Les articles de MISC Hors-Série N°3

De nombreux outils et méthodes existent pour casser des mots de passe, au point qu'il peut être difficile de s'y retrouver. Cet article a pour ambition d'indiquer des pistes au casseur novice, mais également de rappeler aux plus aguerris qu'ils ont encore du pain sur la planche pour se constituer le nécessaire de cassage de mot de passe ultime.

Les documents malicieux se sont énormément développés depuis ces dernières années. Très largement déployés et sujets à de multiples vulnérabilités, ils sont devenus un vecteur d'attaque de choix pour un attaquant. Bien que Microsoft et Adobe aient manifestement fait des efforts pour durcir la sécurité de leurs produits (recherche de vulnérabilités en amont, sandboxing, désactivation des macros par défaut, …), de nombreux postes utilisateurs ne sont pas mis à jour régulièrement et continuent d'utiliser des versions vulnérables.

Lundi matin, au siège d'une grande multinationale. La cellule de réponse à incidents est sur le pied de guerre : les membres du comité de direction ont reçu un malware par courriel. À première vue, rien de bien nouveau ni de méchant : recevoir un virus par mail est d'une banalité à pleurer et les logiciels antivirus installés sur les postes des destinataires ont bien fait leur boulot en interdisant l'infection. Seulement voilà, Aurora [1], GhostNet [2] et autres opérations Night Dragon [3] sont passées par là et ont mis les nerfs du RSSI à rude épreuve. Qui sait si derrière cet IRC-Bot/W32.BL-G38 ne se cache pas une version modifiée d'un password stealer destinée à voler les mots de passe des dirigeants de l'entreprise ? Le banker ZeuS n'a t-il pas servi à de tels agissements [4] ? Pour en avoir le cœur net, une analyse du malware est nécessaire.

Un document, quel que soit son format, n'est pas uniquement du contenu (texte, image, feuille de calcul) dans un conteneur. Pour un attaquant, c'est aussi une véritable source d'information, souvent bien plus qu'on pourrait le croire...

« Pour qui possède un marteau, tout problème ressemble à un clou ». Cet aphorisme est malheureusement la pierre angulaire de la plupart des « politiques » de sécurité en environnement Windows : la politique se révèle contingente des outils disponibles. « Il nous faut un antivirus. Il nous faut une solution de DLP. » Rassurez-vous, cet article ne va pas vous aider à choisir le meilleur antivirus, mais plutôt à tirer parti des options de sécurisation gratuites disponibles dans Windows, sans lesquelles tout réseau d'entreprise s'avère vulnérable à des attaques connues et implémentées.

Avant 1995, les connexions distantes et les échanges de fichiers entre deux machines s'effectuaient forcément en clair à l'aide des programmes telnet et ftp. Cela signifie que toute personne en état d'écouter le réseau entre ces deux machines était capable de compromettre la confidentialité des informations transmises. Ce problème, toujours existant aujourd'hui, est d'autant plus grave lors de la phase de login, puisque ce sont les mots de passe qui peuvent ainsi être connus par un attaquant écoutant le réseau. Pour répondre à cette menace, un nouveau protocole de connexion distante et d'échange de fichiers sécurisé fut développé en 1995 et appelé SSH pour Secure Shell. SSH permet de chiffrer l'intégralité des communications, empêchant ainsi une personne écoutant passivement le réseau d'obtenir des informations sur les échanges.

Parmi les indéboulonnables « oldies but goodies », nous trouvons Ettercap. Spécialiste incontournable du détournement de trafic sur un réseau local, l'outil offre une quantité de fonctionnalités surprenantes qui vont bien au-delà du simple ARP spoofing, pourvu que l'on sache ce que l'on fait...

Metasm est un logiciel open source destiné à la manipulation de fichiers exécutables binaires. Très flexible, il couvre un large panel d'actions, permettant aussi bien la compilation de fichiers source que le désassemblage de binaires, en passant par le débogage de processus et l'analyse de shellcode. À l'aide de plusieurs cas d'utilisation simples, nous dressons ici un panorama des possibilités offertes ; cette introduction sera l'occasion de revoir et comprendre les fondements du framework et pourquoi pas, vous donner envie d'aller plus loin.