Embed Size (px)
Citation preview
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Veille technologique
Quelles sont les failles présentes sur les sites Web ? Comment sont-elles exploitées par les hackers ?
Centre : Saint-Nazaire Promotion : SN8CX201
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Sommaire :
1. Contexte du sujet
a. Contexte mondial
b. Introduction à la cyber-sécurité
2. Les failles existantes
a. La différence entre le defacing et le piratage informatique
b. XSS + UXSS
i. Faille XSS récente trouver chez Google (Vidéo LiveOverflow)
c. La faille directory traversal
d. SQLi (Structured Query Language Injection)
e. Toutes les failles ne touche pas que le web
i. RCE
f. L’art de la dissimulation
i. Stéganographie
ii. Cryptographie
iii. Hachage
g. Le bruteforce et les rainbow tables
3. Comment détectons nous ces attaques ?
a. Les différents types de hackers
i. Black Hat – La fin justifie les moyens
ii. Grey Hat – Entre illégalité et bienveillance
iii. White Hat – L’obligation de moyens
b. Cas concret d’entreprises ayant subi des attaques informatiques
i. Le cas de Starbucks
ii. Le cas d’un Bot Facebook
c. Les bug hunters et les bug bounty
d. Conclusion
4. Comment y pallier et comment se protéger ?
a. La prévention informatique
i. Conférences
ii. Stage de sensibilisation
iii. L’aide du gouvernement et les influenceurs
b. La protection personnelle
i. Le social engineering
ii. Les mots de passe
1. La robustesse des mots de passe
5. Les entités visées
a. Les gouvernements, armées, célébrités...
b. Vous êtes aussi visé
i. Votre vie n’est pas intéressante, vos activités si
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Contexte du sujet
Contexte mondial Depuis les années 1960 le domaine de l’informatique connaît une expension fulgurante. Les premiers
ordinateurs avaient été conçus bien avant, je parle donc de l’informatique non pas au service des
gouvernements mais des Hommes.
Depuis l’apparition des premiers ordinateurs pour les particuliers et non plus seulement pour les
professionnels, des sites web se sont développés ainsi que des applications permettant d’automatiser
les tâches de communiquer plus rapidement dans le monde entier et aujourd’hui de jouer à des jeux
vidéo avec des personnes à l’autre bout du monde ou de se voir à des distances vraiment
impressionnantes à notre échelle.
Par le passé tout cela était irréaliste et les quelques visionnaires comme Jules Verne ne permettait que
de remplir les esprits d’idées farfelues. Tout n’était pas exactes dans leur pensé mais en effet de nos
jours nous avons ces outils que nous utilisons pour recevoir et émettre des appels ainsi que monter
des images en mouvement. Nous avons des milliards de sites web consultables depuis n’importe où.
Le nombre de lettres envoyées diminue en permanence pour laisser la place aux e-mails.
Cependant l’arrivée de toutes ses technologies entrainant une chose avec elle, une technologie ne
pouvant être parfaite, les failles qu’elles soient de nature humaine ou technologique ne sont pas
absentes. La cyber-sécurité cherche donc à pallier ces failles et à renforcer nos systèmes pour que les
attaques qu’il subit soient non-concluantes ou au moins que les dégâts soient limités au maximum.
Introduction à la cyber-sécurité Dès que nous sommes petits nous apprenons que la curiosité n’est pas un défaut, qu’il est vraiment
bien de s’intéresser à beaucoup de sujets variés pour apprendre à en connaître les fondements.
Cependant certains ont une soif de curiosité insatiable. La curiosité aussi connaît une limite avant
d’être malsaine. En effet il est important de savoir faire la part des choses sinon nous risquons de
devenir des « hackers ».
La plupart des personnes croient qu’un hacker est une personne allant pénétré dans un système
informatique pour voler des données. Je ne dirai pas que cela est faux, certains hackers peuvent en
effet faire cela que ce soit pour les récompenses ou simplement pour l’adrénaline (Kevin Mitnick).
J’aborderai les différentes catégories de hackers plus tard dans ce sujet pour l’instant je me contenterai
de les présenter globalement.
Un hacker est une personne qui de par sa soif de nouvelles connaissances et sa volonté d’apprendre
va chercher un comprendre un système peu importe le système étudié (site web, grille-pain, planche
à voile, voiture...) mais ne va pas se limiter à comprendre comment il fonctionne. Il va vouloir en
comprendre les fondements pour pouvoir les modifier lui-même, altérer le fonctionnement d’un
élément pour le détourner de son but principal ou simplement pour améliorer ses capacités.
Un hacker ne va pas simplement s’amuser à faire de la planche à voile mais il va essayer de comprendre
comment il pourrait la modifier pour pouvoir gagner en vitesse ou autres...
Les hackers comme tous les humains ont tous des matrices mixtes de motivations qui change avec le
temps.
Pour comprendre l’état d’esprit de beaucoup de hackers et pourquoi sont-ils tant assimilés à un
ordinateur : The Hacker Manifesto — The Mentor, 1986
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Les failles existantes
La différence entre le defacing et le piratage informatique Le defacing est réalisé sur un site web dans le but de changer son apparence par exemple un site de
location aura une page à propos d’une location, le but du defacing est de modifier complètement cette
page pour faire apparaître ce que l’on souhaite par exemple une publicité pour un produit. Ou
n’importe quoi, il s’agit d’une pratique interdite et pénalement répréhensible car il s’agit de l’altération
du bien d’autrui.
Le piratage informatique contrairement à cela va se baser sur la volonté de réellement pénétré dans
le site par exemple en essayant d’accéder à des fonctionnalités qui nécessitent normalement d’être
connecté, à obtenir la base de données d’un site ou n’importe quoi.
N.B : Dans ce document le mot piratage informatique et les mots s’en rapprochant ne concerne que les sites web, le piratage
étant un mot beaucoup trop vaste pouvant être assimilé à énormément de domaines (logiciels...).
La faille XSS ( + UXSS) Définition : Une des failles les plus connues sur Internet la faille XSS consiste à exploiter un élément devant être
rentré par l’utilisateur quand les caractères qu’il entre ne sont pas ou sont mal échappés. Par exemple
la balise <b> sert à mettre un texte en gras en HTML, si on demande le prénom de la personne elle doit
pouvoir écrire b mais n’est pas censée écrire « < » ou « > » il existe différentes techniques pour
empêcher cela ou du moins pour interpréter les caractères spéciaux. Toutefois, dans certains cas les
caractères peuvent être mal échappés si on oublie d’interdire certains caractères ou peuvent ne pas
l’être du tout si on se fiche de ce que l’utilisateur entre. Pour prolonger l’exemple de la balise <b> le
site disponible sur ce lien propose un tutoriel sur les cookies mais avant tout demande à l’utilisateur
de rentrer son prénom. Or si l’utilisateur rentre du code ou des balises il pourra interagir différemment
avec le site par rapport à une utilisation normale.
La faille Directory Traversal Définition : Cette faille n’est pas toujours dangereuse, d’ailleurs il ne s’agit pas toujours d’une faille à proprement
parler mais il est tout de même important d’en parler. Il s’agit de chercher les dossiers et les fichiers
n’étant pas toujours visible par un utilisateur mais pourtant présent sur un site web. Par exemple on
peut regarder simplement dans le dossier parent de là où l’on se trouve sur le site, il est aussi possible
d’utiliser des chemins relatifs avec les ../ etc.. ou bien de déduire des noms de dossiers par exemple
essayer d’ajouter /image ou /images, /js, /css etc... pour essayer d’en trouver. Souvent les dossiers
sont cachés mais cela n’est pas fais par défaut on le remarque fréquemment avec les sites réalisés avec
Wordpress ou d’autre CMS par exemple Wordpress contient par défaut un chemin nommé :
URL/wp-includes.
À l’aide d’un site trouver au hasard utilisant Wordpress et ayant simplement ajouter /wp-includes à la
fin de l’URL on obtient le rendu suivant :
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Le problème n’est pas réellement de voir tout cela nous
nous fichons de savoir si un site à un dossier css ou un
fichier template.php
Ce qui est exploitable n’est pas le nom du fichier (même
s’il peut parfois contenir des informations
intéressantes), il faut plutôt regarder le contenu de
certains fichiers par exemple regarder l’intérieur des
fichiers .js permet parfois de déterminer le mot de
passe et le nom d’utilisateur attendu par rapport à un
formulaire. Il m’est personnellement déjà arrivé d’aller
sur un site dont je préfère taire le nom et de trouver un
fichier excel avec les CV de tous les employés, leur
numéro de téléphone, adresse mail et leur capacité à se
déplacer jusqu’à l’entreprise ou travailler à distance.
Pour beaucoup d’entreprises la découverte de telles
informations peuvent être compromettantes et parfois
il y a bien pire, on trouve parfois des fichiers entiers
remplis de nom d’utilisateurs et de mots de passe.
C’est donc pour cela qu’on considère ce phénomène
comme une faille car il s’agit d’une mauvaise
configuration de la sécurité du site. Bien que parfois on
laisse cette possibilité quand le site par exemple ne
contient qu’un fichier image sans images sensibles alors
peu importe que les utilisateurs puissent le voir ou non.
Les injections SQL (SQLi) Définition : Les injections SQL sont catégorisées comme des failles car elle découle de défaillance technique lors
de la consultation ou modification ou quelconque action en relation avec la base de données. On a
souvent l’image d’une SQLi comme une suite de mots qui vont permettre de nous passer au travers
une demande de connexion d’un site. Cependant il ne faut pas se limiter à cela, on parle d’SQLi à partir
du moment où du code SQL est inséré dans le code initial de la page. Ces failles sont souvent exploitées
pour obtenir un accès initialement interdit à un site ou bien pour appliquer un code promotion lors
d’un achat en ligne sans réellement en avoir.
Toutes les failles ne se limitent pas qu’à internet RCE : Les RCE sont des failles précises qui n’existent pas que dans les sites web mais nous traiterons ici,
seulement cet aspect. Le nom complet est « Remote Code Execution » et vise à exécuter du code sur
la machine de la personne allant sur un site malicieux. Il s’agit d’une faille réellement critique et qui
généralement quand elle est trouvée, est réparé au plus vite. Tous les navigateurs peuvent y être sujet.
Souvent quand une telle faille est exploitée, elle permet de récupérer des fichiers tels que des images
ou autres sur la machine de l’utilisateur, on peut aussi lui faire télécharger un programme et le lancer,
on peut faire tout ce que l’on souhaite.
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Généralement pour démontrer une telle faille sur un navigateur on se contente d’allumer la
calculatrice, évidemment, dans la réalité les hackers ayant des volontés malsaines ne se limiteront pas
à cela.
Parfois certaine personne ne souhaite pas récupérer les fichiers d’une autre personne et pour
« s’amuser » se permettent de supprimer les fichiers et dossier de la machine.
Les arts de la dissimulation Passons désormais à une partie se distinguant complètement des failles vues jusqu’à maintenant, ce
que je nomme l’art de la dissiumlation regroupe dans ce que je vais présenter l’art de la dissimulation
en lui-même et l’art du secret, respectivement la stéganographie et la cryptographie.
La stéganographie Pour commencer avec la stéganographie comme le dit très bien la définition de Wikipédia il s’agit de
faire passer inaperçu un message dans un autre message par exemple on peut cacher un texte entier
à l’intérieur d’une photo. Évidemment la photo avec le texte caché à l’intérieur sera plus lourde en
terme de taille mais si la personne voyant la photo ne connaît pas la taille originale peu importe.
Il ne s’agit pas d’une pratique existant depuis l’utilisation des ordinateurs mais d’une pratique
extrêmement ancienne des rois rasait des esclaves leur tatouait la tête et envoyaient le message une
fois les cheveux de l’esclave repoussés.
Un exemple assez constructif de la même page Wikipédia est le suivant :
On se situe lors de la seconde Guerre Mondiale, il faut qu’une personne (Alice) disent à Bob le nombre
de bateaux chaque jour sans qu’un agent ennemi (Oscar) intercepte le message. Sans même qu’il sache
qu’il y a un message caché d’ailleurs. Ainsi Alice peut réaliser un tableau avec le prix des fruits achetés
aux marchés ce jour-ci et l’envoyé à Bob évidemment les prix désignant en réalité le nombre de
bateaux.
On peut supposer qu’elle envoie une feuille avec le message suivant à Bob :
Fruits Prix (en franc)
Poires 0
Cerises 0
Pommes 1
Tomates 3
Courgettes 2
Ainsi Oscar même s’il voit le message se dira « peu importe » et Bob qui aura établi ce code avec Alice
comprendra en liant les chiffres qu’il y aura eu aujourd’hui 132 bateaux.
Il existe énormément de technique de stéganographie une assez intéressante consiste à encoder du
texte dans une image avec un outil comme Steghide qui permet qu’un message soit donc transmis à
l’aide d’une image et d’une « passphrase » équivalente à un mot de passe permettant de récupérer un
fichier entier dans une image.
La cryptographie Là où la stéganographie cache les données, la cryptographie les sécurise simplement. Cependant on
peut évidemment les sécuriser puis les cacher. La cryptographie est simplement une méthode visant
à protéger l’intégrité de quelque chose. Par exemple un texte. Il existe énormément de méthode de
cryptographie mais peu importe la méthode il existe toujours le chemin inverse, c’est-à-dire le fait de
décrypter quelque chose contrairement au hachage.
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Ainsi certaines données comme des mots de passe peuvent être cryptées en utilisant des algorithmes
certains plus sécurisés que d’autres.
Par exemple si je veux crypter les mots « Veille technologique » en code César (il s’agit d’un
algorithme se basant à décaler les lettres en fonction de leur position dans l’alphabet par exemple
abc décalé avec un cran de 2 produits le résultat suivant : « c d e ») alors on obtiendra avec un
décalage de 3 le code suivant : « yhlooh whfkqrorjltxh »
Cependant de nombreux sites permettent aujourd’hui de tester tous les décalages possibles presque
instantanément alors peu importe.
On peut donc facilement retrouver ce qui a été cacher : en l’occurrence dans l’ordre des décalages
les plus communs.
Ainsi des algorithmes bien plus complexe existent tels que ce que l’on appelle le military-grade 128-bit
AES longtemps réputé comme le plus sécurisé au monde. Est un protocole AES donc s’appuyant sur un
algorithme de chiffrement symétrique. C’est-à-dire qu’il récupère notre texte avec une clé de 128 bits
et les 16 octets sont permutés selon une table préalablement définie avant d’être placé dans une
matrice de 4*4 éléments donc les lignes subissent une rotation vers la droite. L’incrément de la
rotation variant selon le numéro de la ligne on applique ensuite une transformation linéaire sur la
matrice c’est-à-dire qu’on multiplie de manière binaire chaque élément de notre matrice avec des
polynômes se trouvant dans une autre matrice, enfin on applique sur notre matrice et encore une
autre matrice un XOR, tout cela est recommencé 10 fois pour une clé de 128 bits ce qui rend le cryptage
extrêmement complexe et le décryptage aussi à moins de connaître la clé. Ainsi, aucune attaque plus
efficace que l’attaque par Bruteforce n’a pour l’instant été trouvée.
Le hachage Le hachage est une pratique différant complètement du cryptage les algorithmes sont considérés non
plus comme des algorithmes de cryptage mais de hachage. Il en existe aussi beaucoup. La plus
répandue de nos jours devant être le MD5 permettant d’associer chaque mot ou même texte ou même
fichiers en une empreinte unique de 32 caractères (128 bits).
Le bruteforce et les rainbow tables Définition bruteforce : Le bruteforce est une technique utilisé depuis très longtemps elle n’est pas basée sur le fait de passer
au travers d’un phénomène d’authentification (SQLi) ou de voler les cookies d’un utilisateur (XSS)
mais sur le fait de tenter un certain nombre d’entrées qui se trouvent en général dans un
dictionnaire pour essayer de tomber sur la bonne valeur.
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Un dictionnaire peut avoir l’apparence ci-contre :
Ou bien simplement contenir des mots de passe. En tout cas les valeurs
sont testées sur les champs d’entrée des sites concernés. Bien sûr on en
traite pas tout un dictionnaire de données à la main, il est préférable de
coder un logiciel faisant le travail pour soi, la difficulté est que chaque
site étant composé différemment, il peut y avoir plusieurs champs
d’entrées et beaucoup de choses peuvent différer. Il est donc nécessaire
d’adapter son logiciel à chaque fois.
Définition Rainbow tables : Les Rainbow Tables se différencient du bruteforce tout en y ressemblant dans le sens où leur but est
de cracker un mot de passe qui est hashé, pour cela il va falloir spécifier la taille du mot de passe et
« l’alphabet » utilisé c’est-à-dire le jeu de caractères par exemple « 0-9A-z* !? »
Comme on l’a précédemment dit un système permettant l’authentification d’utilisateurs doit
récupérer les mots de passe sous forme de hashs il serait très dangereux de les stocker sous forme de
texte clair. Ainsi le mot de passe rentré par l’utilisateur est hashé puis comparer à celui de la base de
données si les deux hashs match alors l’utilisateur est authentifié sinon non.
Comment détectons-nous ces attaques ?
Les différents types de hackers Agissant individuellement ou un groupe les hackers n’ont pas tous les mêmes intentions, certains
travaillent pour l’argent, certains se font simplement plaisir, d’autres ne veulent juste que la
reconnaissance extérieur, parfois les gens sont motivés par leur religion (Kuroi’Sh)(on parle alors
d’Hacktivisme religieux), comme partout tout le monde à ses motivations sa manière de penser et
d’arriver à ses fins. Cependant toutes ses définitions restent subjectives et dépendent de point de vue,
des personnes comme Edward Snowden sont considéré comme des terroristes par la CIA et la NSA
tandis que des populations entières les remercient pour ce qu’ils font en dévoilant la vérité des grands
au grand public.
Les Black Hat – La fin justifie les moyens Agissant illégalement leur but n’est pas contrairement aux white hat d’aider les entreprises pour
finalement recevoir une compensation, ils font ce qui leur plaît quitte à détruire des données ou autres,
s’ils veulent quelque chose ils feront absolument tout peu importe les données corrompues ou
supprimées et les machines mortes à la fin de l’attaque pour parvenir à leur fin. Cependant cela ne
signifie pas qu’ils ne peuvent pas gagner d’argent, mais quand ils le feront ça sera très peu souvent
légal. Le carding est une pratique très répandue dans ce milieu qui consiste à voler les informations
bancaires de différentes personnes pour utiliser leur argent. Les ransomware... sont aussi répandues
par ces personnes pour bloquer les entreprises ou les personnes et vont essayer de jouer sur la peur
des gens et leur ignorance pour gagner des choses sur leur dos. Ils sont donc assimilables à des
terroristes, ce sont les gens recherchés par la police luttant contre le cybercrime...
Toutefois chacun peut se reconvertir ils arrivent que de l’histoire que l’on connaît certains black hat
deviennent des White Hat comme Kevin Mitnick.
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Les Grey Hat – Entre illégalité et bienveillance Très instables ces personnes agissent parfois dans la légalité et d’autres fois non cela peut dépendre
des enjeux de leur attaque, du point de vue, pour certains de leur humeur du moment s’ils sont en
colère ils auront plus facilement envie de détruire pour se défouler que d’aider les autres, il s’agit de
la nature humaine. Ils font parfois comme les Black Hat et parfois comme les White hat, pour plus de
précisions, voir les définitions correspondantes.
Les White Hat – L’obligation de moyens Les White Hat travaillent généralement indépendamment ou pour des entreprises contrairement aux
blacks qui travaillent exclusivement individuellement (/en groupe mais pas pour des entreprises). Leur
but est de chercher les failles d’une entreprise dans leur site ou dans leur logiciel, j’utilise l’expression
« l’obligation de moyens » en effet car ils sont obligés de faire leur possible pour pirater une entreprise
ou une entité (avec consentement de cette dernière) pour ensuite leur révéler leurs failles ou non s’il
n’a pas réussi à en trouver. De nos jours les entreprises recrutent des personnes pour les pirater ces
personnes ont donc des contrats et obligatoirement une éthique à respecter leur seul but est d’aider
l’entreprise à mieux se défendre et à combler ses lacunes contre une certaine compensations souvent
monétaire. Et parfois l’inscription de leur nom dans un Hall of Fame comme celui de facebook
disponible ici : Hall Of Fame — Facebook
Red Team – Les groupes Généralement formé de ce que l’on appelle des pentesters (penetration testers) il s’agit de groupe de
personnes visant à attaquer une entreprise pour l’améliorer donc lui dire où sont ses failles et
possiblement les corriger. Ils réalisent donc des missions pour évaluer la sécurité d’une entreprise.
Vous pouvez me dire que même si je le formule un tout petit peu différemment il s’agit en fait de
groupe de White Hat. Mais je n’aurai pas fait une partie entière sur ça si ça avait été le cas. Les White
Hat s’occupent de trouver les failles dans les sites web, logiciels et systèmes des entreprises. Les Red
Team sont en fait des missions qui vont évaluer la sécurité d’une entreprise à travers plein de moyens
entre autres comme des White Hat ils vont chercher à pirater les systèmes mais ils vont aussi faire leur
possible pour exploiter les failles humaines (social engineering + phising) en envoyant par exemple un
mail à chaque salarié avec un diaporama ou n’importe quoi devant être téléchargé par la personne
pour être visionné, certains pourront dire qu’il ne faut juste pas être idiot et ne pas télécharger
n’importe quoi mais cela est valable pour des attaques basiques, cependant quand une mission Red
Team est lancée et qu’ils sont payés pour le faire ils vont généralement mettre en œuvre leur possible
pour réaliser des attaques propres sans fautes d’orthographe et convaincre les personnes. Par ailleurs
ils vont aussi essayer de pénétrer physiquement dans l’établissement pour accéder aux serveurs ou
bien aux ordinateurs directement connectés aux réseaux...
Cas concret d’entreprise ayant subis ces attaques Le cas de Starbucks Très récemment (10 avril 2019) une personne révéla ce qu’il eut trouvé comme problème chez Subway.
Je me contenterai donc de relater son histoire pour montrer comment les attaques sont trouvées par
les White Hat.
Premièrement il faut savoir que Subway avait faits une demande sur Hackerone pour que des hackers
viennent tester leur sécurité et les préviennent en cas de défaillance. Cette personne que nous
nommerons de son pseudo @spaceraccoon réalisa plusieurs choses. Premièrement il est allé sur un
sous domaines de starbucks qui avait été révélé l’entreprise ayant obligation de dire lorsqu’ils
cherchent des hackers : - Des failles sur les domaines suivants ne seront pas sujettes à récompenses : ...
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
- Les failles sur les domaines suivants sont sujettes à récompenses : ...
Il est logiquement inintéressant d’étudier un domaine pour ne rien recevoir en retour donc il est allé
sur un des domaines sujet à récompense mais n’est tombé sur rien d’autre qu’une page « Erreur 404
ce site n’est pas utilisé » avec une simple photo. Aucun sous domaine, rien. Cependant une chose
l’intrigua, il était écrit en bas de la page « Copyright 2010 | Built on ... CMS » il comprit donc que cette
partie du site était relativement vieille et donc par conséquent vulnérable. Il décida donc de se
renseigner sur le CMS en question mais ne trouva rien d’intéressant alors il essaya par déduction de
marquer « url/... » l’url où il se trouvait avec le nom du CMS, page qui le redirigea vers une page de
login. Il essaya une fois de plus la déduction les noms d’utilisateurs et mots de passe par défaut étant
souvent admin:admin, cela ne fut pas concluant mais il eut quand même un message de succès malgré
le fait qu’il rencontra une erreur et il fut renvoyer sur une page vide. De sa propre expression se fut un
Hareng Rouge (comprendre une fausse piste).
Mais il n’abandonna pas et dans la continuité de ses recherches tomba sur une page lui révélant la
version utilisé d’Apache Tomcat en l’occurrence 5.5.20 qui après s’être renseigné dessus était sujette
à une faille de type Directory Traversal qui lui permit de passer au travers du proxy interne pour
atteindre l’instance Jboss qui tournait sur le localhost. Et malgré qu’il n’était pas habitué du tout à
Jboss il se renseigna dessus pour finalement trouver la console Jboss lui permettant d’exécuter des
commandes car elle n’était pas protégée par un mot de passe.
Finalement il découvrit une RCE qui lui permet de faire ce qu’il voulait, modifier les pages web, voir un
dump SQL de la base de données de Starbucks et la pire des choses est qu’il pouvait éteindre tous les
serveurs.
Comme pour chaque faille dévoilée à une entreprise, spaceraccoon fut récompensé de 4000$ comme
le montre la timeline ici présente.
Le cas d’un bot Facebook Un autre cas relativement intéressant car même sans pouvoir affecter les serveurs de facebook il fut
récompenser de 15 000$, non pas parce qu’il était dangereux par rapport à l’intégrité des données ou
de n’importe quoi mais parce qu’il permettait de voler les photos envoyer en message privé de
n’importe quel utilisateur.
Comme l’explique Sarmad Hassan : « Le 22 Janvier 2019 je fumais ma cigarette à 4 heures du matin et
puis j’ai pensé à Portal Facebook... » (Pour mieux comprendre ce qu’est Portal Facebook voir ici)
Il est possible grâce à Portal Facebook (Pf) de communiquer avec un bot pour recevoir de l’aide. Et il
est possible d’envoyer par message des photos ou des fichiers au bots comme on pourrait le faire avec
n’importe qui. Alors Sarmad Hassan décida de capturer la requête avec BurpSuite et il observa le
résultat suivant : le message était envoyé dans une requête sous la forme suivante :
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Comme on peut le voir certains paramètres sont plus qu’intéressant comme image_ids il y a de quoi
se demander si on ne peut pas comme ça voir l’image d’autres utilisateurs. Après beaucoup d’essai
avec des audio des vidéos des images des fichiers... il remarqua plusieurs choses, le problème ne se
limitait non pas à Portal Facebook mais à tous les chat qu’ils soient de Messenger Portal chat ou
Workplace chat. D’ailleurs comme il l’a si bien dit alors je me contenterai de traduire son paragraphe :
« Imaginez si un hacker mal intentionné créait un outil de bruteforce par rapport à cette faille pour
obtenir les images vidéos audios et fichiers des autres personnes, et on ne parle pas que de ses amis
facebook mais de millions de personnes dont des « VIP » [et j’ajouterai des gouvernements] ce qui
serait réellement dangereux pour énormément de personnes »
Ainsi après avoir encore étudié et exploité plus en profondeur la faille il la révéla à Facebook qui
répondit de la manière suivante :
Proof of concept : Vidéo Youtube
Bugs hunters et bug bounty Les bugs hunters sont assimilables à des White Hat sans être lié à une entreprise il s’agit de personnes
se trouvant sur certains réseaux tels qu’Hackerone ou bien YesWeHack qui passent leur temps à
chercher des failles dans diverses entreprises pour l’argent. Énormément d’entreprise postulent car à
la place de payer un salarié qui va passer son temps à l’entreprise pour chercher des vulnérabilités, il
y aura plein de gens qui se pencheront sur pleins d’aspects différents avec des points de vue unique
auquel une personne seule n’aurait pas forcément pensé de plus à la place de payer un employé à
l’heure on le paye au succès et en fonction du risque de ce que la personne à trouvé (une vulnérabilité
est plus ou moins critique en fonction de s’il s’agit simplement de trouver quelques photos
normalement cachées par rapport au fait de gagner des privilèges et pouvoir éteindre les serveurs ainsi
chacune est évaluée sur une échelle de 1 à 10). Ces vulnérabilités sont généralement après leur
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
découverte répertoriées comme des CVE par exemple en recherchant celles liée à Wordpress on
obtient le tableau suivant :
Comment y pallier et comment se protéger ?
La prévention informatique Les conférences L’informatique étant en pleine expension depuis plusieurs années nous avons pu aborder quelques
failles mais n’avons pas réellement abordé les failles humaines (voir : Social Engineering), en effet
certaines personnes ont parle souvent des personnes âgées vont être moins habitué à un ordinateur
ou un outil et vont facilement se faire avoir par un mail (généralement ceux des spams demandant de
l’argent ou nous disant que nous héritons d’une fortune) parfois un virus est simplement lié au fichier,
on vous propose de télécharger une image de votre animal préféré en très très bonne qualité etc ou
bien un discours par rapport à un évènement qui vous tient à cœur, là ce trouve le problème. C’est
pour cette raison qu’aujourd’hui de multiples conférences sont ouvertes au grand public avec même
des ateliers pour s’habituer à l’utilisation d’un ordinateur et où l’on a la possibilité d’être mis en
situation avec de faux mails frauduleux, ou des sites web de phishing (comprendre hameçonnage donc
une arnaque généralement un site se faisant passer pour un autre).
Cependant toutes les conférences ne sont pas que pour les novices notons l’ancienne nuit du hack
aujourd’hui nommé leHack faites pour les novices pour les entreprises et pour les hackers un étage est
d’ailleurs dédié aux recruteurs permettant aux hackers de venir avec leur CV et essayer de se faire
recruter. Plus d’informations sur ce lien : https://lehack.org/fr
Les stages de sensibilisation Pour les jeunes désormai les collèges, lycées et écoles essayent de prendre du recul sur l’informatique
pour pouvoir expliquer aux élèves qu’il faut se méfier de ce qu’ils font sur Internet et il arrive que des
professionnels viennent faire des présentations pour expliquer ce qu’il ne faut pas faire sur Internet et
ce dont il faut se protéger.
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
De plus la mission locale comme d’autres éléments d’aides aux jeunes permettent des stages pour
découvrir l’informatique stage aussi disponible pour les personnes plus âgées. Parfois monnayant une
petite somme.
Plus exceptionnellement des groupes de personnes passent dans des maisons de retraite aidées les
personnes âgées à utiliser un ordinateur déjà pour en apprendre les fondements (rien qu’allumer un
navigateur) et ensuite ne pas télécharger n’importe quoi...
L’aide du gouvernement et les influenceurs Je parlerai exclusivement dans cette partie du gouvernement français car il s’agit de celui que je
connais le mieux. En effet tout n’est pas toujours très bien indiqué mais en faisant quelques recherches
sur la cyber-sécurité en France aujourd’hui (16/04/2019) même pour dénoncer un fait que je ne peux
révèler je suis tombé sur plusieurs sites reliés au gouvernement que je compte donc partagé ici.
Premièrement pour dénoncer un fait
Que faire en cas d’escroquerie / de cyberattaque ? Signaler du contenu illicite sur internet ?
Contacter la police / gendarmerie https://www.cybermalveillance.gouv.fr/
Les influencueurs quant à eux sont des personnes relativement connues qui en relation avec une
entreprise promouvoit auprès de leur audience le produit vendu par l’entreprise (en l’occurrence la
cyber-sécurité) et comment faire pour se protéger des attaques. Ces influenceurs ayant tout type de
public les visionnants sont donc obligé d’avoir un discours relativement simple ce qui peut être
bénéfique pour tout le monde : Exemple (Dr Nozman) - Sponsorisé par NordVPN
La protection personnelle Le Social Engineering Le social engineering que j’ai pu aborder précédemment est un domaine entier de l’informatique et
même du quotidien. Tout comme le hacking il n’est pas propre à l’informatique et peut s’étendre. La
définition de Wikipédia explique qu’il s’agit de la pratique de manipulation psychologique à des fins
d’escroqueries. N’étant pas d’accord avec ça je réaliserai ma propre définition, (lien wikipédia) : pour
moi il s’agit d’une multitude de choses qui commence par l’analyse du fonctionnement humain
comprendre comment une personne réfléchit pour pouvoir analyser ses choix et donc anticiper ce
qu’elle fera. Une partie du social engineering est donc en effet de choisir ces mots pour que la personne
nous donne la réponse attendu ou pour réaliser ce que l’on souhaite qu’elle réalise, s’intéresser à une
personne pour être sûr qu’elle fasse ce que l’on veut en reprenant l’exemple des mails envoyer une
photo de chat si on sait que la personne aime les chats avec un diaporama à télécharger etc... le
blackmail est aussi possible mais se base sur la peur par exemple en ayant récupéré un mot de passe
d’une personne et lui disant : « j’ai votre mot de passe [le mot de passe] et des photos de vous nues
etc si vous ne me versez pas telle somme d’argent avec demain je divulguerai tout sur internet etc... »
Ainsi toute personne peut être susceptible d’être manipulé à partir du moment où elle est
suffisamment émotive pour se laisser manipuler par des mots. Il ne s’agit donc pas d’une contrainte
par la menace comme le serait une arme ou n’importe quoi mais de comprendre comment une
personne fonctionne pour influencer ses décisions.
Si en prenant du recul sur vous-même vous savez que vous pouvez faire trop facilement confiance aux
gens ou autres il faut alors relire le point sur la prévention informatique et réellement assister à des
conférences ou participer à des dialogues permettant de ne plus se faire avoir et de ne plus se laisser
manipuler aussi facilement.
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
Je profiterai de cette partie qui sort un peu de l’informatique pour placer un livre ou plutôt un
ensemble de lois utiliser pour ne plus se laisser marcher dessus c’est-à-dire pour ne pas se laisser faire
et se laisser avoir / manipulé par les autres : The 48 laws of power
Les mots de passe Globalement tout le monde a un mot de passe, que ce soit pour un compte bancaire, consulter ses
mails, réserver quelque chose, aller sur facebook... le problème est que la plupart des personnes ont
des mots de passe trop simple et souvent inférieur à 8 caractères, par exemple beaucoup de personnes
ont leur date de naissance ou de mariage en mot de passe, premièrement ils sont très simples à devinés
et il ne s’agit que de chiffre par exemple : 10041997 (8 caractères). Ainsi nous avons déjà étudié une
partie sur la possibilité de cracker les mots de passe plutôt courts dans la partie relative à Hashcat je
me contenterai donc de montrer des statistiques et donner quelques autres explications.
La robustesse des mots de passe
Pour cette partie je me permettrai d’aborder les mots de passe les plus courants et les bonnes
pratiques pour ne pas avoir un mot de passe trop facile ce après quoi j’aborderai les gestionnaires de
mots de passe.
Commençons d’ores et déjà par les mots de passe les plus courants
Ces mots de passe peuvent sembler terriblement aberrants de par leur simplicité et pourtant ce sont
ceux qui sont statistiquement et encore une fois selon Splashdata les plus utilisés on voit que la liste
varie peu simplement que les positions changent (password est soit premier soit deuxième).
Les dictionnaires dont nous avons pu parler plus haut sont généralement crée à partir de ces mots de
passe évidemment ils ne se limitent pas à 25 mots de passe mais à des milliers, voir des millions et
pour les plus gros des milliards. C’est pour cela qu’il faut faire tout son possible pour avoir un mot de
passe mêlant les chiffres des lettres (majuscules et minuscules) et symbole. Cependant comme j’ai pu
le montrer plus tôt avec Hashcat malgré une telle combinaison un mot de passe de 8 caractères
même s’ils sont organisés de manière complètement aléatoire sera cracké en moins de 2h30
(moyenne de 1h15).
Ainsi la robustesse des mots de passe ne réside pas que dans les caractères utilisés mais aussi et
presque essentiellement dans sa longueur un mot de passe de 10 caractères même si ce n’est que
des lettres aura 1726 possibilités (sans compter les accents) alors qu’un mot de passe mêlant lettre et
chiffres de 8 caractères donc 26+10 (0-9) aura 835 combinaisons. Pour avoir un ordre de comparaison
celui de 17 caractères aura environ 9.8 * 10 ^ 31 possibilités et celui de 8 en aura 4.0 * 10 ^ 31 en
effet ça n’a pas l’air d’une différence si grosse mais pour un ordinateur elle est déjà conséquente
alors imaginez avec des chiffres et au moins un symbole à la fin des 17 caractères.
Finalement une chose que beaucoup de monde sait mais que peu de mon fait est de changer
régulièrement ses mots de passe et de ne pas avoir les mêmes sur chaque site, si un site est
compromis et que votre mot de passe est le même partout alors la personne ayant les mots de passe
aura accès à tous vos comptes.
Les entités visées
Les gouvernements, armées, célébrités... Tout le monde globalement est visé mais les personnes essayant de pénétrer dans les sites ne
cherchent pas généralement des petits sites inconnus au public, il est plus intéressant de pirater un
gros site comme les GAFAM, les gouvernements comme nous l’avons vu avec le Pakistan (defacing),
LA SÉCURITÉ INFORMATIQUE DANS LE WEB LHINARES TANGUY
et plus globalement tous les gouvernements sont des cibles potentielles il existe des cartes entières
généralement réalisées par la NSA représentant qui fait quoi dans la guerre mondial au niveau de la
cybercriminalité.
Les armées sont tout autant touchées en effet les pays essayent de se renseigner sur les armes
possédées par les autres nations, les nouvelles technologies en développement... Ainsi les plus grosses
nations (Amérique, Chine, Corée...) sont ciblées en permanence.
De plus cette partie porte aussi sur les célébrités, en effet les personnes connues peuvent être sujettes
à beaucoup de controverses que ce soit des politiques, des acteurs ou n’importe qui, alors quand il est
possible de dévoiler la vie privée de certaines personnes, certains prennent un plaisir particulier à les
pirater pour ruiner leur vie ou lancer des rumeurs dessus. Ils sont donc aussi une cible, ce site montre
par exemple 37 célébrités s’étant fait piraté et dont des photos d’eux nues ont été publié sur internet.
Vous êtes une cible potentielle Votre vie n’est pas intéressantes, vos activités si A priori vous semblez hors de danger vu ce que j’ai dit mais pas du tout. Tout le monde peut être visé
que ce soit par vengeance de la part d’une personne ou pour une quelconque raison mais parfois vous
êtes intéressant pas vous mais vous et les autres. Quand un site comme paypal est piraté et qu’on a
accès aux informations des personnes vous êtes aussi intéressante que les autres à partir du moment
où vous avez de l’argent ou des choses à revendre. C’est pour ça que vos centres d’intêrets et vos
activités sont intéressantes car récoltées avec les millions de données des autres personnes vous
représentez quelques centimes et vos informations sont revendues dans d’énormes base de données
dans le but de faire de la publicité ciblée, c’est pour cela que vous pouvez recevoir des mails pour des
choses que vous avez peu consultées, par exemple vous allez voir un bonnet sur Amazon, hormis les
informations que revend Amazon à Google qui fera apparaître des pubs pour des bonnets sur votre
navigateur, vous pourrez aussi recevoir des mails de personne que vous ne connaissez pas pour des
offres spécial hiver ou que sais-je. Si on retrouve les achats récents d’une personne par exemple un
surf on peut lui envoyer de la publicité ciblée, toute les personnes qui ont acheté un surf vont sûrement
aller à la plage donc pourquoi ne pas leur envoyer une offre avec des serviettes de bain et des maillots
de bain ? Vous n’êtes pas en vous-même intéressant mais tout ce que vous faites et tout ce que vous
achetez sont des données qui représentent de très petite somme d’argent mais qui regroupées avec
d’autres représentent des milliers d’euros.
