Publié le 27-08-2005 dans le thème Réseau - Sécurité

Pays : Europe - Auteur : Damien Bancal

Pub : CA Anti-Virus 2007 - Protection exhaustive contre l’intrusion de virus!

Le bon, la brute et les truands
Mai 2003, une étrange information nous est parvenue aux oreilles. Il était possible d'accéder à n'importe quel site hébergé chez Lycos. A l'époque, nous avons cherché et trouvé.

Mot de passe et code source
Nous vous expliquions dans Zataz 6 comment une bête faille permettait d'accéder aux répertoires de sites hébergés chez Lycos/Multimania. Rien de méchant sauf que ce bug permettait aussi d'accéder aux codes sources des pages php et dans le pire des cas aux logins et mots de passe de base de données SQL. Ce problème a été corrigé après notre alerte. Cependant, très vite, nous nous sommes rendu compte qu'un autre problème persistait. Plus grave car la rumeur faisait entendre qu'avec un simple mel il était possible de récupérer login et mot de passe d'un site web multimania.

Exploit, code, .exe
Selon la rumeur, la nouvelle faille permettait d'accéder à n'importe quel compte Web multimania, et de manière radicale. Pas de programmation, de bug de language. Une faille universelle et sans limites. Une faille qui permettait un renvoi de logins et mot de passe web, mais aussi, Ftp du compte multimania. Le fonctionnement de cette faille était somme toute très "simple". Elle reposait sur un défaut de programmation. Pour l'utiliser les pirates devait poster des requêtes HTTP, comprenez de simple information dans un url. Cette faille nous paraissait invraisemblable mais elle semblait effectivement exister au vu des démonstrations qui nous avaient été faites à l'époque sur nos propres comptes Lycos. Cette même erreur de programmation existait sur toutes les versions de lycos. Soit plusieurs millions de sites web prêts à être frappés par n'importe quel pirate en mal de reconnaissance. Il nous a suffit d'imaginer les conséquences désastreuses qu'aurait pu engendrer la publication d'une telle faille dans tous les forums de pseudos-hackers à travers le monde. Nous avons donc alerté Lycos France rapidement. L'équipe de cette entreprise a été plus que réactive. Quelques minutes après notre alerte les pirates pouvaient aller retourner d'où ils venaient, soit vers le néant. Nous nous étions posé la question de savoir quel aurait été la possibilité à un pirate d'automatiser complètement la tache pour un défacement de masse des pages web via un programme récupérant sur un compte mail muni d'un POP, certains champs du mail reçu, à savoir login et passe ftp, et que ces deux valeurs soient transmis en temps réel sur un logiciel ftp. Les conséquences auraient pu être désastreuses. Et bien vous ne pensez pas si bien dire ! Nous avons découvert lors de notre enquête sur cette faille que des codeurs avaient commencé à automatiser le problème en question.

Qui c'est qui toc !
Cette faille semble avoir séjourné pendant quelques temps dans un cadre bien fermé de releasers français jusqu'au jour où un groupe français s'est illustré, la Alex Family, en sortant un programme open source, automatisant complètement la tâche. Ce programme d'une simplicité enfantine ne demandait que trois informations, le pays, le login du compte que le pirate souhaitait "visiter" et le mail où LYCOS devait envoyer le password. Un programme qui effectuait seul tout le processus de modification et d'envoi de mot de passe. Ce programme codé dans un esprit de "découverte" par cette team connue pour ses développements et releases open source aurait pu se transformer en véritable arme à script kiddies. Il suffit de prendre comme exemple l'exploit de la faille WebDAV codé avec intelligence par Kralor et exploitée par tout un groupe de script kiddies. Le problème du full-disclosure repointe le bout de son museau. A noter que nous allons découvrir pas moins de 4 autres logiciels utilisant cette faille ainsi qu'une page html automatisant elle aussi le processus mais dans une moindre manière, page qui a été réalisée par un certain Ansuketor. Quand on pense que le champ d'action utilisateur face à une telle faille était quasi-inexistant, puisque celle-ci agit côté serveur, on peut dire que les pages persos hébergement gratuitement par Lycos ont eu chaud, très chaud.

Full-Disclosure : les pour et les contre
Par ce terme anglais, le full-disclosure, on entend la diffusion d'une faille, d'un exploit, donc d'un problème de sécurité informatique afin d'avertir la société faillible et les utilisateurs des logiciels, systèmes, sites ayant une faille pouvant mettre en danger leurs informations et leurs vies privées. Une alerte, comme on en trouve des milliers sur le site BugTraq, propriété de Symantec, se nomme advisory. Il existe deux groupes de pensées. Les pour, qui veulent que soient diffusées ses alertes et ceux qui refusent cette diffusion pensant qu'elle sert surtout à nourrir les pirates, ce qui est honnêtement pas si faux que cela.

L'Organization for Internet Safety (OIS) a présenté un projet de normalisation de processus de publication et de correction des failles de sécurité. Le but : limiter les conflits entre les "inventeurs" de failles et les éditeurs de logiciels, éditeurs comme Microsoft, Oracle, Sco, Network Associates, ISS, Guardent, Symantec, ... qui trônent dans cette organisation. Si on a bien tout suivi, l'éditeur a 7 jours pour répondre et accuser réception d'une faille. Si aucune réponse ne parvient à l'inventeur, ce dernier doit réécrire pour demander confirmation de réception de son premier mel. L'éditeur rajoute 3 jours dans son escarcelle alerte. Si les trois jours n'ont pas suffit, l'inventeur du problème doit encore attendre 30 jours avant diffusion, après que l'éditeur, lui, ait disposé d'un délai maximum de 30 jours pour effectuer l'investigation et la qualification du problème. A savoir, faille ou pas faille. Bref, avertir les utilisateurs qu'ils sont en danger 70 jours après la découverte, autant apprendre à danser la gigue, ca sera moins long. Toujours est-il que nous avons suivi à la lettre la normalisation de l'OIS. On doute que tout le monde soit aussi patient !

Concours Coca Cola 2008

Vous venez de gagner un lot de 32.000 euros via un concours organisé par Coca-Cola. Une arnaque sans sucre.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Un nouveau ver s'attaque aux réseaux d´entreprise

Une alerte concernant les nouvelles versions du ver Downadup. Ce ver infecte les postes de travail et serveurs Windows.

Espionnage informatique effectué par la police

Le département britannique de l´Intérieur annonce préparer un plan qui permettra à la police d´infiltrer et espionner les ordinateurs personnels de l´ensemble des citoyens.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

La justice Chinoise s´attaque aux contrefacteurs

La Chine a rendu public huit importants cas de réseaux de contrefacteurs de films, logiciels et livres.

L´actualité juridique du mois de décembre

Comme il est de tradition sur ZATAZ depuis 13 ans, voici les actualités mensuelles de Maître Murielle Cahen, avocate spécialisée dans les NTIC.

Mort de Castlecops

Castlecops, association qui travaillait sur la cybercriminalité, vient d´annonce la cessation de ses activités.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

Mort de Castlecops

Castlecops, association qui travaillait sur la cybercriminalité, vient d´annonce la cessation de ses activités.

Joomla! powa !

Révélation d´informations système sensibles par le biais de Joomla!

Compromission de système par le biais de xterm.

Exécution de commande arbitraire à distance par le biais du terminal xterm.

Déni de service distant pour VMware

DoS sur le démon vmware-authd de VMware Workstation et de VMware Player.

Piratage de compte Domus... attention arnaque

Depuis quelques jours, un site Internet propose aux internautes de récupérer des accès piratés à des joueurs de Domus.

Analyse d´une attaque RFI

Comment d´une simple attaque de type remote File Inclusion nous sommes tombés sur un réseau de trafiquants de cartes bancaire.

Réagissez à ce contenu