humain – les régions Ils le font surtout pour résoudre leurs
Certaines personnes sont d'avis qu'il dont les actions sont souvent nous ne petits problèmes privés qui ne peu-
faut séparer ces deux notions. L'in- hors de champ de la conscience ; vent pas être réglés par voie tradi-
tenter de réduire ses effets et limiter sont souvent publiées sur la page envoyant un email ou en glissant
le risque au minimum. IL est impossi- Web de l'entreprise ; une disquette contenant les don-
ble de l'éliminer complètement. • on peut téléphoner à cet employé, nées apparemment confidentiel-
se faire passer pour l'administra- les (le système de primes, les
Tisser la toile teur et par le biais d'une simple rémunérations de l'administration,
Le plus grand avantage du socio- manipulation obtenir son nom les détails piquantes de la vie
technicien et en même temps le plus d'utilisateur et le mot de passe au privée, etc.). Après l'ouverture du
grand danger pour les entreprises réseau d'entreprise. Mais ce n'est document joint (le démarrage du
est le fait que l'attaquant a du temps pas l'objectif en tant que tel ; programme), un troyen est ins-
et beaucoup de patience. L'attaque • si l'on possède l'adresse de la tallé sur l'ordinateur de la victime.
sociotechnicien n'est pas effectuée messagerie, il sera facile de se Ainsi, l'assaillant obtient l'accès
n'importe comment, par un blanc- procurer le numéro interne de au réseau de l'entreprise et aux
bec qui a lu une traduction (le plus cet employé (p.ex. sur la liste des données enregistrées sur le disque
souvent mauvaise) d'un ouvrage rémunérations, le numéro d'enre- dur.
américain concernant ces problèmes gistrement, etc.). • À l'aide de la règle d'autorité,
et veut se lancer. C'est un jeu straté- l'attaquant peut se faire passer
gique très bien préparé, élaboré pour Si l'on connaît le prénom, le nom, le pour un supérieur et contraindre
plusieurs éventualités, contenant les département, l'adresse du courrier le subordonné à révéler certai-
solutions alternatives et les scénarios électronique, et souvent aussi le nom nes informations. S'il connaît le
pour les situations atypiques. de l'utilisateur et le mot de passe, on prénom et le nom de l'assistante
Le mécanisme de cette attaque dispose de la base pour voler l'iden- du président, il peut ensuite té-
est en général identique ou très simi- tité d'une personne. Un sociotechni- léphoner à une autre personne
laire. Il ressemble au tissage d'une toile cien muni de ces informations peut et lui dire qu'il se contacte à la
d'araignée. À partir des fils très fins avec succès se faire passer pour demande de cette personne.
qui en tant que tels ne constituent pas l’employé d'une entreprise et conti- Aux membres de la direction,
obstacle même pour une mouche du nuer son attaque sociotechnicien personne ne refusera rien.
vinaigre, une toile raffinée est créée dans la direction souhaitée. • La règle de sympathie peut être
pouvant capturer non seulement un Pourtant, l'attention est attirée non exploitée dans une situation
troupeau de mouches, mais aussi un sur le contenu, mais sur l'idée de ce imaginée quand une personne
grand moustique et plusieurs d'autres plan d'actions. En tout cas, le sociotech- connue et aimée est menacée.
insectes. nicien téléphone à une autre person- Un sociotechnicien peut télépho-
Pour un sociotechnicien, aucune ne, se fait passer pour quelqu'un d'au- ner à l'entreprise, se faire passer
information n'est sans valeur. Chacune, tre (administrateur, employé, client), pour un employé de la banque et
même la moins importante, peut l’ai- présente une histoire inventée mais dire qu'un collègue ou un collabo-
der. Ces informations apparemment vraisemblable et demande d'une façon rateur de la personne à laquelle
anodines sont pour lui les plus pré- ingénieuse une information simple et il téléphone, à la suite de... (ici
cieuses. C'est parce qu'elles sont les apparemment insignifiante. un mensonge vraisemblable)
plus faciles à obtenir – personne ne Chacun des employés atta- n'obtiendra pas sa rémunération
les considère comme confidentielles qués s'y prête de bonne grâce car il à temps, mais que nous pouvons
et ne les protège pas – tandis qu'el- pense consciensciemment (à raison) aider et donner... (une informa-
les peuvent servir à trier les fausses qu'il n'avoue aucun secret commer- tions peu importante, mais non
informations, et ainsi, obtenir les don- cial ou d'entreprise, et qu’il ne donne disponible au public – par exem-
nées d’une valeur inappréciables. que des informations complètement ple l'identifiant de cet employé).
Par exemple, les actions pour- insignifiantes. Dans cette situation, tout en étant
raient se passer ainsi : guidé par la sympathie (ici exploi-
Méthodes d'obtention tée) et la volonté d'apporter de
• l'obtention du prénom et du nom des informations l'aide, nous révélerons facilement
d'un employé quelconque ; Vu la taille et le caractère de cette les informations qui ne devraient
• le prénom et le nom sont révélés publication, je ne peux donner que pas sortir de l'entreprise.
spontanément par le département quelques méthodes d'attaques les • Une solution alternative à la pré-
où la personne donnée est em- plus importantes. cédente consiste à téléphoner
ployée ; à la personne intéressée et à lui
• pour obtenir l'adresse du courrier • En se servant de la règle d'inac- faire croire (une manipulation de
électronique d'un employé, il cessibilité (curiosité), un sociotech- la peur, l'aspect de la règle de
ne faut même pas connaître le nicien peut contraindre l’employé valeur) que sa rémunération est
département dans lequel celui- d'une entreprise à exécuter une virée à une autre banque. L'em-
ci est embauché – ces données action atypique, par exemple en ployé excité (émotions) est dis-
ponible aux manipulations. Dans patients. Les informations desti- faitement au tissage de toile et
cette situation, on peut en tirer nées à la Caisse nationale d'as- à créer l’image d'une personne
pratiquement toute information en surance maladie, contenant les que l'on est pas. Kevin Mitnick
jouant quelqu'un qui veut aider. données complètes comme le pré- a mentionné dans plusieurs
• La question d'aide est exploitée nom, le nom, l’adresse, le télé- entretiens que les visites dans
dans la sociotechnicien inverse. phone, le NIF. Pour une person- les dépôts des déchets des
Un sociotechnicien peut met- ne habile, cela suffit pour voler entreprises ou même la cor-
tre en scène une situation (par l'identité d'un autre. ruption du personnel des entre-
exemple pas d'accès à Internet • Pour obtenir le numéro du cel- prises s'occupant de l'évacuation
dans une période chaude pour lulaire privé d'un employé en ne des déchets pour qu'ils lui
l'employé), en se faisant passer connaissant que son prénom fournissent les déchets d'une
avant pour l'administrateur et en et son nom, il suffit de se servir société concrète, était l'une des
lui donnant le numéro de la ligne d'une simple astuce. Le socio- meilleurs méthodes d'obtention
d'urgence en cas de problèmes. technicien peut téléphoner à la des informations indispensa-
Si la victime (à la suite d'une réception (centrale) de l'entre- bles.
mystification rusée) téléphone prise, en s'assurant au préalable • Les nouveaux employés sont trai-
elle-même au sociotechnicien, il qu'une personne donnée n'est tés en général avec indulgence.
est presque sûr qu'elle désactive pas présente au travail (par exem- Le modèle américain admet le
tous les mécanismes défensifs ple les vacances ou une absence mécanisme que la concurrence
possibles et sera ouvert à la ma- temporaire). Il se fait passer pour envoie un employé dans une au-
nipulation. l'administrateur, invente une his- tre entreprise pour y travailler
• Le mécanisme de demande toire (p.ex. un baratin technique pendant quelque temps (quel-
d'aide ou de volonté de l'offrir est incompréhensible) et demande ques mois). Il commet tant d'er-
l'un des plus utilisé par les socio- de laisser sur le bureau de l'em- reurs qu'il n'est possible qu’il se
techniciens. C'est pourquoi il faut ployé une annotation suivante : procure des informations. L'indul-
rester vigilant et faire attention à Envoie un signal au numéro XXX. gence et la compréhension – oui,
qui nous offrons notre aide et de Très urgent ! Administrateur. Si mais en même temps une double
qui proviennent les informations. l'employé retéléphone – le socio- vigilance.
Le fait d'offrir de l'aide démarre technicien a son numéro (il n’a • Un sociotechnicien peut télépho-
le mécanisme de la règle de même pas à dérocher). Si le nu- ner à l'entreprise et arranger une
réciprocité, ce qui peut rendre méro est caché, il suffit de de- situation quand l'employé doit
efficace l'attaque du sociotechni- mander d'écrire l'annotation En- s'éloigner du téléphone en comp-
cien. voie un SMS au numéro XXX, je tant que celui-ci ne lui bloque pas
• Dans les cas extrêmes, le so- ne peux pas accrocher. Dans les le microphone. Et dans plusieurs
ciotechnicien ne doit rien faire cas extrêmes, il ne faudra même cas, il ne se trompe pas. Une fois,
car les employés inconscients pas attendre car la réceptionniste j'ai profité des services de l'une
et non formés donnent seuls épouvantée et manipulée d'une des plus grandes entreprises
accès aux informations. Par façon appropriée donnera seule d'expédition. J'ai téléphoné pour
exemple, le protocole de fin du le numéro du cellulaire de l'em- vérifier l'état de mon envoi. La vé-
contrat avec un opérateur de la ployé. rification durait assez longtemps
téléphonie cellulaire – le proto- • Les déchets – les documents et pendant l'absence de mon
cole dont la copie est parvenue jetés à la poubelle dans une en- interlocuteur, j'ai pu entendre tou-
au client – contient le numéro treprise comprennent une quan- tes les conversations menées à
SFID de l'employé chargé de tité de données (les adresses du proximité – entre les employés
terminer l'opération de fin du courrier électronique, les identifi- eux-mêmes et les d'employés et
contrat. C'est un numéro con- cateurs, les téléphones internes, les clients. J'ai entendu beaucoup
fidentiel identifiant l'employé. les noms des responsables, etc.). de détails (adresses, paramètres,
Sous aucun prétexte, ces types Et ils sont détruits très rarement. identificateurs) concernant les
d'informations ne doivent être Un sociotechnicien ne se procu- autres clients et les envois. Une
affichées sur les documents rera pas directement des données telle situation est inadmissible.
disponibles au public imprimés confidentielles (mais ce n'est • Souvent, les administrateurs des
pour les clients. Dans un dis- pas si sûr que ça) car ces réseaux d'entreprise facilitent la
pensaire de Katowice, une négli- données sont traitées dans le tâche au sociotechnicien. Ils obli-
gence encore pire a eu lieu. Sur destructeur ou sont conservées gent (trop) souvent les employés
le bureau de la réception, au vue et pas jetées. Mais ces informa- à changer les mots de passe en
et au su de tout le monde, on a tions peu importantes provenant (trop) compliqués. L'esprit humain
laissé les cartes de nouveaux de ces déchets se prêtent par- mot de passe est limité et ils
• La vérification par tous les nicien qui téléphone peut tout sim- sociotechniciens et du social en-
moyens possibles si la personne plement connaître un seul code et gineering.
avec qui nous parlons est celle tente de nous manipuler ainsi.
pour qui elle se fait passer. Un • Ne pas céder aux émotions, à la Conclusion
sociotechnicien, par méthode pression de l'autorité et à la peur. La sociotechnicien est une manipu-
de tissage du toile peut acquérir • Ne pas ouvrir les pièces jointes lation du comportement des humains
plusieurs informations sur l'en- aux messages et les fichiers sur permettant d'en tirer des profits maté-
treprise et sur la victime, mais les disquettes et CDs provenant riels ou des données confidentielles.
certainement pas toutes. Une at- des sources inconnues. La sociotechnicien existe depuis le
titude très utile (pour l'entreprise) • Détruire régulièrement et pré- début de l'humanité, mais l'exploita-
et en même temps très embêtante cisément les déchets et autres tion de ses règles pour les attaques
(pou lui) consiste à ne pas violer documents imprimés issus de sur le entreprises et les systèmes
les règles de sécurité définies l'entreprise. Ne pas révéler des informatiques n'est présente que de-
seulement parce que quelqu'un données confidentielles sur les puis quelques dernières années.
nous le demande. Si nous avons documents disponibles au grand J'espère que j'ai réussi à vous
six codes à vérifier et nous choi- public. Bloquer les conversations présenter les arguments assez forts
sissons d'une façon aléatoire C, téléphoniques pour qu'une tierce pour convaincre au moins quelques
demandons de la personne qui personne ne puisse pas entendre personnes que le problème non
téléphone de donner le code C. ce qui se passe dans le bureau. seulement existe, mais est quasi un
Ne cédons pas à sa demande • Vérifier très minutieusement à danger réel, et avant tout – concerne
d'un autre code seulement parce qui nous offrons notre aide et qui pratiquement chaque entreprise, cha-
que quelqu'un est, par exemple, essaie de nous aider. que personne et chaque aspect de
devant son ordinateur. Cela peut • Formations régulières de tous la vie, aussi bien professionnelle que
être un mensonge et le sociotech- les employés sur les méthodes privée. l
P U B L I C I T É
Titre : 19 Deadly Sins of Software security: Programming flows and how to fix them
Auteur : Michael Howard, David Leblanc, John Viega
Éditeur : Mc Grow Hill
Langue : Anglais
Nombre de pages : 304 pages
ISBN : 0-07-226085-8
Prix : 32,90 €
Tout le monde, y compris un programmeur débutant, décide une amélioration (donc comment éviter ce type
sait ce que signifient les erreurs lors de la programmation. d'erreur) et un examen de conscience, donc une liste
Il suffit de lire une description de n'importe quelle faille de points sur lesquels il faut réfléchir pour éviter ce type
critique pour se rendre compte de ses conséquences d'erreur dans l'avenir.
sur la sécurité du système. La surcharge de la mémoire Cette manière de traiter l'analyse d'erreurs comme
tampon, de la pile, etc. sont des éléments fréquents et une confession peut, dans un premier temps, surprendre,
n'impressionnent plus personne. voire énerver – personne n'aime en effet admettre une
D'après les auteurs, les 19 péchés du titre de erreur. Après une réflexion, il est difficile de ne pas y voir
l'ouvrage, signifient les erreurs les plus fréquentes. un sens d'humour et une logique.
Selon Amit Yoran (National Cyber Security Division), ces Les auteurs ont réussi en plus à réaliser un ouvrage
erreurs constituent 99 % de défauts dans la programma- complet, dépourvu d'éléments inutiles – ils ont donc
tion. eux-mêmes réussi à éviter un péché souvent fréquent
Le livre, il est facile de le deviner, comprend 19 chez les auteurs d'ouvrages informatiques, à savoir, le
parties. Chacune d'entre elles est consacrée à l'un des péché de bavardage. Ils tiennent aussi leur promesse de
péchés que l'on peut commettre lors de la programma- proposer un texte qui ne vous prendra pas votre temps
tion. À titre d'exemple, un chapitre décrit donc un péché, inutilement.
présente un fragment concernant les péchés similaires Indépendamment donc de votre niveau, lisez
où vous pouvez trouver des similitudes entre les erreurs l'ouvrage, frappez-vous la poitrine et améliorez-vous en
diverses. Il y a aussi un fragment où le programmeur améliorant votre code.
La maison d'édition Helion essaie de choisir les tout décrire. De plus, les exemples de solutions et de
ouvrages les plus complets sur un sujet donné. Jusqu'à techniques, présentés dans le livre, ne sont que élé-
présent, au moins, en ce qui concerne les ouvrages liés mentaires ; ils ne servent qu'à illustrer les questions
à la sécurité, elle n'avait pas toujours de bons résultats. sélectionnées et de nombreux problèmes sont à peine
Les lecteurs s'attendent donc à recevoir un ouvrage mentionnés.
sur la sécurité pour les utilisateurs intermédiaires et Si le sujet vous intéresse, il ne vous reste qu'à cher-
avancés. cher éventuellement les descriptions des solutions dans
L'ouvrage Sécurité de réseaux ne s'écarte pas de ce un autre ouvrage.
niveau intermédiaire. Il discute largement la question du La première partie du livre (cela constitue son avan-
titre, permettant ainsi à l'utilisateur de réfléchir sur les tage) comprend les procédures et les principes élémen-
points oubliés, en ce qui concerne la sécurité et la pro- taires concernant la sécurité de réseaux. Il est vrai que le
tection de réseaux. Cet ouvrage décrit très bien les direc- savoir lié à la sécurité évolue rapidement mais les procé-
tives pour réaliser des réseaux et parle des questions dures changent assez rarement. La sécurité de réseaux
importantes aussi bien pour créer un nouveau réseau concerne aussi la protection d'informations, autrement
que pour mieux protéger le réseau existant. dit, non seulement des éléments techniques mais aussi
Cependant, nous vous prévenons toute de suite : des procédures, des normes et des principes. C'est le
la sécurité de réseaux est un sujet tellement vaste point souvent oublié par les administrateurs.
qu'un ouvrage de 660 pages ne peut pas forcément
Voici le livre qui a des chances de vous surprendre configurer des services concrets. Nous trouvons aussi
avant de le lire. Si vous ne faites pas attention, vous une recette pour les configurations de programmes,
pourrez acheter l'ouvrage précédent de cet auteur, datant comme Sendmail et Postfix. Entre temps, nous tombons
de 2003. Pourqoui ? Parce que la couverture et le titre, sur des fragments très faibles où l'auteur dit tout simple-
Linux Server Security, sont similaires à la publication la ment qu'un service en question existe et peut provoquer
plus récente. Pourtant, si vous achetez le bon livre, vous des problèmes, comme par exemple, la base MySQL. Il
serez également surpis. est donc difficile de nous prononcer clairement sur son
Vous avez donc acquis un ouvrage dont la structure niveau ou sur les utilisateurs qu'il concerne. Nous pou-
n'est pas unie et le niveau n'est pas toujours le même. vons affirmer toutefois que cet ouvrage sera décidément
D'après le titre, nous pouvons nous attendre à un utile aux administrateurs débutants grâce aux conseils
ouvrage destiné plutôt aux utilisateurs avancés qui atten- détaillés concernant la configuration FTP, du service
dent non seulement un ensemble de bonnes pratiques DNS et SMTP. L'exemple de configuration Iptables et le
dans la configuration de services fragiles mais aussi les chapitre sur les IDS les plus populaires, comme Snort ou
conseils pour ne rien oublier et pour améliorer les solu- Tripware, seront donc très utiles. Les utilisateurs avan-
tions. Et l'ouvrage nous propose à la place les fragments cés trouveront aussi des points intéressants, à condition
des analyses théoriques (par exemple concept de fonc- d'être patients et de lire rapidement les descriptions de
tionnement de LDAP) et les descriptions détaillés pour points évidents.
Les scripts shell dont parle le titre concernent la pro- aux autres utilisateurs qui souhaitent réaliser facilement
grammation sur la console texte, l'absence apparente de leurs propres solutions, sans forcément opter pour les
facilités et une technique très souple pour résoudre les langages de programmation typiques.
problèmes classiques et atypiques. L'ouvrage est très clair et vous avez la possibilité de
Dans la plupart de cas, les scripts complexes consti- passer au fur et à mesure aux questions de plus en plus
tuent des règles de démarrage, de fermeture et de con- difficiles, liées à la programmation de scripts. Les chapi-
trôle de déroulement. Pour pouvoir travailler avec eux, il tres expliquent aussi comment bien manipuler le shell et
faut savoir les manipuler. présentent ses commandes élémentaires.
Les commandes de shell offrent de grandes possi- Nous pouvons considérer cette publication comme
bilités, en ce qui concerne la réalisaton de tâches spé- un ensemble de cours où les auteurs analysent les outils,
cifiques, pour lesquelles aucun outil prêt n'existe pour leurs défauts, le fonctionnement et enseignent comment
l'instant. L'ouvrage présenté sera donc utile non seule- réaliser et modifier les scripts prêts. Ce deuxième point
ment aux administrateurs de systèmes Unix mais aussi suit le principe : « ne pas enfoncer une porte ouverte » ;
quelqu'un a déjà fait quelque chose de semblable, il
Les critiques sont proposées par Krystyna Wal et Łukasz suffit donc peut-être de modifier une partie pour obtenir
Długosz de l'équipe InfoProf (http://www.infoprof.pl). La Librai- une nouvelle solution, simple et souple et garder les stan-
rie Informatique Cracovie (http://www.informatyczna.pl) a aima- dards. Le livre peut s'avérer un ouvrage précieux pour les
blement prêté les livres aux critiques et les éditeurs Helion et programmeurs qui écrivent en langages compilés et pour
WNT les ont aimablement prêtés à notre rédaction. les administrateurs qui souhaitent apprendre davantage
sur la programmation de scripts.
hakin9 Nº 4/2006 79
Où sont passés
les anti-virus ?
Konstantin Klyagin
Éditorial
S
'il existait l'équivalent d'un Greenpeace pour défen- Explorer et Windows Media Player. Microsoft a été en
dre la sécurité informatique, et prendre soin des effet accusé, dans ces deux cas, de proposer ces appli-
espèces rares dans le monde des technologies cations avec son système d'exploitation. Déjà échaudé, il
informatiques, il ne laisserait probablement pas s'éteindre n'est guère difficile de comprendre que Microsoft ne sou-
une certaine créature parmi les plus fascinantes, qui fêtera haite pas prendre le même risque avec un anti-virus.
cet hiver son vingtième anniversaire d'existence. Que penser des utilisateurs qui ont du fait payé pour
Je veux bien sûr parler du premier virus sur PC, connu les produits Microsoft. Il s'agit pour la plupart d'entrepri-
sous le nom de Brain. Bien qu'il ne s'agisse pas du tout ses ou de clients de fabricants de matériel informatique
premier virus informatique (le premier étant apparu plus d'origine, ayant acheté Windows avec leur ordinateur. Je
tôt, en 1982 sur la plateforme Apple II), le virus Brain est suppose qu'ils n'ont aucun problème à connecter leur
aussi important dans le domaine des ordinateurs que ne ordinateur à Internet. En outre, ces utilisateurs sont pro-
l'est Brian Adams pour sa maison d'enregistrement. Avec bablement connectés en permanence.
l'invention du PC, les ordinateurs ont commencé à occuper En gros, cette situation suffit à ajouter un bouton
une place importante dans la vie quotidienne de leurs uti- télécharger l'anti-virus dans le panneau de configura-
lisateurs, et pas seulement aux yeux de ces scientifiques tion pour intégrer virtuellement le logiciel dans le kit de
rébarbatifs avec leurs lunettes toutes fines. En ce sens, les distribution. Un seul clic, et voilà un anti-virus installé
virus informatiques sont devenus un phénomène majeur. et prêt à l'emploi. Symantec et McAfee ont déjà déclaré
Un autre logiciel destiné à la plateforme Intel, créée qu'ils accepteraient Microsoft en tant que nouvel acteur
en 1985, soit un an avant le virus Brain, a survécu jusqu'à sur le marché des anti-virus et ne feraient appel à aucun
nos jours. Environnement graphique censé initialement organisme de régulation. Sans souhaiter la présence de
fonctionner de manière autonome, ce logiciel n'inscrivait Microsoft sur ce marché, force est de constater que cette
au début aucun code dans le secteur d'amorçage, et tour- fois tout est légal, le logiciel n'étant pas inclus, aucune loi
nait à la place sous le système d'exploitation MS-DOS. anti-trust ne peut être appliquée.
Aujourd'hui, après 21 ans de développement continuel et Si j'étais architecte de logiciels chez Microsoft, je con-
plusieurs versions successives, Windows est devenu lui- cevrais un composant anti-virus sous Vista de la façon
même un système d'exploitation, dont la toute nouvelle suivante : afin d'éviter un téléchargement trop long, je place-
version, Vista, est prévue pour cette année. Microsoft rais tous les codes des anti-virus dans les bibliothèques du
n'a pas l'intention de proposer de logiciel anti-virus avec système d'exploitation. Lorsque vous appuyez réellement
cette version, les nouvelles fonctionnalités de la marque sur le bouton, vous téléchargerez un programme EXE de 5
majeure Vista étant déjà sécurisées. kilooctets, chargé d'appeler tout simplement la fonction de
Permettez moi d'émettre des doutes quant à la raison l'interface de développement StartAntivirus(). Il ne peut,
avancée pour ne pas inclure d'anti-virus par défaut dans le avoir aucun problème avec l'interface de développement,
package de distribution. S'ils le pouvaient, les développeurs celle-ci étant de toute façon fermée.
de Microsoft intègreraient dans leur système d'exploitation Et que peuvent y changer Symantec, McAfee ou
un aspirateur dans l'unique but de vous convertir en utilisa- d'autres petits distributeurs d'anti-virus ? De nombreuses
teur dépendant de la technologie Microsoft. Et ce ne serait options se présentent à eux : prospecter d'autres seg-
pas une si mauvaise idée. Plus j'y pense, et plus l'idée me ments du marché semble judicieux. Finalement, l'option
semble alléchante. Non, vraiment, pourquoi aller chercher des aspirateurs n'est pas la pire. l
un aspirateur auprès d'autres fournisseurs, alors que mon
système d'exploitation préféré en possède déjà un ? Après
tout, une version originale ne vous coûtera pas moins de 60
À propos de l'auteur
Konstantin Klyagin, également connu sous le surnom de Konst,
dollars, sans compter le prix de l'ordinateur.
est ingénieur en solutions logicielles. Depuis sept ans, il travaille
Mais revenons à notre question initiale : où sont dans le domaine du développement de logiciels. Originaire de
passés les anti-virus ? La réponse est simple lorsqu'on Kharkov, en Ukraine, il habite à l'heure actuelle à Berlin. Pour
se souvient des batailles juridique menées par l'entre- plus de renseignements contactez : http://thekonst.net.
prise de Bill Gates au sujet des applications Internet
Publicité
hakin9 5/2006
Dans le numéro suivant, vous
trouverez, entre autres :
Dans le prochain
numéro
Puissante cryptographie
Lorsqu'on évoque la cryptographie, l'exemple d'un message électronique
aussi sécurisé que peut l'être une carte postale est souvent cité. La cryp-
Pratique
tographie permet de sécuriser et d'élever le niveau de confidentialité des
communications échangées via Internet en cryptant et/ou en signant les
messages. Selon Lars Packschies, la cryptographie garantie aux internautes
l'équivalent d'une vie privée à l'ère de l'information totale, d'où son impor-
tance accrue dans notre civilisation moderne.