Académique Documents
Professionnel Documents
Culture Documents
00 7
Il y a un an, je rdigeais mon dito, pour En ce qui concerne notre approche du Cette prise de conscience sera salvatrice
le premier numro de notre newsletter. secteur, il me semble que le contexte a pour le domaine de la scurit informa-
Ma volont tait claire : produire un volu depuis lanne dernire : en effet, tique : en effet, cest en ralisant quel
document de qualit, qui traiterait de l les prospects que nous rencontrons au- point ce domaine mrite une approche
informatique de manire objective et jourdhui semblent plus prudents, plus particulire et des solutions spcifiques
abordable pour la plupart de nos interlo- rceptifs lgard de nos dmarches que nous pourrons enfin rpondre aux
cuteurs. itratives et tales dans le temps. Il attentes de nos clients et de leurs direc-
Un an plus tard, je tiens tout particuli- semble fini le temps des audits masto- tions gnrales.
rement remercier mes collaborateurs dontes, des logiciels usine gaz cen- Pour ce numro anniversaire, il sem-
pour leurs participations actives la ss tout faire, parfaitement, en mode ble que le numro 12 occupe une place
ralisation de ce petit magazine, et tout plug and play . particulire ce mois-ci : 12 vulnrabili-
particulirement l'un d'entre eux, qui se ts Microsoft, 12 candidats la prsi-
reconnatra. En effet, je peux tmoigner dentielle, 12 numros de lactu-scu...
de leurs motivations, mois aprs mois, Faut-il y voir un quelconque prsage, un
pour identifier des thmes, des pistes de destin exceptionnel pour notre newslet-
recherches, des schmas, des photos, ter ? Nous le souhaitons tous ici !
etc. Le dernier numro a t tlcharg
Je vous laisse dsormais parcourir ce
215 fois sur notre site web !
numro, en esprant secrtement que
Pas mal pour une newsletter spcialise vous serez toujours plus nombreux
qui ne bnficie d'aucune publicit... nous tlcharger. Bonne lecture !
Enfin bref, cessons l l'autosatisfaction, Marc Behar
bien mrite nanmoins.
Fvrier 2007
Nombre de bulletins Microsoft : 12
Nombre dexploits dangereux : 17
Nombre de bulletins XMCO : 142
1. HckPk : 50,3%
2, Netsky : 15,1%
3, Mytob : 12,5%
4, Zafi : 4,8%
5, Sality : 3,8%
XMCO | Partners
Phone Home est une expression employe pour la pre- Comment ces donnes sont-elles envoyes? La transmis-
mire fois, il y a quelques annes, dans le film E.T de sion des informations diffuses par ce genre de logiciels est
Spielberg. Ce terme dsigne, aujourdhui , un type de logi- totalement transparente pour la victime. Une fois connect
ciel dapparence lgitime, qui va discrtement communiquer sur Internet, le logiciel, lanc gnralement au dmarrage
avec un serveur distant dans le but de rcolter des informa- de la machine, va excuter certaines commandes afin de
tions propres aux utilisateurs. rcuprer diffrentes donnes qui seront envoyes un
Les diteurs prtendent utiliser cette fonctionnalit dans un serveur tiers.
but purement pratique savoir: permettre une assistance en Peu dinternautes ont dj pris la peine dtudier les pa-
cas de problme ou transmettre une clef dautorisation. quets qui sortent de leur ordinateurs mais vous seriez cer-
Mais lobjectif rel est tout autre. Il rside dans lobtention tainement surpris par le trafic qui y transite. Aucune crainte
dinformations pertinentes qui contribueront analyser le avoir, la plupart des informations sont lgitimes. Seule-
comportement de lutilisateur afin de mieux comprendre ses ment quelques donnes chiffres y sont jointes. Le but est
besoins et ses habitudes. de renvoyer un simple paquet pratiquement invisible aux
WWW.XMCOPARTNERS.COM
yeux des utilisateurs les plus avertis.
Lexemple Microsoft
WGA : une simple mise jour de scurit?
INFO...
sure didentifier les ordinateurs qui refusent dinstaller les
mises jour.
Bibliographie
Enfin, en janvier 2006, Zone Alarm avait galement attir [3] Suspicions sur le logiciel Zone Alarm
lattention dutilisateurs. La version 6.0 envoyait galement http://www.infoworld.com/article/06/01/13/73792_03OPcringl
des donnes chiffres quatre serveurs diffrents. Cette
ey_1.html
XMCO | Partners
Rappel
Fonctionnement dune requte/rponse du Si le serveur web hberge rellement la page demande, il
protocole HTTP vous renverra la rponse suivante :
http://www.site.com/index.php?menu=choix1
La requte envoye par votre navigateur web est constitue Chaque champs de lentte HTTP est dlimit par deux
de nombreuses informations (page demande, mthode caractres CR (Carriage Return \r ou Retour Chariot en
utilise, version du protocole HTTP, domaine, type de navi- franais) et LF (Line Feed qui indique qu'il y a lieu de passer
gateur utilis par le client, cookie de session si besoin est la ligne suivante: \n). Cette association de caractres
...). Dans la suite de cet article, les requtes envoyes par est considre par de nombreuses applications et de nom-
WWW.XMCOPARTNERS.COM
le client seront matrialises par un cadre rouge et les r- breux protocoles comme des dlimiteurs.
ponse du serveur par un cadre jaune. Lors du traitement, ds que cette suite de caractres est
identifie, le programme retourne simplement la ligne. Le
GET www.site.com/index.php?menu=choix1 HTTP/1.1 dernier champs dune requte HTTP est alors suivi de deux
Host: www.site.com entres CRLF pour indiquer la fin de l'entte et le dbut du
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; corps de la page.
rv:1.8.1.2) Gecko/20070219 Firefox/2.0.0.2 Paros/3.2.13
Accept:
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,
text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://www.site.com/
Cookie: BX=d0p8o6t2slsi8&b=3&s=17
<? Un exemple
header("Location:
http://www.xmcopartners.com/goto.php?id=" . Dans certains cas (en particulier pour les redirections), la
$_GET['id'] );
rponse du serveur va inclure l'url demande au sein du
?>"
paramtre Location. L'enjeu de la russite de l'attaque
se situe cet endroit prcis. Dautres paramtres peuvent
tre utiliss pour mener cette attaque. Nous tudierons,
Dans notre cas, nous essayons datteindre la page cependant, le cas prcis du paramtre Location.
/redir.php?id=menu du serveur xmcolabs. Reprenons notre requte :
18
18
19
Reprenons l'exemple dcrit dans le paragraphe prcdent. 16
12
mme session. Il est possible de forcer le serveur ren- 10
voyer deux rponses. La seconde contiendra le code HTML 8
9
Etape 2: Le serveur sacquitte des trois requtes par des rponses distinctes sans filtrer les enttes :
Etape 3: Le proxy intercepte toutes ces rponses et les distribue vers les clients en fonction de lordre darrive :
rponses X1 et X2.
INFO...
Il existe des moyens et des outils spcialiss dans la dtec-
tion de telles failles. Les scanners applicatifs sont dailleurs
efficaces dans ce domaine. Mais peut-on identifier simple-
ment de telles problmes avec un simple navigateur? La
rponse est oui!
La mthode a t rcemment propose par le gourou de ce Linjection de caractre CRLF utilise dans
type dattaque M. Amit Klein. dautres buts...
Lide est simple. Au lieu de tester lapplication avec une
requte excessivement longue, il suffit de dmontrer com- Les injections CRLF peuvent tre utili-
ment un nouvel entte usurp peut tre inject. Cette tech- ses dans de nombreux cas.
nique semble fonctionner 9 fois sur 10. Nous avons vu le fonctionnement applica-
tif d'un serveur web. Il est galement
Nous allons simplement tenter dinjecter un cookie avec la possible de soumettre de tels caractres
requte suivante: en entre de programme. Une application
vulnrable une injection CRLF et qui
http://www.xmcolabs.com/id=menu%0d%0aSet-Coo accepte des arguments comme "ls -a", se-
kie:%20HTTP_response_splitting%3dYES%0d%0aF rait berne par la commande suivante :
oo:%20bar ls -a File.txt<CR><LF>rm -rf /
Lurl qui nous intresse sera injecte au sein du paramtre L'application excuterait la commande
id= afin de forcer le serveur renvoyer la rponse suivan- "ls -a File.txt" puis "rm -rf" (suppres-
te: sion de tous les fichiers du rpertoire
courant).
Mme remarque pour certains sites web
HTTP/1.1 302 Found qui offrent la possibilit d'envoyer des
Date: Wed, 21 Mar 2007 18:00:03 GMT
courriers lectroniques sans en conna-
Server: Apache/1.3.33 (Win32) PHP/4.3.10
X-Powered-By: PHP/4.3.10
tre le destinataire via des formulai-
Location: http://www.xmcopartners.com/goto.php?id=menu res). En entrant dans le champs "Sujet"
Set-Cookie: HTTP_response_splitting=YES la ligne ci-dessous :
Foo: bar Subject: Offre d'emplois <CR><LF>Bcc:
Content-Type: text/html
xmco@xmcopartners.com
L'application va soumettre ces donnes
qui seront converties en un email SMTP
En utilisant une fonctionnalit des navigateurs (sous IE format. Les diffrents champs tant s-
Outils Option ConfidentialitAvanc), nous pour- pars par des caractres CRLF, une copie
rons savoir si nous recevons le cookie HTTP_response_s- cache sera discrtement envoye au pi-
plitting=YES. rate qui obtiendra donc l'email du des-
tinataire en question.
Explications
XMCO | Partners
CODE ...
rabilit en 1994
INFO VIRUS
cette vulnrabilit et obtenir des informations sensibles sur
la configuration de Jboss, causer un dni de service en
changeant certains paramtres et invoquer certaines fonc-
tions.
La faille Telnet rapidement exploite
OUTILS LIBRES
Chaque mois, nous vous
prsentons les outils li-
bres qui nous paraissent
utiles et pratiques.
Les logiciels abords
sont varis : utilitaires
de dveloppement, scuri-
t et autres programmes
utiles, voir indispensa-
bles, en entreprise.
XMCO | Partners
WWW.XMCOPARTNERS.COM
Google Desktop
Recherche locale de fichiers/Informations en temps
rel
Version actuelle 5.0
Utilit
Type Utilitaire
Description Google Desktop est, comme son nom lindique, un logiciel dvelop-
p par la socit Google. Il a pour but de faciliter la recherche de
fichiers sur son ordinateur via linterface Web la plus connue de la
Toile. Vous pourrez ainsi retrouvez toutes les informations de votre
PC (e-mails de tous les clients utiliss).
WWW.XMCOPARTNERS.COM
Capture dcran
Tlchargement Key Pass Password Safe est un outil libre disponible sur toutes les
plates-formes(Windows, Linux, Mac OS X) et pour PalmOS/Pocket
WWW.XMCOPARTNERS.COM
PC ladresse suivante:
http://keepass.info/download.html
Avis XMCO Key Pass est un trs bon outil de sauvegarde de mots de passe. Il
vous permet de grer un grand nombre de donnes de manire s-
curise (base de donne chiffre par une clef solide).
Vmware Converter
Conversion de machines physiques
Version actuelle 3.0
Utilit
Capture dcran
Avis XMCO Linterface de Vmware Converter est trs simple. Il intgre un assis-
tant qui vous guide pas pas. Loutil peut mme grer des fichiers
divers (image Ghost ou Virtual PC). Le processus de conversion est
un peu long mais lutilitaire a lavantage dtre gratuit!
TestDisk
Rcupration de donnes
Version actuelle
Utilit
Capture dcran
http://www.cgsecurity.org/wiki/TestDisk_Download
WWW.XMCOPARTNERS.COM
Avis XMCO Cet utilitaire savrera pratique et mme essentiel pour les pro-
blmes rencontrs sur des partitions systme.
4.1.22 http://dev.mysql.com/downloads/mysql/4.1.html
2.0.59 http://httpd.apache.org/download.cgi
1.3.37 http://httpd.apache.org/download.cgi
ARPWatch ftp://ftp.ee.lbl.gov/arpwatch.tar.gz
Netmeeting
Extensions http://extensions.geckozone.org/Firefox/
Firefox
WWW.XMCOPARTNERS.COM