Filiol Eric

Filiol Eric

19 article(s)
Articles de l'auteur

Durcissement et sécurisation du code source de l’antivirus ClamAV

Magazine
Marque
GNU/Linux Magazine
Numéro
131
Mois de parution
octobre 2010
Résumé
Dans un article précédent [1] l’analyse technique détaillée de ClamAV a montré que cet antivirus - à ce jour, c’est le seul logiciel antivirus à la fois gratuit, ouvert et multiplate-forme - supportait largement la comparaison avec les produits commerciaux, voire dans certains cas, faisait même mieux, notamment dans le domaine de l’analyse de forme (recherche de signatures). L’objectif premier d’un logiciel antivirus est de détecter, d’identifier des techniques virales connues et de prendre les mesures adéquates pour protéger le système contre leurs actions, avec un niveau de protection et d’efficacité compatible avec la politique de sécurité souhaitée. Mais il est nécessaire également que l’antivirus ne représente pas lui-même une menace pour le système et une porte éventuelle pour les attaques, à la faveur d’une ou plusieurs vulnérabilités. En 2008 [2], près de 800 vulnérabilités critiques ont été détectées dans les antivirus.

Cryptanalyse du chiffrement Office

Magazine
Marque
MISC
Numéro
49
Mois de parution
mai 2010
Spécialité(s)
Résumé

Dans tout cours de cryptographie universitaire, la taille de la clé est souvent présentée comme une condition clé de la sécurité d’un crypto système. Pour les éditeurs de solutions sécurisées, la taille de la clé résume tout et devient une condition suffisante. Mais, si cela marche sur le papier, dans la pratique, il en est tout autrement. Les erreurs voire les trappes d’implémentation réduisent souvent la sécurité prétendue d’une application à une peau de chagrin. C’est également sans compter avec les erreurs propres aux utilisateurs : car si la cryptologie a été libéralisée, l’éducation des utilisateurs n’a jamais été faite et ces derniers se retrouvent avec des outils qui se retournent contre eux du fait de l’ignorance de règles de bases. Dans le cas d’un utilisateur lambda, c’est d’une gravité toute relative, cela peut être dramatique pour un usage professionnel. Dans cet article, nous montrons comment opérationnellement casser le chiffrement RC4 128 bits de la suite Office de Microsoft (jusqu'à la version 2003) et réfléchissons à comment dissimuler des trappes dans une application.

CLAMAV : un antivirus plus que crédible

Magazine
Marque
GNU/Linux Magazine
Numéro
119
Mois de parution
septembre 2009
Résumé

Cet article décrit l’analyse de sécurité du logiciel antivirus CLAMAV. Ce logiciel est à ce jour le seul logiciel antivirus à la fois gratuit, ouvert et multiplateforme. L’objectif d’un logiciel antivirus est de détecter, d’identifier un code malveillant connu ou utilisant des techniques virales connues et de prendre les mesures adéquates pour protéger le système contre son action et/ou sa prolifération, avec un niveau de protection et d’efficacité compatibles avec la politique de sécurité souhaitée.

Organiser la fuite d’information d’un poste isolé : méthodes logicielles

Magazine
Marque
MISC
Numéro
44
Mois de parution
juillet 2009
Spécialité(s)
Résumé

Les articles précédents ont montré que les signaux parasites compromettants (SPC) constituent une menace très sérieuse permettant de collecter passivement des informations traitées dans un système d’information [N1]. Dans ces articles, il a également été montré que des protections existent couplant des dispositifs matériels (blindage TEMPEST, cages de Faraday [N2]), mesures techniques (zonage TEMPEST, chiffrement) et organisationnelles (règles d’emploi des matériels, procédures). Mais, cette réglementation, établie au niveau du SGDN, ne prend en compte que les attaques passives. Or, tout modèle de sécurité se doit de considérer les attaques actives. Dans le cas du Tempest, il est possible de concevoir des codes malveillants créant ou amplifiant des SPC, exploitant le fait que le logiciel pilote le matériel. Mais, un attaquant peut faire encore mieux et, dans une certaine mesure, plus facilement. De simples méthodes logicielles – typiquement un « simple » virus – permettent de faire sortir des informations d’un poste qui n’est pas en réseau. Dans cet article, nous présentons quelques-unes de ces méthodes.

Détection opérationnelle des rootkits HVM ou quand la recherche remplace le buzz (Partie 2)

Magazine
Marque
MISC
Numéro
43
Mois de parution
mai 2009
Spécialité(s)
Résumé

Dans le numéro précédent [1], nous avons détaillé le code de BluePill et montré qu'il y avait plusieurs incohérences au niveau des arguments avancés par les auteurs. C'est-à-dire qu'il ne possédait en aucun cas les caractéristiques classiques d'un rootkit. Nous allons voir dans cet article comment finalement il est possible d'avoir une détection simple de ces rootkits HVM, et ainsi mettre fin à ce buzz qui n'a eu aucun sens.

Détection opérationnelle des rootkits HVM ou quand la recherche remplace le buzz (Partie 1)

Magazine
Marque
MISC
Numéro
42
Mois de parution
mars 2009
Spécialité(s)
Résumé

Les différents codes malveillants suivent, voire devancent, les innovations technologiques que connaît le monde informatique, mois après mois. Ainsi, au fil des évolutions techniques, les rootkits ont pu migrer facilement du niveau utilisateur vers le niveau noyau, atteignant ainsi le Saint Graal : avoir tous pouvoirs sur la machine. Ces dernières années ont vu également l'émergence de la virtualisation, en particulier matérielle, permettant de faciliter le déploiement de solutions, mais également de renforcer la sécurité. Mais, si donner les moyens au processeur d'accéder très facilement à la virtualisation a pu accroître de façon significative la rapidité des logiciels de virtualisation, cela a, en même temps, conduit à fournir de nouvelles solutions aux concepteurs de virus.

Evaluation de l’antivirus Dr Web : l’antivirus qui venait du froid

Magazine
Marque
MISC
Numéro
38
Mois de parution
juillet 2008
Spécialité(s)
Résumé

La réputation de l’école de virologie informatique des pays de l’est et en particulier de la Russie n’est plus à faire. La plupart des meilleurs produits antivirus sont originaires de ces pays, plaçant ainsi l’Europe en position de leader incontestable dans ce domaine de la sécurité. Si certains de ces produits sont désormais bien connus du grand public, en partie grâce à leur qualité intrinsèque, mais surtout du fait d’un marketing de plus en plus agressif, d’autres moins connus se développent et leur éditeur mise essentiellement sur la recherche et le développement pour produire des logiciels antivirus de tout premier ordre. C’est du moins ce que ces nouveaux « tigres » de la virologie mettent en avant. C’est notamment le cas de l’antivirus Dr Web de la société russe Doctor Web, conçu par Igor Danilov, logiciel antivirus adopté par le ministère de la Défense russe, ainsi que par celui de l’Intérieur. Après quelques recherches, il est très vite apparu que ce produit commence à se tailler de belles parts de marché en Europe et notamment dans le monde gouvernemental et industriel, et ce, dans la plus grande discrétion. Une telle « carte de visite » ne pouvait que titiller notre curiosité et nous inciter à évaluer, sans aucune limite de moyens et d’approches, un antivirus aussi discret. Cet article présente les résultats détaillés et reproductibles, pour la plupart, de l’évaluation technique de cet antivirus, menée en toute indépendance. Au final, force est de constater que si le produit présente globalement certaines des faiblesses de ses concurrents et a pu ainsi être contourné, cela n’a pas été aussi facile que pour certains autres produits pourtant beaucoup plus répandus, et, globalement, ce logiciel est d’une excellente facture, justifiant sa progression discrète, mais certaine, sur le marché des logiciels antivirus.

Les nouveaux malwares de document : analyse de la menace virale dans les documents PDF

Magazine
Marque
MISC
Numéro
38
Mois de parution
juillet 2008
Spécialité(s)
Résumé

Les codes malveillants dits « de document » existaient, à ce jour,  essentiellement pour les logiciels de la suite Microsoft Office et, plus récemment, pour ceux d’Open Office. Ce risque est essentiellement attaché, hors vulnérabilités, aux fonctionnalités exécutables des macros. C’est l’une des raisons qui a fait le succès mondial des documents au format PDF (Portable Document Format). Ce format de description de document est actuellement le plus répandu au monde. Il est perçu comme stable, comme le plus portable et surtout comme dénué de risque vis-à-vis des virus. Il s’agit en fait plus que d’un « simple » format de document : c’est avant tout un véritable langage de programmation qui, version après version, a accumulé de nombreuses fonctionnalités puissantes, essentiellement pour la création et la manipulation de document, mais également des fonctionnalités d’exécution. À ce jour, aucune étude exploratoire concernant la sécurité de ce langage n’a été faite, en particulier vis-à-vis du risque viral. De ce point de vue, seuls quelques cas sont connus, lesquels exploitent essentiellement des vulnérabilités des applications gérant les documents PDF. Dans cet article, nous allons présenter les résultats d’une analyse en profondeur de la sécurité du langage PDF et de ses principales primitives, et ce, indépendamment de toute vulnérabilité. Le but est d’explorer de manière la plus exhaustive possible, le risque viral attaché aux malwares écrits en langage PDF qui pourraient agir en détournant et pervertissant certaines de ces primitives pour réaliser des attaques via des documents PDF. Nous présenterons à ce titre deux preuves de concept permettant d’illustrer ces nouveaux risques, d’un point de vue algorithmique. L’article enfin suggérera quelques-unes des mesures de sécurité qu’il est possible de mettre en œuvre pour limiter de telles attaques.

La sécurité des communications vocales (3) : techniques numériques

Magazine
Marque
MISC
Numéro
38
Mois de parution
juillet 2008
Spécialité(s)
Résumé

Dans les articles précédents [1, 2], nous avons présenté les techniques de codage de la voix (comment cette dernière est représentée et traitée) et les techniques analogiques de chiffrement de la voix. Alors que ces dernières consistent à modifier structurellement le signal selon divers procédés, mais sans en modifier la nature profonde, les techniques numériques, quant à elles, consistent à transformer le signal en valeurs numériques discrètes, puis à opérer un chiffrement classique sur la séquence obtenue après conversion analogique/numérique. L’aspect critique dans ces techniques réside dans la qualité de la conversion. Non seulement le signal doit être le plus fidèle possible après conversion en numérique, mais ni le chiffrement, ni la transmission (effet de bruit) ne doivent altérer le signal et rendre sa restitution finale du numérique vers l’analogique. La partie chiffrement, quant à elle, ne se distingue en rien d’un chiffrement classique. L’art de l’ingénieur est donc encore une fois essentiel, même si, contrairement aux techniques analogiques, il n’intervient pas directement dans la sécurisation de la voix. Enfin, pour conclure cette série d’articles consacrée à la protection de la voix, nous présenterons un système de cryptophonie utilisé par l’armée de l’air chinoise.