Back Orifice

Cet article ne cite pas

suffisamment ses sources
(janvier 2022).

Si vous disposez d'ouvrages ou

d'articles de référence ou si vous
connaissez des sites web de qualité
traitant du thème abordé ici, merci
de compléter l'article en donnant les
références utiles à sa vérifiabilité et
en les liant à la section « Notes et
références »

En pratique : Quelles sources sont

attendues ? Comment ajouter mes
sources ?

Back Orifice
 Informations
DéveloppéCult of the De
par
Langues Anglais
Type Rootkit
Licence Licence publ
version 2 et l
limitée GNU v
Site web www.cultdea
(http://www.c
bo.html)
Chronologie des
versions
Back
Orifice
2000 ( )
en

Back Orifice est un logiciel client/serveur

d'administration et de prise de contrôle à
distance de machines utilisant le
système d'exploitation Windows ; il ne
s'agit pas vraiment d'un virus, mais plutôt
d'un rootkit.

Il est créé et distribué par un groupe de

hackers, Cult of the Dead Cow (cDc), en
août 1998[1]. L'auteur principal de Back
Orifice est « Sir Dystic »[2] ; et celui de
BO2K est « DilDog »[3]. Le programme est
open source sous licence GNU GPL, son
code source est disponible sur
Sourceforge[4].

Origine et cible
Son nom est inspiré par le logiciel Back
Office de la société Microsoft ainsi que
par le plaisir d'un jeu de mots
(techniquement, un métaplasme)
quelque peu grivois, « back orifice » se
traduisant par « orifice de derrière »,
autrement dit l'anus.

Le logiciel s'attache aux machines

utilisant un système d'exploitation
Windows 95/98, et NT pour BO2K[3]. Le
client peut s'exécuter sous Windows
95/98/NT et Unix (console
uniquement)[5]. Le programme est
autonome : il n'a pas besoin qu'on installe
des outils annexes.
Finalité

L'auteur (Sir Dystic) précise que « les

deux buts légitimes de BO sont la
télémaintenance et la
maintenance/surveillance [des réseaux
Microsoft] »[2].

Pour BO2K, l'auteur regrette que l'accès à

distance, chose très courante dans les
systèmes de type Unix par le ssh, ne soit
pas disponible sous Windows ; c'est
pourquoi ils ont « amélioré les
possibilités d'administration » de ces
systèmes. Il « espère que Microsoft fera
de son mieux pour s'assurer que son
système d'exploitation est suffisamment
bien conçu pour savoir gérer les
améliorations apportées »[3].

Le communiqué de presse précise que

BO2K « pourrait faire pression sur le
léviathan [NdT: Microsoft] pour qu'il
mette en place un modèle de sécurité
dans son système d'exploitation » et
qu'« en cas d'échec, leurs clients seront
vulnérables aux crackers »[3].

La finalité originale de ce logiciel est

douteuse, ses auteurs affirmant que son
utilisation a été détournée sous forme de
cheval de Troie. Toutefois, son
comportement furtif et ses
fonctionnalités spéciales (comme la
récupération de mots de passe à
distance, ou le keylogger intégré) laissent
planer le doute sur les motivations
réelles des auteurs. Il a ainsi souvent été
classé comme virus ou ver et sa
signature est fréquemment reconnue
comme dangereuse par les logiciels
antivirus.

En tout cas, il est clair qu'il s'agit d'une

attaque contre Microsoft qui utilise
l'absence de politique de sécurité[5].

Fonctionnement
La chaîne caractéristique de Back Orifice
est *!*QWTY? . Il utilise le port
31337 . On attribue ce choix au fait
qu'en Leet speak, 31337 se lit
ELEET (« élite »). Ce port est
modifiable[5].

Le client, utilisé par l'attaquant, est

configurable, modulaire et même
skinnable. Il comprend un système de
marque-page et un logger. Il peut se
connecter sur plusieurs serveurs à la
fois[6].
Le serveur comprend un accès à un shell
par telnet, un keylogger, un éditeur de
registre, un serveur HTTP, des outils pour
transférer, supprimer et installer des
fichiers/programmes à distance, un
accès au système de partage des
réseaux Microsoft, un cracker de mot de
passe (NT/95/98) et de quoi redémarrer
la machine. Il supporte les redirections
TCP, la résolution DNS et un contrôle des
processus (démarrage, arrêt, listage)[6]. Il
est aussi capable de détourner des
messages système. L'accès à tout cela
se fait en partie par une dll de 8ko
incluse dans l'exécutable[5].
Des plug-ins de chiffrement 3DES et à la
volée, de contrôle graphique (bureau
avec clavier/souris, éditeur de registre),
de support de l'UDP et de l'ICMP sont
également disponibles[6].

L'utilitaire « NOBO » permet de détecter le

trafic réseau généré par Back Orifice.
Pour supprimer BO, il suffit de supprimer
l'exécutable serveur ainsi que la clé de
base de registre associée, puis de
redémarrer[5].

Utilisation
L'installation se fait par une simple
exécution du programme
BOSERVE.EXE (122ko) : celui-ci va se
renommer en .EXE (le nom du fichier
est une espace) et ajouter le chemin de
ce programme à la clé de base de
registre
HKEY_LOCAL_MACHINE\SOFTWARE\M
icrosoft\Windows\CurrentVersio
n\RunServices . Le serveur
s'exécutera ainsi silencieusement à
chaque démarrage de la machine ; de
plus, il n'est pas visible dans la liste des
processus exécutés[5].
Le client graphique est lancé par
BOGUI.EXE et le client console par
BOCLIENT.EXE .

Commandes de base

System Info : liste les informations

système : processeur, RAM, disques
durs et partitions...
File view : affiche le contenu d'un
fichier ;
HTTP Enable : lance le serveur http
intégré ;
Process list : liste les processus en
cours d'exécution ;
 Reg list values : pour voir des clés de
base de registre ;
System dialogbox : affiche sur le
serveur un message personnalisé ;
System Passwords : pour voir tous les
mots de passe stockés sur la machine
en clair.

BO2K
Un an après BO[3], « BO2K », pour « Back
Orifice 2000 », est une évolution de BO
apportant quelques améliorations et
notamment le support de Windows NT.
Le 2000 est aussi une référence aux
produits de Microsoft (Windows 2000 et
Office 2000).

Notes et références
1. (en) « Whatis BO2K » (http://www.bo2
k.com/whatis.html)  [archive], sur
bo2k.com (consulté le 19 avril 2010)
2. (en) cDc, The Deth Vegetable,
« Running a Microsoft operating
system on a network? Our
condolences. » (http://www.cultdead
cow.com/news/back_orifice.txt)  [arc
hive], sur cultdeadcow.com,
 21 juillet 1998 (consulté le
19 avril 2010)
3. (en) cDc, The Deth Vegetable, « BO2K
Pressrelease » (http://www.bo2k.co
m/docs/bo2k_pressrelease.html)  [ar
chive], sur bo2k.com, 10 juillet 1999
(consulté le 19 avril 2010)
4. (en) « Back Orifice XP » (https://source
forge.net/projects/boxp/)  [archive],
sur SourceForge (consulté le
22 septembre 2020).
5. Jean-Claude Bellamy, « Tout ce que
vous avez voulu savoir sur Back
Orifice » (http://securinet.free.fr/ann
 exe/bo/backorifice.html)  [archive],
1998 (consulté le 19 avril 2010)
. (en) « Feature list » (http://www.bo2k.c
om/featurelist.html)  [archive], sur
bo2k.com (consulté le 19 avril 2010)

Voir aussi

Articles connexes

Cult of the Dead Cow

Liens externes

Back Orifice (http://www.cultdeadcow.

com/tools/bo.html)  [archive]
 (en) « Accueil du projet Back Orifice » (htt
ps://sourceforge.net/projects/boxp/)  [
archive], sur SourceForge.net.

Portail de la sécurité informatique

Ce document provient de
« https://fr.wikipedia.org/w/index.php?
title=Back_Orifice&oldid=191486082 ».

La dernière modification de cette page a été faite

le 28 février 2022 à 14:11. •
Le contenu est disponible sous licence CC BY-SA
4.0 sauf mention contraire.