Académique Documents
Professionnel Documents
Culture Documents
AVERTISSEMENT
Le but de cet ouvrage est de faire connaître les techniques de piratage pour mieux
les combattre. L’atteinte aux systèmes de traitement automatisé de données est un
délit prévu par les articles 323-1 à 323-7 du Code Pénal.
Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un
système de traitement automatisé de données est puni d'un an d'emprisonnement
et de 15000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la
modification de données contenues dans le système, soit une altération du
fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de
30000 euros d'amende.
Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement
automatisé de données est puni de trois ans d'emprisonnement et de 45000 euros
d'amende.
Le fait d'introduire frauduleusement des données dans un système de traitement
automatisé ou de supprimer ou de modifier frauduleusement les données qu'il
contient est puni de trois ans d'emprisonnement et de 45000 euros d'amende.
La tentative des délits prévus par les articles 323-1 à 323-3 est punie des mêmes
peines.
(Ordonnance n° 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22
septembre 2000 en vigueur le 1er janvier 2002)
© LAVOISIER, 2005
LAVOISIER
11, rue Lavoisier
75008 Paris
Serveur web : www.hermes-science.com
ISBN 2-7462-1024-X
Tous les noms de sociétés ou de produits cités dans cet ouvrage sont utilisés à des fins
d’identification et sont des marques de leurs détenteurs respectifs.
Zouheir Trabelsi
Henri Ly
COLLECTIONS SOUS LA DIRECTION DE NICOLAS MANSON
Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Mise en garde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Préface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.1. Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.2. Les trous des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
3.3. Les vulnérabilités des interfaces CGI (Common Gateway Interfaces) . 66
3.4. Les services non cryptés . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
3.5. Les comptes par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
3.6. Les problèmes du DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
3.7. Les permissions des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . 70
3.8. Les problèmes des services Telnet et FTP . . . . . . . . . . . . . . . . . . 70
3.9. Les problèmes du protocole ICMP . . . . . . . . . . . . . . . . . . . . . . 72
3.10. Les problèmes du protocole SMTP . . . . . . . . . . . . . . . . . . . . . 73
3.11. Les problèmes des protocoles IMAP, POP3 et POP2 . . . . . . . . . . 75
3.12. Les modems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
3.13. Défaut de pilotage et de détection . . . . . . . . . . . . . . . . . . . . . . 77
3.14. Les problèmes des architectures des réseaux . . . . . . . . . . . . . . . 77
3.15. Les vulnérabilités du NFS (Network File System) . . . . . . . . . . . . 78
3.16. Les problèmes de Windows NT (les fichiers partagés) . . . . . . . . . 79
3.17. Les connexions de type Null de Windows NT . . . . . . . . . . . . . . 79
3.18. Les problèmes des mots de passe et des Id utilisateurs . . . . . . . . . 80
3.19. Les problèmes des services d’administrations à distance . . . . . . . . 81
Table des matières 7
4.1. Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.2. La reconnaissance sans technologie spécifique . . . . . . . . . . . . . . . 88
4.2.1. Le social engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
4.2.2. Accès physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
4.3. La reconnaissance par ordinateur . . . . . . . . . . . . . . . . . . . . . . . 89
4.3.1. La commande Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
4.3.2. La commande Lookup . . . . . . . . . . . . . . . . . . . . . . . . . . 90
4.3.3. La commande ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
4.4 Les outils de reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . 94
4.4.1. Les outils de reconnaissance à base de client. . . . . . . . . . . . . 95
4.4.2. Les outils de reconnaissance à base de Web . . . . . . . . . . . . . 96
4.5. Management et diffusion des informations . . . . . . . . . . . . . . . . . 97
5.1. Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
5.2. Identification des systèmes d’exploitation. . . . . . . . . . . . . . . . . . 99
5.3. Le scanning des ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
5.3.1. Identification des applications . . . . . . . . . . . . . . . . . . . . . 101
5.4. Le War-dialing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
5.4.1. Concepts généraux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
5.4.2. Les outils de War-dialing . . . . . . . . . . . . . . . . . . . . . . . . 103
5.4.3. Après le War-dialing . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
5.5. Recherche dans les bases de données des vulnérabilités . . . . . . . . . 105
5.6. Les scanners de vulnérabilités automatiques . . . . . . . . . . . . . . . . 106
5.6.1. Concepts généraux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
5.6.2. Les scanners à base de réseau et à base d’hôte . . . . . . . . . . . . 107
5.6.3. Faiblesses des scanners de vulnérabilités . . . . . . . . . . . . . . . 108
5.6.4. Les outils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
5.6.5. Génération de rapports de vulnérabilité . . . . . . . . . . . . . . . . 110
8 La sécurité sur Internet
Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Lexique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Avant-propos
Sachant pertinemment que le risque zéro n’existe pas, nous n’avons donc
nullement l’ambition de proposer au lecteur la solution miracle pour la sécurisation
des systèmes et des réseaux. Par ce travail, nous espérons, ajouter une pierre à cet
immense édifice qu’est la sécurité Internet.
Nous voudrions ici remercier tous ceux qui nous ont aidé à faire ce travail.
Les auteurs sont convaincus que, pour combattre les pirates, la connaissance de
leurs techniques et de leurs approches est indispensable. Cependant un lecteur mal
intentionné peut exploiter les éléments exposés pour réaliser des actes illicites qui
sont d’ailleurs sévèrement punies par la loi de par le monde.
Les auteurs déclinent donc toute responsabilité pour l’utilisation abusive des
informations et des techniques et/ou outils présentés dans le présent ouvrage.
Les auteurs
Préface
Et pourtant, tous les services informatiques dont nous dépendons sont des denrées
fragiles, constituées d’innombrables composants matériels, logiciels et humains,
devant fonctionner en parfaite symbiose jour après jour, heure après heure,
microseconde par microseconde. Ces services doivent assurer des niveaux de
disponibilité, de fiabilité, de performance, et de garanties d’intégrité comparables aux
exigences rencontrées dans les domaines tels que ceux de l’énergie nucléaire et de
l’exploration spatiale, mais doivent les réaliser à une échelle infiniment plus grande.
Bernard KING
B.Sc Engineering, Chartered Engineer (GB)
Responsable “Management Information Services”
Organisation européenne pour la sécurité aérienne
Chapitre 1
Avant d’aborder les problèmes techniques, nous allons dresser l’état des lieux du
monde des internautes et présenter quelques chiffres. Dans sa livraison mensuelle de
novembre 1999, le magazine Le Management signale qu’à cette époque il y a 148
millions de surfeurs, dont 52 % d’Américains. La France compte 5 millions
d’internautes environ et un internaute surfe en moyenne 2 h 41 par semaine. Nous y
apprenons également qu’un internaute visite, en moyenne et par connexion, 4 sites et
totalise 29 minutes de consultation par jour. D’autre part, il existe 11 millions de
domaines dont 6,6 millions se terminent par « .com »1. Ces chiffres montrent
qu’avec un nombre aussi important et appelé à grandir, le risque est de plus en plus
énorme. En effet, si seulement 0,5% de ces utilisateurs possédaient de mauvaises
intentions, cela représenterait déjà 25000 personnes susceptibles d’être des pirates
pour les entreprises ou les particuliers. Les menaces sont donc réelles et très
probables.
moitié des entreprises ou institutions a subi des attaques (email bombing, virus,
dénis de services (DoS)…).
1988-1989
Incidents 6 132
1990-1999
Année 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999
Incidents 252 406 773 1,334 2,340 2,412 2,573 2,134 3,734 9,859
2000-2003
Dans ce qui suit, nous allons nous intéresser au cas des années 2000-2001 et
essayer de comprendre le phénomène. En l’an 2000, lors du passage au troisième
millénaire, environ 50 000 virus3 et variantes ont été répertoriés.
Durant cette année, de nombreux « comback »4 ont fait leur apparition : Brain,
Pakistan I, I love you…. La liste serait longue mais les plus ravageurs étaient :
Melissa, CHI (Chernobyl), Win 32/Ska (ou Happy 99). Avec ces virus, les
techniques email bombing et les DoS ont contribué aux ravages.
Parmi les attaques les plus spectaculaires, pour le seul mois de février 2000, on
peut citer celles qui ont visé Yahoo.com, eBay.com et Amazon.com5. Les non
confirmations officielles en juin 2000 concernent Microsoft (Eh oui, le site de Bill
Gates lui même !) et en septembre, nouvelle attaque sur Yahoo.com…
Cependant pour les particuliers, la lutte efficace contre ce fléau exige des plans à
long terme, à savoir : informer et former les spécialistes et sensibiliser les
utilisateurs des réseaux et d’Internet. Dans ce domaine, on pourrait citer les Etats-
Unis qui sont les précurseurs avec des bourses d’étude pour les étudiants en
informatique qui s’engagent à travailler pour le service public à la fin de leurs études
et des instituts pour la protection de l’infrastructure informative, afin d’amener des
ingénieurs et des universitaires à travailler dans ce domaine.
5 Site spécialisé dans la vente des livres, des supports de musique et différents types de DVD
et vidéo…
6 Livraison du samedi 8/1/2000.
22 La sécurité sur Internet
Une enquête du CLUSIF8 portant sur les risques encourus, les divers accidents
et/ou attaques réalisés sur 608 entreprises et administrations, donne les chiffres
suivants :
– Virus ou vers informatiques : 67% ;
– Accidents d’ordre interne : 37% ;
– Accidents d’ordre externe : 13% ;
– Attaques ciblées : 7% ;
– Atteintes à l’image de la société ou du service : 2% ;
– Chantages ou fraudes : 1%.
Après avoir interrogé les faits et les chiffres, essayons à présent d’identifier les
pirates et leurs motivations.
Qui sont ces pirates des temps modernes et quelles sont leurs motivations ?
Déjà vers la fin des années 70, on enregistre les premières « attaques informatiques ».
Le hacking commence à faire son apparition et le grand public est confronté aux
premiers problèmes de vers et virus.
A l’époque, ces hackers, qu’on peut nommer « les bons », ne sont encore qu’une
poignée d’experts en la matière qui prônent la diffusion des informations sans
restriction, dénonçant par la même ceux qui les exploitent pour réaliser des profits
énormes. Ils se présentent donc comme les redresseurs de tort et ambitionnent de
montrer les points faibles des réseaux et des systèmes informatiques.
En France, vers les années 90, les autorités publiques définissent le hacking
comme « le piratage des informations » et l’identifient à « l’usurpation d’identité ».
C’est sûrement de cette époque que date l’amalgame entre le mot anglais « hacker »
et sa traduction française « pirate ». Ces hackers sont à distinguer des crackers ou
pirates qui jouent le rôle des « méchants » d’une part et d’autre part de personnalités
connues dont certains hackers convertis et travaillant contre les vrais pirates.
– Denis Loran est l’un des plus connus. Originaire de Wolfboro, une petite ville
dans le New Hampshire, aux USA, il est, dès son premier forfait (14/11/99) sur le
site www.Dare.com, recherché par la police. La traduction littérale de Dare est
« osé », en fait, c’est l’acronyme d’une institution pro-gouvernementale pour
l’éducation : « Drug Abuse Resistance Education »10 ». Il a pratiqué le Script
kiddies qui consiste à attaquer un site Web pour en changer les pages et en
particulier la page d’accueil. Il a, par exemple, remplacé la page d’accueil du site
DARE par une image montrant Donald Duck en train de se piquer le bras avec une
seringue. Son deuxième forfait est l’attaque du site RSA (site proposant les clefs et
méthodes de cryptage pour la protection des informations). Tous les utilisateurs ou
clients connectés à ce site sont transférés chez lui. Recherché par la police, il est
arrêté et condamné avec sursis. Il a écopé d’une forte amende. Interrogé sur ses
compétences, il a déclaré qu’à trois ans, il a commencé à pianoter sur un clavier
d’ordinateur, que tous ses diplômes sont obtenus par correspondance et sa moyenne
quotidienne de connexion sur Internet peut atteindre parfois une quinzaine d’heures.
– Kevin Mitnick : adolescent dans les années 90, quoique possédant un QI faible
de l’ordre de 70 (la moyenne étant située entre 100 et 130), il n’a rien d’autre à faire
que de « surfer » sur le Web durant ses journées pour trouver les failles des
systèmes, faire craquer les mots de passe. Arrêté, il est condamné à une peine de
prison.
– Tsutomu Shimomura : ancien hacker puis cracker et ami d'enfance de Kevin
Mitnick. Reconverti, il travaille aujourd'hui pour la NSA11 et est l’initiateur de
nombreux projets et processus de chiffrements DES par exemple.
– Ehud Tenebaum : Israélien, ayant comme pseudonyme » the Analyser »12.
Arrêté en 1999, à l’âge de 18 ans pour avoir pénétré le système informatique du
Pentagone. On ne connait pas exactement sa motivation réelle : espionnage ou
réellement « for fun ». C’est grâce à sa collaboration que la police a arrêté un groupe
de pédophiles communiquant par le Web.
A ces deux listes, nous avons jugé utile d’ajouter, à titre informatif, les noms de
certains informaticiens et génies qui, eux, ont contribué à la traque de ces pirates et à
la protection des systèmes et à l’élaboration d’algorithmes de protection. Il s’agit
de :
– Daniel Martin : ancien de la DST13, il est l’un des meilleurs spécialistes de la
sécurité informatique. Il a en outre publié des articles et livres sur le sujet.
– Damien Bancal : Web master du site www.zataz.com, il est l’un des premiers
journalistes spécialisés des hackers et des crackers.
– Winn Schwartau : grand spécialiste de l'info-guerre aux Etats-Unis, il est
conseiller du gouvernement et patron d’Interpac (un des services de gestion et
d’analyse des flux d’Internet).
– Dan Farmer : gourou de sécurité et concepteur des logiciels COPS et de
SATAN.
– Rivest, Shamir & Adleman : Chercheurs et développeurs, ils ont contribué à
développer une méthode de cryptage portant leurs noms (RSA), très connue et
utilisée dans certains protocoles de communication.
– Phil Zimmerman : Créateur du logiciel de cryptage PGP (Pretty Good Privacy)
qui s’appuie sur le principe de cryptage utilisant une clef de 612 bits.
11 National Security Agency. Le NSA est un mystérieux bureau gouvernemental qui n’existe
pas officiellement.
12 L’analyste.
13 Direction de la Surveillance du Territoire français.
26 La sécurité sur Internet
A l’instar d’une guerre, pour mieux élaborer une stratégie de victoire, il faut
connaître ses ennemis, leurs profils, leurs motivations ainsi que leurs techniques14.
Les motivations du piratage Internet sont variées et multiples. Elles sont d’ordre
personnel (vengeance personnelle, vengeance provoquée par un licenciement jugé
abusif, goût du défi.), politique, économique, industriel, militaire, financier et bien
d’autres encore.
Certains pirates attaquent pour s’amuser. Ils s’introduisent dans une entreprise ou
un système privé juste pour le plaisir. Ils imaginent que le particulier ou l’entreprise
possède des informations intéressantes. Connaissant et maîtrisant les failles du
système, ils pensent souvent qu’ils peuvent passer inaperçus. Dans un cas extrême,
ils changent la page d’accueil d’un site ou la modifient. Ces personnes sont mues par
le désir d’épater leurs amis et connaissances : ce sont les « farceurs » de l’Internet.
En 1995, par goût du défi et « for fun », un pirate, sous le pseudonyme de Johnny
Xchaotic, a abonné plusieurs hommes politiques et personnalités américaines, dont
Bill Clinton et Bill Gates, à 3000 listes de diffusion.
On peut associer aux farceurs les « vandales », dont la motivation est de nuire
aux autres en provoquant des blocage par des attaques de DoS (Dénis de Service),
des emails bombing ou encore par des injections de virus.
1.3.2. La compétition
Plus complexes sont les motivations des « compétiteurs ». Ils sont à la recherche
de l’exploit et adorent la compétition soit pour le niveau de difficulté, ou pour le
niveau de complexité de « craquage ». Plus un système est protégé, plus ils
redoublent d’ingéniosité pour en trouver les failles. Ces crackers tentent, par tous les
moyens, de pénétrer ou compromettre les systèmes en laissant parfois « une
signature technique » univoque. Après leur passage, on ne peut que constater les
dégâts : ralentissement du système, fichiers compromis, problème de mémoire, etc.
Techniquement, ils ont plus de professionnalisme que les farceurs car ils sont
capables d’utiliser les systèmes attaqués comme plate-forme d’attaques. Ce genre
d’attaque peut être préjudiciable à la victime car la police peut la confondre avec le
pirate et l’accuser.
Ces défis sont ceux-là même que les étudiants en informatique se lancent dans
les écoles ou universités en essayant de craquer le plus rapidement possible les
systèmes ou l’ordinateur central (pourtant géré par un professionnel !) ou de trouver
les mots de passe de l’ingénieur système.
Il y a quelques années, des pirates ont attaqué des serveurs russes en pleine
guerre de Tchétchénie. En 1995, des pirates chinois s’en sont pris aux sites
gouvernementaux américains après le bombardement de l’ambassade de Chine à
Belgrade.
Le 25 mars 2003, le site Web de la chaîne arabe télévisée Al-Jazeera est la cible
d’une attaque de type déni de service distribué (DDoS). Cette attaque vient juste
après la diffusion par Al-Jazeera de photos des soldats américains capturés par les
forces iraquiennes en Iraq. Son objectif est d’inonder le site Web de la chaîne par du
trafic de telle sorte que les utilisateurs ne peuvent plus accéder au site15.
Certains pirates sont mus par l’espionnage industriel. A cet effet, les services de
professionnels sont parfois loués pour ce genre d’activités.
Cet espionnage industriel via l’informatique est rarement évoqué, non seulement
parce que les pirates sont des techniciens de haut niveau qui laissent peu de traces
détectables lors de leurs intrusions, mais également parce que les entreprises
attaquées (sauf certains cas dévoilés par les clients) ne se sentent pas fières, et ne
sont pas friandes de mauvaise publicité. Les enjeux sont parfois énormes car le vol
de procédés industriels ou de données informatiques stratégiques peut entraîner la
perte de crédibilité de l’entreprise et menacer sa pérennité.
Enfin, les pirates peuvent être recrutés par une entreprise pour, entre
autres, détruire le système d’information d’une entreprise concurrente et/ou nuire à
son image de marque. Ces mercenaires cherchent à collecter des informations sur un
produit. Et les plus dangereux vont même jusqu’à modifier le contenu d’un site
Web ou bloquer son accès.
Les processus les plus redoutables sont ceux des modifications des prix ou du
détournement des fonds... En 1995, par exemple, un informaticien russe qui avait
des liens étroits avec la mafia locale et opérant à partir de Saint-Pétersbourg, a
détourné 11 millions de dollars dans une banque de New York en exploitant à
distance une faille de cette banque.
Même à titre individuel, un pirate peut voler des informations négociables et les
utiliser directement pour son propre intérêt (les numéros ou les codes des cartes
bancaires). Cependant, il faudrait aussi se méfier des enfants ou des adolescents qui
pourraient « piquer » du système informatique d’une entreprise des informations
négociables à l’extérieur : la liste des concurrents, l’annuaire d’une société, ses
prévisions de vente ou sa stratégie future.
Les sites ciblés et attaqués varient en fonction des motivations des pirates.
Néanmoins on observe que le site privé d’un particulier anonyme est rarement
attaqué, encore moins un PC individuel connecté au Web. Mais cela n’exclut pas
que plusieurs ordinateurs individuels sont souvent infectés par des vers ou des virus.
Les pirates Internet 29
Ceci se produit soit par le mode d’infection de masse (mailing automatique) soit par
l’individu lui-même qui manipule des supports média ou télécharge des fichiers
infectés provenant de sites attaqués.
Voici, à titre illustratif, quelques exemples édifiants d’attaques sur des sites très
importants.
En effet, plus la cible est importante, plus les pirates redoublent de férocité pour
montrer leur savoir-faire.
– Microsoft, Hotmail, Yahoo,
– Les entreprises Hight Tech.,
– Les entreprises pratiquant du e-commerce (commerces via l’Internet),
– Les universités,
– Les institutions gouvernementales, les organismes de défense nationale...
30 La sécurité sur Internet
Concernant ces catégories, sur les 2300 tests d’intrusion effectués mondialement,
on relève une réussite d’intrusion très proche de 100%. En France, un expert
affirme : « Nous faisons des tests d’intrusion sur les sites français, dans 90% des cas,
nous arrivons à entrer sans problème ».
Aux Etats-unis, après une série d’attaques sur les serveurs du FBI, de la Maison
Blanche et d’autres institutions américaines au printemps 1999, le gouvernement
américain a recruté des pirates et les a chargés de mener des tests d’intrusion.
Le premier a subi l’invasion des virus alors que le serveur du deuxième a été pris
d’assaut par un pirate pour l’utiliser comme plate-forme d’attaque contre d’autres
systèmes : ce patron d’une petite entreprise grenobloise, au-dessus de tout soupçon,
est fort surpris lorsque la police débarque chez lui pour l’enquête. Une ambassade
étrangère se plaint d’avoir reçu, de sa part ou de celle du personnel de son
entreprise, des emails d’insultes. Il s’agirait probablement de la vengeance d’un
acheteur mécontent ou de celle, personnelle, d’un salarié indélicat.
Nous fournissons en annexe une longue liste de sites Web, le lecteur est seul
responsable, en son âme et conscience, de l’usage qu’il fait de ces informations et/ou
des outils téléchargeables à partir de ces sites. En outre, il existe des magazines de
16 Nouvelle technologie de transmission à hauts débits pour le réseau public, avec connexion
en continu.
Les pirates Internet 31
hacking. Les plus connus sont le 2600 magazines publié aux Etats-Unis
(www.2600.com) et le Hackers Voices publié en France (www.dmpfrance.com). Ils
font référence en la matière.
Enfin, il faut signaler qu’il existe même des forums de discussion et des
conférences pour les hackers. Les séminaires ou conférences les plus connus sont :
– DefCom à Las Vegas aux Etats-Unis, www.defcom.com ;
– Le H2K2, The hackers On Planet Earth 2002 du mois de juillet 2002 à New
York, (www.2600.com).
Cet état de fait ne doit cependant pas faire oublier qu’en matière de sécurité
informatique, l’on doit constamment être à jour.
Pour rassurer les plus sceptiques, nous rappelons deux certitudes : la première,
c’est que retrouver les pirates est toujours techniquement possible, c’est uniquement
une question de temps ; la seconde est que, conscient de la gravité du fléau, le
gouvernement français a instauré des lois pour lutter contre la fraude informatique et
le piratage et créé des instances de contrôle et de sécurité.
l'utilisation possible des données dans un système informatique » est passible d’une
peine d’emprisonnement de 6 mois à 3 ans et d’une amende.
« Celui qui, par la commission de l'infraction visée au chapitre 1er, obtient pour
soi-même ou pour autrui un avantage patrimonial frauduleux » risque de 6 mois à 5
ans d’emprisonnement avec amende.
En cas de récidive, les peines sont doublées. En outre, des informations peuvent
être obtenues auprès de la CLUSIF, de la DCSSI (Direction Central de la Sécurité
des Systèmes d’Information) à Paris.
Il convient aussi de signaler l’existence du Service d’Enquête sur les Fraudes aux
Technologies de l’Information (SEFTI), dont la compétence couvre Paris et sa
proche périphérie, ainsi que celle de la Brigade Centrale de Répression de la
Criminalité Informatique à compétence nationale (BCRCI).
Résumé du chapitre 1
Quelques figures de ce monde ont été citées. Quelques sites connus et attaqués
durant ces dernières années ont été présentés ainsi que la répartition en pourcentage
des systèmes d’exploitation mis en cause.
Afin de mieux appréhender ces problèmes techniques et les failles des systèmes,
il importe de connaître les protocoles de base TCP/IP, les services de l’Internet et les
points faibles de ce merveilleux outil de communication.
C’est ce que nous allons aborder dans les deux chapitres suivants.
Chapitre 2
Au milieu des années 70, les travaux de DARPA1 débutent pour développer un
réseau à commutation de paquets afin de relier ses centres de recherches, partager
des équipements informatiques et échanger données et courriers. Le réseau devait
résister à des attaques militaires. Il fallait donc protéger les points névralgiques dont
la destruction entraînerait la paralysie du réseau. Ainsi, dès le départ, le réseau
ARPANET est-il conçu sans nœud particulier le dirigeant, de telle sorte que, si une
voie de communication venait à être rompue, le réseau continuerait d’acheminer les
informations en empruntant un autre chemin.
C’est vers 1980 qu’apparaît le réseau Internet tel qu’on le connaît maintenant. La
DARPA commence à faire évoluer les ordinateurs de ses réseaux de recherche vers
Les normes d’Internet sont publiées sous forme de fichiers texte, appelés RFC
(Request for Comments) et téléchargeables gratuitement. Chaque RFC reçoit un
numéro unique et définitif, donc non modifiable. De ce fait, plusieurs RFC peuvent
traiter du même sujet, mais certaines d’entre elles sont obsolètes ou simplement
complémentaires.
Même si, dès son origine l’Internet comprenait des entreprises privées, celles-ci
étaient plus ou moins liées à la recherche et au développement, mais, depuis
l’arrivée du Web, en 1993, les activités commerciales s’y multiplient
considérablement.
Face aux autres concurrents qui proposent des services identiques (IPX,
NetBIOS, etc.), les protocoles TCP/IP présentent certains avantages. Nous en
retenons les plus significatifs :
– TCP/IP est indépendant de tout matériel ou constructeur. Il peut fonctionner
sur une grande variété de technologies, utilisant une unité de transmission nommée
datagramme, spécifiant la façon de transmettre les informations sur un type de
réseau donné ;
– chaque machine connectée via TCP/IP reçoit une adresse unique et toutes les
paires de machines peuvent communiquer entre elles. Les nœuds intermédiaires
utilisent les adresses contenues dans les datagrammes pour prendre les décisions de
routage des paquets ;
– TCP/IP assure un acquittement direct entre machine source et destination,
même dans l’hypothèse où les machines ne sont pas reliées sur le même réseau
physique.
Les logiciels TCP/IP sont structurés en quatre couches de protocoles qui s’appuient
sur une couche matérielle comme illustré dans la Figure 2.1 :
– la couche physique constitue l’interface avec le réseau et se compose d’un
driver pour le système d’exploitation et d’une carte d’interface de l’ordinateur avec
le réseau ;
– la couche réseau ou couche IP (Internet Protocol) gère la circulation des
paquets à travers le réseau en assurant leur routage. Elle comprend aussi les
protocoles ICMP (Internet Control Message Protocol), ARP (Address Resolution
Protocol) et RARP (Reverse Address Resolution Protocol) ;
– la couche transport assure principalement la communication entre l’émetteur
et le destinataire, abstraction faite des machines intermédiaires. Elle régule le flux de
données et assure un transport fiable (données transmises sans erreur et reçues dans
l’ordre de leur émission) dans le cas de TCP (Transmission Control Protocol) ou pas
totalement fiable dans le cas de l’UDP (User Datagram Protocol). Pour UDP,
l’arrivée d’un paquet (appelé dans ce cas datagramme) est assurée par la couche
application ;
– la couche application propose des services de toutes sortes, en utilisant TCP,
UDP, et ICMP. Parmi ces services, on trouve la messagerie (POP pour la
consultation, SMTP pour l’envoi), l’échange de fichiers (FTP), les services Web
(WWW), l’application Ping (ICMP), le service DNS (TCP et UDP), etc.
Figure 2.4. Encapsulation des données par la pile des protocoles TCP/IP
Chaque ordinateur du réseau Internet dispose d’une unique adresse IP codée sur
32 bits. Autrement dit, chaque interface dispose d’une adresse IP particulière. En
effet, un même routeur interconnectant 2 réseaux différents possède une adresse IP
pour chaque interface de réseau. Une adresse IP est toujours représentée dans une
notation décimale constituée de 4 nombres (1 par octet) compris entre 0 et 255
chacun et séparés par un point. Une adresse IP est constituée d’une paire
(identificateur de réseau, identificateur de machine) et appartient à une classe
donnée (A, B, C, D ou E) selon la valeur de son premier octet, comme détaillé dans
la Figure 2.5.
40 La sécurité sur Internet
Adresse de diffusion
Dans le cas, très fréquent, où on doit expédier un message à l’ensemble des
machines d’un réseau, on utilise une adresse de diffusion, appelée broadcast, où
tous les bits correspondant à la partie machine sont mis à Un. Pour éviter
d’encombrer l’interconnexion de réseaux, cette diffusion ne peut en principe franchir
un routeur.
Classe A
Dans cette classe d’adresses, le premier bit de l’octet 1 est à Zéro. Le reste du
premier octet donne l’identificateur de réseau, ce qui laisse 7 bits pour le coder. Les
trois octets suivants donnent l’identificateur de machine. Les adresses de classe A
correspondent à un petit nombre de réseaux de très grande taille, puisque 24 bits
sont disponibles pour adresser des machines.
Les protocoles TCP/IP 41
Classe B
Cette classe d’adresse est identifiable aux deux premiers bits de l’octet Un qui
sont toujours 10. Les 16 premiers bits contiennent l’ID réseau et les deux derniers
octets l’ID machine. Ainsi, disposons-nous de 214 réseaux de 216 – 2 machines
chacun.
Classe C
Dans la classe C, les trois premiers bits sont toujours 110 et les trois premiers
octets signifient le numéro de réseau. Seul le dernier octet identifie le numéro de
machine. Cette classe peut être utilisée pour un grand nombre de réseaux de petites
dimensions. Ainsi, disposons-nous de 221 réseaux de 28 – 2 machines chacun.
Classe D
La classe D ne peut servir à identifier des machines. Elle est utilisée pour la
diffusion d’un message à un groupe de machines. Les quatre premiers bits ont
toujours la même valeur : 1110. Elle est donc repérée par un premier octet allant de
224 à 239.
Classe E
Réservée pour un usage ultérieur, cette classe d’adresse ne peut être utilisée pour
identifier des machines sur un réseau TCP/IP. Elle possède un premier octet
supérieur ou égal à 240 (quatre premiers bits à Un).
Une de ces stratégies repose sur les routes par défaut (default routes) ; il n'y a
souvent qu'une seule passerelle permettant de sortir d'un réseau. On n'a donc pas
besoin, dans ce cas, d'une entrée pour tous les réseaux du monde : il suffit de définir
cette passerelle comme la route par défaut pour atteindre les réseaux extérieurs.
Quand on ne trouve pas de route spécifique pour un datagramme, celui-ci est envoyé
à la passerelle par défaut. Dans le cas de plusieurs passerelles sur un réseau, on peut
utiliser également une passerelle par défaut.
Type de routage
La mise à jour des tables de routage peut s’avérer lourde car elles doivent être
cohérentes entre les différents routeurs et la topologie du réseau. Aussi existe-t-il
deux types de routages : statique et dynamique.
Le protocole IP, ainsi que ses adresses, peuvent être utilisés sur des architectures
matérielles différentes (réseau Ethernet, Token-Ring, etc.) ayant chacune sa propre
adresse physique. Il y a lieu d’établir des correspondances biunivoques entre
adresses IP et adresses matérielles des ordinateurs d’un réseau. Ceci est l’objet des
protocoles ARP (Address Resolution Protocol) et RARP (Reverse Address
Resolution Protocol). ARP fournit une correspondance dynamique entre une adresse
IP connue et l’adresse matérielle correspondante, RARP faisant l’inverse.
Les adresses physiques Ethernet de 48 bits (MAC : Media Acesss Control) sont
affichées sous la forme de six nombres hexadécimaux séparés par des « : ».
La Figure 2.6 décrit le format d’une requête ARP ainsi qu’un paquet de réponses
ARP, lorsque ARP est utilisé sur Ethernet pour traiter une adresse IP.
Les protocoles TCP/IP 45
ARP est un protocole suffisamment générique pour être utilisé sur d’autres types
de réseaux et traiter des adresses autres que les adresses IP.
Pour une requête ARP, tous les champs sont renseignés sauf l’adresse matérielle
cible. Lorsqu’un système reçoit une requête ARP qui lui est adressé, il remplit son
adresse matérielle, permute les deux adresses de l’émetteur avec les deux adresses
cibles, place la valeur 2 dans le champ « Opération », puis envoie la réponse.
Proxy ARP
Proxy ARP permet à un routeur de gérer les requêtes ARP adressées aux
machines d’un autre réseau. L’émetteur croit envoyer la requête ARP à la machine
cible alors qu’il s’adresse en fait à un routeur qui fait le lien avec la véritable
machine de destination située, elle même, « de l’autre côté » du routeur. Le routeur,
étant un simple filtre, agit alors comme un agent proxy. Il simule le comportement
de la machine de destination, et lui transmet des paquets venant des autres machines.
ARP Gratuit
Une autre caractéristique de ARP est sa capacité à détecter la configuration
appelée « ARP gratuit ». Il intervient lorsqu’une machine envoie une requête ARP
en cherchant sa propre adresse matérielle. Cela se passe généralement au démarrage
de la machine, lors de la configuration de l’interface.
46 La sécurité sur Internet
2.7. Le protocole IP
Un datagramme IP est constitué de deux parties : un en-tête et une partie pour les
données. La Figure 2.7 détaille sa structure.
Le type de services (TOS) est codé sur 8 bits et indique la manière dont doit être
géré le datagramme. Il se subdivise en cinq sous-champs comme suit :
Précédence D T R Inutilisé
La durée de vie (TTL) indique le nombre maximal de routeurs que peut traverser
le datagramme. Cette durée est initialisée, par la station émettrice, à N (souvent 32
ou 64) et décrémentée de 1 par chaque routeur qui la reçoit et la réexpédie.
Lorsqu’un routeur reçoit un datagramme dont la durée de vie est nulle, il le détruit et
envoie à l’expéditeur un message ICMP.
Le champ options est une liste de longueur variable, mais toujours complétée par
des bits de bourrage pour atteindre une taille multiple de 32 bits dans un souci de
conformité avec la convention qui définit le champ longueur de l’en-tête. Ces
options, dont la sécurité et la gestion (domaine militaire), l’enregistrement de la
route, l’estampille horaire, routage strict, etc., sont très peu utilisées car peu de
machines sont aptes à les gérer.
Chaque type de réseau physique autorise une certaine longueur de trame. Ainsi,
pour Ethernet, la longueur est autorisée à 1500 octets, contre 2044 pour une trame
Token Ring.
Les protocoles TCP/IP 49
Si le bit MF est positionné à 1, ceci signifie que d’autres fragments vont suivre.
S’il est positionné à 0, ceci signifie que le fragment courant est le dernier fragment
du segment.
Si le bit DF est positionné à 1, ceci signifie que le segment ne peut pas être
fragmenté. S’il est positionné à 0, ceci signifie que le segment peut être fragmenté.
routeurs. C’est pour cette raison qu’il est placé dans la couche IP. Le but d’ICMP
n’est pas de fiabiliser le protocole IP, mais de fournir à la couche IP, ou à une
couche supérieure de protocole (TCP ou UDP), le compte-rendu d’une erreur
détectée dans un routeur ou une machine.
Le champ type peut recevoir 15 valeurs pour spécifier les différences de nature
du message envoyé. Pour certains types, le champ code sert à préciser encore plus le
contexte d’émission du message.
Les protocoles TCP/IP 51
Le Cheksum est une somme de contrôle de tout le message ICMP. Le détail des
différentes catégories de messages est donné dans les deux tableaux suivants :
N° Type Signification
0 Réponse d’écho
3 Destination inaccessible
5 Changement de route
8 Demande d’écho
11 Expiration de délai
17 Demande de masque
18 Réponse de masque
N° Type Signification
0 Réseau inaccessible
1 Machine inaccessible
2 Protocole inaccessible
3 Port inaccessible
Données spécifiques…
Les champs Identifier et Sequence Number sont utilisés par l’émetteur pour
contrôler les réponses aux requêtes, (Code = 0). Par exemple la commande d’écho et
réponse dont le champ Type est égale à 8 ou 0 respectivement, permet à une
machine ou passerelle de déterminer la validité d’un chemin sur le réseau. Le champ
de données spécifiques est composé de données optionnelles éventuelles de longueur
variable émises par la requête d’écho et devant être renvoyées par le destinataire.
Cette commande ICMP est utilisée par les outils applicatifs tels Ping et Traceroute.
SPECIFIQUE
Si, par exemple, une passerelle détecte une boucle de routage ou un délai
excessivement long, elle procède à la destruction du datagramme et expédie un
message du type :
54 La sécurité sur Internet
Tout à zéro
Données…
Les numéros de port (chacun sur 16 bits) identifient les processus émetteur et
récepteur. Le champ longueur contient, sur 2 octets, la taille de l’en-tête et des
données transmises. Puisqu’un datagramme UDP peut ne transmettre aucune
donnée, la valeur minimale de la longueur est 8.
Le checksum est un total de contrôle qui est optionnel car il n’est pas
indispensable lorsque UDP est utilisé sur un réseau très fiable. S’il est fixé à 0, c’est
qu’en fait il n’a pas été calculé.
7 ECHO Echo
13 DAYTIME Daytime
La fiabilité fournie par TCP consiste à remettre des datagrammes, sans perte, ni
duplication, alors même qu’il utilise IP qui, lui, est un protocole de remise non
fiable. Ceci est réalisé à l’aide de la technique générale de l’accusé de réception
(ACK) présentée de manière simplifiée dans la Figure 2.11.
Les protocoles TCP/IP 57
Chaque segment est émis avec un numéro qui sert au récepteur à renvoyer un
accusé de réception. Ainsi l’émetteur sait si l’information qu’il voulait transmettre
est bien parvenue à destination. De plus, à chaque envoi de segment, l’émetteur
arme une temporisation qui lui sert de délai d’attente de l’accusé de réception
correspondant à ce segment. Lorsque la temporisation expire sans qu’il ait reçu de
ACK, l’émetteur considère que le segment est perdu et il le réexpédie. Mais, à la
suite d’un engorgement de réseau ou d’une perte de l’accusé de réception
correspondant, il arrive que la temporisation expire alors que le segment passe sans
problème. Dans ce cas, l’émetteur réexpédie le segment censé perdu, mais le
récepteur garde trace des numéros de segments reçus, et est capable de faire la
distinction et d’éliminer les doublons.
Plus la dimension de la « fenêtre » est importante, plus le débit peut être élevé,
jusqu’à saturation du réseau. Les performances en sont d’autant plus améliorées car
la bande passante est alors mieux exploitée.
Les flots de données sont perçus par TCP comme des séquences d’octets divisées
en segments. En principe, chaque segment est transmis dans un seul datagramme. La
Figure 2.13 donne le format d’un segment TCP qui sert aux trois fonctionnalités de
TCP : établir une connexion, transférer des données et libérer une connexion.
L’en-tête, sans option, d’un segment TCP a une taille totale de 20 octets et se
compose des champs suivants :
– le port source et le port destination identifient les applications émettrice et
réceptrice. En les associant aux adresses IP sources et destination du datagramme IP
Les protocoles TCP/IP 59
La taille de fenêtre est un champ de 16 bits qui sert au contrôle de flux selon la
méthode de la fenêtre glissante. Il indique le nombre d’octets (moins de 65535) que
le récepteur est prêt à accepter. Ainsi l’émetteur augmente ou diminue son flux de
données en fonction de la valeur de cette fenêtre qu’il reçoit.
Le checksum est un total de contrôle sur 16 bits utilisé pour vérifier la validité de
l’en-tête et des données transmises.
23 TELENET Telnet
80 HTTP WWW
Résumé du chapitre 2
3.1. Introduction
Dans ce chapitre, nous détaillerons les failles de sécurité qui rendent systèmes et
réseaux perméables aux attaques des pirates. Ces lacunes, qui sont dues à des erreurs
de configuration ou de programmation, doivent d’abord être identifiées pour
diminuer les risques et pouvoir ainsi être corriger par la suite grâce aux tests
d’intrusion que tout un chacun doit appliquer.
Année 1995 1996 1997 1998 1999 2000 2001 2002 2003
Vulnérabilités 171 345 311 262 417 1,090 2,437 4,129 3,784
Une simple entreprise peut réduire ces risques. Il suffit de créer un standard de
base et/ou une procédure de gestion de configuration. D’autre part, des tests d’auto
intrusion peuvent identifier les faiblesses et les trous sujets aux attaques éventuelles.
Il est impossible de bloquer tous les points d’accès à un réseau. Avec du temps et de
l’argent, n’importe quel système peut être compromis ou attaqué. Néanmoins, en le
mettant à jour avec les « patchs » et en le testant fréquemment, vous pouvez fermer
80 à 90% des trous de sécurité peuvent être bloqués et les risques considérablement
diminués.
Les vulnérabilités des systèmes d’informations 65
Plusieurs trous de sécurité que nous allons lister sont publiés par l’institut
SANS3. Cette liste n’est pas exhaustive, mais peut servir de point de départ pour les
entreprises voulant sécuriser leurs systèmes. Certains sont très spécifiques alors que
d’autres sont d’ordre plus général.
En dehors de cette liste, les entreprises doivent tenir compte aussi des autres
vulnérabilités lors de l’exécution de tests d’intrusion ou de simulations d’attaques.
Les trous des applications sont provoqués par des erreurs de programmation ou
dus à la négligence des administrateurs des systèmes. Comme test d’intrusion, on
peut mentionner les applications tournant à distance ou en batch. Une fois
identifiées, on peut rechercher les vulnérabilités et les exploiter.
Très souvent, par leurs bannières ou en-têtes, les applications dévoilent leur
nature ainsi que la version du système d’exploitation sous lequel elles fonctionnent.
Muni de ces informations, un pirate peut accéder aux bases de données des
vulnérabilités (par exemple, www.securityfocus.com).
Ces programmes tournent avec les mêmes types de privilèges que les logiciels de
serveur Web. Dès lors les crackers qui peuvent exploiter ces programmes peuvent
changer les pages Web, voler les informations ou compromettre tout le système.
rapport avec les opérations pour lesquelles ils ont été conçus : un niveau trop élevé
de privilèges accordés accroît les risques.
De ce fait, les serveurs Web ne devraient pas être accessibles et/ou fonctionner à
un même niveau que celui du système racine (System’s Root) ou celui de
l’administrateur.
Les interpréteurs, tels PERL4 et/ou « SH » utilisés avec les scripts CGI, doivent
être bannis et supprimés du répertoire des programmes CGI. En effet, en gardant ce
type d’interpréteurs, on se fait piéger par les malveillants initiés aux scripts CGI.
Les services non cryptés, tels le Web, le courrier électronique (emails), le FTP, et
le Telnet, constituent un autre type de point faible dans les réseaux. Ils transmettent
les noms et les mots de passe des utilisateurs, et ce dans un format non crypté. Sans
peine, et grâce aux « sniffers »5, les pirates réussissent à capturer les mots de passe
et à franchir ainsi des accès non autorisés.
Pour parer les sniffers, plutôt que d’utiliser les services non cryptés, un
administrateur doit donc utiliser des produits de sécurité tels que le SSH (Secure
Shell) et le SSL (Secure Socket Layer). Il peut également segmenter son réseau en
utilisant les commutateurs ou les routeurs.
La Figure 3.1 et la Figure 3.2 expliquent comment un sniffer pourrait être utilisé
pour acquérir le login et le mot de passe d’un utilisateur (ici, Zouheir) qui tente de se
connecter à un service FTP. Le login de l’utilisateur « Zouheir », est montré par la
Figure 3.2 issue de la version d’évaluation du sniffer Sniffem.
Figure 3.2. Le sniffer Sniffem montre que le login de la session FTP est : « Zouheir »
Les vulnérabilités des systèmes d’informations 69
Souvent, bon nombre d’applications sont installées avec des comptes ou mots de
passe par défaut. Parfois, l’installation d’une application utilise un identifiant
d’utilisateur et un mot de passe par défaut en supposant que l’utilisateur les changera
après.
Une fois un compte compromis, celui qui possède le privilège système pourrait,
dès lors, changer ou renommer ces comptes afin de les utiliser comme un point
d’entrée et attaquer le système.
Pour résoudre les liens entre les noms des sites hôtes et les adresses IP, les
systèmes utilisent le service DNS. Par ce simple fait, le service DNS est vulnérable.
En outre, bon nombre de serveurs DNS sont mal programmés si bien qu’ils
fournissent trop d’informations concernant les réseaux. Par exemple, un serveur
DNS peut être mal configuré pour tolérer des zones de transferts par lesquelles un
attaquant peut obtenir toutes les informations concernant des domaines. Les
enregistrements des DNS peuvent également fournir des informations telles que les
adresses des serveurs internes, et les noms et rôles des systèmes. Toutes ces
informations peuvent être utilisées pour la préparation d’une attaque.
Certains outils et scanners6 peuvent être utiles pour travailler dans ces zones et
interroger les serveurs DNS afin de pouvoir faire une revue concernant les
informations ainsi fournies.
Dès qu’un serveur DNS est connecté à l’Internet, il est la cible des crackers. Il
importe donc d’une part de s’assurer de la bonne configuration des serveurs DNS et,
d’autre part, que les composants (hardware, SE et autres applications) soient à jour
vis-à-vis des risques connus. Les accès aux zones de transfert ainsi que leurs mises à
jour doivent être limités aux seules adresses IP autorisées.
Les permissions attribuées aux utilisateurs concernent aussi bien les fichiers
auxquels ces derniers ont accès que les programmes exécutables. Leur vulnérabilité
provient d’une impropriétés ou d’une attribution indue. En effet, certains
programmes tournent dans le contexte d’un utilisateur de priorité supérieure, or une
mauvaise configuration de ces programmes élèverait le niveau d’accès de
l’utilisateur.
Normalement un utilisateur anonyme n’a qu’un droit de lecture, mais s’il obtient
des informations confidentielles il peut être tenté de les utiliser pour attaquer un
système.
vulnérabilités associées aux différents types de versions des FTP avant de les
utiliser.
Telnet
Si les numéros de port ne sont pas fournis au système, le port 23 est celui de
Telnet qui connecte par défaut. Généralement si une connexion est établie à ce port,
une bannière de bienvenue puis le prompt login apparaissent. Dès lors, le système
d’exploitation du serveur distant est systématiquement fourni par la connexion.
FTP
Quand le serveur FTP est actif, la bannière de bienvenue est reçue à l’écran.
Cette bannière donne le système d’exploitation ainsi que la version du serveur FTP.
Si un serveur FTP possède deux versions, par exemple une sous le système
d’exploitation Windows, l’autre sous Unix, la faille concernant le premier système
d’exploitation peut ne pas être présente dans le deuxième.
Malheureusement, la plupart des serveurs FTP sont mal configurés. En effet, une
mauvaise configuration des connexions anonymes pourrait donner accès à des
fichiers systèmes sensibles (Figure 3.3).
Pour retrouver les différents types de « bug », on peut consulter les sites suivants
en cherchant avec comme critères les versions des serveurs FTP et les systèmes
d’exploitation associés :
– http://www.astalavista.com
– http://www.cert.org
7 www.ssh.com.
72 La sécurité sur Internet
– http://www.securityforce.com
– http://packetstorm.com
– http://www.antionline.com
– http://www.insecure.org
– http://www.ntbugtraq.com
ICMP est très connu pour l’utilisation de Ping ainsi que pour la pratique des
attaques de déni de service (DoS). En plus, d’autres types de vulnérabilités sont
associés à l’ICMP, tels que l’obtention des éléments du réseau, l’horodatage et
d’autres informations exploitées par les pirates. Plusieurs scanners sont configurés
par défaut pour ne pas scanner les systèmes ne donnant pas de réponse aux Ping.
Inhibé, pour les pirates non chevronnés, ICMP rendrait plus difficile le scannage
d’un réseau. Les commandes Ping et TraceRoutre (commande d’identification des
routes ou chemins des paquets) basées sur le protocole ICMP sont souvent utilisées
pour détecter et identifier les systèmes. De ce fait, un pirate pourrait les utiliser à des
fins personnelles et identifier les systèmes cibles. Il pourrait également utiliser la
commande TraceRoute pour identifier l’architecture du réseau cible. Pour visualiser
le résultat des commandes Ping et TraceRoute (Figure 3.4), on pourrait utiliser
NetScanTools, NetworkView ou VisualRoute.
Les vulnérabilités des systèmes d’informations 73
Même si l’ICMP est très utile, il ne doit être implémenté qu’en cas d’absolue
nécessité. Il doit être banni aux frontières des routeurs et des firewalls. Si
l’utilisation s’avère nécessaire, il importe de bien sélectionner et protéger les
machines fournissant ce type de service.
La plupart des serveurs email (tels que Sendmail et Qmail) comportent plusieurs
erreurs de programmation ou bugs. Communiquer par emails fait désormais partie
de la vie quotidienne.
Mais combien d’internautes, qui utilisent les services clients email tels que MS
Outlook, Netscape Navigator, Eudora ou Opera, savent comment fonctionne ce
service ? Tout le monde sait taper le texte du courrier puis cliquer sur Send
(« envoyer ») ou presser sur la touche d’envoi. Et les choses s’arrêtent là !
Pour envoyer un message, le client email se connecte au serveur email par défaut
au port numéro 25 en utilisant le protocole SMTP.
Par contre, pour recevoir les messages, le client email se connecte par défaut au
port 110 en utilisant, cette fois, le protocole postage POP version 3. Une fois
connecté au système, le serveur POP3 démarre l’authentification et demande le nom
d’utilisateur et le mot de passe. Ces informations sont envoyées automatiquement
par le client email au serveur POP3. Le destinataire reçoit alors son courrier.
Par contre, ces informations sont nécessaires pour recevoir le courrier. Ainsi, le
serveur SMTP peut envoyer des mails sans authentification. Pour les pirates, le
SMTP est une cible privilégiée parce qu’il est accessible via le Web.
Pour pallier les vulnérabilités des serveurs SMTP, des corrections patchs ont été
intégrées dans les dernières versions des logiciels. Les administrateurs systèmes
doivent constamment rechercher les évolutions et appliquer les patchs pour leurs
serveurs SMTP.
Supposons maintenant que mon nom soit Zouheir. Je vais envoyer un email à
l’adresse « zouheir@yahoo.fr » de la part de « henri_ly@yahoo.fr », donc je vais
usurper l’identité de Henri Ly. Je tape les lignes suivantes : (le texte en anglais est la
représentation exacte des messages du système) :
► Helo Zouheir
► /* Quelques lignes de texte apparaissent ici */
► mail from: henri_ly@yahoo.fr
► 250 <henri_ly@yahoo.fr>...Sender Okay
► rcpt to: zouheir@yahoo.fr
► 250 <zouheir@yahoo.fr>...Recipient Okay
Les vulnérabilités des systèmes d’informations 75
► data
Dans cette section, nous allons évoquer les problèmes des ports 143, 110 et 109
qui sont souvent affectés par défaut respectivement aux services IMAP (Internet
Message Acces Protocol), POP3 (Post Office Protocol, version 3) et POP2 (Post
Office Protocol, version 2).
Dans le cas de vulnérabilités dans les serveurs IMAP et POP, les utilisateurs
distants peuvent accéder et travailler au niveau racine du système. Ils acquièrent par
conséquent les mêmes privilèges que l’administrateur. Ainsi, ils n’ont même pas
besoin d’avoir un compte ouvert pour travailler puisque IMAP et POP sont des
protocoles permettant de travailler à distance pour les emails. Comme ces
protocoles, de par leur nature, sont conçus pour les accès à distance, des brèches
sont souvent ouvertes dans les firewalls laissant circuler, dans le réseau interne de
l’entreprise, les trafics d’IMAP et de POP.
POP doivent être supprimés des systèmes si ces services ne sont pas indispensables.
En plus, les administrateurs doivent mettre à jours la version des logiciels en service,
et obtenir les derniers patchs.
Les modems connectés aux ordinateurs de bureau représentent souvent les portes
arrière des réseaux malheureusement ignorés des administrateurs. Et ce qui aggrave
les choses, c’est que bon nombre de gens se connectent eux-mêmes à leur entreprise,
à partir de chez eux.
Figure 3.5. Un pirate peut accder frauduleusement à une entreprise par un modem
Dans d’autres cas, le plus souvent quand ils partent pour la journée ou pour le
week-end, certains utilisateurs laissent leur PC de bureau allumé et le modem
connecté afin de pouvoir les utiliser à distance. Les systèmes qui tolèrent ce type de
modems sont parfois mal configurés et constituent une cible facile pour les pirates
(Figure 3.5). En effet, une personne mal intentionnée pourraient utiliser le
Les vulnérabilités des systèmes d’informations 77
Tous ces risques devraient pousser les entreprises à définir une politique sévère
concernant l’utilisation non autorisée des modems. L’administrateur ou le
responsable de sécurité devrait régulièrement scanner et vérifier les lignes
téléphoniques et les centraux de son entreprise afin de détecter les réponses des
modems. La politique d’authentification des modems devrait également être
renforcée. Le Wardialing et les intrusions forcées des lignes seront détaillées dans
une section plus loin.
Le défaut de pilotage et de détection est une autre erreur à ne pas commettre car
ce « trou de sécurité » rendrait possible les incursions indétectables. Bon nombre
d’entreprises n’ont pas d’habitude de suivi automatique ni de révisions des systèmes
mal configurés. Sans suivi adéquat, les attaques peuvent survenir sans laisser de
trace. S’il n'est pas détecté, l’attaquant peut faire fonctionner des techniques
intrusives pour compromettre votre système. Disposant d’assez de temps, le pirate
peut tester le système jusqu’à ce qu’il trouve les points faibles. Un suivi adéquat et
la détection d’intrusion sont donc des points essentiels de la sécurité.
Une architecture de réseau faible permet aux attaquants de passer à travers les
firewalls et autres moyens de contrôle pour atteindre un réseau interne. Une
architecture sécurisée doit être conçue de manière à segmenter et à séparer le réseau
interne de l’Internet avec le filtrage des informations rentrant par un firewall. Ainsi
les systèmes accessibles au public, tels les serveurs Web, le serveur DNS et celui des
courriers électronique, doivent être localisés dans une zone DMZ (De-Militarized
Zone), neutre et isolée. Les entreprises qui ne prennent pas conscience de ces
pratiques exposent leurs points faibles à l’accès non autorisé.
78 La sécurité sur Internet
Plusieurs entreprises qui possèdent des systèmes hôtes de type dual, utilisent une
deuxième carte connectée à un autre segment interne du réseau. Or ce dernier ne
joue pas le rôle de routeur. De ce fait, en exploitant ce système dual, un pirate peut
accéder au réseau entier sans être filtré par le firewall mis en place. Donc la
protection supposée surveiller le système ne sert plus à grande chose. Pis encore, il
existe des cas où l’on permet la communication entre systèmes (internes) via le
firewall. Par ce biais, les pirates pourraient s’engouffrer dans les systèmes internes
via le firewall. Les administrateurs ne devraient donc pas donner la possibilité aux
systèmes installés dans la zone DMZ de communiquer avec les autres systèmes
internes. Par exemple dans la zone DMZ, les services d’accès aux FTP internes ne
doivent pas se mettre en place. En effet, même compromise, cette zone ne laisse
aucune possibilité aux attaquants d’accéder aux systèmes internes de l’entreprise.
NFS est le système de gestion en réseau des fichiers. Il est utilisé pour partager
les fichiers et les pilotes dans les systèmes Unix. Exporter NFS pour être accessible
à partir de l’Internet constitue donc une brèche ouverte au piratage. Les
configurations impropres pour les droits de partager le NFS pourraient fournir aux
attaquants la possibilité d’accès aux informations sensibles, stratégiques et la
possibilité d’écriture.
Le système des fichiers partagés sous NT est aussi vulnérable que sous le
système Unix. Le système NT partage les fichiers et effectue les communications à
travers les ports 135-139, alors que sous Windows 2000, le port de communication
porte le numéro 445. Tous les ports non indispensables pour les utilisateurs
devraient être bloqués et les administrateurs devraient vérifier aussi que les ports
135-139 et 445 sont clos. En effet, ces ports autorisent l’accès aux fichiers et
informations partagés dans le système à bon nombre d’utilisateurs (parfois non
souhaités). En plus, ces ports permettent aux attaquants d’utiliser les commandes
réseaux natives. Les pirates scannent fréquemment l’Internet à la recherche des ports
135-139, 2049, et 445 permettant le partage des fichiers. N’importe quel site avec
ces ports ouverts devient une proie potentielle pour les attaquants.
Avec les fichiers partagés sous Windows NT, il existe la connexion NULL que
nous considérons comme assez importante pour la signaler séparément dans cette
section. Une connexion NULL concerne une connexion anonyme, sans mot de passe
aux processus inter-communication de NT partageant IPC$. Avec ce principe de
connexion, le pirate pourrait se connecter à ce IPC$ partagé et obtenir des
informations à propos du système NT. Les crackers peuvent ainsi travailler
manuellement avec les commandes NET ou avec des outils tel que DUMP SEC. Ils
peuvent également obtenir la liste des utilisateurs du système, les états de leurs
comptes, la politique de gestion, les informations partagées, l’état des registres et
d’autres informations utiles pour préparer des attaques.
Une des plus importantes vulnérabilités d’un système concerne les faiblesses des
mots de passe. Ce problème n’affecte pas les machines utilisant des systèmes
d’authentification renforcés tels que la reconnaissance digitale, des mots de passe à
utilisation unique et les authentifications doubles (i.e. avec deux éléments à
authentifier). Or, les utilisateurs, craignant d’oublier ou inconscient des dangers,
choisissent souvent les mots de passe aisément mémorisables. Ils facilitent eux-
mêmes souvent la tâche des pirates en employant des mots de passe aussi simples
que leurs noms, des dates (date de leur naissance ou date des événements connus,
etc.), des noms d’équipes sportives ou d’autres éléments très prévisibles.
Les administrateurs sont souvent aussi « coupables » que les simples utilisateurs
en employant eux-mêmes des mots de passe faciles ou en partageant ces derniers.
Dans beaucoup d’entreprises, les mots de passe des administrateurs sont souvent très
faciles à deviner. En plus, ces administrateurs ne pensent pas à changer régulièrement
ces mots de passe car ceci suppose la mise à jour d’un certain nombre de systèmes et
la notification des modifications aux autres services ou aux autres collègues
administrateurs. De ce fait, les comptes les plus puissants sont dès lors faciles à
compromettre.
ne sont accessibles que par le root, et uniquement à celui qui possède tous les
privilèges.
Si les administrateurs utilisent des outils de gestion distants, ils devraient les
sécuriser. Ces outils devraient pouvoir :
– crypter les communications,
– posséder un système d’authentification adéquat,
– contrôler et bloquer tous les comptes ayant subi plusieurs fois des tentatives de
connexion sans succès,
82 La sécurité sur Internet
En plus, les accès pour l’utilisation de ces outils devraient être limités aux
adresses IP spécifiques des terminaux de l’administrateur.
Les administrateurs sont donc appelés à refuser les services RPC dans les
systèmes connectés à l’Internet. Les firewalls doivent bloquer tous les services
RPC ; ainsi les attaquants distants ne peuvent plus y accéder via l’Internet. Pour
parer à ce type de menaces d’Internet, les administrateurs devraient enlever tous les
services RPC contingents.
Par contre, pour les systèmes qui exigent les services RPC, il importe de les
mettre à jour et de les « patcher » régulièrement. Les scanners de vulnérabilité et
ceux des ports8 aident à identifier sur le réseau les services RPC en fonction.
serveurs avec les outils de scannage des ports est nécessaire pour traquer les services
non voulus. Tous les ports inutiles doivent être fermés au niveau du firewall afin
d’empêcher un attaque par un port qu’un service ouvre inopinément au démarrage.
Pour gérer les périphériques des réseaux tels que les routeurs, les hubs et les
commutateurs, le protocole SNMP est utilisé. Une configuration impropre pourrait
fournir des informations utiles pour les pirates, leur donnant accès aux réseaux. Les
périphériques doivent être configurés en lecture seule ou en lecture/écriture. Ces
privilèges sont contrôlés par les chaînes communes relativement non sécurisées. Ces
chaînes sont en général des mots de passe.
N’importe quel utilisateur ayant accès aux périphériques gérés par SNMP peut
se procurer ces chaînes de caractères. Si un utilisateur peut obtenir l’autorisation
d’écriture, il peut alors reconfigurer, fermer ou installer des services tels que ceux de
contrôle à distance des machines. Même avec le seul privilège de lecture, cet
utilisateur est en mesure d’obtenir des informations importantes et de valeur
concernant le réseau ou les systèmes et de ce fait, d’attaquer et de compromettre les
hôtes sur le réseau.
Les menaces des virus varient en fonction des intentions de celui qui les
entreprend. Si certains virus causent seulement de simples désagréments, d’autres
sont capables de détruire des fichiers ou se cacher dans l’attente de l’opportunité
d’obtenir des accès non autorisés.
L’étendue des problèmes de ces virus démontre l’habilité des pirates à les
masquer et à les introduire dans des codes ingénieux. Cela démontre aussi parfois
combien il est facile pour un utilisateur non averti d’exécuter ces codes et ainsi de
compromettre la sécurité de son entreprise.
Les logiciels d’antivirus sont très perfectionnés de nos jours, mais leur efficacité
est relative car ils sont conçus en fonction des virus bien définis et connus. De ce
fait, ces produits doivent être constamment mis à jour. En outre, très souvent,
plusieurs nouveaux virus ne se trouvent pas dans les bases de données ou sont
simplement manquants.
84 La sécurité sur Internet
Les virus utilisent des codes cachés. Un pirate peut déjouer la vigilance d’un
utilisateur pour exécuter ces codes cachés pour accéder à un réseau ou à un système.
Ces codes peuvent être cachés dans des programmes en batch de Java, d’ActiveX ou
dans des codes d’accès aux serveurs par exemple. L’utilisateur peut rapatrier ces
codes négligemment en visitant des sites infectés.
Les crackers cachent aussi très souvent ces codes dans les emails ou dans des
fichiers attachés aux emails. Ces programmes ou scripts colportant des virus
ouvriront des « trous » dans les systèmes des victimes permettant ainsi au pirate de
passer au travers ou à court-circuiter (by passer) les firewalls ou autres moyens de
contrôle et d’accéder directement au réseau interne des utilisateurs.
Pour se défendre contre ces menaces, une approche par niveaux ou couches est
donc nécessaire. Les administrateurs doivent, d’une part mettre en garde les
utilisateurs de ne pas accepter les emails et/ou de ne pas ouvrir des fichiers attachés
provenant de sources inconnues.
D’autre part, les logiciels antivirus doivent être installés aux frontières d’accès
de l’entreprise, pour scanner tous les emails, les fichiers attachés et les
téléchargements provenant de l’Internet. Le courrier doit être impérativement scanné
avant qu’il ne rentre dans le réseau. Et enfin, lors de la configuration des
navigateurs, les scripts Java et ActiveX doivent être désactivés.
Il existe plusieurs vulnérabilités dans les serveurs Web tels que l’IIS (le serveur
d’information Internet) de Microsoft, Nestcape, Apache et autres. Dès lors qu’ils
sont accessibles via l’Internet, ils sont la cible d’attaques potentielles.
L’IIS semble être le favori des pirates, mais d’une façon plus complexe, les
serveurs tournant avec IIS ont des types de vulnérabilités associées. Aussitôt que les
fournisseurs identifient ces vulnérabilités, ils ont la responsabilité de fournir des
« patchs ». Néanmoins s’ils ne sont pas appliqués rapidement, les risques sont élevés
pour les systèmes. Une recherche rapide des exploits concernant chaque type de
vulnérabilité sur les sites Web permet de trouver des réponses et des informations
intéressantes.
Il existe aussi des services gratuits concernant les nouvelles vulnérabilités. Les
sites les plus connus sont Security Focus (www.securityfocus.com), eSecurityonline
(www.esecurityonline.com) et celui de la division de la sécurité de la NIST (National
Institute for Standards and Technologies) et ICAT (http://csrc.nist.gov/icat/).Tous ces
sites contiennent une base de données relative aux vulnérabilités. Plusieurs bases de
données donnent la possibilité aux utilisateurs de rechercher en fonction des critères
tels que les systèmes d’exploitation, les applications, les niveaux de sévérité, les
dates ou autres.
L’utilisation régulière des outils de scanner tels que Cybercops, ISS Internet
Scanner ou Nessus peut être bénéfique. L’utilisation d’un outil pour la gestion de la
configuration tel que l’outil ESM, Omniguard Enterprise Security Management, de
la société Symantec constitue un autre type de mécanisme de renforcement. Ces
outils ne sont pas bon marché mais les risques sont énormes si les problèmes des
trous de sécurité ne sont pas détectés et si on n’y remédie pas à temps.
Résumé du chapitre 3
Ce chapitre présente les faiblesses de sécurité dans les protocoles, les systèmes et
les réseaux. Une liste de plus de vingt types de vulnérabilités y est recensée. Cette
liste n’est certes pas exhaustive, mais assez étoffée et couvre la plupart des
vulnérabilités souvent exploitées par les pirates. La plupart des failles sont dues aux
mauvaises configurations et à des erreurs de programmation. Elles peuvent être
facilement identifiées et appréhendées et l’entreprise peut ainsi se prémunir contre
ces faiblesses.
La phase de reconnaissance
4.1. Introduction
Avant de mener une attaque, le pirate passe par une phase de reconnaissance
durant laquelle il cherche à collecter le plus d’informations possibles concernant le
réseau ou le système-cible. Pour se convaincre de l’importance de cette phase,
pensons à un casse dans une banque. Avant de commettre leur forfait, les braqueurs
vont visiter l’agence cible, identifier les temps d’entrée et de sortie des agents de
sécurité, les positions des caméras de sécurité, etc. Ils identifieront probablement
aussi le type des systèmes d’alarme et chercheront des informations chez le vendeur
de ces systèmes. Enfin, ils se procurent la carte de la ville où se trouve l’agence
cible, pour planifier les chemins de fuite et de retrait après l’attaque.
La plupart des informations obtenues durant cette étape sont disponibles en libre
accès et sont même parfois obtenues sur simple demande. C’est pour cela que
certaines entreprises surveillent et enregistrent tous ceux qui tentent d’obtenir des
informations, en considérant cette action de collecte comme les préliminaires d’une
attaque.
88 La sécurité sur Internet
Bien que certains pirates tentent d’obtenir l’information sensible dans un délai
très court, d’autres passent des semaines voire des mois à bâtir des relations
sympathiques et/ou de confiance avec des employés d’une entreprise cible. Une voix
féminine au téléphone a plus de chance d’obtenir la confiance de l’interlocuteur
qu’une voix masculine, quoique les pirates utilisent des éléments plus convaincants
tel que le jargon propre à l’entreprise cible pour établir une relation de confiance.
Une autre technique consiste à fouiller dans les poubelles d’une entreprise cible,
dans l’espoir de trouver des informations sensibles. Les pirates utilisent cette
technique en espérant trouver des documents, des disquettes, des disques durs, voire
des bandes magnétiques jetées ou abandonnées contenant des informations
importantes.
Avant même de scanner les réseaux, dans une première étape, le pirate essaye de
déterminer le nom de domaine de l’entreprise cible ainsi que ses plages d’adresses IP.
90 La sécurité sur Internet
Toutefois, il ne faut jamais baisser la garde. Une machine, qui a émis une
réponse Ping ICMP (ICMP echo reply) à une requête Ping ICMP (ICMP echo
request), donc qui est connectée, est certes connectée ; il n’en demeure pas moins
qu’une non réponse signifie que cette machine n’est pas connectée à Internet.
– une fausse réponse peut aussi être envoyée à cette requête ping ICMP par les
Firewalls, ou autres machines de frontière dans le périmètre de sécurité.
Par ailleurs, si le réseau cible bloque les requêtes ping ICMP, la commande ping
ne permet pas de repérer les systèmes connectés. En plus, dans le réseau cible, le
système le plus crucial peut être programmé afin de bloquer les réponses à ce type
de requêtes et laisse aux autres machines secondaires la possibilité de répondre à ces
requêstes ping ICMP. En détectant ces derniers, les pirates ne pensent plus à utiliser
des outils sophistiqués pour identifier les systèmes importants. Au lieu du ping
ICMP, moins efficace, Nmap, au contraire, permet le lancement des pings TCP sur
tous les ports TCP.
Comme le démontre la Figure 4.3, Nmap envoie un paquet TCP ACK ou SYN2
vers un port spécifique et reçoit du système-cible la réponse, sous forme d’un
paquet, pour la connexion. Avec les Ping sur les ports TCP, il est donc facile
d’identifier les machines qui ont restreint les réponses ping ICMP mais qui sont
encore connectés au réseau. Autrement dit, malgré leur restriction, on les détecte
toujours.
Le Ping existe par défaut dans la plupart des systèmes d’exploitation et son
éxécution est possible grâce à une large gamme d’outils. Nmap est l’un des outils les
plus connus, grâce à sa configuration et à sa simplicité d’utilisation, ainsi qu’aux
autres fonctions spécifiques intégrées (ping TCP, Scanning de port et Identification
des systèmes d’exploitation). D’autres outils sont très efficaces pour faire du Ping,
comme NetScanTools, pinger ou WS_ping ProPack.
Jusqu’ici, nous avons évoqué les techniques permettant de mener des activités de
reconnaissance sur un réseau et/ou système-cible. Des efforts significatifs ont été
menés pour intégrer toutes ces techniques dans des outils de reconnaissance intégrés.
Ces outils de reconnaissance sont donc utilisés par les pirates pour collecter des
informations concernant le réseau et/ou les systèmes visés. La collecte concerne les
informations de contact, des DNS, et des informations sur l’architecture et la
configuration du réseau cible. Elles permettent aussi d’identifier puis connaître :
– les systèmes connectés ;
– leurs localisations ;
– les personnes ou éléments qui les contrôlent.
Une personne malveillante peut donc aisément utiliser Whois, DNS zone
transfer, Ping, les requêtes SNMP, etc. Toutes les informations ainsi obtenues
permettent au pirate d’avoir une idée précise sur l’environnement qu’il s’apprête à
attaquer.
Nous allons maintenant passer en revue ces outils. Nous les classerons en deux
catégories.
La première catégorie est constituée d’outils qui sont installés dans la machine
du pirate ou du testeur. On les appelle les outils de reconnaissance à base de client.
La seconde est constituée d’outils variés qui sont accessibles à partir d’Internet, à
partir d’un navigateur Web. Ces outils sont appelés des outils de reconnaissance à
base de Web.
La phase de reconnaissance 95
Notons enfin qu’avec ces outils de reconnaissance à base de client, tout le trafic
part de la machine du pirate.
4 www.visualroute.com
96 La sécurité sur Internet
Lors de l’utilisation de ces outils Web, il faut donc faire attention. Plusieurs de
ces outils sont gérés par des professionnels intègres, mais d’autres sont gérés par des
pirates. Ainsi, une adresse IP peut être enregistrée dans les fichiers log des serveurs
Web et éventuellement manipulée ultérieurement.
– www.samspade.org
– www.network-tools.com
– www.securityspace.com
– www.privacy.net/analyze/
Comme nous venons de le voir, les attaques débutent en principe par une phase
de reconnaissance, pendant laquelle la moindre information a sa valeur. Il importe
donc d’instituer une très bonne politique de sécurité physique sans laquelle une
sécurité informatique forte est impossible. Pour éviter d’être attaqué, la
sensibilisation du personnel est donc primordiale. Les employés qui manipulent des
informations sensibles doivent recevoir une formation dans ce sens pour prendre les
précautions nécessaires à l’encontre des personnes inconnues ou non répertoriées
dans l’annuaire de l’entreprise. La mise en place de mécanismes de sécurité
physique n’est jamais une précaution de trop et la destruction totale des informations
sensibles en fin d’utilisation est impérative. Le Web est une mine d’informations
très utiles dont raffolent les hackers. Plusieurs entreprises mettent sur leur site Web,
à la disposition du public, des informations, telle que des informations de contact ou
la liste des partenaires, qui peuvent être très importantes et utiles pour les personnes
malveillantes. Les pirates utilisent les moteurs de recherche Web pour trouver des
cibles, et obtenir plus d’informations sur elles. Pour se défendre contre les pirates
qui utilisent l’Internet, il faut avoir une politique concernant la diffusion
d’informations sensibles sur Internet, et périodiquement contrôler et vérifier ces
informations.
Résume du chapitre 4
Après les concepts généraux, nous avons évoqué les deux plans de la phase de
reconnaissance. Le premier plan diffère du second par la non-utilisation d’outils
spécifiques : l’accès frauduleux dans les bâtiments de l’entreprise suivi de vols et le
social engineering en sont les éléments clefs. Quant au deuxième type, il n’est
réalisable qu’à l’aide d’outils informatiques téléchargeables à partir du Web.
La phase de scanning
et d’analyse des vulnérabilités
5.1. Introduction
L’identification d’un système d’exploitation est une approche très connue pour
repérer les vulnérabilités des systèmes. Dès que le système d’exploitation d’une
machine est identifié, il est facile de générer sa liste de vulnérabilités connues,
souvent à partir du site Web du vendeur. Par exemple, si le système d’exploitation
de la cible est Windows NT, on peut vérifier l’ouverture du port 139, et savoir s’il
existe des fichiers partagés accessibles. Par contre si on identifie une machine
UNIX, ce sont les ports X Windows (6000-6063) qui seront visés.
Du point de vue légal, le scanning des ports est un sujet litigieux parmi les
professionnels de la sécurité.
Le scanning des ports consiste à déterminer les services qui opèrent sur les ports
ouverts du système-cible. Le scanning de tous les ports (1-65535) est « l’idéal » et
offre le plus d’informations sur la cible. Cependant il pèche par sa lenteur et c’est
cette lenteur qui le trahit. Pour éviter d’être repéré, un pirate chevronné contourne
l’obstacle en procédant au scanning sur plusieurs sessions avec à chaque fois une
petite plage de ports.
Le scanning total des ports présente plusieurs options. D’abord le scanning des
ports connus (1-1023), ensuite d’autres ports spécifiques au système-cible, comme
les ports X Windows de 6000 à 6063 sur une machine Unix. On peut aussi créer une
liste de ports qui repèrent les applications avec des vulnérabilités connues tels que le
FTP, le Telnet (respectivement les ports 21 et 23). La plupart des scanners donnent
la possibilité de faire du scanning sur les ports de TCP et d’ UDP.
D’autres outils de scanning des ports sont disponibles sur l’Internet comme
NetScanTools (www.netscantools.com) et SuperScan Pro (www.superscan.net). Ils
sont efficaces pour l’environnement Windows mais ne détectent pas les systèmes
d’exploitation.
La phase de scanning et d’analyse des vulnérabilités 101
La Figure 5.1 montre, grâce à NetScanTools, les ports ouverts dans une machine
cible. Plusieurs ports sont ouverts mais non utilisés, ceci est une information claire
indiquant que la machine est peu sécurisée.
Le scanning des ports fournit ainsi la liste des ports ouverts sur la machine-cible.
Un port ouvert n’indique pas toujours quel service est actif sur celui-ci. Les ports en
dessous de 1024 sont assignés à plusieurs services et s’ils sont trouvés ouverts, ils
indiquent généralement les services assignés souvent par convention ou par défaut
(par exemple, le port 21 indique généralement le service FTP). Par ailleurs, d’autres
applications, comme les ports 65301 pour pcAnywhere et 26000 pour Quake,
tournent sur certains ports depuis un certain temps, de telle sorte qu’ils sont devenus
de facto les ports standard pour ces applications. Evidemment, les administrateurs
des systèmes peuvent changer le port assigné à un service dont le but, par exemple,
est de cacher le service. Ainsi, pour identifier et/ou vérifier le service du port en
question, on se connecte au service sur le port pour voir la bannière affichée.
Pratiquement, à partir du prompt du Dos, on fait entrer la commande suivante :
Telnet « l’adresse IP » « le numéro de port ».
102 La sécurité sur Internet
Une fois déterminée la liste des applications tournant sur la machine visée, une
recherche sur l’Internet fournit les vulnérabilités associées et connues ainsi que leurs
exploits, c’est-à-dire des astuces, programmes ou codes qui permettraient d’exploiter
ces vulnérabilités.
5.4. Le War-dialing
Le War-dialing, que nous pouvons traduire par « le forcing des appels », est la
technique qui consiste à repérer le modem d’un ordinateur connecté au réseau
téléphonique, pour essayer d’y accéder à partir du réseau d’appel public. Un outil de
War-dialing automatise la tâche d’appel d’un grand nombre de numéros de téléphone.
L’outil appelle automatiquement les numéros de téléphone (les uns après les autres),
cherchant les modems opérationnels. Un pirate peut lancer un grand balayage ou un
scanning de milliers de numéros durant une nuit en utilisant un simple ordinateur et
une ligne téléphonique. Le processus de War-dialing peut être accéléré grâce à
plusieurs ordinateurs et lignes téléphoniques.
Très souvent, des utilisateurs gardent leurs ordinateurs de bureau connectés pour
y accéder à partir de chez eux. Ces utilisateurs utilisent en général des logiciels
d’accès à distance tel que pcAnywhere de Symantec, LapLink de LapLink.com,
ControlIT de Computer Associates ou encore NetSupport. Ces logiciels permettent
aux utilisateurs d’accéder à toutes les ressources pilotées par leurs ordinateurs de
bureau (même leurs écrans, claviers, et souris) ainsi que les ressources partagées sur
les réseaux locaux de leurs entreprises. S’ils ne sont pas configurés correctement,
ces produits de contrôle à distance fournissent une aubaine à un pirate potentiel pour
accéder aux réseaux cibles. Il peut ainsi se connecter au réseau interne d’une
entreprise sans passer par le routeur frontal et le routeur interne, et à l’insu du
firewall (le cas d’une architecture DMZ) placé normalement pour protéger les
systèmes des attaques venant de l’extérieur et de l’intérieur.
certains sont même offerts gratuitement. Voici une liste des outils de War-dialing les
plus connus :
– ToneLoc
– THC-Scan
– TeleSweep
– PhoneSweep
– Phone Tag
– Vex’s Wardialer
Les deux premiers sont gratuits. THC-Scan, de son vrai nom « The Hacker’s
Choice-Scan », est une version de mise à jour de ToneLoc. TeleSweep,
PhoneSweep, Phone Tag et Vex’s Wardialer sont des outils commerciaux qui
réalisent des tests plus rapides et sont relativement coûteux. Ils ont la capacité de
coordonner simultanément des appels de plusieurs lignes téléphoniques. Cette
caractéristique est le facteur principal contribuant à leur célérité. En plus, ils sont plus
efficaces quant à l’identification des types de modems et systèmes qui leur
répondent.
Avec les systèmes qui le demandent, le pirate est dans l’obligation de trouver le
mot de passe. Pour ce faire, il a à sa portée THC LoginHacker (www.thc.org), un
outil qui automatise des propositions de mots de passe ; sinon il entre manuellement
des mots de passe dans l’espoir de tomber sur le bon. Quand un pirate essaye de
deviner des mots de passe, en général il va choisir une liste de mots de passe dans
des dictionnaires de bases de données des mots de passe ou en se basant sur les
informations obtenues concernant l’entreprise cible et leurs systèmes. Il peut aussi
utiliser un programme automatique d’appel, d’essai et de détection des mots de
passe.
La phase de scanning et d’analyse des vulnérabilités 105
Un pirate qui a déjà identifié des vulnérabilités peut télécharger les codes
d’exploit (ou les codes adéquats) pour les utiliser lors de la phase d’attaque ou
d’intrusion. Cependant il peut procéder aussi à une attaque directe si la vulnérabilité
identifiée et l’exploit associé lui sont familiers.
1 www.packetstormsecurity.org.
2 www.securityfocus.com.
106 La sécurité sur Internet
La procédure des scanners de vulnérabilités est similaire à celle des antivirus, qui
fonctionnent avec une base de données des signatures associées aux virus. Par
conséquent, si la base de données n’est pas mise à jour continuellement, l’outil n’est
pas en mesure de trouver les dernières vulnérabilités et devient de ce fait obsolète.
Par conséquent, le nombre de vulnérabilités qu’un scanner peut identifier et la
fréquence de la mise à jour de sa base de données sont les critères les plus
importants pour identifier et sélectionner un bon outil de ce type.
Les premiers, que nous pouvons appeler aussi scanner de type externe, opèrent à
partir de l’extérieur du réseau-cible. Ils recherchent les vulnérabilités exploitables à
distance, telles que les problèmes des serveurs Web, les ports ouverts, les problèmes
de débordement de mémoire, etc.
Les scanners internes peuvent être utilisés comme des outils de gestion des
configurations. Ce type de scanners peut identifier et enregistrer les changements
d’administrateurs de système ou d’autres utilisateurs. Par exemple, quand un
administrateur du système change les permissions des fichiers accidentellement sur
un serveur ou ouvre un accès à un service, le scanner est capable de lister ces
changements et de les signaler au serveur de gestion.
108 La sécurité sur Internet
Plusieurs scanners sont disponibles sur le marché mais aucun n’est infaillible.
Tel scanner excelle juste dans le scanning d’un système d’exploitation particulier ;
tel autre se distingue par sa rapidité. Mais le meilleur scanner n’existe pas. En fait,
tout dépend de ses performances et de ses caractéristiques spécifiques. Par
conséquent, il est préférable, dans la mesure du possible, d’utiliser plusieurs outils.
L’inventaire qui va suivre tente de comparer les scanners les plus utilisés.
Network Associates CyberCop et ISS Internet Scanner, bien que leur prix soit
assez élevé, sont des scanners très utilisés pour les plates-formes Unix et Windows.
Cependant, l’expérience a montré que ISS Internet Scanner peut détecter des
vulnérabilités que CyberCop ne détecte pas, et vice versa.
110 La sécurité sur Internet
Enfin, qu’il soit commercial ou gratuit, la plus importante qualité à exiger d’un
scanner automatique de vulnérabilités est la fréquence de la mise à jour de sa base de
données des vulnérabilités à la juste fin de détecter les dernières vulnérabilités en
date.
Les scanners automatiques de vulnérabilités génèrent des rapports sur l’état des
systèmes testés et les vulnérabilités détectées. Nous montrons ci-dessous, le rapport
généré par le scanner Typhon I, version d’évaluation du scanner Typhon II, et celui
généré par GFI LANguard Network Security Scanner.
En effet, Typhon I précise que le serveur Web dans la machine cible est
Microsoft-IIS/2.0, et montre les problèmes de sécurité associés à ce type de serveur.
Nous détaillerons dans le chapitre 10 un exemple d’attaque sur un serveur Web. Les
vulnérabilités au sein du serveur Web Microsoft-IIS/2.0 permettraient à une
personne mal intentionnée d’exécuter des commandes Dos arbitraires sur la
machine- cible ; possibilité qui lui permettrait notamment d’accéder et de télécharger
des fichiers du disque du serveur (Figure 5.9).
La phase de scanning et d’analyse des vulnérabilités 113
Le rapport montre aussi que la machine cible répond à des requêtes ICMP,
notamment la commande Ping (Figure 5.10).
Cette vulnérabilité peut être exploitée pour lancer une attaque de type « Ping of
death » (Le Ping de la mort), qui consiste à envoyer des milliers de commande Ping
pour détruire la performance de la machine cible ou causer un DoS (déni de service)
total (chapitre 7).
114 La sécurité sur Internet
Typhon I étant aussi un port scanner, il fournit la liste des ports UDP et TCP
ouverts dévoilés comme dans la Figure 5.11. Il ressort que la machine cible a
plusieurs ports UDP et TCP ouverts.
La machine testée est donc très vulnérable et facilement attaquable car une
machine avec plusieurs ports ouverts est généralement très convoitée.
La phase de scanning et d’analyse des vulnérabilités 115
Résumé du chapitre 5
6.1. Introduction
Essayons à présent de cerner les profils des agresseurs pour mieux comprendre
l’attaque et prémunir un système contre les agressions.
Nous avons déjà signalé que plusieurs sites Web offrent d’importantes bases de
données de vulnérabilités. Avec les moteurs de recherche existants, un simple
débutant1 est en mesure de trouver des vulnérabilités associées à une application, un
système d’exploitation, un routeur, etc.
1 Les attaques perpétrées par des enfants ont souvent fait la Une des journaux.
118 La sécurité sur Internet
Alors qu’un débutant utilise des moteurs de recherche et des bases de données de
vulnérabilités pour trouver des programmes d’intrusion et/ou d’attaques, sans en
comprendre parfois le principe de fonctionnement, un agresseur expérimenté utilise
des techniques plus complexes. Dans ce qui suit, nous discuterons plus en détail ces
techniques.
Une attaque est menée en fonction de deux critères : elle dépend de l’architecture
et de la configuration du réseau ou système-cible d’une part, et d’autre part, de
l’expérience personnelle et du domaine de prédilection de l’agresseur. Les
agresseurs expérimentés sont malheureusement très astucieux et inventifs.
Pour bien réussir durant cette phase, ils se basent sur les particularités de
l’environnement de la cible et sélectionnent, à partir d’une panoplie, la technique la
plus adéquate. Nous allons maintenant décrire cette phase en exposant les différentes
techniques.
Un sniffer est une arme à double tranchant. C’est un programme qui permet de
capturer toutes les données circulant sur un réseau local (LAN). Il est utile autant
pour un agresseur qui recherche des données circulant dans le réseau local que pour
un administrateur réseau qui essaye de résoudre les problèmes techniques de son
entreprise. En utilisant un sniffer, on peut lire des données transitant à travers une
machine donnée en temps réel, ou enregistrer ces données dans un fichier pour les
analyser ultérieurement.
Après l’ouverture d’un compte, l’une des premières opérations exécutées par
l’agresseur consiste à installer et à activer un sniffer. Donc un sniffer non autorisé et
s’exécutant à l’insu de l’utilisateur est certainement la preuve de manipulation
malveillante.
Les sniffers permettent particulièrement d’accéder aux systèmes les uns à la suite
des autres. Tout d’abord, l’agresseur prend le contrôle d’une machine cible en
exploitant une ou plusieurs vulnérabilités identifiées grâce à un exploit3.
Après avoir obtenu un compte sur cette machine, l’agresseur y installe un sniffer.
Il épie les utilisateurs et les administrateurs qui se connectent à d’autres systèmes sur
le même segment LAN ou sur d’autres segments. Le sniffer lui procure les loggins
et les mots de passe, grâce auxquels il peut contrôler et compromettre les autres
machines où il installera des sniffers. Le fait d’installer des sniffers sur les nouvelles
machines victimes permet à l’agresseur de s’approprier d’autres loggins et mots de
passe, ce qui lui facilite le passage d’un système à l’autre et d’en prendre
successivement le contrôle.
Les sniffers sont nombreux et disponibles sur le Web. Nous présentons ci-
dessous les sniffers les plus riches en fonctionnalités et les plus utilisés ainsi que
leurs adresses :
– Sniff’em : http://www.sniff-em.com
– CommView : http://www.tamos.com
2 Le mode « promiscuous » est un mode particulier de fonctionnement des cartes réseaux qui
consiste à accepter tous les paquets circulant dans un réseau ; par opposition au mode normal
qui filtre les paquets.
3 Une attaque par saturation de mémoire, par exemple.
120 La sécurité sur Internet
– Tcpdump : http://www.tcpdump.org
– Windump : http://netgroup-serv.polito.it/windump
– Snort : http:///www.snort.org
– Ethereal : http://www.ethereal.com
– Sniffit : http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
– Linsniff : http://www.packetstormsecurity.org
– BUTTsniffer : http://www.packetstormsecurity.org
– Dsniff : http://www.monkey.org/~dugsong/dsniff
Pour se défendre contre les sniffers, il existe des anti-sniffers. Ce sont des outils
qui sont utilisés comme contre-mesure afin de détecter les machines dont les cartes
réseaux sont en mode « promiscuous ». Citons à titre d’exemples
– PromiScan, (www.securityfriday.com),
– PMD (http://webteca.port5.com),
– L0pht AntiSniff (http://www.L0pht.com),
– AntiSniff (http://packetstormsecurity.nl/sniffers/antisniff/).
Cependant si les anti-sniffers sont d’excellents outils pour sécuriser les réseaux et
surtout détecter les activités d’espionnage dans les réseaux, ils ne sont pas
infaillibles. En effet, la détection est une tâche difficile, et ces outils doivent être
largement déployés à travers le réseau afin d’en couvrir tous les segments critiques.
Malheureusement même les plus sophistiqués ont du mal à détecter un sniffer bien
configuré. La meilleure protection est de crypter les données sensibles du trafic et
d’utiliser des services d’authentification. Dans la Figure 6.1, l’anti-
sniffer PromiScan montre qu’un sniffer est dans la machine d’adresse MAC
00 :07 :E9 :D4 :1A :51.
D’autre part, comme le montre la Figure 6.4, le paquet numéro 7 est un paquet
TCP. Le port de destination est 21. Le service est fort probablement FTP. Le champ
des données contient le mot de passe : « Tunis@tunis.com ».
La phase d’intrusion et d’attaque 123
L’agresseur n’a plus qu’à se faire passer pour l’utilisateur légitime et à accéder au
serveur sans être authentifié.
Avec une attaque passive, un agresseur détourne une session pour observer et
enregistrer seulement tout le trafic de la session. Ceci est très utile pour collecter des
informations sensibles, comme les mots de passe. L’attaque passive est le plus
souvent représentée par le spoofing. Plutôt que de déconnecter sa victime comme
dans une attaque active, l’agresseur fait semblant d’être un autre utilisateur ou
machine pour obtenir un accès. Quand l’agresseur est en train de réaliser son attaque
de spoofing, la victime peut être chez elle ou en vacances – l’utilisateur réel ne joue
aucun rôle dans ce type d’attaque. Par conséquent, l’agresseur n’est pas activement
en train de lancer une attaque contre une session active ouverte par un utilisateur
légitime.
Lors d’une attaque active, l’agresseur recherche une session active et en prend le
contrôle. Ceci est réalisé par la déconnexion de l’une des parties impliquées dans la
session, de telle sorte que l’utilisateur ne peut plus communiquer. Par exemple, une
attaque de déni de service déconnecte l’utilisateur légitime d’une session. Ensuite,
l’agresseur se substitue à l’utilisateur légitime, prend le contrôle de la session, et
exécute des commandes sur le système. Ce dernier lui fournira des informations
sensibles et lui autorisera l’accès en tant qu’utilisateur habituel.
Il existe aussi des attaques hybrides, durant lesquelles un agresseur observe une
session pendant un certain temps avant d’entrer en action et d’en prendre le contrôle.
Une autre variante consiste à observer une session et périodiquement y injecter des
données sans pour autant en prendre effectivement le contrôle.
Authentification
L’agresseur prend le contrôle d’une session juste après que la victime
s’authentifie, indépendamment de la manière ou des processus d’authentification
utilisés.
Cryptage
Le cryptage est probablement l’une des méthodes les plus efficaces à utiliser
pour se protéger de l’attaque de détournement de session. Si un agresseur ne peut
pas lire les données transmises lors d’une session, il lui est alors très difficile de la
détourner. Cependant certains administrateurs inconscients rechignent à procéder au
cryptage.
Limiter le trafic
Moins le trafic autorisé de l’Internet vers le réseau de l’entreprise est dense, plus
le réseau est sécurisé. Ceci minimise le risque de détournement de session. L’idéal
serait de bloquer le plus possible le trafic au niveau du routeur externe et/ou du
firewall.
Et comme une connexion TCP exige des contrôles et des accusés de réception
pour s’initialiser et établir la connexion définitive, l’opération échouera car les
messages de contact sont envoyés à une tierce machine (correspondant à l’adresse
falsifiée) ignorant tout de l’opération.
Cette technique est très limitée. Cependant, elle s’avère intéressante, puisque le
pirate se contente d’envoyer un ensemble de paquets pour « planter » la machine-
cible. Les réponses de la machine victime seront perdues dans le réseau. Il sera
d’autant plus difficile d’identifier l’adresse IP de la source d’attaque avec cette
technique.
Internet est dynamique en ce qui concerne le routage (la façon dont il route les
paquets). Il y a plusieurs cas où le trafic prend la même route à travers Internet, mais
ceci n’est pas une garantie absolue. En effet, le trafic peut changer de chemin chaque
jour, chaque heure, et même chaque minute.
Cependant, il y a une méthode qui garantit que les paquets prennent un seul
chemin à travers Internet, permettant ainsi à un agresseur de visualiser tout le trafic.
Pour exécuter son forfait, il utilise un routage dit « lâche » avec des adresses de
nœuds désignées ou un routage strict.
La phase d’intrusion et d’attaque 129
Dans l’en-tête du paquet IP, seulement huit (8) adresses IP sont utilisées pour
véhiculer les paquets. Cependant avec l’évolution de l’Internet, il y a des cas où le
paquet doit emprunter plus de huit nœuds ou passerelles pour atteindre sa
destination. Dans ce contexte seulement, le routage du premier type peut être utilisé,
car le routage strict détruira les paquets qui ne peuvent pas suivre le chemin exact
spécifié.
n’est pas obligé de fournir à chaque fois son mot de passe pour accéder à une autre
machine.
Le spoofing des adresses emails est réalisé en général pour trois principales
raisons.
Pour ceux qui trouvent la procédure compliquée, il y a une méthode plus facile.
Plusieurs programmes téléchargeables sur Internet facilitent l’envoi des emails
anonymes. Ces programmes, tel Avalanche, fournissent des interfaces graphiques
conviviales sous Windows. L’utilisateur choisit un serveur mail, puis remplit les
champs des adresses emails To et From, le sujet, et le message, et suit les instructions
sur l’écran. En outre Avalanche permet de réaliser l’email boombing. C’est-à-dire le
bombardement de la boîte aux lettres des victimes par des milliers de emails.
132 La sécurité sur Internet
Une attaque de buffer overflow est réalisée quand un agresseur essaye et réussit à
mettre un volume d’informations conséquent dans une trop petite zone de mémoire.
Une éventualité connue et souvent réalisée quand l’utilisateur d’un programme
fournit plus de données que la capacité de stockage prévue par le concepteur du dit
programme.
Les programmes qui ne vérifient pas au préalable les bornes ou les limites sont
très nombreux et par conséquent, sont très vulnérables aux attaques de buffer
overflow. Ces applications ou programmes travaillent sur des plates-formes Unix ou
Windows.
Buffer overflow peut causer des attaques de Deni de Service (DoS) et des
attaques contre l’intégrité des données, par l’exécution de codes arbitraires qui
modifieraient des données. Alors que la lecture des données sensibles constitue déjà
une violation de la confidentialité.
La plupart des attaques de buffer overflow sont réalisées par des enfants ou par
des pirates débutants qui, en général, ne comprennent pas comment leurs outils
d’attaques fonctionnent. Ils scannent d’abord leurs cibles avec un scanner
automatique pour détecter ses vulnérabilités. Ensuite, ils téléchargent le code de
l’attaque écrit par une autre personne et dirigent le code vers la cible.
La phase d’intrusion et d’attaque 133
Ce code est en général écrit par des personnes ayant une grande expérience, aussi
bien dans la découverte de programmes vulnérables que dans la création de codes
d’attaque.
L’autre type d’attaque de buffer overflow est l’exécution des codes que
l’agresseur a introduits dans la machine victime. Puisque l’attaque consiste à mettre
un volume énorme d’informations dans la mémoire, un agresseur attentif et malin
pourrait réécrire suffisamment d’informations utiles pour lui et garder le contrôle du
pointeur. Ce faisant, il peut forcer le pointeur à pointer vers les codes destructeurs ou
mal intentionnés qu’il a personnellement élaborés à la place des programmes en
cours d’exécution.
Les finalités de ces codes pourraient être anodines : par exemple l’impression
des mots de passe, leurs modifications ou la création de nouveaux comptes.
134 La sécurité sur Internet
Les vulnérabilités permettant des attaques de buffer overflow sont inhérentes aux
codes et sont dues généralement aux manques de vérification des bornes des
variables. Par conséquent, la protection contre ce type d’attaque doit se faire en
dehors du logiciel en question, à moins que l’utilisateur possède le code source du
logiciel et qu’il procède à la réécriture correcte de l’application.
L’idéal, c’est d’éliminer tous les logiciels vulnérables, ainsi que tous les ports et
services correspondants. Il est également recommandé d’appliquer le patch du
fournisseur et d’installer la dernière version du logiciel. En général, après qu’une
vulnérabilité de buffer overflow est annoncée, le fournisseur fournit un patch ou met
à jour le logiciel avec une nouvelle version. Dans les deux cas, le fournisseur ajoute
normalement les vérifications adéquates pour le programme.
Résumé du chapitre 6
Les attaques de saturation de mémoire sont faciles à concevoir. Pour les contrer
les administrateurs de réseaux et systèmes sont appelés à un maximum de vigilance.
Par précaution, ils doivent limiter les privilèges.
La phase d’intrusion et d’attaque 135
7.1. Introduction
Le déni de service (Denial of Service : DoS) est l’attaque qui bloque, pour un
utilisateur, l’accès à sa machine ou qui retarde le temps de réponse et le rend
inacceptable. Le DoS peut survenir à la suite d’une attaque programmée lorsqu’une
personne malveillante surcharge intentionnellement une ressource ou un système ;
ou accidentellement lorsqu’un utilisateur légitime, par inadvertance, déclenche une
procédure inappropriée qui rend une ressource inaccessible et non disponible. Dans
les deux cas, l’administrateur d’une entreprise se doit de prendre les mesures
nécessaires pour protéger ses machines.
Il est important de noter que ces deux types d’attaques peuvent être lancés à
partir d’une machine locale appartenant au réseau local cible, ou à partir d’un autre
réseau extérieur quelconque.
se planter. Par exemple, ceci produira un écran bleu, appelé dans Microsoft NT
« l’écran bleu de la mort » (The blue screen of death).
Comme cette commande est très courante, on n’a même pas besoin de chercher
le pseudo code ou l’exploit correspondant.
La meilleure méthode pour traiter ce problème est d’appliquer les derniers patchs
du fournisseur approprié. Pour la plupart des systèmes d’exploitation qui ont été
affectés par ce type de vulnérabilités, il existe déjà des patchs correspondants qui
comblent ces lacunes.
Une autre solution pour se protéger de ce type d’attaque de ping est de bloquer
un grand nombre de paquets ping au niveau des routeurs et des firewalls, de telle
sorte qu’ils ne puissent pas atteindre les machines cibles du réseau.
Land est un programme utilisé pour lancer des attaques de déni de service contre
une variété d’implémentation TCP. Le programme envoie un paquet TCP SYN qui
est le premier paquet envoyé lors de l’établissement d’une connexion TCP1 avec les
mêmes adresses de source et de destination ainsi que les mêmes ports de source et
de destination. La machine victime entre dans un cercle vicieux où elle s’envoie des
paquets à elle-même et se répond aussi à elle-même jusqu’à la saturation et au
plantage (Figure 7.1).
Pour lancer une attaque Land, il existe un code source disponible dans les
adresses ci-dessous. Cependant, un agresseur peut facilement utiliser et/ou réécrire
ce code. Il suffit de générer des paquets avec les mêmes adresses sources et
destinations ainsi que celles des ports :
– Code source : http://www.insecure.org
– Programme Agressor : http://neworder.box.sk
– Programme Spike : http://hackersclub.com
Pour se protéger, la méthode la plus simple est d’appliquer les derniers patchs
des fournisseurs. La plupart des éditeurs offrent des patchs traitant ce type de
vulnérabilité. Ils ont une section spécifique dans leur site Web contenant ces
programmes ou l’ensemble de commandes traitant les exploits connus et répertoriés.
En plus des patchs, l’administrateur réseau ne doit pas avoir des adresses sources
dans la même plage que les adresses des machines du réseau interne. En effet,
puisqu’un paquet généré dans un réseau interne n’arrive jamais dans l’interface
extérieure du routeur, un routeur peut bloquer tous les paquets entrant dans le réseau
interne dont les adresses sources appartiennent à la plage des adresses internes des
machines. Cependant, ceci ne protégera pas contre un agresseur qui a déjà réussi à
s’infiltrer dans un réseau interne et qui lance une attaque contre les autres machines
du réseau à partir d’une machine interne qu’il a préalablement compromise.
Les attaques de déni de service 141
SYN flooding signifie « inondation de SYN ». C’est une attaque qui affecte la
plupart des systèmes d’exploitation parce qu’elle prend avantage sur un point faible
de la connexion TCP/IP via l’ouverture d’un nombre important de demi-connexions
de TCP/IP (half-open connexions).
Tous les systèmes connectés à Internet et fournissant des services basés sur des
connexions TCP (tels un serveur Web, un serveur FTP ou un serveur mail) sont
potentiellement exposés à ce type d’attaque. Il importe de signaler qu’en plus de
celles lancées sur un hôte spécifique, les attaques peuvent être lancées contre des
routeurs, des firewalls, ou autres équipements ou serveurs offrant des services TCP.
Comme ce type d’attaque est assez connu, il y a un code source de SYN flooding
gratuit et disponible dans les adresses ci-dessous. Cependant, un agresseur peut aussi
facilement écrire un code spécifique réalisant l’attaque SYN flooding :
Il y a deux méthodes pour lancer une attaque de type SYN flooding. La première
méthode consiste à envoyer plusieurs paquets SYN à une machine-cible et à s’assurer
que l’envoyeur ou la machine (défini dans l’adresse source de ces paquets) ne
répondra jamais à tous les paquets SYN-ACK renvoyés par la machine-cible (Figure
7.2).
La seconde méthode, plus simple, consiste à envoyer des paquets SYN vers une
machine cible avec une adresse source falsifiée (spoofed) correspondant à une
machine non active. De ce fait, quand la machine-cible répond, il n’y aura pas de
répondant ou partenaire.
Dans cette attaque, l’agresseur envoie du trafic ICMP echo request (ping) à une
adresse broadcast d’un réseau (par exemple pour le réseau 10.50.0.0, l’adresse
10.50.255.255 est une adresse broadcast), en utilisant une source adresse IP falsifiée
(IP-spoofed) d’une machine victime. Ainsi, toutes les machines du réseau vont
envoyer des réponses de type ICMP echo request, à la machine victime (Figure 7.3).
Si le routeur du réseau cible ne filtre pas le trafic ICMP, sur les adresses de
« broadcast », toutes les machines du réseau recevront le paquet et renverront un
paquet echo_response en retour destiné à la machine victime.
L’attaque Fraggle : son mode d’attaque est analogue à celui de Smurf avec la
seule différence qu’il agit sur des paquets UDP écho. La méthode consiste à usurper
l’identité d’un intervenant dans la communication réseau et de pratiquer de
nombreux ping du type UDP écho avec l’adresse usurpée sur le routeur principal
placé en bordure du sous-réseau. Les machines de ce sous-réseau retournent l’écho à
la victime qui se voit submergée de réponses et ses ressources systèmes s’amoindrir.
C’est également pour cette raison qu’au lieu d’avoir un seul programme qui
réalise l’attaque Land, puis un autre qui réalise l’attaque SYN flooding, les
concepteurs ont pensé à les rassembler dans un seul module, et parfois même
incluant plusieurs autres types de programmes d’attaque.
Les attaques de déni de service 145
Dans ce qui suit, nous allons, à titre d’exemples, présenter Targa et Toast, conçus
et utilisés pour lancer une variété d’attaque de déni de service.
Targa
Ce programme a été écrit par un dénommé Mixter et est téléchargeable à partir
de http://packetstormsecurity.nl. Son concepteur a utilisé le code de huit attaques de
déni de service et les a rassemblé pour en faire un seul programme facile à utiliser.
C’est un programme très puissant, qui peut causer d’énormes dégâts pour le
réseau d’une entreprise. Il peut être utilisé pour réaliser plus de huit attaques de déni
de service et est capable de réaliser les attaques de déni de service suivantes : Bonk,
Jolt, Land, Nestea, Newtear, Syndrop, Teardrop, Winnuke, 1234, Saihyousen,
Oshare. L’agresseur peut choisir de lancer des attaques individuelles ou essayer
toutes les attaques proposées.
Toast
Toast est un outil intégrant un large éventail d’outils de déni de service, tels que
123, Ascend-foo, Beer, Biffit, Boink, Bonk, Coke, Conseal, Dcd3c, Fawx, Foqerc,
Gewese5, Ice, Jolt, Kkill, Koc, Kox, Kod, Pimp2, Land, Misfrag, Nestea, Newtear,
Octopus, Orgasm, Overdrop, Pepsi, Rape, Spiffit, Ssping, Syndrop, Synful, Synk4,
etc. Cet outil peut également envoyer simultanément de multiples attaques. Il est
téléchargeable à partir de http://packetstormsecurity.nl.
7.4.1. Le principe
Avec un DoS traditionnel, une machine attaque normalement une seule machine
victime. Cependant, en l’an 2000, un nouveau type d’attaque a été initié : le déni de
service distribué (Distributed Denial of Service : DDoS).
Ainsi est-il plus difficile de se défendre contre ce type d’agression, parce que la
machine-cible reçoit simultanément plusieurs paquets de sources différentes.
146 La sécurité sur Internet
Etant donné que ces attaques proviennent de plusieurs plages d’adresses IP, il est
plus difficile de les détecter et de les bloquer. En effet, un nombre limité de paquets
provenant des diverses machines peut échapper aux contrôles et aux détections des
radars du système de détection d’intrusion. Si une simple adresse IP est en train
d’attaquer une entreprise, tous les paquets contenant cette adresse IP source peuvent
être bloqués par le firewall de l’entreprise. S’il s’agit d’une centaine de machines, le
blocage est alors extrêmement difficile.
Les outils suivants sont les plus connus ; Trinoo, Tribal flood network (TFN),
Stacheldraht, Shaft, Tribal flood network 2000 (TFN2K), et Mstream. Tous
présentent les mêmes fonctionnalités concernant le lancement des attaques DoS.
Dans cette section, nous détaillerons en premier TFN2K qui nous semble intéressant
Les attaques de déni de service 147
TFN2K peut être considéré comme une version améliorée de Targa. Il a été écrit
par le même Mixter, et peut être téléchargé à partir du site :
http://packetstormsecurity.nl. Il réalise les mêmes attaques que celles de Targa et
d’autres types de DoS. En plus, il est capable de réaliser des attaques de déni de
service distribuées.
Trinoo
Trinoo est l’un des premiers outils et, de ce fait, présente des fonctionnalités
limitées en comparaison de TFN2K. Ce dernier est discret car il utilise ICMP et donc
n’a pas de port à détecter dans la machine compromise. Trinoo utilise TCP et UDP.
Une entreprise utilisant régulièrement un scanner des ports peut donc facilement
détecter sa présence.
Stacheldraht
Stacheldraht est un autre outil d’attaque de DDoS qui combine les fonctions de
TFN2K et de Trinoo, mais intègre d’autres fonctionnalités tel que le cryptage des
communications entre les components. Stacheldraht utilise TCP et ICMP pour
communiquer.
Les scanners du commerce, tels que CyberCop et ISS Internet Scanner, vérifient
la sensibilité d’une cible vis-à-vis des conditions et des environnements de déni de
service.
Les administrateurs préfèrent utiliser ces outils d’une part parce qu’ils permettent
de scanner les hôtes et les réseaux et d’autre part parce qu’ils ne sont pas considérés
comme des outils de piratage. Il est recommandé de les utiliser en dehors des heures
d’exploitation réelles, car des cas réels de DoS et de plantage ont été enregistrés
durant les phases de test.
148 La sécurité sur Internet
CyberCop
CyberCop est un produit commercial qui revendique la réalisation de plus que 40
attaques de déni de service, incluant l’attaque Land, l’attaque Ping, et bien d’autres
encore. Toutes les potentialités d’attaque disponibles de l’outil peuvent être
exécutées simultanément ou individuellement. L’outil présente une description de
l’attaque ainsi qu’une proposition de contre-mesures. Lors des simulations
d’attaques DoS, nous recommandons d’exécuter ces outils individuellement à la
suite des autres processus de scannage. Le cas échéant, si le système plante et
nécessite donc une relance, le risque de perte d’informations cruciales est très grand.
Figure 7.6. La version 6.2.1 de ISS Internet Scanner réalise 128 attaques de DoS
2 Par exemple pour les serveurs de DNS, les serveurs FTP, les Firewalls, etc.
Les attaques de déni de service 149
Plus un serveur est redondant et robuste plus il est protégé des attaques. Si une
entreprise possède un serveur Web critique et que ce serveur soit servi par un unique
routeur fonctionnant sur une seule machine, ce qui ne constitue pas une « conception
robuste », il suffit à un agresseur de lancer une attaque de déni de service contre le
routeur ou le serveur pour déconnecter totalement l’application Web vis-à-vis des
utilisateurs.
La même règle s’applique pour les services. Le « must », c’est qu’une entreprise
possède différents serveurs pour un même service avec une variété d’adresses IP : Il
devient alors plus difficile pour un agresseur de localiser et de cibler simultanément
toutes les machines.
La sécurité du site d’une entreprise dépend des moyens investis pour se protéger
contre les attaques de déni de service. Compte tenu qu’un DoS plante les machines
ou épuise les ressources des systèmes, le concept de redondance et de la multiplicité
de systèmes aide à contrer ces attaques. Par conséquent, plus le nombre de machines
et de connexions de l’entreprise est grand, plus il est difficile pour un agresseur de
réussir des DoS.
150 La sécurité sur Internet
Avec les attaques de DoS, un agresseur peut épuiser toute la bande passante de
l’entreprise attaquée, ce qui bloque l’accès aux utilisateurs légitimes. Si, par
exemple, un agresseur inonde de trafic un réseau sur le port 25, il épuisera toute la
bande passante d’une entreprise, et le port 80 se trouvera également refusé.
Pour éviter ce type d’attaque, il est recommandé de limiter la bande passante sur
la base de la technique de protocole et de répartition des bandes passantes. On peut,
en effet, partager le trafic entre les ports 25 et 80. Mais, là également un agresseur
peut lancer simultanément deux attaques de DoS : une contre le port 25 et l’autre
contre le port 80.
Il est donc clair qu’il n’y a de solution radicale que dans l’élaboration, en
profondeur, d’une stratégie de défense, de mise à jour et de surveillance continuelle.
En règle générale, quand une nouvelle attaque de DoS est enregistrée, les
développeurs identifient rapidement le problème et annoncent le patch approprié.
Une entreprise qui se soucie de sa sécurité doit sérieusement et continuellement
suivre les annonces des derniers patchs et les appliquer sans délai.
Néanmoins, un patch doit au préalable être essayé sur des machines de test avant
son application sur des machines réelles de production. Car même si le vendeur
affirme l’efficacité du patch pour la faille identifiée, cela ne garantit pas pour autant
qu’une fois implémenté dans une machine, il ne risque pas de créer de nouveaux
types de vulnérabilités.
Etant fort probable qu’un réseau ou système soit déjà compromis et ait servi
comme serveurs d’attaques de DDoS, il est urgent pour un administrateur réseau,
avant de prendre des mesures de sécurité, de procéder au scannage de son réseau ou
système afin de détecter les éventuels serveurs de DDoS, pour les désactiver et les
éliminer le plus tôt possible. Il existe plusieurs outils disponibles qui réalisent ce
type de tâches, et la plupart des scanners de vulnérabilités commerciaux sont
capables de détecter si un système a déjà été utilisé comme un serveur DDoS. Voici
quelques-uns de ces outils disponibles à l’adresse http://packetstormsecurity.nl.
Les attaques de déni de service 153
Find_ddos : cet outil détecte, dans les systèmes locaux, la présence de serveurs
de déni de service distribués. Il scanne différents types de systèmes d’exploitation et
peut détecter plusieurs programmes de DDoS, tels que : TFN2K client, TFN2K
daemon, Trinoo daemon, Trinoo master, Stacheldraht master, Stacheldraht client, et
Stacheldraht daemon.
Dans certains cas, tant que l’attaque n’a pas encore commencé, certains outils ne
sont pas capables de signaler si un système a été utilisé comme serveur de DDoS.
Heureusement, le système de détection des intrusions prend en compte le volume
important de trafic et transmet des signaux ou alertes indiquant la présence
potentielle de problèmes. Dans ce cas de figure, l’utilisation, par exemple, de l’outil
Zombie Zapper est indiquée. Cet outil défend contre : Trinoo, TFN et Stacheldraht.
Mais, comme c’est souvent le cas pour les scanners, cet outil présuppose lui aussi
que les programmes d’attaque ont été installés sur les ports par défaut.
Résumé du chapitre 7
Les attaques de DoS peuvent causer des dégâts importants et la protection est
difficile. Par conséquent, il est urgent, pour les entreprises, et notamment celles qui
possèdent des systèmes sensibles connectés à Internet, de scanner et de vérifier leurs
réseau et systèmes. Elles doivent être conscientes des risques et penser à minimiser
154 La sécurité sur Internet
les opportunités d’attaques. Il s’avère important pour elles d’analyser leurs systèmes
et d’estimer les coûts des pertes au cas où leurs systèmes venaient à crasher.
Il existe des outils disponibles qui réalisent les deux types d’attaques : DoS et
DDoS, tels que Targa et TFN2K, qui sont en général faciles à utiliser. L’agresseur
n’a pas besoin de comprendre le fonctionnent pour réussir des attaques. Une
entreprise doit investir dans les ressources appropriées pour protéger son réseau ou
système. Sécuriser le réseau, installer un système de détection d’intrusion, utiliser
les scanners voilà les bases d’une stratégie efficace de défense et de surveillance.
Chapitre 8
8.1. Introduction
Dans la plupart des entreprises et chez les particuliers, l’utilisation des mots de
passe est la procédure la plus usuelle concernant la sécurité des systèmes
d’information. Malheureusement, les mots de passe constituent très souvent le
maillon faible de la sécurité des systèmes contrairement à l’idée très répandue qu’un
système protégé par un mot de passe est quasi inviolable.
Dans la majorité des cas, les utilisateurs choisissent eux-mêmes des mots de
passe faciles à retenir et par conséquent faciles à deviner par le pirate. Si ce dernier
parvient à obtenir le mot de passe, il peut accéder aux informations sensibles et
mettre le système en péril.
Souvent, les applications ou systèmes d’exploitation sont fournis avec des mots
de passe par défaut. Par crainte de les oublier, par paresse ou parce qu’ils sont
submergés de travail, certains administrateurs les notent dans un fichier. Pour le
pirate, dénicher ce fichier est une tâche relativement aisée. De plus, plusieurs bases
de données proposent, pour différentes plates-formes, des mots de passe. Elles sont
publiées, entre autres, à l’adresse http://security.nerdnet.com.
156 La sécurité sur Internet
Pour obtenir le mot de passe, le pirate écrit tout simplement un script qui
s’exécute sur sa propre machine. Ce programme script essaye, à travers le réseau, de
se connecter à la machine de la victime d’une façon répétitive. Le pirate configurera
le script en se présentant comme un utilisateur usuel probable.
L’agresseur peut aussi envoyer des scripts présentant, sous forme de boîte de
dialogue des Web, une requête demandant le nom de l’utilisateur et son mot de
passe ; puis ces informations sont renvoyées chez lui une fois obtenues. Diverses
autres méthodes peuvent être aussi utilisées. Si le succès n’est pas obtenu, le pirate
réitère ces opérations jusqu’à ce qu’il obtienne gain de cause.
Alors que certains pirates écrivent leurs scripts, d’autres utilisent l’outil THC-
Login Hacker. Souvent des outils offrent d’autres fonctionnalités incluant même des
programmes de « Brute force »1 :
– Brute_ssl et brute_web par BeastMaster : ces outils essayent d’obtenir des
mots de passe pour l’authentification http et/ou https, ils sont disponibles à
l’adresse : http://packetstormsecurity.org.
– Authforce, par Zachary P. Landau, essaye d’obtenir des mots de passe en se
connectant à un serveur Web (pour l’authentification http), disponible à l’adresse :
http://kapheine.hypa.net/authforce/index.php.
– Somarsoft, un outil pour obtenir des mots de passe sous Windows NT
disponible à : http://packetstormsecurity.org.
– Hypnopaedia, par NullString, un outil pour des emails utilisant le protocole
POP3, disponible à l’adressse : http://packetstormsecurity.com.
– Sur le site PacketStorm (http://packetstormsecurity.com/Crackers), il existe
aussi plusieurs outils de recherche et d’essai des mots de passe.
L’obtention des mots de passe par la démarche du script est très longue mais
pour parvenir à leurs fins, le temps passé importe peu pour les pirates.
Pour faire face à ce genre d’attaque, il suffit d’avoir un compte bloqué. En effet
certains systèmes sont configurés de telle sorte que si un nombre de mots de passe
incorrects sont entrés, le compte de l’utilisateur se bloque.
En général, l’obtention des mots de passe par défaut ne réussit pas. La démarche
du script, nous venons de le voir, exige du pirate un certain temps qui risque de le
faire repérer. Une méthode pour éviter ces inconvénients consiste carrément à
craquer les mots de passe. Pour comprendre le processus de craquage, il importe de
savoir au préalable comment les mots de passe sont stockés dans la plupart des
systèmes.
Pour faire face à ce problème, les concepteurs des systèmes ont décidé d’appliquer
la cryptographie pour la protection du fichier des mots de passe. Dès lors ce fichier
contient les identifiants des utilisateurs et leurs mots de passe hachés ou cryptés.
Quelques systèmes utilisent purement l’algorithme DES (Data Encryption Standard)
qui exige une clef. D’autres utilisent le MD4 (Message Digest 4), une fonction qui
compacte et transforme les mots de passe. De ce fait, grâce à ces systèmes, le pirate ne
pourra plus obtenir en clair les mots de passe.
Le craquage des mots de passe consiste à voler les mots de passe codés et
essayer de les décoder en utilisant un outil automatique. Ce processus applique la
démarche bouclée suivante :
158 La sécurité sur Internet
Pour craquer les mots de passe, le pirate suit la méthode décrite ci-dessus. Dans
son optique, ce processus est fantastique car il peut travailler tranquillement chez lui
et n’utilise pas la machine de la victime. Pour ce faire, il suffit de voler le fichier
crypté des mots de passe puis de travailler à son aise depuis sa machine ou depuis
une plate-forme qui lui convient. Ceci est donc plus pratique et plus rapide que la
démarche du script.
Un outil de craquage des mots de passe peut engendrer des mots de passe
présupposés de manières différentes. Comme la plupart des gens utilisent un
dictionnaire commun des mots de passe, lancer une attaque des dictionnaires
pourrait être un bon départ. Ce type d’attaque prend en compte un fichier qui
contient la plupart des mots courants d’un dictionnaire et les utilise pour deviner les
vrais mots de passe des utilisateurs. Bien entendu si le mot de passe cible n’est pas
dans le dictionnaire, l’attaque est vouée à l’échec.
En plus des procédés utilisés pour deviner les mots de passe, plusieurs outils de
craquage des mots de passe offrent le principe de Brute Force. Pour ce type
d’attaque, l’outil utilise toutes les combinaisons possibles de caractères pour
proposer et deviner le mot de passe convoité. La plupart de ces outils commencent
par les caractères alphanumériques puis proposent des caractères spéciaux (comme :
!&”$, etc.). Malgré la rapidité de ces outils, Brute Force nécessite un laps de temps
assez conséquent pouvant aller d’une semaine à quelques mois. Cependant, si le mot
de passe est court, cette technique pourrait fournir des résultats assez rapidement.
Les problèmes et attaques des mots de passe 159
Les outils de craquage des mots de passe existent depuis longtemps et un grand
nombre est disponible aux adresses suivantes :
– L0phtCrack, un outil de craquage sous Windows NT/2000 facile à utiliser,
disponible à l’adresse : http://www.l0pht.com/.
– John the Ripper, un outil conçu par Solar Designer pour craquer les systèmes
d’UNIX, disponible à l’adresse : http://www.openwall.com/john/.
– Crack, par Alec Muffet, parmi les plus anciens outils de craquage d’Unix,
disponible à l’adresse : http://www.users.dircon.co.uk/~crypto/.
Nous présentons ci-dessous les deux outils de craquage les plus puissants à ce
jour : L0phtCrack et John the Ripper.
8.6.1. L0phtCrack
C’est un outil de sécurité très connu pour plusieurs raisons. Il est facile
d’utilisation et étonnamment rapide pour craquer les systèmes Windows NT et
Windows 2000. C’est aussi un excellent testeur pour les mots de passe NT. Il peut
être utilisé également comme outil d’audit des faiblesses des mots de passe. De ce
fait, chaque administrateur de sécurité NT devrait posséder cet outil. En l’activant
sur une base de données, il peut identifier les mots de passe non sécurisés et forcer
les utilisateurs à les changer et ce avant qu’une personne mal intentionnée ne
parvienne à craquer les mots de passe du réseau.
L’outil commence donc à craquer les mots de passe à l’aide d’un dictionnaire et si
la méthode échoue, il passe à l’attaque hybride. Cette dernière consiste à modifier le
dictionnaire suivant la logique que pratique les personnes désirant créer des mots de
passe sécurisés. Puis l’outil ajoute des chiffres et des caractères spéciaux au
dictionnaire. Si cette méthode hybride échoue à son tour, l’outil applique Brute Force
en essayant toutes les combinaisons possibles avec les chiffres, les lettres et les
caractères spéciaux jusqu’au succès. L’ajout de ressources supplémentaires peut
accélérer le processus, mais la durée sera toujours assez conséquente car la Brute
Force essaie tous les cas de figures. Cependant, L0phtCrack travaille uniquement pour
les mots de passe de NT et ne fonctionne que sur les plates-formes Windows NT.
Crypté ou haché, le fichier des mots de passe est dans la base sécurisée de NT,
comme la base de données SAM ou le compte Manager sécurisé. Pour utiliser
efficacement l’outil L0phtCrack, le pirate tente d’obtenir une copie des éléments
représentatifs des mots de passe crypté/haché stockés dans la base de données SAM
de la machine cible. Or pour ce faire, L0phtCrack a lui-même inclus le « pwdump »
pour vider et dévoiler les éléments des mots de passe de Windows NT à partir de la
machine locale ou à partir de n’importe quelle autre machine du réseau. Cependant
cette possibilité exige le privilège de l’administrateur sur la machine cible où la base
Les problèmes et attaques des mots de passe 161
SAM est stockée. L’attaquant a aussi plusieurs options pour obtenir une copie de ces
éléments. Par exemple, il peut intervenir au moment où le système exécute une
sauvegarde et découvrir ces éléments. L0phtCrack offre aussi la possibilité d’obtenir
ces mots de passe en sniffant à travers le trafic du réseau. Cet outil offre encore un
module intégré SMB Packet Capture qui permet de piloter le réseau local et de
capturer les paquets du processus d’identification de Windows. Une fois ces paquets
capturés, L0phtCrack peut les craquer et déterminer les mots de passe de
l’utilisateur. La Figure 8.1 montre le résultat de craquage des mots de passe d’une
machine grâce à L0phtCrack. Le mot de passe identifié est : « trabelsi ».
Pour utiliser l’outil John the Ripper, la possession d’un fichier de mots de passe
est exigée. Si le système utilise le principe de shadow (cacher ou crypter les
fichiers), pour mettre à jour ou en clair le fichier caché des mots de passe, l’usage
d’un outil est indispensable avec Unix. Pour Windows NT, par contre, il suffit de
trouver le fichier SAM ou les fichiers contenant les mots de passe hachés.
162 La sécurité sur Internet
8.7. Les défenses contre les attaques de craquages des mots de passe
Pour se défendre contre les attaques de craquages des mots de passe, l’utilisateur
se doit de s’assurer qu’il n’a pas choisi de mots de passe prévisibles ou facilement
accessibles à un outil automatique. Il faut varier et combiner les techniques de
défense et établir une politique forte de sécurité des mots de passe.
Une politique de sécurité forte est un élément crucial pour s’assurer de la sécurité
d’un système. Une entreprise doit avoir une politique explicite quant à l’élaboration
des mots de passe, en spécifiant une longueur minimale et prohibant l’utilisation des
termes connus des dictionnaires. Les mots de passe doivent comporter au moins
neuf caractères, et inclure des caractères non alphanumériques. En outre, la durée de
vie d’un mot ne doit dépasser 90 jours. Cette durée de vie peut être définie en
fonction de la sensibilité, de la culture propre à l’entreprise et de l’importance
accordée à la sécurité. L’outil « Password Policy Enforcer », téléchargeable au site
« www.anixis.com » permet aux administrateurs de définir et d’imposer dans leurs
entreprises des politiques de sécurité renforcées relatives aux mots de passe. La
Figure 8.2 montre, par exemple, comment un administrateur peut imposer la taille
minimale et maximale des mots de passe créés par les utilisateurs. Chaque mot de
passe ne respectant pas cette politique de sécurité sera rejeté.
Cette politique de sécurité concernant les mots de passe doit être accessible et
explicitée clairement aux employés de l’entreprise, grâce à l’utilisation, par exemple,
d’un site Web interne ou à des guides internes.
Pour être sûr que les utilisateurs n’ont pas choisi des mots de passe faibles, le
responsable est appelé à utiliser des outils de filtrages des mots qui empêchent de
sélectionner des mots de passe faciles à deviner. Quand un utilisateur ouvre un
compte ou change son mot de passe dans un système, ces programmes de filtrages
vérifient le nouveau mot de passe et évalue sa conformité à la politique de sécurité
de l’entreprise.
Pour être efficace, les outils de filtrage des mots de passe doivent être installés
dans tous les serveurs où les utilisateurs peuvent créer des mots de passe. Plusieurs
variantes modernes d’Unix incluent des outils de filtrage de mots de passe. Pour les
versions qui n’intègrent pas de tels outils, une variété d’outils est fournie par
d’autres fournisseurs :
– Npasswd, disponible à ftp://ftp.cc.utexas.edu/pub/npasswd ;
– Passwd+, disponible à ftp://ftp.dartmouth.edu/pub/security.
Pour l’environnement Windows NT, vous pouvez faire votre choix à partir de la
liste suivante :
– Password Guardian, disponible à l’adresse : http://www.georgiasoftworks.com
– Strongpass, disponible à l’adresse : http://ntsecurity.nu/toolbox/
164 La sécurité sur Internet
Pour contrôler un mot de passe, on doit vérifier s’il est suffisamment complexe
et s’il n’est pas juste une variation, une combinaison du nom de l’utilisateur avec
son prénom ou des mots issus d’un dictionnaire. Grâce à ces outils, on évite les mots
de passe qui violent la politique de création des mots de passe instaurée. Cependant,
il est conseillé de ne pas brimer la créativité de certains utilisateurs qui peuvent
imaginer des mots de passe forts, améliorant ainsi et de façon significative la
sécurité de l’entreprise.
Une des raisons principales qui encourage le craquage des mots de passe est
l’utilisation excessive des mots de passe traditionnels et réutilisables. Pour des
systèmes particulièrement sensibles ou pour les authentifications à travers des
réseaux non sûrs, l’utilisation des authentifications basées sur des mots de passe
traditionnels doit être bannie. A la place, nous préconisons des mots de passe à
usage unique « One-time », les cartes intelligentes « Smart Cards » ou la biométrie.
Plusieurs entreprises utilisent le procédé des mots de passe uniques en plus des
mots de passe normaux. Par exemple, quand un employé est à l’intérieur de
l’entreprise, il doit utiliser son mot de passe régulier ou normal. Par contre, en
dehors de la société et s’il veut se connecter à distance, il devra utiliser un mot de
passe unique. L’utilisation conjointe de ces deux types de mots de passe contribue à
Les problèmes et attaques des mots de passe 165
Une autre forme moins coûteuse consiste à utiliser des mots de passe uniques à
base des produits logiciels. Une implémentation possible peut se faire avec le
produit SKEY. SKEY utilise des mots de passe uniques qui sont déterminés
seulement au démarrage du système. Chaque utilisateur reçoit alors une liste de mots
de passe, et utilise un mot différent à chaque connexion. Cependant, le point faible
de cette technique se situe sur la liste des mots de passe, résidante dans l’ordinateur
de l’utilisateur, ainsi il est très facile pour un pirate d’y accéder.
8.7.4.2. La biométrie
La biométrie authentifie un utilisateur sur la base des facteurs humains, tels que
l’empreinte digitale ou celle de la main, le balayage et la reconnaissance de la rétine
ou de la voix. Ces méthodes sont très fiables et la perte ou les problèmes de vol sont
inexistants. En effet, l’identification de la biométrie est sans faille et il n’y a rien à
voler, tout est personnel et rattaché à chaque utilisateur physiquement.
Les comptes actifs, qui appartiennent à des employés en vacances ou qui ne sont
plus salariés de l’entreprise, présentent une vulnérabilité certaine. En effet, pour un
agresseur, ces comptes sont très faciles à compromettre puisque personne n’est en
train de les utiliser régulièrement pour détecter des accès non autorisés.
Une entreprise doit avoir une politique définie pour vérifier les comptes actifs et
supprimer les comptes inactifs. Le cas échéant, un pirate peut créer un compte
fantôme dans un système, lui permettant un accès au « root » alors que son existence
même est impensable.
166 La sécurité sur Internet
Une technique très importante pour se défendre contre les outils de craquage des
mots de passe est de protéger les fichiers cryptés/hachés des mots de passe. Si un
pirate ne peut pas voler le fichier des mots de passe ou la base de données SAM, il
est incapable de craquer les mots de passe en masse. La protection soignée de toutes
les sauvegardes du système incluant les fichiers de mots de passe ou tout autre type
de données sensibles est impérative. Dans tous les systèmes Unix, le password
shadowing » (le processus de masquage des mots de passe) doit être activé. Dans les
systèmes Windows NT et 2000, l’outil SYSKEY de Microsoft qui fournit un
minimum de protection supplémentaire pour les mots de passe permet une
cryptographie de 128 bits de la base de données SAM.
Puisque le craquage des mots de passe est très performant et se réalise dans la
plupart des cas hors connexion, le seul moyen pour détecter le pirate est de le repérer
à l’instant où il accède à la base des données SAM. Même si les logs d’audit ne sont
pas contrôlés régulièrement, l’entreprise doit avoir des scripts qui les scannent pour
détecter d’éventuelles intrusions dans les fichiers sensibles. Au cas où une intrusion
est détectée, très probablement quelqu’un tente de compromettre le système ou l’a
même déjà fait. Des actions immédiates sont à entreprendre comme, par exemple,
balayer les fichiers clefs afin de détecter de potentiels accès. Dès lors l’utilisation
d’un programme tel que Tripwire pourrait être un bon début de défense et devrait
désormais être inclus dans le plan de sécurité. Le seul problème concernant ce
processus, est que ce type de programme détecte seulement les fichiers qui ont déjà
subi des modifications. Il faut, toutefois, espérer que le pirate n’a mené que des
tentatives d’accès et de lecture.
Résumé du chapitre 8
Dans ce chapitre, nous avons montré que la sécurité des mots de passe est à
prendre très au sérieux. Une entreprise qui se veut sécurisée devrait instaurer une
politique de mots de passe et exiger de son personnel des mots de passe forts et
fonctionnels, c’est-à-dire difficiles à craquer. Une sensibilisation ainsi qu’une
formation spécifique sont parfois nécessaires. En effet, il arrive que le maillon faible
se situe dans des mots de passe facilement déchiffrables. C’est par ce point faible
que les pirates, aidés par des outils de craquage performants, sont en mesure de
prendre le contrôle du système d’un utilisateur, puis de tous les systèmes de
l’entreprise. Plusieurs outils de défense sont disponibles allant des outils de filtrage
Les problèmes et attaques des mots de passe 167
des mots de passe jusqu’aux systèmes biométriques en passant par des outils
d’authentification. Mais le choix et les implémentations doivent être bien réfléchis
en fonction de la politique de sécurité choisie par l’entreprise et du budget alloué.
9.1. Introduction
Avec actuellement plus de 50 000 types, sans compter les variantes et les
mutants, le monde des virus informatiques est trop vaste pour qu’on prétende en
aborder tous les aspects et en présenter tous les problèmes. Dans ce chapitre, nous
allons tenter de familiariser le lecteur avec les principes de fonctionnement des
virus, leurs classifications et donner quelques recommandations et conseils. En effet,
les seuls détails concernant les virus dépasseraient le cadre d’un volume.
programme de l’autre ou à occuper le plus de place en mémoire et/ou sur disque dur.
Les vrais virus étaient donc nés.
Plus tard, vers les années 80, le phénomène des virus possède déjà sa légende
selon laquelle la frustration serait à l’origine du désir destructeur chez les premiers
concepteurs de virus. En effet, des frères pakistanais d’une famille du nom de
Amjad, qui tiennent un magasin informatique sont irrités par le piratage
informatique ; ils développent alors le premier virus informatique, un virus de
secteur de démarrage appelé Brain. Depuis, le phénomène ne cesse de prendre des
dimensions incontrôlables.
Cependant, même parmi les utilisateurs, nombreux sont ceux qui pensent que la
seule action des virus se résume à la destruction des disques durs et ignorent qu’il en
existe plusieurs types et qu’ils n’ont pas le même fonctionnement ni le même rayon
d’action.
Dans ce qui suit, nous allons d’abord tenter une typologie des virus en fonction
de critères sans équivoques. Dans une première approche nous allons distinguer
ceux qui sont résidents en mémoire et ceux qui ne le sont pas.
Motivations :
On remarque souvent que les motivations qui poussent la communauté des
créateurs de virus à développer ce genre de programmes sont la vanité, la jalousie, et
l’esprit de compétition. Ils ont ainsi l’impression de pouvoir se faire un nom dans le
monde informatique.
Les problèmes de virus 171
0utils de développement :
La plupart des programmeurs qui développent des virus utilisent des kits, à
savoir des applications qui circulent sur Internet conçues pour générer un code de
virus. Virus Creation Laboratories, Virus Factory, Virus Creation 2000 et The
Windows Virus Engine en sont des exemples parmi tant d’autres et sont souvent
faciles à utiliser. Cette situation contraste malheureusement avec une époque plus
ancienne où des connaissances de programmation avancées étaient requises. Aussi,
ont-ils fortement contribué à l’augmentation des virus en circulation.
Dès sa première exécution, le virus vérifie si une de ses copies n'est pas déjà
chargée en mémoire. Si tel n'est pas le cas, il va se loger dans la mémoire
conventionnelle ou la mémoire haute. A partir de ce moment, et de façon
systématique, tous les programmes exécutés et qui ne sont pas encore infectés le
seront. Ce mode d'infection est très rapide.
DoS, le virus se trouve chargé en mémoire avant les fichiers système. Le virus peut
alors contrôler l'ensemble des interruptions DoS et se créer des opportunités de
reproduction. En principe, le virus se charge en mémoire et y demeure tant que le
PC est sous tension.
Les virus qui ne résident pas en mémoire se greffent à des fichiers .COM, .EXE
ou .SYS et sont exécutés et opérationnels à chaque lancement du fichier infecté.
Le code du virus est entièrement activé dès la première étape du lancement d'un
programme infecté. D'autres programmes se trouvent alors infectés et servent à leur
tour de vecteurs d'infection lorsqu'ils se trouvent exécutés. Les taux d'infections par
ce genre de virus sont aussi élevés que ceux des virus résidents en raison de leurs
petites tailles et notamment parce qu'ils ne modifient pas les tables d'interruption et
ne se placent pas en mémoire. La méthode d'infection est, de plus, hautement
imprévisible. On les classe souvent en trois sous-catégories :
Les problèmes de virus 173
En effet un tel programme a généralement des effets négatifs sur les informations
stockées sur le système qui l’exécute. Par exemple, si une fenêtre MS-Dos plante
lors de son exécution avec la commande DIR, il s’agit plutôt d’un virus et non d’un
Cheval de Troie. Si, en revanche, cette même commande efface tout le disque dur et
affiche le message « Je vous ai bien eu ! », il y a de fortes chances qu’il s’agisse bel
et bien d’un Cheval de Troie.
Les spécialistes ne sont pas unanimes sur le sujet. Certains associent ces
programmes malveillants à des virus, d’autres estiment qu’ils n’en sont pas
puisqu’ils ne cherchent à contaminer ni le système ni même les fichiers, bien qu’ils
puissent les effacer. De plus, un Cheval de Troie n’a généralement pas pour objectif
de se dupliquer.
Il est également possible d’accéder à n’importe quel fichier, de lire tout ce qui est
saisi au clavier, d’éditer les paramètres du système, de lancer une quelconque
application, de lire les emails et même de rediriger l’affichage afin de savoir
exactement ce que fait la victime.
lorsque son adresse IP change. Lors d’une connexion Dial-up (par modem), ce plug-
in envoie un email au pirate pour lui donner la nouvelle adresse IP de la machine
infectée. Donc une fois infectée, une machine est désormais à la merci du pirate.
La Figure 9.3 détaille quelques commandes utilisables à partir d’un poste pour
contrôler à distance une machine infectée par BackOrifice. Par exemple, une
machine peut être rebootée, un clavier bloqué, ou un message envoyé pour qu’il soit
affiché sur l’écran de la machine cible.
Cette aptitude à contrôler la table d'interruptions permet aux virus furtifs d’être
invisibles et rend leur détection extrêmement difficile même aux programmes
antivirus qui recherchent les modifications éventuelles apportées aux fichiers.
Les programmes qui tentent alors de lire ces zones voient la forme non infectée
de l'original du fichier au lieu de la forme réelle infectée.
Par exemple, le tout premier virus de DoS, « Brain », qui se greffe sur le secteur
d'amorçage, surveille les entrées/sorties du disque physique et redirige toute
178 La sécurité sur Internet
tentative de lecture d'un secteur d'amorçage infecté par « Brain » vers la zone du
disque où se trouve le secteur d'amorçage d'origine. Par la suite, les virus « Number
of the Beast » et « Frodo » ont usé du même stratagème.
Pour s’assurer qu'aucun virus n’a falsifié les résultats, une règle d'or : il est
impératif de garder une copie saine et fiable de l'original1 afin de disposer d'un
système « sain ». Avant toute recherche de virus, il convient d'installer le système à
partir de la copie originale, de démarrer le système à partir des disquettes DoS ou
CD ROM Windows originaux et d’utiliser uniquement les utilitaires provenant de
ces disquettes ou CDROM.
Les virus polymorphes cryptent ou modifient le code qui les compose à chaque
fois qu'ils se reproduisent : aucune copie d'un virus ne ressemble aux autres. La
plupart des systèmes de détection de virus sont mis en échec par ce genre de virus,
car ils se réfèrent à une base de signatures de virus connus.
L'auto-cryptage à clé variable est une méthode qui permet de leurrer les antivirus
se réfèrant à une base de signatures de virus connus2, dont le code de cryptage est
toujours le même et qui peuvent être utilisés comme signature de virus même par les
antivirus les plus simples (excepté si un autre virus ou programme utilise la même
routine de cryptage).
En théorie, n’importe quel virus peut alors changer de look. Le principe est assez
simple : on utilise les appels au code source assembleur et, à l’aide d’un générateur
de nombres aléatoires, on les relie aux modules du moteur de mutation. De ce fait,
les résultats après transformation seront aléatoires rendant, du même coup, le virus
méconnaissable. Parfois, la détection s’avère assez difficile car l'ajout à des
programmes antivirus simples de chaînes de recherche de plus en plus nombreuses
n’est guère une méthode adéquate.
automatique d'un fichier toutes les minutes ou la saisie d'informations dans des
formulaires.
Les virus macros sont les virus les plus fréquents à l'heure actuelle. Ce sont des
macrocommandes particulières qui se reproduisent d'elles-mêmes au sein des
fichiers de données générés par des applications telles que Microsoft Word ou
Excel. La plupart des virus macros ont pour cibles les documents Word. Lorsqu'un
fichier contenant une macro infectée est ouvert, le virus se recopie automatiquement
dans le modèle global de Word (le fichier NORMAL.DOT) grâce à des fonctions
exécutées dès le chargement du document. Le virus peut alors infecter d'autres
fichiers Word. Tous les documents ouverts ou créés après la contamination du
modèle global se trouvent à leurs tours infectés.
Les virus macros, qui font désormais partie du document même, se répandent dès
qu'un utilisateur infecté transmet ses fichiers sur disquettes, par transfert ou dès
qu'un fichier infecté se trouve joint à un message électronique.
De nos jours, tout le monde est capable de créer son propre virus macros grâce à
Visual Basic qui utilise une syntaxe proche de l’anglais. La plupart des virus macros
n’étant que des variantes d’autres virus macros existants, des guides progressifs sont
même disponibles sur Internet qui orientent l’utilisateur malveillant durant toute la
création d’un virus macro pour Word.
Word et Excel, et leur structure est très différente de celles des fichiers exécutables
ou des secteurs d'amorçage.
De plus, à cause du grand nombre de variantes des virus macros, les techniques
habituelles basées sur la recherche et la comparaison de codes particuliers s'avèrent
insuffisantes pour assurer une protection optimale.
Pour se protéger contre les virus macros, les utilisateurs personnels doivent faire
l'acquisition de nouveaux antivirus capables de détecter les fichiers macros dans
Word et Excel.
Toutes les applications Microsoft sont liées les unes aux autres par leur langage
de programmation Visual Basic et son dérivé VB script. Ce fait a poussé certains à
écrire des virus macros en utilisant les mêmes logiciels. Le plus célèbre, I LoveYou,
est écrit en VB Script. Une fois en contact avec Outlook, logiciel de gestion de
courrier électronique de l'ensemble Office, il lui commande d'envoyer une copie du
message auquel il est attaché à chacune des adresses du répertoire.
Melissa, célèbre par ses ravages en 2002, lui, attaque les fonctions
d'automatisation du traitement de texte Word. D'autres virus se sont transmis via le
tableur Microsoft Excel.
Il est important de savoir aussi qu'il n'y a que les fichiers actifs qui peuvent
contenir des virus. C'est pour cette raison qu'il est parfois difficile, voire impossible,
de trouver des virus dans les fichiers passifs tels que des images, des fichiers textes
sans macro, des vidéos ou des fichiers audio.
Les vers de réseau sont constitués de plusieurs segments, tournant chacun sur
une machine différente. Le réseau constitue alors un support de communication et de
propagation. Certains vers possèdent un segment principal qui coordonne les actions
des autres segments ou sous-segments. Ce type de vers est appelé « pieuvres », par
analogie avec cet animal tentaculaire.
Un hoax est un faux virus qui se présente sous la forme d’un simple message
email rédigé de telle façon que son destinataire soit tenté d’en informer ses amis ou
collègues travaillant sur le même réseau, ou de le leur transmettre croyant leur
rendre service. L’auteur du message tente ainsi saturer les serveurs de messageries
des grandes entreprises grâce à l’effet de chaîne ou d’avalanche de messages.
Les premiers hoax apparaissent au début de 1997. Les messages, dont le sujet
tourne autours des virus, contiennent un texte du type : « Attention, si vous recevez
un message intitulé AOL4FREE, ne l’ouvrez pas, cela entraînera la destruction de
votre disque dur, envoyez ce message à tous ceux que vous connaissez afin de les
prévenir. »
Le pot aux roses découvert, les créateurs de faux virus ont donc modifié leur
stratégie. Les nouveaux messages font désormais croire aux destinataires que s’ils
les transmettent, ils ont quelque chose à gagner. Ces messages se rapprochent plus
des messages publicitaires du type SPAM, reçu en général tous les jours dans les
boîtes de courrier électronique.
9.5.5. Le réseau
Le dernier moyen dont peut profiter un virus est une connexion réseau. Dans ce
qui suit, nous distinguons deux cas de figure.
Un virus fichier peut contaminer des exécutables qui se trouvent sur une machine
distante, via un réseau, si un partage (Windows ou NFS sous UNIX) y a été réalisé.
En fait, il ne s’agit que d’une extension de la propagation effectuée en local,
puisque, vis-à-vis de l’utilisateur, un tel partage est vu comme un simple disque
supplémentaire.
« mauvaises langues » vont même jusqu'à insinuer que ce sont les mêmes
concepteurs d’antivirus qui simulent et s’attaquent aux systèmes des utilisateurs
pour augmenter leurs revenus issus des ventes, mais aucune preuve formelle n’a été
fournie jusqu’ici.
Cependant, ces symptômes sont souvent les signes anodins du bogue d’une
application ou même du système d’exploitation.
En général, les logiciels de détection des virus opèrent sur une collection ou mini
base de données de « signatures ». En effet, les virus les plus simples comportent
tous une séquence d'instructions propre, mais parfaitement identifiable appelée
« signature ». Donc, pour détecter les virus, il suffit dès lors de reconnaître sa
signature. Il va de soi que la base de données des signatures s’élargit au fur et à
mesure que de nouveaux virus font leur apparition. Les scanners ne donnent que très
peu de fausses alarmes, mais par contre, face aux virus polymorphiques, ils sont
inefficaces.
186 La sécurité sur Internet
La mise à jour fréquente du catalogue des signatures est donc une condition
nécessaire. Ceci implique la souscription de l’utilisateur aux services du distributeur
et/ou de l’éditeur d’antivirus.
Une autre méthode existe qui a l'avantage de dispenser des mises à jour
fréquentes. Elle se base sur des algorithmes heuristiques pour détecter certaines
successions d'instructions d'un virus potentiel. Certes, la probabilité de fausses
alarmes est plus forte, mais l'efficacité est garantie, tout au moins jusqu'à l'apparition
d'une nouvelle forme générale d'attaque.
En règle générale, dès la détection des éléments infectés, les antivirus proposent
une restauration des éléments infectés tout en éliminant le virus en cause ou tout
simplement la destruction des fichiers infectés et non récupérables.
Voici quelques produits phares sur le marché avec leur adresse électronique :
– Thunderbyte Antivirus de Thunderbyte : www.thunderbyte.com
– VirusScan de chez Mc Afee : www.nai.com
– Norton AntiVirus : www.symantec.com
– Iris Antivirus Plus : www.irisav.com et www.simtel.ne
– NVS (Norman Virus Control) de chez Norman : www.norman.com.
Quel que soit le niveau de sécurité établi pour un firewall, la probabilité qu’un
virus le traverse est très grande, d’autant plus que les paquets transférés par email
peuvent être encodés de différentes manières en ASCII.
En bref, pour lutter efficacement contre les virus, le meilleur moyen est
d’associer un antivirus au système de défense mis en place, comme les firewalls et
les détecteurs d’intrusion (IDS).
Les problèmes de virus 187
Certains antivirus peuvent mettre en œuvre une vérification en temps réel des
fichiers récupérés sur le Web ou par courriers électroniques.
De même, il peut être intéressant de filtrer les fichiers téléchargés sur le Web ou
par FTP. Certains logiciels ont été conçus dans le but d’analyser un tel flux de
données au moyen du « reroutage des flux ». Il s’agit de logiciels fonctionnant
comme des serveurs proxy, utilisés en entrée comme en sortie, et analysant tout le
trafic échangé vers et en provenance de l’Internet.
Pour ce faire, on interface généralement ces logiciels antivirus avec des firewalls.
CheckPoint a inventé, par exemple, la technologie CVP (Content Vectoring
188 La sécurité sur Internet
Protocol) qui permet, entre autres, de rerouter les différents flux vers des antivirus
adaptés.
Les conseils ci-dessous ne sont sûrement pas exhaustifs, mais ils vous
permettront d’éliminer un très grand pourcentage de risques d’attaques virales de
vos systèmes.
Les scanners pour postes clients peuvent généralement être utilisés de façon
résidente, en tâche de fond. En installant et en activant ce type de logiciel, vous
évitez au moins les virus déjà recensés par l’antivirus.
L’efficacité des scanners est très largement tributaire de l’utilisation des derniers
fichiers de signatures, disponibles sur Internet. Il est par conséquent fondamental de
récupérer régulièrement ce type de fichiers, cette opération pouvant d’ailleurs être
automatisée. Veillez également à récupérer le fichier correspondant à votre pays de
résidence, car les grands éditeurs d’antivirus commercialisent des versions différentes
selon les types de virus les plus répandus dans chaque pays.
Enfin, il serait judicieux de conserver les anciens fichiers de signatures car quand
un virus n’est plus en circulation, il se peut qu’il soit supprimé des fichiers les plus
récents par l’éditeur du logiciel antivirus.
Les problèmes de virus 189
Chaque fois que vous souhaitez utiliser une disquette, même si elle provient
d’une personne de confiance, vérifiez aussitôt qu’elle ne contienne pas de virus. De
plus, lorsque vous récupérez une disquette vide mais ayant déjà été utilisée,
reformatez-la avant d’y copier des fichiers.
Pour être radical, vous devez ajouter à vos habitudes celles de ne jamais ouvrir
de messages envoyés par des personnes inconnues et de désactiver toutes les
possibilités d’exécution de contenu actif (JavaScript, VBScript, etc.) dans votre
logiciel de messagerie.
Sous Windows 2000, il existe trois niveaux de sécurité (accessibles via le menu
Outils/Macro/Sécurité). Choisissez le niveau le plus élevé, sauf si, dans certains de
vos documents, vous utilisez des macros non signées, auquel cas il est préférable
d’employer un scanner résident et de sélectionner le niveau de sécurité moyen.
effet, un virus peut, dans certaines conditions, modifier les options de Word ou
même changer les propriétés d’un fichier.
Lors de l’installation de tels logiciels, il vous est proposé de les associer par
défaut aux fichiers .DOC, ce qui permet de les lancer à la place de Word lorsqu’un
fichier de ce type est ouvert, en particulier via un attachement dans un message ou
sur un site Web, vous laissant ensuite la possibilité de l’éditer avec Word si besoin
est.
Enfin, sachez que l’idéal est de combiner le tout ou partie de ces conseils avec
l’utilisation d’un antivirus résident.
Par ailleurs, ne récupérez aucun fichier sur les sites qui proposent des logiciels
piratés. Non seulement, c’est illégal, mais vous risquez de rapatrier en même temps
un virus.
Les ordinateurs récents proposent plusieurs options qu’il peut être intéressant
d’activer dans le panneau de configuration du BIOS. Il est ainsi déconseillé de
désactiver le démarrage sur le lecteur A:\ et d’activer les protections antivirus
proposées.
De plus, et si cela est autorisé par votre entreprise, n’hésitez pas à utiliser un mot
de passe sur votre ordinateur, ceci limiterait les risques de contamination par un tiers
pendant votre absence.
De plus, il peut s’agir d’une fausse alerte. C’est pourquoi, il est généralement
conseillé d’utiliser un second antivirus si vous en employez déjà un, pour confirmer
les soupçons.
Et, à toute fin utile, mieux vaut demander l’avis d’une personne compétente, en
évitant toutefois de tirer des conclusions trop hâtives.
Il est très important d’interrompre toute activité avec un ordinateur sur lequel la
présence d’un virus est confirmée. En effet, en continuant à accéder à des fichiers ou
à lancer des programmes vous risquez de propager davantage le virus. Pire, il se peut
qu’il déclenche sa charge finale, notamment si celle-ci est programmée pour
s’activer au bout d’un certain nombre de fichiers infectés.
Si c’est votre antivirus qui a signalé la présence d’un virus, suivez ses indications
notamment en essayant de nettoyer les fichiers contaminés. Si ce n’est pas possible,
effacez ces fichiers puis restaurez-les à partir d’une sauvegarde, lorsque vous êtes
sûr que votre système ne renferme plus aucun virus (il est d’ailleurs conseillé de
refaire une analyse complète d’un système après que l’antivirus a détecté et réparé
un fichier contaminé).
Vous pouvez également consulter le site Web de l’éditeur du logiciel, pour vous
informer des actions préconisées afin d’éradiquer le virus ou le Cheval de Troie
détecté. Il faut savoir qu’en règle générale, la suppression d’un Cheval de Troie
192 La sécurité sur Internet
nécessite une procédure précise que l’antivirus n’est pas capable d’effectuer lui-
même.
Enfin n’hésitez pas à utiliser les services de support technique mis en place par
l’éditeur du logiciel antivirus si vous en avez la possibilité afin d’obtenir davantage
d’informations.
Résumé du chapitre 9
Les recommandations qui terminent ce chapitre ont pour but d’aider les
gestionnaires à se protéger contre les virus. Cependant en dehors de la possession
d’antivirus, une vigilance accrue, une mise à jour des connaissances et une
surveillance sans relâche ne pourront être que profitables pour l’intégrité des
systèmes et des réseaux.
Malgré le progrès qu’a connu cette technologie, le pouvoir des virus reste limité
face à certaines situations :
– les virus ne peuvent pas infecter les fichiers placés sur des disques protégés en
écriture et ne s’attaquent pas aux documents, à l’exception des virus de macros
Word, qui s’attaquent aux documents et aux modèles créés sous Word ;
– ils n’infectent pas les fichiers compressés. Cependant, l’infection des
applications au sein d’une archive compressée peut précéder leur compression ;
– les virus sont incapables de s’attaquer à votre matériel (moniteurs, claviers,
composants électroniques, etc.) : seuls les logiciels en sont victimes ;
– les virus sur Macintosh ne peuvent rien contre les ordinateurs PC, et vice-
versa. La seule exception, là encore, porte sur les virus de macros Word et Excel,
Les problèmes de virus 193
qui s’attaquent aux feuilles de calcul, aux documents et aux modèles communs à
Windows et à Mac OS ;
– l’impact des virus sous UNIX (et sous Windows NT) est réduit car l’accès aux
fichiers peut être rigoureusement contrôlé. Il est possible de placer des limitations
d’accès sur un fichier afin de sélectionner les utilisateurs.
A l’image des virus qui affectent le corps humain, les programmes virus sont des
vrais fléaux pour les systèmes et les réseaux. La prévention et la vigilance sont donc
de rigueur.
Chapitre 10
se faire même livrer la commande à une poste restante, puis, une fois la marchandise
récupérée, fermer la boîte postale. Le cas suivant concerne un pirate travaillant dans
la même entreprise que sa victime. Il tente de se procurer les informations bancaires
de la victime via sa carte de crédit, afin de réaliser des transactions on-line.
Pour concevoir un faux email, le pirate utilise, par exemple, l’outil Avalanche
(Figure 10.1) et pour enregistrer les caractères rentrés par la victime, il se sert de la
fonction « KeyLogger » inclus dans BackOrifice (Figure 10.2).
Cette faille Unicode est présente sur les serveurs Web Microsoft IIS (Internet
Information Service). Les systèmes vulnérables sont essentiellement Microsoft IIS
4.0 et Microsoft IIS 5.0. La faille Unicode est extrêmement facile à exploiter et
permet d’attaquer des serveurs Web Microsoft IIS.
Pour exploiter cette faille, le pirate tente d’accéder au fichier cmd.exe qui, sur un
serveur NT situé dans le répertoire c:\winnt\system32. Le fichier cmd.exe permet
d’exécuter les mêmes commandes lorsqu’on est en mode MS-DoS (en jargon : sous
DoS), c’est-à-dire que l’utilisateur peut, à sa convenance, créer ou supprimer un
répertoire, copier un fichier, etc.
Enfin, si le serveur IIS cible est réellement vulnérable à ces commandes, on doit
avoir un listing du répertoire c:\, comme indiqué dans la figure ci-après.
200 La sécurité sur Internet
Il existe aussi des patchs pour les versions qui présentent cette faille d’Unicode,
par exemple :
► On
choisit le fichier de type HTML contenant la page entière qu’on souhaite
modifier (ou seulement le texte ou les images de la page) ;
► On télécharge le fichier sur l’ordinateur ;
► On effectue les modifications à sa convenance ;
► On « upload » enfin le fichier modifié sur le serveur (on remonte le fichier
modifié vers le serveur, le fichier contenant la page d’accueil par exemple).
Pour communiquer directement, les applications basées sur NetBios utilisent des
noms de machines, comme Serveur2, Station3, etc. Par exemple, il est possible sur
une machine Windows d’utiliser la commande Net View \\Machine pour consulter
la liste des ressources d’un serveur ou de parcourir le réseau à l’aide de l’explorateur
ou du gestionnaire de fichiers.
Les étapes suivantes décrivent la réalisation de ce type d’attaque par le biais des
commandes DoS. Néanmoins, ce type d’attaque peut être réalisé aussi d’une façon
plus simple avec l’outil xSharez. Cet outil, très efficace, présente une interface
graphique conviviale. Il est téléchargeable à partir du site http://www.download.com.
Etape 1 :
Se mettre sous le prompt de DoS et taper la commande : C:\nbtstat –A
Adresse_ip_Cible
Etape 2 :
Editer le fichier lmhost en tapant la ligne edit lmhost, puis taper les commandes :
Adresse_ip_Cible nom_de_l’ordinateur # PRE
Ensuite enregistrer le fichier lmhost.
Etape 3 :
Taper la commande : nbtstat –R.
On obtient alors : « Successful purge and preload of the NBT Remote Cache
Name Table »
Etape 4 :
Entrer ensuite la commande : net view \\nom_de_l’ordinateur_cible. Pour notre
cas : C:\net view \\DG_serveur. On obtient alors l’inventaire des ressources
partagées (a,c,d,e,…).
Cette commande net view sert à détecter et voir les ressources partagées d’un
ordinateur.
204 La sécurité sur Internet
Etape 5 :
Entrer ensuite : net use \\nom_de_l’ordinateur_cible\X \\X étant la lettre de la
partie à laquelle on veut accéder. Pour accéder par exemple au répertoire c,
remplacer le X par c$.
A titre d’exemple, nous présentons étape par étape, les écrans générés par
xSharez, suite à une attaque de NetBios d’un ordinateur.
Ecran 1 : Une fois l’adresse IP de l’ordinateur cible fournie, xShares cherche les
répertoires et fichiers partagés de cet ordinateur et les affiche.
Les scénarios d’attaques 205
Il peut télécharger, modifier, consulter, uploader des fichiers des répertoires qui ne
lui appartiennent pas.
NetBios étant un service qui utilise les ports 137 et 139, la meilleure défense
contre ce type d’attaque est de situer le blocage au niveau des firewalls de tout
paquet entrant ou sortant dont le port source ou destination est entre 137 et 139.
Les cartes de réseau peuvent entrer dans un état appelé « promiscuous mode » où
elles sont autorisées à examiner les trames destinées aux adresses MAC autres que les
leurs. Sur les réseaux commutés, cela ne pose pas de problème car le commutateur
conduit les trames basées sur la table décrite ci-dessus. Ceci empêche en effet le sniffing
des trames. Cependant, en utilisant l’attaque de la corruption ARP (ARP poisoning), le
sniffing peut être exécuté de plusieurs manières sur un réseau commuté.
L’inondation MAC (MAC flooding) est une autre méthode de sniffing sur un
réseau commuté. L’envoi de réponses ARP spoofed (Spoofed ARP replies) vers un
commutateur à une vitesse extrêmement rapide engorgera la table du Port/MAC du
commutateur. Les résultats changent selon la marque, mais quelques commutateurs
se changeront en mode de diffusion (Broadcast) à ce moment. Le sniffing peut alors
être exécuté.
La mise à jour des caches ARP (ARP caches) avec des adresses MAC
inexistantes causera la perte des trames. Celles-ci ont pu être envoyées avec un
mode rapide à tous les clients sur le réseau afin de causer une attaque de déni de
service. C’est également un effet secondaire des attaques de post-MiM, puisque les
ordinateurs visés continueront à envoyer des trames aux adresses MAC de
l’attaquant même après qu’ils s’effacent du chemin de communication. Pour
effectuer une attaque propre de MiM, les ordinateurs cibles devraient avoir les
entrées originales d’ARP restaurées par l’ordinateur attaquant.
Les adresses MAC ont été prévues pour être uniques pour chaque interface de
réseau produite. Elles devaient être gravées dans la ROM de chaque interface, et ne
souffraient aucun changement. De nos jours, les adresses MAC sont facilement
changeables. Les utilisateurs de Linux peuvent même changer leur MAC sans
logiciel de spoofing, en utilisant un paramètre simple dans « ifconfig », le
programme de configuration d’interface pour le système d’exploitation. Un pirate
qui a pu attaquer un ordinateur par déni de service, pourrait assigner, par la suite,
l’IP et le MAC de cet ordinateur cible, recevant ainsi toutes les trames prévues
(destinées à l’ordinateur cible).
ARPoison :
ARPoison est un outil pour UNIX qui crée des réponses ARP spoofed (Spoofed
ARP replies). Les utilisateurs peuvent indiquer la source et la destination des
adresses IP/MAC. Cet outil est téléchargeable à partir du site :
http://packetstormsecurity.org/.
Ettercap :
Ettercap est un programme puissant pour UNIX utilisant une interface utilisateur
graphique, GUI, assez facile à utiliser. Toutes les opérations sont automatisées, et les
ordinateurs cibles sont choisis à partir d’une liste scrollable de machines détectées
sur le LAN. Ettercap peut exécuter trois méthodes de sniffing : IP, MAC, et ARP. Il
automatise également les procédures suivantes :
– Injection de caractères dans les connexions
Les scénarios d’attaques 211
Parasite :
Parasite est un programme qui observe un LAN pour des demandes ARP (ARP
request), et envoie automatiquement des réponses ARP spoofed (Spoofed ARP
reply), ce qui place l’ordinateur attaquant comme MiM pour n’importe quel
ordinateur qui énonce des demandes ARP (ARP request). Ceci a pour conséquence
de favoriser une attaque MiM sur toutes les machines du LAN et toutes les données
sur le commutateur peuvent être aspirées (sniffed).
Une fois arrêté, Parasite ne fait pas le nettoyage approprié. Ce qui a pour
conséquence un déni de service de tous les ordinateurs contaminés car leurs caches
ARP (ARP cache) pointent sur une adresse MAC qui n’est plus expéditeur de leurs
trames. Les entrées ARP empoisonnées dans la cache ARP (ARP cache) doivent
expirer avant que l'opération normale ne puisse reprendre.
Pour empêcher le spoofing, les tables ARP devraient, pour chaque machine sur le
réseau, avoir une entrée statique. Les conséquences en sont les suivantes : le
déploiement de ces tables et leur mise à jour sont des tâches non pratiques pour la
plupart des LANs. En outre on note parfois le comportement bizarre des itinéraires
statiques sous Windows. Les essais ont montré que Windows accepte toujours les
réponses ARP spoofed (spoofed ARP replies) et met à jour l’entrée statique avec le
MAC forgé, sabotant le but des itinéraires statiques.
Le clonage de MAC (MAC cloning) peut être empêché par un dispositif trouvé
sur les commutateurs appelé Port Security (également connu sous le nom de Port
Binding ou MAC Binding). Port Security empêche des changements aux tables de
MAC d’un commutateur, à moins qu’il soit exécuté manuellement par un
212 La sécurité sur Internet
administrateur réseau. Il n’est cependant pas pratique pour les grands réseaux, ou les
réseaux employant des serveurs DHCP1. Port Security n’empêche pas l’ARP
spoofing.
Hormis ces deux méthodes, la meilleure parade est la détection. L’Arpwatch est
un programme libre d’UNIX qui écoute des réponses d’ARP (ARP replies) sur un
réseau. Il construit une table des associations d’IP/MAC et la stocke dans un fichier.
Quand l’adresse MAC liée à un IP change (désigné sous le nom flip-flop), un email
est envoyé à un administrateur.
Les essais ont montré aussi que l’exécution de l’outil Parasite sur un réseau
cause plusieurs flip-flop, laissant le MAC de l’attaquant présent dans les emails
d’Arpwatch. Ettercap a causé plusieurs flip-flop, mais il serait difficile de détecter
où, sur un réseau avec DHCP, les flip-flop se produisent à intervalles réguliers.
Il est important de se rappeler que les systèmes d’exploitation ont leurs propres
piles de TCP/IP, et les cartes Ethernet ont leurs propres pilotes (drivers), chacun
avec leurs propres caprices. Même les différentes versions du même système
d’exploitation ont des comportements variables.
Un agresseur situé dans un réseau peut lire les emails (reçus et/ou envoyés) de
tous les utilisateurs, notamment ceux de ses collègues connectés au même réseau.
Pour réaliser cette attaque, il suffit d’installer un sniffer permettant la capture des
paquets selon des critères de filtrage définis par l’utilisateur. Dans notre cas,
l’agresseur définit donc des filtres de telle sorte que le sniffer capture seulement les
paquets dont le port source ou destination est égal à 25. En principe, tout trafic
utilisant le port 25 est un trafic correspondant à des emails2. Puisque les données
dans les emails sont en général non cryptées, l’agresseur peut alors facilement lire le
contenu des emails traversant le réseau.
Figure 10.5. La lecture des emails des collègues avec le sniffer CommView
La détection des agresseurs utilisant des sniffers dans un réseau est une tache très
difficile. Les antisniffers ne sont pas toujours fiables. Par conséquent, les
administrateurs des réseaux trouvent des difficultés à protéger leurs utilisateurs des
agresseurs qui utilisent les sniffers pour les espionner.
Un agresseur situé dans un réseau peut identifier les adresses des sites Web
visités par tous les utilisateurs (par exemples : ses collègues) situés dans le même
214 La sécurité sur Internet
réseau. Pour réaliser cette attaque, il suffit d’installer un sniffer permettant la capture
des paquets selon des critères de filtrage définis par l’utilisateur. Dans notre cas,
l’agresseur défini donc des filtres de telle sorte que le sniffer capture seulement les
paquets dont le port source ou destination est égal à 80. En principe, tout trafic
utilisant le port 80 est un trafic correspondant à des activités Web (service HTTP,
voir chapitre 2).
Un agresseur peut utiliser un sniffer de mots de passe pour capturer tous les
paquets contenant des mots de passe et accéder à des serveurs. Il suffit de lancer de tels
sniffers, des heures, voire des jours entiers, afin d’obtenir quelques mots de passe.
WinSniffer (www.winsniffer.com) et Ace Password Sniffer (www.effetech.com), Figure
10.7, sont des exemples de sniffers spécialisés dans la capture des mots de passe.
Les scénarios d’attaques 215
A la suite des attaques des avions suicides du 11 septembre 2001, tout le monde
a été secoué, mais le monde aéronautique a été le plus ébranlé. Dans les grands
aéroports, les mesures de sécurité ont été renforcées : contrôle renforcé dans les
aéroports, celui des passagers, des bagages, renforcement de la porte séparant la
cabine de pilotage du reste de l’avion…
Néanmoins, les liaisons Air-Sol n’ont pas encore bénéficié des mesures
appropriées. Il est de notre devoir de signaler le phénomène potentiel de piratage et
de falsification des données transmises automatiquement du sol au pilote ainsi que
les transmissions orales. En effet, bon nombre d’avions sont équipés d’un système
de transmission automatique de données nommé ACARS3, système de
communication Air/sol utilisant le réseau de télécommunication de la SITA4. Le
protocole utilisé ainsi que des messages normalisés sont issus des comités AEEC5 et
de EUROCAE6, l’organisation européenne pour l’équipement de l’aviation civile.
On peut même stocker les messages pour les analyser par la suite.
Ayant connaissance des messages et des canaux émis, le pirate peut envoyer de
fausses informations ATIS/DCL ou des canulars créant une panique à bord. Un cas
extrême avec la réception et/ou la prise de connaissance des informations
Résumé du chapitre 10
Plusieurs cas et exemples pratiques ont été présentés dans ce chapitre pour
illustrer les attaques et risques potentiels contre les entreprises. De l’attaque pour
l’obtention des renseignements bancaires jusqu’aux risques de falsification des
messages avioniques (télécommunication air-sol) en passant par les attaques de
Netbios, le panorama est certes large mais sûrement incomplet, compte tenu de
l’imagination débordante des pirates.
11.1. Introduction
Cette zone appelée parfois aussi « No man’s land », serait celle du contrôle et de
la protection d’accès aux systèmes et réseau interne contre toutes les tentatives
d’intrusions. Le but est bien évident : ajouter une zone ou une couche
supplémentaire pour la sécurité.
220 La sécurité sur Internet
Les outils de filtrage de paquet servent à filtrer le trafic entrant et sortant de votre
PC. Kerio Personal Firewall1 et ZoneAlarm2 sont d’excellents produits pour filtrer
les paquets selon des règles de filtrage définies en général par l’utilisateur.
Par exemple, pour des raisons de sécurité, on ne voudrait pas qu’une autre
machine « ping » notre PC pour savoir si on est connecté ou non au réseau local ou à
Internet.
On peut alors définir une règle de filtrage indiquant à notre outil de filtrage de
paquet que tous les paquets ICMP echo request (Type = 8) doivent être bloqués3. Les
figures suivantes montrent comment, avec Kerio Personal Firewall, l’utilisateur définit
une règle de filtrage des paquets echo request pour bloquer toutes les tentatives de
ping.
1 www.kerio.com.
2 www.zonelabs.com.
3 Voir chapitre 2.
Les solutions de sécurisation 221
Ecran 3 : cet écran montre la liste des règles de filtrage définies par l’utilisateur.
Si son PC est utilisé par d’autres personnes, l’utilisateur peut cacher ses propres
fichiers et répertoires. Ainsi, même si quelqu’un ouvre ce PC, il ne voit ni les
fichiers ni les répertoires. MagicFolder4 est un excellent outil pour cacher et crypter
fichiers et répertoires.
4 www.pc-magic.com.
Les solutions de sécurisation 223
Refuser de partager ses ressources n’est pas une preuve d’égoïsme. Mais, s’il est
inévitable, ne pas savoir inhiber le partage est une source de problème. En effet, à
part les ordinateurs qui joueront le rôle de serveurs de fichiers, de disques durs ou
des imprimantes, partager les ressources avec les autres n’est pas la raison d’être des
PC individuels. La désactivation de ce processus est souvent la meilleure parade qui
consiste à bloquer la possibilité pour une machine d’être un serveur d’accès réseau à
distance. La procédure suivante est valable pour Windows 2000 :
Bon nombre de pages Web contiennent des contrôles de type d’ActiveX. Donc la
solution consiste à les désactiver à l’entrée pour protéger les ordinateurs. En voici la
procédure :
► se positionner sur l’icône de l’Internet Explorer et cliquer sur le bouton droit
de la souris ;
► cliquer sur « Propriété »;
► choisir l’onglet « Sécurité » de la fenêtre « Propriétés de Internet » ;
► cliquer sur « Personnaliser le niveau » pour accéder à « Paramètre de sécurité »
► rechercher la rubrique « Contrôles ActiveX et les Plugins » ; puis rechercher la
sous rubrique « Exécuter les contrôles ActiveX »
► Choisir l’option « Approuvé par l’Administrateur » ou « Demander » ; et
enfin, rechercher la sous rubrique « Télécharger les contrôles ActiveX non signés »,
► Choisir « Désactiver » ;
► Cliquer enfin sur le bouton OK en bas de la fenêtre pour confirmer et quitter.
Les solutions de sécurisation 225
Il est à noter que pour les actions décrites précédemment, le système pose la
question suivante « êtes-vous sûr de remplacer les paramètres sécurité de cette
zone ?». Il suffit de répondre par OUI.
226 La sécurité sur Internet
Bastion
Internet
Routeur
intérieur/ Réseau périphérique
extérieur
Firewall
Réseau interne
Architecture avec :
– un bastion6 / hôte, fournissant tous les services
– -un routeur externe et un autre interne fusionnés
Avantage : rapidité de circulation des flux car sans conflit entre les routeurs.
6 Un bastion est un élément constituant du réseau. C'est le premier élément de contact avec
l'extérieur. Un bastion simple pourrait être un simple PC équipé, par exemple, de quelques
logiciels de filtrage.
Les solutions de sécurisation 227
2e type d’architecture
Hôte
unique
Internet
Routeur
extérieur
Réseau périphérique
Routeur
Firewall intérieur
Réseau interne
Architecture avec :
– un bastion / hôte, fournissant divers services : FTP, Telnet, SMTP...
– un routeur externe reliant à Internet
– un routeur interne reliant le réseau interne de l’entreprise.
Inconvénient : le bastion pourrait être trop chargé. Une fois en panne, il n’y a
plus de services : FTP, Telnet, SMTP....
228 La sécurité sur Internet
3e type d’architecture
Hôte Hôte
FTP/WWW SMTP/DNS
Internet
Routeur
extérieur
Réseau périphérique
Routeur
Firewall intérieur
Réseau interne
Architecture avec :
– 2 bastions / hôtes, partageant les services fournissant divers services : FTP,
Telnet, SMTP... Avec l’avantage que les requêtes de nos utilisateurs internes ne
seront pas ralenties
– un routeur externe reliant à l’Internet,
– un routeur interne reliant le réseau interne de l’entreprise.
4e type d’architecture :
Architecture avec :
– fusion du bastion et du routeur extérieur : un bastion / hôte, fournissant tous les
services, y compris celui jouant le rôle de routeur extérieur,
– un routeur interne.
In tern et
B a s tio n /
ro u te ur e xté rie ur
R ése a u p ér ip hé riq u e
R o u te ur in tér ie ur
F irew a ll
R ése a u in ter ne
5e type d’architecture
AAttention:
ttention:
nous
nous déconseillons
déconseillons
cette
cette configuration
configuration
Internet
R outeur extérieur
R éseau périphérique
R éseau périphérique
B astion/
routeur intérieur
Firew all
R éseau interne
Architecture avec :
– d’un bastion / hôte, fournissant tous les services, y compris celui jouant le rôle
de routeur intérieur
– d’un routeur externe
6e type d’architecture
Attention:
Attention:
nous
nous déconseillons
déconseillons
cette
cette configuration
configuration
Internet
Réseau périphérique
Routeurs
Firewall intérieurs
Réseau interne
L’utilisation de plusieurs routeurs internes est nécessitée par les réseaux internes
nombreux pour des raisons techniques, organisationnelles, politiques ou historiques.
Les solutions de sécurisation 231
7e type d’architecture
Internet Bastion
Routeur extérieur
Réseau périphérique
Routeur interne
Firewall
Réseau interne A Réseau interne B
Architecture avec :
– un bastion fournissant tous les services,
– un routeur externe,
– un seul routeur interne, mais envoyant les informations à plusieurs réseaux
internes.
Ce cas est plus intéressant que le précédent car un seul routeur interne ne connaît
pas de conflit.
Inconvénient : réel problème en cas de panne.
232 La sécurité sur Internet
8e type d’architecture
Internet Bastion
Routeur extérieur
Réseau périphérique
Routeur intérieur
Firewall
Dorsale
Routeur Routeur
Réseau interne A Réseau interne B
Architecture avec :
– un bastion fournissant tous les services,
– deux routeurs externes,
– un seul routeur interne.
9e type d’architecture
Internet Réseau du
Bastion fournisseur
Routeur Routeur
extérieur A extérieur B
Réseau périphérique
Routeur intérieur
Firewall
Réseau intérieur
Architecture avec :
– deux bastions fournissant des services différents,
– deux routeurs externes,
– deux routeurs internes.
Fournisseur
Internet
Routeur Routeur
extérieur A extérieur B
Le management par simulation des auto-attaques semble un peu osé mais c’est
un bon moyen pour tester la défense de son réseau et de ses systèmes. Le
responsable réseau ou l’Administrateur, avec l’autorisation de la Direction générale,
devrait simuler des intrusions et des attaques, et essayer, à titre préventif, de percer
les mots de passe des utilisateurs. Pour réaliser ces tâches, il devrait posséder :
– une machine puissante ;
– un logiciel de test d’intrusion et d’attaque7 ou charger une entreprise
spécialisée dans les tests d’intrusion et de détection de vulnérabilités dans les
systèmes et les réseaux ;
– un fichier de dictionnaire contenant plus de 50.000 mots utilisés par les
logiciels de craquage des mots de passe.
D’autre part, il devrait aussi sniffer et auditer son réseau avec des logiciels dédiés
à ces tâches.
Dès qu'ils possèdent un contrôle d'accès à la salle des ordinateurs ou qu’ils ont
des procédures de sauvegarde des fichiers, de nombreux responsables considèrent
que leur entreprise possède un plan de sécurité et est protégée contre le piratage. Ce
qui est très insuffisant !
Cette phase est importante, compte tenu des éléments selon lesquelles l’on
détermine le budget concernant la protection et la prévention nécessaire.
Résumé du chapitre 11
Ouvrages :
Sécurité des Réseaux, trad. de M. Kaeo, Edition Campus Presse, Paris, 2000.
Hacker attaque, trad. de R. Mansfied, Edition Sybex, Paris, 2001.
Hacking Attention, traduction d’Eric Cole, Edition Campus Press Paris, 2001.
Chatelain Y. et Roche L, Hacker, le 5ème pouvoir, Edition Maxima, Paris, 2002.
Larcher .E., Internet Sécurité, Edition Eyrolles, Paris 2000.
Lucas J.-L., Une architecture Internet pour le système d’information de France
télécom, Edition Eyrolles, 2002.
Ly Henri, Audit informatique, Edition des organisations, Paris, 1991.
TCP/IP, Traduction de J. Casad, Edition Campus Presse, Paris, 2001.
Scambray. J, McLure S., Kurtz G, Halte aux hackers, Edition OEM, Paris, 2001.
Walton G., Le bouclier d’or, Québec, Canada, 2001.
Revues :
2600 : célèbre magazine de piratage, publié aux Etats-Unis, www.2600.com.
Hackers Voice (La voix du pirate informatique) : magazine de piratage, publié en
France, www.dmpfrance.com.
ZATAZ : Hackers & Pirates Magazine, publié en France, www.zataz.com.
Information Security Magazine : www.infosecuritymag.com.
MISCMAG magazine : www.miscmag.com.
Annexe
Références, outils et sites Web
Les sites Internet présentés ci-après sont ceux-là même où les pirates puisent
tous les outils pour commettre leurs forfaits. Pour les responsables de la sécurité
informatique, ils offrent des informations et des outils concernant la sécurité des
réseaux et des systèmes d’informations.
L’utilisation de ces informations et de ces outils et les conséquences qui
pourraient en découler sont sous la responsabilité du lecteur.
Advanced HTTP Packet Sniffer. Un sniffer des services utilisant le protocole http,
tel que le Web : http://www.link-rank.com
BackOrifice 2000. Virus de type « Cheval de Troie », une fois installé dans une
machine victime, il permet le contrôle total à distance de la machine :
http:/www.bo2k.com
Cheops. Permet de dresser une carte d’un réseau :
http:/www.marko.net/cheops/
Covert TCP. Cache les données dans les paquets TCP :
http://packetstorm.Securify.com
CPU Hog. Réalise une attaque de Déni de service (DoS) :
http://206.170.197.5/hacking/DENIALOFSERVICE/
Crack : craque des mots de passe pour Unix :
ftp://cerias.cs.purdue.edu/pub/Tools/unix/crack
Dsniff. Sniffer avancé : http://www.monkey.org/-dugsong/dsniff
Firewalk : détermine les règles de filtrages d’un Firewall :
http:// packetstorm.securify.com/UNIX/audit/firemalk
240 La sécurité sur Internet
► «Mailing Lists»
Les «Mailing Lists» sont des listes génériques et fort utiles qui vous informent sur les
nouveautés en matière de sécurité informatique et de piratages récemment découverts.
Vous pouvez s’inscrire à ces «mailing Lists» et recevoir automatiquement ces
informations. Exemples de ces «mailing Lists» :
Ntsecurity.net ; Alert ; BugTraq ; Cert ; FreeBSD Hackers Digest ; Happy Hackers
Digest ; Linux Security ; Linux Admin ; NTBugTraq ; NT FAQ
► Scanners on-line :
Ces sites offrent un scannage automatique des systèmes et une grande variété
d’informations relatives à la sécurité.
ISS Online Vulnerability Scanner : http://www.dateline.epatrol.com/
Symantec Security Check (Risks, Virus and Trojans) :
http://security1.norton.com/
Privacy Analysis of your Internet Connection :
http://privacy.net/analyze/analyzehow.asp
Zdnet Online Network, Virus and Trojan Scan :
http://security1.norton.com/common/1033/zd/zd_intro.asp
Quick Inspector for the Web : http://security.shavlik.com
Hacker Whacker : http://www.hackerwhacker.com
Sygate Scan : http://scan.sygatetech.com/
242 La sécurité sur Internet
► Sites de sécurité
Ces sites contiennent des outils de sécurité, ainsi que des documents et des
conseils. Il est important de noter que parmi ces sites, il existe ceux qui contiennent
des informations de type offensif.
http://www.Allhack.com
http://www.Alw.nih.gov.
http://www.Anticode.com
http://www.Astalavista.com
http://www.Bugtraq.com
http://www.CERIAS.CS.PURDUE.EDU
http://www.Cert.org
http://www.CIAC.LLNL.GOV
http://www.Cultdeadcow.com
http://www.Deny.de
http://www.Elitehackers.com
http://www.ENSLAVER.COM
http://www.Firosoft.com/security/philez
http://www.First.org
http://www.ftp.cert.dfn.de
http://www.ftp.nec.com
http://www.ftp.porcupine.org
http://www.ftp.win.tue.nl
http://www.Geek-speak.net
http://www.Hack.co.za
http://www.Hackernews.com
http://www.Hackersclub.com
http://www.Infosyssec.net
http://www.Infowar.co.uk
http://www.Insecure.org
http://www.L0pht.com
http://www.Net.tamu.edu
http://www.Neworder.box.sk
http://www.Ntobjectives.com
http://www.Packetstorm. Securify.com
http://www.Phrack.com
http://www.Porcupine.org
http://www.Rogenic.com
Annexe 243
http://www.Rootshell.com
http://www.SANS.ORG
http://www.Securiteam.com
http://www.Securityfocus.com
http://www.Securitysearch.net
http://www.Sysinterals.com
http://www.Technotronic.com
http://www.Torus.indirect.co.uk
http://www.Ussrback.com
http://www.Warmaster.de
http://www.Whitehats.com
http://www.Wiretrip.net/rfp
http://www.-arc.com
http://www.Xforce.iss.net
► Le hacking et la sécurité :
http://www.hackingexposed.com
http://www.securityfocus.com
http://www.esecurityonline.com
http://www.securityfocus.com
http://www.cert.org
http://www.actionline.com
http://www.sinsecure.org
http://www.ntbugtraq.com
http://www.astalavista.com
http://www.zonelabs.com
http://www.hsc.f/presentations/novamedia/securite.htm
http://www.altavista.software.digital.com
http://www.ans.net/whatneed/security/interlock/interloc.htm
http://www. Cyberguard.com/ products2/frames/nt_overview.html
244 La sécurité sur Internet
http://www.trouble.org/-zen/satan/satan.html
http://www.abirnet.com
http://www.aggroup.com
http://www.L0pht.com
http://www.detect-it.com
http://www.abirnet.com
http://www.nettool.false.net
http://www.samspade.org
http://www.members.tripod.com
http://www.network-tools.com
http://www.securityspace.com
http://www.privacy.net/analyze/
► Les anti-virus :
http://www.symantec.com
http://www.mcafee.com
http://www.avp.com
Whisker : http://www.wiretrip.net
SiteScan : http://www.hackers.com/html/archive.5.html
THC Happy Brower : http://www.pimmel.com/thcfiles.php3
WWWHACK : http://www.packetstormsecurity.org
Web Cracker : http://www.packetstormsecurity.org
BRUTUS : http://www.hoobie.net/brutus
PcAnywhere : http://www.symantec.com
NetSupport : http://www.netsupport-inc.com
Virtual Network Computing : http://www.uk.research.att.com/vnc
NetBus : http://www.netbus.org
BackOrifice : http://www.bo2k.com
SubSeven : http://subseven.slak.org
Annexe 245
http://perso.wanadoo.fr/fiweb/marion.htm
http://www.cai.gouv.qc.ca/octobre1.htm
Java : http://www.javasoft.com/
Perl : http://www.perl.com/pub/language/info/software.html
http://www.onething.com/archive
RealSecure : http://www.iss.net
NetProwler : http://www.symantec.com
Secure Intrusion Detection : http://www.cisco.com
eTrust Intrusion Detection : http://www.cai.com
Network Flight Recorder : http://www.nfr.com
Dragon : http://www.enterasys.com/ids
Snort : http://www.snort.org
Lexique
Ce lexique comporte les seuls termes utilisés dans cette étude. Pour plus de détail
concernant les réseaux, se reporter aux dictionnaires spécialisés.
Applet : petit programme lancé à partir d’un navigateur vers une machine virtuelle
JAVA.
Backdoor : faille dans un système que l’on peut traduire par « port arrière », porte
dérobée ou trappe suivant l’utilisation dans des contextes différents. Elle pourrait
aussi être mise en place exprès par les constructeurs ou fournisseurs de service
afin de pouvoir accéder au système et le reprendre en main pour un dépannage
urgent et/ou à distance.
Back-up : ensemble de moyens mis en oeuvre pour sauvegarder tout le système sur
bande magnétique ou sur cassette par l'intermédiaire du Stremer (cas du micro-
ordinateur), et à restaurer ces informations en cas de besoin. Par extention, un
centre back-up est un site de secours à partir duquel on peut redémarrer
l'exploitation.
Boot strap : programme amorce. Il est intégré en mémoire morte et a pour but de
permettre le chargement du noyau du système d'exploitation (le Moniteur) à
partir d'un disque ou d'une disquette.
Canal simple : canal réservé aux disques rapides. Il n’exécute qu'un transfert entre
l'accusé du signal SIO et le traitement de l'interruption de fin d'entrée/sortie.
Lexique 249
Cible : actif d’une société ou organisation susceptible d’être visé ou atteint par un
sinistre. La cible est souvent fonction de l’attrait, de l’identité de la victime et
des vulnérabilités connues.
DHCP : signifie Dynamic Host Configuration Protocol. Il s’agit d’un protocole qui
permet à un ordinateur qui se connecte à un réseau local d’obtenir
dynamiquement et automatiquement sa configuration IP.
DNS : «Domain Name Server», les serveurs des noms de domaine qui traduisent les
noms des systèmes en adresses IP. Il existe des DNS internes à l’entreprise et
ceux externes par exemple ceux des F.A.I.
F.A.I : fournisseur d’accès Internet, désigne souvent les fournisseurs de portail. Par
exemple : Wanadoo, AOL, etc.
250 La sécurité Internet
Firewall : appelé aussi coupe-feu, pare-feu, un ensemble d'éléments dont le rôle est
de séparer, analyser, limiter les entrées et sorties indésirables. C'est un ensemble
constitué de matériel (routeurs, ponts, ordinateurs) et de logiciels appropriés. Par
abus de langage, on utilise ce mot pour désigner un logiciel seulement.
Hoax : faux virus qui se présente sous la forme d’un simple message email rédigé
de telle façon que son destinataire soit tenté d’en informer ses amis ou collègues
travaillant sur le même réseau, ou de le leur transmettre croyant leur rendre
service.
Hôte à double réseau : (« Dual homed host »), ordinateur muni d'au moins 2
interfaces permettant une double fonctionnalité.
JCL : « Job Control Language », langage de commande des tâches ou travaux avec
lesquels on exprime les ordres au système d'exploitation pour lancer des
programmes et leur mise en correspondance avec les diverses ressources.
Lexique 251
MTBF : « Mean Time Between Failures », délai moyen entre les incidents.
MTTR : « Mean Time To Repair », durée moyenne entre les réparations ou les
incidents.
Patcher : patcher un système est utilisé pour désigner modifier ou apporter une
correction du système avec des éléments apportés par l’ingénieur système ou par
le fournisseur.
SATAN : nom d’un outil d’analyse et de sécurité conçu par Dan Farmer et Weitse
Venema à l’usage des administrateurs de réseaux, de l’anglais « Security
Administrator Tool for Analyzing Networks »,.Script : séquence d’instruction
exécutée par un programme ou par des interpréteurs. Exemple : script de Java ou
pour Active X.
Script kiddies : jeunes Hackers utilisant les outils existants et connus pour changer
les pages d’accueil des sites. Par extension on nomme ces pages web « Script
kiddies pages » les pages falsifiées ou les pages d’accueil modifiées d’une
entreprise par les pirates.
SIO : « Start Input Output », signal de début d'un processus d'entrée/sortie reçu par
un canal.
Sinistre : rupture non souhaitée, dégageant des pertes potentielles par rapport à un
état antérieur considéré comme stable ou normal.
SSH : « Secure Shell », le Shell sécurisé préconisé dans l’utilisation des transactions
délicates et confidentielles employant les RPC (Remote Procedures Call) pour
éviter le piratage
SSL : «Secure Socket level», système de cryptage des données entre un navigateur et
un serveur Web.