Un coffre fort en LEGO

Je viens de tomber sur cette vidéo faite par un passionné des LEGO ou par un des ingénieurs de LEGO (je crois vraiment que je vais me reconvertir et postuler chez LEGO) :



A priori :

• il est équipé d'un détecteur de mouvement
• visiblement c'est un code à 5 nombres (de 1 à 32)
• l'ouverture et la fermeture de la porte est automatique
• il y a des bonbons à l'intérieur ;-)

Je n'ai qu'un mot : époustouflant

Trusted Computing: un film pour alarme

Savez-vous ce qu'est le "Trusted Computing" C'est une nouvelle idée développée par quelques grands noms de l'informatique, pour rendre selon eux nos ordinateurs plus surs. Le principe de base est très simple, il consiste à assigner une signature à chaque objet informatique (logiciel, document, musique), et à déléguer à un tiers de confiance la tâche de vérifier si l'objet manipulé est autorisé à être utilisé sur le système informatique local... Elegant me direz-vous, nous voici enfin débarassés des virus... Mais réfléchissez un peu: qui sera le tiers de confiance? Toutes les signatures devront d'une certaine façon être vérifiées par ce tiers de confiance, et donc chaque signataire enregistré au près de ce Big Brother Ce qui dans une logique Microsoft, par exemple, signifiera payé très cher l'enregistrement (si vous ne me croyez pas, posez vous la question:"Combien cela me coûterait-il d'avoir mon certificat dans Internet Explorer?"). Pour vous expliquer mieux que moi les dangers d'une telle approche, voici un petit film trouvé sur Zudeo:

L'APRIL (Association pour la promotion et la recherche en informatique libre) a explique que " sous un aspect technique anodin et trompeur, ces nouveaux types d'infrastructures se préparent à verrouiller tous les systèmes d'information en mettant en péril la liberté de chaque utilisateur d'ordinateur, et donc de chaque citoyen". Donc encore une fois les grands groupes informatiques entendent jouer à Big Brother avec le monde... Mais encore une fois, je pense que le logiciel libre, pourra répondre à cette menace... Si les lois ne sont pas votés par et pour les millions de ces grandes sociétés!

Tags: big brother, trusted comuting, APRIL, Zudeo, logiciel libre

Big Brother Award

Non! ce n'est pas un post sur une émission anglaise débile et je ne vous parlerai pas non plus de Jade Goody... Big Brother est le "personnage" créé par Georges Orwell dans son livre 1984 (si vous ne l'avez pas encore lu: à lire absolument)... et est devenu synonyme de surveillance, d'atteinte à la vie privée... et c'est justement les personnalités françaises (surtout des hommes politiques) ayant agi à la manière de BigBrother qui ont été "récompensés" le 20 janvier dernier... On trouve entre autres Jacques Lebrot, Paul Anselin, Pascal Clément... Nicolas Sarkozi étant déclaré hors compétition . Suivez le lien c'est assez amusant!

Tags: Jade, Goody, BigBrother, big, brother, award

Comment se souvenir de plusieurs password très très compliqués?

en ne vous souvenant que d'un seul password

Je viens de découvrir "Password Composer": le principe est simple: quand vous installez ce script Greasemonkey, à chaque fois qu'il découvre une zone de password, il colorie cette zone en vert... Si vous double-cliquez sur le champs... une nouvelle boîte de dialogue apparaît et vous demande votre mot de passe principale... Le script concatène alors ce mot de passe avec l'adresse du site (avec un changement ou deux) et le hash (md5)... Ceci vous donne un mot de passe bien compliqué Pourquoi ne pas utiliser le même mot de passe pour tous les sites web, parce que si l'un des sites web est craqué (et ça arrive très souvent...) le hacker aura une fois qu'il aura retrouvé votre mot de passe avec une "rainbow table" ou par force brute... aura non seulement votre login et en plus votre mot de passe... Il utilise alors Google pour savoir où vous vous connectez aussi et de là a accès à quasiment tous vos comptes... Il suffit alors d'utiliser des mots de passes différents mais les mots de passe compliqués sont difficile à se souvenir...

Le seul inconvénient de ce script est que vous n'aurez plus accès de n'importe où à vos compte, vous aurez toujours besoin de ce script pour vous connecter si la sécurité est à ce prix, moi ça ne me gène pas vous pouvez toujours vous promener avec votre clé USB avec firefox dessus mais bon vous risquez de devenir aussi paranoïaque que moi et la chiffrer

Tags: password, greasemonkey, rainbow table, usb, firefox, md5, mot de passe, brute force

benjamin Franklin et la sécurité

Comme quoi le problème de la sécurité n'est pas nouveau et sa problèmatique encore moins...

Those who would give up essential liberty to purchase a little temporary safety, deserve neither liberty nor safety

Benjamin Franklin

Cette citation est dédiée à toutes les personnes qui pensent que les nouvelles pièces d'identité biométrique enpêcheront le terrorisme, mais qui oublient bien souvent que rien ne distingue un terroriste d'un honnête citoyen et que par conséquent la seule manière de lutter contre ce fléau serait lire les pensées les plus intimes de chacun... Je suis sur que là vous êtes un peu moins enthousiaste... Si ce n'est pas le cas, je vous conseille vivement la lecture de 1984 de Georges Orwell

Tags: Franklin, security, Orwell, terrorism

Picasaweb et la sécurité relative

Je viens juste de tester Picasaweb, je ne l'avais pas encore testé pour la simple raison que je n'ai aucune envie d'étaler ma vie privée sur le Web... mais bon pour échanger des photos avec quelqu'un ça peut ne pas être trop mal , donc j'ai testé l'upload de photos dans un album non référencé... Google vous explique bien gentillement que cet album ne sera accessible qu'aux personnes que vous invitez alors pourquoi une recherche dans Google du type: "site:picasweb.google.com authkey" retourne au moins un résultat??? Ce n'est absolument pas une solution sécurisée pour partager des photos moi qui pensais que Google était l'un des champions de la sécurité... ben non So be careful...

Tags: picasa, picasaweb, security, securité

Tor et l'anonymat

Savez-vous ce qu'est l'onion routing ? C'est une technique vous permettant d'obtenir un pseudo-anonymat sur Internet grâce au logiciel Tor... en masquant votre adresse IP ou presque...

De nombreux noeuds sont répartis un peu partout autour de la planète et vont relayer votre connexion... A chaque fois que Tor est démarré, il négocie un nouveau chemin parmi tous les chemins possibles (comptez sur vos doigts ça en fait un sacré paquet ) et toutes les 10 minutes environ il change de chemin pour plus d'anonymat Comme vous pouvez le voir sur le schéma, le service ne voit pas votre adresse IP mais celle du dernier noeud de votre chemin... Mais comment être sur que ce qui transite sur votre chemin ne soit pas intercepté au niveau des noeuds de relais? Et bien tout est crypté:

Le principe est simple est repose sur TLS (le même que pour le https, d'ailleurs arrêtez d'utiliser SSL2 qui n'est pas du tout sûr) Un premier tunnel est donc créer avec le premier noeud, puis un deuxième tunnel est créé avec le second noeud et qui passe à l'intérieur du premier tunnel... Le prinicpe est assez simple et donne à la fin plusieurs couches de protection: un peu comme les différentes peaux d'un oignon, d'où le nom. A quoi cela peut-il bien servir? Eh bien par exemple lorsque Google n'autorisez que les américains à télécharger les films sur GoogleVideo, ce petit truc m'a permis de me faire passer pour un américain . Amusez-vous bien avec ça: notamment sur tout ces blogs qui vous fichent et vous épinglent sur une jolie carte ou même les grosses boites qui font de jolies statistiques sur vous, et revendent vos informations bien gentiment sans vous demander votre avis...

Tags: tor, onion routing, anonymat, IP, noeud

Petite paranoïa passagère...

ça y est ça me reprends... Je ne veux pas que Big Brother regarde au dessus de mon épaule à chaque fois que je fais une recherche sur Internet... Donc aidé de mon fidèle Renard, j'ai installé quelques extensions pour rendre la vie un peu plus difficile à Yahoo, Google ou MSN...

1. CookieCuller: il vous permet de spécifier quels sont les cookies intéressants et que vous voulez garder... Une fois la sélection terminée, il suffit d'aller dans
   Edit > Preferences > Privacy et d'indiquer tous les cookies à la fermeture de Firefox... Ne vous inquiétez pas CookieCuller protège les cookies que vous avez sélectionné: ces dernier seront encore là au prochain démarrage de Firefox.
2. TrackMeNot: j'aime bien ce nom, qui ressemble un peu au contraire de ForgetMeNot... Cette fois vous aller inonder (à raison d'une requête par minute, par défaut) les grands moteurs de recherches avec des recherches bidons du genre Pamela Anderson, Truck, Irak et j'en passe... Vous pouvez même personnaliser cette liste ;-)
3. BlackBox Greasemonkey Extension: cette extension renvoie toutes vos requêtes faites sur Google, Yahoo ou MSN vers le site BlackBoxSearch qui est un proxy sécurisé...

ça ce n'est que pour la première partie... Je pense que je vais installer Privoxy et Tor, pour finir de disparaitre des bases de données des géants de l'Internet...

Tags: BlackBox, Greasemonkey, Extension, CookieCuller, TrackMeNot, Google, Yahoo, MSN

Vague de spam...

Est-ce moi ou bien y a-t-il une recrudescence du spam... ou bien est-ce le moteur d'anti-spam de Gmail qui n'est plus à la hauteur...? Dans tous les cas voici le genre de spam que je reçois depuis quelque temps... Il vous noie le moteur anti-spam avec un charabia qui semble normal à une machine mais qui ne signifie absolument rien pour un être humain... J'ai beau les signaler à Google régulièrement... Rien ne change... J'en ai déjà éliminé une partie grace à une série de filtres, mais c'est un peu une rustine... M'enfin, je me demande ce que les spammeurs veulent faire passer avec ce genre de truc:

When companies falter or are under-valued they quickly get scooped off of the public markets. So what happens when you extrapolate an estimate based on two measurements of differing certainty?

Clients include AOL, eBay, MySpace, plus virtually every major interactive agency in the US. OK, then, on to Excel. I disabled trackbacks on my site because of spam. Asa Julian showed up a week and a half early this Saturday afternoon.

And I was trying to read the article about it over her shoulder, while she open and closed windows, checked her email, and otherwise made it hard for me to read anything on her screen. I'm arguing that the most attractive equity returns are being systematically removed from the pubilc markets. Public companies are being taken private to avoid costs and to take better risks with their capital beyond what Wall Street's quarterly thinking allows.

It just gives an answer. How many cells are there in the total sample?

It just gives an answer.

Efficient markets, perfect information, etc. Not much room for new sites in that flow.

Instead, the borrower signed a contract guaranteeing the payment of a certain percentage of their post-graduation income. Not sure how I'm going to deal for a week until the replacement arrives.

If they need to find something, they Google it. How many cells are there in the total sample? But, a SWEAR BEAR that says EAT SHIT and. And the nursing staff at Beth Israel hospital is soooo nice.

Tags: spam, anti-spam, gmail

Les Intel Dual Core vont se trainer

Une nouvelle attaque devrait bientôt faire grand bruit dans le monde de l'informatique... Cette attaque a été développée par Onur Acriçmez, Cetin Kaya Koç et Jean-Piere Seifert, pour l'instant aucun code n'est disponible, du moins à ma connaissance... Mais toute la théorie de l'attaque a été publié dans un article intitulé: "On the Power of Simple Branch Prediction Analysis". Cette attaque permettra donc de récupérer la clé RSA, lorsque vous utilisez OpenSSL pour signer un document ou encrypter un de vos documents... Le calcul RSA est basé sur une exponentiation du message (grosso modo), or parce que les calculs sont faits en binaire (c'est mieux sur un ordinateur ;-) ) lorsque la clé possède un 1 le temps de calcul est un tout petit plus long que si c'était un 0. Des contre mesures ont donc été mises au point mais cette fois la faille se cache au sein des nouveaux processeurs... En effet pour accélérer les calculs, les résultats sont anticipés... C'est justement de cette particularité que tire partie l'attaque... Comment les fondeurs vont réagir? L'avenir nous le dira, à suivre...

Tags: Acriçmez, Kaya Koç, Seifert, attaque, RSA

Retina & Nessus

Ce sont tous les deux des scanners de vulnérabilités, c'est-à-dire que vous leur fournissez une cible et quelques informations sur cette dernière du genre un nom d'utilisateur et son mot de passe... Et ces deux logiciels vous fournissent un rapport sur les vulnérabilités de la cible... Ils sont tous les deux équipés d'un système de mise à jour (au moins tous les jours). Mais la grande différence est que l'un est libre et multi plateforme (Nessus) et que l'autre ne fonctionne que sous Windows et est payant. Je travaille un peu à la consolidation des résultats issus de ces scanners... je peux vous dire que maintenant je sais vraiment pourquoi je préfère l'open source et le logiciel libre! Nessus fonctionne naturellement avec MySQL, qui est parfaitement géré au PHP, qui est lui même parfaitement intégré à Apache... Alors que Retina ne fonctionne qu'avec SQL Server qu travers d'un DSN et d'un ODBC... Après avoir compris cela, il vous faut encore exploiter la base de données avec du PHP, j'ai bien essayé mssql_connect mais visiblement il faut changer les dll ... Je me suis donc tourné vers une solution ODBC avec PHP... Tout ça en local car la simplicité de SQL Server Express 2005 n'est qu'apparente et je n'ai toujours pas réussi à le faire fonctionner correctement en réseau... Mais bon il paraitrait que parce qu'on paye on a un meilleur service après vente... Oui Monsieur à part si la société a sa solution bricolée qu'elle veut vous refourguer contre paiement... Elle n'est pas belle la vie... Alors les personnes qui ne voient pas l'interêt de l'Open Source et des logiciels libres... c'est très certainement qu'ils ne considèrent l'ordinateur que comme une grosse console qui sert de temps en temps à écrire une lettre au Père Noël...

Tags: Retina, Nessus, Open SOurce, Logiciel libre, ODBC, DSN, SQL Server Express 2005, MySQL

Top 20 des virus diffusés par mail - selon Kapersky

Kaspersky vient de publier son top 20 des programmes malveillants circulant pas mails. Donc si vous les apercevez dans votre boîte de réception effacez les et ne clickez pas dessus...

1. Email-Worm.Win32.NetSky.q
2. Email-Worm.Win32.Warezov.dn
3. Email-Worm.Win32.Bagle.gen
4. Email-Worm.Win32.Scano.gen
5. Email-Worm.Win32.Warezov.ev
6. Email-Worm.Win32.Bagle.mail
7. Email-Worm.Win32.Warezov.dc
8. Email-Worm.Win32.Mydoom.l
9. Email-Worm.Win32.Mydoom.m
10. Email-Worm.Win32.Scano.e
11. Email-Worm.Win32.Warezov.do
12. Email-Worm.Win32.NetSky.aa
13. Email-Worm.Win32.NetSky.b
14. Net-Worm.Win32.Mytob.c
15. Trojan-Spy.HTML.Bankfraud.od
16. Email-Worm.Win32.Warezov.eu
17. Email-Worm.Win32.Warezov.gen
18. Email-Worm.Win32.Bagle.dx
19. Email-Worm.Win32.Warezov.dh
20. Email-Worm.Win32.Scano.aq
    

Quelques petits nouveaux dans ce classement: Warezov.dn, Warezov.ev, Warezov.dc, Warezov.do, Warezov.eu, Warezov.gen, Warezov.dh.
Les élèves en baisse: NetSky.b, Mytob.c, Bankfraud.od, Scano.aq et qu'ils continuent. Malheureusement de retour: NetSky.q, Bagle.gen, Bagle.mail, Mydoom.l, Mydoom.m, Scano.e, NetSky.aa, Bagle.dx, ce qui prouvent que même si les antivirus peuvent vous en prémunir, certains (trop nombreux) ne mettent pas à jour leur antivirus... se font infecter et propagent la menace...
Donc, encore une fois: mettez vos antivirus à jour (pas seulement Kapersky, mais aussi Norton, ClamWin...) et ne cliquez pas sur n'importe quelle pièce jointe dans vos mails!

Tags: securite, informatique, virus, trojan, mail, email, worm

La lutte contre le phishing

Alors qu'on parle beaucoup des nouvelles fonctionnalités d'Internet Explorer 7 et de Firefox 2.0, surtout des nouvelles fonctionnalités de lutte contre le phishing, on n'a pas beaucoup parlé de l'initiative de Google. En effet le premier moteur de recherche à décider de protéger ses utilisateurs en leur indiquant, avant de les rediriger vers la page de leur choix, si cette page est une page de phishing ou bien si elle comporte des virus. Bien sur cela ne peut fonctionner que si ces pages "dangereuses" pour l'utilisateur sont répertoriées, identifiées, donc si et seulement si quelqu'un les signale: vous pouvez participer à l'effort de guerre en reportant ces sites à cette adresse.

Tags: google, phishing, firefox 2.0, IE7, virus

Tentative de phishing

mais pas dans les mails pour une fois ;-) une lettre à la poste. J'ai reçu cette lettre hier matin, d' Euromillones lottery primitiva s.a! Il paraitrait que je viens de gagner 615 810 euros à une lotterie à laquelle je n'ai jamais participé... mais il faut que je leur faxe mon numéro de compte en banque... ben voyons!! Ce qui m'amuse beaucoup ce n'est pas la qualité médiocre de l'impression ni même les fautes d'orhographes mais l'erreur faite sur mon nom: quand j'ai ouvert ma ligne chez BT (british telecom) je suis tombé sur un indien, qui a mal orthographié mon nom... Jusque là rien d'anormal sauf que c'est exactement la même erreur grossière qui s'est glissée dans la lettre que je viens de recevoir ;-) Ce qui signifie une chose: BT (british telecom) laisse bien gentillement trainer les informations de ses clients. Pas étonnant qu'après ça les anglais soient victimes de vol d'identité... Dernièrement ce sont trois banques anglais qui jetaient tout simplement des ordres de transactions à la poubelle sans les détuire correctement (les déchiqueter... bien que ce ne soit même pas suffisament, il existe en effet des logiciels pour reconstituer des documents déchiquetés... mais il vous faudra scanner chacune des bandelettes: bon courage). Dans un des pays les plus paranoïaques d'Europe: avez vous déjà essayé d'ouvrir un compte en banque chez eux? Il serait bon que les anglais revoient un peu la sécurité de leur pays à tous les niveaux.... Pourquoi un français muni de sa carte d'identité (ce qui est amplement suffisant pour entrer en angleterre) doit il présenter son passeport pour ouvrir un compte en banque? Alors que des fraudeurs n'ont eu aucun mal à ouvrir 9 comptes en banque avec des numéros de securité social volés? La France est bien souvent raillée par les anglais mais sur bien des points nos méthodes n'ont rien à envier à nos amis d'outre manche ;-)

Tags: phishing, BT, angleterre, compte en banque, fraude, Euromillones, scanner, passeport, banque

Tunnel basé sur SSH

Par exemple, si le port 22 reste ouvert, il est alors possible de crypter n'importe quelle communication TCP entre la machine expéditrice et la machine visée sur laquelle vous avez un accès SSH. Ainsi pour établir un tunnel SSH pour une connexion HTTP vers la machine exemple.org, 2006 est le port sur la machine cliente à partir duquel la connexion entre dans le tunnel SSH (le port doit être supérieur à 1024 si on ne veut pas avoir à lancer le tunnel en tant que root).

Ensuite, il suffit de lancer un navigateur Web en lui demandant de se connecter en local sur ce port.

Une méthode simple pour mettre cela en jeu est, lorsqu’on est sous linux d'utiliser la ligne de commande, ou bien sous Windows il suffira d'avoir Putty SSH ou autre.

Tags: ssh, tunnel, firewall, http, Putty, Windows, Linux; Unix

Tunnel basé sur MSN mesenger

MSN Messenger est le système de messagerie instantanée, de VoIP et de visioconférence de Microsoft. Une session comporte toujours la connexion à un serveur de notification (NS), qui met à jour la liste des contacts connectés. Le NS permet ensuite de se connecter directement aux serveurs de messagerie instantanée standards (SB). Toutes les connections aux serveurs de MSN Messenger utilisent les couches de TCP/IP. Le client initialise toujours la connexion aux serveurs. Le port officiel de MSN Messenger est 1863. Le raccordement au serveur doit être considéré comme asynchrone, on peut envoyer beaucoup de commandes sans recevoir de réponse, et le serveur ne répondra pas nécessairement aux commandes dans l'ordre dans lequel celles-ci ont été envoyées. Le serveur peut également envoyer des messages qui ne sont pas des réponses aux questions du client.

Comment le protocole est-il détourné?

MsnShell se connecte au NS à l'aide d'un proxy HTTP ou en utilisant le réseau interne. Le processus d'ouverture de session nécessite l'authentification du client interne (CI) (le MSN Shell), le client externe (CE) reçoit alors une notification de connexion du CI.

Une fois que MsnShell est sur le réseau MSN Messenger, il reçoit sans interruption les messages qui indiquent le statut des autres utilisateurs et les messages qui précisent les demandes de dialogue. Pour chaque client en ligne sur Messenger, MsnShell crée une structure appelée l'online_user_info

Lorsque MsnShell reçoit une demande de dialogue, il crée un canal caché permettant de contrôler à distance une station Linux située derrière le Firewall en encapsulant les commandes Shell au sein du protocole MSN. MsnShell n'est composé que d'une partie serveur : "MsnShell server". Les principales fonctionnalités de MsnShell :

Figure 9: Principe de MSN Shell

• Obtention d'un shell depuis une station située sur un réseau interne à partir d'un serveur externe;

• Encapsulation des commandes et des réponses Shell dans le protocole MSN ("Shell over MSN");

• Gestion de proxy HTTP ("Shell over MSN over HTTP");

Tags: Microsoft, MSN, messenger, shell, tunnel, reseau, MsnShell server, visioconférence

Tunnel basé sur le protocole DNS

Comment le protocole est-il détourné?

Le protocole DNS, Domain name System, est un protocole de la couche applicative, utilisé pour enregistrer et effectuer des requêtes dans une base de données distribuée des noms de domaine. DNS se base sur un système symétrique de question-réponse.

Une nouvelle fois, les champs de l'entête du protocole vont pouvoir être détournés de leur usage premier pour faire circuler de l'information. Par exemple dans les champs ID, QDCOUNT, ANCOUNT, NSCOUNT, ARCOUNT, QNAME, NAME.

Logiciels pouvant être utilisés:

De nombreux outils ont été développés pour détourner le protocole DNS de son usage premier, nous citerons par exemple Nstx et Ozyman DNS (programme en perl).

Tags: tunnel, DNS, Nstx, Ozyman, D, QDCOUNT, ANCOUNT, NSCOUNT, ARCOUNT, QNAME, NAME

Tunnel utilisant le Protocole HTTP

Le protocole HTTP (HyperText Transport Protocol) est utilisé pour transférer des informations sur Internet. C'est un protocole extrêmement répandu, ce qui en fait un medium de choix pour la création de canaux cachés. HTTP est basé sur un système à base de question-réponse. Bien que la RFC définissant le protocole contienne 6 différents types de requêtes, seules les requêtes GET et POST sont utilisées en pratique.

Comment le protocole est-il détourné?

Différents champs peuvent être détournés pour créer un canal caché, par exemple les champs HTTP request: {General, Request, Entity}-Header. Ces champs peuvent contenir différents entêtes, comme par exemple « User-Agent: », « Referer: », « Cookie: », on peut ajouter n'importe quel type d'entête pour faire circuler de l'information. Le champ HTTP request Entity-Body n'est normalement présent que dans la requête POST, cependant, la RFC 1945 n'exclue pas la présence de ce champ dans les autres requêtes. Ce champ peut donc servir à transmettre de l'information. Dans les champs de HTTP request, nous retrouverons les mêmes possibilités.

Considérons une requête GET (presque vraie) émise via un proxy HTTP :

Pour plus de furtivité, il est possible d’utiliser une approche stéganographique. Les moyens de tromper un éventuel observateur sont donc:

• La chaîne URI ressemble à une demande de service relative à un service web public : conversation en ligne, forum de discussion... Les données sont codées dans une chaîne additionnelle : "view=tu_peux_apporter_la_suite".

• En utilisant une approche plus stéganographique, nous sommes capables de coder une information : "Accept-Language: en" = 0 et "Accept-Language: fr" = 1 ce qui correspond dans notre exemple à en,fr,en,fr,en,en,en,en soit 01010000 ou encore 0x50.

• Les données sont codées dans une partie du champ "User-Agent" avec la valeur: "(121245321)".

• Les données sont codées comme une fausse requête de type de caractères : "ISO-1212-1".

• Les données sont codées dans un champ étendu de l'entête: "X-Microsoft-Plugin: unexpected error #123294681278"

La liste précédente n'est bien sûr pas exhaustive. Les méthodes présentées sont toutes valides du point de vue du protocole HTTP et peuvent être employées dans toutes les combinaisons possibles.

De telles méthodes ne sont pas utilisables pour véhiculer d'importantes quantités de données mais elles peuvent être employées comme la base d'un protocole de communication pour une backdoor. Les méthodes pour cacher des informations au niveau du programme serveur sont en tous points identiques à celles que nous venons de présenter.

Logiciels pouvant être utilisés:

Il existe de nombreuses implémentations de canaux cachés utilisant le protocole HTTP, par exemple HTTunel, Firepass, CCTT... Pour une application un peu plus ciblée, on peut citer aussi Webshell, qui offre un canal sur le protocole http pour la commande d’une station UNIX.

Tags: HTTunel, Firepass, CCTT, UNIX, HTTP, backdoor, cookie

Les Canaux cachés au niveau des ports utilisés

La confusion de port consiste à détourner un port de son usage premier. Ainsi on peut très bien monter un serveur Apache sur le port 22 de l’ordinateur pour y accéder.

Figure 7: Confusion de port

OpenVPN permet de créer un tunnel chiffré sur une liaison point-à-point entre deux serveurs. Il permet à des pairs de s’authentifier entre eux en utilisant une clef privée pré-partagée, des certificats, ou un couple login-password. Il est basé sur la librairie d'OpenSSL, et emploie les protocoles SSLv3/TLSv1. L'IANA a assigné à OpenVPN le port 1194 comme port officiel. Cependant, il est bien sûr tout à fait possible d'utiliser n'importe quel port ouvert du firewall. On dispose alors d'un tunnel sûr pour exfiltrer de l'information de l'entreprise. Une fois mis en place, les administrateurs réseaux ne pourront plus du tout contrôler ce qui circule sur cette liaison, tous les protocoles pouvant y être utilisés.

Tags: confusion, firewall, IANA, OpenSSL, OpenVPN, Apache, SLv3/TLSv1

Les Canaux cachés de la couche Transport

TCP

Le protocole de contrôle de Transmission ou TCP est un protocole de la couche de transport utilisé pour une transmission fiable des données. C'est évidemment un medium de choix pour les canaux cachés. L'en-tête d'un paquet TCP, comme indiqué dans la RFC 793, est décrit sur le schéma suivant:

Comment le protocole est-il détourné?

Le numéro de séquence, codé sur 32 bits, est normalement employé comme numéro d'identification pour réorganiser les paquets au niveau du récepteur lorsque ces derniers arrivent dans le désordre. Il permet et facilite les demandes de retransmission de paquet. Le premier paquet d'une session de TCP (un paquet de type SYN) contient un nombre d'ordre initial aléatoire, ISN. Le destinataire répond typiquement avec un paquet de type SYN/ACK, et en utilisant ISN+1. L' ISN doit être pris de manière aléatoire, cependant, ce champ peut également contenir une valeur non-aléatoire sans perturber le mécanisme de TCP. Il devient donc possible de cacher jusqu'à 32 bits des données dans ce champ et de les envoyer à n'importe quel autre système sur le réseau.

Le champ des options peut lui aussi être employé pour la transmission de données entre l'émetteur et le récepteur.

Logiciels pouvant être utilisés:

Le logiciel covert_tcp pourra être utilisé avec l’option TCP.

ICMP

Le protocole ICMP (Internet Control Message Protocol) est utilisé pour diffuser les informations, les erreurs et les messages de test liés à l’état du réseau. C'est un protocole essentiel pour diagnostiquer l'état du réseau, il n'est donc que très rarement filtré. L'entête d'un paquet ICMP est de la forme:

+	Bits 0-7	8 – 15	16 - 31
0	Type	Code	Checksum
32	Identifier		Sequence Number
64	DATA

Figure 5: Format d'un paquet ICMP

Comment le protocole est-il détourné?

Le Ping Tunnel est une application qui permet d'établir une connexion TCP vers un serveur à distance en utilisant le protocole ICMP. Montrons la puissance de cet outil : considérons que vous essayez de vous connecter dans un Hotspot, le réseau vous donne une adresse IP, mais ne vous laisse pas envoyer des paquets TCP ou UDP vers l'extérieur. Cependant le réseau vous permet de pinguer n’importe quel ordinateur de l’Internet. Il est possible de faire circuler de l'information dans le bloc data, sans que celle-ci soit vérifiée.

Logiciels pouvant être utilisés:

Les logiciels comme ptunnel et icmptx sont basés sur des paquets ICMP de type 8 (echo-request) et 0 (echo-reply). Le logiciel skeeve change le champ protocole de l'entête IP et met à 1 pour les faire ressembler à un paquet ICMP bien que ce dernier soit un paquet TCP.

Figure 6: Principe de fonctionnement

Il existe d’autres outils plus spécifiques, tels ICMP Shell¹ qui permet de gérer une station linux en utilisant le protocole ICMP.

Tags: TCP, ICMP, tunnel, UDP, skeeve, ptunnel, icmptx, ISN, SYN, ACK