XMCO ActuSecu 31 R2D2 Pharmacies Fictives

actu
scu 31
lACTUSCU est un magazine numrique rdig et dit par les consultants du cabinet de conseil XMCO AVRIL 2012
Cybercriminalit
et pharmacies fictives
Blackhat, Gsdays et JSSI
R2D2
Prsentation et utilisation du Cheval de Troie allemand
Cybercriminalit
La vente de mdicaments sur Internet, un eldorado pour les cybercriminels ?
Confrences
GSDays, Blackhat Amsterdam et JSSI
Roger Schultz
Actualit du moment
Analyses des vulnrabilits JAVA, MS12-020, /mem/<pid>/proc
Et toujours les blogs, les logiciels et nos Twitter favoris !

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.

we deliver security expertise
www.xmco.fr
2
Tout a commenc au dbut de lanne 2006,
dito AVRIL 2012
000 fois, avec certains qui lont t plus de 15 000

lorsqu lissue dun rendez-vous avec un client, il fois.
a t question de produire une synthse mensuelle - Plus de 3 000 personnes se sont abonnes sur
relative lactivit de la scurit informatique, en notre site pour tre informes, ds sa mise en
complment de notre activit quotidienne de CERT. ligne, de la publication dun nouveau numro.
- Chaque numro a fait lobjet de brainstormings
Dans une salle de runion, nous avons encadr toutes intenses pour la slection des sujets retenus.
les couvertures, qui sont alignes, accroches sur un
mur blanc. Aujourdhui, je grignotais rapidement un Soit, pendant les 6 ans qui viennent de scouler :
sandwich en observant lvolution de lactuscu, - Prs de 1 000 jours.hommes consacrs lactu-
et notamment des couvertures au fil des numros. scu
- Plus de 2 000 relectures darticles
[ LActuSecu : 6 ans, 31 numros ]
- Prs de 250 000 tlchargements,
tous numros confondus
- Prs de 100 000 mails envoys pour
Nous recevons assez souvent des compli- prvenir de la publication dun numro
ments pour cette revue, et nous en sommes
trs fiers. Jen profite, ce titre, pour remercier - 0 publicit
lensemble de mes collaborateurs qui y parti- - 0 pochoir utilis
cipent activement, et notamment Adrien Guinault - 0 euro de revenu
dont le rle est fondamental pour cette revue. - 100 % dindpendance
Une brve comptabilit donne les chiffres suivants : Je pense quil y a de quoi tre fiers de nous et conti-
- Chaque numro requiert 30 jours.homme nuer essayer de faire encore mieux.
ScScoobay
- Chaque article est relu 5 fois, par au moins 3 per-
sonnes diffrentes Marc Behar
- Les articles reprsentent la synthse de centaines Directeur
de cas rencontrs quotidiennement dans le cadre de
notre activit de conseil et de CERT
- Chaque numro a t tlcharg entre 5 000 et 10
XMCO PARTENAIRE DE :
3
Vous tes concern
par la scurit informatique
de votre entreprise ?
XMCO est un cabinet de conseil dont le mtier est
laudit en scurit informatique.
Fond en 2002 par des experts en scurit et dirig par ses
fondateurs, les consultants de chez XMCO ninterviennent que
sous forme de projets forfaitaires avec engagement de rsultats.
Les tests dintrusion, les audits de scurit, la veille en
vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales

dans le cadre de missions daccompagnement de RSSI,
dlaboration de schma directeur ou encore de sminaires de
sensibilisation auprs de plusieurs grands comptes franais.
Pour contacter le cabinet XMCO et dcouvrir nos prestations :

http://www.xmco.fr
Nos services
Test dintrusion
Mise lpreuve de vos rseaux, systmes et applications web par nos
experts en intrusion. Utilisation des mthodologies OWASP, OSSTMM, CCWAPSS.
Audit de Scurit
Audit technique et organisationnel de la scurit de votre Systme
dInformation. Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley.
Certification PCI DSS

Conseil et audit des environnements ncessitant la certification PCI DSS
Level 1 et 2.
Cert-XMCO : Veille en vulnrabilits et

Cyber-surveillance
Suivi personnalis des vulnrabilits, des menaces et des correctifs affectant
votre Systme dInformation.
Cert-XMCO : Rponse intrusion

Dtection et diagnostic dintrusion, collecte des preuves, tude des logs,
autopsie de malware.
4
sommaire
p. 6 p. 14 p. 6
R2D2
Analyse du cheval de Troie utilis
par le gouvernement allemand
p. 14
Medicaments et Internet, les

liaisons dangereuses
Etude de la cybercriminalit dans
le milieu pharmaceutique
p. 38
p. 23 p. 23
Confrences
GSDays, Blackhat et JSSI
p. 38
Lactualits du moment
MS12-020, JAVA et /proc/<pid>/
mem
p. 50
Blogs, logiciels et exten-

sions
OSSEC, SWF Intruder, Twitters.
p. 50
Conformment aux lois, la reproduction ou la contrefaon des mo-

Contact Rdaction : actu.secu@xmco.fr - Rdacteur en chef : Adrien GUINAULT - Direction artistique : dles, dessins et textes publis dans la publicit et la rdaction de
Romain MAHIEU - Ralisation : Agence plusdebleu - Contributeurs : Stphane AVI, Frd- lActuScu 2012 donnera lieu des poursuites. Tous droits rservs
- Socit XMCO. la rdaction dcline toute responsabilit pour tous les
ric CHARPENTIER, Alexis COUPE, Charles DAGOUAT, Marie GARBEZ, Yannick HAMON, Florent documents, quel quen soit le support, qui lui serait spontanment
confis. Ces derniers doivent tre joints une enveloppe de rexpdi-
HOCHWELKER, Stphane JIN, Franois LEGUE, Julien MEYER, Antonin AUROY. tion prpaye. Ralisation, Janvier 2012.
5
> R2D2, analyse du ncheval de Troie gouvernemental
Le nom R2D2 est familier de tous. Ce terme a fait le buzz de lactualit en 2011. En effet, le
gouvernement allemand utiliserait un cheval de Troie afin despionner certains compatriotes.
Baptis R2D2 ou Ozapftis, ce dernier offrirait une porte drobe pour rcolter des preuves
dans certaines enqutes. Analyse de cet outil gouvernemental.
par Julien MEYER
R2D2, lespion allemand
Gloria Garcia
> R2D2, ja wohl! Munich. En restaurant les fichiers supprims du disque dur,
le CCC a rvl lexistence du cheval de Troie baptis par la
Il y a bien longtemps, dans une galaxie lointaine, trs loin- suite R2D2 , 0zapftis ou encore Bundestrojaner .
taine...
Tel pourrait tre le commencement de cet article mais en Pourquoi lavoir appel R2D2 ? A t-il t cr par des fans
ralit non car lhistoire se passe de nos jours, et dans un de Star Wars ?
pays pas si lointain que cela ! R2D2 vient en fait de la chaine de caractres prsente
dans le cheval de Troie C3PO-r2d2-POE . Le contexte
Dbut octobre 2011, lavocat allemand Patrick Schladt, a dutilisation de cette chaine de caractres sera dvelop-
envoy la copie dun disque dur au clbre Chaos Com- pe ultrieurement. A noter quil est effectivement pos-
puter Club (CCC). Ce disque dur, appartenant un des sible que les crateurs du virus soient des fans de Star
clients de lavocat, a t saisi comme preuve dans une Wars ;).
affaire en relation avec la loi pharmaceutique allemande.
Lors de ltude de cette preuve, lquipe juridique a d- Dans son analyse, le CCC a mis en avant le fait que ce
couvert que des fichiers avaient t effacs, et quun virus cheval de Troie serait utilis par les services fdraux
avait t install. allemands. Le BKA (Bundeskriminalamt), lagence fd-
Celui-ci aurait, apparemment, t install lors dun rale denqute et les LKA (Landeskriminalamt), les seize
contrle du client de lavocat la douane de laroport de bureaux denqutes rgionaux (un par land), seraient
6
directement impliqus dans cette affaire. Troie depuis 2009, date qui concide avec le contrat ci-des-
Le BKA a immdiatement rpondu la rvlation faite sus (29-01-2009).
par le CCC par lintermdiaire de Steffen Seibert, ministre
fdral de lintrieur. Celui-ci avait alors dmenti toute Lutilisation de logiciel espion est autorise par la loi alle-
implication par un message sur son compte Twitter : mande depuis 2008. Un juge doit cependant en tre pra-
lablement inform et ce type de procd ne doit concerner
que les infractions les plus graves. Celui-ci est rgi par des
rgles strictes, comme le fait, par exemple, que le logiciel
espion ne doit altrer aucune fonctionnalit du systme.
http://www.dw.de/dw/article/0,,15449054,00.html
> Un cheval de Troie classique ?

Les LKA nont, quant eux et dans un premier temps, fait
aucune dclaration. Client vs centre de commande et de contrle
Dans un document, mis disposition sur le site wiki- Lanalyse du cheval de Troie sappuie sur les fichiers et
leaks en 2008, par le parti politique PiratenPartei, on les informations publies par le CCC qui sont disponibles
apprend pourtant que les LKA ont prvu de dvelopper publiquement sur le site internet :
un programme permettant de capturer la voix et le texte
chang au travers du logiciel de VoIP Skype . http://www.ccc.de/system/uploads/77/original/0zapftis-
release.tgz
http://wiki.piratenpartei.de/images/5/54/Bayern-skype-
tkue.pdf
Lutilisation de logiciel espion est autorise
par la loi allemande depuis 2008. Un juge
doit cependant en tre pralablement infor-
m et ce type de procd ne doit concerner
Cot de la surveillance des tlcommunications lors que les infractions les plus graves
de lutilisation de la voie sur IP et du logiciel Skype
Un passage du fichier principal sur le site VirusTotal
En novembre, un mois aprs la dcouverte de R2D2, des nous indique quil sagit bien du cheval de Troie R2D2 et
informations sur un contrat de ralisation ont gale- que 39 antivirus sur 42 reconnaissent, prsent, la signa-
ment t rvles. Un contrat pour des prestations dun ture de ce virus.
montant record de 2 075 256,07 aurait t sign entre
la socit DigiTask, et le bureau des douanes allemand,
sous la juridiction fdrale.
[http://ted.europa.eu/udl?uri=TED:NOTICE :26158-
2009:TEXT:EN:HTML&tabId=2
Le cheval de Troie, compos dune libraire dynamique

(.dll) et dun pilote systme (.sys), doit tre install sur la
Livraison de matriel et de logiciels pour la surveil- machine client surveiller.
lance des tlcommunications
Une fois install, celui-ci va alors tenter de communiquer
Sous cette pression, plusieurs rgions (Baden-Wrttem- avec le serveur faisant office de centre de commande et
berg, Brandenburg, Schleswig-Holstein et Lower Saxony) de contrle, le C&C.
ont alors rvl quelles utilisaient ce type de cheval de
7
Installation Excution
Aucune information sur linstallation du cheval de Troie Pour que le malware soit en mesure de se lancer, la DLL
na t publie. Il semblerait que celui-ci soit install soit va sattacher tous les programmes. Pour cela, une valeur
via un accs physique la machine, soit en utilisant un dans la base de registre doit donc tre ajoute au lan-
autre logiciel malveillant. cement de celui-ci et tre vrifie chaque appel de la
librairie.
Afin danalyser le cheval de Troie, nous avons procd,
dans un premier temps, une analyse statique, reposant
sur les fichiers mis disposition par le CCC. Une analyse
dynamique, ciblant les communications client serveur a
ensuite permis de confirmer les rsultats obtenus au cours
de la premire tape.
La librairie nexporte aucune fonction et est injecte au
sein de lensemble des processus sur le systme, mme
si elle naffecte le comportement que de certains dentre Il sagit de la clef de registre HKEY_LOCAL_MACHINE\
eux. SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Win-
dows\AppInit_DLLS de la base de registre .
Afin de simuler le comportement de cette librairie parta-
ge, la DLL a t charge laide dun loader et certaines
des vrifications faites par celle-ci ont t contournes en
modifiant le contexte dexcution la vole.
Le cheval de Troie a apparemment t cod en langage

objet, trs probablement en C++.
En ajoutant une entre au sein de cette clef de registre, la
R2D2 vrifie la prsence de plusieurs fichiers. Ces derniers DLL malveillante sera donc automatiquement charge au
sont stocks dans le rpertoire systme, dont le chemin sein de tous les processus Windows reposant sur User32.
daccs est rcupr grce lAPI Windows GetSystem- dll , lors de leur dmarrage.
DirectoryA .
Les deux fichiers correspondent la librairie dynamique Le rle de R2D2 est, avant tout, de communiquer avec
mfc42ul.dll et le module kernel winsys32.sys . son centre de contrle. Pour cela, ce dernier doit satta-
cher un processus qui est mme daccder Internet.
Celui-ci va donc comparer le nom de lexcutable avec une
liste de programmes qui est habituellement autorise par
les firewalls effectuer des connexions rseau, tout en
sachant que les firewalls sont eux mme des programmes
surveiller (VoIP, messagerie instantane, etc).
La liste des logiciels autoriss accder Internet surveil-

ls est la suivante :
+ Skype.exe ;
+ SkypePM.exe ;
+ explorer.exe ;
+ msnmsgr.exe ;
+ yahoomessenger.exe ;
+ x-lite.exe ;
+ sipgatexlite.exe.
Pour rcuprer le nom de lexcutable correspondant au

La librairie dynamique est la partie principale du cheval
processus courant, lAPI Windows GetModuleFileNameA
de Troie. Le pilote en mode noyau nest pas utilis dans la
est appele. La valeur retourne par cette fonction sera
version du virus tudi. Nanmoins, celui-ci pourrait tre
ensuite compare avec chaque nom de programme de la
utilis comme keylogger.
liste.
Si la DLL est bien attache un excutable list, un nou-
veau thread est alors lanc.
8
> Communication avec le C&C Chiffrement des communications
Adresse du C&C La principale fonction de ce cheval de Troie tant de rcu-

prer des informations qui pourront servir de preuve dans
Afin de communiquer avec le serveur de commande et une ventuelle enqute, il est important de se poser la
de contrle, R2D2 a besoin de stocker son adresse. Les question du chiffrement. Etant donn que des donnes
dveloppeurs ont choisi de stocker directement ladresse transitent entre le client et le centre de contrle, il est
IP, sans passer par un nom de domaine. crucial quelles soient chiffres et quelles ne puissent pas
tre altres par quiconque.
La table dimport de la DLL (Import Table) contient entre
autres des rfrences des fonctions de la librairie
WS2_32.dll, comme la fonction getHostByName. > INFO
Les policiers amricains auraient utilis un cheval de
Troie gouvernemental afin de rcuprer les conversa-
tions des employs de MegaUpload
Depuis laffaire R2D2, le gouvernement amricain

sest lanc dans une guerre contre lempire MegaU-
pload. Certaines des preuves utilises dans cette affaire
pourraient avoir t obtenues par les policiers fd-
raux amricains laide dun cheval de Troie similaire.
En effet, les agents en charge de lenqute auraient

obtenu des copies de fichiers de log de conversations
Skype ou demails changs par Kim DotCom et ses em-
ploys. Certains de ces enregistrements remonteraient
plus de 5 ans, alors mme que Skype ne conserve
Afin de retrouver ladresse IP, les rfrences cette fonc- quun historique de 30 jours. Skype aurait par ailleurs
tion ont t suivies. confirm ne pas avoir reu de mandat de la part de la
justice amricaine lobligeant fournir ces informa-
Ltude rapide du protocole tions. Il est donc fort probable que les policiers aient
de communication install un malware sur le poste de leurs suspects pour
entre le serveur de contrle et R2D2, rcuprer ces informations directement sur leurs PC.
a mis en vidence la prsence dune chane
de caractres rcurrente. Les donnes tant surement chiffres lors de leur envoi,
Lors de chaque envoi, la chane la fonction send importe de la DLL WS2_32.dll
C3PO-r2d2-POE est prsente en tant que devrait contenir les informations dj chiffres.
magic number.
En tudiant la construction des arguments, on dcouvre
ladresse IP utilise, que nous avons modifie afin de nous
connecter notre propre serveur de Commande et de
Contrle.
La valeur 100007fh reprsente ladresse IP 127.0.0.1 en

hexadcimal.
En analysant les rfrences cette fonction, on dcouvre

quelle est dfinie dans un tableau de fonction.
9
Les SCAMS
La fonction se trouve loffset + 4 du tableau.
En se rendant ladresse de ce tableau, on retrouve des

Tableau de fonction contenant la fonction denvoi valeurs familires. Il sagit des tableaux de valeurs qui
sont utiliss lors du chiffrement AES.
En tudiant toutes les rfrences ce tableau de fonc-
tion, une nouvelle routine est dcouverte. Sa rfrence se AES tant un algorithme de chiffrement par bloc, il est
trouve quelques octets plus loin, dans le mme tableau, possible que la mthode utilise pour chiffrer les donnes
loffset +12. soit le mode ECB (Electronic Code Book - Dictionnaire de
code), comme souvent au sein des virus.
De plus, AES tant un algorithme de chiffrement sym-
trique, la cl utilise pour le chiffrement, et donc pour le
dchiffrement, est stocke quelque part au sein de la DLL.
Appel de la fonction 0zapftis_send par son adresse dans

le tableau.
En recherchant toutes les rfrences aux tableaux de va-
Comme prcdemment, on peut voir quel moment les
leurs utiliss lors du chiffrement AES, une nouvelle fonc-
donnes passes en paramtre de la fonction sont cres,
tion a t dcouverte. La fonction, appele AES_set_en-
ou modifies. Au bout de quelques fonctions, on observe
crypt_key , est utilise dans lalgorithme de chiffrement.
une srie dinstructions contenant beaucoup dinstructions
La cl est certainement passe en paramtre cette fonc-
xor . Or ces instructions sont souvent utilises afin de
tion.
chiffrer des donnes. Il est donc intressant de sy attar-
der.
On observe galement que plusieurs appels des l-

ments dun tableau statique sont rcurrents.
10
Aprs quelques recherches, nous avons dcouvert lem- Le protocole
placement de la cl.
La connexion TCP stablit, lorigine, sur le port 443. Une
vrification de la prsence dun proxy est effectue grce
la cl de registre Software\Microsoft\Windows\Cur-
rentVersion\Internet Settings\ProxyEnable .
Le suivi de la fonction send , nous permet daffirmer

que lenvoi de donnes est chiffr. Mais quen est-il des
donnes reues ?
En regardant les appels la fonction recv de la librairie

WS2_32.dl tout en cherchant des rfrences aux rou-
tines [FH2] de chiffrement trouves prcdemment, on
se rend compte que les donnes rcupres ne passent
jamais par une fonction de dchiffrement. Pourtant, une
routine de dchiffrement qui nest jamais appele existe
bel et bien.
Lanalyse du chiffrement nous a appris que les commu-

nications ntaient chiffres que dans un sens, celui de Lors de ltude rapide du protocole de communication
lenvoi de donnes par le client. La cl de chiffrement a entre le serveur de contrle et R2D2, une suite de carac-
galement t retrouve. Cette dernire, en dur dans le tre rcurrente a t trouve. Lors de chaque envoi, la
code source, ne sera jamais change entre 2 infections. suite de caractre C3PO-r2d2-POE est prsente en tant
Cette faiblesse permet, potentiellement, de dchiffrer les que magic number.
communications de toutes les versions de R2D2 utilisant
la mme cl de chiffrement.
AHT
La chaine une fois dchiffre :
Voici la suite de 3 paquets envoys lors de la premire

connexion :
Une fois quelle a t initie, R2D2 envoie priodique-

ment un paquet idle . Le centre C&C peut maintenant
envoyer directement des commandes au cheval de Troie
au travers de la connexion tablie.
11
Les SCAMS
> Fonctionnalits
Le C&C peut envoyer un total de 13 commandes au cheval
de Troie. Plusieurs dentre elles ont t dcouvertes :
+Liste des logiciels et des patchs installs ;

+Capture dune vido de lcran ;
+Capture dcran du navigateur et de Skype ;
+Tlchargement dun excutable.
Les commandes sont envoyes sous une forme apparem-
ment trs simple :
2 bits reprsentent la commande (\x0D pour la capture
dcran). Ceux-ci sont ensuite suivis des arguments, selon
la fonctionnalit.
Capture audio
Tlchargement et excution de fichiers
Le cheval de Troie a galement la capacit de capturer
La fonctionnalit de tlchargement et dexcution dun certains flux audio, grce la librairie Winmm.dll quil
programme est intressante. Examinons-la de plus prs : charge dynamiquement.
Le C&C peut envoyer une commande permettant duploa-

der un excutable directement sur la machine infecte.
Un fichier temporaire est alors cr dans le dossier rcup-
r grce lAPI Windows GetTempPathA et le contenu
de lexcutable y est plac.
Le fichier va ensuite tre excut grce la fonction

ShellExecuteExA de la DLL shell32.dll . Une structure
de type _SHELLEXECUTEINFO a t prcdemment cre et
La fonction waveInOpen va, par exemple, ouvrir un
passe en paramtre la fonction.
flux de type Wave pour son enregistrement.
12
La dcouverte de R2D2 pose donc la question suivante
pour lavenir :
Dans quelle mesure un gouvernement peut-il installer un
cheval de Troie sur une machine, si celui-ci nest pas en
mesure de garantir la scurit de lutilisateur incrimin, et
lintgrit des donnes utilises comme preuve ?
Rfrences
+ Rfrences CERT-XMCO
CXA-2012-0165, CXA-2011-1917, CXA-2011-1839, CXA-2011-
1793, CXA-2011-1726, CXA-2011-1723, CXA-2011-1717
> Remarques
Lanalyse mene par le CCC ainsi que par nos soins a per-
+ Site du CCC
http://www.ccc.de/en/updates/2011/staatstrojaner
mis de remonter plusieurs problmatiques dans la concep- http://www.ccc.de/system/uploads/76/original/staatstro-
tion mme du cheval de Troie R2D2. janer-report23.pdf
Comme cela a t vu prcdemment, le chiffrement nest

pas sr. La cl tant stocke directement dans le code
+ Billet de Sophos
http://nakedsecurity.sophos.com/2011/10/10/german-go-
source du cheval de Troie, elle peut tre rcupre. Elle vernment-r2d2-trojan-faq/
permet alors de dchiffrer les donnes envoyes par le
cheval de Troie au centre de commande et de contrle. En
faisant une attaque de type Man-In-The-Middle , il est
+ Autres
http://www.dw.de/dw/article/0,,15449054,00.html
possible denvoyer de fausses informations au serveur, en http://wiki.piratenpartei.de/images/5/54/Bayern-skype-
les chiffrant avec la bonne cl. De la mme faon, il est tkue.pdf
aussi possible de voir les preuves qui transitent sur le http://ted.europa.eu/udl?uri=TED:NOTICE:26158-
rseau. 2009:TEXT:EN:HTML&tabId=2
Un utilisateur pourrait alors tre faussement accus.
Par ailleurs, les communications entre le centre de com-

mande et le cheval de Troie ntant pas chiffres, il est
possible, toujours en faisant une attaque de type Man-
In-The-Middle , denvoyer directement des commandes
celui-ci. On peut alors, en utilisant la fonctionnalit
dupload et dexcution de fichiers, compromettre le sys-
tme hbergeant le cheval de Troie.
Enfin, si une vulnrabilit tait dcouverte au sein du

pilote en mode noyau du cheval de Troie, un attaquant
pourrait alors lexploiter pour lever ses privilges.
> Conclusion
Ce cheval de Troie, cr pour tre utilis dans le cadre
doprations judiciaires sensibles, aurait d tre irrpro-
chable tous les niveaux : aussi bien au niveau de son in-
frastructure que par le chiffrement des donnes envoyes.
Utilis pour rcolter des preuves, aucune entit externe ne
devrait pouvoir interagir avec lui. Nanmoins, nous avons
vu dans cet article que plusieurs vulnrabilits existent,
et permettent denvoyer de fausses preuves, mais aussi
de prendre le contrle complet du systme o le cheval
de Troie a t install. Limplmentation dun chiffrement
asymtrique aurait pourtant simplement rsolu cette pro-
blmatique...
13
> Spam, Viagra et pharmacies fictives...
La vente de mdicaments sur Internet pourrait devenir une activit parfaitement lgale dans les prochaines
annes. Actuellement, les faux mdicaments et les pharmacies fictives pullulent sur la Toile. Aids par des spam-
meurs, ces cybercriminels dveloppent une activit florissante et difficilement rprhensible...
Analyse de ce flau grandissant...
par Marie Garbez
Mdicaments et Internet, les liaisons

dangereuses
Taiyo Fujii
> Prambule
Les saisies aux frontires explosent chaque anne mais
Acheter ses mdicaments sur Internet, le futur de la phar- quelle proportion de ces mdicaments empoisonns arrive
macie ? Si lide peut paratre surprenante, voire dange- destination ? Seuls 3% des marchandises qui entrent sur
reuse, les citoyens franais devraient nanmoins bientt le territoire de lUnion pouvant tre contrles, il est trs
avoir cette possibilit. difficile dtablir avec certitude des statistiques.
En 2003, un arrt de la Cour europenne de justice sest Sur 41 568 sites de pharmacies actifs sur la
en effet montr favorable la vente de mdicaments Toile, les internautes ne peuvent se fier qu
en ligne au sein de lUnion Europenne. Si vingt Etats 0,6% dentre eux. Le reste, soit 40 201, sont
membres ont dj suivi la position adopte par la Cour, la
des pharmacies dites sauvages : ne dispo-
France ne semble pas encore vouloir franchir ce pas.
TschiAe
LAgence Franaise de Scurit Sanitaire des Produits de sant daucun agrment, elles dissimulent leur
Sant (Afssaps) tudie le projet mais sa position reste localisation relle et la qualit vritable des
pour le moment sans quivoque : Lachat de mdica- produits quelles dispensent.
ments sur Internet expose de nombreux risques pour
la sant et peut favoriser le mauvais usage des mdica- Ces commandes en ligne ont dj t responsables du d-
ments. En consquence, lAfssaps dconseille vivement ce cs dinternautes mais face aux 2 000% de profits (1) que
mode dachat car seul le circuit pharmaceutique offre les peut gnrer cette activit criminelle, les contrefacteurs
garanties ncessaires de scurit et de fiabilit, notam- nont aucun scrupule. Les consquences dsastreuses de
ment parce quil est rgulirement contrl par les auto- leurs agissements dans certains pays dont les systmes
rits sanitaires. de contrles sont fragiles est tout simplement inquali-
fiable : chaque anne, 700 000 personnes dcdent dans
Pourtant, une harmonisation europenne semble invi- le monde suite lutilisation de mdicaments contrefaits
table, le droit communautaire ayant rattach symbolique- visant lutter contre le paludisme et la tuberculose (2).
ment la vente de mdicament la Direction du commerce
au lieu de la Direction de la sant. Avec la libralisation prochaine de la vente de mdica-
Le mdicament qui devient une marchandise comme les ments sur Internet, nombre de criminels vont inonder
autres ? Lenjeu est videmment politique face aux dfi- dautant plus le march europen de leurs spams quo-
cits abyssaux de nos systmes de sant. tidiens.
Quelles en seront nanmoins les consquences sur la s-
curit sanitaire des populations ?
Les experts nignorent pas que les mdicaments contre-

faits arrivent majoritairement en Europe par le biais
dachats raliss sur Internet. Les risques pour la sant
sont dramatiques, 50% des mdicaments vendus sur la
Toile tant des faux, ce pourcentage atteignant 90% pour
ceux ncessitant normalement la prsentation dune or-
donnance.
14
Mdicaments et Internet,
les liaisons dangereuses
Plusieurs de ces pourriels rencontreront probablement > Le rgne des pharmacies fictives
un cho favorable auprs dune partie de la population a
priori non familire de tels achats et ce, pour trois raisons sur le web
principales : la vente en ligne devenant lgale, certains
spams pourront influencer le consommateur et tromper Sur 41 568 sites de pharmacies actifs sur la Toile, les inter-
sa vigilance. Franchir le pas de lachat virtuel pourra en nautes ne peuvent se fier qu 0,6% dentre eux. Le reste,
outre tre favoris par deux autres facteurs : un recours soit 40 201, sont des pharmacies dites sauvages : ne
croissant lautomdication et dautre part la recherche disposant daucun agrment, elles dissimulent leur loca-
dconomie, les prix au rabais pratiqus sur Internet pou- lisation relle et la qualit vritable des produits quelles
vant se rvler attractif en temps de crise. dispensent.
Qui se cache derrire ces spams ? Qui sont ces marchands Evapharmacy, qui existe depuis maintenant huit longues
de mort contre lesquels les autorits et lindustrie phar- annes, bnficie dun rseau consquent de 2 574 sites
maceutique ont tant de difficults lutter ? internet sous son contrle (3). Autant dopportunits dat-
Si la bataille est dj trs complexe dans la distribution tirer le maximum de clients potentiels.
classique, celle mene sur Internet comporte des obs-
tacles supplmentaires.
A travers lexemple d Evapharmacy , lun des plus im-

portant programme daffiliation de produits pharmaceu-
tiques actuels (cf. encadr), nous avons essay de lever le
voile sur les lments clefs de cette conomie criminelle.
De la mise en place de sites web (1), la recherche dune
banque non regardante sur les activits de sa clientle, les
programmes daffiliation tels quEvapharmacy ont avant
tout besoin de spammeurs professionnels (2).
> INFO
Pharmacie et affiliation Ces sites illgaux noient de part leur prsence en nombre
la faible quantit dacteurs lgitimes mais ils ne sarrtent
Evapharmacy fonctionne de manire iden- pas l. Ils saturent le march en se servant galement de
tique un programme daffiliation classique la publicit.
mais dans un but et avec des moyens illgaux.
Google a longtemps permis des pharmacies non auto-
Grant plusieurs milliers de sites web, elle recherche des rises dafficher leurs bannires publicitaires et dappa-
spammeurs et des hackers prts diffuser le plus large- ratre en bonne position dans ses rsultats de recherche.
ment possible sur la Toile ses produits contrefaits. Alex LAgence fdrale amricaine des produits alimentaires et
Polyakov serait la tte de cet empire . Activement mdicamenteux avait pourtant pri toutes les plateformes
recherch par le FBI et Interpol, cet ukrainien se serait de recherche de ne pas se prter de telles pratiques de-
galement illustr dans la diffusion massive de pdo- puis 2003. Le ministre de la justice amricain demande
pornographie, de virus et le vol de donnes bancaires. dsormais Google de restituer les 500 millions de dollars
de bnfices gnrs par cette seule activit marketing
(4).
La manire dont ces mdicaments sont fabriqus et cir-
culent travers le monde ne pouvant tre lude, la der- La situation aux Etats-Unis se rvle en effet particulire-
nire partie de cet article y est consacre (3). ment critique car de nombreux amricains commandent
leurs mdicaments sur des sites canadiens, des prix net-
De lUkraine lInde, en passant par les Etats-Unis, les tement plus attractifs que leurs homologues amricains.
chemins du mdicament contrefait ne connaissent dci- Les contrefacteurs, conscients de cette attente, sont nom-
dment aucune frontire. breux simproviser canadiens et dclarent oprer en
possession de toutes les licences ncessaires
15
Evapharmacy lukrainienne, devient ainsi au gr de ses Il est intressant de relever quel point les contrefacteurs
besoins : Canadian Health&Care Mall, Canadian Family singnient parsemer leurs sites de logos tous plus offi-
Pharmacy ou Canadian Neighbor Pharmacy etc. ciels les uns que les autres. Les internautes ne devraient
accorder aucun crdit ces lments qui visent sciem-
Ci-dessous, lexemple de lun de ses sites web : en croire ment les tromper quant la respectabilit dun site web.
le Docteur Edward Armington, Canadian Health&Care Mall
serait tenu par des professionnels du monde mdical de- Les citoyens europens auront ainsi du souci se faire
puis leurs pharmacies de Toronto et dOttawa. car la directive mdicaments falsifis du 8 juin 2011
fait du logo lune des deux composantes majeures afin de
pouvoir certifier lauthenticit dune pharmacie virtuelle
: un logo commun est mis en place, qui est reconnais-
sable travers lUnion, tout en permettant lidentification
de lEtat membre dans lequel est tablie la personne of-
frant la vente distance des mdicaments au public. Ce
logo est clairement affich sur les sites [] .
Les cybercriminels tant matres dans lart de la falsifica-
Une chane du mdicament sre, un site approuv par les tion, ce logo made in UE sera sans aucun doute rapide-
autorits canadiennes et amricaines comme le certifient ment copi la perfection.
les logos en bas de page Tous les dtails sont destins
inspirer la confiance. Or, en interrogeant le site LegitS- Comment les autorits vont-elles lutter contre ce flot de
cript , programme officiel charg de surveiller la vente fausses pharmacies adoptant toutes les apparences des
de produits de sant en ligne, ce site na de canadien que vraies ? Le fait quelles constituent 96,7% du march r-
le nom et est rpertori dans la catgorie pharmacie pond dj en quelques sorte la question : fermer ces
sauvage . sites est difficile, identifier leurs propritaires lest encore
plus.
Concernant la possibilit de leurs fermetures, notons

que certains hbergeurs refusent demble de cooprer
lorsquils sont alerts par des organismes officiels. Les
sites de leurs clients continueront donc de fonctionner,
quelqu en soit le contenu. Legitscript a identifi certains
Les internautes induits en erreur sont nombreux se de ces hbergeurs voyous : trois aux Etats-Unis (eNom,
plaindre dans des forums ddis ce thme mais com- UK2Group et Moniker), un en Russie (CentroHost) et un
bien ont t victimes de troubles de sant cause de autre aux Pays Bas (Realtime Register) (5).
mdicaments commands en toute confiance ?
Dautres hbergeurs acceptent quant eux volontiers de
fermer ces sites frauduleux mais ne peuvent pas, dans
bien des cas, renseigner la police sur lidentit de leurs
propritaires. En effet, ces derniers utilisent frauduleuse-
ment lidentit dinternautes leur ayant command des
mdicaments ainsi que leur numro de carte bancaire
pour sacquitter du prix de lhbergement. TErich Ferdinand
Taiyo Fujii
16
> Pharmacies fictives et spammeurs, Les mails rpts arrivaient directement dans la boite de
rception de notre adresse mail cre pour loccasion. Ou-
une collaboration indispensable bliant la trs srieuse pharmacie du Docteur Armington,
la Canadian Heath&Care Mall utilisait pour loccasion une
simple adresse gmail (wynellpennye@gmail.com).
Les propritaires de ces pharmacies sauvages se
donnent beaucoup de mal pour exister sur la Toile mais
il faut que la clientle soit rceptive. Acheter ses mdica-
ments sur Internet na en effet encore rien de naturel pour
de nombreuses personnes.
Une solution a nanmoins t trouve, pour que cette
ide germe dans les esprits des internautes : le spam.
Cette alternative est loin dtre inefficace car environ 11%
des spams aboutissent une commande (6).
Le spam, arme absolue de persuasion
Si le traditionnel spam vantant les mrites du viagra fonc-

tionne encore, la liste des mdicaments proposs par Eva-
pharmacy na eu de cesse de se diversifier. Dsormais,
les spams font galement la promotion de mdicaments
cardiovasculaires et anticancreux.
Ce phnomne est particulirement inquitant car il t-
moigne de la progression de la vente de mdicaments
vitaux sur Internet et non de seuls conforts.
Exemple dun des nombreux spams envoys par Evaphar- Pour spammer, Evapharmacy nemploie pas sa propre
macy. Celui-ci concerne la vente dantibiotiques. quipe de professionnels mais recrute librement dans
des forums underground. Tous les internautes intresss
peuvent postuler mme si les conditions dentres de-
viennent plus difficiles avec les annes.
La rmunration se rvle particulirement attractive car,
sur leurs ventes, chaque recrue peroit une commission
de 45%.
Exemple dune des annonces dEvapharmacy sur un forum

cybercriminel. Les spammeurs et hackers sont invits
collaborer afin de promouvoir les produits contrefaits sur
Internet.
Le potentiel de nuisance dEvapharmacy dcuple ds

quun internaute rpond de telles sollicitations comme
lillustre notre test : aprs avoir initi une commande sur
lun de ses nombreux sites pour tudier le mode de fonc-
tionnement, nous avons t inonds de spams toutes les
deux heures pendant plusieurs jours afin que nous la fina-
lisions.
17
Ecoin, monnaie officielle de cette activit criminelle De manire trs originale, une section chques et vi-
rements inconnus a t mise en place par Ecoin.cc
Pour rtribuer ses petites mains , le dirigeant ukrai- lorsquaucun spammeur ne sest manifest avant leur
nien prsum dEvapharmacy, Alex Polyakov, a choisi de arriv. Les sommes sont masques, certainement afin que
sassocier avec une entreprise de son pays : Ecoin.cc. le vritable bnficiaire puisse indiquer la somme exacte
Ecoin.cc est avant tout une monnaie virtuelle, le Ecoin afin dtre identifi avec certitude (cf. copie dcran ci-
, que les utilisateurs peuvent schanger librement dessous).
par le biais dun compte virtuel associ. Cependant, les
spammeurs dEvapharmacy sont rpartis dans le monde
entier et ce mode de paiement est totalement inconnu
dans certains pays.
Alex Polyakov aurait-il fait une erreur en choisissant cette

entreprise de la petite ville de Chernivtsi ?
La rponse est bien videmment ngative, le fonction-
nement dEcoin.cc offrant de nombreux avantages ses
membres.
Pour spammer, Evapharmacy

nemploie pas sa propre quipe
de professionnels mais recrute
librement dans des forums
underground Largent virtuel ou rel nest pas diffrenci et peut circu-
ler librement entre les trois comptes.
En effet, en ouvrant un compte chez Ecoin.cc, les spam-
Afin de retirer ses fonds, une carte de retrait de la Loyal
meurs ne bnficient pas uniquement dun compte vir-
Bank de Saint-Vincent-et-grenadines est envoye au
tuel mais accdent galement toute une gamme de
spammeur sil le dsire.
services financiers trs complte.
Par exemple, un compte bancaire aux

Etats-Unis ainsi quun autre Saint-
Vincent, clbre paradis fiscal, sont mis
gracieusement disposition des propa-
gateurs de pourriels . Ces derniers
peuvent ds lors, selon leurs besoins,
y faire transiter des chques ou vire-
ments bancaires mais surtout, recevoir
de largent de tiers au nom de la socit
Ecoin.cc, une excellente manire de pr-
server un anonymat total.
Il suffit den informer les dirigeants

dEcoin.cc quelques temps lavance
afin que les fonds soient crdits dans le
compte ds leur rception.
18
Latout considrable dEcoin.cc est que cette dernire est Evapharmacy est cite dans cette liste sous le nom dEva-
aussi son propre changeur au travers de sa socit Er- partners.ru, lun des portails o les spammeurs peuvent
money . Ainsi, grce un contrat unique avec Ecoin. Eva- se connecter afin de suivre ltat de leurs commandes et
pharmacy peut galement proposer sa clientle dtre demander le retrait de leurs fonds. Cette liste est dispo-
rmunre en dautres monnaies virtuelles comme Pay- nible en libre accs, en quelques clics.
pal, Epese, Paxum et Webmoney.
Si la plupart de ces noms sont inconnus du grand public, > INFO

Paypal fait cependant lui largement exception dans cette
liste. Paypal est devenu le moyen de paiement privilgi Programme daffiliation criminel recherche banque...
dEvapharmacy depuis octobre 2010. dsesprment
Comment une socit telle que Paypal, implique dans Lorsque les programmes daffiliation rmunrent leurs
la lutte contre le spam et lutilisation frauduleuse de son spammeurs, cela suppose bien videmment quun client
service peut-elle tre en relation avec lun des plus impor- vienne de passer commande. Loin des monnaies vir-
tant rseau de distribution illgale de mdicaments sur tuelles, le client rgle lui son achat par carte bancaire.
Internet ?
Mais quelle banque peut accepter de prendre part
de telles activits en faisant bnficier ces sites
web de leur rseau Visa et Mastercard ? Ltude
amricaine End-To-End Analysis Of The Spam Va-
lue Chain sest penche sur cette pineuse ques-
tion, les rsultats publis se rvlant trs surprenants.
Les 100 milliards de dollars de bnfices que le spam

rapporte chaque anne ne transitent que par les
comptes bancaires de treize banques dans le monde.
Une banque azrie Azerigazbank , numro une du
classement, traite elle seule 60% des transactions.
Certes Paypal ne compte quindirectement Evapharma-
Interrog, le directeur de la banque samuserait presque
cy parmi sa clientle mais il ne lui aurait suffit que de
de la situation en dclarant quil ne commet rien dil-
quelques minutes de recherches pour se rendre compte
lgal et que, si tel tait le cas, Visa lui aurait dj cer-
que la liste des partenaires privilgis dEcoin.cc est parti-
tainement inflig des sanctions. Il y a en effet ma-
culirement alarmante.
tire stonner de linaction de Visa sur ce flau.
Concernant Evapharmacy, cette dernire est la cliente de

BinBank, lune des trente plus importante banque de Rus-
sie. La presse russe si loquace sur la banque azrie, na
que trs brivement et demi mot voqu cette situation.
19
> Un march du mdicament contre-
fait en pleine expansion
A la lecture des informations prcdentes, il ne fait aucun
doute que lindustrie de la contrefaon sur Internet nces-
site une organisation complexe et dimportants moyens
financiers.
Lunique domaine o les contrefacteurs ne rencontrent
que trs peu dobstacles est tonnamment le plus rpr-
hensible : fabriquer et exporter de faux mdicaments.
Les raisons expliquant cette relative simplicit et ce fort
sentiment dimpunit sont multiples :
+ Fabriquer des mdicaments contrefaits nest assorti

daucune sanction pnale dans plusieurs pays. Ainsi, si
un europen sexpose dix ans de prison en jouant aux
apprentis chimistes, un ukrainien ne risque lui que 150 Selon lAgence europenne du mdicament, environ 80%
euros damende (7). Une lgislation loin dtre dissuasive.
+
de substances actives utilises pour la production de m-
La chaine des mdicaments est longue et une multi- dicaments lintrieur de lEspace conomique europen
tude dintermdiaires les manipulent avant que ces der- sont manufactures hors de ce dernier. Les grands groupes
niers narrivent leur destinataire final : le consommateur. pharmaceutiques sont dsormais majoritairement implan-
Il nest ds lors pas toujours possible didentifier le site o ts en Inde et en Chine. A elle seule, lInde compte plus de
ces mdicaments ont t fabriqus et, surtout, qui est 20 000 laboratoires (8).
lorigine de leur diffusion.
Malheureusement, ces deux gants sont aussi le lieu privi-
Selon lAgence europenne du mdica- lgi de la production de contrefaons. Les exportations l-
ment, environ 80% de substances actives uti- gitimes et criminelles partent donc des mmes pays et les
lises pour la production de mdicaments faux deviennent de plus en plus difficilement dissociables
des vrais. Lorganisation professionnelle qui regroupe les
lintrieur de lEspace conomique europen entreprises du mdicament en France sinquite dailleurs
sont manufactures hors de ce dernier. de cette perfection grandissante de la contrefaon.
Concernant le spam, le laboratoire indien Tulip Lab a Publicit dune campagne de prvention russe : Une de
pu tre li avec certitude plusieurs programmes daffilia- ces glules est une contrefaon. Devine laquelle ?
tion tels que GenBucks mais aussi Evapharmacy.
Tulip Lab existe-il rellement ? Bien que les botes de m-
dicaments reues par les internautes mentionnent avoir
t fabriques par le dit laboratoire, il est fort possible que
cette information soit fausse. Les contrefacteurs condi-
tionnent ou reconditionnent en effet leurs marchandises
comme ils le souhaitent et nauraient srement pas pris le
risque dindiquer leur vritable lieu dapprovisionnement.
Le site web du laboratoire ne convainc pas dune relle

existence et fait plutt office de faade. Pour preuve, les
adresses mails utilises par la socit sont des simples
Gmail ou Yahoo.
Tulip Lab, fort de ses 10 50 millions de dollars de vente

par an (selon les affirmations de son dirigeant) aurait d-
sormais une filiale en Ukraine. Le site du laboratoire ukrai- Le laboratoire Aguettant a accept dvoquer avec nous
nien dclare firement tre implant dans plusieurs pays cette problmatique en nous prsentant les rsultats de
dEurope dont la France. lune des saisies ralises dans les circuits classiques du
mdicament. Ces contrefaons ont pu tre retires du
march irakien, pays o aucun mdicament du groupe
nest commercialis.
Le packaging est de bonne qualit avec un bon respect de

la charte graphique du laboratoire. Il manquait cependant
un T Aguettant sur certaines botes. Les numros de lots
indiqus ne correspondent pas la numrotation interne
de lentreprise.
20
Le mdicament contrefait prsent ci-dessous, lhydro-

cortisone sodium succinate, permet de traiter diverses
affections telles que les ractions allergiques graves, les
maladies du sang, certains cancers mais aussi des pro-
blmes respiratoires. Il ne fait pas partie de la liste des
mdicaments fabriqus par Aguettant.
Contrefaon gauche
Les contrefacteurs ne connaissent donc aucune difficult

dapprovisionnement et bnficient de produits parfaite-
ment copis moindre cot.
Contrefaon gauche
Linsuffisance de contrle exerc par les autorits tran-
gres encourage certainement les trafics. En Chine, moins
de 19 usines sont inspectes chaque anne par des repr-
sentants europens alors que Pfizer, AstraZeneca, Eli Lilly
et Novartis ont des centaines de sites sur place. Les auto-
rits amricaines nont elles que deux inspecteurs perma-
nents dans ce pays.
> Conclusion
Face un march de la contrefaon en pleine expansion,
est-il bien raisonnable de lgifrer sur la vente de mdica-
ments sur Internet ? Ne vaudrait-il pas mieux que ce type
Aguettant dapprovisionnement reste illgal et prohib, de peur que
les internautes ne se perdent entre ces milliers de phar-
macies virtuelles ?
Le Ministre de la sant semble pencher pour le moment

pour la seule vente de mdicaments prescrits sans ordon-
nance, soit environ 200 300 produits.
Avec ou sans ordonnance, quelle diffrence lorsque les
consquences pour la sant peuvent tre mortelles ? En
2006, au Panama, plus dune centaine denfants sont d-
cds suite la prise de sirop pour la toux contenant de
lantigel.
Contrefaon 21
Rfrences
(1) http://www.robert-schuman.eu/question_europe.
php?num=qe-86
(2) http://www.danger-sante.org
(3) http://www.legitscript.com
(4) http://www.pharmalot.com/2011/08/google-for-
feits-500m-over-online-pharmacy-ads/
(5) http://www.securingpharma.com/obama-seeks-ac-
tion-on-online-pharmacies-domain-names/s40/a567/
(6) http://www.theregister.co.uk/2008/05/01/spam_30/
(7) http://www.dw.de/dw/article/0,,15351039,00.html
(8) http://www.economywatch.com/business-and-eco-
nomy/pharmaceutical-industry.html
22
> Confrences scurit
Le mois de Fvrier et Mars furent marqus par plusieurs confrences franaises et interna-
tionales auxquelles nous avons assistes. Au menu, GSDays, la Blackhat Amsterdam et les
JSSI.
par Charles DAGOUAT, Stphane AVI, Marie GARBEZ, Yannick HAMON, Pierre TEXIER et
GSDays/Blackhat
JSSI
> Les GSdays de la direction dont lidentit a t usurpe.

Bien souvent, des obstacles juridiques et techniques ne
Confrence plnire : Qui est le maillon faible : lhomme permettent pas de rcuprer largent drob, celui-ci termi-
ou la machine ? nant sa route dans le compte offshore dune socit-cran.
Matre Diane MULLENEX, Clment GAUTIER et Alice la fin de la pice, Lazaro Pejsachowicz, nouveau prsident
PIERRE Cabinet Mullenex, Ichay et Associs, Philippe du Clusif, sest amus du choix du Mexique par les apprentis
HUMEAU et Thibault KOECHLIN NBS System, et Eric acteurs. Pour raliser une telle escroquerie, ce pays serait
DOYEN, RSSI de Generali en effet un trs mauvais choix, car les mouvements de
capitaux y sont particulirement contrls cause du trafic
Cest sous le soleil du Mexique que la confrence des GS de drogue.
Days sest ouverte. Lenvoi de montants importants hors du territoire national
En se mettant en scne dans une pice de thtre, le Cabi- aurait ainsi, selon lui, automatiquement alert lattention
net Mullenex, Ichay et Associs, Philippe Humeau et Thi- des autorits.
bault Koechlin de NBS System, et Eric Doyen, RSSI de Gene-
rali, nous on fait la dmonstration, simple et impeccable, Lune des conclusions de la pice : dans les scnarios
de la mise en uvre dune escroquerie et de ses cons- dattaques subies par les entreprises, tous les problmes
quences dsastreuses dans une entreprise. de scurit ne peuvent tre rsolus par la seule Direction
Des pirates informatiques, ayant russi accder des in- des systmes dInformations (DSI) et/ou le RSSI. Labsence
formations sensibles, arrivent sans difficult convaincre du Directeur Financier dans cette scnette a dailleurs t
un employ de la filiale mexicaine dune grande socit identifie comme lune des principales erreurs faites par la
franaise deffectuer des ordres de virement quil na, en socit dans la gestion de cette crise imaginaire.
thorie, pas le droit deffectuer. Aprs plusieurs virements
rembourss, les pirates finissent par disparatre en omet-
tant de rembourser les dernires oprations. 7 manires infaillibles de faire condamner son RSSI -
Thibaut DEVERGRANNE, Docteur en droit
Selon Matre Diane Mullenex, cette technique na rien dex-
ceptionnel, son cabinet ayant dj trait plusieurs dizaines La deuxime confrence, mene dune main de maitre par
daffaires similaires. Thibaut Devergranne, docteur en droit et consultant, abor-
Le salari victime, mis en confiance, procde plusieurs dait lpineuse question de la responsabilit des RSSI sous
virements, convaincu dtre sous les ordres dun membre un intitul pour le moins original : 7 manires infaillibles
de faire condamner son RSSI .
23
Entre un manque de connaissance du droit, une certitude Analyse des protections et mcanismes de chiffrement
de ntre soumis qu une obligation de moyens et un sen- fournis par BitLocker
timent dimpunit face au droit pnal, une carrire de RSSI Romain COLTEL, Consultant - HSC
peut aisment basculer.
Les exemples ne manquaient pas afin dillustrer les erreurs Romain Coltel est ensuite venu prsenter DisLocker , un
ne jamais commettre. De laffaire EDF/Greenpeace rap- outil dvelopp par ses soins afin de simplifier la manipu-
pelant les risques de la pratique dune intelligence cono- lation, sous Linux et Mac OS X, des partitions chiffres avec
mique sauvage laffaire Zataz/FLP illustrant des dangers Bitlocker. Loutil trouve, entre autres, tout son intrt dans
dun procs irrflchi, Thibaut Devergranne a galement le cadre des missions inforensiques. Aprs avoir rappel les
su interpeller les RSSI sur de nombreuses ides reues. La principales caractristiques de BitLocker (fonctionnalits
principale dentre elles : la CNIL ne me sanctionnera jamais offertes par la solution, structure du systme de fichiers,
en cas de dfaut de conformit gestion du chiffrement, gestion des clefs des diffrentes
clefs), le consultant a prsent les fonctionnalits offertes
par DisLocker. Loutil peut au choix fonctionner sur une par-
Attaques par fuzzing sur les applications Adobe Flex uti- tition la vole en reposant sur Fuse (FileSystem in User
lisant le protocole AMF Space), ou encore convertir dun bloc une partition chiffre
Julia BENZ, SCRT en une partition non protge. Un outil qui devrait prendre
de limportance, tant donn la probable dmocratisation
Julia Benz a ensuite ouvert le volet des confrences Tech- de BitLocker.
niques en prsentant son travail sur la scurit des appli-
cations Flex, et plus particulirement celles reposant sur le
protocole AMF.
Aprs avoir rappel le mode de fonctionnement gnral
des applications Web (Client-Serveur), Julia sest concen-
tre sur les moyens de communication mis en jeux dans les
applications Riche (RIA) reposant sur les technologies
telles que Flex dAdobe, SilverLight de Microsoft, ou encore
JavaFX dOracle. En effet, ces dernires communiquent via
RPC (Remote Procedure Call) au travers de protocoles tels
quHTTP, SOAP ou encore AMF. Contrairement SOAP qui
repose sur XML, lAMF (Action Message Format) est un pro-
tocole binaire, qui est donc plus complexe manipuler pour
valuer la scurit dune application dans le cadre dun test
dintrusion par exemple. Le choix du format binaire sexpli-
querait par la volont dAdobe de rduire au strict mini-
mum le temps de traitement des messages. Exploitation de failles de scurit. Dmonstrations et
Afin de simplifier la ralisation des audits de scurit des prsentations pratiques
applications Flex, un outil baptis WebSeeKurity a t dve- Les Dmonstrateurs de lARCSI
lopp. Celui-ci a pour objectif de simplifier la manipulation
des messages changs au format AMF. La matine sest clture par une dmonstration de lARC-
SI autour de la scurit des nouvelles cartes bleues sans
Dislocker trouve, contact.
entre autres, tout son intrt Ces nouvelles cartes sannoncent dj comme une rvolu-
tion, car elles permettent de faciliter les paiements pour
dans le cadre des missions
des petits achats. Jusqu vingt euros, plus besoin de code
inforensique PIN ni dinsrer sa carte dans un terminal de paiement : il
suffit de l effleurer au-dessus dun lecteur moins de
La suite de la prsentation tait ddie la prsentation de trois centimtres.
loutil. Pour cela, la prsentatrice a mis en scne les diff- Aprs des essais concluants dans plusieurs villes tests, la
rentes tapes de laudit dune application Flex, de la dcou- production de ces cartes se gnralise peu peu, une quin-
verte du service et des mthodes exposes par le serveur, zaine de banques les distribuant dj.
lutilisation de loutil pour tester la scurit de lapplication. Si la facilit dutilisation des cartes est mise en avant par
Au final, mme si le protocole dchange diffre, les failles la presse et par les banques, lun des dmonstrateurs de
de scurit sont les mmes quavec les applications web lARCSI a surtout dmontr le criant manque de scurit
classiques : injection de code, contournement des restric- de ce systme qui devrait conduire une explosion de la
tions de scurit implment ct client , fuite dinfor- fraude.
mation En approchant sa carte dune clef USB relie un ordina-
teur, mais aussi de son tlphone portable (auparavant
Bref, ce nouvel outil disponible sur le site de SCRT (http:// quips dun programme spcifique), Renaud Lifchitz a pu
www.scrt.ch/attaque/telechargements/webseekurity) lire toutes les informations contenues dans sa carte ban-
devrait venir en complment des autres outils tels que caire en clair.
Deblaze ou encore Pinta, qui ne remplissaient pas tous les Son nom et prnom, son numro de carte bancaire, la date
besoins de la socit. dexpiration de cette dernire ainsi que lhistorique de ses
24
GSDays
paiements apparaissaient ainsi aux yeux de tous dans une Le chercheur a ensuite dtaill les diffrentes techniques
stupfaction gnrale. utilisables pour protger un programme de son analyse
(statique et dynamique). Une prsentation des diffrents
Renaud Lifchitz a ensuite dtaill comment un pirate pour- outils permettant de manipuler et danalyser un pro-
rait rcuprer de nombreuses donnes bancaires en se programme issu de .NET est venue conclure cette tude. Au
menant tout simplement dans le mtro muni dun ampli- final, il savre que le peu doutils vraiment aboutis et
ficateur permettant doutrepasser la limite de porte de la matures complexifient largement ltude de ce type de
carte de trois centimtres. programme.
Cette dmonstration de quelques minutes a t explicite

dans tous ses dtails dans le cadre de la confrence Hackito Attaques cibles : quelles volutions pour la gestion de
Ergo Sum qui sest tenue lEspace Niemeyer du 12 au 14 crise ?
avril. Le CERT XMCO, prsent cet vnement, ne manquera Grme BILLOIS et Frdric CHOLLET - Solucom
pas de relater cette dcouverte dans un prochain article.
Les deux intervenants suivants ont prsent leur retour
dexprience dans le domaine de la gestion des incidents
Attaques relles et backdoors .NET de scurit. En effet, les nouvelles tendances que lon a pu
Nicolas RUFF, Expert scurit EADS Innovation Works observer dans le domaine des attaques informatiques au
cours des derniers mois devraient pousser les entreprises
Aprs la pause djeune, Nicolas RUFF est intervenu pour envisager de nouvelles faons de grer les crises lorsque
prsenter le fruit de son travail li ltude dune backdoor celles-ci surviennent.
.NET. De par son mtier, le chercheur tudie rgulirement
des portes drobes. Nicolas a tout dabord prsent le
schma classique dune attaque aboutissant linstallation
dun tel malware sur le systme dune victime, et les simi-
litudes pouvant tre observes dans les portes drobes
classiques. Il sest ensuite focalis sur une porte drobe
particulire : en effet, cette dernire tait dveloppe en
.NET. Ce choix pourrait paraitre premier abord trange,
puisque quil est en gnral possible de retrouver le code
source dun projet .NET laide dun dcompilateur (tel
que Ilspy) correspondant au malware, ce que les pirates
cherchent en gnral viter pour de nombreuses raisons.
Mais en ralit, il semblerait que ltude du malware a t
plus complique que prvu. En effet, lorsque le framework
.NET est correctement utilis, il est possible de tirer parti de
nombreuses protections complexifiant le travail danalyse Diffrents paramtres ont ainsi volu.
du programme.
+ Les pirates ne dveloppent plus de malware pour se
faire (re)connatre
+ Les pirates agissent de plus en plus dans le cadre de
lhacktivisme
+ Les gains financiers des attaques sont de plus en plus
importants
+ Les pirates sattaquent maintenant aux infrastructures
types SCADA
+ Les pirates mnent des attaques en masse pour acqurir
de la capacit dattaques plus importante
Dans le mme temps, on a aussi observ une volution des

techniques dattaques : moins de virus, mais une augmen-
tation du nombre dattaques dingnierie sociale, de dni
de service, et contre les serveurs web.
25
Le constat est donc le suivant : la menace principale est mise en sommeil durant plusieurs annes. Aprs deux ans
maintenant diffuse, opportuniste et cible. La gestion de de travail, ses membres lont relance au cours de la der-
crise doit donc voluer en consquence. Les incidents de nire JSSI (Journe de la Scurit des Systmes dInforma-
scurit ne concernent maintenant plus que la direction des tion) de lOSSIR. Aprs avoir fait un rapide retour sur lvo-
systmes dinformation, mais aussi les mtiers . lution du monde de la scurit au cours des 20 dernires
Il est donc important de les faire intervenir dans la prpara- annes, et les constatations qui ont pouss la cration
tion de la gestion de la crise, tout comme la direction gn- de cette fdration, les deux intervenants ont prsent la
rale. De plus, les attaques cibles que lon peut observer constitution de lassociation et principalement de ses l-
dsormais sont complexes dtecter, puisquelles sont le ments fondateurs : le comit dthique constitu de RSSI,
plus souvent composes dune multitude dattaques silen- les principes fondateurs, la charte de lintrusion et enfin
cieuses. Enfin, les crises stalent de plus en plus dans la la dmarche associe. Ce groupe, constitu uniquement
dure : il est difficile den dcerner le dbut et la fin. de personnes morales, a pour vocation dune part de don-
ner une reprsentation ayant du poids la profession en
la FPTI, constitue uniquement France, ainsi que de garantir un niveau de prestation lev
de personnes morales, a pour vocation aux clients de socit ralisant des tests dintrusion.
dune part de donner une reprsentation En effet, le cur de lassociation est le comit dthique,
ayant du poids la profession en France, ainsi qui sera, la suite du dpt dune rclamation, en mesure
que de garantir un niveau de prestation lev de juger si le membre de lassociation a respect lthique
aux clients de socit ralisant des tests et le contrat moral que les membres sengagent respec-
dintrusion. ter en adhrant la FPTI. Lassociation nattend plus que
les candidatures des futurs membres et des RSSI souhaitant
Les consquences de ces volutions sont nombreuses. On prendre part au comit dthique !
peut lister par exemple la ncessit de mettre en place une
organisation adapte sa gestion. Dans certains cas, il peut
tre ncessaire de grer une crise de faon compltement
dconnecte du systme dinformation, lorsque les boites
aux lettres ont t compromisses par exemple, et quil est
donc impossible dchanger par ce canal concernent les
mesures de remdiation mises en place, sous peine de les
voir contourner ds leur mise en place. Il peut aussi tre n-
cessaire de dfinir des plans de reconstructions compltes
du SI, en dfinissant des zones dassainissement.
Dans tous les cas, pour amliorer leurs capacits rpondre

aux incidents de scurit, les entreprises devront moyen
terme chercher :
+ identifier leurs actifs clefs (en collaboration avec les
mtiers) ;
+ valuer leur attractivit en fonction de leur secteur
dactivit, de leur actualit, de leur mtier, de leurs clients
Attaque sur Mac OS X
Arnaud Malard - Ex Devoteam (bientt XMCO)
et partenaires
+ se prparer la gestion de ce nouveau type de crise
en mettant en place les ressources ncessaires, comme des
Arnaud Malard (qui rejoint le cabinet XMCO prochainement)
a prsent Attaques sur Mac OS X. Cette prsentation
cellules de types SOC ; sest focalise sur les diffrentes faiblesses pouvant tre
+ et enfin mettre en place des mesures de scurisation
avances telles que la sanctuarisation de certaines zones
exploites au sein du systme dexploitation dApple, ainsi
que sur ce quil est possible den tirer.
sensibles du SI.
Via ses diffrentes mesures, les entreprises seront en Aprs avoir rappel les origines historiques du systme, le
mesure de diminuer la rentabilit dune attaque pour les consultant a introduit la prsentation de son architecture
pirates, rduisant ds lors le risque global. en rappelant les notions de kernel monolithique, de micro-
kernel et enfin de kernel hybride, puis en prsentant les
diffrents modes de dmarrage de lOS.
La Fdration des Professionnels des Tests Intrusifs, 12
ans aprs Dans la premire partie de la prsentation, le Target
Matthieu HENTZIEN - HSC Mode a t dcortiqu. Ce mode dmarrage, accessible en
Olivier REVENU - EdelWeb/FPTI maintenant la touche T enfonce au cours du processus
de lancement du systme, permet un attaquant ayant
Olivier REVENU et Matthieu HENTZIEN, respectivement vice- un accs physique au systme de le convertir en disque
prsident et trsorier de la FPTI, sont venus prsenter la dur externe. En effet, via ce mode, il est possible de bran-
nouvelle version de lassociation. En effet, alors que celle-ci cher en FireWire le Mac ainsi dmarr un autre ordina-
existe officiellement depuis 12 ans, lassociation avait t teur, et daccder par ce biais lensemble du systme de
26
GSDays
fichiers depuis le second PC. Il est ainsi possible de rcup-

rer lensemble des fichiers stocks sur le Mac, tel que les Dans la dernire partie, le chercheur sest intress aux
empreintes de mot de passe des utilisateurs (dans /var/ diffrentes options permettant un attaquant dobtenir
db/shadow/hash/). Ensuite, laide de John, il est possible des privilges utilisateurs, puis de les lever. Par dfaut,
de rcuprer le mot de passe de lutilisateur, et dans ce cas, certaines fonctions de Mac OS simplifient la premire par-
dobtenir un accs en tant que simple utilisateur sur le tie visant obtenir les privilges utilisateurs. En effet, lors
systme. Cependant, en fonction de la configuration de la de la cration du premier utilisateur, celui-ci est configur
commande Sudo, il est potentiellement possible dobte- par dfaut pour se connecter automatiquement. De mme,
nir un accs root. Via cet accs en FireWire au systme de lidentifiant de lutilisateur est broadcast sur le rseau local
fichiers, il est aussi possible de rcuprer dautres fichiers par diffrents vecteurs, tels que le protocole Bonjour, ou
tels que les trousseaux de mots de passe des utilisateurs encore la fonction de partage de musique intgre iTunes.
(login.keychain), ou encore le contenu du $HOME des uti- Le chercheur a rappel que mme si peu de codes dexploi-
lisateurs ayant chiffr leurs donnes avec FileVault ($USER. tation ciblant Mac OS X sont disponibles, il en est tout
sparsebundle). Pour accder leurs contenus, il suffit de fait diffrent pour les applications tierces telles que Safari,
connaitre le mot de passe de lutilisateur cibl... iTunes, iChat, QuickTime, Skype.
Il est donc enfin possible de compromettre ce systme

distance. Enfin, une des attaques les plus basiques pour
lever ses privilges reste de tester les diffrents mots de
passe enregistrs dans le trousseau de lutilisateur courant.
Cela semble difficile via linterface graphique, puisque le
mot de passe de lutilisateur courant est demand lorsque
lon souhaite accder aux mots de passe enregistrs dans
le trousseau, cependant, cette protection est plus de lordre
de lillusion quautre chose. En effet, cette mme informa-
tion peut tout fait tre obtenue en ligne de commande
via lutilitaire security, sans avoir besoin dentrer de mot
de passe...
Enfin, Arnaud a conclu en rappelant quelques bonnes pra-

Dans la seconde partie, Arnaud sest intress lacquisition tiques permettant de protger son Mac contre un attaquant
du contenu de la mmoire physique dun systme Mac OS, ayant physiquement accs au systme.
depuis un compte ouvert sur le systme, mais aussi via un
accs DMA. Ce mcanisme permet daccder en lecture et
en criture la mmoire dun systme sans avoir passer Notification des failles de scurit
par le processeur, via des interfaces telles que le FireWire. Il Herv GABADOU, Avocat associ Cabinet Courtois Lebel
est ainsi possible daccder lensemble des informations
contenues dans la RAM, alors mme que la session utilisa- La journe sest p sur la prsentation du cadre lgal im-
teur est verrouille. Enfin, si les deux prcdentes attaques posant aux socits manipulant des donnes caractres
ne sont pas ralisables, il est toujours possible daccder au personnels la notification des failles de scurit. Maitre GA-
contenu de la mmoire sauvegarde lors dune prcdente BADOU est venu prsenter une situation complexe, car tran-
mise en veille prolonge du systme. En effet, de la mme sitoire. En effet, les directives europennes du paquet Tele-
faon que Windows stocke le contenu de la mmoire dans com, datant de 2002, et rvises pour certaines en 2009,
le fichier hiberfil.sys, Mac OS X stocke ces donnes (par ont t retranscrites dans les lgislations des 27 membres
dfaut non chiffres) au sein du fichier /var/vm/sleepi- de lUnion Europenne.
mage. En recherchant simplement laide doutil tel que
Grep certaines signatures dans limage faite de la m- Cependant, et afin duniformiser les retranscriptions faites
moire, il est possible de retrouver certains mots de passe par chacun des membres dans son droit national, lEurope
utiliss par linternaute (7Zip, Web App, VPN, ...). Enfin, ds a souhait dfinir un rglement qui lorsquil sera adop-
quune signature fiable sera trouve, il devrait tre prochai- t, se substituera ces 27 retranscriptions. Lobjectif pour
nement possible de contourner la mire dauthentification lEurope est en effet dharmoniser les pratiques de ces dif-
de lutilisateur en manipulant le contenu de la mmoire via frents membres, pour simplifier le cadre lgal, et donc les
un accs DMA.
27
changes et le commerce. LAvocat a cherch rpondre
aux diffrentes questions classiques concernant chacun de
ces deux contextes de lgislation : qui est concern, quel est
le champ dapplication, quand notifier, qui, quels sont les
modalits de notifications,
Conclusion
Pour conclure, les GSdays se dmarquent des autres conf-

rences (Hackito, Hack In Paris) par des volets organisation-
nels intressants. Ce type de confrence convient parfai-
tement aux RSSI qui souhaitent assister des confrences
abordant des sujets divers et varis.
> Confrences scurit

Aprs les GSDays, place lvnement europen : la Blackhat. Fini Barcelone et retour Ams-
terdam! Tour dhorizon des confrences auxquelles nous avons assistes.
par Stphane AVI et Julien MEYER
Blackhat 2012
Aprs avoir eu lieu Barcelone pour son dition 2011, > Jour 1
la BlackHat Europe sest droule cette anne Ams-
terdam. Comme dhabitude, les confrences proposes HTML5 Top 10 Threats: Stealth Attacks and Silent
taient au nombre de trois sur chacun des crneaux Exploits - Shreeraj Shah
horaires.
Nous vous proposons donc ici un rsum de la slection + Whitepaper

https://media.blackhat.com/bh-eu-12/shah/bh-eu-12-
de confrences auxquelles nous avons pu assister. Shah_HTML5_Top_10-WP.pdf
+ Slides
https://media.blackhat.com/bh-eu-12/shah/bh-eu-12-
28
Shah_HTML5_Top_10-Slides.pdf En effet, il peut tre envisageable dans certains cas de
casser ce schma des fins de contrle. Ainsi, il a expliqu
Premier jour, premire confrence de la journe. Pour comment certains outils tels que les proxies dintercep-
nous mettre en bouche, Shreeraj commence par une tion font une sorte de man in the middle afin dtre
revue complte de ltat de lart des attaques existantes en mesure de procder lanalyse du contenu chang.
sur HTML5. Au final, celle-ci napporte rien de nouveau,
mais lavenir nous en dira peut-tre plus sur cette nou-
velle norme.
War Texting: Weaponizing Machine to Machine Sys-

tems - Don A. Bailey
En parallle de la confrence prcdente, Don A. Bailey,

consultant scurit chez iSEC Partners, a prsent un tat des
lieux des diffrentes vulnrabilits existantes sur les sys-
tmes communiquant principalement par les ondes ou par
les rseaux tlphoniques (systmes Machine to Machine).
Aprs avoir voqu rapidement le problme des GPS lors

dune grande diffrence de temprature, il explique que
les communications 2G sont facilement falsifiables laide Mais ce type de dtournement du modle de scu-
doutils tels quOpenBTS. Les fonctions de scurit sont sou- rit apport par SSL/TLS est-il bien scuris ? La confi-
vent dsactives afin de pallier au manque de puissance dentialit des donnes est-elle toujours respecte ?
des processeurs sur les terminaux mobiles, ce qui engendre
de nombreuses vulnrabilits, souvent peu connues. Le travail de recherche prsent semble avoir dmon-
tr que ces outils ne contrlent pas toujours lint-
Afin de dmontrer les faiblesses du systme, le spcia- grit des certificats proposs aux serveurs. En bref, ces
liste a prsent rapidement les rsultats de deux exp- outils utiliss afin de mener des attaques dintercep-
riences, fruits de son travail de recherche. La premire tion (man in the middle) peuvent tre eux mme
tait base sur le systme Zoombak, un tracker GPS po- sensibles ce type attaque. En effet, il semblerait
pulaire aux tats-Unis. Don A. Bailey a pu rcuprer de que ces serveurs acceptent toutes sortes de certificats
nombreuses informations telles que les coordonnes GPS, sans se soucier de leur provenance et de leur validit.
les IP ou encore les numros de tlphone associs un
grand nombre dappareils. Une vido a ensuite prsent la Ainsi, si un serveur propose un certificat auto-sign, celui-
seconde exprience. Don A. Bailey a ainsi dmontr quil ci sera automatiquement accept par certains de ces qui-
tait en mesure de dverrouiller et de dmarrer distance pements. Les employs des socits qui utilisent ces tech-
une voiture via son systme de communication intgr! nologies acceptent automatiquement le certificat valide
soumis par ces proxies, et pensent que leur vie prive est
ainsi protge. Ils sont, en fait, tromps par la prsence du
SSL/TLS Interception Proxies and Transitive Trust - Jeff petit cadenas dans la barre dadresse. Mais le serveur der-
Jarmoc rire les proxies est-il le bon ? Comment savoir si une at-
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Jarmoc/bh-eu-
taque de type Man In The Middle est ralise sur lqui-
pement charg de contrler le contenu des changes ?
12-Jarmoc-SSL_TLS_Interception-WP.pdf Nous vous recommandons vivement de lire les ltude
+ Slides
https://media.blackhat.com/bh-eu-12/Jarmoc/bh-eu-
associe ce travail de recherche si vous utilisez lune de
ces technologies au sein de votre systme dinformation.
Pour conclure cette prsentation, Jeff a propos un
12-Jarmoc-SSL_TLS_Interception-Slides.pdf outil permettant de tester les diffrents scnarios pr-
+ Media
https://media.blackhat.com/bh-eu-12/videos/bh-eu-
sents lors de la confrence. Celui-ci est disponible
ladresse suivante : https://ssltest.offenseindepth.com
12-Ritter-Future-of-Security-Protocols.mp4
The IETF & The Future of Security Protocols: All the
Cette confrence, qui sest droule sur le second cr- Signal, None of the Noise - Tom Ritter
neau horaire de la journe a t mene par Jeff Jar-
moc, chercheur senior chez Dell SecureWorks. Aprs Tom Ritter, consultant scurit chez iSEC Partners, a
nous avoir rappel les grandes caractristiques des prsent les limites des protocoles de scurit. DNS-
protocoles SSL et TLS, et leur principale utilisation SEC, TLS, ou encore des nouveaux systmes tels que la
dans le domaine de la protection de la vie prive, le Content Security Policy utiliss au sein des navigateurs.
chercheur nous a prsent dautres cas dutilisation.
29
Blackhat Amsterdam
HDMI: Hacking Displays Made Interesting - Andy Davis Dissecting Smart Meters - Justin Searle
Aprs un repas pris sur place autour dun buffet bien garni
(avec de trs bons desserts ;), Andy Davis a expos le
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Searle/bh-eu-12-
fruit de ses recherches sur HDMI. Les diffrents protocoles Searle-Smart_Meters-WP.pdf
ont dabord t introduits, puis les vulnrabilits poten-
tielles ont t prsentes. Ces recherches tant encore
en cours, aucune preuve de concept na t prsente.
+ Slides
https://media.blackhat.com/bh-eu-12/Searle/bh-eu-12-
Searle-Smart_Meters-Slides.pdf
FYI: Youve got LFI - Tal Beery La pause caf passe, Justin Searle, Managing Partner
chez UtiliSec, prsente les techniques de test dintrusion
Le prsentateur sest content de nous faire (re)d- sur les Smart Meters, les compteurs intelligents uti-
couvrir les LFI et les RFI au sein des applications PHP. liss aux tats-Unis dans la rgulation lectrique. Ces
appareils sont considrs comme critiques, et une tech-
nique daudit spcifique doit donc tre mise en place.
A Sandbox Odyssey Vincenzo Iozzo Les tests dintrusions se divisent en quatre parties. La plupart
des serveurs contrlant les Smart Grid tournent sous des
Nous voil en plein milieu de la premire jour- systmes dexploitation connus, tels que Windows et Linux.
ne avec la confrence Vincenzo sur la sandbox de Une partie relativement classique est donc les tests dintru-
Mac OS Lion. Au dbut de sa prsentation, celui-ci sion ciblant les serveurs et leur systme dexploitation.
est revenu sur le fait que Apple a oblig les dve-
loppeurs utiliser la sandbox pour toutes les applica-
tions mises disposition au travers de lApple Market.
Toutes ses recherches se sont bases sur les recherches de
Dion Blazakis. Il a commenc par expliquer le fonctionne-
ment de celle-ci, en introduisant les diffrents composants
qui la constituent. Ainsi, chaque action effectue par une
application est proxifie au travers de modules chargs
de valider les autorisations associes aux profils utiliss.
Cependant, en regardant bien toutes les fonctionnalits
offertes par le systme ne peuvent pas tre sandboxes.
Au final, le chercheur a mis en vidence que mme en

tant sandboxs, les attaquants sont en mesure dacc-
der aux fichiers et donc aux informations. La sandbox les La deuxime partie vise quant elle les applica-
empche tout de mme dexcuter du code arbitraire. tions, incluant les interfaces utilisateurs (souvent web)
et les services Smart Grid. Les outils automatiques
Enfin, il a fini sa prsentation par une dmonstration sont proscrits durant cette phase, une simple requte
montrant comment obtenir toutes les informations dsi- en POST pouvant teindre ou planter un appareil.
res grce HTML5. De nos jours, les applications Web La premire partie de laudit est donc plutt clas-
essaient davoir des modes offlines, pour lesquels il sique, part lattention particulire appor-
est ncessaire de stocker des informations au sein de ter tant donne la sensibilit des systmes...
nos navigateurs favoris. Pour cela, les dveloppeurs dis-
posent dune nouvelle fonctionnalit permettant de stoc- La seconde partie est quant elle plus spcifique, et re-
ker toutes sortes dinformation au sein dune base de pose sur ltude des protocoles et du firmware par rtro-
donnes locale. Cette base est utilise en priorit avant ingnierie. Les tests rseau correspondent la troisime
dinterroger les serveurs dapplications. Rsultat, si un partie et incluent lanalyse des protocoles, mais aussi
attaquant peut avoir accs cette base, il peut modifier lanalyse des changes. Une analyse de la cryptogra-
toutes informations et mener toutes sortes dattaques phie utilise est galement effectue durant cette phase.
30
Enfin, la dernire partie, et la plus difficile sont les tests > Jour 2 Hack In Paris vs SSTIC
dintrusion sur les systmes embarqus. Les diffrentes
actions ralises durant cette phase comprennent lana- Offensive Threat Modeling for Attackers: Turning
lyse des composants lectriques, la rcupration de la Threat Modeling on its Head - Rafal Los et Shane
mmoire, lanalyse de celle-ci, lanalyse et fuzzing des MacDougall
protocoles internes, mais aussi la rcupration du fir-
mware, sa dcompilation, son analyse et lexploitation
des failles potentielles prsentes au sein de celui-ci. + Whitepaper
https://media.blackhat.com/bh-eu-12/Los/bh-eu-12-Los-
Une trs bonne confrence, rappelant que les tests Offensive_Threat_Modeling-WP.pdf
dintrusion des systmes industriels ressemblent
en grande partie aux tests dintrusion classique.
+ Slides
https://media.blackhat.com/bh-eu-12/Los/bh-eu-12-Los-
Offensive_Threat_Modeling-Slides.pdf
Hacking XPATH 2.0 - Sumit Siddharth et Tom Forbes
+Whitepaper
La deuxime journe a dbut avec une conf-
rence consacre la dfense des applications.
https://media.blackhat.com/bh-eu-12/Siddharth/bh-eu- Le dbut de la confrence a permis dintroduire le fait
12-Siddharth-Xpath-WP.pdf que les applications sont de plus en plus scurises et
+
donc de plus en plus complexes apprhender. Cepen-
Slides dant, elles sont toujours cres par nous autres tres
https://media.blackhat.com/bh-eu-12/Siddharth/bh-eu- humains Et nous sommes les premires faiblesses
12-Siddharth-Xpath-Slides.pdf Car qui met en place les dfenses permettant de prot-
ger les personnes charges de scuriser les applications
? Ainsi, le confrencier a prsent toute une dmarche
Pour la dernire confrence de la journe, nous permettant de comprendre nos dfenses et comment
avons assist une confrence sur XPATH. Le XPATH compromettre les dfenseurs de nos chres applications ;)
est un langage SQL like, permettant de rcuprer
des informations contenues au sein dun fichier XML.
Defending Privacy at the U.S. Border: A Guide for
Travelers Carrying Digital Devices - Marcia Hofmann
et Seth Schoen
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Hofmann/bh-eu-
12-Hofmann-Defending_privacy_Border-WP.pdf
+ Slides
https://media.blackhat.com/bh-eu-12/Hofmann/bh-eu-
12-Hofmann-Defending_privacy_Border-Slides.pdf
Comment voyager avec des donnes numriques ? Voil

lobjectif de cette prsentation qui en quelques mots peut
tre rsume par rester toujours poli avec les autorits qui
Les deux prsentateurs Sumit Siddharth et Tom Forbes, ne font que leur travail Du ct technique, utiliser des
nous ont fait une rtrospective sur le langage et ses sauvegardes chiffres, ne pas emmener de donnes sen-
diffrentes spcifications. Un outil permettant dexploi- sibles, au besoin les envoyer au travers de moyens scuri-
ter certaines techniques connues automatiquement ss, utiliser des systmes de stockage en ligne scuriss.
a t prsent et a donn lieu une belle dmonstra-
tion. Cependant, le XML nest pas souvent utilis dans
les applications afin de stocker des informations
31
Blackhat Amsterdam
All Your Calls Are Still Belong to Us: How We Compro- An assortment of database goodies - David Litchfield
mised the Cisco VoIP Crypto Ecosystem - Daniel Mende
et Enno Rey Le confrencier nous a expos ses dernires recherches
dans le domaine de la scurit des bases de donnes Oracle.
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Rey/bh-eu-12-Rey- Aprs stre focalis sur un chantillon tech-
Call_Belong_to_Us-WP.pdf niques dinjection SQL pour ce type de base, ce der-
nier sest intress aux investigations forensics sur
+ Slides
https://media.blackhat.com/bh-eu-12/Rey/bh-eu-12-Rey-
les injections SQL en aveugle (Blind SQL Injection).
La problmatique provient du fait que les argu-
Call_Belong_to_Us-Slides.pdf ments utiliss lors de requtes POST ne sont pas tra-
ces par dfaut au sein des journaux dvnement.
Cependant, en analysant le temps entre les requtes, Da-
Daniel Mende et Enno Rey ont prsent tout dabord les vid Copperfield a pu dmontrer quil tait possible de re-
Seven Sisters dune infrastructure scurise : contrle trouver, partir des logs dun serveur web, les informations
daccs, isolation, restriction, chiffrement, protection rcupres par un attaquant lors de lexploitation dune
physique, management scuris et visibilit. Aprs avoir faille de type Injection SQL en aveugle. Impressionnant!
prsent plusieurs exemples, les confrenciers arrivent
une conclusion simple : le chiffrement ne rsout pas
tous les problmes, mais il peut aider dans certains
scnarios, si bien sr, il est correctement implment !
La deuxime partie concernait quant elle
le chiffrement des tlphones VoIP Cisco.
Une dmo ralise en direct montre le problme : une

attaque de man in the middle par ARP Spoofing
couple un serveur TFTP vient bout du chiffrement.
Une fois le tlphone redmarr, il fera la mise jour
avec le certificat modifi, tout en assurant lutilisa-
teur que la communication est belle et bien scurise.
Le certificat ayant t modifi, toutes les communica-
tions effectues par la suite pourront tre dchiffres.
Larchitecture est entirement remise en cause. Exploiting Security Gateways via their Web Interfaces
Une question de lauditoire nous a bien fait rire : - Ben Williams
Whats the Cisco point of view about this attack?
La rponse des intresss : They are working on it!
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Williams/bh-eu-
:
Les deux chercheurs sont dailleurs reve- 12-Williams-Exploiting_Gateways-WP.pdf

nus en France lors de la confrence Hackito.
+ Slides
https://media.blackhat.com/bh-eu-12/Williams/bh-eu-
:
12-Williams-Exploiting_Gateways-Slides.pdf
Ben Williams a prsent les diffrents problmes lis aux

interfaces web de gestion des quipements de scurit.
Deux types existent, les multifonctions (UTM, firewall)
et les mono-fonctions (proxy). Ces diffrents quipements
sont souvent administrables via une interface web. Mal-
heureusement celles-ci sont souvent vulnrables aux
mmes attaques que toutes les autres applications Web:
32
mot de passe trivial, dfaut de filtrage des entres uti- Data Mining a Mountain of Zero Day Vulnerabilities -
lisateurs, anciennes versions de logiciels/framework Chris Wysopal
Ben Williams a rapport plus de 40 failles de scurit aux dif-

frents diteurs depuis octobre 2011, grce une mthode
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Wysopal/bh-eu-
simple : linstallation des diffrentes interfaces, le passage 12-Wysopal-State_of_Software_Security-WP.pdf
doutils automatiques puis un peu de recherche et danalyse.
+ Slides
https://media.blackhat.com/bh-eu-12/Wysopal/bh-eu-
Cyber-Attacks & SAP systems: Is Our Business-Critical 12-Wysopal-State_of_Software_Security-Slides.pdf
Infrastructure Exposed ? - Mariano Nunez Di Croce
Chris Wysopal, directeur technique de VeraCode,
+ Whitepaper
https://media.blackhat.com/bh-eu-12/DiCroce/bh-eu-
a prsent les rsultats de lanalyse de plus de
9000 applications. Les vulnrabilits trouves dans
12-DiCroce-CyberAttacks_to_SAP_systems-WP.pdf celles-ci ont t classes afin den sortir des statis-
tiques. Beaucoup de chiffres et de graphiques afin de
+ Slides
https://media.blackhat.com/bh-eu-12/DiCroce/bh-eu-
mettre en avant les vulnrabilits les plus courantes.
12-DiCroce-CyberAttacks_to_SAP_systems-Slides.pdf
De nombreuses socits utilisent SAP, comme le rap-

pelle le prsentateur. Par exemple, 70% des in-
dustriels de la bire utilisent cette solution, ce qui
en fait un environnement important ses yeux.
Celui-ci est dabord revenu sur lvolution de la scurit

depuis ces 5 dernires annes. Ensuite, il a montr tout un
florilge dattaques possibles et existantes sur les appli-
cations SAP en se basant sur les risques et les impacts
pour une socit. En passant, il a propos son petit TOP 11
des vulnrabilits, un peu comme le TOP 10 de lOWASP.
Enfin, il a conclu par la prsentation de la nou-
velle version de son outil SAPITO ddie aux
pentests des environnements et applications SAP. An Attackers Day into Virology: Human Vs Computer
Attacking IPv6 Implementation Using Fragmentation

+ Whitepaper
https://media.blackhat.com/bh-eu-12/Lovet/bh-eu-12-Lo-
- Antonios Atlasis vet-Human_Virology-WP.pdf
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Atlasis/bh-eu-
+ Slides
https://media.blackhat.com/bh-eu-12/Lovet/bh-eu-12-Lo-
12-Atlasis-Attacking_IPv6-WP.pdf vet-Human_Virology-Slides.pdf
+ Slides
https://media.blackhat.com/bh-eu-12/Atlasis/bh-eu-
Cette dernire confrence de la seconde journe, anime
par Axelle Apvrille et Guillaume Lovet, tait diffrente des
12-Atlasis-Attacking_IPv6-Slides.pdf autres. En effet elle prsentait les similitudes entre un
virus biologique et les virus informatiques. Au programme
Comment ragissent les diffrents OS la fragmentation la reproduction des virus biologiques et les dfenses de
des paquets rseaux ? Comment ont t implmentes notre systme immunitaire, le tout compar leur confrre
les diffrentes piles IP ? Voil ce quoi le confrencier informatique. La question finale : Les virus biologiques
a cherch rpondre. Pour cela, il a prsent tout un traverseront-ils un jour la frontire ? Et vice-versa ?
panel de tests qui utilisent la fragmentation dans lIPV6.
Ces recherches peuvent tre utilises des fins

didentification de systme dexploitation, dva-
sion dIDS ou de firewall. Pour finir, il a conclu en rap-
pelant que les vendeurs doivent essayer de respecter
le plus possible les RFC ce qui nest pas toujours le cas.
33
Blackhat Amsterdam
> Jour 3
The Kelihos Botnet - Kyle Yang
Dmitry SklyarovSecure Password Managers and
Military-Grade Encryption on Smartphones: Oh Le botnet Kelihos a til survcut lopra-
Really ? - Andrey Belenko tion B79, ou est-ce juste un nouveau modle ?
Cette question tait au centre la confrence de Kyle Yang.
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Belenko/bh-eu-
Celui-ci a prsent la diffrence entre les 3 versions princi-
pales de ce botnet. Architecture, chiffrement ou encore com-
12-Belenko-Password_Encryption-WP.pdf munication, tous ces lments ont t analyss afin de nous
expliquer le fonctionnement du botnet et ses volutions.
+ Slides
https://media.blackhat.com/bh-eu-12/Belenko/bh-eu-
12-Belenko-Password_Encryption-Slides.pdf Paul Royal Entrapment: Tricking Malware with
Transparent, Scalable Malware Analysis
Nous voil partis pour la dernire journe la Black-Hat,

avec un sujet fort intressant : le stockage des mots de
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Royal/bh-eu-
passe sur les smartphones. Aprs nous avoir expliqu o 12-Royal-Entrapment-WP.pdf
+
et comment sont stocks les mots de passe au sein des
BlackBerry et des iPhone, les deux chercheurs ont dcid Slides
de cibler leurs efforts sur les applications pour le Smart- https://media.blackhat.com/bh-eu-12/Royal/bh-eu-
phone la pomme. 12-Royal-Entrapment-Slides.pdf
Ainsi, ils se sont amuss prendre le top 20 des appli- Le nombre de malware est de plus en plus important. Afin
cations gratuites et tester leur capacit protger nos de les analyser, les chercheurs utilisent des batteries de ma-
chers mots de passe. Au final, seulement une application chines virtuelles afin de les excuter et ainsi voir comment
protgeait les mots de passe car les autres stockaient seu- ces derniers se comportent. Malheureusement, les auteurs
lement les mots de passe dans une base de donnes de de ces codes lont compris, et on donc fait en sorte que
type SQLite. Aprs ce bilan bien pessimiste, ils se sont at- leur code dtecte lenvironnement sur lequel il sexcute.
taqus aux applications payantes. Celles-ci chiffrent toutes
leurs bases, cependant, avec des algorithmes trop faibles.
Ainsi, aucune application ne stocke rellement les mots
de passe de manire scurise. Le seul moyen davoir un
stockage des mots de passe sur est dutiliser le Keychain
du systme.
Pour pallier cela, le professeur Paul Royal a cr

tout un systme permettant de simuler des machines
relles. Ce qui fait que les codes malveillants ne peuvent
plus faire la diffrence entre les deux architectures.
34
Smartphones Apps Are Not That Smart: Insecure Blue Screen Of Death sur une nouvelle version du ser-
Development Practices - Simon Roses Femerling veur Citrix a t prsent pour terminer la prsentation.
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Rose/bh-eu- Lotus Domino: Penetration Through the Controller -
12-Rose-Smartphone_Apps-WP.pdf Alexey Sintsov
+ Slides
https://media.blackhat.com/bh-eu-12/Rose/bh-eu-
+ Whitepaper :
https://media.blackhat.com/bh-eu-12/Sintsov/bh-eu-
12-Rose-Smartphone_Apps-Slides.pdf 12-Sintsov-Lotus_Domino-WP.pdf
Petit recueil des mauvaises pratiques en termes

+ Slides
https://media.blackhat.com/bh-eu-12/Sintsov/bh-eu-
de dveloppement dapplications mobiles. 12-Sintsov-Lotus_Domino-Slides.pdf
Ldition 2012 de la BlackHat Europe sest conclue sur

une confrence de Alexey Sintsov, pentesteur chez
ERPScan. Cest avec beaucoup dhumour quil a pr-
sent le mtier de pentesteur lassembl. En rsum,
il y a souvent trs peu de temps pour pousser lex-
ploitation, ou rechercher de nouvelles vulnrabilits.
Pourtant, il nous montre comment, en peu de temps, il

a pu crire lexploit du CVE-2011-0920 en se penchant
uniquement sur le peu dlments publis. En dsassem-
blant le code Java et en cherchant au bon endroit grce
aux lments trouvs sur internet, il a t en mesure
dcrire un code dexploitation. Il a enfin fini sa prsenta-
tion en montrant que mme aprs le patch de cette vul-
nrabilit, une autre vulnrabilit 0day existait toujours!
> INFO
Hack in Paris dvoile son programme de formations
et de confrences
Hack in Paris vient de publier son pro-

grammes de formations et de confrences.
CANAPE: Bytes Your Bits by - Michael Jordon et James
Forshaw Lvnement qui se tiendra en juin pro-
chain au Centre de Congrs de Disneyland Paris
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Forshaw/bh-eu-
comprendra 6 formations et 16 confrences : locca-
sion pour lcosystme de la scurit informatique
12-Forshaw-CANAPE-Slides.pdf de se former sur les pratiques de hacking et
de se runir autour dexperts internationaux
+ Slides
https://media.blackhat.com/bh-eu-12/Forshaw/bh-eu-
pour sinformer sur la ralit du hac-
king, ses enjeux et ses consquences.
12-Forshaw-CANAPE-WP.pdf
Au programme, des formations diverses (dveloppe-
Michael Jordon et James Forshaw, consultants chez ment dexploits, Rtro-ingnierie de malwares, scu-
Context, ont prsent un nouvel outil. Dnomm Ca- rit iOS, hacking IPv6...) et de nombreuses conf-
nape, il permet de regrouper plusieurs outils en un seul. rences par des grands noms de la scurit (Peter Van
Il permet de faire du Man In the middle entre deux Eeckhoutte, Mikko H. Hypponen, Winn Schwartau ...)
sources, et de fuzzer le trafic entre ces deux systmes.
Afin de prsenter les diffrentes fonctionnalits de lou- Le programme est disponible ladresse suivante :
til, une dmonstration a t ralise sur le protocole http://www.hackinparis.com/talks
ICA, utilis par les produits Citrix XenApp et XenDesk-
top. Durant plusieurs phases, la dcouverte et lexploi-
tation dune vulnrabilit trouve au sein du protocole
nous a permis de voir toute la puissance de loutil. Un
35
> Confrences scurit
Enfin, nous terminons ce tour des confrences par les JSSI organise par lOSSIR.
par Pierre TEXIER et Yannick HAMON
JSSI
Philippe Bernard, RSSI de MBDA France, nous a prsent la suite dun repas des plus copieux, Laurent Butti (Orange
un retour dexpriences sur le droulement dun audit Portals) nous a fait part dun retour dexprience sur lutili-
de scurit. Lorateur a rappel les rgles dor PRE/PER/ sation doutils automatiss pour laudit dapplications Web
POST Audit respecter. Des critres de slection du pres- en bote noire (sans identifiants sur lapplication). Celui-ci
tataire aux diffrentes tapes suivre, cette prsentation a prsent un benchmark sur les rsultats de plusieurs
fournit une excellente base aux RSSI novices sur ce type scanners open-source, en configuration par dfaut, len-
de prestation. Celle-ci rappelle/apprend galement aux contre du projet WIVET (Web Input Vector Extractor Teaser) :
prestataires de services que les aspects commerciaux ne + arachni;
sont pas les seuls critres. En effet, des lments plus + wapiti;
subjectifs tels que la rputation, la confiance en lentre- + w3af;
prise et les consultants jouent galement dans la balance. + skipfish.
Il sen est suivi dune prsentation de Thibault Koechlin, Si quelques rsultats pertinents sont remarqus sur
consultant NBS, du projet OWASP NAXSI dont il est lauteur. des sites simples, lorateur souligne que ces outils ren-
Ce pare-feu applicatif (WAF) open-source est un module contrent des difficults sur des sites complexes ou int-
pour serveur NGINX. Bas sur lutilisation de primitives, grant beaucoup de codes JavaScript (Web 2.0...). Leur
contrairement lutilisation dexpressions rgulires com- efficacit est galement trs limite vis--vis des failles
plexes, NAXSI a pour objectif dapporter une couche de pro- dimplmentation et de configuration, mais gale-
tection supplmentaire sans dgrader les performances du ment pour lvaluation des faiblesses fonctionnelles
service web. NAXSI a dj pass son baptme du feu avec des applications Web. En conclusion, les tests manuels
la mise en production du nouveau site de Charlie Hebdo demeurent indispensables afin de vrifier les faux-
suite aux rcentes attaques informatiques (dfaages puis positifs et dassurer lexhaustivit des vulnrabilits.
DoS & DDoS). Sa simplicit dutilisation a galement t
mise en vidence par son auteur. Celle-ci lui confre en Toujours dans le thme des vulnrabilits des applications
outre une capacit dindustrialisation non ngligeable. Une Web, la prsentation suivante abordait les injections No-
chose est sre, cette solution est regarder de trs prs. SQL. Nicolas Viot, consultant NGM Security, rappelle que
les bases de donnes No-SQL ne suivent aucune norme
Une confrence moins technique, mais tout aussi int- officielle, ce qui conduit une multitude de technologies/
ressante a suivi. Frdric Connes, consultant HSC, nous a langages : MongoDB, Nea4j, Cassandra, Apache CouchDB,
rappel quelques aspects juridiques fondamentaux sur SimpleDB... Cette alternative aux bases de donnes clas-
la pratique de tests dintrusion. On dcouvre alors que siques est caractrise par labsence de schma prdfini et
le clbre article 323-1 du code pnal ne peut rentrer de langage SQL ce qui assure une souplesse dutilisation et
en ligne de compte avec le consentement de laudit. un partitionnement facile des donnes entre plusieurs ser-
Toujours est-il quil faut tre en mesure de prouver ce veurs. Malgr une nouvelle technologie, la vulnrabilit et
consentement. Lorateur prsente alors les informations les consquences sont identiques : labsence de contrles
ncessaires la rdaction dune convention daudit pour sur les entres utilisateurs au sein dune application per-
finir sur un rappel du cadre dapplication de larticle 323- met de manipuler les requtes effectues sur la base de
3 relatif lutilisation et la dtention doutils dintrusion. donnes sous-jacente. Lorateur a publi un outil (nos-
qlinj.py - www.ngmsecurity.fr/outils-nosqlinjector/) afin
dillustrer ce risque sur les bases MongoDB uniquement.
Cette matine sest acheve par une table ronde anime
par Philippe Bernard (MBDA), Olivier Caleff (FPTI) et Oli- La dernire prsentation sur le thme du XML a t ef-
ver Dembour (ARJEL). Le thme portait sur les besoins de fectue par Nicolas Grgoire, Agarri. Aprs avoir rappel
rglementation de la prestation de services en scurit. la multitude dimplmentation de ce langage universel
36
(du RSS au XSLT), lauteur illustre les risques introduits
par lhomoiconicit (mme apparence entre le code de
grammaire ou les data) de ce langage. Une premire d-
monstration a t ralise par lencapsulation dun PDF
malform, exploitant une vulnrabilit connue, au sein de
code XDP (XML Data Package). Au final, aucun antivirus
de la plateforme VirusToral nest en mesure de dtecter
le code dexploitation public. Une seconde dmonstration,
de type Dni de Service, a t effectue par labus de
fonctionnalits (XML Bomb - CWE-776, interprtation de
chiffres romains...). La prsentation se termine sur limpl-
mentation dune relle backdoor (Meterpreter Reverse-
Shell Java) via lexploitation dune erreur de traitement
XSLT sur un serveur autorisant lupload de fichiers XML.
Cette journe sest acheve sur le thme de linforen-

sique en environnement Windows. Nicolas Hanteville,
consultant Devoteam, prsente les bases dune inves-
tigation et les diffrentes informations pouvant tre
obtenues au sein de la base de registre, du systme de
fichiers ou encore des journaux dvnements. Dplo-
rant le peu doutils libres/gratuits permettant de mener
ce type danalyse, lorateur prsente un outil open-
source (RtCA - http://code.google.com/p/omnia-pro-
jetcs/) ddi lanalyse in-vivo dune machine Windows
sans ncessit dinstaller un outil tiers (Perl, Python, ...).
Rfrences
http://www.ossir.org/jssi/jssi2012/
37
lActualit du moment
Que sest-il pass au cours de ces dernires
semaines au sein du petit monde de la
scurit informatique ?
Ce mois-ci nous reviendrons sur les vuln-

rabilits JAVA, /proc/<pid>/mem et MS12-
020 ainsi que sur lattaque Global Payment
Project404
Analyse de vulnrabilits
Analyse des failles Java (CVE-2012-0500 et CVE-2012-
ACTUA
0507) et Proc (CVE-2012-0056)
(par Stphane JIN et Antonin AUROY)
LIT Buzz
DU
Luigi, RDP et MS12-020
(par Florent HOCHWELKER)
MOMENT
Le whitepaper du mois
Verizon et les data-breach
(par Adrien GUINAULT)
Le phishing du mois
Zeus et US Airways
(par Adrien GUINAULT)
38

Vulnrabilits JAVA
par Antonin Auroy
Andrew Thielen
Rappel sous la forme dun module Ruby, exploitant cette vulnra-
bilit.
Courant Fvrier, Oracle publie une mise jour critique de la
machine virtuelle Java. Cette mise jour corrige de nom- Ce module met en place un partage WebDAV , via un ser-
breuses vulnrabilits dont notamment une faille affectant veur HTTP, qui hberge les fichiers ncessaires lexploita-
Java Web Start (CVE-2012-0500) et une vulnrabilit au tion de la vulnrabilit.
sein de limplmentation de la classe AtomicReferenceAr- Le premier est un fichier JNLP. Cest ce fichier qui exploite
ray (CVE-2012-0507). la vulnrabilit : il utilise largument -J pour forcer le com-
posant Java Web Start dmarrer une machine virtuelle
Ces deux failles permettent laide dune page web mal- alternative via loption -XXaltjvm. Cette option reoit un
veillante de compromettre le systme dun internaute im- chemin UNC (chemin rseau Windows) pointant vers une
plmentant une version vulnrable de Java (versions prc- dll malicieuse hberge par le serveur de partage WebDAV.
dents la version Update 31)
Cette dll malicieuse est alors excute la place de la ma-
chine virtuelle Java.
Java Web Start et les injections CVE-2012-0500
A noter que le client doit avoir le service WebClient (Web-
Java Web Start est un composant logiciel de lenvironne- DAV Mini-Redirector) activ pour que cet exploit fonctionne.
ment dexcution Java (depuis la version 5.0) qui permet
de tlcharger et dexcuter des applications Java partir
du Web. Ce composant prend en entre un fichier JNLP, qui
dcrit un certain nombre de paramtres servant lancer
lapplication, notamment la localisation de lapplication sur
le serveur web.
Un manque de validation des entres au sein du traitement

du paramtre initial-heap-size spcifi dans ce fichier
permet un attaquant dinjecter des arguments suppl-
mentaires au composant Java Web Start. En utilisant notam-
ment loption -J, il peut utiliser directement les options de
la machine virtuelle Java.
Le framework Metasploit propose un code dexploitation,
39
internaute en lincitant naviguer sur une page web conte-
Safe, Unsafe, dsrialisation et Applets - CVE-2012-0507
nant un Applet exploitant cette vulnrabilit.
La seconde vulnrabilit (CVE-2012-0507) concerne la
Une preuve de concept est disponible dans le framework
classe AtomicReferenceArray du package java.util.
Metasploit. Lexploitation de la vulnrabilit se droule en
concurrent.atomic .
4 temps :
Elle provient dune part, du fait que la classe AtomicRefe-
1) La victime est amene naviguer sur une page web
renceArray utilise la classe Unsafe du package sun.misc
malicieuse contenant un applet exploitant la vulnrabilit.
pour raliser un certain nombre doprations. Dautre part
la classe AtomicReferenceArray ne vrifie pas que le
2) Lapplet sexcute, une classe A exploite la vulnrabilit
tableau soit bien dun type Object[] appropri lors de
en procdant une violation de type sur la classe Atomi-
la dsrialisation dun tableau dobjets. Cette vulnrabilit
cReferenceArray en dsrialisant une classe B. Cette classe
autorise un attaquant effectuer une violation de type lors
B, suite la violation de type, dispose dun contexte dex-
dune dsrialisation et sortir de la sandbox de lenviron-
cution avec privilges levs.
nement dexcution Java.
3) La classe B instancie la vole une classe C via un
Etant donn quelle ne rsulte pas dune corruption de m-
ClassLoader non restreint, puisquelle dispose de privi-
moire mais dune faille logique dans limplmentation de
lges dexcution levs.
la classe AtomicReferenceArray , cette vulnrabilit est
trs allchante pour un attaquant potentiel car hautement
4) La classe C tlcharge, dchiffre et excute un binaire
fiable.
malveillant
Cest bon, cest corrig !
Si des correctifs ces deux vulnrabilits sont au-

jourdhui proposs pour toutes les plateformes, il nen
reste pas moins que certains diteurs auront t plus
rapides que dautres. Alors qu la mi-fvrier Oracle
publiait un bulletin de mise jour critique corrigeant
ces vulnrabilits pour les plateformes Linux et Win-
dows, il aura fallu attendre dbut Avril pour quApple
publie son tour un correctif pour Mac OSX. La faille
a depuis t massivement exploite pour installer des
malwares tels que FlashBack.
Rfrences
CXA-2012-0288, CXA-2012-0527
+Analyse publie par Microsoft

h t t p : // b l o g s . t e c h n e t . c o m / b / m m p c / a r -
chive/2012/03/20/an-interesting-case-of-jre-sand-
box-breach-cve-2012-0507.aspx => Crdit pour la
figure 2
+ Analyse publie par ESET

http://blog.eset.com/2012/03/30/blackhole-cve-
2012-0507-and-carberp
La classe Unsafe est utilise, comme son nom lindique,

pour raliser des actions non sres de bas niveau (code
+ Exploit disponible au sein de Metasploit
https://community.rapid7.com/community/metasploit/
natif). Lenvironnement dexcution Java autorise unique- blog/2012/03/29/cve-2012-0507--java-strikes-again
+
ment un code jug de confiance (e.g. les classes du JDK)
instancier et excuter la classe Unsafe (e.g. un applet ne Article publi par F-Secure
peut pas directement faire appel cette classe). https://www.f-secure.com/weblog/archives/00002341.
Un attaquant pourrait donc compromettre le systme dun html
40
Vulnrabilit /proc/<pid>/mem
(CVE-2012-0056)
par Stphane JIN
Andriano Gasparri
Une vulnrabilit pouvant tre exploite par un attaquant
afin dlever ses privilges sous un systme linux a t
dcouverte et corrige au dbut de cette anne. Celle-ci
concernait plus prcisment /proc/<pid>/mem , linter-
face permettant daccder en lecture/criture la mmoire
dun processus. Code de la fonction mem_open()
La vulnrabilit, rfrence CVE-2012-0056, affectait les
noyaux linux ultrieurs la version 2.6.39. Les vrifications de permissions sont effectues au sein
des fonctions de lecture et dcriture. Ainsi pour la fonction
dcriture mem_write(), deux contrles sont raliss :
Origine de la vulnrabilit
1 - check_mem_permission() vrifie que, soit le proces-
En mars 2011, les protections mises en place afin demp- sus dsirant crire est le processus dont la mmoire sera
cher les accs non autoriss /proc/<pid>/mem ont modifie (le processus veut modifier sa propre mmoire),
t juges suffisantes, une ligne de code empchant les soit le processus qui dsire crire possde les permissions
accs en criture la mmoire dun processus arbitraire a ptrace appropries sur le processus modifier (ligne 841)
alors t supprime dans la version 2.6.39 du noyau. Cette
modification avait notamment t apporte afin de faciliter 2 - self_exec_id permet de vrifier que le processus
la manipulation de la mmoire par les debuggers. qui a ouvert le descripteur de fichiers correspond celui
qui voulait modifier la mmoire (ligne 847). En effet, le
Ainsi, nimporte quelle personne qui possdait les autorisa- self_exec_id du processus ayant ouvert le descripteur de
tions adquates tait en mesure dcrire dans la mmoire fichiers a t stock prcdemment par mem_open().
dun processus. Cependant, il sest avr que ces protec-
tions taient en fait inadaptes.
Vrifications des permissions
Lors de louverture de /proc/<pid>/mem , la fonction

mem_open() est appele. Cette dernire neffectuant
aucune vrification, nimporte qui peut ainsi obtenir un
descripteur de fichier correspondant /proc/<pid>/mem,
pour peu quil dispose des droits adquats sur le systme
de fichiers. Seule la valeur du self_exec_id du processus
appelant est stocke (ligne 755). Code de la fonction mem_write()
41
Exploitation de la vulnrabilit 4 - Dans le processus parent, rediriger la sortie STDERR vers
fd (fonction dup2()) ;
Lobjectif de lexploitation de cette vulnrabilit est dobte-
par Adrien GUINAULT
nir les droits root sur le systme. Pour cela, il est nces- 5 - Dans le processus parent, aller lemplacement m-
saire de trouver un excutable SUID, et de le forcer modi- moire adquate o crire son shellcode via fd (fonction
fier sa propre mmoire. lseek()) ;
Pour sa dmonstration, Jason Donenfeld (aka zx2c4) a 6 - Dans le processus parent, excuter su shellcode afin
pris comme exemple lexcutable su. En effet, celui-ci dcrire dans la mmoire du processus du code permettant
convient parfaitement puisquil crit dans STDERR la chane de lancer un shell (fonction execl()). A ce moment, la
de caractres passe en paramtre (que lon peut contr- valeur originale de self_exec_id du processus parent est
ler) si celle-ci ne correspond pas un utilisateur valide du incrmente de 1. Or, lors de louverture de fd, la valeur de
systme. self_exec_id correspondait galement la valeur origi-
nale de self_exec_id du processus parent incrmente
de 1 (voir tape 2). La vrification n2 est alors contourne.
Ainsi, en suivant les tapes suivantes, il devrait tre pos-

sible dobtenir un shell avec les droits root sur le systme :
1 - Ouvrir un descripteur de fichiers (fd) vers /proc/self/

mem (fonction open()) ;
2 - Rediriger la sortie STDERR vers fd (fonction dup2()) ;
3 - Aller lemplacement mmoire adquate o crire son
shellcode via fd (fonction lseek()) ;
4 - Excuter su shellcode afin dcrire dans la mmoire
du processus du shellcode qui permettra de lancer un shell
(fonction execl()).
La vulnrabilit, rfrence CVE-2012-0056,

affectait les noyaux linux ultrieurs la ver-
sion 2.6.39.
En ralit, les tapes prcdentes permettent seulement

de contourner la vrification n1. En effet, lors dun appel
execl() (tape 4), la variable self_exec_id du processus
est incrmente de 1. Or, lors de lcriture dans la mmoire,
celle-ci doit tre gale celle stocke lors de louverture du
descripteur de fichiers ltape 1 (vrification n2). Ltape
4 dcrite devient donc impossible dans ces conditions.
Afin de contourner la vrification n2, il est ncessaire de

crer un processus fils via la fonction fork(), et dutiliser
ce processus fils pour ouvrir le descripteur de fichiers. Le
code dexploitation final doit donc raliser les tapes sui-
vantes :
1 - Crer un processus fils (fonction fork()) ;
2 - Dans le processus fils (qui possde le mme self_exec_

id que son processus parent), excuter un nouveau proces-
sus (fonction execl()) afin dincrmenter self_exec_id
de 1. A lintrieur de ce nouveau processus, ouvrir un des-
cripteur de fichier fd vers /proc/<pid_du_proc_parent>/
mem. Ceci est possible car mem_open() neffectue au-
cune vrification (voir le pargraphe suivant) ;
3 - Passer fd du processus fils au processus parent ;
42
Vulnrabilit /proc/<pid>/mem
(CVE-2012-0056)
Correction de la vulnrabilit
La correction apporte par Linus Torvalds modifie lempla-

cement o sont effectus les contrles de permissions.
Ceux-ci sont dsormais effectus lors de louverture de
/proc/<pid>/mem , et non par les fonctions de lecture/
criture.
Code de la fonction mem_open() patch
Rfrences
+ proc: enable writing to /proc/pid/mem

http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-
2.6.git;a=commitdiff;h=198214a7
+ /proc/pid/mem write vulnerability

http://kodu.ut.ee/~asd/exp-0-aedla/report.html
+ Linux Local Privilege Escalation via SUID /proc/pid/

mem Write
http://blog.zx2c4.com/749
+ proc: lcean up and fix /proc/<pid>/mem handling

http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-
2.6.git;a=commitdiff;h=e268337dfe26dfc7efd422a804dbb
27977a3cccc
43
par Florent HOCHWELKER
Daniel Goude
Rappel de la vulnrabilit Le Buzz
Le correctif de scurit rfrenc MS12-020 impactant la Alors pourquoi tant dengouement pour cette vulnrabilit
totalit des versions de Microsoft Windows a fait norm- ? Lors de la publication du bulletin de scurit de Microsoft,
ment de bruit lors de la publication des bulletins de scurit nos timelines Twitter taient inondes de message pro-
du Patch Tuesday . pos du correctif MS12-020.
Le mardi 13 mars, Microsoft publie son bulletin mensuel de Le service RDP accessible par dfaut sur le port 3389 est de-
scurit et push les mises jours sur les Windows du puis plusieurs annes considr comme un protocole sr et
monde entier. Un mois comme un autre (?), lexception est recommand par les consultants afin dadministrer les
prs quune des vulnrabilits est exploitable distance serveurs distance. La vulnrabilit tant exploitable pre-
sans authentification sur le service Remote Desktop Proto- authentication , la totalit des serveurs Windows adminis-
col (RDP) (ou Accs bureau distance ). Ainsi, le correctif trs depuis Internet en RDP est potentiellement vulnrable.
MS12-020, a particulirement retenu lattention de len- Une recherche sur le site Internet Shodan permet de dcou-
semble de la communaut du petit monde de la scurit. vrir plus de 200 000 machines dont le port RDP (3389) est
en coute (contre 1,5 million pour le port 22/SSH). A noter
que ce service nest pas activ par dfaut.
Une recherche sur le site Internet Shodan
permet de dcouvrir que plus de 200 000 Alors oui, la vulnrabilit RDP peut potentiellement tre uti-
lise pour compromettre les 200 000 machines en coute
machines sont en coute sur le port dadmi- sur Internet, ainsi que tous les postes dun parc informa-
nistration RDP (contre 1,5 million pour le port tique sous Windows : si nous sommes en possession dun
22/SSH). code dexploitation fonctionnel, si les machines ouvertes
sur Internet ne sont pas des pots-de-miel ( honeypot )
et si bien entendu les systmes attaqus ne sont pas jour.
Pour rappel une des vulnrabilits corriges par le patch
MS12-020 a t juge critique par Microsoft avec un indice Toutes ces interrogations ont moustill un grand nombre
dexploitabilit de 1 ( Exploit code likely ). Cest--dire de chercheurs en scurit, que se soit chez les white-hat ou
quil est possible quun code dexploitation soit cr afin les black-hat. La sortie du correctif de scurit a alors sonn
de prendre le contrle distance dune machine Windows le dpart dune course contre la montre entre les hackers,
nayant pas appliqu le correctif. les entreprises devant appliquer le correctif et les socits
ditrices danti-virus, IDS/IPS, etc.
Lquipe de Microsoft a cependant indiqu que le dvelop-
pement tait complexe et quils ne pensaient pas voir sortir
un code dexploitation fonctionnel dans les 30 jours. Et en
effet, lheure o nous crivons ces lignes aucun code nest
disponible publiquement et aucune socit na annonc
tre en possession dun code fonctionnel.
44
Les POC, la fuite... Rapidement ZDI annonce tre sr et certain que la fuite
ne provient pas de chez eux. Microsoft est alors montr du
Le 15 mars (2 jours aprs le bulletin de Microsoft) une com- doigt et une rponse de leur part est attendue.
munaut sest forme afin danalyser les modifications ap-
portes par le correctif et ainsi crer une preuve de concept
(PoC) permettant de dclencher la vulnrabilit, voire de
crer un exploit fonctionnel. A noter que deux vulnrabi-
lits sont corriges par le patch MS12-020, rfrenc CVE-
2012-0152 (dni de service) et CVE-2012-0002 (excution
de code distance).
La chaine de caractres MSRC11673 est dcouverte au

sein du PoC chinois. Cest une rfrence au programme
de protection de Microsoft (Microsoft Security Response
Center). En effet les entreprises partenaires de Microsoft
reoivent, via le programme MAPP (Microsoft Active Pro-
tections Program) des preuves de concept avant que les
correctifs soient publis. Ces socits peuvent alors prendre
des mesures rapides et mettre jour leurs filtres.
La vulnrabilit touchant le composant rdpwd.sys rsi-
dant en mode noyau (ring 0), celle-ci est complexe ex- Microsoft annonce le 16 mars quil est possible que lun de
ploiter. De plus, un code dexploitation qui nest pas suffi- leurs partenaires MAAP ait divulgu le PoC (ou que celui-ci
samment stable et qui russit dclencher la vulnrabilit ait t vol). [3]
provoquera un cran bleu (BSOD) sur la machine distance.
Luigi Auriemma [5], le chercheur qui a dcouvert et rap- Et maintenant lexploit ?

port la vulnrabilit la socit Zero Day Initiative (socit
qui achte des failles de scurit pour les rapporter aux di- Luigi Auriemma divulgue le mme jour la preuve de concept
teurs) est bien entendu en possession dun PoC (Proof of envoye ZDI [2]. On y apprend que Luigi avait russi
Concept) fonctionnel. dclencher la vulnrabilit, mais quil navait probablement
Une polmique clate le 16 mars (3 jours aprs la sortie du pas de code dexploitation fonctionnel.
correctif), lorsquune preuve de concept chinoise permet- Bien que la communaut continue de chercher un moyen
tant de dclencher la vulnrabilit est apparue sur Internet dobtenir le fameux Remote Code Execution , des soci-
(provoquant un BSOD). Luigi Auriemma, annonce alors que ts spcialises dans le dveloppement de code dexploita-
cette preuve de concept est identique celle envoye tion comme Immunity [6] ou VUPEN avouent que lcriture
la socit ZDI. Une fuite chez ZDI ou Microsoft aurait donc de celui-ci est ardue.
permis dobtenir un PoC en 3 jours.
Kostya Kortchinsky qui a pass 5 jours sur lanalyse de cette
vulnrabilit concde mme Evidemment, il me faudrait
passer 25 jours supplementaires travailler sur cette vul-
nrabilit pour tenter den puiser les possibilits, mais
MS12-020 ne me semble pas super exploitable distance.
Localement cest une autre histoire...
Lorsquune vulnrabilit est trop complexe exploiter o

45
que celle-ci nest pas suffisamment stable, elle est gn-
ralement dlaisse. 30 jours se sont prsent couls et
aucun code dexploitation na t rendu public.
Un script Nmap est disponible afin de tester la prsence de

la vulnrabilit distance et ce sans provoquer de BSOD [7].
A noter que la vulnrabilit peut tre exploitable en local

afin dlever ses privilges [6]
Rfrences
CXA-2012-0436, CXA-2012-0431, CXA-2012-0418, CXA-
2012-0394
+ Blog de Luigi Auriemma

http://aluigi.org/adv/ms12-020_leak.txt
[2] http://aluigi.org/adv/termdd_1-adv.txt
+ Blog Microsoft
[3] http://blogs.technet.com/b/msrc/archive/2012/03/16/
proof-of-concept-code-available-for-ms12-020.aspx
[4] http://technet.microsoft.com/en-us/security/bulletin/
ms12-020
+ Twitter de Luigi Auriemma

[5] https://twitter.com/#!/luigi_auriemma
+Billet de Kostya Kortchinsky

[6] http://expertmiami.blogspot.fr/2012/03/ms12-020-
round-up.html
+ Script Nmap
[7] http://www.reddit.com/tb/rfm6d
Rfrences
http://bugslap.com/comics.htm
46
LE white-paper du mois
par Pierre TEXIER
C.O.D Library
Verizon - Data Breach investigation report Verizon note enfin que le niveau de complexit des attaques
demeure relativement faible. Celles-ci seraient vitables
Verizon a publi la version 2012 de son rapport intitul par de simples mesures ou contrles. cet effet, Verizon
Data Breach Investigations Report. Ce rapport a t publi met en avant des prconisations cls destines rduire
fortement les risques de telles brches :
quelques jours avant lattaque subie par Global Payment.
+ assurer un filtrage adquat des accs externes;
Ltude effectue cette anne par la socit amricaine + durcir les identifiants et mots de passe utiliss par les
ressources accessibles depuis Internet;
porte sur un peu plus de 850 incidents reports. Les investi-
+ supprimer les donnes inutiles;
gations techniques menes visent identifier les pratiques
+ suivre les vnements de scurit;
des attaquants (types de vulnrabilits exploites, catgo-
ries dquipements cibles, etc.). Lobjectif est de dgager + valuer les menaces au pralable afin de prioriser les
actions entreprendre pour anticiper ces incidents.
les tendances principales et les volutions par rapport aux
annes passes.
http://www.verizonbusiness.com/resources/reports/rp_
Selon le rapport publi, la majorit des infractions provien- data-breach-investigations-report-2012_en_xg.pdf
drait dattaques externes. Celles dorigine internes seraient,
daprs Verizon, moins dtectes ou davantage censu-
res par les entits victimes.
Concernant les petites structures, Verizon estime que la plu-

part des attaques sont conduites de manire opportuniste
et non bases sur un rel choix pralable des cibles. Les
pirates se concentreraient donc sur les entits juges les
plus faibles afin de conduire des attaques automatises,
grande chelle, qui reprsenteraient pour eux un risque mi-
nime. En revanche, les organisations importantes seraient
davantage concernes par des attaques cibles.
Les techniques majeures employes par les pirates repose-

raient sur des attaques logiques et la propagation de pro-
grammes malveillants. Les quipements daccs distants et
les applications Web constitueraient les principales cibles
de ces attaques.
Parmi les volutions par rapport aux annes prcdentes,

lanalyse voque invitablement une hausse de lhack-
tivisme, directement lie aux nombreux vnements de
lanne 2011 attribus notamment au groupe Anonymous.
47
Le Phishing du mois

par Adrien GUINAULT
kennytyy
Paul Wilkinson
Zeus et US Airways Une fois le lien suivi, linternaute est dirig vers de nom-
breux domaines diffrents :
Ce mois-ci intressons-nous une attaque de phishing + http://hotelpunakora.cl/DnAp2Ghm/index.html
perptre par le malware Zeus. Une campagne de spam + http://moscalb.ro/us.html
a t mene durant le mois davril. Lemail envoy tait + http://boemelparty.be
assez bien ficel mais vraiment trop particulier pour faire un + http://nhb.prosixsoftron.in
maximum de victime. + http://sas.hg.pl
+ http://www.vinhthanh.com.vn
Lemail suivant propose de confirmer un billet de rserva- + http://www.alpine-turkey.com
tion pour un vol pour Washington. + http://www.thedugoutdawgs.com
48
Le Phishing du mois
Dans notre cas, nous avons t confronts aux deux pre-

miers domaines. Rfrences
http://www.scmagazine.com/flight-check-in-emails-lead-
to-zeus-infection/article/235043/
http://www.securelist.com/en/blog/208193439/A_gift_
from_ZeuS_for_passengers_of_US_Airways
http://www.net-security.org/malware_news.php?id=2054
Ces deux sites embarquent une iframe qui redirige linter-

naute vers une page obfusque.
Dans le premier cas, le malware est directement propos

en tlchargement.
Dans le second cas, nous sommes redirigs vers un site
hbergeant le kit dexploitation Blackhole qui tentera dex-
ploiter plusieurs vulnrabilits du navigateur (voir article
sur les kits dexploitation dans lActuScu #30).
Conclusion
Bien que cette campagne de spam repose sur un sujet qui

peut veiller les soupons des internautes, il est probable
que cette campagne de spam mene par le malxware Zeus
ait fait un grand nombre de victimes.
49
Blog, logiciels et Twitter
chaque parution, dans cette rubrique,
nous vous prsentons des outils libres, des
extensions Firefox, ou encore nos sites web
prfrs.
Pour cette dition, nous avons choisi de

vous prsenter OSSEC, SWF Investigator
ainsi quune slection des profils Twitter
suivis par le CERT-XMCO.
Alexis COUPE
Will Clayton
Maximilian
BLOGS OSSEC
HIDS et analyseur de logs
LOGICIELS
TWITTER
SWF Intruder
Outil daudit de fichiers SWF
Top Twitter
Une slection de comptes Twitter suivis par le CERT-XMCO
50
> OSSEC
Description
OSSEC est un systme de dtection dintrusion Open

HIDS et analyseur de logs Source de type HIDS (Host-based Intrusion Detection Sys-
tem). Cette solution, trs efficace pour dterminer si un
DISPONIBLE A LADRESSE SUIVANTE : hte est compromis, est destine dtecter une activit
http://www.ossec.net/main/downloads anormale.
Les fonctionnalits principales concernent lanalyse de

journaux dvnements (logs), la dtection de chevaux de
Troie/rootkit et lmission dalertes en temps rel.
Avis XMCO
OSSEC fonctionne sur la plupart des systmes dexploita-
tion disponibles sur le march : Windows, Linux, Mac OSX,
OSSEC est un excellent HIDS capable de jouer le rle dun Solaris, HP-UX, AIX et VMware ESX, etc. Il est lun des HIDS
FIM (File Integrity Monitoring) mais galement danalyser les plus simples dinstallation et dutilisation.
un grand nombre de logs diffrents et remonter en temps
rel des alertes. Il sappuie sur un schma client/serveur. Les alertes sont
classes suivant 15 niveaux (levels) diffrents en fonction
Cet outil est particulrement utile et efficace. Le client de la criticit. Une application Web pour administrer cette
fonctionne sur un grand nombre de systmes et peut par- solution est galement disponible via un package suppl-
ticulirement tre adapt un environnement PCI DSS. mentaire.
51
> SWF Investigator Description
Analyseur de fichiers SWF Lapplication SWF Investigator est une suite doutils Open
Source mise disposition par Adobe. Ddie aux cher-
DISPONIBLE A LADRESSE SUIVANTE : cheurs en scurit, mais galement aux dveloppeurs,
http://sourceforge.net/adobe/swfinvestigator/wiki/ elle permet de manipuler les fichiers Flash (.swf) avec une
Home/ grande simplicit.
Le logiciel a lavantage dtre multiplateforme. Il repose

sur lenvironnement Adobe Air.
Avis XMCO Parmi les fonctions disponibles, il permet, entre autres, de

fournir des informations dtailles sur les fichiers Flash,
SWF Investigator est une excellente application pour tu- dexcuter et de dsassembler le binaire, de le modifier
dier les menaces au sein de fichiers SWF que des scanners la vole via un diteur hexadcimal, de dcompiler le
automatiques ne sont pas en mesure danalyser. code ActionScript, de fuzzer le fichier la recherche de
vulnrabilits de type Cross-Site-Scripting (XSS), etc.
Ce logiciel est un couteau suisse pour manipuler un fichier

SWF, tout comme APKInspector lest pour manipuler une
application Android.
52

> Slection des comptes Twitter suivis

par le CERT-XMCO
@NetbiosX http://twitter.com/#!/netbiosX
Clment Lecigne (@_clem1) https://twitter.com/#!/_clem1
Luigi Auriemma (@luigi_auriemma) https://twitter.com/#!/luigi_auriemma
Florent Hochwelker (@TaPiOn) https://twitter.com/#!/tapion
@SANSForensics http://twitter.com/#!/sansforensics
Chris John Riley (@ChrisJohnRiley) http://twitter.com/#!/ChrisJohnRiley
Team Cymru (@teamcymru) http://twitter.com/#!/teamcymru
@webDEVIL https://twitter.com/#!/w3bd3vil
Nicolas Krassas (@Dinosn) https://twitter.com/#!/Dinosn
Jean Marc Manach http://twitter.com/#!/manhack
53
Romain MAHIEU
> Remerciements
Articles
Roger Schultz
http://www.flickr.com/photos/elaws/3774497818/sizes/o/in/photostream/
Gloria Garcia
http://www.flickr.com/people/fl4y/
Taiyo Fujii
http://www.flickr.com/photos/t_trace/3028211311/sizes/o/in/photostream/
Andrew Thielen
http://www.flickr.com/photos/mag/4441573588/sizes/o/in/photostream/
Daniel Goude
http://www.flickr.com/photos/goude/2627701686/sizes/o/in/photostream/
AHT
http://www.flickr.com/photos/hturkhan/4829842649/sizes/l/in/photostream/
Adriano Gasparri
http://www.flickr.com/photos/4everyoung/220412890/sizes/m/in/photostream/
COD Library
http://www.flickr.com/photos/codlibrary/2278168996/sizes/l/in/photostream/
Projet 404
http://www.flickr.com/photos/project-404/2715871193/sizes/o/in/photostream/
Peter Van Eeckhoutte

www.corelan.be
Paul Wilkinson
http://www.flickr.com/photos/eepaul/4891013120/sizes/o/in/photostream/
Will Clayton
http://www.flickr.com/photos/spool32/4633177036/sizes/o/in/photostream/
Erich Ferdinand
http://www.flickr.com/photos/erix/
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet
de conseil XMCO. Sa vocation est de fournir des prsentations claires et dtailles sur le
thme de la scurit informatique, et ce, en toute indpendance. Tous les numros de
lActuScu sont tlchargeables ladresse suivante (versions franaises et anglaises) :
http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html
54
11 bis, rue de Beaujolais
75001 Paris - France
tl. +33 (0)1 47 34 68 61

fax. +33 (0)1 43 06 29 55
mail. info@xmco.fr
web www.xmco.fr
SAS (Socits par Actions Simplifies) au capital de 38 120 - Enregistre au Registre du Commerce de Paris RCS 430 137 711
Code NAF 6202A - NSIRET : 430 137 711 00049 - N TVA intracommunautaire : FR 29 430 137 711
www.xmco.fr

XMCO ActuSecu 31 R2D2 Pharmacies Fictives

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

XMCO ActuSecu 31 R2D2 Pharmacies Fictives

Încărcat de

Drepturi de autor:

Formate disponibile

actu

Et toujours les blogs, les logiciels et nos Twitter favoris !

we deliver security expertise

000 fois, avec certains qui lont t plus de 15 000

Paralllement, nous intervenons auprs de Directions Gnrales

Pour contacter le cabinet XMCO et dcouvrir nos prestations :

Certification PCI DSS

Cert-XMCO : Veille en vulnrabilits et

Cert-XMCO : Rponse intrusion

Medicaments et Internet, les

Blogs, logiciels et exten-

Conformment aux lois, la reproduction ou la contrefaon des mo-

R2D2, lespion allemand

> Un cheval de Troie classique ?

Le cheval de Troie, compos dune libraire dynamique

Le cheval de Troie a apparemment t cod en langage

La liste des logiciels autoriss accder Internet surveil-

Pour rcuprer le nom de lexcutable correspondant au

Adresse du C&C La principale fonction de ce cheval de Troie tant de rcu-

Depuis laffaire R2D2, le gouvernement amricain

En effet, les agents en charge de lenqute auraient

La valeur 100007fh reprsente ladresse IP 127.0.0.1 en

En analysant les rfrences cette fonction, on dcouvre

La fonction se trouve loffset + 4 du tableau.

En se rendant ladresse de ce tableau, on retrouve des

Appel de la fonction 0zapftis_send par son adresse dans

On observe galement que plusieurs appels des l-

Le suivi de la fonction send , nous permet daffirmer

En regardant les appels la fonction recv de la librairie

Lanalyse du chiffrement nous a appris que les commu-

La chaine une fois dchiffre :

Voici la suite de 3 paquets envoys lors de la premire

Une fois quelle a t initie, R2D2 envoie priodique-

+Liste des logiciels et des patchs installs ;

Le C&C peut envoyer une commande permettant duploa-

Le fichier va ensuite tre excut grce la fonction

Comme cela a t vu prcdemment, le chiffrement nest

Par ailleurs, les communications entre le centre de com-

Enfin, si une vulnrabilit tait dcouverte au sein du

Mdicaments et Internet, les liaisons

Les experts nignorent pas que les mdicaments contre-

A travers lexemple d Evapharmacy , lun des plus im-

Concernant la possibilit de leurs fermetures, notons

Le spam, arme absolue de persuasion

Si le traditionnel spam vantant les mrites du viagra fonc-

Exemple dune des annonces dEvapharmacy sur un forum

Le potentiel de nuisance dEvapharmacy dcuple ds

Alex Polyakov aurait-il fait une erreur en choisissant cette

Pour spammer, Evapharmacy

Par exemple, un compte bancaire aux

Il suffit den informer les dirigeants

Si la plupart de ces noms sont inconnus du grand public, > INFO

Les 100 milliards de dollars de bnfices que le spam

Concernant Evapharmacy, cette dernire est la cliente de

+ Fabriquer des mdicaments contrefaits nest assorti

Le site web du laboratoire ne convainc pas dune relle

Tulip Lab, fort de ses 10 50 millions de dollars de vente

Le packaging est de bonne qualit avec un bon respect de

Le mdicament contrefait prsent ci-dessous, lhydro-

Les contrefacteurs ne connaissent donc aucune difficult

Le Ministre de la sant semble pencher pour le moment

> Les GSdays de la direction dont lidentit a t usurpe.

Cette dmonstration de quelques minutes a t explicite

Dans le mme temps, on a aussi observ une volution des