Octobre 2010 SÉCUS | 30 |

ATTAQUES CLASSIQUESLors d’attaques extérieures, le

pirate trouve d’abord toute l’informa-tion publique disponible sur sa cible encherchant sur Internet (adresses IP,noms de domaine, coordonnées deliens techniques, communiqués depresse, informations diverses sur lesforums de discussion et de soutien,etc.).

Ensuite, il effectue des balaya gesde ports sur les systèmes cibles avecdes outils comme Nmap1 afin de déter-miner le système d’exploitation dessystèmes cibles et de trouver les portsqui sont ouverts sur chacun d’eux.

Puis, vient la phase de balayagedes vulnérabilités. Celle-ci se fait àl’aide d’outils comme Nessus2 et a pourbut de trouver les failles et vulnérabi -lités des systèmes ciblés.

Une fois les failles et vulnéra -bilités découvertes, il faut ensuite tenter de les exploiter en utilisantdiverses méthodes et outils commeCore Impact3, Immunity Canvas4 ouMetasploit5. Ces outils sont spécialisésen exploitation de vulnérabilités. Cetteattaque est communément appelée

« attaque du côté serveur » (server-side attacks). Lepirate attaque directement les serveurs afin de s’yintroduire pour éventuellement réussir à « pivoter »et à attaquer le reste de l’infrastructure réseau à par-tir du serveur initialement compromis.

Avec l’utilisation de plus en plus répandue etl’efficacité accrue des systèmes de défense tels que

Que sont les client-side attackset en quoi sont-elles différentes?PAR MICHEL CUSIN, architecte de sécurité – Bell

Michel Cusin œuvre dans le domaine de la sécuritédepuis plus d’une décennie. Ilest actuellement architecte ensécurité de l’information chezBell. Dans le passé, il a étéinstructeur et consultant ensécurité (secteurs privés etpublics). Il détient des certifi -cations telles que CISSP, GCIH,CEH, OPST, ITIL et plusieursautres relatives à divers manufacturiers de solutions de sécurité. Il collabore avec le SANS depuis plusieursannées, notamment à titre de mentor et d’instructeur. Ilparticipe également à diversévénements de sécuritécomme conférencier et organisateur.

Les attaques traditionnelles consistent notamment à trouver des faillesde serveurs internes et visibles de l’extérieur (serveurs Web, FTP,SMTP, DNS, etc.). Jusqu’à tout récemment, elles constituaient la majoritédes menaces. Les temps changent.

coupe-feu, antivirus, mécanismes de détection d’in-trusion et toutes les solutions de sécurité offertes, latâche du pirate est devenue plus compliquée et il adû s’adapter à sa nouvelle réalité.

NOUVELLES ATTAQUESComme une grande majorité des attaques du

côté serveur ne fonctionnent plus, le modèle d’attaques’est transformé afin de s’orienter vers une nouvellefaçon de faire, soit les attaques du côté client (client-

side attacks). Ces dernières utilisent un principe qui rappelle

un peu celui des chevaux de Troie. Elles exploitent desfailles de clients (postes de travail) se trouvant « àl’interne » pour éventuellement attaquer le reste del’infrastructure de l’intérieur.

Elles fournissent aussi généralement uneporte dérobée (backdoor) au pirate afin de lui fournirun accès permanent au réseau par la suite.

E X P E R T I S E S

«Un vrai pirate ne s’arrête jamais au premier système qu’il réussit à

infiltrer. Bien au contraire. Ce premierpas lui sert souvent de relais pour aller

plus loin dans l’infrastructure.»

Suite en page 31

Octobre 2010 SÉCUS | 31 |

un fichier exécutable caché à l’intérieur même du documentPDF.

Or, lorsque l’utilisateur clique sur le fichier PDF pourl’ouvrir, le système d’exploitation invoque l’application AdobeAcrobat Reader (qui est vulnérable) et affiche le contenu dudocument tout en exécutant, à l’insu de l’utilisateur, le fichierexécutable qui est en fait un logiciel malveillant ayant étécaché à l’intérieur du document PDF.

Le fichier exécutable en question peut être n’importequoi. Imaginons un instant qu’il s’agisse d’un cheval de Troie(porte dérobée) et que ce dernier ait été spécialement conçupour contourner les antivirus afin de ne pas se faire détecter.Comment est-ce possible ? C’est assez simple. Les antivirusne sont efficaces que s’ils ont une signature pour un logicielmal veillant donné, comme un virus ou un cheval de Troie. Donc,si le pirate utilise un logiciel permettant de compresser desfichiers exécutables (packer) comme UPX10 ou le modulemsfencode de Metasploit pour modifier le cheval de Troie defaçon à ce que sa signature soit unique, aucun antivirus n’aurade signature pour le détecter. Afin de s’assurer qu’aucune signa-ture d’anti virus n’existe, le pirate peut télécharger son nouveaulogiciel mal veillant fraîchement encodé sur le site Webwww.virustotal.com. Ce site l’analysera en se basant sur lessignatures de plus d’une quarantaine de manufacturiersd’antivirus. Si aucun ne le détecte comme étant malicieux, letour est joué.

Une fois que le cheval de Troie est rendu « indétectable»par l’antivirus (même s’il est à jour), il lui sera possible de s’ins -taller sur un poste sans se faire détecter. Il pourra par la suiteamorcer une connexion renversée (reverse shell) à partir duposte ayant été compromis de l’intérieur vers l’extérieur en

«La différence avec ces nouvelles attaques réside dans le fait que ce sont les

failles des applications installées sur lespostes de travail qui sont exploitées, et pas

nécessairement celles du système d’exploitation lui-même.»

Suite de la page 30

Par exemple, un utilisateur clique sur un lien pointantvers un document PDF et télécharge ce dernier. Il l’ouvre surson poste de travail, le consulte et le ferme une fois qu’il a ter-miné. Rien de plus banal. En fait, ce qui s’est réellementpassé est plus complexe.

D’abord, il faut faire un retour dans le temps. Au coursdes trois dernières années seulement, plus de trois centsvulnérabilités ont été publiquement rapportées et documen-tées concernant les produits d’Adobe selon le National

Vulnerability Database6 du National Institute of Standardsand Technology (NIST)7.

Un nombre similaire de vulnérabilités a également étérépertorié par d’autres bases de données du même genre,comme l’Open Source Vulnerability Database (OSVDB)8. Dece nombre, plus d’une centaine de ces vulnérabilités sontreliées au logiciel Acrobat Reader d’Adobe. Certaines de cesvulnérabilités étaient des attaques du jour zéro (Zero Day

Attack9). Ces dernières surviennent lorsqu’un « exploit »(programme permettant d’exploiter une faille de sécurité)est disponible avant la protection adéquate.

Comme plusieurs de ces vulnérabilités permettentd’exécuter le « code arbitraire » sur le poste de travail parl’application, il devient possible d’inclure ou d’imbriquer

Suite en page 32

Octobre 2010 SÉCUS | 32 |

destination du poste du pirate en utilisant un port de communi-cation qui est normalement permis en sortie à travers le coupe-feu, comme le port 80 (HTTP) ou le port 443 (HTTPS). Une connexion renversée reverse shell permet au pirate d’exécutersur le poste distant les commandes qu’il tape sur sont propreposte. Cette méthode permet donc de contourner le coupe-feu.

De plus, l’utilisation d’un canal chiffré qui passe par leport 443 (HTTPS) rend les connexions du cheval de Troie trèsdifficiles, voire presque impossibles à intercepter et à détecter.Les connexions HTTPS (SSL) ne sont donc pas nécessaire-ment toujours une bonne chose et peuvent parfois créées unfaux sentiment de sécurité, juste parce qu’elles sont chiffrées.

Dans ce scénario, la vulnérabilité qui est exploitéen’est pas dans le système d’exploitation (Windows, Mac,Linux, etc.), mais dans l’application Adobe Acrobat Readerqui, soit dit en passant, est multiplateforme. Cela signifiequ’une attaque pourrait avoir du succès sur plusieurs sys-tèmes d’exploitation à la fois. Alors ceux qui se croient à l’abrides attaques parce qu’ils utilisent un Mac ou Linux devraientpeut-être considérer ce fait dans leur stratégie de défense.

C’est donc la vulnérabilité présente dans AdobeAcrobat Reader qui a causé la perte du poste de travail enentier, même si le système d’exploitation et l’antivirus étaientà jour et n’avait aucune vulnérabilité connue ou exploitable.

QUE FAIRE ?Les attaques du côté serveur sont toujours présentes et

existeront toujours. Il ne faut donc pas baisser la garde en cequi concerne la protection du périmètre des infrastructures.L’application de rustines (patch) est plus importante quejamais. Cependant, elle doit non seulement se faire au niveau

des systèmes d’exploitation, mais également sur le plan desapplications qui sont installées sur les postes de travail.

Les vulnérabilités pouvant mener à des attaques ducôté client peuvent également découler de vulnérabilitésd’applications d’Adobe (Reader, Dreamweaver, Photoshop),de Microsoft (Word, Excel) ou même d’Apple (QuickTime). Si,par exemple, quelqu’un ouvre une vidéo avec l’extension« .mov » à travers un fureteur Internet, peu importe qu’ils’agisse de Firefox, Internet Explorer, Opera, Safari, Chromeou autre, le fureteur invoquera un logiciel pour la faire jouer, etce sera fort probablement QuickTime dans le cas présent. SiQuickTime a une vulnérabilité dont le correctif n’a pas étéappliqué (ou que ce dernier n’existe tout simplement pasencore comme dans le cas d’un Zero Day Attack), la vidéo quia spécialement été conçue pour exploiter cette faille pourraitfaire en sorte que le poste entier soit compromis.

Il est donc très important d’intégrer l’application des cor-rectifs de sécurité des applications au même titre que l’applica-tion des rustines du système d’exploitation des postes de tra-vail et des serveurs. Il faut également continuer à sensibiliserles utilisateurs aux bonnes pratiques telles que la prudencelorsque vient le temps d’ouvrir un fichier joint ou de cliquer surun lien. Il est primordial pour les administrateurs de systèmesde bien connaître leur réseau et d’analyser le trafic qui y tran-site afin d’être en mesure de déceler toute activité suspecte.

Le savoir, c’est le pouvoir. Les connaissances et l’édu-cation adéquate s’avèrent les meilleures armes contre cesattaques. Le SANS Institute11 propose plusieurs formationsen sécurité. Certaines sont offertes en français au Québec.Pour de plus amples renseignements, visitez le http://cusin.ca.

Lors du CQSI 201012, Michel Cusin présentera «Maîtriserl’art du kung-fu » et fournira des solutions à des probléma-tiques similaires à celles de ce texte. �

1. http://nmap.org/.2. http://www.nessus.org/nessus/.3. http://www.coresecurity.com/.4. http://www.immunitysec.com/.5. http://www.metasploit.com/.6. http://nvd.nist.gov/home.cfm.7. http://csrc.nist.gov/.8. http://osvdb.org/.9. http://fr.wikipedia.org/wiki/Zero_day.10. http://upx.sourceforge.net/.11. http://www.sans.org/security-training.php.12. http://www.asiq.org/cqsi/.

«Celui qui excelle à résoudre les difficultés les résout avant qu’elles ne

surgissent. Celui qui excelle à vaincre sesennemis triomphe avant que les menaces

de ceux-ci ne se concrétisent.»Sun Tzu, stratège militaire chinois du VIe siècle avant Jésus Christ

Suite de la page 31

Orientations stratégiques en sécurité de l’information600, avenue Belvédère, bureau 200Québec (Québec) G1S 3E5www.agrmpi.ca

On ne vous promet que la tranquillité d’esprit