INTERVIEW EXCLUSIVE · 2012-02-07 · 8 PDF : La nouvelle épée de Damoclès Par Thibault Koechlin, Jean Baron et Philippe Humeau, NBS System 11 Interception GSM : Le mythe s’effondre

INTERVIEW EXCLUSIVEINTERVIEW EXCLUSIVEJean-Marc Thoumelin

Hors série N°001 - Prix : 7 € - mai 2008

HORS SERIE

HORS SERIE

SOMMAIRE2 N’ayez pas une confiance

aveugle en vos antivirus Par Jérémy Lebourdais, Groupe ON-X

4 Phishing et stratégie de sécurité Par Benjamin Tréheux, HSC

7 Tout sur le Spam Par Igor Herrmann, Vipawan

8 PDF : La nouvelle épée de Damoclès Par Thibault Koechlin, Jean Baron et PhilippeHumeau, NBS System

11 Interception GSM : Le mythe s’effondre Par Jean-Marc Grémy, Cabestan Consultants

12 Spécial Trend Micro a 20 ans

22 Quand les navigateurs perdent la tête Par Adrien Guinault, Xmco Partners

26 Maltego : l’investigateur du WebPar Thomas Gayet, Cert-Lexsi

28 Agenda

Liste des annonceurs : IBM, Trend Micro,Kleverware, Ercom, NetAcess, Verizon Business,Promisec

www.blackhat.com

Black Hat

www.blackhat.com

Black Hat1

ÉDITOLa Black Hat est devenue au fil dutemps une institution et son étapeEuropéenne aussi. Toujours àAmsterdam, cette 8ème édition a réuni 43 nationalités, 450 participants, dessponsors fidèles et toujours autant d'effervescence. Elle a connu, aux diresde nos experts, moins de temps fortsque les précédentes éditions. Pourtant,ils ont su en tirer la substantifiquemoelle que vous trouverez dans ce premier hors série. Comme l’a montréle Professeur Angell, lors de la keynoted’ouverture, citant le présidentPompidou : « il y a trois manières d’arriver à la ruine la plus complète :la plus douce… les femmes, la plusrapide, le jeu et la plus certaine, latechnologie ». Il semble qu’encore unefois, devant les actes de piraterie informatique, la technologie trouve ses limites, même si elle reste toujours indispensable. Il est donc plusque jamais recommandé d’informer et de former les utilisateurs.

Marc Jacob

Interview exclusive : Jean-Marc Thoumelin TREND MICRO P. 13

Hors série mai 2008 spécial BLACK HAT

REVUE TRIMESTRIELLEHors Série N°1 Spécial Black Hat 2008

www.globalsecuritymag.fr etwww.globalsecuritymag.com

ISSN : 1959 - 7061Dépôt légal : à parution

Editée par SIMPRCS Nanterre 339 849 648

17 avenue Marcelin Berthelot92320 Châtillon

Tél. : +33 1 40 92 05 55Fax. : +33 1 46 56 20 91

e-mail : [email protected]

RÉDACTIONDirecteur de la Publication :

Marc BramiRédacteur en chef :

Marc JacobOnt collaboré à ce numéro :

Emmanuelle Lamandé, Jean Baron,Jean-Marc Grémy, Adrien Guinault,Igor Herrmann, Philippe Humeau,

Thibault Koechlin, JérémyLebourdais, Benjamin Tréheux

Assistante :Sylvie Levy

Responsable technique :Raquel Ouakil

Photos Norbert Martiano, Marc Jacob

Comité scientifique :Pierre Bagot, Francis Bruckmann

Eric Doyen, François Guillot Mauro Israël, Olivier Iteanu,

Dominique Jouniot Patrick Langrand, Yves Maquet Thierry Ramard, Hervé Schauer Wayne Sutton, Catherine Gabay

Zbigniew Kostur

PUBLICITESIM Publicité

Tél. : +33 1 40 92 05 55Fax. : +33 1 46 56 20 91e-mail : [email protected]

PAOImadjinn sarl

Tél. : 09 75 45 71 65e-mail : [email protected]

IMPRESSIONImprimerie Hauguel

8-14 villa Léger92240 Malakoff

Tél. 01 41 17 44 00Fax 01 41 17 44 09

e-mail : [email protected]

ABONNEMENTPrix du Hors Série :

7 € TTC (TVA 19,60%)Prix au numéro :

18 € TTC (TVA 19,60%)Abonnement annuel : 50 € TTC (TVA 19,60%)

www.blackhat.com

Black Hat

www.blackhat.com

Black Hat2 ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com

Les antivirus sont connus et utili-sés sur la majorité des SI actuels,que ce soit sur les serveurs mailsou sur les postes de travail. Quin’a jamais recommandé à ses uti-lisateurs de contrôler à l’aide d’unantivirus les fichiers suspects ?Mais attention à ne pas tirer deconclusion hâtive : « l’antivirusne détecte rien donc je ne risquerien ». C’est cette idée de bouclierinvulnérable, remise en cause cesderniers temps, que Xue a vouludémystifier, en démontrant lorsde sa présentation que les antivi-rus sont des logiciels comme lesautres donc avec leurs vulnérabi-lités.

Le nombre de vulnérabilitésdes antivirus est passé

de 9 à 60 en 3 ans

Le nombre de vulnérabilitésdécouvertes dans les antivirus aconsidérablement augmenté cesquatre dernières années, passantde 9 en 2004 à 60 en 2007 (selon

la National VulnerabilityDatabase). Pourquoi cet engoue-ment pour la recherche de failledans les antivirus ? Un grandnombre d’utilisateurs (une majo-rité ?) ont trop confiance dansleur antivirus, et si ce dernierdétermine un fichier comme sain,il est très généralement considérécomme tel par l’utilisateur. Deplus, comme les systèmes d’ex-ploitation sont de plus en plussûrs, les attaquants déplacentleurs recherches sur les applica-tions et donc les antivirus.

De surcroît, les antivirus doiventanalyser, et donc « comprendre »plusieurs milliers de formats defichiers (exécutables, documents,archives, fichiers multimédias,etc) ce qui les rend plus sensiblesaux erreurs d’implémentationscar chaque format a ses spécifici-tés. Un exemple pourrait être unearchive ZIP, déclarée comme mal-formée par l’antivirus, donc nonutilisable, alors que le logiciel de

décompression la lit sans pro-blème.

Partant de ce constat et du peud’études publiées sur le sujet,Feng Xue a présenté différentesdémarches et axes de recherchesde vulnérabilités dans les antivi-rus dans le but de sensibiliser lespersonnes présentes.Xue a classé les vulnérabilitésdans les antivirus en quatre caté-gories :- Vulnérabilités d’implémenta-tions dans le système,- Vulnérabilités de conception oude programmation des compo-sants ActiveX,- Vulnérabilités dans le moteur enlui-même,- Vulnérabilités dans la gestion etl’administration de l’antivirus.

Sa présentation était en deux par-ties : la démarche et les outilsd’audit pour chaque catégorie devulnérabilité, puis des exemplesd’exploitation de chacune.

▲L’objectif de la présentation de Feng Xuen’était pas de juger de l’utilité des antivirus, mais de montrer que des vulnérabilitésexistent et peuvent être trouvées assez simplement, notamment à l’aide du fuzzing. Il a aussi souhaité attirer l’attention sur l’excès de confiance dans lesantivirus, trop souvent perçus comme sûrs.Cette présentation rappelle aussi que les antivirus ne sont qu’une ligne dedéfense, parmi un ensemble de moyens de sécurité. Comment se protéger d’uncode malveillant si le seul moyen de détection est un antivirus et que celui-ci est compromis ?Ainsi, Feng Xue a cité l’exemple : « d’un RSSI qui s’interrogeait sur le traficimportant émis par son serveur de mail, pourtant à jour, et imaginait un 0daydans Exchange alors que c’était l’antivirus qui avait été compromis… »

N’AYEZ PAS UNECONFIANCE AVEUGLEEN VOS ANTIVIRUS

Par Jérémy Lebourdais*,Groupe ON-X

* Jérémy tient à remercier l’OSSIR qui lui a permis d’assister à la BlackHat.

Vulnérabilités d’implémentations dans le système lorsque les fichiers

des antivirus sont trop permissifs

Cette catégorie regroupe les droits trop permissifssur les fichiers de l’antivirus ou les services, ainsi queles drivers IOCTL. L’audit des droits peut se fairemanuellement ou à l’aide d’outils tels queAccesEnum, l’objectif étant de modifier des fichiersou services de l’antivirus afin d’obtenir un accès entant que SYSYTEM.La recherche de vulnérabilités dans les drivers IOCTLs’effectuant par fuzzing, à l’aide d’outils tels qu’ioct-lizer ou Kartoffel.La plupart des antivirus ont eu des vulnérabilités dece type, notamment sur les droits par défaut desfichiers installés.

Vulnérabilités de conception ou de programmation des composants ActiveX

Les composants ActiveX sont généralement installéspar les antivirus afin de contrôler et d’effectuer desopérations sur le système, telles que les mises à jourdes signatures, ou bien lors des contrôles à distanceofferts par de nombreux éditeurs sur leur site. Demême que pour les drivers, la méthode proposée estle fuzzing et l’analyse manuelle.Plusieurs vulnérabilités ont été citées en exemple,dont une de l’éditeur Kaspersky permettant à unattaquant d’envoyer n’importe quel fichier sur le ser-veur FTP de son choix !

Vulnérabilités dans le moteur antivirus : le fuzzing, une technique de test en pleine essor

Trois méthodes de recherche ont été présentées :l’analyse de code source, lorsque c’est possible, le « reverse engineering » et le fuzzing. Les deux premiè-res nécessitent du temps et sont plus complexes quele fuzzing, technique de test en plein essor ces derniè-res années. Cependant, bien que de nombreux fuzzersexistent pour tester différents types d’applications(serveurs Web, lecteurs multimédias, etc), seul vxfuzzexiste pour tester les antivirus. Xue a donc expliquéquels étaient les principaux éléments nécessaires afinde réaliser ses propres tests, un fuzzer pour antivirusn’étant en partie qu’un générateur de fichiers. C’estcette technique qui a été privilégiée lors de ses tests eta permis de trouver plusieurs vulnérabilités dans dif-férents moteurs, démonstration à l’appui.De nombreuses vulnérabilités ont été trouvées dansles moteurs ces dernières années avec pour impactd’exécuter du code arbitraire avec les droits de l’an-tivirus, du déni de service ou l’absence de détectiondu code malveillant.Il faut souligner que cette catégorie de vulnérabilitépeut être exploitée sur un poste de travail, maisaussi sur un serveur mail, avec les conséquences quel’on imagine. Des attaques réussies de ce type ontdéjà été réalisées comme il l’a démontré lors de saprésentation.

Vulnérabilités dans la gestion et l’administration des antivirus

L’administration à distance des antivirus est généra-lement basée sur un fonctionnement en modeclient/serveur avec l’utilisation d’un protocole pro-priétaire. La recherche de vulnérabilités dans cescomposants demande donc plus de temps et l’utili-sation d’un fuzzer est encore une fois recommandéepar Xue.Plusieurs vulnérabilités ont été trouvées dans lescomposants d’administration des antivirus, maisaussi dans la gestion des licences, comme l’exempledes 6 vulnérabilités découvertes par iDefense Labsen 2005 dans le logiciel de licence de CA. ■ ■ ■

ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com

SPECIAL BLACK HAT 2008EUROPE

www.blackhat.com

Black Hat3

www.blackhat.com

Black Hat

www.blackhat.com

Black Hat

www.blackhat.com


Selon les statistiques du groupe de travail Anti-Phishing(APWG - http://www.antiphishing.org/), les attaques detype phishing ciblent majoritairement les institutionsfinancières (96,9% des attaques recensées en Mai 2007).Sur cette même période, les statistiques évoquent 149marques détournées pour mener des campagnes dephishing, une durée moyenne d'accessibilité des sitesmalveillants de 3,8 jours et placent les Etats-Unis en têtedes pays hébergeant le plus grand nombre de ces sites.

Ces derniers mois, les attaques par phishing sont deve-nues de plus en plus efficaces et complexes à suivre.Récemment, des pages de phishing hébergées sur lessites de certains gouvernements ont été détectées. Enjuin 2007 par exemple, de telles pages ont pu être iden-tifiées sur les sites des gouvernements de Thaïlande,d'Indonésie, de Hongrie, du Bangladesh, d'Argentine,du Sri Lanka, d'Ukraine, de Chine, du Brésil, de Bosnie,de Colombie et de Malaisie. Ces sites présentent un cer-tain nombre d'avantages pour un phisher, notammentparce qu'ils génèrent un trafic très important masquantl'activité supplémentaire induite par le site de phishing.Ceci assure donc une détection moins rapide et untemps d'accessibilité au site supérieur. De plus, l'URL dusite comportant le domaine d'un gouvernement induitun sentiment d'authenticité auprès des utilisateurs.

Toujours plus de spoofing, d’ingénierie sociale et d’exploitation des vulnérabilités des navigateurs…

Les attaques de type phishing peuvent être classéesselon leur nature. Tout d'abord, les e-mails spoofésenvoyés en masse aux victimes et leur demandant engénéral de mettre à jour le mot de passe ou les donnéesde leur compte. La seconde forme d'attaque utilise lesmessageries instantanées de type MSN, ICQ, AOL, IRC...Ces canaux de communication permettent une diffu-

sion rapide de l'information et sont aussi un moyen decollecter des informations sensibles auprès des victimesavec des techniques d'ingénierie sociale. La troisièmeforme d'attaque s'appuie sur le téléphone et utilise lesmêmes techniques. Enfin, l'exploitation de vulnérabili-tés dans les navigateurs reste un bon moyen pour redi-riger les utilisateurs vers des sites malveillants et collec-ter des informations sensibles.

Pour ne pas éveiller les soupçons de la victime, l'atta-quant utilise un certain nombre d'astuces. La premièreconsiste à inclure les liens du site original dans les pagesdu site malveillant, afin que les utilisateurs naviguentprincipalement sur le site officiel et n'effectuent qu'unnombre limité de requêtes sur le site falsifié.L'attaquant utilise également l'encodage et l'obfusca-tion d'URL afin de ne pas paraître suspicieux. Les mal-wares peuvent aussi être utilisés afin d'installer, parexemple, des BHO (Browser Helper Object) malveil-lants. Les BHO sont des DLL permettant aux dévelop-peurs (et aux attaquants) de personnaliser et contrôlerInternet Explorer. Enfin, l'attaquant peut tenter de cor-rompre le fichier "hosts" de la machine de la victime. Cefichier permet de mettre en correspondance des nomsDNS et des adresses IP. Ce fichier étant généralementconsulté en premier lieu lors du processus de résolutionde noms DNS, l'attaquant cherche en général à fairecorrespondre un nom officiel à une adresse IP sous soncontrôle. L'utilisateur établissant alors une connexionsur ce site légitime se connecte en réalité au site mal-veillant.

Des solutions de protection existent

Les solutions de protection contre les attaques de typephishing peuvent être mises en œuvre côté serveur oucôté client. Les solutions côté serveur sont générale-ment implémentées par les fournisseurs de services

Par Benjamin Tréheux, HSC

▲

Après une courte présentation des attaques de type phishing, Angelo P.E.Rosiello établit un panorama des types de protection existants et finalise sonintervention par la présentation d'une solution de protection expérimentaleorientée client (DOMAntiPhish) développée en collaboration avec Engin Kirda,Christopher Kruegel et Fabrizio Ferrandi.

PHISHING ET STRATÉGIE DE SÉCURITÉ

(FAI, institutions financières...) et peuvent prendre plu-sieurs formes : - Suivi de marque : exploration de site en ligne pouridentifier des clones (en recherchant des marques légi-times). Les sites suspects sont alors ajoutés à une listenoire centralisée ; - Détection de comportement : définition d'un profilpour chaque client (après une période d'observation)puis détection des anomalies par rapport à ce profil ; - Suivi des événements de sécurité : analyse et corréla-tion des événements de sécurité pour identifier des acti-vités anormales ; - Authentification forte.

Les solutions côté client sont généralement développéessous forme d'extensions ou intégrées aux navigateursWeb et clients de messagerie. Ces solutions sont de plu-sieurs types : - Analyse d'e-mail : utilisation de filtres et analyse decontenu ; - Listes noires : utilisation de collections d'URL identi-fiées comme malveillantes. Ces listes sont interrogéespar le navigateur à chaque chargement de page ; - Flux d'informations : solutions basées sur le fait qu'unutilisateur peut être facilement trompé par l'obfusca-tion d'une URL ou par un faux nom de domaine, alorsqu'un programme ne l'est pas (dans l'absolu) ; - Similitudes de mise en page : techniques tentant dedistinguer une page malveillante d'une page légitimeen comparant leurs similitudes visuelles. La suite de la conférence d'Angelo P. E. Rosiello se foca-lise sur les trois derniers types de solutions côté client. La majeure partie des navigateurs du marché comportedésormais une solution anti-phishing, souvent baséesur le concept de liste noire. Des études ont notammentété menées par Microsoft et la fondation Mozilla pourmesurer l'efficacité de ces différentes solutions. Lesrésultats peuvent cependant être remis en cause, lescommanditaires de ces études étant à la fois juges etparties. Pour les besoins de sa conférence, Angelo P. E.Rosiello s'appuie donc sur une évaluation indépen-dante réalisée par le laboratoire en sécurité del'Université Technique de Vienne. Durant trois semai-nes, ce laboratoire a collecté 10 000 URL pour tester leslistes noires de Microsoft et de Google. L'étude basée sur trois indicateurs a montré que la listenoire de Google était meilleure que celle de Microsoft.Les trois indicateurs utilisés étaient les suivants : - Couverture : pourcentage d'URL de phishing déjàincluses dans la liste ; - Qualité : pourcentage d'URL légitimes incorrectementincluses dans la liste ; - Temps de réponse moyen : temps moyen nécessairepour insérer les URL non initialement incluses dans la liste.

Angelo P. E. Rosiello a présenté ensuite une autre tech-nique anti-phishing : l'analyse de page statique.L'Université Technique de Vienne a démontré qu'ungroupe de propriétés d'une page permettait actuelle-ment de différencier si elle était malveillante (phishing)ou non. Le mode opératoire utilisé est le suivant : - Sélection de 18 propriétés directement extraite ducode HTML d'une page (ex. : formulaires, champs de sai-sie, liens, balise script...) ;

- Collecte d'unensemble de pages(légitimes ou dephishing) à analyser pour extraire un modèle de classi-fication (arbre de décision) ; - Extraction du modèle de classification par exécution d'un algorithme ; - Utilisation d'un outil automatique se basant sur lemodèle de classification extrait pour distinguer lespages légitimes des pages malveillantes.

L'arbre de décision est extrait en utilisant l'outil Weka(algorithme J48) sur un ensemble de 4829 pages Web.Les tests effectués ont permis de détecter 80% des pagesmalveillantes avec un nombre de faux positifs relative-ment faible.

Le dernier type de solutions présenté repose sur l'ana-lyse du flux d'informations. L'objectif est de protéger lesutilisateurs en vérifiant où les informations sensiblesqu'il saisit sont envoyées. Peu de solutions basées sur ceconcept ont été implémentées. AntiPhish en est une,développée sous forme d'extension pour Firefox parEngin Kirda et Christopher Kruegel. Le mode de fonc-tionnement de cet outil est le suivant : - L'utilisateur décide des informations qu'il souhaiteprotéger contre les attaques de type phishing. L'outil lesmet en cache et y associe le domaine sur lequel ellesont été utilisées ; - Les interactions de l'utilisateur dans son navigateur(touche pressée, soumission de formulaire, clic de sou-ris...) sont interceptées avant d'être envoyées au site ; - L'outil vérifie si les informations entrées sont dans laliste de surveillance définie par l'utilisateur; - Si c'est le cas, l'outil vérifie que le domaine associé àces informations dans la liste est correct ; - Si il l’est, le site est de confiance et les données sontenvoyées, sinon l'outil génère une alerte et annulel'opération.

Toutefois, cette solution nécessite l'intervention de l'uti-lisateur et peut générer un nombre important de fauxpositifs. Les auteurs et Angelo P. E. Rosiello ont doncdéveloppé une extension à leur système appelée"DOMAntiphish" qui corrige un certain nombre de pro-blèmes de l'outil initial. Il reprend le fonctionnementde l'extension AntiFish en y ajoutant une nouvelleapproche basée sur les similitudes de mise en page. Lemode de fonctionnement de cette fonctionnalité est lesuivant : - La page Web est décomposée en blocs suivant desrepères visuels ; - La similitude visuelle entre les deux pages (légitime etsuspecte) est mesurée ; - La page Web suspecte est considérée comme du phi-shing si cette mesure est supérieure à un seuil.

L'outil calcule la valeur de cette similitude en extrayantl'arbre DOM des pages Web considérées. Quand un motde passe associé à un certain domaine est réutilisé surun autre domaine, le système compare la mise en page(l'arbre DOM) de la page courante et de celle dudomaine pour laquelle le mot de passe avait originelle-ment été mémorisé. Si le système détermine des simili-tudes dans les pages, il considère que l'attaque par phi-



www.blackhat.com

Black Hat5

www.blackhat.com


shing est vérifiée.

Les arbres DOM permettent de simplifier le problèmedu calcul des similitudes entre deux pages Web en leréduisant à l’isomorphisme des deux arbres.

Le prototype DOMAntiPhish est implémenté sous laforme d'une extension pour Mozilla Firefox 2.0 invo-quant un programme Java pour calculer la similitude dela mise en page. Le mode de fonctionnement est le sui-vant : L'extension Javascript extrait l'arbre DOM représentatifde chaque page Web stockée ; - L'extension écrit deux fichiers textes contenant lesarbres extraits et invoque le programme Java; - Le programme calcule la similitude des arbres ; - L'extension lit la valeur de similitude depuis un fichiertexte et renvoie le résultat à l'utilisateur.

Angelo P. E. Rosiello a mené des tests sur environ 200sites Web avec des résultats satisfaisants moyennantquelques ajustements sur l'algorithme de calcul desimilitude.

Des outils encore imparfaits, reste la formation des utilisateurs

Néanmoins, il précise que cet outil n'est pas parfait etque des limitations ont pu être identifiées : - Un attaquant peut utiliser une combinaison d'imagespour créer la page Web falsifiée, qui visuellement ressemblera à la page légitime. En revanche, l'arbreDOM de la page malveillante sera très différent de celuide la page légitime et la détection échouera dans ce cas. - La détection pourrait également échouée en cas d'obfuscation de l'arbre DOM.

Quelques moyens de défense sont alors évoqués : - Juger suspicieuse toute page contenant un très grandnombre d'images ou constituée exclusivement d'images ;- Réduire le seuil de similitude (au risque d'augmenterles faux positifs).

Angelo P. E. Rosiello conclut finalement sa présentationen précisant que les attaques de type phishing peuventêtre prévenues, détectées et limitées par la combinaisond'approches orientées serveurs et clients, mais égale-ment par la sensibilisation des utilisateurs.

■ ■ ■


www.blackhat.com

Black Hat


Aseem part d’un constat : si le Spamn’a pas de définition formelle, il apour les Entreprises des impactssérieux : perte de productivité utilisa-teur mais également de bande pas-sante et de capacité de stockage. Il est d’autant plus difficile à contrerque sa nature ne relève pas d’une logi-que de langage « machine » (commeun spyware ou un virus) mais plutôtd’une logique de langage « humain »(compréhension du sens du contenu),ce qui lui permet d’adopter une largegamme de forme tout en préservantses effets (susciter l’envie ou l’intérêt,souvent le mécontentement). Pire, ses sources de diffusion sont trèsrépandues car s’appuyant sur desréseaux de postes zombies (postesd’utilisateurs légitimes mais compro-mis) et il est le vecteur de diffusion pri-vilégié des pandémies virales et, sur-tout, de chevaux de Troie.

Spam : objectif profit

Après un survol des protocoles detransport d’emails (de SMTP à POP enpassant par IMAP) et des techniquesde codage (MIME), Aseem nous pro-pose d’entrer dans l’esprit d’un spam-meur et de conclure sur sa motivationpremière : le profit. Ainsi, la motivation d’un spammeurn’est pas ludique mais publicitaire etmarketing (pour nous faire acheterquelque chose). Elle vise à propagerune infection et surtout à piéger l’in-nocent Internaute (capture d’informa-tions personnelles, de moyens depaiement, etc…). Aseem enchaîne alors de manière trèsdétaillée toutes les tactiques de lutteanti-spam et prodigue divers conseils. Outre les techniques classiques

comme les filtres de type texte, detype expression régulière, d’analysesstatistiques avec apprentissage(Bayesienne) et surtout filtres basés surle hash de message (de type Nilsimsa,Ephemeral, ou simples), en voici quel-ques unes moins connues : Le greylisting : il s’agit d’un refus tem-poraire signifié à l’émetteur pour for-cer la réémission d’un email. Les outilsde spammeurs ne supportant pascette fonction de stockage temporaireet réémission, ils sont mis en échecalors que les relais légitimes réessaientquelques minutes plus tard.

SPF (Sender Policy Framework) : unmécanisme reposant sur des déclara-tions dans nos DNS et permettantd’associer à des domaines Internet lesIP des relais sortants autorisés à expé-dier pour ces domaines (un peu lecontraire des champs MX qui donnentles relais entrants).

DKIM (Domain Keys Identified Mail) :un système de signature d’email repo-sant sur une clé publique (publiée parun champ TXT du DNS) et une clé pri-vée contenue sur le relais émetteur.Elle sert à chiffrer un HASH du corpsdu message, que le relais insère dansl’un des champs spécifiques de l’en-tête.

Reputation Systems : ces systèmessont des bases de données consulta-bles en ligne et en temps réel qui asso-cie à une IP un score (la "réputation"),un niveau de confiance. Ce résultat estbasé sur une combinaison heuristiquedes notes de différents critèrescomme le nombre de virus expédiésdepuis l’IP vérifiée, ou le nombre deSpam de connexions avec plusieurs

messages et quelques autres paramè-tres comme l’utilisation de SPF ouDKIM. La liste des critères n’est pasnormalisée ni limitée.

HashCash : faire réaliser par le relaisémetteur et receveur un calcul(comme un HASH) consommantbeaucoup de ressources CPU. Par prin-cipe, un mail disposant d’un tel mar-queur serait fiable car le process decréation pour chaque mail d’unspammeur de ce marqueur ralentirade manière pénalisante tout le pro-cess de Spam le rendant inefficace.

Challenge / Response : le relais rece-veur génère une sorte de challenge(question ou demande d’action) quisera soumise au relais émetteur ou àl’émetteur. Dans ce cas, cette techni-que pourra apparaître comme limitéecar les emails des expéditeurs peuventêtre forgés créant ainsi des risques despam / déni de service par ricochet.Dans tous les cas, le processus de déli-vrance sera ralenti, car en attented’une intervention humaine.

OCR / Reconnaissance de caractèreset des images : cette méthode répondaux techniques de spam utilisant desimages mais également aux tactiquesde phishing exploitants des logosd’Entreprise. Enfin, Aseem nous propose de relativi-ser la performance de détection antis-pam en prenant quelques exemples decontournement du greylisting, de l’OCRet, surtout, précise comment une cam-pagne de spamming se constitue. Bref,la lutte antispam est une affaire d’hypertechnologie qui se retrouve à combattrequelque chose de difficile : l’analyse decontenu non souhaité. ■ ■ ■

Par Igor Herrmann, Vipawan

▲

Aseem "@" Jakhar, Technical Lead, IBMInternet Security Systems, a présenté une synthèse des techniques anti-spam.Pas de révélation fracassante à attendre ni de nouvelle voie dans la lutte anti-spam, mais un véritable travail d’inventaire commenté et exhaustif, des origines à nos jours.

www.blackhat.com

Black Hat7

TOUT SUR LE SPAM

www.blackhat.com

Black Hat

www.blackhat.com


Un peu d’histoire : une complexification à la source

de problèmes de sécurité

Le format de document portable(PDF) existe depuis 1982. Il a été créépar Warnock et Geschke, les créateursde la société Adobe. Très vite, ce for-mat va devenir incontournable, étantpour les utilisateurs synonyme desimplicité et de portabilité. Pourgarantir la mise en forme du docu-ment, le format PDF va, par exemple,être capable d’embarquer la descrip-tion de la police dans le document, sicelle-ci est particulière.Le succès de ce format dépasseramême largement les attentes de sescréateurs, à tel point qu’aujourd’huile PDF est utilisé par la quasi totalitédes entreprises publiques et privées,ainsi que de très nombreux organis-mes officiels, comme par exemple lesgouvernements français ou améri-cain. La standardisation de l’utilisa-

tion de ce format risque encore des’accentuer, puisque « Adobe Systems»a annoncé en 2007 son désir de sou-mettre les spécifications complètes deson format à l’AIIM pour une publica-tion par le comité ISO.Ce format de fichier est souvent considéré comme sécurisé dans lamesure où, pour l’utilisateur, il per-met seulement de partager des don-nées statiques. En fait, il n’en est rien ! Au fil dutemps, le format PDF s’est considéra-blement enrichi et complexifié. Eneffet, que de chemin parcourudepuis la version 1.0 (1992) qui nepossédait comme contenu dynami-que que la possibilité d’avoir desliens ! Depuis 1994 et la version 1.1, ilest désormais possible d’utiliser PDFpour surfer sur Internet et même devalider des formulaires depuis la ver-sion 1.2. Les versions 1.3 et 1.4 ontajouté des fonctionnalités de sécuritételles que le chiffrement et l’authen-

tification alors que les dernières ver-sions de PDF intègrent des fonction-nalités multimédia toujours pluscomplexes permettant, par exemple,d’embarquer du javascript. Le formatPDF peut aujourd’hui contenir denombreux types de médias, objetsgraphiques, images ou vidéo.Ainsi, nous sommes bien loin du for-mat somme toute assez statique desdébuts d’Adobe. Il convient donc dés-ormais de traiter le format PDFcomme une source de problèmes desécurité au même titre que Word ouExcel.

Des attaques déjà répertoriées avant les travaux de l’ESAT

Durant la présentation, Eric Filiol amontré qu’il était possible, en utili-sant le langage interne du formatPDF, de créer un virus polymorphi-que dévastateur. Pourtant, il ne s’agitpas des premières tentatives pour

▲

Durant cette Black Hat Europe 2008 parfois un peu terne, Eric Filiol a présentéles travaux de recherches du laboratoire « Virologie et cryptologie » de l’ESAT surle thème des menaces qui pèsent sur leformat PDF. Sa présentation a mis enexergue que le format PDF était en réalitéparticulièrement dangereux, contraire-ment à l’idée que s’en font la plupart desutilisateurs. Eric Filiol signe ici l’une desconférences les plus inquiétantes de cetteBlack Hat Europe 2008 tant les moyensde défense contre ces attaques semblentpeu nombreux et faiblement efficaces.Une véritable épée de Damoclès sembleainsi peser sur les entreprises.

PDF :LA NOUVELLE ÉPÉE DE DAMOCLÈS

Par Thibault Koechlin et Philippe Humeau, NBS System

▲

Par Jean Baron, NBS System

utiliser le format PDF à des fins malveillantes. En effet,même si l’attaque du colonel Filiol est de loin beaucoupplus dévastatrice, plusieurs attaques de moindre enver-gure ont vu le jour ces dernières années. Dès 2001 déjà, était créé le virus Outlook_PDFWorm(Peachy) qui embarquait du code VBS dans un PDF envoyéen mail comme un attachement Outlook. L’attaque netouchait toutefois que le logiciel Adobe Acrobat 5. En 2003, le worm ‘W32.yourde’ fit son apparition. Cetteattaque avait pour objectif d’exploiter une vulnérabilitédans le parseur Javascript. Une fois l’exploitation réussie,2 fichiers servaient de charges finales et permettaientd’installer un malware sur la machine. Encore une fois,l’attaque ne touchait qu’Adobe Acrobat 5. Toutefois,contrairement à la première, ce n’était pas le mécanismemême de PDF qui était exploité mais une vulnérabilité.Cette attaque a donc été beaucoup plus facile à corrigerpour Adobe.Par la suite, entre 2003 et 2006, quelques autres attaquesexploitant des vulnérabilités de design dans PDF furentrecensées. Elles avaient majoritairement pour objectifd’effectuer des attaques de type XSS et d’exécuter desscripts malicieux sur le poste de la victime. Toutefois, le nombre d’attaques contre les PDF est restéassez faible durant toutes ces années. C’est pourquoi laportée des attaques proposées par Eric Filiol est trèsimportante.En effet, outre leur grande variété, ces attaques n’utilisentpas de vulnérabilité dans tel ou tel logiciel compatibleavec le format PDF, mais emploient uniquement des vul-nérabilités de design. Cela implique que tous les logicielsqui peuvent lire des PDF sont vulnérables pour peu qu’ilssoient compatibles avec les fonctionnalités du format PDFutilisées par les attaques.

De la récupération d’informations effacées dans les fichiers PDF ou comment faire parler un PDF…

Le format PDF contient de nombreuses fonctionnalités,dont la liste ne cesse de croître au fur et à mesure des révi-sions du format. Toutefois, certaines problématiques desécurité existent depuis bien longtemps, en particulier surla façon dont PDF gère les mises à jour des documentsédités.En effet, le format PDF inclut un système d’historique etde versions, qui permet de suivre l’évolution du docu-ment. Ainsi, lorsqu’il est édité directement en PDF, ledocument garde trace des différentes modifications effec-tuées par l’utilisateur, et sauvegarde donc de manièreinvisible dans le corps du document des informationseffacées depuis longtemps. Il est ainsi possible, en utilisant les bons logiciels, oumême en regardant à l’aide d’un éditeur de texte tradi-tionnel le document, de découvrir des informations quin’apparaissent pas lorsqu’on ouvre le fichier PDF avec parexemple Acrobat Reader.De nombreuses autres informations peuvent égalementêtre découvertes dans les méta-informations présentesdans les documents PDF. Ces informations indiquent parexemple : date de création, nom de l’utilisateur ayantcréé le document (son login), date de révision du docu-ment ainsi que le logiciel utilisé pour créer le document.Dans plusieurs scénarios d’attaques, ces informationspeuvent malheureusement être très utiles à un pirate.On retrouve ainsi des caractéristiques historiquement pré-sentes dans les formats « doc » de Microsoft. Ceux-ci pré-sentent des vulnérabilités similaires. On s’aperçoit aussique les méthodes « d’obfuscation » de documents

basées sur la modifi-cation de l’apparenced’un texte ne permet-tent pas de protégerréellement une infor-mation, celle-ci restant stockée en clair dans le corps dudocument.A titre d’exemple, Eric Filiol a ainsi montré qu’en 2005 undocument déclassifié du gouvernement américain, trai-tant de la mort d’un agent du SISMI (Service de renseigne-ment Italien) avait causé une fuite d’information trèssérieuse, à cause de la mauvaise utilisation de certainesfonctionnalités. Dans ce cas précis, le document avait étécréé à partir de Word. Word offre la possibilité d’ajouterdes ombres derrière les textes. Si cette ombre est suffisam-ment noire, cela rend le texte illisible, malheureusementla simple utilisation de la fonctionnalité «sélectionner letexte » avait permis de révéler les informations quiauraient du être masquées.

…Aux risques de vol d’information et de phishing

Trop peu d’utilisateurs connaissent la possibilité d’utiliserleur lecteur de fichier PDF comme browser Web. Toutefois,il est possible d’utiliser des fichiers PDF pour mener desattaques de type phishing, comme l’a montré Eric Filioldans sa démonstration. Depuis les dernières versions, le format PDF supporte l’uti-lisation de javascript pour augmenter l’interactivité avecles utilisateurs. Néanmoins, cet enrichissement de fonc-tionnalités amène son lot de risques associés : ingénierie



www.blackhat.com

Black Hat11

www.blackhat.com


sociale, exploitationde composants, vold’information etc.

Le javascript est un vecteur d’attaque possible qui s’estdéjà illustré dans d’autres domaines, spécialement celuidu Web. Il est ainsi tout à fait envisageable d’utiliser le for-mat PDF pour réaliser des attaques de type phishing ouautre ingénierie sociale. Comme à l’habitude, la victimeva se retrouver à envoyer des informations confidentiellesà un site qu’elle croit être de confiance, ou va effectuerdes actions dangereuses sans le savoir.Il est également possible de récupérer des informationsconfidentielles sur la machine et de les envoyer sur un sitepirate en utilisant simplement les fonctionnalités propo-sées par le format PDF.

Comment utiliser des fonctionnalités du langage PDFpour créer un virus dévastateur

Le langage PDF contient différentes instructions, qui,combinées ensemble, donnent la possibilité à un piratede créer un virus dévastateur. On trouve ainsi 8 instruc-tions dans ce petit langage. Il est, par exemple, possible d’imprimer de manière tota-lement silencieuse un fichier présent sur la machine enfaisant cliquer un utilisateur sur un PDF. Le pirate situé ausein de la même entreprise que la victime n’aura plusqu’à aller chercher le document sur l’imprimante choisie. Il est également possible d’incorporer un document pré-sent sur la machine de la victime au sein du document

PDF lui-même. Ainsi, il sera possible pour le pirate ayantutilisé un peu d’ingénierie sociale de récupérer le fichieren demandant à la victime de lui renvoyer le documentPDF en question.Toutefois, l’attaque la plus impressionnante reste sansaucun doute celle qui avait pour objectif de modifierAcrobat Reader lui-même, de manière à ce que le piratechoisisse les messages de Warning qu’Acrobat Readerallait proposer à l’utilisateur. Tous les fichiers PDF sontalors modifiés sur l’ordinateur de manière à être infectéspar le virus. Une fois ce travail effectué, la charge finale estactivée. Seule l’imagination du créateur du virus limite cequ’il est désormais en mesure de faire sur la machine enquestion.Le plus impressionnant est que cette attaque nécessiteseulement que la victime clique sur le fichier PDF que lepirate lui a proposé.

Peu de contre-mesures, si ce n’est la vérification systématique de l’intégrité des fichiers

de configuration d’Adobe Reader

Malheureusement, bien peu de contremesures existent àl’heure actuelle. Il est toutefois conseillé de vérifier l’inté-grité des fichiers de configuration de Adobe Reader telsque ‘AcroRd32.dll et RdLang32.xxx’. De la même manière, étant donné qu’une grande partiede la sécurité du langage PDF est gérée de manière contreintuitive par la base de registre Windows, il est conseilléde faire tourner régulièrement un scanner de configura-tion de base de registre capable de détecter les erreurs deconfiguration PDF. Ce scanner sera bientôt proposé parl’équipe de l’ESAT. Il est également conseillé d’utiliser de manière systémati-que la signature électronique des documents lors del’échange de fichiers PDF. Cela permettra, à défaut de blo-quer les attaques, de s’assurer de l’identité de l’émetteurdu document.

Un accroissement des attaques sur le PDF est certainement prévisible

Bien que très peu d’attaques publiques aient été exploi-tées pour le moment, des vulnérabilités de design du for-mat PDF, on peut s’attendre à une recrudescence de cetype d’attaques dans les mois et années à venir.Actuellement, il n’existe pas de moyen de contrer ces atta-ques et aucun logiciel ne peut décréter qu’un fichier PDFdonné est dangereux ou pas. Les malwares PDF sontactuellement indétectables par les antivirus et la possibi-lité de découper un fichier PDF en plusieurs fichiers PDFpermettra de reproduire un mécanisme bien connu dansle monde de la sécurité informatique appelé la fragmen-tation, et qui complexifiera encore davantage la tâche deslogiciels de défense.De par l’utilisation qui en est faite aujourd’hui dans lesentreprises et la puissance des attaques envisageables, onpeut considérer que le format PDF est un vecteur demenace important à l’heure actuelle. Il suffit d’ailleurs delancer Acrobat Professional pour s’en convaincre, le for-mat PDF est désormais un support particulièrement puis-sant de menaces potentielles. ■ ■ ■


www.blackhat.com

Black Hat


David Hulton et Steve, deux chercheurs en sécurité pour PicoComputing, Inc., ont fait un rapide retour en arrière sur l’histoire etla technologie GSM. Faiblesse de l’implémentation des systèmes degestion des clés symétriques, initialisation d’une partie des pré-cieux bits de la clé de chiffrement avec des 0, chiffrement des com-munications voix uniquement sur la partie hertzienne (rien sur sapartie terrestre), avec des implémentations libres et hasardeusesdes normes décrivant les concepts de sécurité du GSM, celles émi-ses par l’ITU et l’ETSI. Bref le bonheur. Alors remis dans le contextede la fin des années 90, où nous avions été bercés par la fin de laguerre froide, le bug de l’an 2000 et enthousiasmé par nos premiè-res expérimentations du mobile en dehors des zones labellisées(i.e. bip-bop), la découverte (1998) de la faiblesse des algorithmesA5/1, A5/0 et A5/2 était alors passée inaperçue de la communauté,réduite à l’époque, à des hommes de la sécurité.

Comment intercepter des appels pour quelques dollars…L’exposé qui a suivi avait pour objectif de démontrer tant laméthode de cryptanalyse pour attaquer l’algorithme A5/1, celuiutilisé pour chiffrer la communication entre le mobile et l’antennerelais, que la facilité avec laquelle cela était devenu possibleaujourd’hui. A chaque fois que l’on parle de cryptanalyse, on yassocie toujours des moyens importants, coûteux et à la dispositionde quelques nations. La démonstration d’aujourd’hui tenait àprouver qu’avec quelques dollars on pouvait intercepter le trafic etle décoder sur un « simple PC », un peu gonflé tout de même.

La méthode proposée :- Récupération du trafic GSM (voix, SMS) quelques millisecondes ou1 SMS suffisent,- Utilisation d’une « Rainbow Table » contenant toutes les valeurspossibles pour les clés symétriques de chiffrement (stockée àdemeure dans la carte SIM de l’abonné et dans la base de donnéesde l’opérateur),- Un peu de capacité CPU, local, ou l’usage d’un botnet, pour cas-ser la communication interceptée en rejouant la Rainbow Table(attaque de cryptanalyse par brute force).

L’objectif était de démontrer qu’avec des moyens d’acquisitionsimples - quelques Dollars - on pouvait aujourd’hui intercepter descommunications GSM. A l’aide d’un simple PC portable, un vieuxGSM acheté sur E-Bay et un logiciel dédié à la capture (USRP). Il y aquelques années, au moment où les premières démonstrationsont été faites sur la vulnérabilité de l’algorithme, il fallait des équipe-ments coûteux (>$1M) et quelques fois une infrastructure spécifique(fausse BTS par exemple). La nouveauté est donc ici la simplicité dela solution, quasiment accessible à tout le monde… des hackers.

…Une attaque en Brute Force... et quelques FGPALe crack de la session GSM enregistrée sur quelques secondes estpossible par attaque de type brute force : on essaie toutes les com-binaisons possibles de l’espace de clé. Pour cela, la difficulté estdouble : il faut une table contenant toutes les clés (c’est-à-dire 258clés) et une machine testant avec la méthode de cryptanalyse cha-cune des clés.

Pour l’espace des clés, David et Steve construisent une table despossibles, une rainbow table. Nécessitant une grande puissance decalcul, ils utilisent l’aide de solutions d’un cluster de carte conte-nant des circuits programmables (FPGA), spécialement conçu pourl’occasion. Permettant ainsi un calcul massivement parallèle.L’idée est simple, dans l’état actuel de la technologie, il faudraitapproximativement 33.000 années pour un PC pour calculer tou-tes les valeurs possibles de l’espace de clé utilisé par l’algorithmeA5/1. Pour gagner un peu de temps, ils ont construit une machineutilisant des processeurs dédiés (sorte d’ASICS programmables)dont la seule fonction est le calcul des valeurs possibles de l’espacedes clés. Avec cette machine, ils réduisent le temps nécessaire aucalcul à seulement 3 mois !

Une fois la table en poche, de 2 TBytes, la démonstration n’est pasarrivée à son terme, il reste à déchiffrer la session préalablement inter-ceptée. Pour ce faire, ils utilisent la même base matérielle pour réali-ser cette opération de cryptanalyse. Avec un simple FGPA et 2 TBytesde disque, ils annoncent déchiffrer une communication en 30 minu-tes, voire en 30 secondes s’ils augmentent le nombre de FGPA !

CQFD ! Visitez leurs sites respectifs pour plus de détails sur lesoutils et méthodes de cryptanalyse : http://wiki.thc.org.gsm ethttp://www.openciphers.org

Quels risques pour les utilisateurs français ? Le déploiement de la 3G est réalisé, la 4G en cours, donc pas de sou-cis ! Pas aussi serein que cela malgré tout et pour plusieurs raisons.La première est simple, la 3G (UMTS) n’est pas disponible sur tout leterritoire. Il existe beaucoup de zones à faible densité de popula-tion, difficiles à couvrir, où la 3G n’est pas disponible, notammentles zones rurales. Seuls le GSM et le GPRS/EDGE sont disponibles,donc vulnérables. De plus, des chercheurs ont mis en évidence quel’algorithme de chiffrement de la 3G (A5/3, KUSUMI) était lui aussivulnérable. A priori, David et Steve ne l’ayant pas évoqué, noussommes tranquilles…Et puis, même lorsque la 3G est disponible, il est relativement facilede brouiller sa fréquence pour contraindre le mobile à se replier enmode GSM, retour à la démonstration précédente ! ■ ■ ■

Par Jean-Marc Grémy, Cabestan Consultants

▲

Après l’exposé sur les menaces pesant sur lesmobiles et sur les quelques moyens de s’en prémunir, le cœur vaillant pensant que plus rien ne pouvait m’arriver, je me suis rendu à la conférence sur l’interceptiond’appel GSM ! Stupeur ! Cela fait 10 ans que nous nous promenons avec deséquipements que l’on pensait sécurisés, dans le pays qui a vu naître la carte à puce,

dont nous sommes si fiers. Quelle déception, un mythe s’effondre.

www.blackhat.com

Black Hat13

INTERCEPTION D’APPELS GSM :LE MYTHE S’EFFONDRE

www.blackhat.com


Aujourd’hui, Trend Micro a 20 ans, et déjà plus de 10ans de présence sur le marché français.Autant d’années pendant lesquelles Trend Micro aobtenu d’excellents résultats et affiché chaque annéeune croissance soutenue.Lorsque tout va bien, il est important d’attribuer lemérite de la réussite à d’autres facteurs qu’à soi-même.

Lorsque que l’on regarde par la fenêtre du 85 avenueAlbert Premier, magnifique petit bâtiment du SiègeTrend Micro France, il est très facile d’apercevoir les différents éléments qui ont contribués à cette réussite :- Nos clients qui nous font confiance et sont chaqueannée de plus en plus nombreux- Nos partenaires revendeurs qui, chaque jour, accom-pagnent nos clients dans la mise en place et la mainte-nance de nos solutions- Nos distributeurs à valeur ajoutée présents pour sup-porter notre réseau de revendeurs prescripteur que cesoit sur le plan commercial ou sur le plan technique,…- Parfois la chance…

Pour ce 20ème anniversaire, je souhaiterais, pour mapart, attribuer une grande partie de cette réussite àl’ensemble des collaborateurs de Trend Micro.

Dans un monde mené par des maniaques du manage-ment, des visionnaires fulgurants, des futuristes déli-rants ou des gourous du développement personnel, ilest rafraîchissant de voir une entreprise réussir si brillamment grâce à une notion simple appliquée avecpassion et imagination.

L’essence d’une profonde perspicacité est la simplicité.

La réussite consiste entièrement à faire progresser lesautres. Elle consiste à rendre les collaborateurs encoreplus intelligents, plus forts et plus audacieux. Rien de ceque l’on fait personnellement n’a d’importance, hormisla manière dont on anime, soutient et aide ses collabo-rateurs à prendre davantage confiance en eux.

Le succès n’est jamais venu de mon travail au quotidienmais de l’excellence des résultats de mon équipe.


éditoLa réussite d’une équipe !


ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.comwww.blackhat.com

Black Hat15

En France, Trend Micro compte environ 35 personnes etdispose d’un des laboratoires des TrendLabs. Le bureaubasé à Rueil regroupe les services commerciaux, marke-ting, et techniques.

Cette année, Trend Micro fête ses 20 ans. A cette occasion,Global Security Mag a demandé à Jean-Marc Thoumelin,Directeur des Opérations pour l’Europe du Sud, de dresserun bilan de ces deux décennies.

GS Mag : Qu’est-ce qui selon vous caractérise TrendMicro ?

Jean-Marc Thoumelin : Notre réussite repose sur 4 pointsforts : l’innovation, la croissance, le leadership et un engage-ment permanent auprès de nos clients et partenaires.

1- L'innovation continue comprend de nouvelles tech-nologies basées sur le comportement et de nouveauxservices gérés, ainsi que l'amélioration de nos produitstraditionnels. Nous offrons donc des solutions complè-tes de gestion de contenu sécurisé tels que les antivirus,les anti-spywares, les anti-spams, l'anti-phishing, le fil-trage de contenu, la prévention des fuites d'informa-

tions et nos capacités en termes de compatibilité.

2- Une croissance continue grâce à de nouveaux pro-grammes et des engagements plus forts avec nos précieuxpartenaires du secteur et du développement technologi-que, nous continuerons à chercher de nouveaux moyensd'étendre notre expertise à de nouveaux marchés ainsique de nouvelles manières de servir notre clientèle.

3- Un leadership continu sur nos principaux marchés,notamment la sécurité Web et des messageries, ainsiqu'une expertise nous permettant d'aider nos clients àgérer leurs problèmes de sécurité dans l'environnementactuel.

Trend Micro a 20 ansFondée en 1988, Trend Micro est une société pionnière dans le domaine de la gestion de contenu sécurisé et dans le domaine de la gestion des menaces.Avec un siège social basé à Tokyo (Japon), Trend Micro est présente dans plus de 30 pays. Elle propose ses solutions dans le monde entier via son réseau de distribution.

QUELQUES MOTS SUR LES TRENDLABS

Les TrendLabs constituentle réseau mondial de cen-tres de recherche, de ser-vices et d'assistance deTrend Micro. Ils sont des-tinés à surveiller lesmenaces et à prévenir lesattaques en permanence.Des données précisesfournies en temps réel

leur permettent de fournir des règles de sécurité régulières etefficaces destinées à détecter, anticiper et éliminer les attaques.

Les TrendLabs disposent de plus de 800 experts sécurité à tra-vers le monde et fonctionnent 24 h/24 et 7 j/7. Leur siège setrouve aux Philippines, mais la société compte des laboratoiresrégionaux aux États-Unis, au Japon, en France, en Allemagne eten Chine. Étant donné que ce groupe de recherche et d'assis-tance fonctionne en continu et est en mesure de comprendre leslangues locales, il peut ainsi répondre à ces clients en tempsréel, et surtout, réagir en temps réel contre les nouvelles mena-ces. En conséquence, les entreprises peuvent limiter les dégâts,réduire les coûts et garantir la continuité de leurs activités.

Les TrendLabs placent les menaces contre la sécurité au cœurde leur activité, depuis les menaces liées au courrier électroni-que et aux messageries instantanées jusqu'à la catégorie émer-geante des menaces Internet. Parmi les menaces et les techno-logies de menaces courantes détectées par les TrendLabs, ontrouve les spams, les logiciels publicitaires, les programmesespions, les logiciels malveillants, les crimewares, les zombies,les attaques de phishing et les rootkits.

La présence régionale des TrendLabs permet à Trend Microd'identifier les menaces régionales ciblées et d'y répondre plusrapidement.

INNOVATIONS PHARES

1995 Lancement de ServerProtect™ : le premier antivirus LAN basé sur serveur

1996 Lancement de InterScan™ VirusWall™ : le premier antivirus pour passerelle Internetbasé sur serveur

1997 Lancement de ScanMail™ : le premier antiviruspour messagerie basé sur serveur

1998 Lancement de Trend Micro Virus Control System :la première console d'administration centralisée

2002 Lancement de Enterprise Protection Strategy : stratégie de gestion du cycle de vie des menaces

2003 Lancement de InterScan Messaging Security Suiteavec Spam Prevention Solution : la première

sécurité du contenu intégrée au niveau de la passerelle

2004 Lancement de Network VirusWall™ : le premier dispositif de contrôle d'accès au réseau

2005 Network Reputation Services : anti-spam au niveau de la couche réseau

2006 InterCloud Security Services : protection contre les zombies via le moteur de sécurité à analyse comportementale

2007 Protection totale contre les menaces Internet avec évaluation de la réputation des sites Web

4- Un engagement continu à conserver une longueurd'avance sur les nouvelles menaces et à offrir à nos clientsla liberté d'utiliser leur ordinateur comme ils le souhaitent,sans avoir à se soucier de protéger leurs systèmes et leursdonnées contre un éventail toujours plus large de menacesInternet.

LES MENACES INFORMATIQUES SONT DEVENUES DES TUEUSES SILENCIEUSES

GS Mag : Comment ont évolué les menaces depuis 20ans ?

Jean-Marc Thoumelin : En 20 ans, les menaces informati-ques sont devenues des tueuses silencieuses, orientées pro-fit et invisibles aux yeux des utilisateurs finaux. Les auteursde logiciels malveillants ne cherchent plus à faire du bruitet à faire la une des journaux, ils veulent dérober des infor-mations personnelles, manipuler des PC afin de les utilisercomme machines zombies et commettre des « cybercri-mes ». La complexitécroissante d'Internetdans nos vies quoti-diennes a apportéavec lui son lot demenaces, mais égale-ment davantage depossibilités pourTrend Micro de déve-lopper des moyensde veiller à la sécuritéde ses clients sansque ces derniers aientà s'en préoccuper. Lanature du travail enréseau a égalementchangé ; les réseauxn'ont plus de frontiè-res. Les systèmes sansfil, les dispositifsmobiles, Web 2.0 etsa capacité de gestion d'énormes quantités de contenu uti-lisateur, ainsi que les bureaux virtuels ont permis au fluxd'informations de traverser de nombreuses plateformes etde nombreux fournisseurs.

NOUS VOULONS CRÉER UN UNIVERS D’ÉCHANGE D’IN-FORMATIONS NUMÉRIQUES SÉCURISÉ

GS Mag : Quelle est votre stratégie aujourd’hui pourfaire face à ces dernières ?

Jean-Marc Thoumelin : Notre objectif est le même depuisdes années : créer un univers d’échange d’informationsnumériques sécurisé. Notre technologie de protection contre les menaces Web estle levier majeur de différentiation de notre stratégie et denos passerelles de sécurité. Elle s’impose à ce titre en tantqu’approche plus intelligente aux véritables « bombes àretardement » que sont les méthodes traditionnelles desécurité.

Trend Micro capitalise, en effet, sur la puissance de l’appro-che « In the Cloud », qui fait appel à des notations de répu-tation en amont du réseau d’entreprise. La détection duspam et des logiciels malveillants, ainsi que les informa-

tions fournies par tous nos produits TIS, SMB et Enterpriserenforcent les lignes de défense et concrétisent une protec-tion réseau en temps-réel.

À chaque fois que l’un des millions de clients Trend Microdans le monde fait face à une menace ou reçoit un nou-veau message de spam ou de phishing, la solution TrendMicro à l’origine de cette détection notifie cette nouvellesource de menace à un réseau étendu de moteurs de cor-rélation. Cette notification sera alors évaluée par rapport àdes bases existantes contenant des informations supplé-mentaires sur la réputation de l’adresse Web incriminée. Sila réputation est négative, tous nos clients seront automa-tiquement notifiés du danger que présente un accès à cesite, et donc protégés.

Trend Micro dispose des bases de données de réputationWeb les plus fiables et complètes au monde : plus d’unmilliard de sites Web malveillants et de sources de spamévalués en temps-réel pour neutraliser les emails et sites

web malveillants. Enassociant les technolo-gies de sécurité Web etde messagerie deTrend Micro, les entre-prises bénéficientd’un feedback perma-nent entre les basesde réputation. Tousles services de réputa-tion s’adossent à destechnologies In TheCloud et non à desmises à jours stati-ques, ce qui matéria-lise une veille entemps-réel sur lesmenaces Web et lessources de spam.

Cette approche pro-tège contre toutes les variantes d’une attaque Web, qu’ils’agisse de sources de spam, de liens malveillants intégrésaux emails ou de sites Web malveillants. Cette approche entemps réel et multi-protocole devient un impératif pourneutraliser efficacement toutes les menaces Web actuelleset répondre dès à présent à leur évolution future.

Trend Micro fait ainsi la différence en disposant de tou-tes les technologies de sécurité utilisées par ce proces-sus collaboratif de protection. Nous intégrons ainsi effi-cacement tous les feedbacks sur le spam, les logicielsmalveillants, les « webcrawlers », « honeypots » etautres menaces similaires.

Contrairement à un simple filtrage des URL, les moteursde corrélation sont alimentés par un réseau toujoursplus important de sondes, à savoir les produits TrendMicro utilisés par nos clients. Lorsqu’un client accède àun site Web, il déclenche une notification vers le réseaude bases de réputation le plus important et complet aumonde.

Résultat : une protection en temps réel contre le plusgrand nombre de menaces Web, dans un délai le pluscourt possible. ■ ■ ■

www.blackhat.com



Global Security Mag : Quelles sont les préoccupationsdes grandes entreprises ?

Laurent Delattre : Le challenge à relever pour lesgrandes entreprises est très important. L’objectif étantd’optimiser la sécurité à tous les niveaux du systèmed’information bien sûr mais aussi de mettre en œuvre etde respecter une politique de sécurité en conformitéavec de nouvelles normes, type Sarbanes Oxley,HIPAA… C’est un enjeu considérable compte tenu de lanature même des menaces actuelles qui ne sont plusaussi visibles qu’avant (de ce fait, la justification desinvestissements en matière de sécurité est égalementun enjeu considérable au sein même des entreprises).Ainsi, il faut adapter une architecture informatique glo-bale existante avec une architecture de sécurité qui vapermettre une visibilité accrue sur tous les événementsqui pourraient constituer une menace. Cela est, biensûr, conjugué très fréquemment avec une architecturetrès décentralisée pour les grands groupes et un nom-bre d’utilisateurs très important. Par conséquent, l’opti-misation par la centralisation de la gestion des outils desécurité est devenue un souci majeur. Sans oublier quele compromis à trouver entre production et sécurité esttoujours le « nerf de la guerre ». Notre métier est depermettre à nos clients de faire le leur.

GS Mag : Quelles sont les principales menaces quipèsent sur les grandes entreprises ?

Laurent Delattre : Nous assistons à plusieurs phénomè-nes adjacents au sein de nos grandes entreprises, parexemple, la mobilité des utilisateurs et l’ouverture gran-dissante des accès Internet pour les employés. La démo-cratisation de l’accès au Web multiplie les sources possi-bles d’infection par pure opération mathématique, touten précisant que le Web est devenu le vecteur le plusimportant de malwares. La propagation des menaces parmail étant devenue de plus en plus difficile de par la fia-bilité des outils existants, le Web est désormais la sourcela plus aboutie pour les hackers et autres acteurs malveil-lants. Facile, rapide, invisible et très efficace puisque trèsciblée. Le résultat étant que l’utilisation massive du Webdoit être contrôlée et maîtrisée. La mobilité est égalementune problématique grandissante. Même si maintenant lacommunication à distance est quasi maîtrisée (VPN, PKIetc..), la fuite d’information est une menace très sérieuse.Les outils mobiles, tels que les ordinateurs portables, PDAou autres Smartphones, sont de vrais outils de communi-cation et de stockage, inutile de préciser l’impact de laperte ou du vol des données qu’ils contiennent, surtoutque la plupart des utilisateurs mobiles sont les VIP des

grandes entreprises. En passant de l’autre côté de la barrière, une menacesous-jacente et silencieuse existe bel et bien. Compte tenude la multiplication du type de menaces sur le Web, virus,chevaux de Troie, spywares, .… les signatures antivirus semultiplient également, ce qui implique une croissanceimportante des besoins en ressource des machines et ser-veurs a protéger afin de pouvoir être efficaces. Ceci impli-que également des organisations très importantes en ter-mes de ressources chez les éditeurs de solution de sécuritéafin de permettre une réponse optimale. Les chiffres nefont qu’augmenter et de manière considérable. Noussommes passés de 1.738 virus en 1998 à 1.100.000 en2008 ! La croissance est exponentielle et les outils tradi-tionnels ne seront bientôt plus en mesure de jouer leurrôle. Un virage très important se profile.

GS Mag : Quelles sont les tendances du marché de lasécurité aujourd’hui ?

Laurent Delattre : Le marché s’oriente donc vers dessolutions déportées en temps réel. Le « Software as aService » est une tendance forte aujourd’hui. Le principeétant tout simplement de déporter les outils de sécuritédirectement chez les éditeurs tout en gardant la maîtriseet la gestion de la politique de la sécurité. Les clients s’af-franchissent ainsi de toute la gestion logistique des outilsde sécurité « hardware, mises a jour des soft de sécurité,des OS etc..).

La « réputation » est également une réponse importante.L’objectif étant de pouvoir traiter en temps réel toutesource d’infection potentielle grâce à des procédés deréputation d’un site Web, d’un émetteur de mails, etc.

Nous notons également d’une manière plus globale unetendance forte dans les grandes entreprises à se tournernon plus vers le « best of breed » mais vers un interlocu-teur unique. La multiplication des éditeurs multipliant lesoutils de gestion et d’administration, ce changement decap permet de rationaliser l’administration d’un parc anti-virus par exemple. Ceci étant dit, cette tendance est beau-coup plus forte dans certains pays comme les Etats-Unis,le Japon, l’Allemagne et le Benelux. En France, nous som-mes encore en période de transition ou le réflexe multiéditeurs est encore très implanté. ■ ■ ■



Black Hat17

Les enjeux de sécurité sont à la hauteurdes menacesLaurent Delattre, Directeur Commercial Grands Comptes Europe du Sud, Trend Micro

▲

TREND MICRO FRANCE

Siège : Rueil MalmaisonSite Web : www.trendmicro-europe.comNombre personnes : 351 TrendLab

Global Security Mag : Durant la Black Hat, les chercheurs ont dressé un bilan de l’évolution des techniques des pirates, quelles principales nouveautés avez-vous recensé pour 2008 ?

Rik Ferguson : 2007 a été l’année des menaces Webqui sont devenues les principaux risques de sécurité.Ces attaques utilisent notamment l’infrastructured’Internet et le port HTTP 80 comme un levier d'in-fection. Le protocole SMTP est également souvent unvecteur de diffusion du spam qui constitue une pre-mière étape pour inciter les utilisateurs à se rendresur des sites Web malveillants. Les attaques s'effec-tuent désormais sur une région géographique cibleet de manière localisée (utilisation d'une languelocale, ciblage d'une population ou d’une commu-nauté spécifique, etc.). Elles utilisent de nombreusestechniques d'ingénierie sociale : messages ou sitesrelatifs à des événements récents, ou d’intérêt pour

une communauté spécifique. Les menaces Web ontégalement pour particularité de se présenter sousdifférentes variantes, ce qui permet de contournerles anti-virus classiques et de rester indétectableaussi longtemps que possible. À l’opposé donc desépidémies initiales de logiciels malveillants dontl’intention était de maximiser les infections et lesdommages, aussi rapidement et visiblement quepossible. La multiplication des menaces Web a égale-ment eu pour conséquence directe une forte crois-sance et une expansion continue des réseaux de PCpiratés, appelés également bots ou zombies, et utili-sés dans un but lucratif. Ces différents constatstémoignent du caractère de plus en plus criminel detelles exactions. 2007 révèle également une ten-dance qui s'accentue en 2008, à savoir la mise enpéril du nombre de sites Web par ces menaces. Lessites Web sont, en effet, piratés à l’aide de techni-ques classiques qui tirent avantage des failles du lan-

www.blackhat.com



2008, le « péril Web » est en marche

Depuis 2007, les pirates informatiques ont concentré leurs attaques sur les sites Web. Rik Ferguson, Solutions Architect de Trend Micro, constate que cette tendance s’est renforcée en2008. Les hackers utilisent des techniques classiques qui tirent avantage des failles du langage Cross Site Scripting (XSS), de l’injectionSQL et de l’exploitation de vulnérabilités dépourvues de patch correctif. Pour remédier à ces menaces, il propose d’utiliser des technologies de sécurité “In the cloud” qui permettent de neutraliser les menaces à la source et de sensibiliser les utilisateurs.

▲

Rik Ferguson, Trend Micro

gage Cross Site Scripting (XSS), de l’injection SQL et del’exploitation de vulnérabilités dépourvues de patchcorrectif. Un site piraté est utilisé pour recueillirfrauduleusement certaines données, lorsqu’il n’hé-berge lui-même un logiciel malveillant qui redirigerale visiteur vers un site à risque. Cette méthode estproche de celle qui fait actuellement ses preuves etqui consiste à utiliser des bannières publicitaires surdes sites Web « innocents » pour rediriger les visi-teurs vers un logiciel malveillant. Enfin, n’oublionspas la multitude de sites Web malveillants mis enligne pour infecter les utilisateurs confiants via destéléchargements à leur insu, ainsi que les sites dephishing qui visent à détourner les identifiants confi-dentiels des utilisateurs.

UNE GESTION INTELLIGENTE DES RISQUESPLAIDE EN FAVEUR D'UN LOGICIEL CORRECTE-

MENT INSTALLÉ ET MAINTENU

GS Mag : Lors de la Black Hat Conference,Johanna Rutokowska, un chercheur en virologie,a conseillé de ne plus utiliser d’antivirus car ilsdiminuent la sécurité en ajoutant des bugs, querépondez-vous à cette affirmation ?

Rik Ferguson : Voilà le type de conseils qui ne faitqu’alimenter davantage les ambitions des cybercri-minels ! Il est vrai que les logiciels de sécurité nesont pas exempts de failles, comme tout logicield’ailleurs. Je reste néanmoins convaincu qu'une ges-tion intelligente des risques plaide en faveur d'unlogiciel correctement installé et maintenu. Aprèstout, il est fort probable qu’un système non protégéconnecté à Internet soit infecté en l’espace de quel-ques heures. Pour préciser la réponse à la questionprécédente, tous les produits de sécurité contre lesmenaces Web doivent disposer à minima d'uneforme de technologie de réputation, qui renforcerales méthodes anti-virus classiques, pour ainsi propo-ser une sécurité de type « In the cloud », activedirectement sur Internet et en amont du réseaud’entreprise. En effet, les logiciels malveillants sedéclinent en variantes à une vitesse tellement rapideque les solutions basées sur des signatures de virusdeviennent rapidement obsolètes, compte tenu desressources systèmes consommées et des délais demise à jour des nouvelles signatures.

GS Mag : Lors de ce même événement, un autrechercheur en virologie, Feng Xue, a montré que lespirates informatiques se servaient des vulnérabili-tés des antivirus pour attaquer les SI, quels sontvos conseils pour éviter ce type de problèmes ?

Rik Ferguson : Comme tout logiciel, un produit desécurité peut avoir des failles, une situation qui s’estd’ailleurs avérée vraie dans le passé. Les éditeurssont particulièrement attentifs à cette problémati-que lors des phases de tests d’assurance qualité, etnous nous engageons à proposer des patchs de miseà jour aussi rapidement que possible lorsque ces

failles sont identifiées après la commercialisation duproduit. Les utilisateurs doivent donc s'assurer queleur solution est toujours à jour, un point essentielpour juguler les risques. Au-delà, une solution desécurité adossée à des services de réputation mini-mise davantage les risques face aux attaques de typeZero-day.

GS Mag : Dans le domaine de la lutte contre lespam, quelles réponses technologiques apportez-vous ?

Rik Ferguson : Face à la prolifération des menacesWeb, et compte tenu des liens entre le spam, leslogiciels malveillants et la cybercriminalité, nous nepouvons nous contenter d’un outil qui ne cibleraitque le spam. Le spam n’est effectivement plus cetteattaque bénigne de ses premières heures : bienqu’intrusif et gourmand en ressources systèmes, lespam n’a pendant longtemps pas été considéré autitre des menaces et logiciels malveillants. C’est désormais le cas et nous devons repenser les solu-tions et privilégiant une approche intégrée pourcombattre des menaces elles aussi intégrées. Cetteapproche associe plusieurs savoir-faire et techni-ques : vérification des URL et des domaines, veillesur les adresses IP, services de réputation, fichiers designatures, veille comportementale de certains protocoles, etc.

GS Mag : Le phishing est toujours plus virulent,quels sont vos conseils pour y remédier ?

Rik Ferguson : Le phishing continue à cibler lesentreprises commerciales ou institutions financièresmajeures. La nouveauté réside dans la localisationlinguistique du contenu et le ciblage des victimes surun secteur géographique précis. Les menaces Websubstituent de plus en plus les noms de domainespour rediriger le trafic vers des sites criminels. Le tra-ditionnel mail de phishing a laissé la place à la tech-nologie DNS fast flux ou le kit Universel Man-in-the-Middle pour initier leurs attaques. Ces nouveauxoutils aident les criminels à collecter des informa-tions confidentielles en amenant les victimes poten-tielles à communiquer avec un site Web légitime viaune fausse URL mise en ligne par le pirate. Les kitsde phishing de type Man-in-the-middle proposentune interface utilisateur pour créer une copie d’unsite Web légitime, cible d’une opération de phishing.Cette copie de site Web communique avec le sitelégitime et télécharge les pages Web d’origine. Lavictime communique donc toujours avec le site légi-time tandis que le pirate détourne simplement tou-tes les informations fournies par l’utilisateur. Face àl’évolution des menaces traditionnelles (logicielsmalveillants, spam, phishing, etc.) vers un modèlede menaces Web évoluées, les produits de protectionclassiques connaissent des limites et il est plus quejamais urgent de passer à une protection qui sachecorréler les différents vecteurs de menaces et yrépondre efficacement.



Black Hat19

CONTRE LES VIRUS CIBLÉS, IL FAUT DES SOLUTIONS PRO-ACTIVES

ET MENER DES ACTIONS DE SENSIBILISATIONAUPRÈS DES UTILISATEURS

GS Mag : Les virus sont de plus en plus ciblés,comment peut-on se protéger de ces nouveauxtypes d’attaques ?

Rik Ferguson : On compte parmi les menaces à fortimpact celles qui ciblent un profil prédéfini de victi-mes, qu’il s’agisse de communautés qui se regrou-pent autour d’intérêts communs, d’une population àl’échelle régionale ou locale, ou encore de certainssegments de la société. Les pirates échafaudent desstratégies de plus en plus évoluées et capables deconvaincre toujours plus de personnes quant à l’au-thenticité des produits et des services mis en avantpar le pirate. Les services de communication tels quel'email, la messagerie instantanée et le partage defichiers continueront à subir des menaces telles quele spam image, les URL malveillantes et les fichiersjoints douteux. Ces menaces utiliseront des techni-ques d’ingénierie sociale dans différentes languescibles, des techniques choisies selon leur efficacité àattirer des victimes potentielles. Les cybercriminels,quant à eux, continueront à renforcer leurs réseauxde PC zombies et à détourner des informations confi-dentielles. Le dénominateur commun de ces mena-ces réside dans leur capacité à tirer avantaged'Internet et de ses fonctionnalités. En clair, au-delàdes pratiques de bon sens qui consistent, par exem-ple, à ne jamais ouvrir un email ou un fichier dou-teux, une solution de sécurité sur PC doit être suffi-samment agile et dynamique pour garantir une pro-tection en temps réel aux utilisateurs qui font face àdes menaces émergentes. La détection des virus àbase de signatures n’est désormais plus suffisante.

GS Mag : Aujourd’hui, les politiques commencentà prendre au sérieux le problème de la cybercrimi-nalité, comment un éditeur comme Trend Micropeut apporter son concours à ces initiatives ?

Rik Ferguson : Trend Micro collabore déjà active-ment avec de nombreux organismes nationaux etinternationaux de lutte contre la criminalité, commeInterpol. Nous leur fournissons des informations surles incidents identifiés et participons lorsque néces-saire à leurs enquêtes. Nous intervenons égalementrégulièrement lors de conférences et séminairesorganisés par des institutions.

GS Mag : Que peuvent faire les PME qui ont peu detemps et de moyens pour répondre à ces menaces ?

Rik Ferguson : Les PME, tout comme les entreprisesplus importantes, doivent valider la pertinence de lasolution dans laquelle ils investissent compte tenude la rapide évolution des menaces Web. Les PMEconnaissent des contraintes supplémentaires enmatière de temps et de ressources et elles ne peu-

vent pas mobiliser des personnes à plein-temps surle sujet de la sécurité de leurs informations. Les PMEferont ainsi de plus en plus appel à des éditeurscapables de proposer une solution de sécurité géréeet mise à jour à distance, ce qui leur permet de serepositionner sur leur cœur de métier et de déléguerleur sécurité à des mains expertes.

LA TECHNOLOGIE « IN THE CLOUD » EST UN REMÈDE POUR SÉCURISER LE WEB

GS Mag : Les réseaux sociaux semblent être denouveaux vecteurs de menaces, que doivent faireles entreprises pour remédier à ce problème ?

Rik Ferguson : Au cours des dernières années, lesréseaux sociaux et outils similaires ont permis auxutilisateurs de participer plus activement à Internet.Avec cette évolution, les entreprises se sont de plusen plus ouvertes à l’idée de proposer des fonctionna-lités, applications et des accès distants via leur siteWeb corporate. Parallèlement, les entreprises sou-haitent tirer avantage de ces nouveaux outils pourcréer des communautés d’utilisateurs et favoriserune participation plus active de ces derniers. Cesfonctionnalités rendent le Web plus interactif etséduisant, mais témoignent néanmoins de nouveauxrisques, comme le souligne l’explosion des attaquesvia le Web : on se souvient notamment du logiciel « Secret Crush » qui s’est installé en toute autonomieen tant que Widget de Facebook sur environ un mil-lion de PC à la fin 2007 et au début 2008.Les entreprises doivent, aujourd’hui, choisir entreune restriction de leur accès Web à une poignée desites définis comme essentiels, ou l’activation d’unecouche de sécurité « In the cloud », particulière-ment évolutive, et qui sécurise les processus métiersde l’entreprise. Cette solution semble la plus perti-nente compte tenu de la croissance des collabora-teurs nomades et distants et de frontières de plus enplus floues entre les réseaux.

GS Mag : Pour conclure, quelle est la stratégie deTrend Micro en matière de protection ?

Rik Ferguson : La mutation majeure des menacesWeb contribuera à faire évoluer les technologiesnécessaires pour protéger efficacement les utilisa-teurs. Un simple antivirus qui utilise des signaturesn'est plus suffisant. Aujourd'hui, les auteurs de logi-ciels malveillants collaborent entre eux pour échap-per à toute détection et génèrent de multiplesvariantes de ces menaces pour déjouer les méthodesde détection traditionnelles. Cette criminalité, active à l’échelle mondiale, se veutcollaborative et donc plus malveillante. Elle remeten cause les fonctionnalités d’analyse et de neutrali-sation proposées par les logiciels basés sur les signa-tures, et qui ont été adoptés par les utilisateursdepuis maintenant 20 ans. La croissance exponen-tielle des fichiers de signatures rend les mises à jourplus complexes tandis que le taux de neutralisation

www.blackhat.com

Black HatABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com


20

n’est plus un indicateur clé de la capacité d’une solu-tion à protéger efficacement ses clients.

Actuellement, l’approche traditionnelle doit être utili-sée en conjonction avec d’autres techniques pour éri-ger une ligne de défense multicouche et qui tire avan-tage de la nature interactive d’Internet. L’activation d'outils de sécurité à l'échelle de la passe-relle Internet et des postes client n'est plus suffisante.Pour mettre en échec les cybercriminels, la protectionclassique de base doit désormais s’adosser à une sécu-rité « In the cloud » qui apporte une réponse proac-tive aux nouvelles menaces émergentes.

Les technologies de sécurité “In the cloud” neutrali-sent les menaces à la source, en amont de la passe-relle réseau. Les bases de données « In the cloud »sont mises à jour en temps réel, ce qui permet d’êtremoins dépendant des bases locales et de la fré-quence de leur mise à jour, tout en allégeant lescharges mémoires et d’analyse. ■ ■ ■

UNE TECHNOLOGIE DE SÉCURITÉ« IN THE CLOUD » PERFORMANTE DOIT

PROPOSER LES FONCTIONNALITÉS SUIVANTES :

Une technologie de réputation Web :■ Surveillance des URL des sites Web en utilisant le filtrage, lalocalisation des adresses IP liées aux URL à risque, et la vérifi-cation des URL par rapport à une notation de réputation fournie par une base. ■ Mises à jour de la base de données en temps réel et en permanence, permettant aux éditeurs de sécurité de répondreet de maîtriser rapidement les messages suspects et les mena-ces Web. ■ L’accès aux sites Web malveillants est neutralisé en cas de mauvaise notation de réputation du domaine hôte.

Technologie de réputation email :■ Valide les adresses IP par rapport à un service de réputationet à un service qui surveille en temps réel les comportementsdu trafic Internet et les IP sources des emails suspects. Cetteapproche constitue une parade contre les réseaux de PC zom-bies et les sources de spam.

Technologie d’identification de zombies et des bots :■ Analyse du trafic réseau et des comportements des bots pouridentifier les commandes serveur de contrôle du bot. ■ Surveillance permanente de ces serveurs pour identifier et neutraliser ceux qui sont actifs. ■ Mise à disposition en temps réel d’un flux d’adresses IP avecleur degré de confiance et le type de menace identifiée. ■ Neutralisation des communications vers et à partir des ser-veurs de commande et de contrôle, compte tenu de l’adresse IP.



Black Hat21

www.blackhat.com

Black HatABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com


Selon le Gartner, 47 % des données d'entreprise sont stockéessur des supports mobiles. 350.000 d'entre eux ont fait l'objetde perte ou de vols aux Etats-Unis, en deux ans. Et ce n'estqu'un début ! Quant au possesseur de l'objet perdu, sa plusgrande frustration réside dans la disparition d'un outil bienpratique oubliant l'essentiel : la valeur du contenu.

La conformité aux réglementations relatives à la gestion desentreprises et à la confidentialité nécessite des stratégies desécurité complètes permettant de conserver la confidentia-lité des informations et de protéger la vie privée des clients.Face à ces défis, les entreprises ont besoin de solutionsintelligentes de filtrage du contenu qui appliquent desrègles de sécurité et informent les employés sur la bonnegestion des informations.

Trend Micro LeakProof protège contre les pertes de don-nées grâce à une approche qui allie une application desrègles sur les terminaux finaux à un contrôle des emprein-tes précis et une technologie de classification du contenu.LeakProof permet de réaliser des audits complets des pos-tes surveillés pour identifier les informations sensibles.Ainsi, les machines dont le contenu sera le plus critiqueseront répertoriées. Les RSSI – DSI… pourront ainsi quanti-fier la diffusion, (dilution) des données sensibles et identi-fier au cas par cas les listes de documents concernés.

Cette solution se compose d’un logiciel client et d’un ser-veur sous forme d’appliance :• LeakProof Anti-Leak Client : ce logiciel non intrusif, decontrôle et d’application des règles détecte et protègecontre les pertes de données au niveau de chaque poste detravail. Le client communique avec le serveur DataDNApour recevoir les mises à jour des règles et des empreintesnumériques, et rapporte les violations à l’administrateur.• LeakProof DataDNA™ Server : ce système offre un pointnévralgique pour la visibilité, la configuration des règles etl’extraction des empreintes numériques depuis des sourcesde contenu.Une interface Web prend en charge les stratégies de sécu-rité pour l’exploration, la classification, la configuration desrègles, la surveillance et la création de rapports.

LE FILTRAGE DES DONNÉES, PORTS, FLUX, RÉSEAUXLeakProof offre une couverture des périmètres réseau etpostes de travail. Elle inclut des flux de réseau, tels queHTTP/S, SMTP, la messagerie Web, FTP et la messagerie ins-tantanée, ainsi que les entrées/sorties des postes de travailcomme les transferts de fichiers sur des clés USB ou leurgravure sur des CD/DVD. Des modules de filtrage intégrés

inspectent le contenu avant son cryptage afin de protégerl’activité transmise via un navigateur Web et les applica-tions de messagerie électronique. Les responsables infor-matiques peuvent désactiver des périphériques en toutesimplicité.

DATADNA™ : LA PROTECTION PAR L’ADN DES DOCUMENTS

Cette technologie détecte les données sensibles avec desniveaux de précision et de performances élevés. Plusieursmoteurs de classification fournissent un filtrage en tempsréel à l’aide d’empreintes numériques, d’expressionsrégulières, de mots clés et de métadonnées. Des algorith-mes extraient des informations à partir du contenu pourcréer une séquence ADN unique pour chaque document.Cette « empreinte numérique du document » permet uneapplication des règles sur les postes de travail connectésou hors ligne.

SANS OUBLIER L’INDISPENSABLE SENSIBILISATION DES UTILISATEURS

Des « alertes » interactives permettent aux responsablesinformatiques de créer des boîtes de dialogue au contenusensible qui s’affichent directement sur l’écran d’ordinateurde l’employé. Ces boîtes de dialogue contiennent des liensURL personnalisés qui informent les employés sur la ges-tion appropriée des informations confidentielles en relationavec la politique de sécurité du système d’information. Lestransferts non autorisés sont bloqués ou les employés sontinvités à utiliser le module intégré de cryptage des donnéespour copier des données sur des périphériques USB. ■

La prévention des fuites de données par le filtrage, l’empreinte

numérique et la sensibilisationLa perte d’informations privées ou relevant de la propriété intellectuelle peut aussi bien entraîner

des amendes et des procès, que nuire à l’image de marque et susciter une mauvaise presse. Poursécuriser les données sensibles, les entreprises ont besoin d’une solution de protection contre lesfuites d’informations potentielles. LeakProof™ de Trend Micro maîtrise la diffusion de données

sensibles en appliquant des règles de sécurité aux postes clients, via des technologies d’empreintenumérique, de filtrage de contenu et d’outils de sensibilisation. De surcroît, LeakProof permet de

réaliser un audit complet des informations sensibles sur les postes surveillés.

LES CONSEILS DE TREND MICRO AUX UTILISATEURS

1. Suivre les recommandations et processus dictés par lerèglement de l'entreprise. 2. Sauvegarder les données en lieu sûr (base d'informationscentralisée) pour conserver une copie récente. 3. Se doter d'une solution de chiffrement (on parle aussi decryptage) du disque dur et des données pour éviter touteconsultation et exploitation par des tiers non-autorisés en casde vol ou de perte. 4. Minimiser les risques en n'emportant avec soi que les seules données nécessaires. 5. Eviter l'emploi de toute connexion Internet "sensible"comme les messageries publiques ou instantanées, qui véhicu-lent en permanence des codes malveillants. 6. Ne laisser aucune trace de ses données personnelles aprèsenvoi (suppression des pièces jointes et du message). Le collaborateur doit garder en mémoire qu'il est responsabledes données perdues ou volées avec à la clé des conséquencesfinancières directes, voire des mesures prises à son encontre (miseà pied, licenciement). Une grande vigilance s'impose donc !

22

Publi-info


Black Hat23

SECURECLOUD POUR ALLÉGER LE TRAVAIL DES ÉQUIPES INFORMATIQUE

SecureCloud héberge des services qui bloquent lesmenaces « in the cloud » (au niveau d’Internet).Ainsi, elles ne peuvent pénétrer les réseaux des clientset endommager l’infrastructure informatique. Lesclients et les partenaires du réseau de distributioncentralisent la gestion de ces services depuis laconsole Web de SecureCloud, ce qui simplifie l’admi-nistration et coordonne la gestion des risques.

SecureCloud est la plate-forme de gestion intégréeavec les services de Trend Micro. Sa console d’adminis-tration à connexion unique montre tout son intérêtlorsque l’on utilise plusieurs services Trend Micro.

Le SaaS permet de maintenir les menaces à l’écart duréseau tout en se déployant aisément, sans avoirbesoin de changer l’infrastructure en place. De ce fait,l’équipe informatique peut se consacrer à d’autresprojets. Ainsi, Trend Micro fournit un portail en lignepour l’administration centralisée de tous les servicesSecureCloud. Cette plate-forme gère les règles de sécu-rité pour toutes les solutions, de la passerelle à l’ordi-nateur de bureau. Elle utilise les moteurs d’analyse deTrend Micro et ses méthodes de protection contre lesmenaces.

SecureCloud s’appuie sur l’expertise de Trend Micro enmatière de sécurité, la maintenance et la surveillanceétant effectuées par ses équipes. Totalement évolutif,il permet d’ajouter de nouveaux services et utilisa-teurs en fonction des besoins. Ainsi, il simplifie l’ad-ministration et permet de coordonner la gestion desrisques pour les divers services. Enfin, il offre uneplate-forme de gestion intégrée des services.

LES TECHNOLOGIES ET LES SOLUTIONS SaaS

1 - Email Reputation ServicesUnique service d'évaluation deréputation des messages élec-troniques à proposer uneconsole d'administration, ERSpermet de consulter des rap-ports en temps réel sur l'activitédes spams.

2 - Botnet Identification ServiceCe service identifie et contrôleles PCs zombies. Il leur devientalors impossible de générer desspams et de lancer des attaquescriminelles susceptibles de nuireà votre image de marque, et dedégrader les performances duréseau.

3 – Web Reputation ServiceCette fonction vous protège contre les attaques de type « zero-day » avant qu’elles ne puissent atteindre votreréseau. En les analysant, en fournissant des mises à jourcontinues et instantanées et des informations actuali-sées sur la réputation des sites, Trend Micro évalue ledegré de confiance d’un site Web, d’une page ou d’unlien avant que l’utilisateur ne clique dessus.

4 - InterScan Messaging Hosted SecurityCette solution intègre des systèmes anti-spam et anti-phishing combinés à une technologie antivirus etanti-spyware primée. Ce système hébergé complet desécurité de messagerie bloque les menaces avant qu'el-les n'atteignent le réseau. Les entreprises peuvent choi-sir entre une administration simplifiée, ou un accès etun contrôle granulaires. Quel que soit le niveau sélec-tionné, la gestion s'effectue via une console unique àinterface Web. ■

SecureCloud™, la plate-forme de sécurité SaaS* de Trend Micro

Qu’elles disposent ou non de ressources informatiques, de plus en plus d’entreprises se tournent aujourd'hui vers un modèle SaaS et choisissent d’externaliser leur sécurité pour bénéficier de mises à jour en temps reel. Pour répondre à cette tendance, Trend Micro met ses solutions de protection à la portée de toutes les entreprises à travers son offre SecureCloud. Cette plateforme de sécurité SaaS propose aux entreprises de toute taille des solutions de protection contre les menaces liées au courrier électronique et au Web.

Publi-infoSPECIAL BLACK HAT 2008

EUROPE

* Software as a Service

www.blackhat.com

Black Hat

www.blackhat.com


Petko Petkov, chercheur et consultant, s’est bâti une solideréputation dans le milieu de la sécurité, en participant à denombreux ouvrages, ainsi qu’en publiant, chaque jour surson blog [1], des réflexions sur de nouveaux axes d’attaqueou encore des vulnérabilités “0-day” toujours accompa-gnées de preuves de concepts intéressantes.Après avoir consacré une bonne partie de son temps dansla recherche de nouvelles vulnérabilités, Petko a doncchoisi de résumer et décrire les différentes vulnérabilitésdécouvertes au long de l’année 2007 par le groupeGnucitizen Ethical Hacker.Les passionnés et adeptes de son blog n’ont, certes, rienappris de nouveau en assistant à cette présentation.Cependant, les autres ont pu découvrir les nombreux pro-blèmes dont souffre la partie cliente du modèle client/ser-veur, appliquée aussi bien aux logiciels (navigateur Internetpar exemple) qu’aux ordinateurs, considérés égalementcomme des clients d’un réseau.

Quatre grands thèmes ont été abordés brièvement durantson intervention. Le but n’était pas de présenter toutes lesvulnérabilités découvertes l’année passée, mais plutôt dedresser un constat alarmant dans quatre domaines distinctsavec des preuves de concept simples.

Cross Site Request Forgery, 4 méthodes pour forcer un navigateur à agir à « l’insu de son plein gré »

Le premier sujet traité concernait les attaques CSRF (CrossSite Request Forgery). Ce type d’attaque largement exploitésur Internet a pour but de forcer un navigateur à exécuterdes commandes ciblées à l’insu de la victime [2].Pour cela, Petko a décortiqué plusieurs vulnérabilités. Lesplus intéressantes furent découvertes en septembre 2007 etjanvier 2008.La première, baptisée “Hijack Gmail” [3], consistait à instal-ler une backdoor au sein d’un compte Gmail. En incitant unutilisateur à suivre un lien malicieux, le pirate pouvait ajou-ter, à l’insu de sa victime, un filtre Gmail qui transféraitensuite tous les emails reçus vers l’adresse du pirate. Cettefaille de sécurité, corrigée rapidement par Google, avaitpermis à l’époque de pirater le compte Gmail d’un célèbre

designer graphique. Le pirate avait pu lire les emails de savictime et demander à son hébergeur de libérer le nom dedomaine.

Toujours dans le même registre, des recherches pousséesont été menées sur le routeur le plus utilisé en Angleterre :BT Home hub afin de dresser un bilan inquiétant sur lasécurité des routeurs personnels.Plusieurs erreurs d’autorisation permettent encoreaujourd’hui de contourner l’authentification de l’interfaceWeb du routeur et de modifier sa configuration via une sim-ple URL. Les attaques CSRF prennent ici tout leur sens etdeviennent alors particulièrement utiles et dangereuses.Un lien HTML pourrait reconfigurer totalement le routeuren question. Le pirate peut donc aisément changer, parexemple, la configuration DNS afin de rediriger le trafic versdes serveurs pirates ou encore activer l’administration viaInternet…Une autre étude a également pointé du doigt les lacunesdu protocole UpNp en présentant les techniques d’attaquesassociées. En étudiant avec attention un routeur implé-mentant UpNp, Petko a prouvé comment une simplerequête SOAP camouflée au sein d’une animation flashpouvait reconfigurer n’importe quel routeur de ce type [4].

Les vulnérabilités « Command/Shell fixation attack »pour contrôler QuickTime et Firefox

Dans un second temps, Petko s’est intéressé aux vulnérabi-lités appelées “Command/Shell fixation attack”. Ce termedésigne les erreurs de validation que l’on peut retrouver ausein de nombreux logiciels permettant de passer des com-mandes système, sans contrôle préalable.Un tel bug lors du traitement de liens QTL (QuickTimeMedia Link) insérés au sein de pages HMTL avait été décou-vert en septembre 2007. Cette célèbre vulnérabilité affectaitconjointement Firefox et QuickTime [5]. En effet, Quick-Time ne contrôlait pas correctement les URLs passées ausein du paramètre “qtnext” lors de l’appel de fichierQuickTime intégré au sein de pages HMTL. L’ouverture d’une telle page Web incluant un lien QTL mali-cieux permettait alors d’exécuter un code JavaScript pourfaire appel à des fonctions Firefox, telles que ‘ShellExecute’.

▲

Petko D. Petkov, plus connu comme le fondateur du groupe Gnucitizen CuttingEdge Think tank, a présenté durant la Black Hat Amsterdam un florilège desvulnérabilités découvertes par son groupe durant l’année 2007 et en janvier2008. Pour les fans de son blog, rien de nouveau, par contre les autres ont été de surprises en « effrois »… car aujourd’hui les pirates au travers des navigateurs ciblent les utilisateurs finaux.

QUAND LESNAVIGATEURSPERDENT LA TÊTE Par Adrien Guinault, Xmco Partners

Cette utilisation conjointe de QuickTime et de Firefox per-mettait à l’époque de prendre le contrôle d’une machinevulnérable.Petko a également mis en évidence d’autres problèmes liésau traitement des fichiers ‘.RDP’ (Bureau à distance) ou ‘.ICA’(Citrix) [6]. En effet, certaines propriétés méconnues pou-vaient être insérées au sein d’un fichier de connexion RDPou ICA afin de lancer des commandes lors d’une connexiondistante à un serveur Windows ou Citrix. Toute la difficultéde l’attaque consistait alors à inciter une victime (possédantun compte sur un serveur Windows ou Citrix) à ouvrir unfichier de ce type.D’autres problèmes de ce type ont également été rapide-ment traités (Cross Site Scripting via Skype [7], utilisation dela fonction chrome au sein de Firefox [8]…).

L’avenir des pirates appartiendra au Web 2.0

Enfin, la présentation de Petko s’est terminée sur les diffé-rentes possibilités d’utilisations malicieuses du protocoleJAR [9] ainsi que sur une réflexion à propos de la futuregénération de rootkits. Petko prévoit un développement derootkit de 4ème génération. Intégrés au sein des naviga-teurs, ils utiliseront les nouveautés du Web 2.0.Au travers d’exemples précis, de preuves de concept variéeset d’explications détaillées, Petko a voulu mettre

l’accent sur les nou-velles menaces dontsont victimes lesapplications clientsau sens large. Lespirates concentrent de plus en plus leurs efforts sur ce genrede vulnérabilités afin de cibler les “end users”. La sécurité des applications client et, en particulier, celle desnavigateurs doit donc être au centre des préoccupations aumême titre que la sécurité des serveurs. ■ ■ ■

[1] http://www.gnucitizen.org/blog [2] http://fr.wikipedia.org/wiki/Cross-Site_Request_Forgeries [3] http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/[4] http://www.gnucitizen.org/blog/hacking-with-upnp-universal-plug-and-play/[5] http://www.gnucitizen.org/projects/0day-quicktime-pwns-firefox/[6] http://www.gnucitizen.org/blog/remote-desktop-com-mand-fixation-attacks/[7] http://www.gnucitizen.org/blog/vulnerabilities-in-skype/[8] http://www.gnucitizen.org/projects/firebug-goes-evil/[9] http://www.gnucitizen.org/blog/severe-xss-in-google-and-others-due-to-the-jar-protocol-issues/



www.blackhat.com

Black Hat25

BULLETIN D’ABONNEMENT❒ Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 50€TTC (TVA 19,60%), 60€ hors France Métropolitaine.Je recevrai les 4 prochains numéros.

❒ Je souhaite être abonné gratuitement à la News Letter bi-hebdomadaire voici mon adresse mail :

❒ Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ceservice comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organiséspar Global Security Mag. En revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pourbénéficier de ces avantages, je joins ma carte de visite professionnelle (agrafer ici)

et mon adresse mail : Je recevrai par mail une fois par semaine des informations ciblées

Nom Prénom Société

Adresse

Tél. Fax. E-mail

Règlement par chèque n° Tiré sur banque à l’ordre de SIMP

A réception de votre règlement une facture acquittée vous sera adressée par retour. Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant.

Date, Signature et cachet de l’entreprise

En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant.Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.

A retourner à :SIMP

17, av. Marcelin Berthelot92320 Châtillon

Tél. : 01 40 92 05 55 - Fax. : 01 46 56 20 91

E-mail : [email protected]@globalsecuritymag.com

www.blackhat.com

Black Hat

www.blackhat.com


Si on souhaite se faire une idée, ou finalement établir un rapide bilan des informations déjà publiéessur une personne ou sur une entreprise, cette présenta-tion de l’outil Maltego de la société Paterva aurait pro-voqué chez vous, comme chez tous ceux qui y ont assis-tés, une envie de trouver rapidement une machineconnectée et de tester cet outil.De même, tous ceux qui ont déjà eu l’occasion d’effectuer des investigations en ligne sur des personnesou des « éléments Internet » (Adresse IP, noms dedomaine, etc.) ont tout de suite vu l’intérêt d’un teloutil, notamment dans la rapidité avec laquelle il peutvous fournir les informations intéressantes.

Comment retrouver rapidement des informations ciblées sur le Web

Le constat initial de Paterva est finalement très simple : si l’être humain est efficace pour distinguerun motif dans un ensemble, la machine est rapidepour traiter de gros volumes de données. La récipro-que n’étant pas vraie, une voie médiane devait êtrepossible pour permettre à l’homme d’exploiter lescaractéristiques de la machine dans la rechercheefficace d’informations.Autrement dit, de nombreuses informations sur unepersonne ou une entreprise étant publiées sur leWeb, encore faut-il une solution pour tirer, de cette

masse de données, des informations pertinentes ouà valeur ajoutée, et cela dans un temps relativementrestreint.

Maltego pour récolter facilement des informations sur le Web

C’est là qu’intervient l’outil Maltego, en réalité sujetprincipal de cette présentation, développé pourrécolter et traiter, à partir de points de départ précis,des informations intéressantes, les liens souventinvisibles qui les relient entre elles, et surtout de lesprésenter dans un format commode et exploitablepar l’utilisateur.Concrètement, par le biais de l’interface graphiquemise à disposition, il est possible de choisir commeélément de départ un nom de domaine, un site Web,une adresse IP, un « netblock » ou encore une iden-tité, sur lesquels l’outil va appliquer des transforma-tions. Ces sortes de plugins vont alors effectuer unerecherche d’information à partir de la donnée ini-tiale, et représenter graphiquement le lien entre lasource fournie et l’information obtenue.Par exemple, d’un nom de domaine sera identifié lesadresses IPs correspondantes, puis le « netblock »associé, et pourquoi pas les autres domaines présents sur ces adresses. Le test effectué « en live »par les présentateurs à partir de l’information

▲Un peu en marge des sujets traditionnelsque l’on peut attendre lors de la Black HatConference, une présentation de la sociétéPaterva a eu pour but de discuter de larecherche d’informations ciblées par Internetsur des entreprises ou des personnes. En effet,le risque induit par les fuites d’information,qu’elles soient délibérées ou non, est aujourd’hui bien connu des entreprises.Pour autant, répondre à cette menace n’est pas une chose aisée, tant on se batencore et toujours contre les menaces traditionnelles qui pèsent sur un Systèmed’Information, telles les attaques externes mettant en œuvre des techniques dehacking bien connues et balisées.

MALTEGO :L’INVESTIGATEUR DU WEB

Par Thomas Gayet, Cert-Lexsi

« blackhat.com » était parfaitement concluant, et aeu le mérite de provoquer des sourires et des éton-nements dans la salle, au vu des informations obte-nues.En effet, un joli graphique s’est alors dessiné àl’écran, identifiant et montrant les liens entre desinformations aussi diverses que des noms dedomaine, des adresses de courriels, des adresses IPs,des identités, des documents ou encore des clefsGPG, et le tout sous la forme d’un arbre structuré trèsrapidement construit.

Quelques plugins et une recherche massive sur Yahoo…

Pour réaliser ce travail, les plugins de transforma-tions de l’outil vont chercher des données sur diffé-rentes sources spécialisées (tels que les sites sociauxet autres Web 2.0, serveur Whois, etc.), mais exploiteégalement massivement le moteur de rechercheYahoo. Pourquoi Yahoo ? Car Google n’a pas acceptéles demandes de Paterva qui aurait souhaité pouvoireffectuer, de manière -selon eux - raisonnable, desrequêtes sur le célèbre moteur de recherche. Bien évidemment cette problématique est connue,car envoyer des requêtes en masse vers de tels sitesest en principe prohibé. Paterva propose donc unenouvelle architecture, pour la seconde version deson outil bientôt téléchargeable, où les plugins detransformations ne sont plus directement utilisés par

le logiciel client,mais sont exécutés de manière distribuée, depuisdes serveurs appelés serveurs de transformation.

…et les sites sociaux sont une nouvelle fois unoutil de recherche utile mais permettant aussi

éventuellement de manipuler les opinions

Dans la même idée, une hypothèse – pour ne pasdire un contournement … – a également été présen-tée pour extraire les informations des sites sociaux, àtravers la création de multiples identités fictives (des« bots ») à partir desquelles les recherches seraienteffectuées. Les présentateurs en ont alors profitépour nous faire imaginer comment et combien il estpossible de manipuler des opinions par ce biais, encréant par exemple des commentaires positifs /négatifs sur des blogs, en surveillant la présence depersonnes sur le Web par l’étude de leurs statuts declients de messagerie instantanée, ou encore enrécupérant les liens créés entre les personnes sur lessites sociaux.Cette présentation, quoi qu’un peu trop centrée surl’outil Maltego, avait donc le mérite de démontrer lafacilité, avec les outils appropriés, d’obtenir quantitéd’informations sur les personnes ou les entrepriseset les liens entre eux, ainsi que de mettre en gardesur les dangers de l’existence même de tels outils àtravers tout ce que l’on peut imaginer comme usagemalveillant. ■ ■ ■


www.blackhat.com

Black HatAGENDA

JUIN

10 juin – Maison de l’Amérique Latine, ParisCSO InterchangeWeb : www.csointerchange.org

10 - 12 juin - Toronto (Canada) Infosecurity CanadaTél. : 416.756.0303 Web : www.infosecuritycanada.com

11 - 12 juin - Palacio de Congresos,Madrid (Espagne) Infosecurity Ibéria SpainTél. : +34 93 45 20 722 E-mail : [email protected] Web : www.infosecurity.com.es

11 - 12 juin - Centre Etoile Saint-Honoré,ParisForum IDC « Telecoms et Entreprises »IDC - Valérie RollandTél. : 01 55 39 61 24E-mail : [email protected] : www.idc.com/france/events/forum-telecoms08/index.jsp

11 - 12 juin - Grand Palais, LillesICTF : l’International ContactlessTechnologies ForumTél. : 01 42 46 21 21Web : www.ictf-forum.com

12 juin - Prim’X Trocadéro, ParisMatinée Aladdin, OpenTrust et Prim’XTechnologies: « Trois clés de succès d’unprojet de sécurité »Web : www.primx.eu/matinee_primx_renault.aspx

18 - 19 juin - Casablanca (Maroc) Med-IT@CasablancaXCOM Tél. : +33 (0)4 42 70 00 66 Sylvie Reforzo Tél. : +33 (0)4 42 70 95 10 Mob : +33 (0)6 62 48 22 29 E-mail : [email protected] Web : www.xcom.fr

19 juin - Hôtel Le Parc - Trocadéro, ParisBusiness IntelligenceIDC - Valérie RollandTél. : 01 55 39 61 24E-mail : [email protected] : www.idc.com/france/events/bi08/index.jsp

19 juin - Maison des Arts et Métiers, ParisSéminaire Forensics Verizon BusinessE-mail : [email protected]

23 au 27 juin - HSC Levallois-PerretHSC : Formation RSSILynda BenchikhTél. : +33 141 409 704E-mail : [email protected] : www.hsc.fr/services/formations/formationsRSSI.html.fr

24 - 26 juin - Tel Aviv (Israël) Security IsraëlTél. : +972 3 648 9339 E-mail : [email protected] Web : www.securityisrael.com ou www.idc.lic.org

30 juin au 4 juillet - Hôtel NovotelCentre Acropolis, NiceHSC : Formation certifiante ISO 27001Lead AuditorLynda BenchikhTél. : +33 141 409 704E-mail : [email protected] : www.hsc.fr/services/formations/certification_iso27001.html.fr

30 juin au 4 juillet - HSC Levallois-PerretHSC : formation pratique aux Testsd’IntrusionLynda BenchikhTél. : +33 141 409 704E-mail : [email protected] : www.hsc.fr/fti

AOUT

2 - 7 août - Las Vegas (USA) Black Hat Training & Briefings USAE-mail : [email protected] Web : www.blackhat.com

SEPTEMBRE

16 - 19 septembre - Sophia AntipolisSmart Event Web : www.strategiestm.com/-Evenements-.html

18 septembre - Espace Georges V, ParisEurosecWeb : www.forum-eurosec.com

30 septembre - 2 octobre - CNIT Paris LaDéfense E-Procurement - ERP - MVI - SOLUTIONSCRM - Serveurs & ApplicationsInfopromotions Tél. : +33(0) 1 44 39 85 00 E-mail : [email protected] Web : www.groupesolutions.com

Documents

INTERVIEW EXCLUSIVE · 2012-02-07 · 8 PDF : La nouvelle épée de Damoclès Par Thibault Koechlin, Jean Baron et Philippe Humeau, NBS System 11 Interception GSM : Le mythe s’effondre