XMCO ActuSecu 22 Vol D Identite

LACTUSCU 22
LE VOL DIDENTIT SUR INTERNET
S OM M AIR E
L e v o l didentit sur Inter net : Comment les cybercriminels accd e n t - i l s
vo s d on n e s p e rson n e l l e s?
L e s c e r t ificats MD5 et les certificats MD5 : Prsentation de la fail l e M D 5

et d e s m t h od e s d e xp l oi ta ti on a sso cies
L a v er Co n ficker : Pr se nta tio n co mplt e du ver et de ses par t icular i t s
L a c t u alit du mois : Safari et les flux RSS, Local root sur FreeB S D , l e s
f a i l l e s I E ( M S 08-078 et MS09-002), la pile Bluetooth Windows Mobile e t l e I n -
P h ish i n g . . . .
Les blogs , logic ie ls e t e xte n s i o n s s c u r i t . . .
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

strictement interdite. [1]
LACTU SCU N22
Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS
Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley
Veille en vulnrabilits
Suivi personnalis des vulnrabilits et des correctifs affectant votre Systme d'Information
Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware
Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?
Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.
propos du cabinet Xmco Partners
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.
Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/

WWW.XMCOPARTNERS.COM

LEDITO N U M R O2 2
Le pouvoir de conviction des mathmatiques est trange...

Il suffit de coller une formule la limite de l'utilisation des concurrents... Pus la peine de
complexe sur un problme pour mathmatiques ? Pourquoi ne pas chercher comprendre comment
croire aveuglment la solution. gnraliser leur usage d'autres se remplissent les propositions
C'est normal, il s'agit d'une science domaines ? commerciales, ni mme de
exacte, au sein de laquelle, tout ce commander en ligne LA boule de
qui est dit peut et doit tre Quel acheteur n'a jamais rv cristal des SSII (ne cherchez pas
dmontr. Pourtant, cette exigence d'une formule magique, comme vous la procurer, elle est rserve
n'est valable que dans le monde de celle, volontairement provocante, trs peu d'lus....). D'un autre ct,
la recherche, ou pendant les du titre, lui permettant de calculer, a limiterait les coups d'clats des
classes prparatoires... Qui cot (coup) sr, le forfait idal pour jeunes commerciaux aux dents
aujourd'hui, lorsqu'il installe un une prestation de service ? longues, tellement fiers d'avoir
produit de chiffrement de son Imaginez le rve que reprsenterait vendu 30 000 un travail qui ne
disque dur, vrifie la robustesse de la publication de telles formules rclame que quelques heures d'un
son algorithme ou la longueur de sa pour les clients : avant mme de stagiaire... En tout cas,
cl ? Et pourtant, est-ce que le VPN lancer une consultation pour un test heureusement que de tels abus
ou le protocole HTTPS ne d'intrusion externe, nous pourrions n'existent pas, sinon les
reprsente pas LES solutions calculer le nombre de jours mathmatiques seraient rendues
ultimes de scurit au yeux du plus ncessaires la mission, et par l obligatoires par les tribunaux de
grand nombre ? mme, carter les rponses les commerce....
plus fantaisistes.
Pour autant, peut-on passer ses Allez, je vous laisse dcouvrir ce
journes remettre en question les nouveau numro de l'Actu-scu,
thormes complexes, et les pendant que de mon ct, je
formules savantes qui nous ont retourne mes feuilles Excel pour
Que de temps gagn pour tout le
permis d'atteindre des niveaux de finaliser ces formules que vous
monde ! Plus la peine d'inventer
scurit acceptables pour un grand attendez tant ! :-)
des explications alambiques pour
nombre de produits ? Il est bien
justifier une charge de travail 3 fois
vident que non. Mais alors, o est Marc Behar
suprieure celle avance par les

LE VOL DIDENTIT SUR INTERNET P. 5 SOMMAIRE
Le vol didentit sur Internet..................5

Prsentation dexemples et des mthodes utilises par
les pirates pour voler une identit sur Internet.
Les collisions MD5 et les certificats...18

LES COLLISIONS MD5 ET LES
P. 18
Prsentation et explications de la vulnrabilit et des
consquences.
CERTIFICATS
Conficker, le virus la mode...............27

Analyse du virus et ses particularits.
LActualit scurit du mois................37

Analyse des vulnrabilits et des tendances du
moment.
Les Blogs, logiciels et extensions

scurit.......................................................48
Jeremiah Grossman, Secunia PSI, Local Rodo
CONFICKER, LE VIRUS A LA MODE P. 27 XMCO | Partners
LACTUALITE DU MOIS P. 37 P. 48
BLOG, LOGICIELS ET EXTENSIONS SECURITE

LACTU SCU N22
LE VOL DIDENTIT Le vol didentit : techniques,

mthodes et exemples...
SUR INTERNET Le vol didentit au sens large

est un terme relativement vague
qui englobe un grand nombre de
sujets.
Dans le cadre informatique, le

vol didentit ou le vol de
donnes personnelles est
devenu, au fil des annes, un
jeu pour les script-kiddies et
une relle source de gain pour
les cybercriminels.
Comment sy prennent-ils pour

voler votre compte mail ou pour
accder votre compte
bancaire? Quelles sont les
mthodes les plus utilises?
Et, enfin, comment sen
protger?
Quelques pistes dans cet
article...
XMCO | Partners
Le vol didentit est la mode. Les journaux Les rcents exemples

tlviss, la presse et les sites web dinformation vous Britney, Obama et Twitter...
rappellent toutes les semaines, avec des exemples
concrets, les risques encourus lorsquun internaute Entrons directement dans le vif du sujet avec quelques
napplique pas les principes de base sur Internet ou exemples dactualit. Il y a quelques semaines, la
dans une entreprise. presse a rvl que de nombreux comptes Twitter
avaient t pirats.
Quelques exemples marquants nous ont montrs
rcemment avec quelle facilit, des pirates amateurs Des pirates ont russi usurper les comptes Twitter
pouvaient voler, puis usurper lidentit des de plusieurs personnalits dont notamment ceux de
victimes. Citons notamment le vol didentit de Patrick Britney Spears et de Barrack Obama.
Bruel sur Facebook ou le vol du compte Yahoo mail de
Sarah Palin qui a fait grand bruit. Les pirates ont modifi lapparence des profils et ajout
des commentaires afin de prciser quils taient bien
Qui na jamais t sollicit pour aider un ami qui stait passs par l.
fait voler son compte MSN ou Facebook ? Combien

dentre vous ont dj reu (et peut tre cliqu) sur des Ds la publication des premires informations et
liens dapparences trompeuses? compte tenu du buzz li au dfacement du profil de
Barack Obama, de nombreuses hypothses ont
Cet article a pour objectif de faire un tour dhorizon immdiatement t mises. La plus srieuse dentre
des techniques employes par les pirates afin de voler elles annonait une attaque de Phishing qui aurait
des comptes ou des informations personnelles sur permis daccder ces profils tant convoits.
Internet.
Malheureusement pour nous, pas de 0-day ou
Nous expliquerons notamment les principes de bases dexploitation astucieuse de failles de scurit ni mme
pour viter ce genre de malversation. dattaque de Phishing qui aurait touch directement le
prsident le Hack du mois est en ralit une attaque
de brute force sur un compte administrateur gnial!

LE VOL DIDENTIT SUR INTERNET LACTU SCU N22
Pire encore, le pirate a ensuite avou navoir utilis

aucun proxy ni aucune machine pralablement
compromise pour mener bien son attaque.
Revenons sur les dtails de cette histoire.
Le pirate, g de 18 ans, visitait tranquillement le site

de Twitter et a voulu samuser en ciblant un compte
nomm Crystal qui apparaissait souvent dans les
commentaires de sujets diverses. Ce compte
appartenait un administrateur de lapplication et
possdait malheureusement un mot de passe faible,
le comble pour un administrateur
Aprs une nuit dattaque avec un dictionnaire, le pirate

a finalement trouv le mot de passe du compte utilis
savoir le mot happiness, mot prsent dans un Aprs quelques analyses de logs, Biz Stone le
dictionnaire anglais de base. Le profil Crystal lui cofondateur de Twitter annona alors que les pirates
permettra alors dobtenir le mot de passe de tous les avaient bel et bien utilis une attaque par dictionnaire
comptes de lapplication. afin de trouver le mot de passe associ un compte
dadministration. Dautres recherches ont ensuite
Conscient quil tait peut-tre dangereux dutiliser ce permis de remonter vers la source de lattaque.
compte personnellement ( un peu trop tard non ?), le
jeune pirate nomm GMZ, avide de renomme dans le
milieu du hacking, a propos sur le forum Digital Aprs une nuit dattaque avec un
Gangster de donner laccs nimporte quel compte dictionnaire, le pirate a finalement trouv
Twitter sur simple demande.
le mot de passe du compte utilis savoir
Les comptes de Barack Obama, Britney Spears, Rick le mot happiness, mot prsent dans un
Sanchez (journaliste CNN) et de Kevin Rose (fondateur dictionnaire anglais de base...
de Digg) constiturent les premires demandes.
Lannonce a immdiatement fait frmir ladministrateur
Aprs avoir rinitialis ces comptes avec un nouveau du blog Digital Hacker qui a supprim de son forum les
mot de passe, GMZ donna ces mots de passe discussions malicieuses (threads) associes.
plusieurs membres du forum Digital Gangster. Cependant, quelques discussions oublies
Quelques heures plus tard, de nombreux messages concernaient toujours le hacker DMZ qui a donc t
farfelus taient posts sur les blogs Twitter de Barack identifi par ce biais.
Obama et de Britney Spears. Les responsables du site
furent ainsi avertis quun pirate tait pass par l. De surcroit, DMZ navait pas hsit vanter les mrites
de son attaque en publiant une vido toujours
disponible sur YouTube ladresse suivante : http://
fr.youtube.com/watch?v=IKNbggNJMVI

Le buzz, qui lon pourrait qualifier d effet Dan de M.Pektov par un groupe nomm Great Concil of
Kaminsky, lui a mme permis dtre interview dans Internet Superheros. Ce groupe de pirates prtendait
le clbre magazine Wired afin quil puisse donner les rendre justice en attaquant les chercheurs qui auraient,
dtails de son attaque. par le pass, t des Blackhat(vritables pirates) avant
Le jeune homme prtend avoir men son attaque par de se ranger du bon ct.
amusement : "for the fun of it (curiosity and self-
entertainment) I'll pen-test Twitter". Il est important
de prciser que DMZ ntait pas inconnu dans le milieu The Great Council of Internet Superheros, with
du hacking aprs avoir t blacklist de YouTube dans help of bl4qh4t l1b3r4t10n 4rmy commandos, has
le cadre dune affaire similaire. condemned Petko D. Petkov to public exposure,
A la suite de cette affaire, Twitter entend bien mener continuous siege and compromise of his electronic
des poursuites judiciaires aprs avoir tudi le and networked assets.
problme avec ses avocats.
We will strike with greate vengeance and furious
Plusieurs leons sont tirer de ce premier exemple. anger those who attempt to attack, discredit and
Tout dabord, lutilisation de mots de passe faibles offend our brothers. Using our amassed amounts
pour des comptes dadministration (ou non) devrait tre of awesomeness, super powers and truely useful
impossible sur les sites de type CMS (Content 0day, there will be no single networked machine
Management System). En outre, des mcanismes capable of withstanding our acts of justice. Oh we
didentification de telles attaques devraient tre en say. Now get the mailbox files and mirror them,
place: alertes dans logs, IDS, etc. son.
Enfin, comment peut-on encore autoriser des milliers de

tentatives dauthentification infructueuses sur un mme
Les pirates ont ainsi russi accder malicieusement
compte sans mettre en place un mcanisme de
la bote email du chercheur et publi - sur la liste Full
timeout ou de blacklist?
Disclosure - lintgralit des emails de Petko Petkov.
Dautres informations comme certaines coordonnes

Laffaire Petko Petkov (Gnucitizen)
bancaires, ladresse personnelle de sa petite amie
et galement des mots de passe reus lors
Deuxime exemple beaucoup moins connu, mais tout
dinscriptions diverses (Blackhat, Zone-h) ont
aussi intressant, lhistoire du chercheur en scurit
galement t sauvagement mis en ligne.
Petko Petkov. Ce spcialiste en scurit, qui a
notamment publi plusieurs reprises des sujets
intressants lors de confrences internationales, a lui
aussi t touch par un vol didentit.
Peu dinformations taient disponibles lpoque.

Cependant, un commentaire sur la liste de diffusion Full
Disclosure a rvl la compromission de la bote email

Les pirates du Great Concil of Internet Superheros ont Faille 0-day? Aide dun salari de Google? Aucune
ensuite lanc plusieurs discussions et mis en garde information na t dvoile....
dautres chercheurs de futures attaques : parmi eux,
des noms connus comme Dan Kaminsky ou encore Les pirates, qui ont sans aucun doute fait frmir plus
Joanna Rutkowska. dun chercheur connu, utilisaient, comme leur
habitude, un ton humoristique afin dexposer leurs
fabuleux pouvoirs.
The Great Council of Internet Superheros can't

reveal the source of its awesome superpowers. It is
beyond any human comprehension, and our
knowledge was transmitted through generations of
superheros in tight pants, ruling the digital realms with
an iron fist.
Our mission is to bring justice, joy and happiness. We

hack, we ruin, we condemn and prosecute those who
attack the innocent. We won't make piles of money
out of this, but eventually we might
charge some porn subscriptions and pizzas to your
doorstep on your credit cards.
Mr. PhD Petko D. Metkov, you assume that

performing acts of justice on your mbox was a difficult
challenge. You assume wrongly. The Great Council of
Internet Superheros doesn't need you to remind them
how good they are: they are fucking superheros,
moron. They can X-Ray your mailbox like Superman
on acid, fly through your IDS, spit fire at your antivirus
and crack your SSH keys at sight.
And certainly the superheros are in possession of

copious amounts of cocaine, meth, and Google
infrastructure 0day with their fingers on the triggers.
Aucune information sur les dtails de leurs attaques na Do not dare challenge their awesomeness. Only
pu tre obtenue. Pektov, qui utilisait certainement des
mots de passe solides, na toujours pas compris par death and Stone Age will save you.
quels moyens ces derniers avaient pu pirater son

compte comme le montre un dernier change de mail Last, the Great Council of Internet Superheros has
expos sur la mme liste de diffusion: was that 0day determined that anything unleashed unto the Internet,
within the Google infrastructure or somewhere else? stays on the Internet. No exceptions.
Les pirates du Great Council ont mis en See attached text contributed by a bl4qh4t l1b3r4t10n
4rmy commando known as 'p0lt3rg31st squ4dr0n'.
garde de nombreux chercheurs connus Not Mickey Mouse this time. Also, you don't need to
comme Dan Kaminsky ou encore Joanna mail us, just leave the message on your Drafts folder
Rutkowska... and we'll read it for you. Comprende?

INFO : SASSURER CONTRE LE VOL DIDENTIT? CEST
POSSIBLE!
C'est possible aux USA. La compagnie d'assurance Farmers propose une police d'assurance nomme
Identity Shield.
A la premire lecture de leur site, il s'agit d'une assurance contre le vol d'identit !
Une lecture plus approfondie rvle la nature de cette police spcialise.

Cette assurance rpond surtout une problmatique typiquement amricaine lie la confiance
porte dans le numro de scurit sociale en tant qu'identit.
En effet, le numro de scurit sociale est une information cl pour l'ouverture d'un crdit
financier aux tats-Unis. Un grand nombre de fraudes existent donc puisqu'il suffit d'avoir le
nom et le numro de scurit sociale de quelqu'un pour ouvrir un dossier de crdit. Pour
contrer les milliers de fraudes, l'tat amricain dispose des trois organismes pseudo-publics
appels "bureau de crdit national". Chaque citoyen est en droit de demander un "relev
d'identit" ces trois bureaux pour connaitre tous les crdits o son numro de scurit
sociale est utilis.
Les citoyens amricains doivent donc surveiller leur identit eux-mmes. Des sites web
proposent des services dits de "credit monitoring services" pour faciliter cette surveillance.
L'assurance Identity Shield fait tout cela - et plus - pour ses clients. L'assurance offre de
nombreux services aux clients en cas de compromission de leurs identits, une indemnisation de
1500$ et une couverture des frais engags pour retrouver leurs identits dans une limite de
28500$.
Identity Shield offre d'aider les victimes avec des experts juridiques, une hotline, des
conseils, la gestion des documents administratifs, des lettres recommandes, etc.
La compagnie Farmers sous-traite en ralit ce service une socit Identity 911, spcialise
dans "credit monitoring services" et le vol d'identit.
Cout de l'assurance : 65$ par an.
On notera que cette compagnie propose galement aux socits de sassurer contre le vol des
donnes de leurs clients.

Quest ce quun vol didentit? Nom et prnom mis part, citons les principales
informations prises par les voleurs didentit:
Le vol didentit englobe un grand nombre daspects
qui diffrent en fonction des pays, des interprtations, - Adresse email
des personnes, etc. - Adresse postale
- RIB
On peut considrer quil y a vol didentit lorsquune - Date de naissance
personne malicieuse russit, par un moyen technique - Nom de jeune fille de la mre
ou non, se faire passer pour une autre personne. - Numro dimmatriculation militaire
- Numro de tlphone portable
Trs concrtement, un vol didentit peut se rsumer au - Numro de scurit sociale
seul fait quun pirate qui connat le mot de passe de - Numro de permis de conduire
votre messagerie (Gmail, Hotmail) envoie des emails - Numro de carte bleue
dautres personnes en se faisant passer pour vous.
Ainsi, le pirate pourra crire votre femme, votre Rajoutons videmment cela, les logins et mots de
patron, vos amis, votre banque, etc et en tirer profit ou passe des nombreux sites web: webmail, banque en
tout simplement gnrer des nuisances importantes. ligne, forums, ebay, etc.
Mais le vol didentit peut aussi prendre un autre Le vol didentit peut avoir de fcheuses
aspect: une personne malicieuse peut crer (le vtre) consquences. Le point dentre royal pour un vol
et publie des billets en signant avec votre nom, votre didentit est la webmail dune personne. En effet,
prnom et - pourquoi pas - votre photo. laccs une simple bote email peut fournir un trs
Ds lors, les lecteurs vous tiendront directement rigueur grand nombre dinformations qui pourra tre rutilis
des propos tenus sur ce blog et il vous sera difficile par le voleur pour se faire passer pour vous : mots de
dexpliquer que ce nest pas vous. De nombreuses passe dautres sites, CV, photos personnelles, contacts,
stars en ont rcemment fait les frais sur Facebook en noms de vos amis, contenu des messages stocks, etc.
constatant lexistence de faux profils utilisant leurs Ds que le voleur a accs votre webmail, celui-ci peut
noms. se faire passer pour vous en envoyant des emails vos
contacts et dautres personnes. Si le pirate prend
Lexemple de la photo est rvlateur. Un pirate voulant quelques prcautions, vous ne vous en rendrez peut-
voler votre identit cherchera des informations tre mme pas compte immdiatement. Cest souvent
personnelles pour appuyer la crdibilit son mfait: la surraction des personnes qui le voleur envoie des
pour faire preuve. Un nom accompagn dune photo messages qui rvle le vol didentit.
permet de se faire aisment passer pour vous sur des Des cas de procs pour harclement, menaces,
blogs ou sur des forums. En citant des informations licenciement ou mme divorce lis un vol didentit
personnelles comme votre ville, votre numro de dune webmail existent.
tlphone, le nom de votre chien, les internautes
croiront facilement quil sagit vraiment de vous.
Des informations sensibles disperses WWW.XMCOPARTNERS.COM
Un vol didentit efficace demande lutilisation, de la

part du pirate, dinformations personnelles qui vous
identifient.
Par exemple, aux USA, le numro de scurit sociale

est recherch par les pirates.
En France, une date de naissance, une adresse et un

RIB permettent, dans plusieurs endroits, de se faire
passer pour quelquun dautre avec un pouvoir de
nuisance important.

Le vol didentifiant bancaire est la seconde voie

royale pour le voleur. Le vol des comptes sur les
banques en ligne peut tre dramatique (transfert
dargent sabotage de votre portefeuille), mais le simple
vol dun RIB peut galement tre nuisible. En effet,
beaucoup dentreprises exigent un RIB, pour vous
identifier les clients lors de crations dabonnements
des services (ADSL, EDF, magazines, etc.).
Malheureusement, les banques ne contrlent pas
100% les demandes de dbits lorsquelles manent
dinstitutions connues dignes de confiance.
Un voleur didentit peut donc sabonner des
services avec votre RIB quil a vol quelque part. Bien
sr, la supercherie ne durera pas longtempsou pas.
Tout dpend du talent du voler didentit et de la
surveillance que vous faites de vtre courrier et de
votre compte en banque.
Les fake hotspots

Les diffrentes attaques pouvant mener au vol Continuons notre liste en abordant les Fake Hotspot.
didentit Avez-vous dj scann les rseaux Wifi disponibles la
gare du Nord ? trangement de nombreux points
Le social Engeneering daccs sont ouverts avec des noms tranges
La premire mthode utilise par les pirates restera Les fake hotspots se rpandent peu peu jusqu des
toujours le social engeneering. Nos tests dintrusion ont salons connus (cf Infosec). Les frameworks
dj montr avec quelle facilit il est parfois possible dexploitation de vulnrabilits comme Metasploit
dobtenir le mot de passe dun compte via le simple incluent dans leur dernire version des outils (projet
envoi dun email spoof (provenant de Karmasploit) capables de mettre en place un fake
administrateur@banque-en-ligne.com). Ce type de mail hotspot et de nombreux services malicieux (POP3,
qui doit tre dsormais identifi par tous savre IMAP4, SMTP, FTP, HTTP).
pratique et efficace pour le voleur didentit. Dautres
mthodes plus volues de social engeneering Ainsi, une fois connects cet hotspot, plusieurs
fonctionneront toujours tant que les personnes auront modules rcuprent la vole vos mots de passe sans
confiance en leur prochain. avoir mettre en place une attaque Man in the Middle.
Les hotspots publics
Les hotspots publics font galement partie des lieux

privilgis o il est facile de capturer des cookies de
sessions ou tout simplement des logins et des mots

de passe utiliss pour accder des serveurs FTP,
Telnet ou HTTP. De plus, certains pensent que
lutilisation dune clef Wifi protge la confidentialit des
donnes envoyes par sa carte Wifi. Or cela nest vrai
que lorsque WPA est implment. En effet, et
contrairement au WEP, le WPA utilise une clef de
session drive de la clef partage par tous les
utilisateurs du rseau.
Ainsi, il est toujours possible dcouter (sniffer) les

donnes envoyes par les autres utilisateurs dun
hotspot protg par du WEP ou totalement ouvert avec
de simples outils disponibles sur Internet...

INFO
Des pirates InfoSec!!
Dans le cadre du salon Infosec

laquelle XMCO a particip (Confrence
sur les cas rels de hacking), un
trange point daccs ouvert tait
accessible...
Aprs quelques discussions avec certains

Un serveur DHCP, votre machine en tant que
participants, il savrait que certaines
personnes mal intentionnes avaient mis passerelle, et hop vous voil en possession dun fake
en place un fake hotspot afin de hotspot qui sera rapidement dtect par les
compromettre les machines qui sy informaticiens du coin
connectaient...
Esprons quaucun dentre vous ne soit Le vol de bases de donnes

tomb dans ce pige...
Il devient difficile de compter le nombre de bases de
donnes voles travers le monde. Chaque semaine,
des cas de fuites dinformations sont rvls au
grand public.
Par ailleurs, il est aussi trs simple de mettre en place Des centaines de grandes enseignes ont dj connu de
manuellement ces faux hotspot sans avoir recours telles msaventures : CD contenant des donnes
ce type doutil et ainsi espionner secrtement votre personnelles ou professionnelles gares, vulnrabilit
victime dinjection SQL sur un site web, ordinateurs vols
Chacun a beau vouloir conserver ses donnes
sensibles dans des portefeuilles numriques sur des
systmes patchs et non exposs sur Internet, la fuite
de donnes et le vol didentit dpendent galement de
la scurit des entreprises auxquelles nous fournissons
des donnes prcieuses
A chaque vol de base de donnes, cest bien des

milliers didentits et dinformations personnelles
permettant de voler des identits qui sont disperses,
vendues et utilises.
Le mot de passe gnralis

Le danger devient encore plus grand si un internaute

utilise mme mot de passe sur tous les sites web sur
lesquels il possde un compte utilisateur.
Imaginons quun pirate parvient extraire les comptes

et les mots de passe dun site web peu scuris et a
priori sans grande importance, il est fort probable que
ces mmes mots de passe soient galement valides
sur des dizaines dautres sites contenant galement
des donnes bien plus sensibles : PayPal, banques,
webmail, etc.

lorsque lon a baign depuis quelques annes dans ce

monde. En revanche, le grand public ne se rend pas
INFO forcment compte des consquences de ce type

daction et peu de personnes prennent soin de cliquer
sur le bouton logout avant de quitter lordinateur dun
Hacker une entreprise via Facebook! cybercaf. Rsultat, les cybercafs deviennent un
paradis pour les voleurs didentit et malheureusement
Une rcente tude a t mene sur la plupart des donnes importantes sont concentres
Facebook afin de dmontrer la au sein dune seule boite email
dangerosit de lutilisation dun mme
mot de passe pour diffrents accs. La webmail peut aussi servir de BackDoor sans tre
Ce hacker a donc dcid de cibler une facilement repre. Avez-vous dj consult les options
entreprise. Quelques jours de de Forwarding demail au sein de la configuration de
reconnaissance lui ont permis votre webmail?
didentifier 906 profils Facebook sur
Un hacker a peut-tre dj pris la peine de renseigner
les 1402 employs. Aprs la lecture de
nombreux profils, notre hacker a pu
ce champ afin de recevoir galement tous vos emails
crer un faux profil, dune jeune femme de manire transparente
de 28 ans, particulirement charmante
tout en dclarant faire partie de cette De plus, un simple accs rapide vos mails depuis le
socit. Cette personne sest ensuite poste dun ami (mme si ce dernier ne connat
abonne au groupe de son entreprise. Les absolument rien en scurit informatique) peut
administrateurs nont pas mis bien galement mettre en pril votre compte : keylogger,
longtemps avant de laccepter sans virus ou autre logiciel espion sont peut-tre prsents
vrifier si cette personne travaillait sur le poste de votre ami
ou pas dans lentreprise en question.
Aprs plusieurs jours de discussions
avec diffrents membres du groupe, le
faux profil a t accept par plusieurs
managers, commerciaux et secrtaires
Phishing
Le hacker a ensuite dcouvert une faille
de Cross Site Scripting sur le site de La technique dite de phishing nest plus prsenter. La
la socit et a post le lien malicieux cration de pages web en imitant, la virgule prs,
sur le groupe facebook de cette lapparence dun site lgitime constitue une des
entreprise. Le lien en question mthodes favorites des ScriptKiddies.
proposait aux membres du groupe de
vrifier si le compte de la personne
avait t pirat. Ce lien, incluait un
code javascript capable de gnrer un
faux formulaire.
La premire victime sest trouve tre

malheureusement pour lentreprise vise,
un manager, qui utilisait le mme mot de
passe sur le VPN SSL de lentreprise.
Quelques minutes plus tard, le pirate
disposait dun accs sans restriction au
Systme dInformation
Les sessions ouvertes
Autre question : qui na jamais consult ses emails

partir de lordinateur dun ami?
Qui na jamais lanc MSN sur un poste inconnu ? Les

paranoaques de la scurit rpondront certainement
NON cette question ce qui est tout fait lgitime

Des logiciels sont disponibles sur Internet et vous Les Web Messenger
permettent en quelques clics (voir ActuSecu n16)
dobtenir une interface Gmail qui pigera plus dun Restons sur le vol de compte des clients de messagerie
internaute inattentif. La page malicieuse vous redirigera instantane. En entreprise, les ports utiliss par les
et vous authentifiera la vole sur le site rel, de quoi messageries instantanes sont bloqus. Les Web
nveiller aucun soupon chez la victime. Messenger sont galement bloqus par les proxies,
mais il en existe toujours de nouveau. Difficile pour les
Des attaques de plus en plus astucieuses sont publies administrateurs de partir la chasse tous les
(voir notre article sur le In-Session Phishing) mais les nouveaux sites web qui mettent en place des
navigateurs commencent jouer correctement leur rle passerelles pour contourner les protections des
en utilisant des blacklistes mises rgulirement jour. entreprises empchant les internautes dutiliser MSN.
Il est alors trs facile pour les pirates - chinois ou pas -
de vous subtiliser votre compte. Vous avez beau
Peu de personnes prennent soin de utiliser une connexion HTTPS comme certains le
proposent, votre compte part sur un des serveurs
cliquer sur le bouton logout avant de qui soccupent de faire le relais de votre
quitter lordinateur dun cybercaf authentification sur les serveurs de PassPort de
Microsoft. Quelque temps plus tard, de drles de
symptmes peuvent apparatre : publicits envoyes
Les questions secrtes vos amis partir de votre adresse MSN, liens pointant
vers des virus, propositions indcentes vos contacts
Les questions secrtes utilises pour retrouver un mot MSN (sic).
de passe gar sont des moyens particulirement utiles Si lon rajoute le fait que le mot de passe est
pour les pirates en herbe. certainement utilis sur dautres sites, il est vident que
les passerelles de type Web Messenger sont des
On ne parle pas ici de hacking de haut vol, mais piges identits.
dastuces que certains dentre vous ont sans doute dj
utilises. Tout le monde possde un ami qui a dj
connu un problme de vol de compte MSN. La plupart Les attaques Man In The Middle
du temps, cela est simplement d au choix dune
question secrte simple dont la rponse est Les attaques de type Man In The Middle permettent de
prdictible : couleur, prnom, ville de naissance, nom jouer le rle de passerelle sur un rseau local. Le pirate
de jeune fille Encore des informations personnelles va se positionner entre la victime et Internet afin
apparemment anodines qui ont pu tre rcupres par dintercepter et de relayer chaque paquet envoy par la
ailleurs! victime. Cette technique repose sur lexploitation
astucieuse de requtes ARP (ARP poisonning) au
niveau de la couche 2 (Ethernet). Linjection de fausses
entres ARP permet ainsi de recevoir les paquets
normalement destins la passerelle.
Le pirate peut donc modifier les rponses DNS afin de
rediriger vers des sites malicieux, de remplacer le code
de pages HTML
Cette attaque est trs efficace sur un rseau local, mais
reste utile uniquement lorsque le trafic chang est en

clair (TELNET, FTP, DNS, HTTP...). Cest ainsi quun
journaliste de CNET.com sest fait voler son identifiant
lors de la confrence de scurit informatique BlackHat.
Les connexions HTTPS peuvent galement tre
intercepts (Man In The Middle SSL) comme nous
lexpliquerons dans larticle suivant.
Certains dentre vous ont peut tre vu le reportage
diffus sur TF1 et qui montrait avec quelle facilit un
consultant pouvait visualiser le code de carte bleue
dun utilisateur du hotspot dun cyber cafMme si la
dmonstration tait largement illusoire, elle a eu pour
intrt de susciter lveil de nombreux internautes trop
confiants dans linformatique.
Les vulnrabilits des navigateurs
INFO Un autre classique du genre consiste exploiter

des vulnrabilits qui affectent les navigateurs
SSLStrip et SSL MITM, de nouvelles mthodes dans le but de prendre le contrle de votre
dexploitation dvoile la BlackHat. ordinateur. De nombreux frameworks existent
(Tornado, Mpack) et sont facilement utilisables.
Une fois la vulnrabilit exploite, le pirate peut
Une rente prsentation la BlackHat a remis sa guise excuter des logiciels permettant de
au got du jour les attaques MITM. Deux fouiller dans la base de registre ou dans le cache
nouvelles techniques dexploitation ont
des navigateurs afin de voler les comptes et les
rcemment t prsentes par Moxie Marlinspike
mots de passe sauvegards.
lors de la BlackHat 2009.
La premire de ces mthodes avait dj t

imagine bien avant lui par de nombreux experts Les spywares/virus/chevaux de Troie/
en scurit. Cependant, aucune prsentation sur keyloggers
ce sujet ni doutil navait t dvelopp
jusqualors. Les virus ou chevaux de Troie sont devenus les
spcialistes du vol didentit. Certains ne se
Le principe repose sur linattention de la proccupent mme plus de prendre le contrle de
victime et une astuce mene par le pirate qui la machine, mais seulement dacter en tant que
se place entre sa victime et le site web voleurs didentit. Chaque login et chaque mot de
visit. passe est captur et envoy un serveur central
qui rcolte lensemble des identifiants des victimes
Lorsque certains sites web implmentent une
travers le monde.
partie HTTP et une partie HTTPS, le pirate va
Nous vous invitons lire une tude complte ce
intercepter chaque requte envoye par la
victime et remplacer, la vole, tous les sujet publie par deux consultants du cabinet et
liens contenant HTTPS par HTTP (non chiffr). prsente lors de la confrence SSTIC 2008 [1].
Ainsi, sur une webmail o le formulaire

dauthentification poste le login et le mot de Certains ne se proccupent mme
passe vers un lien en HTTPS, le pirate va
modifier la rponse du serveur et remplacer ce
plus de prendre le contrle de la
lien par un lien HTTP. machine, mais seulement dacter en
Cette action est totalement transparente pour tant que voleurs didentit...
lutilisateur, qui, son insu, envoie donc ses
identifiants en clair. Le pirate intercepte ces
donnes et ralise ensuite une connexion HTTPS
vers le serveur web avec les identifiants Et... les mots de passe triviaux
subtiliss. Ds lors, chaque requte et rponse
est alors transmise par le pirate la victime. Un sujet sur le vol didentit ne pourrait tre
Le pirate profite galement de modifier le complet sans parler des mots de passe faibles.
favicon.ico afin de remplacer licne du site Une phrase suffit pour expliquer et rexpliquer le
web par un cadenas. La victime pensera alors

fond du problme
que la transaction sest ralise de manire
scurise.
La seconde technique est plus astucieuse. Le Tor

chercheur utilise un caractre non ASCII trs
proche du / ce qui lui permet denregistrer Enfin, le systme danonymisation remis plus
un nom de domaine malicieux. dune fois en cause, est toujours utilis par les
pirates afin de rcuprer, chaque jour, des
Les dtails de cette prsentation sont centaines de comptes lors de lutilisation de
disponibles ladresse suivante : protocole non scuris.
http://www.blackhat.com/presentations/bh-dc-09/Marlinspike/
Un article de lActuScu n18 Le ct obscur de
l'Internet (Janvier 2008) est consacr ce sujet.

Comment sen protger ? Nutilisez pas les mmes mots de passe partout
Les solutions pour viter de se faire subtiliser un de ses La plupart des internautes utilisent un nombre trs
comptes restent assez classiques. rduit de mots de passe pour sauthentifier sur leurs
sites favoris. Ceci constitue un risque bien rel. En
Maintenir vos systmes et logiciels jour volant un de vos comptes, le pirate pourra
potentiellement accder lensemble de vos profils.
On ne cesse de le rpter, votre machine doit tre
jour au niveau des correctifs de scurit. De mme, Des mots de passe solides ou des codes PIN non
tous les logiciels, votre navigateur ou encore votre triviaux (diffrents de votre date de naissance) doivent
antivirus doivent tre jour. Ces mesures de base tre adopts.
nviteront pas une infection par des virus inconnus ou
faits maison, mais les contaminations grandes
chelles seront dj contres. Fermer vos sessions
Lutilisation dun ordinateur dun ami ou dun cybercaf

est de temps en temps invitable, que ce soit pour
donner des nouvelles votre famille lorsque vous tes
lautre bout du monde sans votre laptop
Une session non ferme et le prochain utilisateur se
fera un malin plaisir de lire vos emails (par simple
curiosit).
INFO
Les sessions de Google
Google possde une fonctionnalit trs

intressante et rarement implmente au
sein dapplication web.
Il est possible de savoir partir de

quelles adresses IP ont eu lieu les
Ne jamais utiliser un ordinateur inconnu pour dernires connexions au compte Google.
saisir des informations personnelles
Ladresse IP des ordinateurs connects
Lutilisation dordinateurs dont vous ne connaissez ni la votre compte est clairement indique et
configuration, ni les logiciels qui pourraient y tre vous permettra notamment de savoir si vous
installs nest galement pas recommande. Nous ne tes ou non espionns.
sommes jamais labri de keyloggers, ou de logiciels Dans le cas, o plusieurs ordinateurs sont
utiliss en mme temps, Google offre
espions.
galement la possibilit de fermer toutes
les sessions valides en cours
Certains vous diront : moi, jai toujours mon client dutilisation.
Putty sur une clef et je fais un tunnel SSH ou une
connexion VPN avant de surfer sur Internet, je ne
fournis jamais mes identifiants sur un site non-HTTPS
blabla . On est daccord sur le principe, mais quen
est-il des keyloggers Avez-vous porte de main un
outil capable de vous dire en quelques secondes si la
machine est dj infecte ou non, en analysant chaque
processus en mmoire, chaque comportement
suspect?? Moi, pas toujours malheureusement

Effacer vos emails contenant des mots de passe Utiliser des coffres forts numrique pour
stocker vos mots de passe
Tous les mots de passe reus lors dune inscription un
site web sont gnralement stocks au sein de votre Les mots de passe faibles restent lune des techniques
boite email puisque vous avez reu un message de les plus exploites des pirates (voir cas Twitter).
confirmation. Il est donc indispensable deffacer au fur Lutilisation dun portefeuille numrique vite de
et mesure vos emails contenant ce type de donnes choisir des mots de passe simples afin de ne pas les
personnelles et de les stocker dans votre portefeuille oublier. Dsormais, vous pourrez utiliser des mots de
lectronique (sic). passe de 10 lettres sans soucis. Le coffre fort
numrique vitera galement aux pirates qui auraient
mme compromis votre ordinateur de lire ces donnes
Bannir les protocoles non scuriss sensibles.
Si vous devez utiliser le WiFi de lhtel,

De manire gnrale, il est indispensable de ne pas
utiliser des protocoles intrinsquement non scuriss
comme Telnet, FTP ou HTTP lors de lenvoi
de la gare, dune confrence en scurit
didentifiants.
informatique, tunnelez toutes vos
Chaque requte POST ou GET lors de la soumission connexions par le VPN de votre entreprise
des identifiants doit tre ralise travers une ou via un tunnel SSH avec une machine
connexion scurise HTTPS.
Un utilisateur consciencieux doit se mfier des alertes
vous
renvoyes par votre navigateur si un problme de Ne soumettez pas votre numro de carte bleue
certificat est dtect (auto-sign, CN non concordant sur des sites louches...
avec lURL demande, certificat non valide pour un site
donn). Il arrive parfois de vouloir acheter un article sur de
petits sites trangers. Certains dentre eux ont souvent
lapparence de sites trangement simples ce qui doit
veiller votre mfiance. Avoir un certificat valide est une
chose, savoir dvelopper un site marchand scuris en
est une autre Prfrez donc les sites de confiance qui
utilisent le site de leur banque pour effectuer la
transaction.
Conclusion
Le vol didentit est la mode. Simple passe-temps

pour de petits pirates ou recherche de bnfices
pour les vrais pirates professionnels, le vol
dinformations personnelles est dsormais la
porte de tous.
Utilisez un tunnel chiffr lorsque vous tes sur Comment tre srs que personne na jamais pu un
un hotpost jour accder un de vos profils sur Internetsans
modifier ou mener dactions malicieuses? Qui vous
Si vous devez utiliser le WiFi de lhtel, de la gare, dit que vous tes le seul accder votre boite
dune confrence en scurit informatique, tunnelez email ? Qui empche un des administrateurs dun
toutes vos connexions par le VPN de votre entreprise site web de rutiliser votre compte sur dautres
ou via un tunnel SSH avec une de vos machine. sites (si un mme mot de passe est utilis sur
plusieurs sites web). La rponse est personne!
Le cas chant, mme sans saisir de mot de passe Donc, prenez vos prcautions!!
vous mme sur des pages web, louverture de votre Lauthentification relle dune personne physique
client de messagerie (Outlook, Thunderbird, Mail) sur Internet est aujourdhui quasi impossible. Il
bombardera le rseau WiFi avec votre mot de passe. sagit trs certainement lun des enjeux du web de
demain.

LACTU SCU N22
LES COLLISIONS MD5 ET MD5 et attaques MITM
LES CERTIFICATS
Lanne 2008 a t marque par
trois vulnrabilits majeures :
la faille DNS de Kaminsky, la
faille MS08-067 et le problme
des collisions des certificats
signs en MD5.
Nous tenterons de vous

prsenter clairement la faille
en rappelant les principes des
certificats x509 largement
utiliss sur Internet.
Cet aperu permettra de bien

comprendre les consquences
dsastreuses de ce type
dattaque notamment utilises
via des attaques MITM.
XMCO | Partners
Rappel sur les certificats Ces certificats sont dlivrs par des tiers de confiance
qui sont gnralement des organismes commerciaux
Le but de cet article nest pas de prsenter le reconnus appels autorits de certification. Ces
fonctionnement dune PKI ni la gnration des autorits de certifications possdent elles-mmes des
certificats. Cependant, il est important de rappeler certificats autosigns nomms RootCA.
certaines bases nos chers lecteurs afin de
comprendre parfaitement les risques lis la Les certificats dautorit (prs de 135) ont t
vulnrabilit affectant lalgorithme MD5. approuvs par les navigateurs/systmes dexploitation
du march. Ainsi, lorsque vous tlchargez Firefox ou
utilisez Internet Explorer, une liste prdfinie dautorit
Les certificats et les autorits de certification de certification a t intgre votre navigateur.
Comme la plupart de nos lecteurs le savent, les

certificats peuvent tre assimils des cartes didentit.
Lune de leurs fonctionnalits est de valider lidentit
dune entit (machine, personne). Les certificats
permettent dassocier une cl publique une entit et
ainsi de garantir lutilisateur quil est effectivement sur
le point dchanger des informations avec la machine

demande.
Par exemple, lors dune connexion HTTPS sur un site
Web, le certificat prsent par le site assure
linternaute son authenticit (authentification du
serveur). Les certificats sont galement utiliss pour
assurer le chiffrement des communications
(confidentialit des changes), cependant cet article
traitera principalement de la partie authentification. En
effet, la faille lie lalgorithme MD5 affecte la scurit
de ce mcanisme.

LES COLLISIONS MD5 ET LES CERTIFICATS LACTU SCU N22
Chacun de ces certificats comporte une clef publique

qui sera utilise pour vrifier la signature du certificat de
votre site scuris (authentification). Les clefs publiques
intgres dans les certificats de clients sont galement
utilises lors de lchange de clefs qui permettra,
ensuite, de chiffrer les communications HTTPS
(confidentialit des changes) lors de lchange de cls
de session Diffie-Hellman.
Ci-dessous, un exemple de certificat (mail.google.com)

distribu par la socit Thawte.
une partie contenant la signature gnre par son
autorit de certification.
La signature numrique est le seul lment qui permet

au navigateur de contrler lidentit du site sur lequel
Les signatures un internaute est connect.
Les certificats x509 dlivrs par les autorits de Lors dune connexion scurise sur un serveur web via
certification contiennent un certain nombre le protocole HTTPS, le navigateur va tlcharger le
dinformationsau sein de deux parties distinctes: certificat associ un site web. Le navigateur va
ensuite parcourir ce certificat pour obtenir le nom de
une partie contenant les informations du certificat lautorit de certification qui a dlivr ce certificat. Afin
dont notamment les lments suivants qui serviront de valider lauthenticit du certificat, le navigateur va
gnrer la signature (hash). ensuite vrifier la signature du certificat avec la clef
publique de lautorit de certification correspondante.
un numro de srie
la priode de validit partir et au-del de laquelle il

sera suspendu ou rvoqu
la dsignation de lautorit de certification du

certificat
le nom de lutilisateur du certificat (ex: le domaine

du site web)
l'identification de l'algorithme de chiffrement et la

valeur de la cl publique de lutilisateur
des informations complmentaires appeles

extensions comprenant llment Contraintes de
base du certificat qui prcise notamment, si le
certificat est un certificat dautorit (CA=TRUE) ou un
certificat utilisateur (CA=FALSE).

Si la signature est identique, alors la connexion SSL va Exemple

seffectuer sans problme. Si la signature diffre, alors
un message derreur sera affich par le navigateur Prenons lexemple du site login.yahoo.com. Ce
comme le montre la capture suivante. certificat a t sign par lautorit de certification
Equifax. Lors de la connexion au site, aucun message
derreur nest affich. Le certificat est considr comme
valide.
Afin de dterminer la validit de ce certificat, le

navigateur calcule le hash du certificat du site Yahoo
avec la clef publique de lautorit de certification de
Equifax.
Un message derreur peut galement tre affich si le

certificat est prim ou que le CN ne correspond pas au
hostname.
La signature obtenue a ensuite t compare la

signature incluse au sein du certificat de
login.yahoo.com
Une ligne de commande nous permet galement de

vrifier directement que la signature en question est

valide:
openssl verify -CAfile <Certificat Equifax>

Si un certificat est sign par une autorit qui nest pas
<Certificat Yahoo>
dans la liste intgre au sein du navigateur, alors le
certificat est sera toujours considr comme invalide
Enfin, si le certificat est autosign, alors un message

derreur est galement affich.

Le schma suivant rsume la chane complte : de la certification intermdiaire signer eux mme des
demande de signature, la vrification de la validit du certificats (Il serait impossible quune seule entit
certificat par le navigateur. puisse gnrer chaque jour des dizaines de milliers de
certificats), c'est pourquoi les autorits de
certification intermdiaires disposent
galement du droit de signer des certificats.
L i s t e dautorit de certification
intermdiaire:
GlobalSign
Comodo
DigiCert
Enterprise SSL
Go Daddy
InstantSSL
ipsCA
LiteSSL
PositiveSSL
Starfield Technologies
XRamp Technologies
En dautres termes, les autorits de

certification intermdiaires peuvent
galement dlguer dautres autorits le
droit de gnrer des certificats valides
jusqu trois niveaux maximum. Pour cela,
1. Les administrateurs du site veille.xmcopartners.com seul lattribut CA permet de spcifier quun certificat est
demandent une autorit de certification de signer considr comme une autorit de certification et cest
le certificat qui sera install sur le serveur web. justement ce point qui ft exploit par lquipe de Alex
Sotirov.
2. Lautorit de certification renvoie le certificat
sign.
3. Un visiteur se rend sur le site suivant ;

https://veille.xmcopartners.com.
4. Le site web lui envoie son certificat.
5. Le navigateur utilise la clef publique de lautorit de

certification qui a sign le certificat en question pour

vrifier la validit de ce dernier.
Les autorits de certification intermdiaires
Il existe diffrents types dautorit de certification qui

permettent de gnrer des certificats.
La gnration des certificats suit une hirarchie

prcise.
Les premiers que nous avons dj prsent se
nomment Root CA sont tout en haut de la chane de
certification. Ces derniers autorisent des autorits de
La faille MD5
La capture suivante illustre ce principe. Le certificat du Les premires recherches sur les collisions MD5
site www.digicert.com a t sign par DigiCert High
Assurance EV CA-1 qui lui-mme a t sign par Plusieurs algorithmes de signatures sont utiliss sur
lautorit de certification ROOTCA de DigiCert. Internet pour gnrer les signatures des certificats :
MD5, SHA-1, SHA-256
MD5 est connu depuis quelques annes pour tre

vulnrable aux collisions. Concrtement les collisions
MD5 signifient que deux messages distincts peuvent
avoir une seule et mme signature
Les faiblesses du MD5 sont connues depuis 2004
cependant aucune exploitation relle n'avait t publie
auparavant.
Des premiers lments avaient t publis en 2005 par

Xiaoyun Wang et Hongbo Yu. Ces derniers avaient
dcouvert deux suites de 128 octets possdant le
Lquipe de Sotirov a donc cr un certificat du mme mme hash MD5.
genre, savoir un certificat dautorit intermdiaire,
capable de signer nimporte quel autre certificat. Dautres recherches publies en 2006 ont utilis
lalgorithme de M. Wang et Yu afin de prouver que des
exemples dapplications pouvaient tre tirs de ces
premires recherches.
Magnus Daum et Stefan Lucks avaient notamment cr
deux fichiers PostScript (une lettre de recommandation
et une lettre dassurance) possdant un mme hash
MD5.
En 2007, Arjen K. Lenstra, Benne de Weger et Marc

Stevens des universits de Lausanne, dEindhoven et
dAmsterdam avaient galement repris le mme
algorithme en y ajoutant le principe de chosen prefix
collisions afin de prsenter deux applications des
collisions MD5.
http://www.win.tue.nl/hashclash/ChosenPrefixCollisions/
Le principe du chosen prefix consiste choisir

arbitrairement certaines parties des donnes qui seront
signes. Ainsi, deux certificats pourront avoir des
On voit clairement que cette autorit a la possibilit de
donnes diffrentes et produire le mme hash.
signer un nombre illimit dautorits de certification.
Cette technique repose sur des principes

mathmatiques qui ne seront pas abords dans cet
article...
Lquipe de Sotirov a donc cr un
certificat du mme genre, savoir un La premire application de cette technique consistait
certificat dautorit intermdiaire, capable crer diffrents programmes, possdant la mme
signature MD5.
de signer nimporte quel certificat.
http://www.win.tue.nl/hashclash/SoftIntCodeSign/

Ainsi, les captures suivantes montrent le fond du La vulnrabilit applique dans la vraie vie!
problme. Les deux binaires hello.exe et evil.exe
possdent tous les deux la signature MD5 Aprs les prmices de collisions MD5, une vritable
cdc47d670159eef60916ca03a9d4a007. exploitation de cette vulnrabilit a vu le jour au cours
de lanne 2009.
Cette anne, durant la confrence 25th Chaos

Communication Congress (CCC), Alex Sotirov, Jake
Appelbaum, David Molnar et Dag Arne Osvik ont
prsent le rsultat de leurs recherches bases sur les
collisions MD5. Ces chercheurs ont russi gnrer
un faux certificat d'autorit intermdiaire (CA) sign
par une autorit de certification. Ce certificat sign
est donc approuv par une certification dautorit et
accept par les navigateurs du march.
Ce certificat dautorit leur permet ainsi de signer

nimporte quel certificat qui pourra tre utilis par un
site web et sera considr alors comme valide aux yeux
des navigateurs.
En dautres termes, ces derniers peuvent maintenant

crer des certificats malicieux qui seraient signs par
leur fausse autorit de certification, elle-mme, signe
par une vritable autorit
Pour cela, les chercheurs ont achet un vritable

certificat auprs dune autorit de certification (en
loccurrence chez Equifax), certificat sign avec
lalgorithme MD5.
Lors de la publication des travaux de recherche,

seules 6 autorits de certification signaient encore les
Leur deuxime application ciblait cette fois-ci une paire certificats en MD5.
de certificats X509. Ces mmes chercheurs ont * RapidSSL
dabord russi crer deux certificats possdant des * FreeSSL
clefs publiques diffrentes, mais avec le paramtre * TrustCenter
Distinguished Name (DN) quivalent, puis * RSA Data Security
outrepasser ce problme en jouant uniquement sur la * Thawte
clef publique pour obtenir, pour les deux certificats, une * verisign.co.
mme signature MD5.
Ces derniers ont dailleurs pris leurs dispositions
http://www.win.tue.nl/~bdeweger/CollidingCertificates depuis
Dans un second temps, ils ont extrait la signature de

Lalgorithme MD5 tait dj considr comme leur certificat et tent de gnrer, en exploitant les
obsolte, mais aucune application relle navait encore collisions MD5, un certificat dautorit intermdiaire
t prsente jusquau cours de lanne 2008 et les possdant la mme signature et par consquent,
recherches dAlex Sotirov, de Jake Appelbaum, de approuv par lautorit de certification Equifax.
David Molnar et de Dag Arne Osvi
Un certificat dautorit diffre lgrement dun certificat
classique. Il comporte notamment le paramtre
CA=TRUE qui spcifie que ce certificat est en droit
de signer dautres certificats.

dobtenir ces collisionsUn deux jours suffisaient

alors pour gnrer le certificat malicieux
En termes de tentatives infructueuses de gnration de

certificats auprs de RapidSSL, 4 demandes de
certificats auront t ncessaires, soit un cot de
La signature MD5 constituait le paramtre central de 657$.
cette exploitation. En jouant sur la clef publique incluse
au sein du certificat, les chercheurs pouvaient gnrer Le certificat dautorit est toujours disponible
la collision en question sur la signature. ladresse suivante.
http://phreedom.org/research/rogue-ca
Les lments prcdents et la clef publique devaient
alors tre prdits avec exactitude... En modifiant la date de votre machine, ce dernier
devrait apparatre valide aux yeux de votre
Jusqu prsent, les deux informations suivantes, le navigateur
numro de srie et la date de validit du certificat,
taient imposes par lautorit de certification et donc
non contrles par les chercheurs... Ces deux lments
navaient pu tre prdits jusqualors.
Or, aprs de longues recherches sur les autorits de

certification proposant des signatures MD5, il sest
avr que RapidSSL implmentait un systme
automatis qui permettait de gnrer un certificat
depuis leur site web. Les numros de srie taient
incrments et non gnrs de manire alatoire. De
plus, le temps entre la demande de certificat et son

heure de gnration tait toujours fixe (6 secondes)
Ces deux lments permettaient alors aux chercheurs
de prdire la date de validit du certificat.
Dans le cas o les chercheurs navaient pu prdire ces

deux informations, ils nauraient alors pas pu prdire le
hash et donc mener cette attaque
Cet exploit a cependant ncessit une puissance de

calcul norme. Il a fallu pas moins de 200 PlayStation
3 en rseau (quivalent 8000 ordinateurs
standards ) et de longs calculs mathmatiques
pour identifier les donnes variables qui leur permettent
Les attaques MITM deviennent plus dangereuses

Quelques chiffres Rappel sur les attaques MITM
Les chercheurs ont collect 38 000 certificats lors de Les attaques Man In The Middle ne sont pas nouvelles.
leurs recherches. Sur ces derniers, prs de 9485 Le but de ce type dattaque consiste se positionner
taient signs en MD5, et prs de 97% dentre eux ont entre la victime et la passerelle et de relayer chacune
t signs par RapidSSL des requtes en provenance et destination de la
victime.
Quelques conditions sont ncessaires lexploitation
Consquences de cette technique:
-tre sur le mme sous-rseau local de la victime.
Les consquences dexploitation de cette vulnrabilit -tre sur un environnement swtich.
sont importantes
Hormis espionner et rediriger la victime vers un autre
Les certificats sont le plus utiliss sur le web site ou encore lui injecter la vole des formulaires ou
notamment pour les sites HTTPS. Dans ce cas, avec autres informations, les consquences restaient minces
de tels certificats malicieux, un pirate pourrait mener lorsquun protocole scuris tait utilis.
des attaques de type Man in The Middle SSL afin
dusurper l'identit d'un serveur Web (SSL Man-In-The-
Middle) mais galement des attaques de Phishing sans Man In The Middle SSL
veiller les soupons de la victime
Les attaques Man In The Middle peuvent galement
Lintgralit des sites web implmentant HTTPS peut tre effectues sur le protocole HTTPS. Cependant, la
tre cible par cette attaque. En effet, mme si vous question des certificats posait jusqualors un problme
utilisez un certificat sign en SHA-1, ces chercheurs (quoi que). Ds que la victime se connectait sur un
peuvent gnrer un certificat valide pour votre site, site scuris, il tait possible de gnrer la vole un
mais sign en MD5. faux certificat autosign, mais cela prsentait alors des
limites En effet, un message derreur tait affich
Il faut galement bien prendre en considration que sur le navigateur de la victime. Si la victime ntait pas
cette faille affecte TOUTES les applications utilisant attentive, lattaque pouvait russir. Heureusement les
des certificats x509 (HTTPS, IMAPS, VPN SSL) plus attentifs remarquaient la supercherie
Un pirate pourrait donc signer des emails, ou une

Applet Java, ActiveX permettant alors de prendre le MD5 et MITM
contrle d'un poste de travail.
La donne est dsormais diffrente puisquil est
Cette vulnrabilit est intrinsque au MD5, aucun dsormais possible de signer lgitimement des
correctif de scurit ne peut donc la corriger. Dans certificats et, par consquent, de gnrer et de signer
un premier temps, il est ncessaire de rvoquer et de la vole les certificats de chacun des sites visits
rgnrer tous les certificats racines utilisant une
signature MD5. Il est donc intressant de mener cette attaque afin de
dchiffrer le trafic HTTPS de la victime.
La victime dsire se connecter sur le site de https://ma-
banque-en-ligne.com. Toutes les requtes sont
interceptes par le pirate via lenvoi de requtes ARP.
Le navigateur de la victime initie, son insu, une
connexion avec le serveur du pirate.
Le pirate se connecte alors au serveur web demand

par la victime. Deux connexions HTTPS sont ralises
dans le mme temps (victime pirate; pirate site web).
En obtenant le certificat du site web lgitime, le pirate
peut ainsi rutiliser les informations afin de crer un
certificat sign en MD5 lgitime et de le proposer sa
victime.

Conclusion
Comme beaucoup lannonait

dans les rsums prsentant
cette faille, SSL nest pas mort.
Cependant, les certificats signs
en MD5 et reposant sur
OpenSSL sont dsormais
obsoltes. Il ne faut donc pas
saffoler et crier haut et fort que
le monde est devenu, du jour au
lendemain, dangereux et
effrayant. (De toute faon, ctait
dj le cas avant)
Une solution consisterait

supprimer ces autorits de
certification de votre navigateur,
mais tous les sites signs par
ces derniers ne seraient plus
considrs comme valides
Certes, des chercheurs ont dmontr lexistence de

Ds lors, le pirate peut dchiffrer toutes les
la faille, mais son exploitation est dsormais limite
communications entre lui et sa victime et retransmettre
par des actions entreprises par les autorits de
les requtes au site lgitime.
certification qui signaient en MD5. De plus, leurs
recherches restent thoriques pour
un pirate lambda (200 PS3 acheter
et des mois de recherche).
Esprons maintenant que le certificat

dautorit intermdiaire gnr par
ces chercheurs ne soit pas tomb
aux mains de personnes peu
scrupuleuses ou que dautres pirates
naient pu, entre temps, reprendre les
travaux de recherche, hypothse fort improbable!
Une dmo en livepour les plus chanceux
Une dmonstration a mme t mene en live lors de Webographie

la confrence CCC. Les chercheurs avaient
intentionnellement mis disposition un rseau Wifi afin Site officiel des chercheurs
de mener une attaque de ce genre. http://www.phreedom.org/blog/2008/creating-a-rogue-

ca-certificate/
Ces derniers ont notamment utilis loutil SSLsniff en
ladaptant afin de pouvoir gnrer la vole les
certificats malicieux.
Le point daccs tait nomm MD5 Collisions Inc et

chaque certificat des sites web visits par les
participants de la confrence tait bel et bien sign .
Aucun message derreur navait t affich par les
navigateurs

LACTU SCU N22
Analyse du virus Conficker
On ne parle que de lui depuis

plusieurs mois... LE ver du
moment se nomme COnficker et a
rapidement fait parler de lui
fin novembre avant dinfecter
un grand nombre de machines
travers le monde!
Sa particularit? Utiliser un
ensemble de techniques pour
contaminer le plus de machines
sans pour autant avoir une
CONFICKER, LE
charge utile bien dtermine.
Les vers deviennent de plus en
VIRUS LA MODE
plus redoutables notamment
lorsquils exploitent un
service install sur la plupart
des machines Winows. Aperu et
descriptiong de cette menace
virale..
XMCO | Partners
La vulnrabilit et Conficker Le ver Conficker

Le service Microsoft Server, une nouvelle
fois point du doigt Les pirates et les crateurs de vers ont tout de suite
compris limportance de la vulnrabilit en question,
La fin de l'anne a t particulirement anime pour dautant quaucune brche naffectant un service
Microsoft, notamment avec la dcouverte dune prsent sur tous les postes Windows - le service de
vulnrabilit affectant le service Server du systme partage de fichiers - navait t dcouverte depuis
dexploitation Microsoft Windows : la vulnrabilit 2006.
MS08-067.
Trs rapidement, un premier ver exploitant la faille
Deux ans aprs la fameuse vulnrabilit MS06-040 - MS08-067 a t nomm Gimmiv.A. Cette premire
sans doute la faille prfre des pentesters - le service version permettait de voler les hashs des comptes
Server est une nouvelle fois touche par une utilisateurs du systme, ainsi que les mots de passe
vulnrabilit critique : lenvoi dune requte RPC
Outlook.
malicieuse permet lors de provoquer un dbordement
de mmoire dans la fonction NetPathCanonicalize() Un second ver, apparu le 21 novembre 2008, a t
et dy injecter le code de son choix. baptis Worm:Win32/Conficker.A et se propageait
aussi en exploitant la vulnrabilit MS08-067.
Nous ne reviendrons pas sur les dtails techniques de
la vulnrabilit dont la fonction en cause a t Quelques jours plus tard, le 29 dcembre 2008, le ver
dcompile et analyse par Alex Sotirov (voir Conficker identifi sous le nom Worm:Win32/
Rfrences). Conficker.B a t diffus. Les pirates, dorigine
ukrainienne selon les premires rumeurs,ont, cette fois-
Peu de temps aprs la publication de la vulnrabilit, ci, mis le paquet en dveloppant un ver capable
les premiers exploits notamment au sein du framework dinfecter de nombreuses machines et de se rpandre
Metasploit ont vu le jour. par dautres moyens astucieux.

CONFICKER, LE VER LA MODE LACTU SCU N22
Mthodes dinfection : exploits, mots de passe 1. Exploitation de la vulnrabilit MS08-067

par dfaut, partages ouverts, USB...
2. Excution du shellcode
Exploitation de la vulnrabilit 3.Tlchargement HTTP d'une copie du malware
Le ver, baptis Conficker, Downloadup ou encore Kido, 4. Propagation du ver sur le rseau local, mais
exploite la vulnrabilit MS08-067 afin dinfecter les galement sur Internet partir d'une gnration
autres machines joignables et non patches. alatoire d'adresses IP.
Le modus operandi sarticule autour de deux tapes: Ds quune machine est exploite avec succs, le ver
chaque poste infect dmarre un serveur web local profite pour scanner toute la plage dadresses associe
et tente dinfecter toutes les machines possibles - (classe C). Par ailleurs, le ver implmente un
situes sur le rseau local ou sur Internet en mcanisme de blacklist. En effet, plusieurs plages
envoyant des requtes RPC malicieuses exploitant le dadresses appartenant aux diteurs dantivirus sont
dbordement de tampon. Ds que ce dernier russit sur crites en dur au sein de la configuration du ver afin
une machine, un code malicieux (shellcode) est dviter dattaquer les honeypots de ces socits.
excut. Celui-ci tente alors de tlcharger en HTTP
une copie complte du ver stock sur le serveur web
en coute sur la premire machine infecte. Attaque par dictionnaire sur les rpertoires
partags et le dossier ADMIN
Le ver pourra ainsi se rpandre nouveau et tenter
dinfecter, de la mme faon, dautres machines. Une fois sur le systme, le but dun ver est bien
videmment dinfecter le plus grand nombre de
Nous reviendrons ultrieurement sur cette fonctionnalit machines. Conficker possde des rflexes qui
de tlchargement HTTP de type back connect et les pourraient tre compars ceux dun pentester: celui-
problmes rencontrs lorsque des pare-feux sont en ci va tenter de se copier au sein de rpertoires partags
place des machines du rseau dont le fameux ADMIN$
(rpertoire de Windows).

Conficker envoie des requtes NETBIOS : Diffusion via les ports USB
EnumDomainUsers. Comme son nom lindique, cette
requte permet de lister les utilisateurs du domaine Conficker tente galement d infecter tous les
lorsque la null-session Microsoft na pas t dsactive. supports amovibles connects la machine
Le ver utilise dautres requtes comme QueryUserInfo infecte : clefs USB, disques durs externes, cartes
pour lister les utilisateurs locaux dune machine, dappareils photo. Pour cela, le ver se copie la racine
GetUserPwInfo pour connatre lge des mots de des supports USB au sein dun dossier nomm
passe ou encore GetGroupForUser afin didentifier les 'RECYCLER' et sous un nom alatoire de la forme :
droits des utilisateurs.
U:\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d
%d-%d%d%d-%d\<random letters>.dll
Un fichier autorun.inf est alors gnr. Ce fichier

permettra dexcuter automatiquement le ver lorsque le
support USB sera branch sur un autre ordinateur.
Pour que ce dmarrage automatique fonctionne, la

Une fois toutes ces informations rcupres et traites, machine victime doit avoir la fonction Autorun active
le ver va tenter de sauthentifier sur le partage (voir la cl de registre NoDriveTypeAutoRun).
ADMIN$ des machines quil na pas russi infecter en
exploitant la faille MS08-067. Pour compliquer la chose, une fois excut sur une
machine par un moyen ou un autre, Conficker en
Les pirates, dorigine ukrainienne profite, au passage, pour ractiver la clef de registre
selon les premires rumeurs ont, cette Autorun afin que le poste puisse tre rinfect par la
fois-ci, dvelopp un ver capable suite.
d'infecter de nombreuses machines et
de se rpandre par plusieurs moyens
astucieux...
Pour cela, Conficker va tester une liste de mots de
passe triviaux pour les comptes identifis
prcdemment. Il sagit bien dune vritable attaque
intelligente par dictionnaire puisquelle est base sur
les vritables noms des utilisateurs (logins) du
domaine Microsoft.
La capture suivante illustre les mots de passe tests

par le ver.

Mais pourquoi est-il aussi mchant??!
INFO Excution au dmarrage
Une fois install sur le poste victime, Conficker va

Windows et la gestion de lAutorun raliser diverses oprations malicieuses.
Il y a quelques mois, une vulnrabilit Comme quasiment tous les vers, Conficker ajoute une
avait t identifie au sein des clef de registre (HKCU\Software\Microsoft\Windows
systmes dexploitation Windows. La clef \ C u r r e n t V e r s i o n \ R u n ) a f i n d e s e x c u t e r
de registre utilise pour lactivation automatiquement au prochain dmarrage du poste.
ou la dsactivation de la fonction Conficker sinstalle galement en tant que service
Autorun (NoDriveTypeAutoRun) ntait (HKLM\SYSTEM\CurrentControlSet\Services) qui sera
pas correctement prise en compte par le
lanc de faon transparente par le service gnrique
systme dexploitation!
svchost.exe.
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\Explorer
\NoDriveTypeAutoRun D s a c t i v a t i o n d e s s e r v i c e s s c u ri t e t
monitoring DNS
Ainsi, en ajoutant la valeur 0xFF
(interdisant lexcution automatique Ds lors, Conficker va venir dsactiver 4 principaux
lors delouverture des supports USB) services de scurit Windows savoir:
cette cl de registre, la fonction
restait toujours active. Windows Update Service
Background Intelligent Transfer Service
En incitant sa victime ouvrir un
support amovible (cl USB, CD, DVD ...),
Windows Defender
un pirate pouvait ainsi excuter Windows Error Reporting Services
automatiquement un fichier malicieux
(ver, trojan, spyware...) plac sur le Conficker dtecte ensuite lantivirus install sur la
support et cela mme si la victime avait machine infecte afin de le dsactiver immdiatement.
pris soin de dsactiver la
fonctionnalit en question. Encore plus fort, le ver va bloquer les rsolutions
DNS contenant certains mots-clefs dditeurs antivirus:
Cette vulnrabilit a t corrige, dans cela permet de bloquer les mises jour automatiques
un premier temps, sous Vista et Windows
des signatures.
2008 avec la sortie du correctif
MS08-038.
Voici la liste des diffrents mots-clefs blacklists:
Microsoft a pris ses dispositions la
suite de linfection de supports USB par
Conficker et a seulement corrig le ahnlab; arcabit; avast; avg.; avira; avp.; bit9.;
problme le 24 fvrier dernier... un peu ca.; castlecops; centralcommand; cert.; clamav;
tard... comodo; computerassociates; cpsecure; defender;
drweb; emsisoft; esafe; eset; etrust; ewido; f-prot; f-
Il est galement important de noter que secure; fortinet; gdata; grisoft; hacksoft; hauri;
la valeur de la cl NoDriveTypeAutoRun ikarus; jotti; k7computing; kaspersky; malware;
est crase par les GPO lorsque le
mcafee; microsoft; nai.; networkassociates; nod32;
poste est insr sur un domaine Active
Directory.
norman; norton; panda; pctools; prevx; quickheal;
rising; rootkit; sans.; securecomputing; sophos;
spamhaus; spyware; sunbelt; symantec;
Information sur la vulnrabilit : threatexpert; trendmicro; vet.; ver; wilderssecurity;
http://support.microsoft.com/kb/ windowsupdate
895108/fr

Ouverture de ports sur le pare-feu Windows
Conficker ouvre galement, au sein du pare-feu de

Windows, un port TCP alatoire afin dautoriser les
connexions entrantes sur le service HTTP
malicieux.
Comme voqu prcdemment, lorsque Conficker

tente dinfecter dautre machine via la vulnrabilit
MS08-067, le code malicieux plac au sein de la charge
utile de lexploit (le shellcode) indique la nouvelle
machine compromise de venir tlcharger en HTTP, sur
ce port frachement ouvert, une copie du ver.
Une des dernires oprations

malicieuses...consiste supprimer tous les
points de restauration prsents sur le
systme victime
Laspect alatoire de ce port rend donc impossible toute

tentative de protection contre la diffusion de Conficker
en bloquant simplement le port HTTP utilis par le ver Suppression des points de restauration
sur les routeurs du rseau interne!
Une des dernires oprations malicieuses menes par
Reste le problme des routeurs, boitiers ADSL et des le ver consiste supprimer tous les points de
passerelles en tout genre qui bloquent les flux entrants. restauration prsents sur le systme victime.
Pour parer ce phnomne, les auteurs de Conficker Ainsi, lutilisateur ne pourra pas essayer de revenir un
emploient une autre astuce dtaille dans la partie point de restauration antrieur linfection afin de
particularit qui permet douvrir temporairement remettre en tat son systme.
certains ports: le protocole UPNP
Conficker utilise pour cela une API peu connue : la
librairie System Restore Client (srclient.dll) et la fonction
Cration dune tche planifie ResetSR().
Aprs avoir compromis une machine, une tche
planifie est cre par le ver avec la commande
rundll32.exe <nom du ver>.dll,<paramtres>".
Cela permet au ver, chaque jour, de se ractiver au cas
o lutilisateur aurait dsactiv son dmarrage au boot. WWW.XMCOPARTNERS.COM
Ainsi, si le ver nest pas compltement radiqu, il est
possible de le voir rapparatre lors de lexcution de
cette tche planifie.

Rfrencement des machines infectes quoi sert-ilvraiment?
Le ver se connecte ensuite des serveurs web publics Certes, Conficker ralise un grand nombre
afin de se faire connatre du botnet et de se doprations, mais quoi sert-il vraiment?
rfrencer parmi les autres machines infectes.
Pour cela, un algorithme, dj cass par certains Aprs avoir t longuement analys, il savre que
chercheurs, permet de gnrer des noms de domaine personne na, lheure o nous crivons cet article, pu
alatoires. Les URLs en question pointent toujours vers dterminer lutilit relle de ce ver. La plupart des
les domaines suivants : vers sont dvelopps dans un but prcis que ce soit
.cc, .cn, .ws, .com, .net, .org, .info, .biz pour le vol didentifiants, de cartes bleues ou encore
pour constituer un botnet capable de lancer des
Les URLs utilises par Conficker sont de la forme attaques DDOS.
suivante:
Il savre que personne na, lheure o
http://<pseudo-random generated URL>/ nous crivons cet article, pu dterminer
search?q=%d lutilit relle de ce ver...
Concernant Conficker, le mystre reste entier comme le
Chaque jour, 250 noms de domaine diffrents sont confirment plusieurs chercheurs:
crs. Les machines infectes se connectent alors
toutes aux nouveaux serveurs enregistrs par les "There's no telling what kind of damage this could inflict.
pirates auprs de Registrar peu regardants We know that this is usually financially motivated, so
we're just waiting to see what happens next" Derek
Le ver utilise galement ce procd pour tlcharger Brown de TippingPoint's DVLabs.
de nouvelles versions et probablement de futures
charges utiles ad-hoc : spywares, bankers, module "We don't know who controls this thing and what their
DDOS, etc. motivations are...Who knows what's going to happen.,
Thomas Cross, a chercheur scurit chez IBM ISS' X-
Force.
INFO La vritable charge utile nest donc pas encore

oprationnelle. Les pirates sont sans doute en train de
prparer une nouvelle version qui cette fois-ci aura une
Les OS Windows Embedded vulnrables... relle utilit
Les systmes Windows Embedded sont Malgr cela, le ver a infect plus dun Systme
rarement mis en avant lors de la dInformation. Bien quaucune charge utile ne soit
publication de correctifs Microsoft. Des
rellement implment, la dsactivation de service de
mises jour assez importantes de temps
autre fournies par Microsoft. La scurit, louverture alatoire de port ou encore le
vulnrabilit MS08-067 a t corrige blocage du service Server a eu des consquences
rcemment (26 dcembre) lors de la mise dsastreuses sur plusieurs rseaux locaux de Grands
jour de dcembre 2008. Comptes
Les diteurs qui vendent ce type de

systme en boite noire devront donc passer Par ailleurs, les tentatives de brute-force sur les
par la case application du correctif machines et par consquent le blocage de comptes
afin dviter des problmes importants locaux ou du domaine a galement provoqu la
Affaire suivre panique sur des SI non patchs
http://blogs.msdn.com/embedded/
archive/2008/12/26/december-2008-
updates-are-available-including-for-
xpe-sp3-and-standard.aspx

Particularits Golocalisation et fingerprinting
De nombreuses particularits distinguent ce ver des La golocalisation est devenue la mode, comme lors
autres vers mdiatiques comme Blaster ou Sasser. de lexploitation de failles de navigateur avec MPACK
ou Tornado. Cependant, il est rare de voir un ver utiliser
de telles mthodes afin de golocaliser les victimes.
Une utilit encore mconnue Dautres avaient dj utilis cette mthode (cf
W32.Kernelbot.A ou W32.Wecori).
Premirement, aucune charge utile na pour le moment
t utilise ce qui est suspect. Les pirates auraient pu La premire version de Conficker utilisait des donnes
profiter du pic atteint il y a quelques jours afin de lancer tlcharges partir dun site connu
une attaque. (www.maxmind.com) afin dajouter cette fonctionnalit
son attirail. LURL suivante tait crite en dur au sein du
code du ver.
Les dernires informations prciseraient http://www.maxmind.com/download/geoip/database/
galement que les systmes Windows GeoIP.dat.gz
Embedded seraient galement
concerns Cependant, quelques jours aprs une augmentation
considrable du nombre de tlchargements de ce
fichier, les administrateurs de MaxMind lont supprim
Des moyens de propagations pluridisciplinaires laissant ainsi la fonctionnalit de Geolocalication
inutilisable La mise jour du ver au mois de
La particularit du ver vient du fait quil nexploite pas dcembre a rgl ce problme en insrant directement
uniquement une seule vulnrabilit, mais quil tente la fonction de golocalisation au sein du code du ver.
dautres moyens de contamination: propagation sur les
volumes rseau monts, utilisation des credentials du Une autre particularit releve par les diffrentes
compte Administrateur local, exploitation des ventuels analyses de Conficker est la capacit de fingerprinting
mots de passe faibles des comptes du domaine ou utilise par le ver. Les techniques de fingerprinting
encore linfection des cls USB de quoi se propager consistent identifier la version de lOS distant.
partout sur un rseau Windows
Les dernires informations prciseraient galement que

les systmes Windows Embedded seraient galement
concerns. En effet, une mise jour pour ce type de
systme a t publie en janvier :
http://blogs.msdn.com/embedded/archive/2009/01/22/
january-2009-security-updates-for-runtimes-are-
available.aspx

Cette identification est primordiale pour assurer la Nous ne reviendrons pas en dtail sur les principes et
russite du dbordement de tampon exploitant la faille sur le fonctionnement du protocole dtaill dans le
MS08-67. En effet, la valeur de ladresse de retour numro 20 de lActuScu. En quelques mots, la
(OPCODE) est diffrente pour chaque version de machine infecte envoie une requte UDP M-SEARCH
Windows (XP SP1, XP SP2, XP SP3, Vista, 2000 SP4 afin de dcouvrir les quipements implmentant UPNP.
et la version franaise, anglaise, etc). Les rponses reues contiennent alors ladresse du
fichier de configuration.
Pour raliser ce fingerprinting, Conficker utilise les
requtes RPC SMB Session Setup qui forcent lOS Le ver rcupre le fichier de configuration des
distant rvler sa version. Les auteurs du ver quipements et rutilise les fonctions proposes au
semblent avoir tout simplement copi cette fonction sein de ce fichier pour envoyer des requtes de
depuis le module smb_fingerprint de Metasploit 3.2. contrle permettant de natter correctement les ports
dsirs.
INFO
Hacker wanted!
Quelques mois aprs les premires

infections, Microsoft prend enfin des
initiatives afin de retrouver lauteur
du ver. En effet, Microsoft une offre
rcompense de 250 000 dollars pour
toutes informations permettant darrter
le pirate en question.
De telles rcompenses avaient dj t
proposes pour larrestation des
Le ver qui patche dveloppeurs de Sobug, Sasser et
Blaster.
Une autre caractristique de Conficker rside dans sa
capacit patcher, en mmoire, le systme vulnrable
une fois infect ! En effet, le ver corrige en appliquant
un patch ce qui vite que dautres vers ninfectent
galement la machine. Une diffusion rapide et consquente...
Ds quune tentative dexploitation de la vulnrabilit
MS08-067 est identifie sur une machine dj infecte, Le ver Conficker a contamin rapidement un trs grand
Conficker compare le shellcode reu avec le nombre de machines.
shellcode normalement utilis.
lheure o nous crivons cet article, les premires
Si les deux correspondent, la machine se connecte sur estimations annoncent linfection dun ordinateur sur
la premire laide du protocole HTTP et un change seize dans le monde. Ces chiffres semblent cependant
de fichiers de configuration peut alors tre lgrement surestims par les diteurs antivirus.
commenc. Ce transfert dinformation peer-to-peer
permet de sassurer que chaque machine infecte Comme nous lavons vu, lalgorithme de gnration des
possde le fichier de configuration le plus rcent. noms de domaines utiliss pour contacter les serveurs
de mise jour du ver a t cass. Les chercheurs de
Symantec ont donc pu enregistrer les noms DNS avant
UPNP les pirates afin dvaluer le nombre dadresses IP
uniques de machines infectes qui viennent chaque
La dernire particularit du ver est lie lutilisation du
jour sy connecter.
protocole UPNP. En effet, afin de recevoir des requtes
HTTP entrantes pour diffuser la copie du ver, Conficker
utilise le protocole Plug and Play qui permet douvrir et
de natter des ports sur les routeurs et les pare-feux.

Comment sen pro t ger? Comment sen

Les rsultats sont plutt impressionnantsPrs de 3 dbarrasser?
millions dadresses IP uniques ont t rpertories.
Ces chiffres ne prennent donc pas en comptes Les erreurs viter
plusieurs machines qui seraient infectes et lies la
mme adresse IP Si vous ntes pas encore infects, plusieurs rgles
lmentaires doivent tre appliques chez vous
ou au sein du rseau de votre entreprise.
Le correctif MS08-067 doit bien entendu tre
appliqu sur tous vos systmes Windows
(Embedded compris).
Les antivirus doivent implmenter les dernires
signatures.
Les serveurs et les postes de travail doivent

utiliser des mots de passe solides. Pour cela,
un inventaire des comptes locaux et des
comptes du domaine doit tre ralis. Tous les
comptes obsoltes et possdant un mot de
passe trivial doivent tre dsactivs. Il sagit ici
de raliser un vritable audit de scurit.
La fonction Autoplay doit tre dsactive afin

dinterdire la lecture du fichier autorun.inf dpos
par le ver sur les supports USB. Pour cela, il est
Voici la carte des infections au dbut du mois de ncessaire de modifier la cl de registre suivante avec
janvier. la valeur000000ff.
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\ W i n d o w s \ C u r r e n t Ve r s i o n \ P o l i c i e s \ E x p l o r e r
Conclusion \NoDriveTypeAutoRun
Le ver Conficker a atteint son tat de grce au

dbut du mois de janvier. Les administrateurs et les Comment nettoyer sa machine infecte?
particuliers ont peu peu pris des dispositions
pour radiquer le ver si bien que le nombre de Lradication totale du ver nest pas vidente. Les
machines infectes baisse de jour en jour. Les diteurs dantivirus proposent chacun leur outil capable
pirates, lorigine du ver, auraient donc d profiter de supprimer totalement la bte.
du pic dinfection pour dployer de nouvelles
versions incluant une charge utile. Dans ce cas, les Procdure de Microsoft:
consquences auraient t dramatiques. http://support.microsoft.com/kb/962007
http://www.microsoft.com/security/malwareremove/
default.mspx
Outils de F-Secure:
http://www.f-secure.com/v-descs/
worm_w32_downadup_al.shtml
ftp.f-secure.com/anti-ver/tools/beta/f-downadup.zip
Procdure de Symantec:
h t t p : / / w w w. s y m a n t e c . c o m / s e c u r i t y _ r e s p o n s e /
writeup.jsp?docid=2009-011316-0247-99
AHN Labs
http://global.ahnlab.com/global/file_removeal_down.jsp

McAfee
http://vil.nai.com/vil/stinger/
ESET
http://download.eset.com/special/
EConfickerRemover.exe
BitDefender
h t t p : / / w w w. b i t d e f e n d e r. c o m / s i t e / D o w n l o a d s /
downloadFile/1584/FreeRemovalTool
Les nouvelles versions de Conficker!!
Webographie Entre notre premire version de
larticle crite fin Janvier, Conficker
[1] Analyse de Microsoft a quelques peu volu...
http://www.microsoft.com/security/portal/Entry.aspx?
Name=Worm%3aWin32%2fConficker.B Une version B++ du ver a vu le jour le
20 fvrier 2009. Cette fois-ci,
[2] Symantec webblog Conficker contenait une relle charge
https://forums.symantec.com/syment/ utile puisquil pouvait enregistrer les
touches frappes par lutilisateur
(keylogger), envoyer du SPAM ou encore
[3] ActuScu n20: UPnP un protocole dangereux
mener des attaques de dni de service
http://www.xmcopartners.com/actu-secu/XMCO- distribue (DDOS).
ActuSecu-20-UPNP.pdf
Enfin au dbut du mois de Mars, la
[4] Dcompilation du correctif MS08-067 sur le blog version C du virus est apparue. Cette
de Sotirov: fois-ci, le ver contacte dsormais plus
http://www.phreedom.org/blog/2008/decompiling- de 50 000 domaines diffrents (contre
ms08-067/ 250 pour la premire version). De plus,
de nouvelles fonctions comme la
[5] Compilation de liens sur Conficker dtection des logiciels Wireshark,
http://isc.sans.org/diary.html?storyid=5860&rss unlocker, tcpview, sysclean a t
ajoute dans cette version qui ne sera
certainement pas la dernire...

LACTU SCU N22
Lactualit du mois...
LACTUALIT DU MOIS
Petit tour dhorizon des
vulnrabilits et de lactualit
scurit de ces derniers mois
prsentes par les consultants en
charge de notre service de
veille...
XMCO | Partners
Aprs Conficker qui reste le problme majeur a retenir ces derniers mois, dautres vulnrabilits ont galement
fait parler delles... Nous prsenterons, dans la suite de cet article, des failles de scurit diverses et varies
toujours aussi intressantes tudier :
La pile Bluetooth Windows Mobile : une vulnrabilit de type Directory Transversal affecte les OS
Windows Mobile 5 et 6.
Le In-Phishing : une nouvelle technique dattaque de Phishing.
Les failles Internet Explorer : description des vulnrabilits MS08-078 et MS09-002.
Safari et les flux RSS : un flux RSS malicieux peut mener au vol de donnes.
Local root sur FreeBSD : utilisation de la variable LD_PRELOAD pour obtenir les droits root sur un systme
Free BSD.

LACTU SCU N22
La pile Bluetooth des quipements Windows Mobile
Bluetooth et Directory Transversal

Un pirate peut accder des dossiers non partags
Continuons toujours dans les problmes de scurit en menant une attaque de Remonte de rpertoires
des produits Microsoft. Le mois dernier, une (Directory Transversal).
vulnrabilit a touch le systme dexploitation
Windows Mobile 5 et 6. Le problme est li la validation du dossier d'accs
lors de l'utilisation de ce service. En utilisant une
Ce systme dexploitation implmente la pile Bluetooth chane de caractres malicieuse (../../), il est possible
Microsoft qui propose plusieurs services (Casque d'accder des dossiers non autoriss voire uploader
d'coute, main libre, port srie, transfert de fichiers, des fichiers malicieux au sein de rpertoires sensibles.
rception objet, impression) dont notamment le service
OBEX FTP. Le succs de cette attaque ncessite au pralable
Le service OBEX (OBject Exchange) FTP est dtre authentifi avec lquipement Bluetooth du
certainement le plus utilis dentre tous puisquil permet pirate. La porte de lattaque se limite donc aux
de raliser des transferts de fichiers entre quipements avec qui la victime aurait dj chang un
quipements Bluetooth. fichier. Lutilisation de logiciels tels que OBEXFTP
(prsent notamment au sein de la distribution
Il propose galement un quipement daccder et de B a c k Tr a c k ) p e r m e t d e x p l o i t e r f a c i l e m e n t l a
naviguer au sein de larborescence dun dossier vulnrabilit.
partag comme le montre la capture suivante :
La capture suivante montre comment le pirate accde
au rpertoire My Documents via de simples
caractres ../..
Dautres logiciels plus user friendly permettent
galement de mener la mme malversation.

Lutilisateur peut ainsi utiliser le rpertoire partag de
son tlphone Bluetooth - My Device\My Documents
On peut alors imaginer dautres scnarii (autre que le
\Bluetooth Share ou dfinir un emplacement prcis.
vol de fichier) comme placer un cheval de Troie ou un
Par dfaut les rpertoires My Device\My Documents\
virus au sein du systme de dmarrage du tlphone
ou Memory Card\My Documents\ ne sont pas
\Windows\Startup.
partags par mesure de scurit ce qui vite laccs
des images, des vidos ou des documents personnels.
Microsoft na pas encore publi de correctifs de
scurit. Le seul conseil pour les utilisateurs de ce type
Une vulnrabilit importante a justement t identifie
de tlphone consiste uniquement ne pas authentifier
au sein de ce service OBEX FTP.
des quipements inconnus ou non dsirs

LACTU SCU N22
Le In-Phishing
Le principe
Dtails techniques
Du phishing au In-phishing
Pr-requis
Un nouveau type dattaque a rcemment t prsent
Comme chaque attaque volue, lexploitation du In
par Amit Klein.
Phishing est dpendant de plusieurs lments:
Ce chercheur connu vient de dcouvrir un nouveau
vecteur dattaque, permettant damliorer grandement
1. La victime doit visiter un premier site sensible.
le succs dune campagne de Phishing.
2. La victime visite, dans un second onglet, une page
Le Phishing est une attaque consistant obtenir des
malicieuse contrle par le pirate.
renseignements en usurpant lidentit dune
personne, dune socit ou dun site internet. Cette
3. La page malicieuse du pirate doit pouvoir identifier
attaque a pour but dinciter un utilisateur fournir des
sur quel site la victime est loggue (banque,
donnes confidentielles au pirate en se faisant passer
webmail) afin de gnrer la poppup en fonction de
pour un site web lgitime.
cette information et donc mener son attaque.
Habituellement cette attaque consiste crer un faux
4. La victime ne se pose pas de question et soumet
site web en rservant un nom de domaine proche du
les identifiants au sein de la poppup qui lui est
vrai site cibl. Le pirate doit ensuite inciter un
affiche.
utilisateur suivre un lien le menant directement vers
le site web malicieux.
A noter: dans un cas rel, runir lensemble de ces
Amit Klein vient dinventer le nom de in-session
conditions est relativement difficile. Cependant,
Phishing qui permet de mener une attaque de
titre thorique, nous voquons dans la suite de cet
Phishing dans le cas o un internaute visite le site
article, les moyens mis en uvre pour mener bien
web contrl par le pirate et, dans le mme temps,
les points 3 et 4. Les deux premiers points tant
sous un autre onglet, le site vis par la campagne de
surtout lis au social engeneering.
Phishing.
Identifier le site sur lequel la victime est pralablement
loggue est ltape la plus difficile mener par le
Scnario dattaque pirate. La page malicieuse cre par le pirate doit tre
capable dobtenir cette information afin dafficher une
Le scnario dattaque est simple. La victime est poppup correspondant au site visit par la victime.
loggue sur un site bancaire site-bancaire.com mais
visite galement dautres sites web dans le mme Il est vident que le pirate va cibler son attaque pour
temps dont celui du pirate. Une popup est alors quelques sites donns. Imaginons que le pirate
affiche lutilisateur et lui demande de saisir, souhaite voler les identifiants de Facebook, Gmail ou
nouveau, ses identifiants. La popup a t, en ralit, du site site-bancaire.com
gnre par le site malveillant La victime crot alors
que la poppup provient du site bancaire et soumet Pour des raisons de scurit un site plac dans un
son login et son mot de passe. onglet ou dans une autre fentre du navigateur ne
peux pas accder aux informations (contenu, url etc)
des autres sites.
Le pirate doit donc trouver un moyen efficace qui lui

assure que la victime est bien en train de visiter un
des sites cibls par lattaque. Pour cela, deux
mthodes permettent deffectuer cette opration.

ACTUALIT DU MOIS : LE IN-PHISHING LACTU SCU N22
La mthode des images protges 4. Le site pirat que lutilisateur est en train de visiter
affiche une popup demandant de se r-authentifier
Cette mthode a t dcouverte en novembre 2006 sur le site bancaire.
par le chercheur Robert Hansen (http://ha.ckers.org/
blog/20061108/detecting-states-of-authentication-with- 5. Si lutilisateur renseigne ses identifiants, ceux-ci sont
protected-images/). alors envoys au pirate.
Robert Hansen a propos une mthode qui lui

permet dtre certain que la victime visite en
mme temps le site du pirate et le site vis par
lattaque.
<imgsrc="http://sitebancaire.com/
client/imagenonaccessible.jpg"/>
Cette technique ncessite de connatre une image

accessible uniquement une fois que lutilisateur
sest authentifi sur le site vis par lattaque de
Phishing.
Une balise image est insre au sein du code du

site malicieux.
Ce code force le navigateur de la personne

visitant la page web malicieuse effectuer une
requte HTTP vers le site site-bancaire.com afin
de tlcharger limage accessible uniquement par
les personnes authentifies.
La page web malicieuse peut videmment charger
diffrentes images situes sur diffrents sites et afficher
Cette balise image contient galement un attribut
en consquence la fausse fentre popup. Cependant,
onerror, qui permet dexcuter une fonction si limage
cette mthode comporte une limitation. En effet, les
nest pas charge. En revanche, si la requte aboutie
images sont souvent accessibles sans authentification.
avec la rception dun 200 OK, le pirate peut charger
limage. On peut donc en conclure que lutilisateur est
authentifi sur le site en question et la fonction
(gnration de la poppup malicieuse) est alors
excute.
Dans le cas contraire, si limage ntait pas

accessible, le navigateur narriverait pas charger
limage. Cette fonction pour but dannuler le timer,
qui par consquent empchera laffichage de la
fausse fentre popup
1. Un utilisateur visite un site pirat (XSS, frame).
2. Le site force le navigateur de lutilisateur

tlcharger une image dun site bancaire accessible
quune fois authentifi.
3. Le site bancaire envoie limage lutilisateur si celui-

ci est authentifi.

Lattaque peut alors tre ralise avec le simple code Lutilisation dune fonction JavaScript
HTML suivant:
Comme nous lavons vu prcdemment, lutilisation
dimages accessibles seulement une fois authentifie
CODE...
nest pas toujours mise en place sur les diffrents sites
internet.
<html> Le chercheur Amit Klein a donc propos dans le cadre

du in-phishing, une seconde mthode, pas encore
 dvoile, mais particulirement efficace.
Une simple fonction JavaScript que lauteur na pas
<script> souhait divulguer (avant la publication du correctif pour
var phish = setTimeout("FakeMessage()", chacun des navigateurs) serait capable de dterminer
5000); si un utilisateur visite un certain site.
function FakeMessage()
{
1. Un utilisateur visite un site pirat (XSS, frame) et
// code javascript permettant
d'afficher en dhtml un calque imitant dans le mme temps le site de sa banque.
une popup devant le site visit
} 2. Le site internet corrompu demande au navigateur si
celui-ci visite le site dsir grce une fonction
function AntiPhishing() JavaScript.
{
clearTimeout(phish); 3. Si le navigateur indique quil visite ce site, une fausse
} popup est affiche afin de soutirer des donnes
</script> lutilisateur.
<img src="http://site-bancaire.com/
client/image-non-accessible.jpg"
4. Les donnes sont transmises au pirate.
onerror="AntiPhishing()"
style="display:none;
Les messages peuvent tre de diverses natures :

demande de reconnexion, offre promotionnelle
Cette page HTML permet de vrifier si la victime a Cette attaque est totalement transparente pour
accs limage image-non-accessible.jpg protge par lutilisateur et fonctionne sur la majorit des navigateurs
authentification. internet.
La fonction FakeMessage() permettant

dafficher une fausse fentre popup sera
excute 5 secondes aprs le chargement de
la page grce au timer setTimeout().
Cependant, si la page malicieuse dtecte que

la victime ne peut pas charger limage, la
fonction AntiPhishing() situe dans lattribut
onerror sera excute.
Cette fonction pour but dannuler le timer,

qui par consquent empchera laffichage de
la fausse fentre popup.

Conclusion
Le Phishing est une attaque indmodable. Chaque

jour, des milliers demails sont envoys aux
utilisateurs afin de leur faire soumettre des
informations confidentielles.
Avec cette nouvelle dcouverte qui impacte une
grande partie des navigateurs, ces attaques
peuvent amliorer efficacement leur chance de
russite mme si plusieurs conditions sont
ncessaires lexploitation relle de ce problme.
Webographie
White Paper de la socit Trusteer Reasearch

http://www.trusteer.com/files/In-session-phishing-
advisory-2.pdf
Commentaires de Robert Hansen

http://ha.ckers.org/

LACTU SCU N22
Les failles Internet Explorer
Le retour des failles IE
Ahhh, cela faisait bien longtemps que de grosses failles

Internet Explorer navaient pas t publies et
entirement exploites (avec le code dexploitation
rendu public).
Les scripts Kiddies ou autres dveloppeurs de

framework DIY se sont certainement prcipits sur ces
derniers exploits IE pour complter leur panoplie
dexploits de navigateurs
XML et le MS08-078
La premire vulnrabilit a t identifie au mois de

dcembre 2008. Cette dernire a t rvle par la
publication de deux exploits aux alentours du 8
dcembre 2008.
Ces deux programmes malicieux se matrialisaient

sous la forme dune page web et exploitaient une
erreur de traitement de tags XML.
D e s b a l i s e s S PA N j u d i c i e u s e m e n t c o n u e s
permettaient lors de la visualisation de la page en
question de provoquer un "heap spray" (dbordement
de pile) ce qui aboutissait lexcution dun code
malicieux avec les privilges de lutilisateur. CollectGarbage et MS09-002
Des Chinois avaient tout dabord dvelopp un exploit Au dbut du mois de fvrier, le Black Tuesday a t
permettant de provoquer le tlchargement d'un virus notamment marqu par la correction de vulnrabilits
lors de la visite de la page web. affectant Internet Explorer 7.
Une fois le malware tlcharg, ce dernier tentait alors
de tlcharger d'autres virus. Une dentre elles a t rapidement et massivement
exploite sur Internet. Cette dernire baptise
Dautres preuves de concept ont, ensuite, t diffuses Uninitialized Memory Corruption Vulnerability par
sur les sites spcialiss comme Milw0rm (voir capture Microsoft provient dune erreur de traitement lors de
suivante). Cette fois-ci, le shell code utilis permettait laccs des objets supprims (fonction
dexcuter la calculatrice. Cette version tait alors CollectCarbage()).

fonctionnelle en l'tat, quelque soit la plateforme et le
langage du systme d'exploitation utilis (test par Des exploits ont rapidement t identifis sur des sites
notre laboratoire). Elle tait vendue prs de 15 000$ chinois, notamment au sein de documents Word. Ces
avant la publication du correctif. fichiers malicieux, retrouvs sur Internet, ntaient, en
ralit, quedes fichiers XML contenant une rfrence
Microsoft a, par la suite, publi un correctif d'urgence un objet (mshtml.dll). Cette librairie permet dinterprter
afin de combler cette vulnrabilit. le code afin den obtenir le rsultat visuel.
Grce cette rfrence, le document chargeait

http://www.breakingpointsystems.com/community/blog/
automatiquement la page web et laffichait au sein du
patch-tuesdays-and-drive-by-sundays
document sans aucune interaction de la part de la
victime. Cette page exploitait alors, dans un second

ACTUALIT DU MOIS : LES FAILLES INTERNET LACTU SCU N22
temps, la vulnrabilit lie la libration de mmoire de Webographie

certains objets.
Vulnrabilit MS08-078
http://www.microsoft.com/technet/security/bulletin/
ms08-078.mspx
Vulnrabilit MS09-002
http://www.microsoft.com/technet/security/bulletin/
MS09-002.mspx
Un jour plus tard, le code de lexploitation tait dj

disponible sur Milw0rm. Une lgre modification du
shell code permettait alors de lancer la calculatrice
comme nous le prsentons ci-dessous.

LACTU SCU N22
Local root sur FreeBSD
Elvation de privilges sur FreeBSD

LD_PRELOAD et telnet
Les systmes Unix ne sont pas exempts de failles de

scurit diverses. La dernire vulnrabilit locale
affectant les systmes FreeBSD en est la preuve
Une vulnrabilit a t identifie au sein du service

telnetd de ce systme dexploitation. Lors de
l'tablissement d'une session telnet (distante ou local),
il est possible dexporter la variable d'environnement
LD_PRELOAD avant que le processus /bin/login
dauthentification ne soit excut. distance
LD_PRELOAD est une variable denvironnement qui
permet de spcifier une bibliothque partage qui sera La faille de scurit est galement exploitable
charge au dmarrage dun programme. Ainsi, en distance. En effet, si le pirate arrive par un moyen ou un
dfinissant cette variable denvironnement afin de autre uploader la librairie malicieuse (ftp, faille web,
pointer vers une librairie malicieuse stocke sur le webdav, accs temporaire au systme), et que le
serveur cibl, un pirate peut surcharger certaines serveur implmente le service telnet, il pourra alors
fonctions et obtenir les droits root. crer une backdoor lui permettant daccder avec le
compte root au serveur.
Dans notre cas, la librairie malicieuse libno_ex.so.1.0
surcharge la fonction _init() appele ce qui a pour La capture suivante illustre lexploitation de la
consquence de lappeller la place de la fonction vulnrabilit distance. Sous mac loption SRA nexiste
d'origine en tant qu'utilisateur root. pas, il faut donc utiliser le mot clef NULL.
A laide de quelques lignes et de cette librairie
malicieuse, le pirate peut donc se connecter localement
ou distance avec le compte root.
Quelques conditions sont ncessaires afin dexploiter
cette vulnrabilit.
Localement
Un utilisateur aux droits limits loggu sur un systme

FreeBSD doit crer la librairie malicieuse et la placer
dans un rpertoire accessible en criture (dans notre
exemple le rpertoire /tmp/libno_ex.so.1.0.
De plus, le service telnet doit tre activ. Il lui suffit
De nombreux systmes sont bass sur FreeBSD, il est
ensuite dexcuter les commandes suivantes afin de se donc probable que dautres OS soient galement
connecter localement via le service telnet en tant que affects par cette faille. Il est dsormais recommand
root. dutiliser les versions nFreeBSD 7.0-RELEASE, 7.1-
RELEASE, 7-STABLE, and 8-CURRENT ou de
$telnet sassurer que le service telnet est dsactiv
>auth disable SRA
>environ define LD_PRELOAD /tmp/
libno_ex.so.1.0 Webographie
>open localhost
Annonce scurit FreeBSD
http://security.FreeBSD.org/advisories/FreeBSD-
SA-09:05.telnetd.asc

LACTU SCU N22
Safari et les flux RSS
Fichier XML:
Safari et la gestion des flux RSS
Aprs les multiples vulnrabilits des navigateurs

Internet Explorer, Firefox voir Opra, c'est au tour de
Safari d'tre victime d'une faille de scurit. CODE...
Au cours des mises jour de scurit du mois de <content:encoded><![CDATA[
fvrier d'Apple, un correctif concernant le navigateur a <body src=http://site.com/image.jpg
t publi. Ce dernier corrige une vulnrabilit onload=javascript:alert('xss);<onload=
concernant le lecteur de flux RSS de Safari, aussi bien
sur Mac que sur Windows. ]]>
</content:encoded>
Cette dernire pouvait permettre un pirate d'excuter
du code sur l'ordinateur de la victime. Pour russir
l'exploiter, l'attaquant doit parvenir faire visiter un lien
malicieux une victime. Ce type de vecteur d'attaque
suit le mme principe que celui des attaques XSS ou Code javascript gnr:
XSRF.
CODE...
Cependant, cette vulnrabilit est diffrente des failles
classiques qui touchent rgulirement les navigateurs
telles que les dbordements de tampons ou les
corruptions mmoires. Cette vulnrabilit ne permet
pas d'excuter du code binaire, mais du code <div class=apple-rss-article-body>
javascript avec des privilges sur le systme de <body src=http://site.com/image.jpg
fichier. onload=javascript:alert(xss);>
<onload></onload>
Les flux RSS sont gnralement des fichiers XML, ils </body>
peuvent contenir diffrents types de donnes, comme <! end articlebody ></div>
du code HTML, pour permettre aux lecteurs de flux
d'avoir un meilleur rendu.
La plupart du temps, les lecteurs de flux RSS

n'interprtent pas le code javascript provenant des sites
internet. Celui de Safari filtre les tags javascript et Pour exploiter la faille, il faut faire en sorte d'excuter le
n'interprte pas le code. Cependant, certains code dans le contexte du lecteur de flux RSS, c'est
chercheurs en scurit informatique ont russi trouver pourquoi le lien doit imprativement tre visit sous le
une technique de contournement du filtre de protocole feed://. Par exemple, le pirate incitera
scurit. l'utilisateur visiter une URL du type :
En crant un fichier XML malicieux, il est possible de feed://site.com/url_malicieuse.php

faire en sorte que le filtrage de Safari gnre quand
mme du code javascript valide (voir le code ci-
dessous).
Lorsque le code javascript est excut dans le contexte
du lecteur de flux RSS, il est excut avec des
Lors du tlchargement du fichier XML, le navigateur
privilges lui permettant d'accder au systme de
traduit le flux XML sous la forme d'une page HTML pour
fichier. Il est alors possible un utilisateur malicieux de
l'affichage des derniers lments. ce moment-l, le
crer un lien contenant du code javascript permettant
code javascript est alors interprt et excut par le
de lire le contenu d'un fichier (voir le code ci-
navigateur.
dessous).

ACTUALIT DU MOIS : SAFARI ET LES FLUX RSS LACTU SCU N22
Le contexte d'excution n'interdit pas non plus les Webographie

restrictions de type Cross Domain, on peut donc
envoyer des requtes HTTP vers n'importe quel hte et Explications par Billy Rios
en consulter le rsultat. Un pirate peut profiter de ce http://xs-sniper.com/blog/2009/02/13/stealing-more-
privilge supplmentaire pour utiliser des scripts de files-with-safari/
style proxy XSS afin de se servir de l'ordinateur de la
victime comme relais pour effectuer des attaques ( voir
l'ActuSecu n 17).
Notre laboratoire a dvelopp une preuve de concept

permettant denvoyer au pirate les informations
subtilises. Ici, le code dexploitation envoie au serveur
www.xmcopartners.com le contenu du fichier Win.ini.
Le pirate reoit alors le contenu du fichier Win.ini :
Le code d'exploitation permettant d'exploiter la faille

n'ayant t rendu public qu'aprs la publication du
patch, les consquences de la vulnrabilit restent
minimes.

LACTU SCU N22
BLOGS, LOGICIELS ET Liste des blogs Scurit
EXTENSIONS SECURITE Chaque mois,

prsentons,
rubrique,
nous
dans
vous
cette
des outils libres,
extensions Firefox ou encore
nos sites web prfrs.
Ce mois-ci nous avons choisi

de vous prparer un mix : un
blog, un logiciel scurit et
une extension...
XMCO | Partners
Aprs la srie consacre aux extensions, les logiciels scurit et les blogs des chercheurs, passons un cocktail
vari.
Au programme de ce mois :
Secunia PSI : logiciel dapplication automatique de correctifs
Jeremiah Grossman : directeur technique de la socit

WhiteHat
Request Policy : extension Firefox
Et pour les autres, rendez-vous dans le prochain numro...


LACTU SCU N22
Secunia PSI
Application automatique de correctifs
Description La socit Scunia nest plus prsenter. Cette socit est devenue
quelques annes, un des leaders inconstest de la veille scurit.
De plus, elle possde ses propres chercheurs en vulnrabilit qui
sont souvent lorigine de dcouverte.
Un logiciel nomm Scuna PSI a t dvelopp par leur quipe et
permet de patcher automatiquement les systmes WIndows. Ainsi,
vous tes prvenu chaque nouvelle version dun logiciel
implment que PSI soccupe de tlcharger et dinstaller votre
place...
Capture dcran
Adresse Le logiciel est disponible ladresse suivante :

http://secunia.com/blog/35/
Avis XMCO Ce logiciel peut savrer trs pratique pour une utilisation
personnelle dun ordinateur. Vu, les contraintes du mtier et les
droits des utilisateurs, ce logiciel nest pas encore la solution miracle
en entreprise...

LACTU SCU N22
Jeremiah Grossman
jeremiahgrossman.blogspot.com
Description Aprs Robert Hansen, prsentons ce mois-ci un de ses acolytes

galement connu travers le monde : Jeremiah Grossman. Les
adeptes des Blackhat ou autres confrences du genre ont sans
doute assist ses prsentations orientes vers les attaques Web.
Aprs avoir t Security Officer chez Yahoo, Jeremiah est devenu le

Chief Technology Officer au sein de la socit Whitehat. Il participe
activement la dcouverte de nouveaux vecteurs dattaque web et
au dveloppement du WASC (Web Application Security
Consortium).
Capture dcran
Adresse http://jeremiahgrossman.blogspot.com
Avis XMCO Le blog de Jeremiah Grossman nest pas aussi technique que
dautres. En revanche, il donne rgulirement son avis sur les
tendances scurit du moment.

LACTU SCU N22
RequestPolicy
Extension anti-CSRF
Description Nous avions dj prsent lextension NoScript permettant de
bloquer lexcution non dsire de codes Javascript malveillant
(notamment pour bloquer les attaques XSS). Une autre extension
proche de NoScript a t rcemment dveloppe. Cette fois-ci, les
auteurs se sont penchs sur les attaques CSRF qui sont de plus en
plus exploites sur Internet. Request Policy permet de dfinir des
white-listes afin dautoriser des requtes vers des sites bien dfinis.
Fini les soumissions automatiques de formulaires votre insu...
Capture dcran
Adresse Lextension est compatible avec les navigateurs Firefox 3,

SeaMonkey, Flock, SongBird et Fennec 1.0 et est disponible
ladresse suivante :
http://www.requestpolicy.com/
Avis XMCO Request Policy apporte une scurit supplmentaire votre

navigateur Firefox. Cette extension jouera le rle de parefeu pour
votre navigateur pour toute les requtes qui sortent votre insu.
En complment de NoScript, RequestPolicy est une extension

qui ravira tous les paranoa de la scurit ainsi que les
utilisateurs rguliers de proxy locaux... WWW.XMCOPARTNERS.COM

LACTU SCU N22
propos de lActuScu
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Sa vocation est de fournir des prsentations claires et dtailles sur le thme de la scurit informatique, et ce, en
toute indpendance.
Tous les numros de lActuScu sont tlchargeables ladresse suivante:

http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html
propos du cabinet Xmco Partners
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous
n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent
les axes majeurs de dveloppement de notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de

missions daccompagnement de RSSI, dlaboration de schma directeur ou
encore de sminaires de sensibilisation auprs de plusieurs grands comptes franais.
Contacter le cabinet Xmco Partners
Pour contacter le cabinet Xmco Partners et obtenir des informations sur notre mtier : 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/

XMCO ActuSecu 22 Vol D Identite

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

XMCO ActuSecu 22 Vol D Identite

Transféré par

Droits d'auteur :

Formats disponibles

LACTUSCU 22

LE VOL DIDENTIT SUR INTERNET

L e s c e r t ificats MD5 et les certificats MD5 : Prsentation de la fail l e M D 5

L a v er Co n ficker : Pr se nta tio n co mplt e du ver et de ses par t icular i t s

Les blogs , logic ie ls e t e xte n s i o n s s c u r i t . . .

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

propos du cabinet Xmco Partners

Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Le pouvoir de conviction des mathmatiques est trange...

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Le vol didentit sur Internet..................5

Les collisions MD5 et les certificats...18

Conficker, le virus la mode...............27

LActualit scurit du mois................37

Les Blogs, logiciels et extensions

CONFICKER, LE VIRUS A LA MODE P. 27 XMCO | Partners

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

LE VOL DIDENTIT Le vol didentit : techniques,

SUR INTERNET Le vol didentit au sens large

Dans le cadre informatique, le

Comment sy prennent-ils pour

Le vol didentit est la mode. Les journaux Les rcents exemples

fait voler son compte MSN ou Facebook ? Combien

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Pire encore, le pirate a ensuite avou navoir utilis

Revenons sur les dtails de cette histoire.

Le pirate, g de 18 ans, visitait tranquillement le site

Aprs une nuit dattaque avec un dictionnaire, le pirate

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Enfin, comment peut-on encore autoriser des milliers de

Dautres informations comme certaines coordonnes

Peu dinformations taient disponibles lpoque.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

The Great Council of Internet Superheros can't

Our mission is to bring justice, joy and happiness. We

Mr. PhD Petko D. Metkov, you assume that

And certainly the superheros are in possession of

quels moyens ces derniers avaient pu pirater son

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Une lecture plus approfondie rvle la nature de cette police spcialise.

Cout de l'assurance : 65$ par an.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Des informations sensibles disperses WWW.XMCOPARTNERS.COM

Un vol didentit efficace demande lutilisation, de la

Par exemple, aux USA, le numro de scurit sociale

En France, une date de naissance, une adresse et un

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Le vol didentifiant bancaire est la seconde voie

Les fake hotspots

Les hotspots publics

Les hotspots publics font galement partie des lieux

sessions ou tout simplement des logins et des mots

Ainsi, il est toujours possible dcouter (sniffer) les

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Dans le cadre du salon Infosec

Aprs quelques discussions avec certains

Esprons quaucun dentre vous ne soit Le vol de bases de donnes

A chaque vol de base de donnes, cest bien des

Le mot de passe gnralis

Le danger devient encore plus grand si un internaute

Imaginons quun pirate parvient extraire les comptes

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est