24.3.2010 par christophe.croisant.

Peut être pas celui que l’on croit !…

Posté dans Sécurité | Aucun commentaire »

13.1.2010 par christophe.croisant.

Joomla! est une plateforme très utilisée pour la création de sites dynamiques. Néanmoins, l’utilisation d’un outil “packagé” ne met pas à l’abri des risques de piratage et d’intrusion dans le système. Voici quelques failles à surveiller et à corriger pour assurer une protection de votre site Joomla!

La première (et plus simple) faille du produit est l’URL d’accès à son interface d’administration bien connue des administrateurs du site mais également des pirates potentiels. Il est donc primordial d’avoir un mot de passe fort pour l’administrateur car les pirates vont essayer les mots de passe classiques, les plus utilisés par les internautes peu soucieux de la sécurité.

Ensuite, les pirates vont utiliser les failles des composants, plus que celles du noyau de joomla! Vous devez donc veiller à toujours utiliser la dernière version stable du noyau afin de garantir une prise en compte des dernières failles de sécurité. La dernière version stable est la 1.5.15.

Le piratage se fait donc le plus souvent via une vulnérabilité dans un composant ou un module et en utilisant des méthodes classiques :
- Injection SQL, technique qui consiste à modifier une requête SQL existante pour afficher des données cachées, ou pour écraser des valeurs importantes, ou encore exécuter des commandes dangereuses pour la base.
- Injection de fichier, technique qui consiste à introduire un fichier étranger sur le serveur.
- Vulnérabilité du type cross-site scripting (XSS) et cross-site request forgery (XSRF), autorisant des utilisateurs à effectuer certaines actions par le biais de requêtes HTTP sans vérification de celles-ci. Ces erreurs peuvent être exploitées pour, par exemple, ajouter un nouvel super administrateur de Joomla!.

Donc, pensez à utliser des modules et des composants fiables, testés et n’hésitez pas à consulter la liste des failles répertoriées sur le site http://docs.joomla.org/Vulnerable_Extensions_List

En revanche, sachez qu’il existe également des composants Joomla! qui peuvent sécuriser votre site et même détecter toutes tentatives d’injection !…

Posté dans Web Développement, Sécurité | 1 commentaire »

30.9.2009 par christophe.croisant.

Lorsque vous vous connectez à un site Internet pour y saisir votre nom d’utilisateur et votre mot de passe, celui-ci ouvre une session qui va rester ouverte jusqu’au moment où vous cliquez sur “déconnexion” ou fermez le navigateur. La gestion des sessions se fait suivant plusieurs techniques, la plus utilisée utilise les cookies, petites variables nommées, associées à des URLs et possédant une limite de validité dans le temps. Le serveur produit le cookie et le navigateur le transmet à chaque requête HTTP. Ainsi, si votre connexion n’est pas chiffrée, un attaquant qui vous dérobe ces fameux cookies accède simplement à votre session.

Pour obtenir cette information, l’attaquant capture (par différentes méthodes) tout ou partie du trafic entre le serveur HTTP et le client pour ensuite faire apparaître les transactions qui comportent une transmission de cookie et enfin déterminer quel est le cookie de session. Le service Google Mail, comme iGoogle utilise par exemple un seul cookie appelé GX pour identifier la session.

Sous Firefox 3, les cookies sont désormais stockés dans un fichier SQLite 3 sur lequel il est très facile de procéder à tous types de requête SQL. Un script permet ensuite la transposition d’un hôte cible à un autre en insérant un enregistrement adéquat dans la table et hop, le tour est joué ! l’attaquant est désormais identifié comme étant l’utilisateur de la session ouverte.

La solution pour éviter un tel vol est d’imposer systématiquement le chiffrement des communications (HTTPS pour le web, VPN pour les autres applications nomades,…). Il est également important de penser à “effacer ses traces” de navigation.

Posté dans Sécurité | 1 commentaire »

9.9.2009 par christophe.croisant.

Des chercheurs en informatique des universités d’Hiroshima et de Kobe au Japon ont affirmé avoir mis le doigt sur une méthode permettant de craquer en moins d’une minute le système de chiffrement WPA (pour Wi-Fi Protected Access).

Cette technique pourrait s’appliquer à certains types de routeur Wi-fi.

Source: Le Journal du Net

Posté dans Sécurité | Aucun commentaire »

25.3.2009 par christophe.croisant.

Le Web Hacking Incidents Database (WHID) vient de publier une étude sur les attaques 2008 des sites Internet dont voici les principaux chiffres :
- 24% de ces attaques se sont soldées par un défacement du site attaqué, c’est-à-dire généralement par une modification de la page d’accueil pour y laisser un message,
- 19% ont été faites dans le but de voler des données plus ou moins sensibles,données ensuite revendues pour être exploitées afin de dérober de l’argent,
- 8% dans le but de rendre le site indisponible.

Concernant les types d’attaques, l’étude du WHID souligne une tendance :
- l’injection SQL reste la méthode la plus employée avec 30% des attaques, et connaît une nette progression par rapport à l’année précédente (20% en 2007),
- alors que les attaques de type XSS (Cross-Site Scripting) sont en léger recul avec 8% (contre 12% précédemment),
- 8% des vulnérabilités résultent d’un défaut (ou d’une absence) de système d’authentification,
- et surtout près de 30% des vulnérabilités exploitées par des pirates restent inconnues (ou ne sont pas communiquées publiquement).

L’enquête explique ce dernier point par un manque évident de visibilité sur le trafic Web en raison d’une faiblesse du monitoring et d’analyse des logs.  Or, cette faille dans les mécanismes de surveillance permet aux pirates de réaliser des tentatives d’attaques répétées sans générer d’alerte et de n’être découverts que très tardivement.

Les administrations, et plus particulièrement les sites gouvernementaux ou appartenant à des forces de l’ordre, sont des cibles idéales, principalement visées pour des raisons idéologiques. Les sites commerciaux font malgré tout partie des cibles les plus fréquemment visées par des attaques, notamment les sites d’e-commerce. Enfin le secteur de la finance continue à faire l’objet de piratage.

Posté dans Chiffres, Sécurité | Aucun commentaire »

7.1.2009 par christophe.croisant.

Pour marquer le passage à l’année nouvelle, les Français ont massivement opté pour les vœux virtuels, notamment via internet, pulvérisant une fois de plus les records de l’année passée. Le site dromadaire.com, leader sur ce secteur, a comptabilisé plus de 10 millions de cartes dans la journée du 1er janvier, contre 3 millions l’année dernière, en plus des deux millions déjà programmées pour un envoi à minuit pile.

Une aubaine pour les cybercriminels,qui voient dans les cartes virtuelles un excellent vecteur pour propager virus ou chevaux de Troie et attirer d’infortunés destinataires sur de faux sites. Une des attaques les plus courantes consiste à insérer un lien piégé dans l’e-mail informant le destinataire qu’il a reçu une carte virtuelle. Celui-ci est alors redirigé vers un site malveillant, où l’attendent codes malicieux et autres formulaires destinés à lui soutirer des informations personnelles.

Comment repérer ces cartes piégées ? Difficile , d’autant que, parfois, l’expéditeur - involontaire - de la carte piégée est connu du destinataire, ce qui trompe la vigilance de celui-ci.

Restent les conseils de sécurité habituels  :
- ne pas ouvrir un e-mail suspect (expéditeur de la carte ou nom du fournisseur de service inconnu),
- mettre à jour systématiquement son antivirus et son firewall, qui pourront intervenir si le code malveillant est déjà connu,
- ne pas cliquer sur un exécutable qui serait envoyé en pièce jointe,
- ne jamais communiquer ses coordonnées bancaires…

Et une nouvelle fois, bonne année à tous !

Posté dans Sécurité | Aucun commentaire »

24.9.2008 par christophe.croisant.

Comme le nom l’indique, le rootkit est un kit composé de différents outils qui, avec les droits “root” (administrateur) d’une machine permet de récupérer toutes les informations utiles qui transitent sur cette machine. L’installation d’un rootkit nécessite des droits “administrateur” sur la machine. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du “root” afin de mettre en place son “rootkit”. Un rootkit ne permet pas en tant que tel de s’introduire de manière frauduleuse sur une machine saine.

Un rootkit est donc un ensemble de programmes qui permet au pirate de s’installer sur une machine et d’empêcher sa détection. La plupart du temps, il se compose d’un cheval de troie qui permet la mise en place d’une porte dérobée, d’un sniffer d’interface réseau pour intercepter les données qui transitent sur le réseau et d’un nettoyeur de fichier journal du système pour effacer ses traces et masquer son activité. Du fait de leur côté furtif, les rootkits sont difficilement détectables. Ainsi, la plupart ne se propagent pas ou ne ralentissent pas de manière visible la machine.

Connus depuis longtemps dans les environnements Unix ou Linux, où ils aident à automatiser des tâches d’administration sans porter de véritables menaces, le large déploiement des environnements Windows, où les utilisateurs travaillent la plupart du temps avec des droits administrateurs, en ont fait une attaque de choix et souvent méconnue.

Se rendre compte que l’on est infecté par un rootkit ou le détecter n’est pas évident.  Il opère au niveau du noyau (la plupart du temps chargé en tant que driver) et peut donc tromper à sa guise les programmes qui sont exécutés en mode utilisateur (antivirus, firewalls). En dehors des antivirus, il existe des utilitaires pouvant mettre en évidence la présence de rootkits. Les méthodes principales de détection s’appuient sur la faiblesse relative du rootkit : ce qu’il doit cacher pour perdurer dans le système.

La prévention reste cependant le moyen de protection le plus efficace : le rootkit ne peut s’installer que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits administrateur. Donc pas de faille, pas de rootkit. Le meilleur moyen de se protéger des rootkit reste donc de se prémunir contre les failles !

Posté dans Sécurité | Aucun commentaire »

18.6.2008 par christophe.croisant.

Les keyloggers (ie “enregistreurs de touche“) sont des outils permettant d’enregistrer les frappes clavier d’un utilisateur. Ils interceptent les données représentant la touche pressée par l’utilisateur durant leur transfert depuis le clavier jusqu’à l’application destinataire. L’installation d’un keylogger sur un poste de travail provoque souvent la compromission de nombreux mots de passe protégeant l’accès au reste du système d’information.

Pour effectuer l’interception de vos frappes, le pirate dispose d’un panel de techniques, correspondant aux différentes étapes du cheminement des frappes clavier. Pour faire simple, tout démarre au niveau matériel par l’encodeur du clavier en charge de l’état des différentes touches du clavier (appuyées, maintenues appuyées ou relâchées) qui transmet l’information à la carte mère. Ensuite, le driver du clavier convertit alors cette information en fonction de la touche ayant été appuyée puis l’OS récupère le message et le transmet à la fonction de l’application traitant les entrées clavier.

Chacune de ces étapes est potentiellement une cible pour un keylogger. On trouve en effet des keyloggers matériels. Ceux-ci sont très simples d’emploi, indétectables par un système logiciel de sécurité et fonctionnent pour tous les systèmes d’exploitation. En revanche, leur installation nécessite un accès physique au clavier.

Les keyloggers logiciels offrent de plus intéressantes possibilités et présentent de nombreux avantages pour le pirate. Ils permettent un haut niveau d’interaction avec le système, ce qui permet d’espionner toutes les actions de l’utilisateur dans leur contexte et peuvent être installés sans avoir un accès physique à la machine cible. Ces outils peuvent ensuite envoyer les informations récupérées au pirate par de nombreux moyens tels SMTP, HTTP… En revanche, mal implémentés, ces programmes peuvent être détectés par les suites de sécurité.

Windows XP offre nativement de nombreuses possibilités pour installer un keylogger comme les mécanismes d’extensions standards type BHO (Browser Helper Object) ou les nombreuses API standards qui permettent de consulter les frappes clavier (par exemple GetKeyState())… Certes, ces attaques doivent être lancées à partir d’un compte faisant partie du groupe “Administrateurs”, ce qui est le cas pour la plupart des particuliers voire dans de nombreuses entreprises. Windows Vista a essayé d’apporter des protections à ces attaques avec l’UAC (User Account Control) mais celles-ci peuvent être contournées.

A noter également que les fonctionnalités des keyloggers ont évolué avec l’apparition des “claviers virtuels” qui demandent à l’utilisateur de cliquer sur des images pour renseigner son mot de passe. Ainsi certains keyloggers récents surveillent les clics de la souris et réalisent des captures d’écran.

Cela montre que pour la plupart des systèmes d’authentification, il est possible de concevoir une technique permettant d’espionner l’utilisateur !

Posté dans Sécurité | Aucun commentaire »

30.4.2008 par christophe.croisant.

Fausse pub mais vrai menace, le malvertising concerne les bannières publicitaires, bannières qui deviennent infectées, piégées ou piégeuses et qui investissent de nombreux sites comme MySpace, Expedia ou Rhapsody…

Le principe est simple. Ces bannières routent l’internaute sur une page “piégée” qui incite l’internaute au téléchargement d’un logiciel qui se révèle être un malware, lequel s’installe parfois automatiquement dans la machine. Ceci peut s’avérer particulièrement grave lorsqu’il s’agit d’un malware type backdoors qui permet aux hackers de prendre le contrôle du PC désormais infectés.

Difficile d’en connaître l’origine. Les bannières sont achetées à une régie, qui elle-même achète l’espace à des éditeurs de sites. On se trouve alors face à une quantité d’intermédiaires et on ne peut pas savoir qui a procédé à l’action. Très concrètement, le site support qui distribue la bannière malicieuse ne sait pas que cette dernière est infectée. Tout se passe à son insu. Il n’est que l’intermédiaire involontaire entre l’internaute et les pirates.

Les soupçons pèsent sur des groupes opérant depuis les pays de l’Est et la Russie, de la Chine ou de l’Amérique du Sud. Pour l’instant, ces fausses bannières de publicité ne s’affichent qu’en anglais. Mais rien n’empêche de les adapter en français.

Profitant de la notoriété des sites qu’elles parasitent, ces publicités frauduleuses inquiètent les experts en raison de leur mode opératoire. Elles peuvent en effet utiliser les failles de sécurité des navigateurs pour se charger à l’insu du visiteur. De plus, les scripts peuvent détecter le navigateur utilisé et s’adapter à ses vulnérabilités.

Actuellement, les attaques de malvertising sont encore limitées mais avec le développement du Web 2.0, elles devraient avoir tendance à augmenter et à ne plus toucher essentiellement les Etats-Unis.

Posté dans Sécurité | Aucun commentaire »

5.3.2008 par christophe.croisant.

Synonyme de flexibilité et d’économie, la virtualisation présente un certain nombre de risques encore trop peu pris en compte par les entreprises. Le principal argument consiste à rappeler qu’une machine virtuelle peut être régénérée beaucoup plus rapidement qu’une machine physique.

Or, une machine supportant plusieurs serveurs virtuels est mathématiquement plus vulnérable qu’un serveur physique doté d’une seule instance de système. Sur un serveur physique virtualisé, un problème sur l’un des moteurs d’émulation, dû à l’exploitation d’une faille par exemple, peut en effet entraîner des perturbations au sein des autres instances voire la mise hors service de l’ensemble de la chaîne, notamment si la mémoire est saturée.

De plus, lors de la récente conférence de sécurité Black Hat à Washington DC du 18 au 21 février, un étudiant de l’Université du Michigan, a présenté un logiciel qui permet de prendre le contrôle de l’hyperviseur ESX Server de VMWare et, dès lors, de télécharger des données d’une machine virtuelle.
Plus grave, une autre vulnérabilité découverte par la société Core Security Technologies concernant les clients VMware Workstation, VMWare Player et VMWare ACE autorise un attaquant à prendre le contrôle complet de la machine virtuelle, création, modification et exécution de code comprises. De là, l’attaquant peut accéder au système d’exploitation.

Parmi les règles basiques à suivre, il est impératif de s’assurer de la mise à niveau permanente de ses machines virtuelles et des systèmes qu’elles supportent en matière de correctifs.
Autre élément fondamental, la gestion des droits d’accès doit être exemplaire. On préférera idéalement une centralisation de celle-ci par le biais d’une plate-forme d’annuaire d’entreprise, avec la mise en place de pare feu spécifiques ou la définition de politiques de segmentation réseau au sein des LAN virtuel.

Dans certains cas, la mise en place de zone démilitarisée (virtuelle) est conseillée, en vue notamment de protéger une base de données “sensible” : on peut citer la perte de l’infrastructure dédiée aux services de nom de domaine comme potentiel point de départ d’une défaillance de plus grande importance.

Les solutions de sécurité virtuelles sont encore limitées en comparaison de leurs équivalents physiques. A mesure que la virtualisation progresse, de nouvelles problématiques de sécurité se font jour et le caractère évolutif de ces technologies remet en question l’efficacité des protections traditionnelles.

A ce sujet, l’annonce de VMsafe par VMware est une étape particulièrement importante pour la sécurité des infrastructures virtuelles. En effet, l’éditeur s’apprête à ouvrir son hyperviseur aux éditeurs de sécurité afin que ces derniers soient en mesure de faire fonctionner leurs solutions au coeur même de l’environnement, et non plus sur chaque machine virtuelle comme c’est aujourd’hui le cas.

Posté dans Sécurité | Aucun commentaire »