Grenier Christophe

Si vous avez voulu récupérer des données perdues, vous avez sans doute croisé le nom de PhotoRec. Il s’agit sans doute du logiciel libre de récupération de données le plus populaire. Bien que développé depuis quinze ans et connaissant plus de 400 formats de fichiers, il peut être nécessaire de lui apprendre à reconnaître un autre format de fichiers, celui utilisé par vos précieuses données. Après avoir vu son utilisation, découvrez comment étendre PhotoRec.

Développé depuis plus de dix ans, PhotoRec est, sans fausse modestie, un des logiciels de récupération de données par data-carving le plus performant. Rencontrez ce logiciel libre si ce n'est pas déjà le cas, dans tous les cas, découvrez son fonctionnement interne.

Fin 2010, le projet Honeynet a proposé son 5ème challenge de l'année : une analyse de logs. Cette épreuve a été annoncée comme nécessitant un niveau intermédiaire de connaissance. En pratique, aucun participant n'a donné de résultats satisfaisants ! Analyser correctement des logs est plus difficile que l'on ne le croit et c'est pour cela que je vous propose de découvrir en détail ce challenge.

Après trois challenges successivement sur une faille Windows exploitée via le réseau, l'exploitation de failles liées à un navigateur Internet Explorer et enfin des failles dans l'implémentation du javascript d'Acrobat Reader, le projet Honeynet a proposé au début de l'été un challenge assez original : l'analyse d'attaques d'un système de téléphonie sur Internet (ToIP en francais, VoIP en anglais) à partir des logs applicatifs et ensuite à partir d'une capture réseau.

Des opérations bancaires suspectes ont eu lieu sur le compte de la société. Un employé ayant accès au compte a reçu récemment un PDF d'un ancien collègue, mais lorsqu'il a ouvert ce document, celui-ci était vide. Avec le recul, il est possible que ce PDF ait été le moyen de compromettre la sécurité de sa machine. Une image mémoire a été réalisée, notre tâche est de l'analyser pour faire le point sur ce problème de sécurité. Tel est le difficile challenge « Banking Troubles » proposé par le projet Honeynet.

Ce deuxième challenge du projet Honeynet présente une cible de plus en plus fréquente : le navigateur web. Outil indispensable, pas un ordinateur n'en est dépourvu, il se révèle une victime de choix pour s'introduire dans un réseau et intégrer l'ordinateur dans un botnet, un ensemble de machines sous le contrôle non autorisé d'un tiers pour effectuer des attaques concertées : envoi de spam, déni de service, vol d'informations, ...

Depuis 1999, le projet Honeynet regroupe différents chercheurs en sécurité et des passionnés autour des problématiques liées aux techniques pour capturer les agissements de pirates attaquant des réseaux, serveurs et postes informatiques vulnérables, et analyser les techniques utilisées. Chaque mois, le projet proposait un challenge nommé Scan Of the Month, c'était l'occasion de mettre ses méninges à l'épreuve pour analyser des logs ou des traces réseaux selon l'humeur des concepteurs des épreuves. Plus d'une trentaine de challenges ont ainsi été proposés jusqu'en 2005. Aujourd'hui, certains d'entre eux sont toujours utilisés comme cas d'école dans les cursus de sécurité informatique, mais le paysage des attaques a bien changé en ciblant de plus en plus le particulier ou le poste utilisateur : phénomène de botnet, attaques des failles du navigateur web, attaques utilisant des PDF malicieux, ... Depuis le mois de janvier 2010, les challenges Honeynet sont de retour. Découvrons ensemble le premier challenge, une attaque réseau.

Peu après avoir acheté mon premier appareil photo numérique en 2002, je me suis demandé comment récupérer les photos si jamais je les effaçais par erreur ou si je reformatais la carte mémoire. Aussi, j'ai créé PhotoRec, un petit programme pour récupérer les photos jpg et vidéos mov au cas où... Et dès le mois d'avril, je le distribuais sous licence GPL sur mon site web.

Dans le prolongement du challenge DFRWS 2008 (cf Linux Mag n°115, avril 2009), un « rodéo d'analyse de données » a été proposé lors de la conférence DFRWS 2008. Les résultats officiels annoncés pour fin août tardent un peu mais devraient être publiés au moment où cet article sortira. Cet article présente une analyse de l'image disque du challenge.