MISC N°

Numéro

47

Du point de vue d'un auditeur, PHP n'est finalement qu'un vecteur d'entrée parmi d'autres. Un attaquant vise, une fois l'exécution de code PHP arbitraire obtenue, à progresser dans le système d'information (vers le noyau pour élever ses privilèges, vers d'autres applications, vers le réseau interne, ...). Pour cette raison, le moteur PHP s'est doté au fil des ans de divers moyens de protection et de cloisonnement. Pour peu qu'elles soient correctement configurées, ces options peuvent empêcher toute progression vers le système d'exploitation sous-jacent. Cependant, le moteur PHP contient une classe de vulnérabilités inhérente à son architecture. Pire, exploiter ces vulnérabilités permet de s'affranchir de toutes ces protections...

S'il est un fait établi, c'est que la sécurité informatique s'appuie beaucoup sur des concepts anciens (militaires et autres) afin de mettre en œuvre des actions défensives ou offensives [1]. Prenons, par exemple, la notion d'attaquer un adversaire. Il est évident que deux façons de faire sont possibles, l'une de type « direct » ; mais souvent risquée si l'opposant est adéquatement préparé, et la seconde qui est indirecte et surtout plus subtile (furtive). Utiliser cette dernière permet de se faire une idée de ce que l'on a en face de soi, de chercher à comprendre à la fois la nature et le type des défenses, les cibles intéressantes ou en d'autres termes, effectuer une reconnaissance.

Dans le numéro 46 de MISC, je vous présentais l'analyse d'un ransomware (application qui modifie une machine pour ensuite demander une rançon au propriétaire avant de la remettre dans l'état initial) qui chiffrait les fichiers afin d'extorquer les utilisateurs. Dans ce numéro, je vais vous présenter un autre type de ransomware, détecté en novembre 2009 sous le nom de Trojan-Ransom.Win32.SMSer.qmMD5: 2CE9D15F7B43B0DEC6C3935DE0743113.

Depuis que les logiciels malveillants ont dépassé l'étape des preuves de concept, leur qualité et surtout leur nombre sont en croissance. Cet article donne une description de quelques caractéristiques de malwares que nous avons observés au cours des derniers mois. Ces observations montrent dans quelles directions évoluent ces programmes.

Depuis quelques mois, la lutte antivirale semblait être un sujet un peu mis en retrait, faute d’impacts médiatisés et d’attaques massives récentes. Conficker a permis de rappeler en 2009 l’importance de mettre en place et de maintenir une architecture de protection antivirale efficace. Comment les entreprises, quelle que soit leur taille peuvent-elles se protéger contre de nouvelles attaques ciblées ou de grande ampleur ? En mettant en place une stratégie globale alliant une approche historique : la défense périmétrique à une approche plus récente : la défense en profondeur.

Un produit antivirus est un logiciel comme un autre, conçu et réalisé par des êtres humains, et donc susceptible de contenir des bogues. Plus ou moins graves, ces derniers peuvent donner lieu à l’absence de détection des menaces voire, dans le pire des cas, à la compromission du système par un attaquant. Cet article vous propose de découvrir dans plusieurs failles des antivirus et leurs conséquences pour l’utilisateur final. Finalement, nous donnerons quelques recommandations pour renforcer la sécurité d’un système Windows.

Cet article décrit une méthodologie d'évaluation des logiciels antivirus. Elle reprend les grandes lignes de la méthodologie d'évaluation CSPN (Certification de Sécurité Premier Niveau), et tente de prendre en compte les spécificités de ces logiciels. Notre méthodologie se veut un compromis entre les aspects formels et opérationnels. Certains points sont ouverts : il s'agit plus d'un guide que d'une méthode rigide. Une certaine liberté est donc laissée aux évaluateurs.

Les systèmes d’information sont au cœur de nos entreprises et sont souvent une ressource indispensable à nos activités. Les protéger et prévenir toute menace devient donc une priorité.Pour beaucoup, la sécurité est avant tout une affaire de techniciens. Mais, beaucoup oublient que la sécurité des systèmes d’information concerne également la Direction Générale de l’organisme. Comment serait-il possible de répondre aux besoins sécurité d’une entreprise sans une implication forte du management.L’objectif de cet article est donc de vous présenter la démarche à suivre lors de la mise en place d’un système de management de la sécurité de l’information, en vous présentant les étapes majeures devant être réalisées pour mener à bien un tel projet.

Le protocole (propriétaire) Netflow a été développé par la société Cisco en 1996 et si son utilisation première fut (entre autres choses) de faire de la facturation, de l'audit, il est devenu un standard (de-facto) aujourd'hui pour tout ce qui touche à l'administration et à la sécurité des réseaux informatiques (analyse des flux normaux, détection de ceux qui ne le sont pas, etc.), car permettant de répondre efficacement à des questions qui au demeurant simples prennent un sens essentiel aux yeux des administrateurs réseau et/ou de ceux en charge de la sécurité.

Sous Windows, toute tâche planifiée est authentifiée auprès du système au moment de son exécution. Cet article explique comment Windows gère les credentials associés aux tâches et présente un nouvel outil, alternative à TaskPwDmp, capable de les récupérer de façon fiable sous Windows XP et 2003.

L'injection de codes dans un autre processus n'est pas une technique novatrice en soi. Elle est aussi bien utilisée par des applications dites de sécurité que par des programmes malveillants. Ces derniers en sont particulièrement friands lorsqu'il s'agit de détourner des protections logicielles telles que les pare-feu applicatifs. Les techniques d'injection pour le système d'exploitation Windows sont amplement documentées sur Internet, néanmoins il n'en est pas de même pour le système d'Apple. Ainsi, pour combler le manque de documentation sur le sujet, cet article décrit certaines méthodes d'injections de codes au sein des processus Mac OS X Snow Leopard en mode 64 bits.

Cet article présente une nouvelle méthode de stéganographie dans le domaine spatial. L'intérêt de cette méthode est d'introduire une nouvelle façon d'insérer un message sans utiliser la classique LSB. Les résultats montrent que l'on peut alors insérer des messages de différentes tailles sans modifier la probabilité de détection, le tout en utilisant le bruit naturellement présent dans une image.