5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 1/18
TMGAnalyse de la fuite de données et évaluation des risques
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 2/18
Genèse
• 16 juin 2010 : premier avertissement. Négligence de ma part, jpas traité le mail d’un internaute me signalant l’existence de cserveur et de la fuite de données liée (en pleine affaire Wawa-
• Le mail tombe aux oubliettes sans même que j’ai pu prendre lmesure de la brèche
• Décembre 2010 : un développeur me signal que TMG est comcette personne est crédible mais ne me donne pas le détail
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 3/18
Découverte de(s) faille(s)
• Un internaute me contacte le 13 mai 2011
• Il me fait parvenir une archive et me donne le lien du serveur
•En le recherchant dans mes mails, je tombe sur le mails de juin
• Je constate de visu et rédige un billet sur le site reflets.info
• C’est tellement gros que j’ai du mal à y croire, et pourtant...
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 4/18
Le contenu du (premier) serve
• 3 dossiers dont uncontenant un exécutable
• Des documents HTML
• Un shell script
• Une premiere intuitionévident : tout ceci n’estpas bien normal
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 5/18
La chasse au trésor
• L’analyse des documents permet rapidement de déduire lefonctionnement des scripts Python qui étaient visibles sur le s
• Les pages HTML visibles à la racine de la machine compromistout soupçon sur la nature des fichiers
• Le premier choc : elles contiennent des adresses IP locales demachines (on en déduit que ces machines se trouvent sur le rlocal de TMG)... l’architecture nous présente donc ses petits d
• Le dossier outgoing est énorme.. et tout de suite très inquiéta
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 6/18
Analyse des documents
• Getter, poster et pinter.htmlconstituent l’interface web, elle sertà générer des peers pour piéger lesutilisateurs
•On y trouve des IP locales et desports logiquement ouverts :192.168.69.4:4444;192.168.69.5:4445
• On sait maintenant commentprocède TMG... et plus encore
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 7/18
#!/bin/sh
• A la racine du serveur, le script shell présente, lui aussi une adlocale
• Un point de montage NFS atteste de la présence d’un stockagpartagé sur le réseau local
• ... vous êtes le maillon faible !
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 8/18
Le mystérieux executable
• Un exécutable Serveur_interface.exe (v1.0.2)dont je ne comprends pas tout de suite lefonctionnement est présent, je décide decommencer par l’examen des fichiers .bat etde configuration
• Un fichier de configuration contient un nomd’utilisateur, un mot de passe... tout devientun peu plus clair : le logiciel écrit sur unemachine dans le LAN de TMG
• Il est temps de faire parler cet exécutable, àl’aide d’une simple ligne de commandepermettant d’extraire des chaînes decaractères
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 9/18
Les faux utilisateurs
• Voici la liste des faux utilisateurs, codés en «dur» dans le logicsuffit d’ignorer pour ne plus être inquiété par TMG :
• Greta14 JoeJack Kazaa Lgthmon Mooohh is__ melon_foli XVador KarinaO Miss212 esay_temple atreides darker 463777 uMMMMM lalayeee steevi _he_man buffonmellow easylover M57_ erik john printer poier ben_j Astorovia ISIS basemen ana3HERMO zozo56 yehman bergo90@hotmail _TRISTAN_ freeloader wearethek zartocv CocoNoo crem DAVID defaultuserDOM46diff doubledee festina Kristin Gr0und flipped ogma ralium sharky skyemarie survivor themist icman Tugor v.macis va
a_Lite zjfhefjd yben kaza karynSpace KAROL karl judith herman123 hollyday HOUND houston jaurnus mexico masterdonuLord_Of_The_Ring llrrbbhht Frodo liza_149 ben_ben austin _gunter_ masterlord Gungun zebra2000 Kanisz estao Onisis ArockyB atalane Tonline james-bond collegebot carrie Matrix karats Nassiber forwarded microsmMM MAMEuser LiveSessionboris_dun reddunker macfly mump ink_fire Fibonacci junction hum330 iseay ophra5 Tina KingElvis [email protected] garibal Ka
_uploader lola88
• Pour changer cette liste, il faut recompiler le logiciel
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 10/18
Récapitulons
• ... non ça ne sent pas bon pour TMG... mais ce n’est un début
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 11/18
Outgoing
• Dans ce dossier, on trouve 3types de fichiers
• hash_publish
• hash_conected_peer
• hash_pex
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 12/18
Des données personnelles
• Le dossier outgoing contient des fichiers html nommés par dequi correspondent à des oeuvres
• Des adresses IP sont attachées à ces oeuvres
• On trouve 1851 fichiers dont les dernières mises à jour sont trécentes (moins de 24h)
• Il y a des milliers d’adresses IP, de tous les pays
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 13/18
Formatage des fichiershash_publish
• d8:intervali1900e5:peersld2:ip14:91.189.106.1944:porti4043eed2:ip13:91.189.109.914:porti6039eed2:ip14:91.189.106.1604p14:91.189.106.1534:porti3043eed2:ip14:91.189.106.1224:porti12043eed2:ip13:91.189.110.164:porti6043eed2:ip13:91.189
43eed2:ip14:91.189.106.2384:porti8043eed2:ip13:91.189.110.134:porti3043eed2:ip14:91.189.106.1934:porti3043eed2:ip13
orti12043eed2:ip14:91.189.106.1204:porti10043eed2:ip13:91.189.110.174:porti7043eed2:ip14:91.189.106.2014:porti11043
106.1234:porti13043eed2:ip13:91.189.109.924:porti7043eed2:ip14:91.189.106.1964:porti6043eed2:ip13:91.189.109.984:po
4:91.189.106.2004:porti10043eed2:ip13:91.189.109.964:porti11043eed2:ip14:91.189.106.2354:porti5043eed2:ip13:91.189.
eed2:ip13:91.189.110.194:porti9043eed2:ip14:91.189.106.1644:porti14043eed2:ip14:91.189.106.1624:porti12043eed2:ip14
porti14043eed2:ip14:91.189.106.2044:porti14043eed2:ip14:91.189.106.2394:porti9043eed2:ip13:91.189.110.234:porti1304
9.106.1584:porti8043eed2:ip14:91.189.106.1134:porti3043eed2:ip14:91.189.106.1634:porti13043eed2:ip14:91.189.106.234
p13:91.189.109.894:porti4043eed2:ip13:91.189.109.934:porti8043eed2:ip14:91.189.106.1154:porti5043eed2:ip14:91.189.1
eed2:ip13:91.189.110.154:porti5043eed2:ip14:91.189.106.1544:porti4043eed2:ip13:91.189.109.904:porti5043eed2:ip14:91ti14043eed2:ip14:91.189.106.2434:porti13043eed2:ip14:91.189.106.1214:porti11043eed2:ip14:91.189.106.1974:porti7043e
06.2334:porti3043eed2:ip14:91.189.106.1574:porti7043eed2:ip13:91.189.110.204:porti10039eed2:ip14:91.189.106.1994:po
91.189.106.2034:porti13043eed2:ip14:91.189.106.2374:porti7043eed2:ip14:91.189.106.1144:porti4043eed2:ip14:91.189.10
3eed2:ip14:91.189.106.2404:porti10043eed2:ip14:91.189.106.1194:porti9043eed2:ip13:91.189.109.884:porti3043eed2:ip13
orti12043eed2:ip13:91.189.110.144:porti4043eed2:ip14:91.189.106.1564:porti6043eed2:ip14:91.189.106.1184:porti8043ee
9.954:porti10039eed2:ip13:91.189.109.994:porti14043eed2:ip13:91.189.109.944:porti9043eed2:ip14:91.189.106.1954:porti
.189.106.1614:porti11043eed2:ip14:91.189.106.2364:porti6043eed2:ip13:91.189.110.244:porti14043eed2:ip14:91.189.106.2
d2:ip14:91.189.106.1554:porti5039eed2:ip14:91.189.106.1174:porti7043eed2:ip14:91.189.106.1164:porti6043eed2:ip14:91
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 14/18
Des données personnelles... de t
• un protocole
• une adresse IP
• un numéro de port
• on devine que les IP sont ensuite extraites, parsées et corréléaux logs Apache par un script Python
• les données rendues publiques n’ont rien de données de test, ping, sont attribuées par des FAI, il y a de vrais internautes der
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 15/18
Evaluation des risques
• Des machines compromises sur le LAN de TMG sont des pord’entrée sur tout le LAN
• Tout le LAN de TMG doit être considéré comme compromis
• L’opacité du fonctionnement de TMG ne permet pas d’évaluerrisques pour les réseaux interconnectés (HADOPI et ALPA)
• Un certificat pour un VPN, une fois sur le LAN, ça se vole
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 16/18
D’autres fuites possible
• Les plages IP de TMG sont connues, ce qui est normal, un AS e
• En raison de sa popularité chez les internautes, TMG est fréquscanné, on en trouve beaucoup de traces sur Pastebin.com
• Toujours sur Pastebin, il semble que plus de 5000 hash d’oeuvbaladent
• On peut raisonnablement considérer que d’autres machines dsont exposées (pas forcément compromises, mais exposées...)
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 17/18
Réponse
• Couper l’interconnexion est la décision la plus sage
• Comprendre le fonctionnement et le réseau de TMG est indispour évaluer les risques de manière plus fine
•La sécurité ce n’est pas un logiciel, ni un produit mais une som
processus visant à protéger des contenus et leur contexte afinmaîtriser l’architecture
• On subodore, sans être juriste, que la loi est peut-être, elle au«patchable»
mercredi 18 mai 2011
5/6/2018 TMG Test Notes for HADOPI - slidepdf.com
http://slidepdf.com/reader/full/tmg-test-notes-for-hadopi 18/18
Sécuriser TMG ?
• La sécurisation d’une telle infrastructure est un travail de tous jours, organisationnel et technique
• Un oeil extérieur est toujours bénéfique (ANSSI, CNIL...)
• La sécurité par l’obscurantisme échoue toujours à terme
• La transparence est donc la règle d’une bonne politique de sé
mercredi 18 mai 2011