Failles, attaques et intrusions

 

Etat de l'art du hacking "up-to-date", selon le Cert CC

L'année 2002 promet d'être mouvementée sur le terrain des atteintes à la sécurité des systèmes d'informations. Dans un rapport daté du 8 avril, la Computer Emergency Response Team, dépendant de l'institut d'ingénierie logicielle de l'université de Carnegie Mellon aux Etats-Unis, fait le point sur les orientations prises par les hackers dans leurs tentatives d'atteintes à la sécurité des systèmes d'informations. Pour élaborer sa synthèse, le centre de coordination du Cert s'appuie sur son expérience acquise depuis 1988. Nous ne reviendrons pas sur les aspects historiques et vous incitons à télécharger le document au format PDF. Celui-ci contient, en annexe, les liens nécessaires pour approfondir les thèmes des six tendances déclinées, et adopter les moyens de protection appropriés.

Tendance 1: plus vite, plus automatisé

D'après le Cert, l'automatisation et la rapidité d'éxécution ont essentiellement un impact sur quatre stades différents des attaques mais ne sont pas forcément présentes à chacun de ces niveaux. En un, il s'agit de l'étape de "scan" des victimes potentielles. Les outils utilisés à ces fins sont maintenant plus rapides et dénichent davantage de vulnérabilités. En deux, certains apparaissent capables d'exploiter la vulnérabilité dans la foulée, ce qui rend la propagation plus rapide (pour un ver, par exemple). En trois, vient la propagation elle-même, facilitée par l'enchaînement de techniques. En quatre, enfin, la gestion coordonnée de ces outils va plus loin que leur simple éxécution linéaire. Un ver-virus-cheval de Troie peut lancer une attaque de déni de service, rechercher les victimes potentielles et les compromettre en exploitant plusieurs failles. Exemple: Nimda.

Tendance 2: vers une sophistication accrue

Ici, ce sont trois caractéristiques majeures que le rapport montre du doigt. La première se résume par l'absence de régularité. Certaines techniques exploitées par les attaquants obscurcissent l'intention et la nature des outils utilisés, et les experts mettent plus de temps à les comprendre. La deuxième se traduit par un comportement dynamique, en choisissant de lancer certaines actions plutôt que d'autres soit en fonction de scénarios prédéfinis, soit complètement au hasard. La troisième s'exprime par la modularité. Non cité par le Cert, le ver Hybris qui se met à jour à l'aide de plugins en est un exemple frappant. Le centre de recherche et de veille indique qu'à l'extrême, des codes malicieux deviennent polymorphes et évoluent entre chaque étape de leur progression.

Tendance 3: plus de failles, plus vite exploitées

Le Cert CC rapporte que le nombre de failles qui lui sont rapportées double chaque année. Tous les ans également, de nouveaux types de vulnérabilités sont découverts, et l'on s'aperçoit qu'elles existent dans de nombreux outils du commerce. Or, il n'est pas rare que les hackers un peu chevronnés découvrent ces faiblesses avant que les éditeurs ne les corrigent. Comme la découverte de ces failles peut être automatisée à l'aide d'outils, ceux-ci disposent d'un temps de plus en plus court pour mettre à disposition de leurs clients les fameux correctifs.

Tendance 4: les pare-feux parent de moins en moins

Autrement dit, ils sont plus perméables selon le Cert, même s'ils n'ont pas changé entre temps. Certains protocoles ont été conçus pour les traverser, comme IPP (Internet Printing Protocol) pour les réseaux d'impression sur IP, ou WebDAV, une extension du protocole HTTP du web pour collaborer sur la publication de documents. D'autres protocoles courants ne sont pas couverts par les configuration par défaut des firewalls. Quant aux codes VBScript, Java et JavaScript, par exemple, ceux-ci viennent s'éxécuter sur l'ordinateur en passant par le web. Pour s'en prémunir, il faudrait les interdire à l'intérieur même des options de sécurité du navigateur. Mais cela restreint souvent les fonctions des sites visités par les internautes.

Tendance 5: l'asymétrie galopante = seul contre tous

Un seul serveur peut être la cible de nombreuses ressources administrées à distance par le hacker. Les PC et même les routeurs zombies sont en voie de reproduction. Avec certains outils automatisés, le hacker peut déployer très facilement les outils qu'il pilotera à distance sur un nombre croissant d'ordinateurs. L'une des conséquences est traitée au paragraphe suivant : les dénis de service distribués (DDOS). Mais il peut s'agir d'autres attaques ayant pour but de masquer une adresse IP au milieu de centaines voire de milliers devenues hostiles pour accomplir un méfait.

Tendance 6: les composants clefs d'Internet à l'index

C'est la partie la plus développée du rapport. Détournements et impacts collatéraux sur les composants d'infrastructure d'Internet sont en nette progression, avec parfois des effets inattendus. Parmi les exemples cités: dénis de service distribués, vers, serveurs de noms de domaine (DNS) et routeurs. A l'occasion de l'éxécution d'un DDOS, le pirate choisit exprès des ordinateurs reliés par liaison à haut débit (ADSL, câble...) pour lancer des attaques plus puissantes. Puis, les vers provoquent parfois des dommages collatéraux (dénis de service...) en raison de leur flux important au début de leur propagation. Les attaques de serveur de noms de domaines peuvent avoir plusieurs objectifs, comme détourner un flux de paquets IP vers une destination sous contrôle du hacker, ou même modifier les données reçues par les internautes. Quant aux routeurs, ils peuvent être détournés de leur fonction primaire afin de repérer des ressources ou de générer des attaques de déni de service. Pour en savoir plus sur ce dernier point, vous pouvez relire notre article publié en octobre dernier, basé sur un autre rapport du Cert.

Source: JDNet Solutions (11/02/2002)

 

Petit bréviaire des attaques et des failles de sécurité

Dans le monde de l'informatique, il existe au moins des millions de failles, et encore plus de manières de les exploiter. Même si certaines sont tellement particulières qu'il est difficile de les qualifier avec des termes génériques, la plupart se rangent dans des catégories précises. Cette suite de questions-réponses que vous propose JDNet Solutions ne constitue en rien un mode d'emploi visant à former de nouveaux pirates, ou à aider ceux-ci dans leurs basses besognes. C'est pourquoi le degré de précision s'arrête à de simples définitions mises en perspective. L'objectif étant de sensibiliser le lecteur aux problématiques de sécurité, et de l'assister dans sa compréhension des phénomènes les plus courants.

Faille, vulnérabilité, attaque, intrusion, exploit, incident, alerte... quelle est la différence entre tous ces termes ?

Pour commencer par le plus évident, une faille, une vulnérabilité et une brèche sont de véritables synonymes. En langage familier, l'on parle également de "trou de sécurité". Les solutions du commerce tant que les développements propriétaires n'échappent pas à la règle: il n'existe pas de système infaillible. En clair: il existe presque toujours un ou plusieurs moyens de détourner le fonctionnement "normal" d'une application.

Une fois ceci considéré, le fait de se servir d'une faille pour parvenir à détourner un système de son fonctionnement normal s'appelle un exploit. Le pirate "exploite" la vulnérabilité, sans confusion possible avec un exploit au sens de la prouesse. Il est souvent enfantin d'exploiter l'existence d'une brèche, même si la réussite de l'action peut susciter un plaisir chez l'individu. C'est d'ailleurs cette évidence, entre autres, qui fait aujourd'hui qu'un nombre croissant de jeunes inexpérimentés constituent la principale menace externe aux systèmes d'informations des entreprises. Une raison de plus de protéger ses capitaux efficacement, car la motivation de ces "boutonneux" ou "boiteux" - comme les appellent les américains - est difficilement contrôlable.

Ensuite, toutes les attaques ne sont pas des exploits. En l'absence de faille, il est parfois encore possible d'attaquer un système. L'un des exemples les plus flagrants consiste à "casser" les codes de chiffrement en mettant en oeuvre de la puissance de calcul. La pratique qui consiste à "forcer une serrure" s'appelle communément "brute force cracking" en langage de sécurité. L'intrusion dans un système, de son côté, est seulement l'un des objectifs possibles d'une attaque. Certaines attaques ont en effet pour simple but de mettre le dit système hors fonction.

Enfin, la question de l'incident intervient quand une attaque a été constatée en dehors du cadre des tests effectués par les experts en sécurité pour vérifier la présence ou l'absence de failles. A la suite d'un incident, la société spécialisée ou l'organisme chargé du support peuvent publier une alerte afin d'avertir les autres possesseurs de ce système qu'ils courent des risques auxquels ils peuvent pallier.

Pourquoi est-il parfois si facile d'exploiter des failles ?

La réutilisation du code source et de la méthodologie des exploits publiés par certains experts en sécurité ne constitue qu'un des aspects de cette simplicité. Les caractéristiques d'un système varient souvent en fonction des paramètres définis lors de son installation dans un environnement donné. Quelqu'un qui ne maîtrise pas les langages de programmation et l'architecture du système ne saura a priori que copier/coller les lignes de code et suivre pas à pas les explications données.

Il en résulte que les installations par défaut d'applications vulnérables sur des systèmes répandus représentent un élément de facilité supplémentaire, puisque le copier/coller aura davantage de chances de fonctionner. Parmi les situations types de failles évidentes à exploiter, l'on retrouve aussi l'absence de mots de passe, ou le fait que ceux-ci soient trop facile à élucider. Que dire, par exemple, de l'administrateur qui oublie de supprimer un compte de test, dont l'identifiant est "test" et le mot de passe "test"... Et pourtant, le même plaisir peut se lire sur la face du débutant qui trouve cela, que sur celle du hacker expérimenté qui résoud un problème complexe.

Les virus, les vers et les chevaux de Troie sont-ils des failles ?

Souvent, les virus et les vers, quels que soient leurs modes de réplication qui les différencient, profitent de vulnérabilités existantes pour se propager. Ce ne sont pas des failles, mais il arrive parfois qu'ils en créent de nouvelles au passage, volontairement ou non, sur les systèmes dans lesquels ils s'insèrent. En outre, les virus et les vers étant des programmes, ils peuvent eux-mêmes en transporter.

Les chevaux de Troie, en revanche, ont justement pour but d'ouvrir de nouvelles brèches appelées "backdoors" (portes de derrière). Pour éviter de reproduire un exploit à chaque intrusion dans un système, le hacker peut en installer un pour revenir quand bon lui semble et disposer de ressources en place qui lui permettent d'élargir son champ d'action.

Les vulnérabilités touchent-elles uniquement les systèmes ?

Non, pas seulement. L'être humain, lui aussi, est faillible. Lorsqu'il ne respecte pas les consignes élémentaires de sécurité, il met en danger l'intégrité du système dont il a la charge. C'est ce qui arrive, par exemple, lorsque les mots de passe sont en clair ou trop faciles à élucider. Et l'on parle également de vulnérabilité humaine quand un ver arrivant par mail se sert de la crédulité en incitant à cliquer sur la pièce jointe infectée.

N'est-ce pas ce qui arrive aussi dans le cas du "Social Engineering" (ingénierie sociale) ?

Tout à fait. L'ingénierie sociale est un ensemble de procédés utilisés par les hackers pour exploiter les vulnérabilités humaines. Un appel à la secrétaire du patron en se faisant passer pour le support technique afin de récupérer un mot de passe, et les nombreuses techniques du genre que l'on retrouve parfois dans les films d'espionnage, sont des pratiques d'ingénierie sociale. En raison de leur prolifération, il est essentiel d'implémenter une politique globale de sécurité qui tienne compte des facteurs humains et pas seulement informatisés.

Revenons à l'informatique. A quoi correspondent les attaques de déni de service (DOS) ? Pourquoi dit-on parfois qu'elles sont "distribuées" (DDOS) ?

Lorsqu'un système refuse de fonctionner, il "dénie" le service qu'il est censé rendre. Lorsqu'ils sont soumis à une attaque de déni de service, un serveur web n'affiche plus le site qu'il supporte, un serveur de messagerie ne gère plus l'envoi et la réception des messages, et un serveur d'applications ne sait plus quoi faire de ses applications. Cela arrive, par exemple, lorsque le serveur est forcé de redémarrer au lieu d'assurer la continuité du service. Cela arrive aussi lorsqu'il se bloque.

L'une des principales techniques employées pour provoquer un déni de service consiste à "flooder" (inonder en bon français) l'ordinateur cible. En recevant un flux trop important de données, celui-ci n'est plus capable de les gérer. Et en quelque sorte, il fait la grève. Pour augmenter ce flux, le pirate peut commander à plusieurs machines synchronisées entre elles d'envoyer simultanément des données. Et l'on parle alors de déni de service distribué.

Certaines attaques de DOS ou de DDOS ont pour seul objectif de provoquer la panne. Mais d'autres visent à profiter de cette panne pour faciliter l'intrusion, lorsque les systèmes de sécurité installés sont aussi touchés ou qu'une brèche s'ouvre à un instant donné.

Qu'est-ce qu'un "buffer overflow" ? Ce terme est-il synonyme d'un "buffer overrun" ?

Ces deux techniques d'attaque sont différentes, mais ont pour même objet la mémoire tampon, ou le "buffer". Le logiciel se sert de celle-ci pour stocker en mémoire, à un espace réservé, les données en cours de traitement. A partir de là, et connaissant l'adresse en mémoire vive (RAM) de cette mémoire tampon (buffer) du logiciel, le pirate peut provoquer un "buffer overflow" en dépassant sa capacité maximale de traitement. Selon les cas, l'excédent de données peut avoir différentes conséquences : provoquer un mauvais fonctionnement exploitable du logiciel, ou même réécrire la zone suivante qui était protégée et n'était pas facilement accessible.

Un "buffer overrun", quant à lui, a pour but de remplacer purement et simplement le contenu de la mémoire tampon, de sorte qu'il soit interprété (bien ou mal) et/ou éxécuté par l'application. L'un et l'autre sont des vulnérabilités que les programmeurs du logiciel pourraient éviter s'ils protégeaient cette zone de la mémoire.

Pourquoi l'obtention d'un "root compromise" est-elle si prisée des hackers ?

Le terme "root" est un synonyme anglais de "superuser", soit le super-utilisateur à l'échelon le plus élevé de la hiérarchie des utilisateurs d'un système comme Unix ou Windows NT. Mais pas de Windows 95, 98 et Me, qui sont des systèmes à un seul utilisateur. C'est la raison pour laquelle ils ne sont généralement pas utilisés pour faire tourner des applications serveur auxquelles accèdent plusieurs personnes en simultané.

Un "root compromise" signifie donc l'obtention du privilège de super-utilisateur. Comme celui-ci est le plus souvent l'administrateur du système, le hacker qui réussit à posséder ce droit dispose du contrôle existant le plus élevé du système. En clair, il peut changer les mots de passe des autres utilisateurs, accéder à des lecteurs partagés et en ouvrir sur le réseau, modifier les composantes de son choix, etc. Pour éviter cela, les systèmes les plus sécurisés à l'heure actuelle répartissent les privilèges les plus hauts entre deux personnes: l'administrateur et le responsable de la sécurité qui contrôle le premier.

Les failles CSS ont-elles quelque chose à voir avec le langage permettant d'écrire des feuilles de style pour afficher des pages web en fonction de scénarios ?

Pas vraiment. En réalité, l'acronyme CSS signifie Cross Site Scripting dans le cas d'une faille, tandis que le langage s'appelle Cascade Style-Sheet. Lorsqu'il s'agit de la vulnérabilité, elle affecte les sites web où il est possible d'entrer du texte dans des cases: formulaires, forums, webmails... En insérant des lignes de code en langage de script (JavaScript, VBScript...) à la place du texte classique, le serveur non protégé peut les interpréter et les éxécuter. Le résultat varie selon le script qui est inséré. La solution: revoir les développements du site en empêchant l'interprétation des scripts insérés dans les champs ouverts à la saisie.Une bonne partie de ces risques concernent des attaques depuis l'extérieur.

Mais pourquoi dit-on aussi que les risques internes sont plus importants ?

Parce que l'entreprise comprend en général qu'elle doit se protéger de l'extérieur, et installe pour cela des firewalls et différents systèmes de protection qui ont pour but de stopper les intrus. Mais les systèmes de sécurité internes sont plus rares, et n'existent le plus souvent que lorsqu'un audit a été réalisé et une politique globale implémentée. D'autre part, lorsque le cheval de Troie est humain, il connaît l'entreprise, ses habitudes et sait en général où et comment se renseigner pour en apprendre plus. Si les mots de passe apparaissent sur des "post-its" collés aux écrans, il n'a pas besoin de se procurer un badge d'accès pour les voir. Or, le véritable ennemi est parfois interne: salarié qui a le sentiment de ne pas être reconnu, jaloux d'un confrère, simplement curieux... ou même taupe dépêchée par un concurrent.

Si aucun système n'est infaillible, alors pourquoi confier des tâches critiques à l'informatique et ne pas revenir au format papier ? Et si même les systèmes de sécurité sont faillibles, alors pourquoi en installer ?

Tout d'abord, le format papier est lui aussi faillible. Sinon, il n'existerait par exemple pas de faux billets de banque. Quand on connait les moyens mis en oeuvre pour empêcher leur duplication, et que l'on s'aperçoit un beau jour que des petits malins ont réussi à les reproduire... l'on n'interdit pas pour autant les vrais billets.

Un expert a dit un jour: "ne pas installer un système de sécurité sur un serveur revient à ouvrir une banque sans porte blindée ni caméras, avec la possibilité d'aller et venir dans le coffre". Evidemment, la porte blindée ne résistera pas forcément à une caisse de dynamite, mais si elle n'est pas là, rien n'empêche effectivement quiconque de rentrer. Enfin, dans une banque, il faut aussi des gardes et un chef de sécurité qui font respecter des règles. Sans quoi, la porte blindée reste ouverte, les caméras ne sont pas remplacées si elles sont cassées, et personne ne sait quoi faire en cas d'attaque. La politique de sécurité est aussi un peu comme cela: il faut des systèmes de protection adaptés, des règles et des procédures applicables, et des personnes pour les faire respecter.

Pour des informations complémentaires sur les 20 failles les plus critiques liées à la sécurité sur Internet, nous vous suggérons d'en consulter la liste détaillée sur le site du SANS Institute. Cette organisation coopérative américaine de recherche et d'éducation, fondée en 1989, regroupe plus de 96 000 administrateurs réseaux/systèmes et experts en sécurité informatique, travaillant dans les secteurs privé, public et militaire.

Source: JDNet Solutions (26/11/2001)

 

Le cheval de Troie: efficace et... discret!

Une grosse frayeur s'est emparée il y a quelque temps d'une PME dont l'activité dépend entièrement de sa plate-forme Internet. A l'origine de la panique : des serveurs devenus incontrôlables et qui, toutes les deux heures, "prenaient l'initiative" d'expédier des données à travers le réseau. Seule solution pour cette entreprise : se déconnecter du réseau en attendant d'identifier l'origine de son mal. En l'occurrence, des chevaux de Troie nichés dans les serveurs. Tout aussi nocifs que les virus et autres vers, les chevaux de Troie sont pourtant moins sous les feux de l'actualité - qui se souvient que le célèbre virus " I Love You " cachait aussi un cheval de Troie ? Cette situation s'explique: alors qu'un virus altère ouvertement des fichiers, alors qu'un ver se duplique jusqu'à saturer un disque dur, le cheval de Troie, lui, prend soin avant tout de ne pas manifester sa présence. Avec quel objectif ? Nous allons y revenir…

"A l'insu de son plein gré"

Tout d'abord, une petite précision s'impose sur les différentes manières d'accueillir un tel intrus - à "l'insu de son plein gré" serait-on tenté d'ajouter. En fait, deux cas de figure se présentent. Soit, l'utilisateur a reçu ce bout de code dans un email et l'a activé en cliquant sur un exécutable ; soit, il a tout simplement été le chercher ! En effet, il est tout à fait possible de cueillir un cheval de Troie en naviguant sur des sites, disons… plus ou moins douteux. A une époque, certains sites permettaient ainsi de télécharger Winzip, le célèbre utilitaire de compression de fichiers, avec en prime un cheval de Troie ! Dans ce domaine, les entreprises doivent garder à l'esprit que le développement des forces commerciales nomades accroît les risques. Hors des murs de l'entreprise, ces salariés se connectent parfois à Internet sans être protégés par l'infrastructure logicielle de l'entreprise et viennent ensuite brancher leur ordinateur portable sur le réseau local. Nous avons récemment rencontré une société qui, par ce biais, avait récolté près de 26 chevaux de Troie, tous très actifs… Justement, quels types d'effets faut-il redouter?

Du cheval de Troie à la prise de contrôle à distance

Généralement, une prise de contrôle à distance de la machine infectée. Aussitôt installé, le cheval de Troie envoie l'adresse IP de son hôte au pirate, voire à des pirates. Il arrive d'ailleurs que les adresses IP des machines ainsi contaminées soient directement publiées dans des forums ou sur des canaux IRC (Internet Relay Chat, canaux de dialogue en direct). Ces programmes sont parfois tellement doués que certains ont déjà eu l'idée d'en faire des logiciels commerciaux, concurrents des produits de contrôle à distance comme PCanywhere de Symantec ! Cette prise de contrôle offre toutes les possibilités : copie et effacement de fichiers, récupération des paramètres de la connexion réseau, de le messagerie et des mots de passe stockés en clair dans la mémoire de l'ordinateur… Rappelons que même si tous les messages électroniques ne sont pas confidentiels, le fait de disposer des paramètres d'un compte permet d'utiliser ensuite ce dernier pour des actions délictueuses. Ces dommages sont d'autant plus préjudiciables que beaucoup de temps peut s'écouler avant que le cheval de Troie ne soit découvert. Et à ce jeu-là, même les meilleurs se font prendre. Microsoft lui-même a laissé s'écouler un mois et demi avant de découvrir que ces systèmes hébergeaient de tels clandestins. Comment s'en prémunir ?

Les moyens sont classiques : tenir à jour les anti-virus, lancer régulièrement des examens en profondeur des postes de travail et, aussi, éviter les sites à risques. Des mesures minimales qui, toutefois, ne mettront pas forcément l'entreprise à l'abri d'un cheval de Troie " ciblé ", installé par exemple par un salarié mécontent ou par un intervenant extérieur à l'entreprise (en régie par exemple). Un cas, lui aussi, déjà observé.

Joël Rivière a dirigé pendant cinq ans le département informatique de l'institut de recherche criminelle de la gendarmerie à Rosny-sous-Bois. C'est en 1999 qu'il se lance dans l'aventure de Lexsi, cabinet de conseil en sécurité qui compte aujourd'hui 50 collaborateurs. Lexsi propose notamment à ses clients un service de veille technologique personnalisée, du conseil en architecture, des prestations de sécurisation (configuration et paramétrage des solutions, audit) ainsi que des formations.

Source: Journal du Net (22/08/2001)

 

Les mille et une techniques des « hackers »

1. La préparation de l'attaque

Le ver : ce programme se déplace à travers un réseau qu'il cherche à perturber en le rendant indisponible. Il permet d'acquérir des informations sur le système qui seront ensuite utilisées lors de l'attaque proprement dite.

Le sniffer : ce programme lancé dans le système renifle toutes les données utiles pour préparer l'attaque, notamment les mots de passe.

Le balayage : le « cyberbraqueur » envoie au système des informations afin de déterminer celles qui le font réagir. Il en déduit notamment les mots de passe.

Le piégeage : le « hacker » introduit des fonctions cachées dans le système lors de sa conception ou de sa maintenance.

La mystification : l'attaquant va simuler le comportement d'une machine amie pour tromper sa victime et s'emparer ainsi de son nom et de son mot de passe.  

2. L'entrée dans le réseau

Le cheval de Troie : ce programme comporte une fonctionnalité cachée connue de l'attaquant seul. Elle lui permet de contourner des contrôles de sécurité en vigueur. C'est l'utilisateur lui-même qui l'introduit sur son système. L'exemple classique est celui d'un utilisateur qui surfe sur Internet et télécharge un jeu dans lequel est caché le cheval de Troie.

La backdoor : ce programme dissimulé dans le système est une porte ouverte permettant au « hacker » de rentrer dans le système à l'insu de la victime.

Le rejeu : l'attaquant pénètre dans le système en utilisant une séquence de connexion effectuée par la victime qu'il a enregistrée au préalable à son insu.

La substitution : l'agresseur écoute une ligne et intercepte la demande de déconnexion envoyée par l'utilisateur lorsqu'il achève sa tâche sur Internet. Le « hacker » se substitue à sa victime.

La trappe : ce point d'entrée dans une application est placé par le développeur pour faciliter la mise au point et les tests sur un programme. Parfois, ces points d'entrée ne sont pas enlevés, volontairement ou non. Le « cyberbraqueur » peut alors entrer dans le système.

Le souterrain : le « hacker » est bloqué par une protection solide. Il va alors tenter de s'en prendre à un élément qui la supporte, plus fragile.

3. Le braquage

La bombe : ce programme dormant est glissé dans le système. Il se déclenche lorsqu'un événement déterminé par pirate se produit. La bombe peut alors transférer les données réclamées par le « hacker ».

Le salami : l'assaillant retire du système une information tellement minuscule que le vol n'est pas repéré par les défenseurs. Il multiplie ces détournements invisibles. Cette technique est utilisée pour détourner des fonds soit en s'appropriant de faibles sommes sur de nombreux comptes, soit en faisant transiter d'importantes valeurs sur des périodes courtes mais sur des comptes rémunérés leur appartenant. 

Source: La Tribune (13/01/2000)

 

Les intrusions

En exploitant un réseau internet ou intranet, il est tout à fait possible de consulter le disque dur d'un ordinateur distant, voir d'agir sur le contenu de celui-ci. Des logiciels tels que Timbuktu et d'autres sont précisément conçus pour effectuer ce genre de manipulation, à la condition que les ordinateurs distants soient équipés de petits programme chargés d'établir la liaison avec l'ordinateur pilote. Mais quelques spécialistes sont capables des mêmes effets et résultats en utilisant des programmes plus confidentiels que Timbuktu. Nous allons examiner dans cet article la puissance et la portée de ces outils qui ne sont généralement pas utilisés par des enfants de coeur, et surtout, comment s'en prévenir.

          L'intrusion dite du "Socket de Troie":

Lorsque l'on est victime de ce type d'intrusion, on remarque que le disque dur de l'ordinateur est en activité, bien que qu'aucun logiciel ne soit en train de traiter une tache ou, plus globalement, que l'ordinateur ne soit pas sollicité. Cette intense activité ralentit à cette occasion les performances de l'ordinateur de manière tout à fait perceptible. Attention tout de même à ne pas confondre ces symptômes avec des taches de routine automatisées tout à fait normale. Il arrive que des disques durs, notamment sur Macintosh, se mettent à "travailler" seuls, dans le cadre de procédures automatiques de réactualisation des données (date, heure, sauvegarde automatique...). Il convient donc de ne pas succomber à la "parano" et de bien faire la différence entre ces deux comportements. l'assaillant

Mais lorsqu'il s'agit d'une véritable intrusion, votre ordinateur exécutera "seul" des fonctions qui impliquent ordinairement un ordre extérieur, tel que par exemple : imprimer, copier un fichier ou écrire tout seul. Observez également très attentivement la lampe dite "send data" de votre modem. Si celle-ci clignote alors que vous ne trafiquez pas sur Internet, ou que, si vous y êtes, vous ne provoquez pas d'activité de chargement ou de consultation, quelqu'un, quelque part, s'est "introduit" dans votre ordinateur et bricole "on ne sais quoi".

Lors de genre d'intrusion, la première chose à faire et de couper la communication, ou de mettre votre modem hors tension, ou de débrancher la connexion, soit en sortie d'ordinateur, soit à la prise du téléphone, ou de déconnecter la prise ethernet du modem-câble, pour ceux qui sont équipés de ce type de ligne.

Avertissement tout particulier à ceux qui sont équipés du câble : le modem reste généralement connecté au réseau en permanence, puisque la tarification est forfaitaire. Cela implique qu'une personne extérieure peut avoir accès en permanence au contenu de votre disque dur pendant votre absence, pour peu que votre ordinateur soit simplement allumé...

Dans tous ces cas, vous encourez le risque d'avoir affaire à un plaisantin un peu méchant qui provoquera des vols ou des suppressions de fichier, et autant de choses que le peut l'imagination.

Le nom "Socket de Troie" est directement inspirée de l'histoire du cheval de bois que tout le monde connaît. Pour qu'une intrusion de ce type soit possible, il faut au préalable que votre "visiteur" ait trouvé le moyen d'installer dans votre ordinateur une petit programme de type serveur. En règle générale la taille de celui-ci évolue aux environs des 300 à 400 ko, mais comme on n'arrête pas le progrès, il peut exister des serveur plus petits. Pour placer ce programme sur votre ordinateur à votre insu il n'y a guère qu'une seule solution : qu'une personne "sympa" vous donne un lot de programmes dont certains vous semblent "indispensables" ou très attrayants. Parmi ces programmes, il y aura le serveur dissimulé sous un nom d'emprunt, voire caché dans un exécutable. Pour vous parler de notre expérience personnelle, un personnage a priori charmant qui s'est présenté à nous en temps qu'éditeur informatique nous a gracieusement offert une présérie de son logiciel, évidement "révolutionnaire". Dès que vous allez tenter d'utiliser ce programme, celui-ci va ouvrir un port de communication qui permettra à l'intéressé d'accéder à votre disque dur. Pour ceux qui sont équipés d'un ordinateur de type PC, le programme que vous croyiez si attrayant affichera un simple message d'erreur dans le genre :

          [setupdll32.gif (1667 octets)],

ou encore :

          [Socket23error.gif (1720 octets)]

ou encore : rien du tout...

Dans tous les cas, il sera déjà trop tard. Pourtant, les trois exemples que nous venons de vous présenter sont les moins sophistiqués.

Il existe également des logiciels serveurs cachés dans des programmes tout à fait fonctionnels, et a priori si utiles que vous hésiterez longuement avant de vous en débarrasser. Pour ne rien arranger, ce genre de programme va se reproduire, à l'instar du virus, et vous ne pourrez plus vous en débarrasser. Enfin, si vous êtes volontiers "échangiste" (nous faisons allusion à l'informatique, bien sur), vous le refilerez à d'autres sans même vous en rendre compte. Ceux qui sont équipés d'un PC pourront télécharger un remède portant le nom aussi triviale qu'explicite de "Bouffetroyen".

Bouffetroyen va rechercher en mémoire les "chevaux de troie" de type serveur FTP, socket de troie et DMSETUP. Il peut aussi les supprimer de votre disque dur, ainsi que nettoyer la base de registre et vos fichiers .INI. Bouffetroyen est un utilitaire à posséder absolument si vous pensez être un jour dans le collimateur de quelqu'un. Si vous êtes sous Windows NT, n'oubliez pas psapi.dll pour pouvoir profiter de toutes les possibilités de ce programme.

Ceux qui sont équipés de Mac ne pourront pas faire grand chose, sinon tout réinstaller, en ayant pris soin, préalablement à la tentative d'intrusion, de sauvegarder les informations sur des disquettes et autres supports de stockage. Certains utilitaires tels que Norton Utilities et quelques antivirus ne viendrons pas à bout de ces serveurs, mais, à défaut, les présenterons parfois comme des programmes victimes d'anomalies apparemment sans gravité. C'est en général un signe qui ne trompe pas, et le mieux est encore de se débarrasser de manière radicale du (des) fichier incriminé. Quoiqu'il en soit, l'idéal est encore d'être prudent avec les inconnus désintéressés qui vous offrent des programmes intéressants.

Si vous voulez renvoyer la balle à celui qui tente de pénétrez votre ordinateur après vous avoir refilé le programme, utilisez Wolfysoft Notroyen. Non seulement ce programme vous prévient d'une tentative d'intrusion, mais en plus il "reboot" la machine de la personne qui a tenté de vous attaquer. A mettre dans le menu "Démarrer" pour être sur de ne pas l'oublier. Citons également Panda Antivirus qui détecte la plupart des chevaux de troie.

          L'intrusion via les ressources partagées du système:

Difficile à détecter, ce type d'intrusion offre un accès sans restriction en lecture et écriture à vos fichiers. On se trouve alors confronté à deux options : 1) l'intrus a repris à son compte la célèbre phrase Veni, vedi, vici. Il est entré, à regardé et est partie en ayant pris le temps de subtiliser vos mots de passe Internet, et divers fichiers de données l'intéressant; 2) l'intrus s'est comporté de la même manière que précédemment, mais vous ne trouverez plus vos fichiers. Ceux-ci auront disparus ou auront été modifiés. Bref c'est, dans ce dernier cas, un véritable casseur informatique qui vous aura rendu visite.

La plupart des ordinateurs organisés en réseau local ou ayant effectué une mise un jour de réseau local, partagent en commun des ressources telles que les disques durs et les imprimantes. La jouissance de ces ressources peut-être conditionnée par un mot de passe. En règle générale, ce mot de passe est facile à trouver car il s'inspire d'éléments très simples et faciles à mémoriser. Il suffit de taper une commande Dos et on verra apparaître le nom de votre ordinateur ainsi que son groupe de travail. On le rajoute dans un petit fichier de Windows, on met à jour et on recherche ensuite l'ordinateur dans le voisinage réseau. Dès que ce dernier apparaît, on accède à son contenu, on effectue quelques connections réseau et le tour est joué dans 80% des cas.

Dans l'éventualité du réseau partagé, l'intrus, pour peu qu'il dispose du cd-rom d'installation de Windows ou de Windows NT, possédera tous les drivers d'imprimantes et pourra donc lancer de multiples impressions de n'importe quoi depuis votre réseau, histoire de vous empoisonner l'existence. Avec ce type d'intrusion l'infection n'est pas tout à fait similaire à celle précédemment présentée. Allez dans votre voisinage réseau sur votre ordinateur et faites un point de tout ce qui est partagé sans mot de passe. Tout ce qui ne l'est pas est potentiellement disponible depuis Internet chaque fois que vous vous vous connectez...

Pour se protéger contre ce type d'intrusion, l'idéal est encore de ne jamais se connecter, mais comme cela est exclu, vous pouvez disposer d'un second ordinateur réservé à l'usage exclusif de la connexion sur Internet. C'est ainsi que l'on procède bien souvent dans quelques entreprises. Sinon, et à la condition que vous ne soyez pas en réseau local, il faut désactiver le partage de fichiers et d'imprimantes dans le panneau de configuration du réseau. Si vous devez absolument travailler en réseau, le minimum absolu est de tout protéger par mots de passe et de prévoir un dossier spécial qui sera le seul partagé, et servira au transferts de fichiers sur le réseau. Toute personne désireuse d'envoyer un fichier sur votre ordinateur devra transiter par un répertoire spécial protégé par mot de passe que vous rangerez et effacerez.

          L'intrusion via un serveur FTP caché dans votre disque dur:

Ce troisième cas présente des symptômes et des risques identique à ceux des exemples précédents. Ici encore, l'intrus tente au préalable de vous faire exécuter un petit fichier zip auto-extractible qui s'avère être un petit exe. Dès son lancement ce programme procède à l'installation un serveur FTP. Cette autre technique d'intrusion est vulnérable à Bouffetroyen qui ira chercher les programmes de type serveur FTP, socket de Troie et DMSETUP. Bouffetroyen peut aussi supprimer ces programmes de votre disque dur et nettoyer la base de registre et vos fichiers .INI.

Encore une fois, si vous êtes sous Windows NT, n'oubliez pas psapi.dll pour pouvoir disposer de toutes les possibilités de Bouffetroyen.

          L'Intrusion ICQTROGEN:

Identique a l'intrusion via FTP et ressources partagées, l'intrusion ICQTROGEN est assortie de programmes capables de s'auto-executer. Les risques encourus sont identiques à ceux que nous venons d'évoquer, avec en plus la possibilité pour l'intrus de lancer des programmes à distance. Une fois de plus, il faut préalablement vous faire exécuter un programme qui va mettre en place un serveur. Celui-ci se trouvera sur le port 4950 et permettra à une personne qui dispose du programme de contrôle de se balader sur votre disque dur pour y faire tout ce qu'elle veut.Pour savoir si vous êtes victime de l'Intrusion ICQTROGEN saisissez dans une fenêtre Dos la commande suivante :

          netstat -a

Si cette opération provoque l'affichage de la ligne ci dessous, c'est que vous êtes piégés :

          TCP XXXXXXX : 4950 .....................................

Ce fichier peut porter n'importe quel nom. A vous de le trouver et de le supprimer. C'est affaire de logique et d'intuition. A notre connaissance, il n'existe aucune parade contre ce type d'attaque qui peut être réajustée en fonction de vos tentatives de riposte. Nous ne pouvons donc que vous conseiller de faire attention... Si vous pensez être la cible d'une telle intrusion, pressez les touches ctrl-alt-Del et regardez si rien de suspect ne se produit. Si vous vous êtes vraiment parano, vous pouvez configurer nuke nabber sur le 4950 en TCP, ce qui vous permettra de d'être averti d'une tentative de connexion.

          L'intrusion via Hacker Paradise, ou Master Paradise:

Ce type d'intrusion se manifeste généralement par une perte quasi totale du contrôle de votre ordinateur. Des fenêtres se ferment, s'ouvrent, des noms de fichiers ou de dossiers changent inexplicablement. Bien entendu, le plaisantin qui se livre à ce jeu a un accès sans limites au contenu de votre disque dur et peut même se payer des captures de vos écrans. Dur, dur...

Hacker Paradise surclasse tous les programmes d'intrusion que vous venons de présenter. Pour autant il repose comme les autres sur l'acquisition et l'exécution préalable d'un programme serveur déguisé. Dans sa livrée originale, ce programme porte le nom de "redemption.exe" et a une icône représentant un ange. Quoi de plus anodin. Là encore, le programme Bouffetroyen pourra localiser ce programme serveur et l'éradiquer.

          L'intrusion via DMSETUP (IRC):

Ce programme existe en deux version : la dmsetup simple et la dmsetup2. Le première n'est qu'un petit virus pas bien méchant qui vous déconnecte quand quelqu'un tape le mot clé "message". La deuxième version s'inspire des chevaux de troie etc. Celle-ci est un serveur permettant un accès à vos fichiers et offre quelques " backdoor " qui permettent à l'intrus de s'en prendre à votre connexion IRC. Pour devenir victime de cette variante, vous devez comme chaque fois activer un programme exécutable. Celui-ci n'est pas très évolué et dans 95% des cas ne trouvera pas votre répertoire pour peu qu'il ne s'appelle pas "mirc". Certaines versions peuvent ajouter une ligne à l'autoexec.bat et se reproduire. Pour lutter contre ce modèle vous devez vous procurer le petit utilitaire "dmcleanup" qui vérifiera votre autoexec et les fichiers .ini en cas d'infection. Sinon... Bouffetroyen ! Et psapi.dll si vous êtes sous NT.

          L'intrusion via cDc Back Orifice:

Vos programmes s'arrêtent tout seul, vos fichiers disparaissent, des fenêtre d'erreur avec des messages incongrus n'ayant rien à voir avec votre système d'exploitation apparaissent, votre micro se met en shut-down, voir se bloque. Bref, c'est la guerre totale ! L'intrus sait ce que vous saisissez sur votre clavier à la Majuscule près, et a un accès à certaines ressources qui sont ordinairement inaccessibles directement, tels que les passwords en mémoire, sans oublier la possibilité d'effacer toute les applications qui tournent en mémoire, dll compris.

Comme presque toujours, il s'agit de vous faire exécuter un programme qui va servir de serveur. Celui-ci se trouve sur le port 31337 par défaut mais, le cas échéant, l'auteur de l'infection a la possibilité de le mettre sur n'importe quel autre port, d'où la difficulté de le détecter. De plus, il est possible de lui assigner un password. Ainsi, si vous exécutez ce programme et que la personne qui vous l'a fait parvenir a eu la présence d'esprit de le modifier, elle seule aura accès à votre ordinateur... En fait, ce programme n'est jamais qu'un outil d'administration.

Les remèdes sont néanmoins multiples, et certain d'entre eux sont simples à mettre en oeuvre. Du côté des anti-virus, Panda est un des seul à détecter le phénomène et à être capable le supprimer de la mémoire. Les récentes versions de Bouffetroyen le détecte et l'éradique complètement. Enfin, Antigen est un programme spécialement conçu pour l'éradication de ce cheval de Troie. Si vous êtes sous NT et que vous avez choisi Bouffetroyen, n'oubliez pas psapi.dll.

          L'intrusion via Netbus:

Cd-Rom qui s'ouvre tout seul, souris qui se déplace toute seule, inversion des boutons de la souris, programmes qui démarrent tout seuls, messages, sons qui n'ont rien à voir avec le contexte, écran qui se renverse... C'est Netbus.

Dans ce cas-ci les risques sont moyens, il n'y a pas d'option directe pour effacer vos fichiers ou formater votre disque dur mais un intrus chevronné y parviendra. L'interface de Netbus est complexe et ne permet que peu d'actions destructrices à court terme. Comme presque toujours, il s'agit de vous faire exécuter un programme qui fera fonction de serveur. Celui-ci se trouve sur le port 12345 de votre ordinateur. Netbus est également vulnérable à Bouffetroyen.

Peut être serez vous tenté de penser que cet article vous dit tout. Il n'en est rien, et sachez qu'il existe de nombreuses autres possibilités de s'introduire dans votre disque dur en utilisant un réseau interne ou Internet. Nous ne connaissons d'ailleurs pas nous-mêmes avec précision le programme qui a permis à des intrus chevronnés de s'introduire dans nos ordinateurs il y a quelques jours. Mais, à défaut, nous sommes certains qu'il a fallut pour cela que nous acceptions de placer nous même dans notre disque dur un programme a priori sans rapport avec le sujet dont nous venons de débattre.

Source: Confidentiel Defense (juillet 2000)