Bertrand Arquilliere : Systèmes, réseaux et sécurité - Sécurité des SI

Examen de certification Lead Auditor ISO 27001 passé

Bertrand Arquilliere — Fri, 18 Apr 2008 21:16:00 +0200

L'épreuve d'examen Lead Auditor ISO 27001 a eu lieu cette après midi...
Retour sur une semaine excellente et exceptionnelle, comme j'aimerai en vivre plus souvent !

Ayant signé des clauses de confidentialité sur la teneur de l'examen, je ne peux donc pas vous en dire plus sur les questions de l'examen, je pense tout de même pouvoir dire, que 3h30 d'épreuve passent très vite, et que 30 minutes pour se relire ne seraient pas de trop.
Globalement je n'ai aucune idée sur l'issue de cet examen il faut, pour être certifié, obtenir 70%.
Résultat dans 3 semaines environ ...

Cet examen a marqué le point final d'une semaine de formation riche en enseignements et en rencontre de fortes personnalités, avec qui il ne me déplairait pas de travailler en équipe d'audit

Des formateurs tout simplement humain, et ouverts, ponctuant la formation d'exemples vécus, des jeux de rôles parfois déstabilisant, cette semaine a été pour moi un réel plaisir.
En contact journalier avec MONSIEUR Hervé Schauer, qui est, pour moi en tout cas, une sacré référence en terme de sécurité informatique, peut être même LA référence. Je connaissais un peu Hervé, pour avoir participé une fois à une réunion de l'OSSIR à Paris, du temps de Renaud Deraison (l'auteur de Nessus, qui est un outil de scan de vulnérabilités), et pour l'avoir contacté par email et téléphone du temps où j'avais ma société de consulting en sécurité informatique (Kr@g à Béziers).
Je ne connaissais pas du tout Alexandre Fernandez et j'attends avec beaucoup d'impatience d'être en mesure de lire son livre.
De vraies rencontres aussi avec les collègues formés, tous d'horizons plus ou moins différent, qui étaient tous prêts à faire part de leur expérience et a partager leurs connaissances.
Avec en souvenir que je vais sûrement garder longtemps : Un jeu de rôle où Hervé se prenait pour un admin système bourru, qui a réponse à tout et qui ne voulait pas admettre, reconnaître une non conformité dans son système de management de la sécurité de l'information (SMSI), sans parler de l'architecture soit-disant sécurisée du réseau de cet admin...

Nous étions parfaitement bien préparé à l'examen de certification Lead Auditor ISO 27001, par HSC, rien dans le sujet d'examen qui ne nous avait été présenté soit par Hervé soit par Alexandre.
Malheureusement, un ou deux trous de mémoire me vaudront de perdre quelques points sur les premières parties de l'examen, et un manque de temps pour affiner mes réponses dans les dernières parties, mais c'est entièrement de ma faute, peut être que finalement j'avais un peu plus de stress que je n'osais me l'avouer !
Parti pour suivre la formation, la certification était pour moi un bonus, je suis arrivé à l'examen avec l'envie forte de repartir avec ce bonus !

Comme je le disais précédemment, je recommande vivement la formation Lead Auditor ISO 27001 d'HSC

Merci à HSC pour la qualité de son enseignement, merci à mes compagnons de formations pour leur partage de connaissance et expériences. Je leur souhaite une belle réussite à cette certification et pourquoi pas leur dire :

Au plaisir de faire un audit avec un ou plusieurs d'entre vous !

J'allais oublier : Hervé Schauer nous a fait remarquer qu'il n'existe pas de club OSSIR à Lyon .... pour le moment...

Formation Lead Auditor ISO 27001

Bertrand Arquilliere — Wed, 16 Apr 2008 18:11:00 +0200

Actuellement en formation Lead Auditor ISO 27001, en vue de la certification LSTI

Pour faire court, car il y a du travail à faire le soir :
La formation que je suis actuellement à lieu à Lyon, et, est délivrée par HSC. Nos formateurs sont Alexandre Fernadez Toro et Hervé Schauer lui même.
Après avoir parcouru la norme IS 27001:2005, puis la ISO 27002, qui sont principalement dédié aux Systèmes de Management de la Sécurité de l'information (SMSI), nous parcourons la norme ISO 19011, qui pose le cadre au métier d'auditeur.
Je découvre avec beaucoup d'intérêt le métier d'auditeur, et je dois reconnaître que si je suis allé initialement suivre cette formation, mon objectif était plus d'apprendre des choses, tout en révisant les examens de mon master 2 OPSIE, pour lequel j'ai une épreuve d'audit en mai ... Aujourd'hui, après 3 jours de formation riches, j'ai la conviction :

D'avoir appris des choses
D'avoir acquis des compléments à mon cours d'audit de master, compléments qui me seront utiles lors de l'examen d'audit
Enfin, de vouloir réussir cette certification LSTI !

Examens vendredi après-midi, et résultat dans 3 semaines environ, je vous tiendrai informé.
Je suis vraiment ravi de cette formation, et la recommande vivement à tous les passionnés de sécurité, qui comme moi veulent prendre un peu de hauteur par rapport à la technique. Il ne reste plus qu'à obtenir la certification Lead Auditor et passer celle d'implémenteur ISO 27001

A très bientôt

Un petit exercice de Stéganographie (Mise à jour)

Bertrand Arquilliere — Tue, 22 Jan 2008 11:50:00 +0100

J'ai caché dans l'image ci dessous un petit texte, nous allons voir dans ce billet comment vous pouvez extraire ces informations.
La mise en page avec la photo originale étant horrible, je vous livre un lien vers l'image contenant un texte caché : cliquez ici pour l'afficher et la télécharger.

Un peu de théorie avant de commencer :

La stéganographie c'est l'art de camoufler des informations sous forme de texte dans un fichier d'un tout autre type, par exemple, une image ou un fichier audio ou vidéo. Le principe est relativement simple , on utilise les bits de poids faible de chaque pixel (pour une image ou vidéo) afin de coder les caractères du texte. Ainsi l'image avec le texte caché ne change pas de taille, et elle se trouve si peu dégradée que s'en est invisible à l'œil nu.
Evidement il serait fastidieux de vouloir faire cette opération à la main, ainsi j'utilise steghide, un logiciel libre (Téléchargeable ici).

Et maintenant la pratique :

Commencez par télécharger et installer ce logiciel sur votre machine. Il s'agit d'un fichier zip (pour Windows). Dé-zipper le répertoire, il contient tout ce dont vous avez besoin. retenez bien où vous l'avez dé-zipper ...
Ensuite, afin de cacher du texte dans un image, vous aurez besoin de deux choses : un fichier texte (nommé secret.txt) et une image au format jpg.
Créer votre fichier texte et enregistrez le directement dans le répertoire où vous avez installé steghide. copiez ensuite une image de votre choix dans ce même répertoire.
Dans ce petit exemple, j'ai installé steghide dans C:/PRIVATE/Securité/steghide, j'ai ensuite copié dans ce répertoire une des images livrées avec mon Windows XP, en l'occurrence, il s'agit de Winter.jpg (ben oui je suis au travail, pas le choix). Enfin, j'ai créer un fichier texte contenant l'information à votre destination, et je l'ai enregistré dans ce même répertoire.
Maintenant, il ne me reste plus qu'à ajouter mon texte à l'image. C'est très simple, j'ouvre un prompt (mais si, une fenêtre de commande MSDOS), et je me rends dans le répertoire où se trouve steghide, mon image et secret.txt, avec la commande suivante :

cd C:\PRIVATE\Securité\steghide

Il ne me reste plus qu'à ajouter le texte à l'image, avec la commande suivante :

steghide embed -cf Winter.jpg -ef secret.txt

Le logiciel me demande alors de saisir deux fois un mot de passe (pour notre petit exercice j'ai utilisé le mot de passe "password" (sans les ")

Voilà, il ne vous reste plus qu'à télécharger l'image ci-dessus, et l'enregistrer dans votre répertoire steghide, ensuite ouvrez un command prompt (démarrer, exécuter, cmd), allez dans votre répertoire steghide avec la commande cd et tapez la commande suivante :

steghide extract -sf Winter.jpg

Le logiciel me demande le mot de passe (convenu ci-dessus) et m'annonce alors :

écriture des données extraites dans "secret.txt".

Il ne vous reste plus qu'à lire le fichier secret.txt ainsi généré (il se trouve au même endroit que l'image)

Je vous laisse imaginer tout ce qu'on peut faire avec cette technique, et attends vos réactions en espérant vous avoir fait découvrir quelque chose;

Une dernière chose : vous savez pourquoi lorsque les chaînes de télévisions diffusent des vidéos amateur, elles ne les passent jamais en entier ? Tout simplement pour éviter ce genre de pratique

N'hésitez pas à me laisser un commentaire sur ce petit exercice, est-ce que ça vous a plu ? Est ce que la démo a fonctionné chez vous ? Les explications sont-elles assez claire ? Y a t'il quelque chose que vous ne comprenez pas ? J'attends vos réactions, que j'espère nombreuses.

PS : C'est le dernier jour du concours de l'été, si vous avez appréciez mon blog, faites le savoir en votant pour lui et remportez (ou pas) un Ipod 2Go. Bonne chance pour le tirage au sort..

Cybercriminalité, traces, Bot masters et autres joyeusetés

Bertrand Arquilliere — Thu, 25 Oct 2007 21:38:00 +0200

A la demande de Frame (Voir sa requête ci-dessous), je vais tenter d'apporter quelques éclaircissements :

Salut Bertrand, en ce moment la cybercriminalité fait l'actualité avec les cas des ambassades et services étatiques "piratés". Ils sont tous d'accord sur un point : impossible de filer ceux qui se sont introduits http://www.lemonde.fr/web/article/0... J'arrive pas à comprendre à quel moment la "piste" disparait lorsqu'on tente de retrouver les hackers... ou plutôt comment les hackers préparent leur anonymat ? sont-ils protégés par un flou juridique, technique des FAI de leur pays d'origine ? A titre d'exemple, est-il possible pour des gens, résidant en France, de mener des PC "Maitres" dans un anonymat comparable sur une opération d'une envergure égale ?

Voilà plus d'un mois que j'avais prévu cet article. Aujourd'hui je retrouve ma connexion Internet, je vais donc tenter d'apporter quelques éléments de réponses à Frame.

Au moment des questions de Frame, effectivement la cybercriminalité faisait la une des journaux, qu'ils soient télévisés ou papier. A l'origine de ce buzz, le piratage à grande échelle d'institutions Américaine par des hackers Chinois qui auraient étaient embauchés par le gouvernement Chinois. Cette dernière information est à prendre au conditionnel, et avec beaucoup de précautions, car si effectivement la trace de l'attaque remonte en Chine, rien ne prouve qu'elle en soit l'origine et encore moins que les hackers aient agis à la solde du gouvernement.
Suite à cette annonce, le gouvernement Français a aussi reconnu des intrusions sur certains sites étatique, suivi par d'autres pays.
Nous sommes bel est bien à l'ère de l'infoguerre, ère où l'information et les renseignements sur les autres puissance n'a pas de prix, guerre de l'information qui se prépare depuis longtemps puis Sun Tsu (un Chinois ...) en parle déjà dans son ouvrage "L'art de la guerre" datant de quelques centaines d'années avant J.C
Les grandes puissance occidentale n'ont réellement saisie l'importance de l'information dans la préparation d'un conflit, ou plutôt dans l'art de remporter une guerre sans livrer bataille que très tard, tout d'abord pendant la guerre des sécessions aux États Unis, avec l'apparition d'un code de chiffrage pour protéger les informations, et plus tard, avec la préparation du débarquement en Normandie, et enfin avec la période de la guerre froide.

Il est donc tout à fait légitime de se poser la question : "Cette vague d'intrusion en septembre constitue t'elle un acte d'infoguerre ?" Je ne saurais y répondre, et il ne m'appartient pas d'y répondre, les spécialistes de l'infoguerre à la DGSE ou de la DST ont surement la réponse suite à une enquête (qui un mois après ne doit vraisemblablement pas être terminée).
Ensuite, comme dans tout acte de guerre, certains agissent à leurs propre compte, ne cherchant pas l'information cruciale sur une puissance ennemie, mais cherchent à nuire en demandant rançon pour re-établir la situation, ou ne pas divulguer l'information acquise ou encore demandent rançon en échange de la clé de chiffrement qui a chiffré tout votre disque dur. On parle alors de cyber-terrorisme.
La question de Frame, concerne la préparation d'une attaque de cette envergure, tout en protégeant son anonymat, avec une question subsidiaire : Est-il possible que la france héberge un de ces botmasters capable de paralyser l'information de tout un pays. Voilà ce à quoi je vais tenter de répondre.

La préparation :

C'est la phase la plus longue de l'attaque, que ce soit pour une attaque de type DDoS (Distributed Denial of Service) ou une attaque intrusive cherchant à voler de l'information. Cette phase peut prendre plusieurs mois selon le risque, le niveau de protection, où l'échelle du déni de service (1 serveurs impacté pendant une heure ne demande pas la même préparation que 20 serveurs impactés pendant plusieurs jours, en général jusqu'au paiement de la rançon).

Dans le cas où l'attaque est un déni de service, dont l'objectif est de paralyser une entreprise ou un état, le pirate va d'abord se transformer en botmaster, c'est à dire qu'il va tenter d'infecter un maximum de machines qu'il contrôlera à distance, afin qu'elles agissent toutes en même temps. Les PC infectés sont appelés des zombies. Certains botmaster contrôlent de cette façon jusqu'à 20000 zombies, d'autres plusieurs centaines de millier.
Comment les zombies sont-ils recrutés ? Tout simplement en partant d'un constat très simple :
- La très grande majorité des internautes ne sont pas informaticiens, et sont donc peu intéressés par les mises à jour de leur système d'exploitation et de leur anti-virus.
- Les sites web les plus nombreux sur Internet et recevant la plus forte audience sont les sites pornographique.
- Les internautes, aiment avoir le dernier film, avant tout le monde et gratuitement.
- La majorité des utilisateur d'Internet n'étant pas sensibilisé à la sécurité informatique va écouter les mails qu'ils reçoivent, leur demandant d'envoyer le fichier .doc ou le .pdf ou .pps à tout leur carnet d'adresse.
- Plus de 90% du parc informatique des particuliers mondial est constitué de machines utilisant Windows, avec Internet Explorer et outlook.

Il ne reste plus qu'à concevoir un site web à tendance pornographique, qui va récupérer à l'insu du visiteur, son adresse email, son système d'exploitation, son niveau de sécurité, et si les conditions sont remplies, injecter du code malicieux sur le disque dur la victime. Code généralement appelé "backdoor" : porte dérobée. Cette porte dérobée va permettre au pirate de se connecter sur votre machine afin de pouvoir la gérer et lui faire effectuer certaines tâches. La backdoor peut ensuite se propager d'elle même à tout votre carnet d'adresse outlook, et recommencer sa propagation lorsqu'elle a infecté un de vos contact. A chaque nouvelle machine corrompue, la machine va, à chaque démarrage et connexion sur Internet, se faire connaitre auprès du botmaster pour qu'il puisse se connecter.
Lorsque le botmaster estime qu'il a assez de zombies pour déclencher son attaque, il va planifier l'attaque à proprement parlé, et à l'heure H, l'ensemble des machines qu'il contrôle va se connecter sur la/les cible(s), utilisant toutes les ressources réseaux et CPU de la cible, la rendant ainsi indisponible aux clients légitimes. Nous sommes face à un DDoS

Dans le cas d'un vol d'informations, le pirate va préparer son attaque différemment, il va reconnaitre sa cible, en évaluer les vulnérabilités, se renseigner sur l'équipe administrant la cible, sur la localisation géographique ... en quelques semaines il saura absolument tout sur sa cible. Le pirate va ensuite préparer son anonymat, pour ce faire, il va jouer avec des outils techniques, tel que les proxy (voir mon billet sur Tor), le spoofing ... mais il va aussi jouer avec les différents flou juridique, la législation sur la cybercriminalité n'étant pas du tout la même d'un pays à l'autre, il va établir sa chaine de proxy, en choisissant des proxies, dans des pays ne parlant pas la même langue, dans des fuseaux horaires différents, avec des législations différentes (parfois même qui ne reconnaissent pas le piratage comme un délit). lorsque sa chaine de proxy est bien établi, il va mener son attaque, voler l'information cible, et enfin effacer ses traces sur la cible ... ou plutôt effacer les traces du dernier proxy utilisé dans la chaine. Si le travail est bien fait, il faudra des semaines aux responsables de la cible pour se rendre compte qu'une intrusion a eu lieu, et lorsqu'ils s'en rendront compte, même s'il reste des traces, l'attaque semblera venir d'une machine situé en Belgique (souvenez-vous de la chaine de proxy). Les autorités compétentes cont donc prendre contact avec les autorités belge pour savoir à qui appartient la machine ayant perpétré l'attaque. Après enquête, il s'avèrera que cette machine en Belgique a en fait servi de relais pour une machine situé en Russie, qui elle même a servi de relais pour une machine aux US, qui elle même a servi de relais pour une machine en Chine, qui elle même ... ect. Avec en prime l'éventualité que cette machine soit dans un cyber-café, auquel cas, l'enquête peut difficilement aller plus loin, car le gérant n'a pas le nom, l'adresse de la personne qui se trouvait sur tel PC de telle heure à telle heure il y a deux mois (Déjà le temps que les autorités Russe et US collaborent, puis que les US collaborent ensuite avec la Chine ...ect)

il est donc tout à fait possible pour un Français, aujourd'hui d'être botmaster, et de revendre son armée de zombie sur Ebay.

Découverte de vulnérabilité, publication et patch

Bertrand Arquilliere — Wed, 12 Sep 2007 11:17:00 +0200

Comme annoncé dans un précédent billet, j'ai rendu publique une faille de vulnérabilité du produit CustomerWise, suite à la publication les choses bougent.

Sans réponse de l'éditeur depuis le 03 août 2007, j'ai rendu publique la faille découverte sur l'outil de CRM CustomerWise le 10 septembre.
J'ai prévenu l'éditeur (TechExcel) de cette publication à l'échelle mondiale, aujourd'hui, soit deux jours après la publication, TechExcel a corrigé la faille via un correctif.
j'ai pû effectuer les tests sur la nouvelle applications, sans pouvoir exploiter les failles précédemment présentes dans cet outil.
Il semble que suite à la publication, il y ai eu pression de la part d'utilisateurs de ce CRM afin d'obtenir un patch, d'où la rapidité de la chose.

Une bonne chose de faite !
Charge maintenant à TechExcel de notifier Securityfocus de la correction de cette vulnérabilité. Moi j'ai fini mon travail sur cette application.

Have fun ! et surtout mettez à jour votre CRM si vous utilisez CustomerWise

Première faille publiée de l'année

Bertrand Arquilliere — Tue, 11 Sep 2007 08:01:00 +0200

Comme convenu avant mon départ en congés, j'ai fait publié auprès de Symantec du CERTA et du CERT-IST, la faille de sécurité découverte dans un outil de CRM le 03 août de cette année.

Après avoir signifié la vulnérabilité auprès de l'éditeur (TechExcel) du CRM CustomerWise, je leur avait signalé qu'en l'absence de réponse de leur part avant le 03 septembre 2007, je rendrais la faille publique.
C'est chose faite depuis hier, auprès de trois organismes de sécurité :
Symantec : Bugtraq ID 25624
CERT-IST : CERT-IST/INC-EXT/2007.025
CERTA : Pas de référence pour l'instant.

J'ai donc déclaré cette vulnérabilité auprès de deux organismes officiels de sécurité Francais (CERT-IST et CERTA) et un société de sécurité internationale Symantec, qui tient à jour une excellente base de vulnérabilités, faisant référence en la matière.

J'attends aujourd'hui un appel du CERT-IST afin de discuter des suites à donner à cet incident.

Vers versus Virus

Bertrand Arquilliere — Wed, 22 Aug 2007 09:59:00 +0200

Qu'est ce qu'un ver ? Quelle est sa principale différence avec un virus ?
Ce billet n'a pas la prétention d'être très technique, ni même long, il s'agit juste d'une introduction aux vers et virus.
Nous regarderons à la fin de ce billet le fonctionnement de W32.Slammer.

Qu'est ce qu'un virus ?

L'origine des virus remonte à 1970 où l'informatique n'était pas ce qu'elle est aujourd'hui. Trois informaticiens de Bell, on donc entamé une compétition, développant chacun un programme qui devait se charger en mémoire vive de l'ordinateur, se reproduire, se réparer et se cacher, tout en détruisant ou inactivant le programme des deux autres. Ils appelèrent ce jeu "Core War".

Plus tard, en 1984, le magazine "Scientific American" met en place un jeu, qui posera les bases des virus. Le principe était d'écrire de petits programmes infligeant des dégâts aux autres programmes tout en proliférant.

Enfin, en 1986, le premier virus qui infecta ARPANET fit son apparition : (C)Brain.

Un virus est donc un petit programme qui est intégré à un autre programme informatique, dans le but de nuire au fonctionnement de la machine infectée. Une fois qu'une machine est infectée, par intervention humaine, le virus ne se propagera que par l'intervention d'un humain par l'échange de données informatique (emails, CDs, fichier Word, Exel ..., films, images, petits jeux, clés USB ...ect).
Un virus compte donc sur la curiosité et la stupidité (excusez du peu) des utilisateurs, pour se propager. En effet, un grande majorité des utilisateurs ouvrent sans discernement les pièces jointes aux emails, sous pretexte que c'est un petit jeu sympa.
Effectivement, le jeu est rigolo/sympa/nul (Rayer la mention inutile), mais pendant que le jeu s'exécute, le virus est installé sur la machine. Bien entendu le mail précisera de bien le faire suivre à tout son carnet d'adresse si le jeu vous plait ... chose que beaucoup de gens font, c'est écrit de faire suivre à tout le monde sinon la barbe va nous pousser jusqu'au genoux, on aura une haleine de gnou, et les mites envahiront notre garde robe. Et comme je tiens à mon dernier costard acheté pour le mariage du cousin Paulo, ben j'ai pas envie d'avoir des mites, donc je fais suivre le jeu, infectant à mon tour une dizaine de personne.
Je parle ici d'un jeu, mais c'est la même chose avec les jolies présentations powerpoint (Mais si vous savez, les petites histoires pleine de morale ...), ou les images drôles.

Qu'est ce qu'un ver ?

A contrario du virus, le ver n'a pas besoin de votre intervention pour s'inviter sur votre machine. Le ver à cette faculté de se propager tout seul.
Le principe est le même que le virus, mais le code, va inclure une exploitation de faille par laquelle il pourra se propager.
Une fois sur votre machine, le ver va scanner des réseaux entiers à la recherche d'une vulnérabilité qu'il sait exploiter, pour se propager. C'est le cas de W32.Slammer qui utilise une faille de SQL2000 pour s'inviter sur le serveur distant.

Je ne rentrerai pas ici dans le détails des différents virus, ni des différents vecteurs d'attaque, il est juste important de noter que le virus se propage en exploitant la naïveté et la crédulité des utilisateurs. Un anti-virus à jour est indispensable aujourd'hui lorsque sa machine est connecté sur Internet. On estime l'espérance de vie d'une machine se connectant à Internet de 20 secondes ! C'est à dire que 20 secondes après votre connexion, votre machine va être attaquée, si vous n'avez pas d'anti-virus à jour, en quelques heures de surf, votre machine sera une vraie boite de Pétri !
Enfin, apprenez à ne pas ouvrir n'importe quel mail, et a toujours regarder d'un oeil suspicieux, les pièces jointes à des messages dont vous ne connaissez pas l'expéditeur. Ne comptez pas que sur votre anti-virus, les virus/vers d'aujourd'hui savent désactiver les antivirus ! (Surtout Norton, et pourquoi Norton AV, simplement parce qu'il est l'un des plus répandus ...)
Pour couper court à tous les trolleurs de la planète qui prétendent que parce que ils sont sous GNU-Linux ou Mac OS, ils ne risquent rien et n'ont pas besoin d'antivirus : FAUX !
Aujourd'hui, le but d'un virus ou d'un ver et de se propager le plus rapidement pour accomplir son méfait, or, pour se propager rapidement, il a besoin de toucher un maximum de machines, et quel est l'OS le plus utilisé sur la planète ? Windows. Cependant, il existe des virus pour MAC et des virus pour GNU-Linux.
Etant un ferveur défenseur de GNU-Linux, je ne m'intéresse pas à ce genre de troll bien poilu, si les GNU-Linuxiens, se croit à l'abri et ne veulent pas admettre qu'ils ont besoin d'un antivirus à jour, ils seront drôlement surpris, quand leur OS favoris occupera plus de 5% des ordinateurs personnels mondiaux et que cet OS commencera a intéresser les développeurs de virus.

W32.Slammer :

Ce vers a été detecté dans sa première forme en janvier 2003, et mis à jour en février 2007. Ce ver s'attaque aux systèmes exécutant MSQL Server 2000, et il envoi des paquets de 376 octets sur un port réservé par MSQL. Entraînant un deny de service.
Le ver crée un trafic continu sur des adresses IP générées de façon aléatoire, en tentant de s'expédier lui-même à des hôtes qui exécutent le Service de Résolution de Microsoft SQL Server et écoutent sur ce port.

Source : CVE-CAN-2002-0649

A vos mises à jour !

Et n'oubliez pas : Have fun !

Des boites emails et un site web piratés...

Bertrand Arquilliere — Tue, 14 Aug 2007 09:28:00 +0200

Ce sont les boites emails de Johnny Halliday, Michel Sardou et Jean-Claude Camus qui sont piratées depuis plus de 5 ans !
Quant au site web, ce n'est rien de moins que le site officiel de l'ONU qui affichait un message de protestation à la politique des US et d'Israël au Moyen-Orient.

Il y a de ça 6 ans, Michel Sardou a fait appel à un informaticien pour venir lui configurer son ordinateur. L'informaticien en manque de sensations fortes en a profité pour installé un logiciel espion (Spyware) qui surveillait tous les emails entrant et sortant du chanteur et les envoyés en copie à l'apprenti pirate.
Ensuite, cet informaticien, commentait les emails et en faisait profiter sa bande de copains pirates jusqu'au jour où :
Alors qu'il venait de commenter un email, et qu'il s'apprêtait à le transférer, il a cliquer sur le bouton "Répondre à tous" ... Johnny étant dans les destinataires, a immédiatement prévenu son avocat.

C'est pendant l'instruction du dossier que les gendarmes ont découverts que les boites emails de Johnny et de Jean-Claude Camus avaient elles aussi étaient piratées.

L'informaticien apprenti-pirate (Oui installé un spyware ne mérite pas mieux comme qualificatif que apprenti), âgé de 45 ans sera présenté à la justice en septembre. Les charges retenues sont : Atteintes au secret des correspondances.

Et dans le même temps, la BBC se faisait l'écho d'un piratage (défacement) du site Web de l'ONU, où des pirates Turcs ont affichés pendant quelques minutes leur message de protestation :

Piraté par Kerem125, Mosted et Gsy qui sont des cyberprotestants. Eh, Israël et les États-Unis, ne tuez pas les enfants et d'autres personnes, paix éternelle et pas de guerre.

La présomption de la nationalité d'origine des pirates vient du fait, que ces 3 pseudos sont connus pour avoir défacés d'autres sites.

Source de l'image : BBC

Brute Force : Kézako ?

Bertrand Arquilliere — Mon, 13 Aug 2007 14:49:00 +0200

A la demande de Frame sur le dernier top 3 des attaques, voici donc une introduction à une attaque très fréquente sur vos mots de passe : le brute force.

Nous allons voir, sans entrer dans les détails trop technique, comment la solidité d'un mot de passe peut être testée, quelles sont les différentes méthodes. Enfin, nous verrons comment choisir un mot de passe qui résistera plus longtemps que les autres à ce type d'attaque, et quelques habitudes qu'il faut impérativement abandonner.

Le couple login et mot de passe constitue bien souvent le dernier rempart, la dernière protection entre vos données et les utilisateurs indiscrets (concurrents, famille, employés, patron ...).

Il est aujourd'hui impossible pour un utilisateur de l'informatique de ne pas avoir de mot de passe, il est le sésame pour donner accès à un tas d'applications, et de données (emails, compte en banque, administration de blog ...), et pourtant, très souvent mal choisis, le mot de passe est d'une solidité discutable.

Il existe plusieurs façons d'obtenir le mot de passe de quelqu'un, l'une d'elle consiste à faire un peu de social engineering, c'est à dire exploiter les faiblesses humaines de tout un chacun.
Qui n'a jamais offert son aide lorsqu'elle est réclamée par quelqu'un d'à priori moins fort que nous ?
Un exemple très simple de social engineering en entreprise, avec mon téléphone, j'appelle la secrétaire d'un manager en congés, et je me fais passer pour un technicien du service informatique (N'essayez pas, c'est illégal, mais je vous garanti que dans une entreprise de plus de 60 personnes, ça marche à TOUS les coups):

"Madame Tartanpion, assistante de Monsieur Dabosse, bonjour"
"Bonjour Madame, excusez moi de vous déranger, je suis Hector, le stagiaire à l'équipe réseaux, on a détecté un problème sur la messagerie de monsieur Dabosse, et nous devons urgement nous connecter sur son compte pour effectuer une mise à jour, est-ce que vous pouvez me donner son mot de passe s'il vous plait ..."
"Je ne sais pas si je peux vous le donner ..."
"C'est très important, Monsieur Rezo, le responsable informatique m'a demandé de faire ce travail avant la fin de sa pause déjeuner, je ne suis que stagiaire et je tiens absolument à le satisfaire, j'ai vraiment besoin de votre aide"
"Oui, alors son mot de passe est : 230870"
"Merci Madame Tartanpion, si vous avez besoin de quoi que ce soit en informatique, n'hésitez pas à me contacter, ça sera avec plaisir et je saurai me libérer pour vous accorder un peu de temps. Au revoir"
"Merci Hector, je n'oublierai pas. Au revoir"

Durée de l'appel : 25 secondes (Maximum)... Et notre Hector se retrouve avec le mot de passe d'un manager, en profitant de la gentillesse de son assistante.
Le Social Engineering ne se résume pas à cet exemple de coup fil, mais couvre de multiples facettes. Vous seriez surpris de tout ce qu'on peut apprendre le soir tranquillement installé à une table de bar, en entamant le dialogue avec son voisin (Voisin qui n'as pas été choisis innocemment ...), ou simplement en discutant à la cantine avec ce Monsieur Dabosse, vous êtes marié ? Comment s'appelle votre femme, vous êtes de quelle année, on m'a dit que c'est aujourd'hui votre anniversaire ... Autant de questions anodines qui peuvent aider Hector à deviner un mot de passe.

A ce stade de cette présentation, que celles et ceux qui n'ont JAMAIS choisis en mot de passe leur date de naissance, celle du mari/femme/enfants, le prénom du mari/femme/enfants, le nom du chat/chien/poisson rouge ... lève la main !

Personne ! On a tous fait ça un jour ou l'autre. Ceux qui le font encore, il est grand temps de changer votre mot de passe.

Une autre méthode pour obtenir un mot de passe, c'est le brute force. L'idée étant de deviner le mot mot de passe d'un utilisateur en essayant un une liste de mot de passe jusqu'à trouver le bon.
Pour ce faire de nombreux outils sont disponibles, on donne en paramètre de l'outil un fichier contenant des login, un fichier contenant des mots de passe, et un site/application a tester. A une vitesse incroyable, l'outil va tester chacun des couples login/mot de passe possible en fonction des fichiers, et affichera les couples qui fonctionnent.
Ce type d'attaque est dite "Attaque au dictionnaire", en effet, on fournit à l'outil un dictionnaire de mots qui seront testés. On trouve sur Internet des dictionnaires très complets classés par thèmes : "Prénoms féminin", "Prénoms masculin", "Acteur/actrice de cinéma", "Nom de villes" ... ect. Bien souvent cette attaque va fournir en moins de quelques secondes le mot de passe de plusieurs utilisateurs d'une entreprise.

Toujours dans les attaques en Brute force, on peut aussi générer le mot de passe à la volée en testant toutes les combinaisons possibles d'une chaîne de caractères. Il est évident que plus la chaîne sera longue, plus il faudra du temps pour découvrir un mot de passe, mais cette méthode est plus complète, car elle permet de découvrir des mots qui n'existent dans aucun dictionnaire (par exemple : AZ67bhj89).
Le principal soucis de ce type d'attaque c'est la verbosité, en effet, lors d'une analyse des logs, l'administrateur réseau (Monsieur Rezo) se rendra bien compte de ce nombre inhumain de tentative de connexion (plus de 5 / seconde selon l'outil utilisé)

Les mots de passe sont stockés quelque part sur le serveur, de façon chiffrés rassurez vous, un utilisateur, peut donc récupérer sur sa machine la liste des mots de passe chiffrés et conduire dessus une attaque en Brute Force sans laisser de traces de tentatives de connexion.
Il va récupérer ledit fichier (Ce n'est pas le but de ce billet que de décrire quels sont les moyens de voler ce fichier ... mais avec un petit coup de XSS sur un serveur mal configuré ...), et lancer un outil chez lui sur sa machine, qui va chiffrer tous les mots du dictionnaire et comparer le résultat avec le contenu du fichier ... C'est plutôt lent comme méthode, mais efficace.
Pour aller toujours plus vite dans le cassage de mots de passe, il existe aussi des rainbow tables, ce sont simplement les fameux dictionnaires, dont chacun des mots est déjà chiffré selon la méthode de chiffrement du système cible
Les Unix et les Windows n'utilisent pas la même méthode de chiffrement, chaque dictionnaire doit donc être chiffré dans chacune des méthodes possibles avant d'être redistribué.
Il va de soit, que ces outils savent aussi repérer immédiatement un mot de passe vide, ou dont le nombre de caractères est inférieur à 8. Ce qui introduit bien la conclusion de ce billet de présentation :

Comment choisir un mot de passe solide ?

La première règle, c'est que votre mot de passe ne doit être contenu dans AUCUN dictionnaire, de quelques langues que ce soit. Votre mot de passe doit faire un minimum de 12 caractères et idéalement plus de 16 (plus c'est long plus c'est bon ... ), et enfin votre mot de passe doit contenir en plus des caractères alphanumèriques, des caractères spéciaux. N'hésitez pas non plus à mixer les lettres majuscules et minuscules.

Recette : Mot de passe gratiné.

Temps de préparation : 3 minutes
Difficulté : Débutant
Ingrédients :
Un proverbe, une pincée de caractères spéciaux, une date de naissance.

Bien choisir votre proverbe, il doit peser plus de 4 mots. Dans cette recette j'ai choisis un proverbe en provenance du Tibet : "Plutôt que de te lamenter sur l'obscurité, allumes une chandelle".
Emmincez le proverbe pour en extraire la première lettre de chaque mot : "Pqdtlsloauc".
Séparez en les alternant minuscule et majuscule "PqdTLsloAuC"
Incorporez une année de naissance en début ou en fin d'émincés "74PqdTLsloAuC"
Parsemez le tout de caractère spéciaux (éàùèç&#{}$£*µ/!§ ...).
Vous obtenez alors quelque chose comme ça : "74PqdTLs#loAuC*%".
qui sera indigeste pour les attaques en brute force

Voilà un mot de passe garanti pour quelques années (Et facile à retenir) !

Enfin, voyons quelques mauvais habitudes qu'il faut perdre dès à présent :

Votre mot de passe est personnel, vous ne devez en aucun cas le donner à qui que ce soit. Vos responsables informatiques n'en ont pas besoin, et vos collègues encore moins !
Votre mot de passe ne doit pas être griffonné sur un post-it collé sous votre clavier, ou derrière votre écran ou sous le bureau !
Ne jamais choisir un mot de passe ayant un lien direct avec vous, mot de passe qui sera donc dévoilé malgré vous lors de discussions informelles.

Have fun ! Et tous à vos claviers pour changer vos mots de passe et faire un peu de ménage sur votre bureau

Sensibilisation à la sécurité des S.I

Bertrand Arquilliere — Mon, 13 Aug 2007 10:32:00 +0200

Ou, de l'utilité de ce blog
ou bien encore, un petit bilan sur le pourquoi/comment des visiteurs sur mon blog ...

Voilà quelques temps que ce blog est en ligne, et comme aujourd'hui est plutôt calme au travail, je me livre à un exercice de bilan, que certain font régulièrement.
La première chose qui me frappe, c'est le nombre de visiteurs arrivant ici suite à une recherche sur le moteur de recherche leader de son domaine : Google.

25,1% des visiteurs arrivent donc ici suite à une recherche sur Internet, le moteur en tête des recherches est Google (97.4%), suivi de très loin par Yahoo (1%) et enfin Voilà, aol et Search (avec chacun 0.5%)
Par quels mots clés ?
A ma grande surprise, le mot clé ayant généré le plus de visites est "Sténographie" avec plus de 15.2% alors que mon billet sur la sténographie se classe loin dans le classement des pages les plus visitées (voir plus loin)
Ensuite le mot clés ayant généré le plus de visites depuis les moteurs de recherche est : "Bertrand Arquilliere" avec environ 8% des visites ...
Citons quelques mots clés ayant engendrés une visite ici :
RSSI, ENSOA, CEH, goulin (???), Sysadminday, hacker ...
Certains posent même une question à leur ami Google : "Comment pirater un serveur ?" ou encore : "Qui est Bertrand Arquilliere ?" ou "Comment voler des mots de passe ?"
Je vous passerai donc les détails de mon analyse des visites en provenance de Google, mais il semblerait qu'une grande majorité des visiteurs arrivent ici en recherche de quelques mauvais coups informatique à faire, ils cherchent des outils faisant un hack pour eux ... A ces gens là, je leur conseille donc avant toute chose la lecture d'un excellent ouvrage : "Les Réseaux" par Andrew Tannebaum en vente dans toutes les bonnes librairies.
Pour ceux qui cherchent des informations sur moi, je vous invite soit a me laisser un commentaire dans le livre d'or, je vous recontacterai si votre proposition n'est pas malhonnête et si elle est sérieuse. inutile de m'envoyer des emails pour me demander de pirater la messagerie de votre mari/femme même en échange d'argent (Je reçois ce genre de proposition environ 2 fois par mois).

Ce qui est intéressant c'est que 50% des visiteurs viennent d'un site contenant un lien vers ce blog, voyons un peu les 10 sites m'ayant envoyés le plus de visiteurs :

Viadeo : 27.47%
blog.rhonealpesjob.com : 11.81%
communication35.blog.ouestjob.com : 9.61%
frederic.blog.sudouestjob.com : 7.14%
dotclear.net : 6.04%
moderateur.blog.regionsjob.com : 3.86%
lionelschwartz.blog.estjob.com : 3.57%
rhonealpesjob.com : 3.57%
netvibes.com : 3.02%
webmarketing.blog.sudouestjob.com : 3.02%

Toutes sources confondues, les 5 billets les plus lus sont :
Hackito Ergo Sum
Fiche métier : RSSI
Fuite d'informations par un CRM : Cross Site Scripting
Un petit exercice de Sténographie
Question ouverte à tous les lecteurs

Enfin, les visites proviennent de 27 pays différents, je ne vais pas tous les citer ici, mais du coup je me pose la question de la double publication de mes billets : Français et Anglais.

Pour terminer, il me manque les informations concernant le nombre d'abonnés au flux RSS, mais tant pis.

Afin de continuer a faire vivre ce blog, et manquant parfois d'inspiration ou simplement d'une idée de billet, je profite d'une requête de Frame, en vous ouvrant encore plus ce blog et en vous proposant de partager avec vous mes connaissances de la sécurité informatique, ainsi, si vous avez des questions, si vous souhaitez avoir des éclaircissements sur quelque chose, ou simplement une introduction ou une courte présentation d'un événement bien particulier de la sécurité informatique, n'hésitez pas.
Au même titre que la boite à idées de notre cher modo, je vais en créer une ici, usez en, abusez en, elle est là pour ça. Plus vos questions seront nombreuses, plus l'ensemble des lecteurs sera sensibilisé à la sécurité des S.I.
Merci et au plaisir de vous lire très bientôt sur vos blogs et ici même pour vos questions.

Cross Site Scripting ... la suite

Bertrand Arquilliere — Thu, 09 Aug 2007 13:59:00 +0200

Dans un billet précédent, je vous ai expliqué les bases du Cross Site Scripting (XSS), en incluant un exemple d'une attaque stockée par le serveur (Rappelez vous : un outil de CRM acceptant du code HTML ou JavaScript dans les commentaires.
Voyons aujourd'hui une attaque XSS par injection de paramètres et nous verrons un exemple fictif de ce qu'on peut faire avec ce genre d'attaque sur un site vulnérable.

Je ne reviendrais pas sur la présentation de ce qu'est le XSS ici, si vous voulez vous en souvenir, je vous invite à lire le billet précédent sur ce genre d'attaque en cliquant ICI.
Nous avons vu qu'il est dangereux de laisser à un utilisateur de votre site la possibilité de saisir du code HTML ou JS, voyons maintenant une autre entrée possible : une attaque de type XSS par passage de paramètres.

DISCLAIMER :

ATTENTION : L'exemple fournit ci-dessous est fictif, il est présenté dans un but pédagogique, je ne saurai être tenu pour responsable de quelques manière que ce soit si vous utilisez cette technique. Le piratage informatique est un acte illégal répréhensible par la loi.

Introduction :

Certaines applications web, bien que ne laissant pas à un utilisateur la possibilité de stocker son attaque XSS sur le serveur, sont vulnérables par injection de paramètres.
On se rend compte, que souvent, l'URL d'une application contient bien plus d'informations que la simple localisation de la ressource, comme par exemple des paramètres de session, c'est sur cette partie de l'URL qu'un attaquant va essayer d'agir, nous verrons tout à l'heure comment on peut accéder à vos comptes bancaire en ligne sans s'authentifier !
Cette vulnérabilité est facilement vérifiable en appelant une page (depuis votre navigateur favori) qui n'existe pas sur le serveur, avec du code HTML dans l'URL : par exemple www.une-banque-.fr/<B>blabla.html</B>
Si la page affichée en retour est :

You don't have permission to access /<B>blabla.html</B> on this server.

The document /<B>blabla.html</B> does not exist on this server.

ou tout autre message contenant littéralement votre code HTML, alors le site n'est pas vulnérable. En revanche, si la page affichée ressemble à ça :

The document blabla.html does not exist on this server.

Alors il y a de forte chance que le site soit vulnérable à une attaque de type XSS.

Attention : Il est possible que ce test soit faux alors que le site est vulnérable par d'autres portes d'entrée, en effet, si le site ne semble pas vulnérable par cette méthode, il faut en essayer une autre : Forcer l'application a délivrer un message d'erreur afin de tester le script délivrant les erreurs.
Imaginons qu'après quelques essais, je trouve que les pages d'erreurs sont générées par une page en php err_msg.php, il nous faut alors tester la vulnérabilité sur cette page en appelant toujours le même paramètre : <B>blablabla</B>, ce qui donnera l'URL de test suivante : www.une-banque-.fr/err_msg.php?msg=<B>blablabla</B>
Si le mot blablabla apparaît en gras quelque part sur la page d'erreur, le site est vulnérable.

C'est vulnérable, mais qu'est ce qu'on peut en faire ? :

Simplement envoyer un email à un utilisateur,contenant un lien HTML, vers le site vulnérable sur la page d'authentification, en incluant un script qui récupérera les informations saisies ou les cookies de connexion, afin de tenter une attaque en rejouant le cookie d'authentification. (Hijacking par rejeu, ou sidejacking, ou selon le cookie vol de mot de passe
Notre exemple fictif se base sur un site bancaire vulnérable et l'attaque sera en XSS bien entendu, aboutissant sur un sidejacking...

Un exemple :

L'attaque va se dérouler en 7 étapes, comme sur le schéma ci dessous.

Figure 1 : Attaque XSS par imposition d'un cookie.

Etape 1 : Le pirate va ouvrir la page d'authentification d'un serveur bancaire dans son navigateur, en retour le site bancaire va lui fournir un cookie de session.
Le pirate envoi une requête contenant les éléments suivants :
GET auth.jsp HTTP/1.0
host : www.banque.fr

Etape 2 : En retour le serveur inclut dans sa réponse l'élément suivant :
set-cookie : JSESSIONID=0987654321

Etape 3 : Le pirate va envoyer un email en HTML à sa victime, l'email contiendra un lien vers le site de la banque, formaté de la façon suivante :
<a href=http://www.banque.fr/erreur.jsp?msg=<script>document.cookie= "JSESSIONID=0987654321;domaine=.banque.fr"</script>

Etape 4 : La victime va se connecter sur le site de sa banque en ligne, en prétendant avoir le cookie de session imposé par le pirate ...

Etape 5 : La page d'erreur va exécuter le script dans le contexte du client et rediriger la victime vers la page d'authentification.

Etape 6 : La victime s'authentifie sur son site bancaire en utilisant le cookie de session imposé par le pirate. Sur le serveur, ce cookie de session est désormais validé en tant que client authentifié.

Etape 7 : Le pirate va recharger la page du site bancaire en utilisant le cookie de session fournit lors de la première connexion. Le cookie étant valide sur le serveur comme session authentifié, le pirate a désormais accès à vos comptes bancaire !

Comment se protéger (au niveau utilisateur):

La méthode de protection est simple : REFUSEZ les emails en HTML, et ne cliquez JAMAIS sur un lien reçu par email. Notez l'URL du lien et saisissez la manuellement dans la barre d'adresse de votre navigateur.

Demain je vous présenterai un dernier Proof of Concept d'exploitation XSS, qui est utilisable dans une attaque stockée ou par injection de paramètre. Cette attaque aboutira bien sûr soit à un vol de session (Hijacking) soit à un vol d'identifiants de connexion.

En réponse à un email reçu suite à ce billet : Oui il est possible de lire les emails de la victime avec cette méthode (Si le site est vulnérable), non je ne le ferrai pas même contre finance !

Un virus pas vraiment mélomane

Bertrand Arquilliere — Mon, 06 Aug 2007 10:11:00 +0200

Fin juillet, un virus de faible dangerosité pour votre Windows a fait son apparition, s'il ne fait pas parler de lui pour sa forte vitesse de propagation, il fait parler de lui pour son aversion vers vos fichiers musicaux (MP3).

Ce virus connu sous le nom de W32.deletemusic ou W32/deleteMP3.worm se duplique sur l'ensemble de vos disques dur et sur les médias attachés à votre ordinateur (clés USB, disque externe ...). Il s'active dès lors que vous accéder à l'un de vos disques ou média externe, et il s'active bien sûr au démarrage de Windows.
Une fois sur votre système, il va purement et simplement supprimer tous les fichiers ayant l'extension MP3 de vos disques dur.
Espérons que vous avez fait une sauvegarde de vos MP3 favoris sur CD ou DVD (Si le MP3 acheté n'est pas protégé contre la copie privée par des DRM).
Les éditeurs de solutions anti-virus recommande de mettre à jour sur vos machines les bases de signatures virale, et fournissent un outil de suppression des vers dans le cas ou vous seriez infecté.

Faites aussi un petit tour dans votre boites aux lettres (emails, pas celle en bas de l'immeuble) pour supprimer les emails contenant des fichiers attachés avec l'extension vbs, src, bat, exe ...

Description de quelques éditeurs anti-virus :

Symantec
McAfee

Fuite d'informations par un CRM (Cross Site Scripting / XSS)

Bertrand Arquilliere — Fri, 03 Aug 2007 16:17:00 +0200

J'ai découvert hier une faille dans un logiciel de CRM (Customer Relation Ship Management) basée sur du Cross Site Scripting (XSS ou CSS).
Pour des infos sur le CRM, je vous invite à lire le billet de Lionel ICI.

Tout d'abord une rapide présentation de ce qu'est le cross site scripting auquel je ferrai référence dans ce billet par XSS :

Le XSS c'est le fait d'injecter du code HTML ou javascript non prévu dans une page envoyée par un serveur.
Le code est exécuté dans le contexte de sécurité du document envoyé, et l'HTML est interprété.

Une attaque de site XSS nécessite donc trois protagonistes :

L'attaquant
Un serveur (une application vulnérable)
Une victime

Il existe 2 méthodes pour injecter du code :

Le code est stocké par le serveur
Le code est injecté par les paramètres fournis à l'URL

Un CRM, permet à une entreprise (généralement éditeur de logiciels) de fournir une interface de communication via Internet à ses clients pour les demandes d'assistance, le signalement de bugs, et de communiquer avec les équipes de support/développement de l'entreprise fournissant le service.

Chaque utilisateur enregistré dans le CRM est associé à un ou plusieurs projets, lui permettant ainsi de suivre l'évolution des incidents saisis pour les projets dans lesquels il est impliqué. Généralement les personnels des équipes de support ont accès à l'ensemble des projets.

Ma société achète donc un logiciel fourni par la société Acme. Acme fournit à une liste d'utilisateurs restreints un accès au CRM avec une authentification basée sur leur adresse email. Lorsque je me connecte avec mon compte, je n'ai accès qu'à la liste des incidents de ma société ouverts chez Acme.
Pour saisir un nouvel incident, je dispose d'une page web divisée en deux parties : les headers me permettant de définir un degré de sévérité et une priorité pour mon incident. La deuxième partie, est en fait une zone de saisie, comme on en trouve sur tous les forums et blogs pour laisser des commentaires. C'est cette deuxième partie qui retient mon attention, en effet, lorsque dans cette partie je saisie du texte entre des balises HTML, alors l'HTML est interprété.
Par exemple, si je veux insister sur un mot en particulier, et donc le faire apparaître en gras, je saisis : <B>un mot</B>.

Si après enregistrement de l'incident le mot apparaît en gras alors, le comportement du CRM est anormal, les balises HTML ne devraient pas être interprétées.

Vous allez me dire : je peux mettre des mots en gras ... la belle histoire !

Si on regarde la brève description d'une attaque de type XSS ci-dessus, on voit qu'au lieu de mettre de l'HTML je peux mettre du javascript.

Imaginons alors le scénario suivant :

Je me connecte avec mon utilisateur habituel, et j'ouvre un nouvel incident, dans la partie commentaire, au lieu de saisir du texte, je mets un script malveillant, qui me permet par exemple de voler le login et mot de passe de toute personne lisant cet incident (voir mon Proof Of Concept sur Firefox 2.0.5/6 par exemple) et qui envoie par un moyen ou un autre ces identifiants sur un email crée pour cela. Ou à défaut, je peux aussi voler les cookies d'authentification.
Je n'ai plus qu'à attendre, et lorsque un membre de l'équipe support lira mon incident, je recevrai son login et son mot de passe, me donnant ainsi accès en lecture/écriture à l'ensemble des événements saisis dans le CRM (y compris les incidents ouverts par les concurrents de ma société utilisant le même logiciel de Acme).
A partir de là, je peux donc saisir un commentaire bidon dans un des incidents d'un concurrent, afin de récupérer son login et son mot de passe sur le CRM, et une fois effectué, je n'ai plus qu'à faire quelques recherches et, pariant sur le fait que notre utilisateur concurrent utilise le même mot de passe sur le CRM que pour son email, je peux lire les emails de mon concurrent !

Pire : imaginons que ce ne soit pas l'équipe de support ou de dev qui lise mon premier incident, mais l'administrateur du CRM, je n'ai plus qu'à me connecter sur l'interface d'administration du CRM, me créer un utilisateur avec des droits d'administrateur sur tous les projets, effacer les traces de mon attaque initiale en XSS, et je me connecte paisiblement tous les jours pour surveiller les incidents de mes concurrents.
Ensuite, je suis presque certain que le mot de passe administrateur du CRM est identique au mot de passe administrateur ou root du serveur hébergeant le CRM, et que pour des besoins de support, ce serveur héberge sans nul doute un serveur FTP et accepte peut être même les connexions SSH.
... ect.

La suite n'a pour limite que votre imagination et/où vos besoins en terme d'espionnage industriel.
Je vous rassure tout de suite, cette plateforme de blogs n'est pas vulnérable aux attaques en XSS (si si j'ai essayé le premier jour).

Afin de se prémunir de ce genre de désagrément, si vous hébergez dans votre entreprise un outil de CRM, vérifiez qu'il n'interprète pas les balises HTML, faites le test tout simplement.
Si vous êtes client d'un CRM vérifiez que vous ne loguez pas des incidents sur une plateforme vulnérable et si c'est le cas, exigez de votre fournisseur qu'il corrige cette vulnérabilité dans les meilleurs délais.

Have fun !

+-+-+-+-+-+-+-

DISCLAIMER :

Je garanti que je n'ai pas exploité cette faille pour le compte d'aucune entreprise en vue d'une action d'espionnage industriel. Je garanti aussi le caractère non intrusif du proof of concept mis en place sur un CRM . J'ai immédiatement prévenu de cette faille les autorités des entreprises inpactées.

+-+-+-+-+-+-+-

Classe : Input Validation Error

Remote : Yes

Local : No

Published : 02/08/2007 4:37 PM

Updated : 03/08/2007 8:54 AM

Credit : Bertrand Arquilliere is credited with the discovery of this vulnerability.

Vulnerable : CRM from Acme

Not Vulnerable :

+-+-+-+-+-+-+-

Description :

Le CRM de Acme ne sanytize pas correctement les données envoyés par les utilisateurs connectés au CRM, permettant l'injection de code malveillant ou de code HTML lors de la saisie d'un incident. L'attaque permet alors de voler les éléments d'authentification basés sur des cookies, et à partir de là lancer d'autres attaques

+-+-+-+-+-+-+-

Exploit :

Un utilisateur authentifié peut saisir un incident contenant du code malveillant dans le CRM en utilisant son navigateur.

Proof of Concept :

Inclure dans une zone de saisie le code suivant : <script>alert("This CRM is vulnerable to XSS attacks")</script>
Enregistrer l'incident et l'afficher.

Autre voie d'exploitation :

Dans le champ "search" saisir le même texte que ci-dessus : <script>alert("This CRM is vulnerable to XSS attacks")</script>

Cliquer sur le bouton Search

+-+-+-+-+-+-+-

Solution :

Je ne suis pas au courant d'un patch fourni par l'éditeur.

+-+-+-+-+-+-+-

Reference :

None

+-+-+-+-+-+-+-

EDITEà 16h15 : Je viens de prévenir l'éditeur du logiciel et lui ai annoncé que je ne rendrais publique cette faille que dans un mois, soit le 03 septembre 2007. j'ai donc supprimé de ce billet toute référence à l'éditeur concerné, remplaçant son nom par Acme.
Je ne manquerai pas de vous tenir informé des réponses/réactions de cet éditeur.

Qu'est ce que la sécurité des systèmes d'informations ?

Bertrand Arquilliere — Thu, 02 Aug 2007 13:08:00 +0200

Vous trouverez dans ce billet l'introduction à mon document sur la sécurité des S.I écrit l'année dernière et disponible ICI

La continuité des opérations et le fonctionnement correct des S.I est un point crucial dans la vie d’une entreprise. Les menaces pour les processus et l’information informatisés sont des atteintes à la qualité du produit, à l’efficacité d’une entreprise et à son image de marque.

L’objectif de la sécurité des S.I est de prendre des mesures pour limiter ces menaces et réduire le risque à un niveau acceptable. La sécurité des S.I et le management du risque sont étroitement liés à la qualité. Les mesures de sécurités prises, doivent l’être après une étude de risque, et en harmonie avec les structures de qualité, de services et les processus en place dans l’entreprise.

Que devons nous protéger : Contre qui et contre quoi ?

La sécurité, c’est la protection de l’information, des systèmes et des services contre les désastres, les erreurs, les attaques et les manipulations, afin que les impacts soient minimisés.

La sécurité des S.I est composée des éléments suivant :

Confidentialité : Les objets de l’entreprise (processus, produits, informations) sont accessibles UNIQUEMENT aux personnes explicitement autorisées. Des contrôles sont nécessaires pour accéder à ces objets. Ils doivent être clairement définis et identifiés.

Disponibilité : Le fait d’avoir les objets de l’entreprise disponibles lorsqu’on en a besoin. Chaque objet doit être classifié selon des critères de disponibilité.

Intégrité : L’entreprise a besoin de contrôler la modification de ses objets. Des contrôles sont nécessaires pour certifier que les objets sont complets et sont bien ceux de l’entreprise.

Compatibilité avec la loi : Les informations stockées, traitées, utilisées ... le sont dans le cadre législatif du pays en vigueur (CNIL, clé de chiffrement ... etc).

Pour en savoir plus, je vous invite à lire le document "Sécurité 1.2" disponible dans mes liens ou en cliquant ICI.

N'hésitez pas à me donner votre point de vue sur ce document, me signaler des erreurs, bref me dire ce que vous en pensez. Merci

Firefox 2.0.6

Bertrand Arquilliere — Tue, 31 Jul 2007 09:17:00 +0200

Firefox 2.0.6 est sorti, corrigeant la faille des URI qui avait été découverte dans la version 2.0.5.

Vous pouvez attendre la mise à jour automatique, ou bien cliquez sur le "?" dans la barre des menus puis cliquer sur "Rechercher les mises à jour".
Vous pouvez aussi cliquez sur votre OS pour effectuer la mise à jour manuellement :

Windows

Mac OS X

GNU-Linux

Ayant fait la mise à jour, je vais de ce pas vérifier que la faille permettant le vol de mot de passe est-elle aussi (re)corrigée par cette nouvelle release.

Bonne mise à jour !

EDIT : Après un test, la faille permettant le vol de mot de passe des utilisateurs Firefox présente sous Firefox 2.0.5 est toujours présente dans la version 2.0.6. Je me permets donc de vous renvoyer au billet sur la faille de Firefox 2.0.5 ainsi qu'au Proof of Concept présent dans mes liens.
Les recommandations restent donc les mêmes : N'enregistrez pas vos mots de passe, ne suivez pas de lien reçu par mail lorsque vous ne connaissez pas l'émetteur et préférez tapez à la main l'URL si vous voulez vraiment vous rendre sur le site. Et enfin installez "NoScript", une excellente extension de Firefox qui vous mettra à l'abri de bien des soucis.

Afin de vous protéger de la faille présente dans la version 2.0.5, vous pouvez aussi éditer votre configuration de Firefox, pour ce faire, dans la barre d'URL, tapez "l'adresse" suivante : about:config
Dans le filtre tapez : protocol
Et enfin, mettez à la valeur false tous les paramètres commençant par :
network.protocol-handler.external. et network.protocol-handler.external-default.
Si cette configuration est trop contraignante pour votre travail, vous pouvez aussi faire en sorte que Firefox vous prévienne avant de lancer une application externe, vous évitant ainsi de mauvaises surprises.
Afin d'être prévenu lorsque Firefox tente de lancer une application externe et donner votre accord (ou pas) : mettez à true les valeurs network.protocol-handler.warn-external-default et toutes celles qui commence par network.protocol-handler.warn-external..

Pour changer la valeur d'un paramètre : double-cliquez dessus.

Cette configuration vous évitera, lorsque vous surfez sur des sites contenant du code malicieux exécutant des commandes sur votre machine, d'en subir les conséquences : envoi d'un email vers un pirate (il récupère ainsi votre adresse email), ouverture de port sur votre machine, installation de trojan ... ect.
Bien entendu cette méthode doit être cumulée avec des applications anti-virus et anti-trojan (kaspersky par exemple), anti-spywares (ad-aware 2007 par exemple).

Bon surf en toute tranquilité avec Firefox et "NoScript"

Une faille de sécurité dans VMWare

Bertrand Arquilliere — Mon, 30 Jul 2007 09:57:00 +0200

A l'heure où la virtualisation semble être la solution qui s'impose face aux problèmes de sécurité, une faille dans VMWare Workstation a été publiée samedi 28 juillet 2007

Comme à mon habitude, après une brève description, je vous livrerai dans les liens un "Proof of Concept".

Cette nouvelle vulnérabilité trouvée par l'équipe de recherche en sécurité GOODFELLAS et par un certain callAX, affecte l'outil de virtualisation VMWare Workstation 5.5.3.
Un contrôle activeX livré avec VMWare permet l'écriture de fichiers arbitraire, dans le contexte de l'application l'utilisant (Internet Explorer), sur votre disque dur, pouvant entraîner un DoS (Deny de Service), mais d'autres exploitations sont aussi possibles.

La DLL en cause est : IntraProcessLogging.dll, la méthode SetLogFileName ne vérifie pas si elle est appelée par l'application ou par un utilisateur mal-intentionné. Une attaque distante consiste donc à vous inviter à suivre un lien vers une page HTML spécialement conçu afin d'écrire un (plusieurs) fichier(s) arbitrairement sur votre disque dur.

Le Proof Of Concept ICI : va écrire à la racine de votre disque dur c: un fichier nommé arbitrary_file.txt, si vous naviguez sur cette page depuis un Internet Explorer lancé à partir d'une VMWare Workstation 5.5.3.
Il s'agit là du "Proof of Concept" tel que fournit par l'équipe GOODFELLAS, je n'en suis pas l'auteur !

Afin d'éviter ce genre d'ennui lorsque vous surfez sur le Net depuis une Vmware, l'équipe GOODFELLAS conseille donc de :

Activate the Kill bit zero in clsid:AF13B07E-28A1-4CAC-9C9A-EC582E354A24
Unregister IntraProcessLogging.dll using regsvr32.

J'ajouterais aux recommandations de Goodfellas les recommandations suivantes :

Ne suivez jamais un lien reçu par email si vous n'êtes pas sûr de l'emetteur

Même dans vos machines virtuelles, utilisez Firefox avec l'extension "NoScript"

Liens relatifs à cette info :

Firefox
VMWare

Firefox 2.0.5 et vol de mot de passe (Jouons un peu avec Firefox 2.0.5)

Bertrand Arquilliere — Tue, 24 Jul 2007 13:09:00 +0200

Une faille de sécurité corrigée en novembre 2006 est re-apparu avec Firefox 2.0.5

L'exploitation de cette faille nécessite deux choses sur votre navigateur dans sa version 2.0.5 :

Le javascript doit être activé.
Vous acceptez que Firefox se souvienne de vos logins et mots de passe pour vos prochaine connexions.

Généralement ces deux conditions sont remplies.

A titre d'exemple, j'ai repris (sans les images) la page d'authentification de cette plateforme de blog (Dotclear), le bouton submit de ferra rien, en l'occurence, une fois que vous avez saisi un FAUX nom et un FAUX mot de passe, cliquez sur le lien présent en bas de la page de démonstration.
Si vous avez lu mes précédents billets, vous utilisez sans aucun doute l'extension "NoScript" de Firefox, et vous n'êtes donc pas vulnérable. En attendant une correction de cette faille, je vous recommande de :

Utiliser NoScript avec votre Firefox

Ne pas enregistrer vos mots de passe.

Faire attention lors de vos connexions, d'être certain qu'il s'agit de la page habituelle.

Pour accéder à la page de démonstration cliquez ICI.

PS : Si ce blog vous a plu (ou pas) il vous reste deux jours pour voter pour lui et gagnez (peut être) un Ipod 2Go.

Nettoyage de son PC sous Windows

Bertrand Arquilliere — Tue, 24 Jul 2007 09:27:00 +0200

Afin de compléter (un peu) la liste des outils que j'utilise régulièrement, je vous présente aujourd'hui ClearProg

ClearProg est un outil écrit en Delphi, qui permet de faire le grand nettoyage sur son PC. Cet outil va supprimer tous les fichiers temporaires, nettoyer les traces laissées par votre surf sur Internet, vider le menu "Documents" ou "Recents" du menu Démarrer ... Extrêment facile d'utilisation, il est particulièrement efficace, je ne l'utilise pas pour gagner quelques Mo sur mon ordinateur, mais plutôt pour effacer un maximum de traces de l'utilisation de mon PC.

Après le téléchargement, et l'installation, il faut le configurer pour être certain qu'il fasse ce dont j'ai besoin. Lors du premier lancement de l'outil, la fenêtre de configuration apparaît, voyons un peu plus en détails les quelques point de configuration.

Par défaut clearprog apparaît sur la configuration pour Internet Explorer ou rien n'est coché, utilisateur de Firefox, je vais devoir donner à ClearProg mon profil, pour ce faire, cliquez sur Options, puis sur Netscape/Mozilla puis Choisir les profils. Une fenêtre va s'ouvrir (Deuxième image ci-dessous), affichant tous les profils netscape présents sur votre machine. Sélectionnez le votre en cochant la case et validez.

Sélectionnez ensuite votre méthode de suppression, comme vue précédement avec Eraser, je vous conseille la méthode de "Suppression physique".
Voilà, cochez ensuite sur "Tout supprimer", puis cliquez sur le bouton "Supprimer". Le tour est joué, votre PC sera propre comme un sous neuf
J'utilise cet outil tous les soirs avant de partir du bureau et tous les soirs sur mes ordinateurs personnels avant d'aller me coucher. Regardez les options, vous n'êtes pas obligés de tout supprimer, dans la frame en haut à gauche, vous pouvez sélectionner les éléments à supprimer, au lieu de cliquer sur "Tout supprimer"

Demain je vous présenterai un outil de sténographie, très simple et amusant.

PS : Le concours de l'été n'est pas encore fini, si ce blog vous a plu (ou pas) votez pour lui, et participez au tirage au sort pour gagner un Ipod 2Go ... bonne chance !

Google, ses cookies et notre vie privée ...

Bertrand Arquilliere — Thu, 19 Jul 2007 11:17:00 +0200

Cette semaine, Google annonçait officiellement, que le cookie délivré lors de nos visites sur leur moteur de recherche verrait sa durée de vie réduite à deux ans !

Que contient se cookie ? Comment se protéger de cette journalisation de nos recherches ?

C'est ce que je vais tenter de décrire dans ce billet.

Suite à cette annonce, je me suis penché sur ce fameux cookie Google afin de savoir, en quoi ma vie privée pouvait être atteinte, c'est assez effarant.

J'ai d'abord cherché tous les cookies appartenant à google.com présents sur ma machine, il sont au nombre de 9.

En affichant leur contenu, la première chose qui saute aux yeux c'est la date d'expiration. Certains de ces cookies sont valables jusqu'en 10238 ! Je serais mort depuis bien longtemps, et en plus entre temps j'aurais certainement changé de machine !
La deuxième chose c'est que ces cookies ont un ID unique permettant au célèbre moteur de recherche de comparer cet ID avec les recherches faites précédemment, et vous proposer ainsi les publicités les plus pertinentes possibles, ce qui m'emmène au troisième point : Toutes nos recherches sur Google sont enregistrées et liées à cet ID. Chaque ID étant unique pour chaque PC, il n'est ainsi pas difficile pour Google, avec une telle durée de vie sur ses cookies de connaître vos habitudes en terme de recherches et d'en déduire vos centres d'intérêts.

Ensuite, j'ai fait une recherche dans tous mes cookies afin de voir dans lesquels le mot google est présent, je retrouve l'ensemble des sites que j'ai visité suite à une recherche. Et le cookie contient non seulement mon ID, mais aussi les termes exacts de la recherche qui m'ont permis d'arriver sur le site.

N'étant pas bien fan de ce genre de pratique, j'ai cherché à m'en protéger.
Ma première réaction fût de prendre l'habitude de supprimer tous mes cookies en fin de "surf", on y pense pas forcément, et après quelques semaines on fini par oublier une fois sur 2.
J'ai donc cherché un moyen de bloquer ce cookie Google, et j'ai trouvé l'outil G-Zapper, qui permet via une interface graphique très intuitive non seulement de supprimer les cookies Google, mais aussi de les bloquer, protégeant ainsi ma vie privée de ce géant Américain.

Vous pouvez télécharger G-Zapper en cliquant sur le lien ci-dessous :
G-Zapper.

G-Zapper est utilisable gratuitement pendant 30 jours, et ensuite la licence coûte environ 25 euros.

Bon surf en toute quiétude pour votre vie privée Et n'oubliez pas de voter pour mon blog et remportez (ou pas) un Ipod 2 Go

Architecture et logiciels pour avoir un minimum de sécurité à la maison

Bertrand Arquilliere — Fri, 13 Jul 2007 10:34:00 +0200

Dans ce billet je vais vous présenter l'architecture et les logiciels que j'utilise à titre privée, chez moi, pour garantir un tant soit peu la sécurité de mes machines.

Suite à mon précédent billet, je me suis rendu compte que pour beaucoup de particuliers, la sécurité de ses ordinateurs domestiques est un vrai casse-tête, beaucoup se contentent d'une machine pas forcément à jour, et d'un logiciel anti-virus qui n'est pas forcément à jour non plus.
Je vais tenter de vous présenter ici comment j'ai sécurisé mon réseau à la maison afin de me mettre à l'abri des virus, troyens et autres malware. Nous verrons dans un premier temps l'architecture que j'ai déployé, à moindre frais, et enfin les logiciels que j'utilise.

ARCHITECTURE :

Un schéma vaut mieux qu'un long discours, voici donc un schéma succinct de l'architecture de mon réseau privée.

Quelques détails :

Mon modem ADSL est une boîte fournie par mon fournisseur d'accès avec mon abonnement ADSL, j'ai désactivé dessus la fonction WIFI et la fonction DHCP. De même, alors que mon adresse IP publique est fournie par mon FAI, je lui ai attribué une adresse interne (non routable) en 192.168.0.x et activé dessus la fonction de masquerading (certains appellent ça NAT : Network Adress Translation).

Mon Firewall est une vieille machine (P2 500 Mhz avec 512 Mo de RAM), sur lequel j'ai installé un GNU-Linux (Redhat), configuré en firewall avec iptables, ce firewall est la passerelle obligatoire pour mon réseau privée et pour ma DMZ, il dispose de trois cartes réseaux appartenant chacune à des réseaux différents : 192.168.0.0/24, 192.168.1.0/24 et 192.168.2.0/24. La fonction de routage est activée sur cette machine GNU-Linux. La "patte" sur le réseau 192.168.0.0/24 est directement reliée à mon modem ADSL, la "patte" sur le réseau 192.168.1.0/24 est relié à un hub qui dessert mon réseau privée, et enfin la "patte" 192.168.2.0/24 est reliée directement sur mon PC qui tient lieu de serveur Web et de Filer.

Or coût des PC dans le réseau privée et de mon serveur, il y a là pour environ 150 euros TOUT COMPRIS (+ abonnement ADSL).

SERVICES ET APPLICATIONS :

Modem : Sur le modem, tout le trafic entrant est redirigé sur le firwall,grâce à l'interface d'administration du dit modem. Rien de particulier à signaler.
Firewall : En plus de sa fonction de firewall, cette machine me sert de proxy HTTP (SQUID) et anti SPAM (Spam Assassin). Cette machine est chargée de récupérer mes mails sur Internet + antivirus grâce au Milter Clamav, et c'est donc sur elle que je vais les chercher (mes emails) depuis mon réseau privée. Ceci est réalisable grâce à l'installation de Sendmail (oui je suis un dinosaure et je ne suis pas passé à Postfix). Coût des licences des logiciels : 0 €

Serveur Web : C'est une machine Windows 2000, sur laquelle tourne un serveur Apache afin de servir les pages de mon site personnel, elle est accessible depuis Internet par, une redirection d'adresse sur le modem, et du routage sur le firewall, ainsi que d'un abonnement (gratuit) à dyndns. Coût des licences : Une licence Windows 2000 (Aucune idée du prix aujourd'hui). Cette machine est protégée par Un antivirus : Norton Antivirus 2002 (30 €/an). Deux anti-malwares : Spyware Blaster (0€) et ad-aware 2007 (0€), un outil de surveillance de la base de registre (Emet une alerte chaque fois qu'un soft essaye d'écrire dans la base de registre, c'est à moi d'accepter ou de refuser) : TcMonitor (0€)

Réseau privée : L'ensemble de mes machines présentes sur le réseau privée est protégé par Ad-aware, spyware blaster et l'antivirus Kaspersky (60 € pour deux machines). Je complète la sécurité de mon surf en utilisant Firefox avec quelques addons dont l'excellent "NoScript"". Afin de supprimer définitivement les fichiers de mes machines j'utilise "eraser" et j'envoie mes mails depuis Thunderbird, tous mes mails sont signés avec GPG.

COUT TOTAL DES MESURES DE PROTECTION :

Or coût des licences Windows 2000 et XP, les outils de protection et/ou de services sont pour la majorité des logiciels libre et gratuit (Logiciel libre ne veut pas dire logiciel gratuit !).

J'ai donc une licence Norton qui me coûte 30 € /an, et une licence Kapersky pour deux PCs qui coûte 60 € à l'achat (je ne suis pas encore au renouvellement de licence donc je ne connais pas le prix annuel).

Total : Un PC Firewall à moins de 150 € et 90 € de licences pour les antivirus soit 240 €. Ce qui ne fait pas bien cher par rapport à la relative tranquilité que j'ai face au virus et autres tentatives d'attaques sur mon serveur Web. Le masquerading sur le serveur Web décourage beaucoup de pseudo hackers, et je surfe en toute tranquilité grâce à Firefox plus quelques addons de sécurité.

Liens vers le téléchargement des outils cités :

spyware blaster
Ad-aware
kaspersky
Norton AV
TcMonitor
Firefox
NoScript
Apache
Sendmail
Clamav
eraser

Voilà si j'ai oublié quelque chose, si vous souhaitez plus d'explications, ou un coup de main pour vous aider à sécuriser un peu votre chez-vous, n'hésitez pas à me contacter.

PS : Le concours de l'été bat son plein merci de voter pour ce blog et gagnez peut être un Ipod 2Go