INSAT
2005-2006, NUMÉRO 2
SÉCURINETS FÉVRIER 2006
DANS CE NUMÉRO :
►
STÉGANOGRAPHIE 2
► SOCIAL ENGINEERING
3 ► LES HACKERS DES CATEGORIES
4 ► MICROSOFT PIEGE LES SPAMMERS
4 ►
BLAGUE
5 ►
ACTUALITES
7 ►
MOTS CROISES
8 ►
Avec le poids économique de plus en plus important de l’informatique dans l industrie , et plus encore du fait de la dépendance grandissante envers les réseaux de communication ,la sécurité est devenue un élément important de l administration d’un système informatique quelqu’il soit . Des milliers d’institutions sont chaque jour en ligne sur INTERNET. Cela en fait autant de cibles potentielles pour des usagers malveillants . C’est par notre profonde conviction qu’un futur ingénieur doit être informé et préparé particulièrement à cette cyber-guerre , qu’on a décidé de créer SecuriNets (Security Networks) oeuvrant au sein de l INSAT et avec une collaboration entre différentes branches (RT,GL,IIA ) de différents niveaux .
ASTUCES
6 ►
EDITORIAL
COURRIER
SécuriNets vise la sensibilisation . De ce fait, nous sommes fiers de vous présenter le deuxième numéro de notre magazine SECURINETS: une myriade d’informations diverses et utiles adoptées au sujet de la sécurité informatique. Une matière consistante ,certes concise,mais qui ouvrira les horizons du savoir dans ce domaine si perplexe et délicat. Bonne lecture!
ELECTRONIQUE 9
►
LE FIREWALKING: 10
►
KEVIN MITNIK 11
CONTACTS NOUS SOMMES OUVERTS À VOS CRITIQUES ET SUGGESTIONS.
La Sécurité des Systèmes d’Information peut se définir comme étant l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires pour conserver ou rétablir la disponibilité, l'intégrité et la confidentialité des informations ou du système.
CONTACTEZ NOUS :
WEBMASTER@SECURINETS.COM
Définition tirée du site WIKIPEDIA.ORG
SÉCURINETS
Page 2
La Stéganographie : Applications et Actualités
D
epuis l'antiquité, la transmission de messages codés et cachés a été un des enjeux les plus importants usés pour des fins diverses. En plus de la traditionnelle cryptographie utilisée pour rendre les messages illisibles à une personne autre que le destinataire, une autre méthode a fait elle aussi son apparition à cette époque: la stéganographie.
Stéganographie ? La stéganographie étudie les techniques pour communiquer de l'information de façon cachée, et consiste à dissimuler non pas le sens d’un message – comme la cryptographie – mais l’existence même du message, éventuellement codé ou chiffré. Cette méthode rend la communication invisible à toutes autres personnes que le destinataire (connaissant la méthode d’extraction), alors qu'avec la cryptographie, l’existence d’une communication est détectable par tout le monde. C'est cette transparence de la communication qui apporte un atout indéniable pour la transmission d'informations cachées sans modification des infrastructures de traitement (le support de message) pour les personnes non concernées.
Techniques : Il est vrai que l’usage de la stéganographie remonte à l’Antiquité, cependant, elle revient en force à l'ère de l'information numérique. Vu leurs tailles et leurs natures, les enveloppes multimédia de type image, audio ou vidéo se prêtent particulièrement bien à la stéganographie. Il est en effet facile d'y dissimuler des données, sans
altérer la perception de l'objet de couverture ainsi "parasité". Il suffit de jouer sur les bits en insérant chaque bit du message à cacher dans des séquences particulières du fichier enveloppeur, appelé stéganogramme. Evidemment, la robustesse d'un tel stéganogramme par rapport à des modifications ou conversions ultérieures est une question cruciale qui doit être étudiée soigneusement en fonction des buts recherchés et ce, pour éviter de révéler l'usage de la stéganographie et éveiller le soupçon. Les stéganogrammes peuvent être de type : Texte : Les techniques appliquées consistent à offrir d’autres clefs de lecture en n’utilisant que certaines lettres ou en jouant sur leur ordre. On peut aussi utiliser un générateur de texte ‘aléatoire’ basé sur une sorte de ‘grammaire’. Les choix faits pour la génération du texte correspondent au message secret. Son : Etant donné que l’oreille humaine ne distingue correctement que les fréquences situées dans la gamme de 2 kHz à 5 kHz, de faibles variations, imperceptibles pour l’oreille, dans les basses fréquences ou ce que l’on appelle le bruit de fond peuvent contenir une grande quantité d’information. Un grésillement infime peut cacher des secrets. Ce bruit doit de préférence être transmis de façon numérique et bien placé dans le fichier concerné, sans quoi les vraies pertes de transmission pourraient effacer entièrement le message caché.
Image : De la même manière que pour le son, des variations dans les basses fréquences de l’image peuvent contenir de l’information. Lorsque le transfert d’information est numérique, d’autres détails du codage de l’image, telle la palette de couleur, peuvent également contenir des informations. Autres: Naturellement, il existe autant d’endroits où cacher de l’information qu’il existe de formats et de types de données, les plus fréquemment utilisés étant les plus anodins. On peut penser facilement aux formats multimédia, mais aussi aux formats de compression, d’archive et d’encodage. Même une simple page HTML peut contenir plus que ce vous pouvez penser à travers votre outil de navigation.
Applications : A l'instar de la cryptographie et de bien d'autres techniques de communication de données, la stéganographiepeut être utilisée à des fins loyales telles le filigranage d'œuvres ou le camouflage de données dignes de protection échangées entre des personnes; elle est aussi utilisée à des fins répréhensibles comme la dissémination d'informations discriminatoires, racistes, ou criminelles.
Actualités : - Après les événements du 11 septembre 2001, de nombreux journaux ont suggéré que la stéganographie a été utilisée. Ceci n'a jamais été démontré (comme beaucoup d'autres affirmations) et semble être un prétexte pour interdire l'utilisation de la stéganographie. - Des sondages affirment que Microsoft de son coté montre un intérêt soudain pour la stéganographie en sponsorisant des conférences sur le sujet. Je suppose qu'ils sont intéressés par l'utilisation du Filigranage pour le copyright des chansons et vidéo en ligne. Enfin, les différentes facettes du sujet vous permettront bien de l’aborder dans des conversations mondaines car il s’agit bien d’une technique à double tranchant.
Le Filigranage reste le côté légal mais obscur de la stéganographie puisqu’il permet de tracer et de suivre la propagaLe f i l t r a g a n a g e : o u tion des documents et des in« watermarking » en anglais: formations de mains en mains. utilisation stéganographique par insertion de la signature numérique de l'auteur, dans tous les exemplaires de l'œuvre .
Pour rester libre et éviter des espions dans votre ordinateur, le logiciel libre et les standards ouverts restent toujours le meilCette dernière variante permet la détection des copies illégales leur refuge ; puis-je vous les conseiller ? d'une stéganoeuvre. Wiem TOUNSI wiemtounsi@yahoo.fr
2005-2006, NUMÉRO 2
Page 3
Le Social Engineering
" Le facteur humain est un des maillons de la sécurité informatique ". Kevin M itnic k
C
ette phrase de Kevin Mitnick, père des hackers, résume assez bien la situation actuelle. Les systèmes de sécurité sont de plus en plus perfectionnés à tel point que toute personne derrière un firewall se croit à l'abri d'intrusions dans son système. Malheureusement, c'est loin d'être le cas.
Le social engineering, ou encore ingénierie sociale en français, permet de contourner tous ces dispositifs aussi stricts soient-ils. Cette méthode se base sur l'exploitation de l'abus de confiance et la volonté d'aider une personne pour lui faire exécuter n'importe quelle action qui permettra au pirate de s'introduire sur son ordinateur. Cela peut paraître à première vue dérisoire mais le nombre de personnes se laissant prendre au piège de " manipulateurs " est plus qu'affolant.
Comment s'en protéger ? La méthode de social engineering la plus courante sur Internet est bien évidemment la messagerie électronique. Il faut distinguer deux buts bien distincts dans le social engineering par mail : Faire exécuter un virus à la victime et/ou récupérer ses mots de passe. Il faut tout d'abord savoir une chose : le
protocole SMTP permettant d'envoyer des courriers électronique n'est pas du tout sécurisé. C'est-à-dire que n'importe qui peut en quelques clics changer d'identité pour se faire passer pour quelqu'un à qui vous faites confiance tel que Microsoft, Hotmail, Caramail, …Voici un exemple de mail circulant sur Internet : Lorsque la victime va cliquer sur le lien fourni dans le email, il y a 100 % de chance qu'elle se retrouve à télécharger un virus ou un cheval de Troie. Pour ne plus tomber dans ce vulgaire piège, deux règles d'or : Ne jamais accorder sa confiance en se basant simplement sur l'adresse de l'expéditeur, il faut toujours vérifier les informations sur le site de la compagnie. Ne jamais ouvrir de pièces jointes sans l'avoir contrôlé avec un antivirus mis à jour. Dans tous les cas, un logiciel se télécharge sur le site officiel de l'auteur. De : Administrateur@microsoft.com Objet : URGENT ALERTE !!! Une faille de sécurité majeure a été découverte dans Microsoft Windows 98/Me/2000/NT/XP. Merci de télécharger immédiatement le patch de sécurité en cliquant ici.
Pour récupérer le mot de passe d'une victime potentielle un pirate va encore se baser sur la confiance que l'utilisateur va avoir de l'émetteur. Différents messages provenant soi disant du service client de site de messagerie électronique essayent d'extirper les mots de passe. Dans les grands classiques, on retrouve : " Vos informations
ont été perdues pour la
raison X. Merci de nous les communiquer a nouveau via le formulaire ci-joint " "Destruction des comptes inactifs, vous devez renvoyer ce formulaire rempli avant le xx/xx/xxxx sinon votre compte sera désactivé et tous vos messages seront détruits pour économiser de la place ". Si vous avez déjà répondu à un tel e-mail vous pouvez être sûr que vous avez donné le sourire à un pirate qui connaît maintenant votre mot de passe. Votre fournisseur d'accès Internet ou votre service de messagerie ne vous demanderons jamais vos identifiants de même qu'aucun site de commerce électronique ne vous demandera votre numéro de carte bleue par courrier électronique. Il est donc indispensable de refuser systématiquement ces messages. Mais un pirate déterminé ne se limitera pas aux e-mails et va tenter de convaincre sa cible via IRC, ou autres salons de discussion en ligne. Gardez toujours à l'esprit : Mettez à jour votre antivirus et faites lui confiance. Il y’a des cas où le pirate va rappeler quelques jours plus tard, la même personne se faisant passer pour le responsable de la banque en question. Dans ce cas, le pirate avait pris soin de se renseigner sur le directeur de l'agence bancaire en question. Il va expliquer que la carte de la victime a été piratée et qu'il lui faut les informations secrètes de cette dernière. La solution est simple, appelez la dite banque pour avoir confirmation du piratage en question mais ne révélez jamais votre mot de passe à toutes personnes vous le demandant par téléphone.
Faux sites: Certains pirates vont jusqu’à créer de faux sites web pour des banques tel était le cas du faux site web de la banque australienne, ANZ, qui a été fermé par la police australienne et américaine après 4 mois de sa mise en service pour des banques tel était le cas du faux site web de la banque australienne, ANZ, qui a été fermé par la police australienne et américaine après 4 mois de sa mise en service. Ce site monté par des escrocs, incitait par email les clients de cette banque à réactiver leurs comptes en ligne. Le même courrier a également visé des clients de la Westpac bank, avec des e-mails semblables incitant les clients à rentrer leurs informations confidentielles. Même problème pour Sony, le géant du multimédia qui a été lui aussi victime d'une escroquerie Internet par courriers électroniques. Un faux email avait été diffusé par un pirate qui tentait de récupérer les informations privées des internautes inscrits sur le site Sonystyle.com. Un piratage de numéro de C.B. pouvant être possible. Le social engineering est à prendre au sérieux également. L’opération du vol d'identité n’a pas cessé d’augmenter au cours de ces dernières années, ces manipulations ont été baptisées depuis l’année 2004 le Phishing.
Les virus sociaux Afin de se répandre aussi rapidement et aussi largement que possible, les virus ont exploité les dernières techniques d'ingénierie sociale, allant dans certains cas jusqu'à se faire passer pour des patchs de sécurité de Microsoft. Par exemple, le virus Gibe (W32/Gibe) exploite des techniques toujours plus ingénieuses pour inciter les utilisateurs à exécuter des codes malveillants sur leurs ordinateurs. Les patchs sont sur microsoft.com Ranya Kefi
ranya.kefi@laposte.net
2005-2006, NUMÉRO 2
Page 4
Bonjour Madame / Monsieur je suis Jean Dupont de l'INSEE auriez-vous quelques minutes à m'accorder pour un sondage ?
Oui bien sur je vous écoute. Victime
Pirate Allô Pirate : Bonjour Madame / Monsieur, je suis Jean Dupont de l'INSEE auriez-vous quelques minutes à m'accorder pour un sondage ? Victime : Oui, bien sur je vous écoute. (Sinon le pirate n’a qu'à insister, rappeler plus tard ou changer de victime
victime tout simplement) Pirate : Avez-vous des enfants ? Série de questions sans intérêt. Pirate : Quel est le nom et l'adresse de votre banque préférée ? La question passera sans problème au milieu de
Toutes les autres, le pirate continu avec d'autres questions sans intérêt et raccroche.
Ranya Kefi
ranya.kefi@laposte.net
Les Hackers: Des catégories? - Les "white hat hackers" dont le but est d'aider à l'avancée et l'amélioration des technologies informatiques, sans détériorer les données auxquelles ils auront accès durant leurs intrusions.
- Les "Phreakers", eux, s'intéressent beaucoup plus aux réseaux de télécommunications (RTC) afin de téléphoner gratuitement ou bien surfer gratuitement. Il s'agit donc de piratage des lignes téléphoniques.
- Les "Script Kiddies" (alias lamerz) qui s'introduisent chez des particuliers, des entreprises ou sur des serveurs web grâce à des programmes le plus souvent téléchargés sur Internet ; ces Script Kiddies le plus souvent s'introduisent sur les ordinateurs pour les détériorer et/ou pour s'amuser ou se la péter.
- Les "Carders" sont des pirates des cartes à puce, comme les cartes de crédit ou les cartes bancaires. Le plus souvent, il s'agit d'effectuer des dépenses sans qu'ils aient à sortir un centime de leur poche.
meurs qui créent des logiciels qui cassent les protections et permettent d'en faire des copies. On appel ainsi un "crack" un fichier ou programme qui permet cela. - Les "Hackivistes" sont en fait des hackers activistes. Ce sont donc des pirates agissant par convictions idéologiques.
Dorra Abdelleli Dorra_ab@yahoo.fr
- Les "Crackers" sont des program-
Microsoft piège des spammeurs via un PC zombie Pour Microsoft, les "PC zombies" constituent le nerf de la guerre dans la lutte contre les spams. Ces ordinateurs infectés par un virus ou un logiciel espion, sont contrôlés à distance par des escrocs ou des spammeurs qui en détournent les ressources pour envoyer des courriers non sollicités ou lancer des attaques par saturation du type "deny of service" (DoS). Cet été, l'éditeur américain est parvenu à détecter 13 opérations de
spam exploitant des réseaux de PC zombies. En effet, pour mener son enquête, Microsoft a intentionnellement laissé une machine passer sous le contrôle de spammeurs et en trois semaines, ce "PC zombie"a fait l'objet de plus de 5 millions d'intrusions et a été utilisé pour envoyer 18 millions d'emails non sollicités, faisant la promotion de quelque 13.000 sites web.
Et oui c`est fou le volume important de spams qui transite via un seul zombie. C'est en analysant le trafic entrant dans le PC et en comparant les messages qu'il était censé relayer avec des spams recensés via sa messagerie Hotmail que Microsoft serait parvenu à mettre à jour les treize opérations et pendant ces trois semaines tous ces spams localisés ont été bloqué avant leur envoi. Abir naifer abirnaifer@yahoo.fr
SÉCURINETS
Page 5
Un peu d’humour :SUPPORT TECHNIQUE Après avoir eu des problèmes avec son ordinateur, un pauvre utilisateur ignorant appelle au téléphone l'équipe de support technique du fabricant de cet ordinateur, espérant obtenir un peu d'aide. Technicien: Support technique, bonjour! Comment puis-je vous aider? Client: Il y a de la fumée qui sort de l'alimentation de mon ordinateur. Technicien: Il va sans doute vous falloir une nouvelle alimentation! Client: Non, non, certainement pas! Je dois seulement changer les fichiers de configuration.
Après dix minutes, malgré tous les efforts du technicien pour expliquer le problème et sa solution, le client s'entête à prétendre avoir raison et exiger qu'on lui indique la commande qui va régler ça. Le client ayant toujours raison, il ne reste plus au technicien qu'une seule façon d'agir... Technicien: Cher monsieur, je suis désole: vous avez raison. Nous n'avons pas l'habitude de communiquer cette information a nos clients, mais il y a effectivement une commande DOS non documentée qui réglera votre problème. Client: Je l’savais! Technicien: Ajoutez simplement la ligne "DEVICE=\DOS\NOSMOKE.SYS" a la fin de votre fichier CONFIG.SYS, redémarrez l'ordinateur et tout devrait rentrer dans l'ordre. Rappelez-moi si vous avez le moindre
Technicien.: Monsieur, s'il y a de la fumée qui sort de l'alimentation, c'est que
problème.
l'alimentation est grillée. Il va vraiment
Une dizaine de minutes plus tard, le client rappelle le technicien.
falloir la remplacer! Client: Pas question! Quelqu'un m'a dit qu'il suffisait de changer la configuration du système au démarrage pour régler ce problème. Vous n'avez qu'a me dire quelle est la bonne commande a exécuter...
Client: Ça n'a pas marché. L'alimentation fait encore de la fumée... Technicien: Ah. Dites-moi, quelle version de DOS utilisez-vous? Client: MS-DOS 6.22
DOS n'inclut pas NOSMOKE. Il vous faudra appeler Microsoft et leur demander de vous envoyer une mise à jour. Tenez-moi au courant du résultat de votre appel. Environ une heure plus tard, le rappelle. Client: J'ai besoin d'une nouvelle alimentation... Technicien: Pas de problème, je vous l'envoie aujourd'hui même, mais dites- moi: comment êtesvous arrivé cette conclusion? Client: Eh bien, j'ai appelé Microsoft et j'ai même répété à leur technicien ce que vous m'aviez dit. Après une longue discussion, il m'a demande la marque et le modèle de mon alimentation… Technicien: Et qu'est-ce qu'il vous a dit? Client: Il a dit que mon alimentation n'était pas compatible avec NOSMOKE
Technicien: Voilà le problème! Cette version de
Il y a de la fumée qui sort de l'alimentation de mon ordinateur. Ajoutez simplement la "DEVICE=\DOS\NOSMOKE.SYS"
ligne
a la fin de votre fichier CONFIG.SYS, .
Ben Youssef Manel ben.y.manitta@gmail.com
2005-2006, NUMÉRO 2
Astuces !
Page 6
« NetBios » (port 137, 138, 139, 445), j’en entends souvent parler, mais qu’est-ce ?
Le risque d’attaque à travers ces ports ouverts est éminent.
Avoir deux firewalls est-il un plus ?
N
A
u contraire. Tout d’abord, vous ne savez pas comment ils vont interférer entre eux, créant peut-être une brèche dans votre sécurité. Ensuite, et surtout, vous aurez tendance à vous reposer sur eux, et à manquer de vigilance. Or, le meilleur firewall est placé entre la chaise et le clavier, et c’est « vous ». Cependant, cela n’est vrai que dans la mesure où ils sont tous les deux placés sur le même ordinateur. Dans le cas d’un réseau d’entreprise, ou d’association/club/autre, il peut être utile d’utiliser deux firewalls, de part et d’autre de la DMZ.
Un firewall ralentitil la connexion ?
O
ui et non. Un firewall contrôlant tout ce qui entre et sort de votre ordinateur, il ralentit forcément la connexion. Maintenant, tout dépend de votre ordinateur (plus il est puissant, mieux c’est), et de ce que fait votre firewall. Pour autant, il est rare que ce ralentissement ait des conséquences visibles, mais si tel était le cas, le mieux reste encore de changer le firewall.
etBios est le nom de l’interface développée par Microsoft pour le partage des fichiers et d’imprimante. Donc, si vous n’utilisez pas Windows, vous ne craignez rien de ce côté-là. Attention, toutefois, /samba/ offrant aux systèmes d’exploitation Unix une interface avec le monde Windows, il dispose les mêmes failles (en plus de celles qui lui sont propres). Dans le cas contraire, sachez qu’il s’agit d’une faille de sécurité au cœur de votre système. Par l’intermédiaire de NetBios, n’importe qui peut s’introduire dans votre ordinateur, et utiliser votre/vos disques durs, comme s’il s’agissait des siens. Il faut donc impérativement bloquer les ports 137, 138, 139, 445 en UDP et TCP, et dans les deux sens (entrée et sortie).
Connaissant le service tournant sur ce port, on peut désactiver les programmes en exécutant la commande « net stop <nom_service> » comme suit :
Ou encore, on peut arrêter des services en accédant au fichier de configuration «services.msc. ».
En effet, Le virus SASSER s’introduit dans notre PC à travers le port 445. Je pense, alors, que la première étape pour sécuriser notre ordinateur passe par la réduction d'un grand nombre de services Windows et de services réseaux car sur ces systèmes, un certain nombre de services fonctionnent par défaut et il est souvent souhaitable d'en désactiver la majorité si le système n'a pas pour vocation d'offrir des services via le réseau. Pour ce faire, jetons un coup d’œil sur les différents services actifs du système en exécutant la commande « netstat » avec l’option –ano sous Windows XP et –an sous Windows 2000 :
Attention, Windows ayant la particularité de ne pas toujours savoir ce qu’il fait, ne pensez pas qu’il suffise de désactiver NetBios pour être à l’abri. En effet, Windows pourrait en décider qu’il en a besoin, et le réactiver sans que vous ne vous en rendiez compte. Donc, autre mesure de sécurité sera indispensable ☺
Manel BEN SASSI Bensassimanel@yahoo.fr
2005-2006, NUMÉRO 2
Page 7
Les hackers en Inde seront protégés par la loi pour piratage informatique et détournement de données numériques déposée par un individu ne sera pas recevable .
L
’ECCL (Expert Commitee on Cyber Law), le groupe des experts indien en cyber-loi ont écarté le mot ‘hacker’ de la liste des crimes couverts par la future loi , qui dans le cas où elle sera adoptée ne permet pas d’accuser un pirate informatique pour ses actes , et qu’une plainte
"Parfois, par un manque de compétences ou par curiosité, les nouveaux utilisateurs, sans que ce soit intentionnel et sans le savoir, commettent des actes non souhaités sur le Net. Nous devons nous assurer que les nouveaux utilisateurs ne soient pas effrayés par la publicité de
crimes liés à l'informatique". Affirma l’ECCL dans le quotidien Indian Express. Donc, un pirate pourra argumenter au juge qu’il a détourné une somme d’argents mais sans qu’il soit intentionnel et sans le savoir !!! Source : Yves Grandmontagne, www.silicon.fr Issam HMIDA hmidaissam@gmail.com
Le virus informatique Kama Sutra
3
février 2006 - - Un nouveau virus informatique, classé sous le nom de Nyxem-D se propage par l'intermédiaire d'un courrier proposant des films et photos pornographiques, notamment des images du Kama Sutra. Ce virus, qui fait partie de la famille des vers (programmés pour s'exécuter seuls, sans faire appel à un programme de l'ordinateur) est en effet programmé pour se déclencher tous les troisièmes jours du mois. Selon les éditeurs, qui fournissent des chiffres très discordants, ce ver aurait déjà infecté des centaines de milliers d'ordinateurs dans le monde. S'il est activé, le ver est
conçu pour supprimer un grand nombre de fichiers du disque dur, et en particulier les documents de la suite bureautique Office (DOC, XLS, MBD, PPT), les PDF et les fichiers compressés ZIP et RAR.Il tente également de récupérer toutes les adresses de courrier du PC infecté, pour se propager vers ces adresses, et essaye de stopper les logiciels de sécurité qui protègent l'ordinateur.
la 4ème place du classement des virus les plus actifs.
Les éditeurs d'antivirus ont tous souligné que leurs logiciels étaient efficaces contre ce ver, mais ils ont néanmoins invité vigoureusement les utilisateurs à vérifier la mise à jour de leur antivirus. Selon l'éditeur Sophos, Kama Sutra a connu une forte progression au cours du mois de janvier et occupe désormais
Pour ceux et celles qui n'ont pas de logiciels antivirus, FSecure donne gratuitement un petit logiciel temporaire gratuit pour nettoyer un ordinateur contaminé par le ver. Ce logiciel est accessible à : http:// www.f-secure.com/v-descs/ nyxem_e.shtml
Les firmes en sécurité informatique ainsi que d'autres compagnies comme Microsoft s'inquiètent des dommages que pourrait causer le ver Nyxem, surnommé "Kama Sutra", le 3 février, jour où le virus est programmé pour effacer ou corrompre les documents .DOC et .PDF des ordinateurs contaminés.
Manel BEN SASSI Bensassimanel@yahoo.fr
Hollande: des hackers fortiches"
T
rois "hackers" néerlandais de 19, 22 et 27 ans s'étaient infiltrés dans 1,5 million d'ordinateurs Ces hackers ont été arrêtés au début Octobre. Ils sont accusés d'avoir implanté un "cheval de Troie" dans des ordinateurs mal protégés. Le virus nommé Toxbot
se comportait comme un innocent programme qui leur permettait ensuite de contrôler une armée de zombies. L'instigateur présumé de la fraude serait le plus jeune. L'essentiel des victimes étaient des particuliers, mais une entreprise américaine
aurait également été visée. Les jeunes informaticiens ont notamment volé des codes d'accès de particuliers à Paypal, le système de paiement sécurisé du géant des enchères sur internet eBay. Dorra Abdelleli Dorra_ab@yahoo.fr
BitTorrent : cible des Logiciels espions ! Après les logiciels de peer-to-peer, comme Kazza, c'est au tour du réseau BitTorrent de subir l'invasion des logiciels publicitaires ou espions (adware et spyware). Ces programmes indésirables apparaissent au moment où l'internaute veut lire la vidéo ou le fichier musical qu'il a téléchargé,une fenêtre de dialogue s'ouvre alors: elle avertit qu'un logiciel s'apprête à être installé, tout en donnant l'impression que cette procédure est nécessaire pour pouvoir accéder au contenu convoité. BitTorrent ne dispose pas de système de recherche centralisé pour trouver les fichiers. Pour savoir si un morceau ou un film est disponible en téléchargement, l'utilisateur doit se rendre sur des sites internet spécialisés qui recensent le contenu sur ce réseau. Les sites n'hébergent pas le contenu lui-même, mais des fichiers de quelques kilo-octets qui le décrivent et en donnent sa localisation. Baptisés trackers, ils servent donc de guide au logiciel BitTorrent pour aller télécharger le contenu stocké sur le disque dur d'autres utilisateurs. Chris Boyd, spécialiste en sécurité informatique a découvert des logiciels espions bien connus dans des épisodes de séries américaines populaires, des morceaux de musique et des films pornographiques téléchargés par le biais de ces trackers. Il estime que les éditeurs de ces programmes ont lancé une véritable campagne pour parvenir à installer leurs logiciels sur un grand nombre de PC grâce à BitTorrent. «C'est l'une des plus infamantes invasions de spyware que nous ayons jamais vue», confirme de son côté Alex Eckelberry, président de la société Sunbelt Software, qui édite des logiciels anti-spyware Abir naifer abirnaifer@yahoo.fr
2005-2006, NUMÉRO 2
Page 8
Même le Firewall peut être détourné!
D
ans le cadre de notre club SECURINETS, nous avons traité l’année dernière des études de cas évaluant quelques faiblesses de systèmes d’exploitation, telle que les attaques du FSI par l'exploitation des mots de passe universels ainsi que l'exploitation des failles au niveau du chargeur de démarrage LILO de linux...
Cette année, nous avons commencé à mettre en œuvre des ateliers couvrant l’Ip-spoofing, ARP-spoofing,scans de ports,...et celui de filtrage par Iptables qui est proposé comme l’une des solutions contre les attaques présentés dans le premier atelier... Dans cette partie du magazine je veux continuer avec cette stratégie pour vous présenter des techniques qui ont réussi à détourner des firewalls de filtrage IP les plus répondus dans le monde .Ces techniques sont présentées ci-dessous par ordre croissant de danger. LE FIREWALKING:
C
’est une technique qui a pour objectif de détecter la présence d’un firewall ainsi que d’autres collectes d’informations telle que l’architecture adoptée et la place des outils de filtrage… Nous allons, dans des ateliers prochains, détailler cette étape par l’emploi de certains outils telle que TRACERT, FIREWALK, HPING… Le principe est simple; on essaye de répéter des TRACERT tout en incrémentant le Time-To-Live jusqu'à la réception d’une réponse de la cible qu’on cherche d’attaquer (dans ce cas on confirme l’absence d’un firewall) ou bien pas de réponse (et on confirme la présence d’un firewall dans l’emplacement relatif à notre dernier ttl émit). Cette technique est utilisée fréquemment pour le collecte d’informations et la localisation des équipements de sécurité, et des serveurs critiques.
L’ATTAQUE PAR TINY-FRAGMENT: L’attaque par TINY-FRAGMENT consiste à fragmenter sur deux paquets IP une demande de connexion TCP ou d’autres demandes sur une machine cible tout en traversant et en déjouant (par le mécanisme de fragmentation) un filtrage IP. Les premiers filtres IP appliquaient la même règle de filtrage à tous les fragments d’un paquet. Alors notre premier fragment n’indiquant aucune demande de connexion explicite, le filtrage le laissait passer, de même que tous les fragments associés, sans davantage de contrôle sur les autres fragments. Lors de la défragmentation au niveau IP de la machine cible, le paquet de demande de connexion était reconstitué et passé à la couche TCP. La connexion s’établit alors malgré le filtre IP. La fragmentation se fait comme suit :
L’ATTAQUE PAR FRAGMENT OVERLAPPING: L’attaque par FRAGMENT OVERLAPPING consiste à fragmenter deux paquets IP au moyen de l’option overlapping pour faire une demande de connexion TCP ou une autre demande sur une machine cible tout en traversant un filtrage IP. Le premier paquet IP contient les données de l’entête TCP avec des indicateurs à 0. le second paquet contient les données de l’entête TCP avec la demande de connexion TCP (SYN). Et voici une explication graphique:
Mabrouk Samy daddysomio@yahoo.fr.
005-2006, NUMÉRO 2
Page 9
2005-2006, NUMÉRO 2
Les Mots Croisés 1
2
3
4
5
6
7
8
9
10
11
12
13
14
1 2 3 4 5 6 7 8 9 10 11 12 HORIZENTAL: 1- Webmaster. 2-… /Couper la connexion d'un internaute importun qui a enfreint les règles de la nétiquette lors d'une session de bavardage clavier. Synonyme d'exiler/… 3-…/…/…/…/Indice calculé à partir du nombre de liens hypertextes pointant vers une page ou un site Web/… 4-/… 5- Technique qui consiste à dissimuler un message, que l'on désire transmettre confidentiellement, dans un ensemble de données d'apparence anodine, de façon que sa présence soit imperceptible. 6-Service commercial privé, accessible uniquement sur abonnement, qui permet, à partir d'un ordinateur équipé d'un modem, d'avoir accès à différents services télématiques Exemple: le courrier électronique, le commerce électronique, les jeux, le chat, les bases de données, les actualités, la banque à domicile, le téléchargement de logiciels, etc/… 7-…/…/Protocole Internet par lequel on peut envoyer (upload) ou recevoir (download) des fichiers /… 8-…/courrier électronique/un utilisateur
10- Plusieurs ordinateurs reliés entre eux pour s'échanger des données. /gestion des droits d'auteur numériques. 11-Opération effectuer par un utilisateur malveillant/ Permet à un ordinateur d'utiliser le protocole TCP/IP à partir d'un modem ou d'une ligne téléphonique /… 12-logiciel introduit sur un dispositif et qui emploie la connexion Internet d'un utilisateur ou tout autre moyen ou support à son insu ou sans sa permission explicite et éclairée sur collecter des informations, peu importe qu'il y ait ou non un rapprochement entre ces informations et l'identification du dit utilisateur./… VERTICAL: 1-Il peut être par domaine, dynamique ou fixe, permanant ou jetable,... /… 2-/… 3-Information ajoutée dans l'en-tête d'une page Web au moyen de marqueurs HTML, qui constitue une clé d'accès supplémentaire destinée aux outils de recherche. 4-/… 5-Cyber magazine /… 6-Protocole qui permet aux serveurs caches de communiquer entre eux, tout en assurant une bonne synchronisation des
l'internaute d'entrer en communication avec un hôte Internet à partir de son propre ordinateur pour utiliser des programmes ou consulter des données qui y sont stockées / Système basé sur une structure de menus, qui permet la recherche d'information dans Internet, l'accès à cette information et sa visualisation /… 9-…/ 10-…/Protocole de messagerie électronique qui garantit aux utilisateurs la livraison des messages, filtre les courriels et délivre automatiquement des accusés de réception /… 11-Un protocole qui utilise un système d'identifiants numériques : les ports, Pour assurer la compatibilité des applications qui tournent sur des ordinateurs distants avec les données qui leur sont associées /… 12-…/Fournir un certain espace mémoire à un site Web sur un serveur et le diffuser dans Internet. (en anglais; to host) 13-Chaîne de caractères normalisés servant à identifier et à localiser des ressources consultables sur Internet et à y accéder à l'aide d'un navigateur/…
Afef denguir tungirl@gmail.com
SÉCURINETS
Page 10
COURRIER ELECTRONIQUE
C
ette rubrique est nouvelle ,elle consiste à essayer de répondre à certaines de vos interrogations . Pour ce numéro, Nedra ,une étudiante fictive,a posé sa question:
QUESTION : Je soupçonne que ma machine pourrait être piratée , est ce qu’il y a des moyens pour le savoir ? Merci.
RÉPONSES : Nedra, on va essayer de répondre à votre question à travers d’autres constations ou les propos de certains experts qu’on essaiera de contacter ou on fera en sorte de communiquer nos propres acquis pour vous aider :
Pour détecter aussi si l’intégrité des fichiers ou des systèmes de fichiers (si les fichiers ont été modifiés)est assurée, des utilitaires UNIX comme md5sum,efcheck et tripwire la fournisse .
Généralement,on le dit souvent quand on soupçonne que notre machine est piratée ,nous bloquons l’accès de la machine au routeur et nous la débranchons du réseau
Certains conseils qu’on donne pour limiter le piratage seraient de sécuriser nos machines en arrêtant les services réseau qu’on n’utilise pas, en supprimant l’accès anonyme de son serveur ftp s’il est inutile et en appliquant régulièrement les patchs de
sans la rebooter
.
Il existe un certain nombre de commandes UNIX dites « des commandes systèmes compilées en statiques » comme netstat ( informations de nature réseau) et des utilitaires comme nmap (scanner des ports) et strobe qui donnent des informations sur une éventuelle intrusion
.
sécurité. Nous pourrons également contrôler l’accès à nos machines avec des outils comme «tcpwrapper» ou «iptables». Ensuite, nous
Même si les pirates tentent de se dissimuler, certaines traces ne trompent pas. Cependant, l’absence de traces ne signifie pas l’absence de piratage.
essayons d’empêcher les intrusions sur notre réseau par les ports inutilisés (blocage des ports TCP/IP) et de contrôler les ports
Toutes les pistes sont bonnes pour trouver des traces de pirates à travers éventuellement une analyse des logs : les journaux des routeurs, des détecteurs d’intrusions,les logs des firewalls,…
indispensables, en limitant, par exemple, le nombre de machines susceptibles d’utiliser ces services.
Pour analyser les logs ou les journaux ,il faut bien des connaissances!
Si comme Nedra,vous avez besoin d’un avis sur tel sujet, ou vous soupçonnez avoir des virus qui vous freinent , vous avez du mal à assurer une connexion internet .Si vous avez des interrogations sur la sécurité de votre pc ou sur la sécurité en général : N’hésitez pas à nous contactez par e-mail sur: webmaster@securinets.com ou à travers notre forum de discussion sur le site : www.securinets.com Nous essaierons de vous prêter main forte et discuter des solutions envisageables.
2005-2006, NUMÉRO 2
Page 11
Kevin Mitnick : Le roi des Hackers 'Je ressemble aux meilleurs perceurs de coffres-forts. Je lirai votre journal intime, je ne prendrai pas l'argent et refermerai le coffre sans que vous sachiez que je suis passé par là. Je le ferai parce que c'est super, parce que c'est
c
un défi !
’est ce qui a dit le plus célèbre pirate informatique dans le monde, l’homme qui a fait trembler le gouvernement américain pendant plus de quinze ans est arrêté en février 1995 et accusé d’avoir percé les codes d'accès des ordinateurs les plus sophistiqués. Kevin a été libéré en 21 Janvier 2000 et n’avait pas le droit de s’approcher d’un ordi-
nateur, d’un téléphone ou d’une télévision connecté à Internet pendant 3 ans !!!. D’après le New York Times, Mitnick à l’age de l’adolescence infiltre l'ordinateur du NORAD situé au Colorado et dont le rôle, à l'époque, est d'assurer la défense du continent nordaméricain contre une attaque soviétique. Même si Mitnick a démenti fortement cette allégation, il était certainement considéré comme l’ennemi numéro un du FBI. Le 8 Décembre 1988, les agents du FBI par l’aide de l’ancien complice de Mitnick Leny DiCicco, arrêtèrent Kevin pour avoir pénétrer dans les ordinateurs top secrets du Digital deuxième constructeur mondial d’ordinateurs. Il passa huit mois d’isolement au centre de détention de Los Angeles puis fit dix mois de détention surveillé. En 1990, après avoir purgé
sa peine, le hors-la-loi fut embauché par une entreprise d'enquêtes, Teltec. Mais la tentation de s'immiscer dans des systèmes de tous ordres se réveilla malgré lui. Mitnick retomba alors dans son mode de vie clandestin, perpétrant de nouvelles intrusions informatiques opérant en cachette avec la complicité de Lewis de Payne, autre spécialiste du piratage téléphonique. Le jeu du chat et de la souris dura trois ans. Fin octobre 1994, Mitnick échappa miraculeusement à une descente du FBI dans la chambre qu'il louait à Seattle. Mitnick fit apparemment une erreur de taille, lorsqu'il s'en prit à Tsutomu Shimomura, un Japonais reconnu comme l'un des plus grands spécialistes mondiaux de la sécurité et qui travaillait pour le FBI. Le jour de Noël 1994, l'ordinateur de Shimomura fut
que deux mois pour remonter jusqu'à la trace de l'appartement où se terrait Mitnick, à Raleigh, en Caroline du Nord. A son actif : le "vol" de plus de vingt mille numéros de cartes de crédit dérobées à la compagnie de services Internet Netcom, puis le vol de quinze numéros de téléphone cellulaires lui permettant de s'introduire dans des bases de données informatiques, ou encore le piratage de logiciels de grandes compagnies (Novell, Motorola, Nokia, Fujitsu, NEC). Un préjudice estimé à 88 millions de dollars. Maintenant, Kevin Mitnick est employé chez Defensive Thinking Inc. Le site de son employeur a déjà été "défacé" une première fois par BugBear qui avait laissé ce message : "Bienvenue de nouveau dans la liberté M. Kevin ;( BugBear essaye de vous dire que vous avez oublié de sécuriser votre machine, cela a été simple et fun de la pirater)" !!!.
Issam HMIDA hmidaissam@gmail.com
Un hacker condamné suite à son intrusion au Pentagone Gary McKinnon, un britannique de 39 ans est accusé par les Etats-Unis d'Amérique d'avoir réalisé un important piratage des systèmes informatiques militaires. Arrêté pour fraude informatique après une plainte déposée en novembre 2002 par le gouvernement des EUA, il est accusé d'avoir réalisé plus de 95 piratages des systèmes informatiques gouvernementaux dont le Pentagone et la Nasa, durant 1 ans, causant près de 700 000 dollars de dégâts.
S'il est reconnu coupable, il risque jusqu'à 1,75 millions de dollars de dommages et intérêts et 70 ans de prison. A noter sur le gouvernement américain a reconnu n'avoir aucune preuve contre McKinnon quant au téléchargement ou à la revente de données confidentielles ou sensibles. Il est toutefois certains qu'il a eut accès à plusieurs dossiers classés secret défense.
Dorra Abdelleli Dorra_ab@yahoo.fr
5 --22000 0 6 ,6 N R OÉ R 2 O 2 220000 5 , UNMUÉ M
Page 12
Solution de la Grille
S A
T D
A D R E S S A G E
2
1
T E
A
T
A C E
M E T A E L E M E N 3
G I J 4
P Q I M T N E T M A G 5
Y U F L L W N I C P 6
W
A
R
E O P O R T S T 7
P G O P H E R
A P K R
T E L
R R
8
9
E P C P I M A P A 10
R P K P T C P 11
E H E B E R G E 12
S D
D N
R I U R L 13
R O U T E U R 14
n souhaite que notre magazine vous a plu.
1 2 3 4 5 6 7 8 9 1 0 1 1 1 2
O
Numéro 1 de notre magazine
On a essayé de joindre l’utile à l’agréable à travers des
informations du domaine de la sécurité informatique mixées par des rubriques d’humour et de divertissements assez instructives. Si vous voulez joindre les activités de notre club. Vous seriez les bienvenus. Malheureusement ,on n’a pas encore de local ou vous pouviez vous renseigner,on espère que les responsables répondent à notre appel. Cependant,nos réunions sont journalières et comptent la présence de plusieurs étudiants de différentes filières et niveaux . Ce qui constitue pour nous un encouragement qui nous permet de suivre les objectifs qu’on s’est fixé dès la création du club . Pour plus d’informations : webmaster@securinets.com
A
ntivirus, Firewalls, sniffers, détecteurs d’intrusion, scanners et bien d’autres :une myriade d’utilitaires de sécurité informatique très captivants à explorer ,disponibles sur notre CD Securibox .
N’hésitez pas à le demander ,vous ne le regretteriez pas !
CD Securibox Avec la collaboration de Retrouvez nous sur : Www.securinets.com
POLY PHOTO