Dans la peau d’un hacker…
Dans notre guerre permanente contre les pirates, il est important de bien connaître leur mode de pensée et d’action, de manière à les contrer plus efficacement, car
nous devons gagner tous les jours alors qu’ils n’ont besoin de gagner q’une fois.
Le but de cet article est de vous expliquer comment les pirates procèdent pour tenter de pénétrer vos sites, et dès lors on pourra améliorer nos défenses en
renforçant les points faibles ainsi détectés.
12- « De l’art d’attaquer par le feu »…
Nous avons fait beaucoup d’efforts pour renforcer la défense de notre site : firewall, anti-virus à jour, systèmes d’exploitation patchés, détecteurs d’intrusions
etc., mais sommes-nous sûrs que nos défenses sont valables ? L’idée serait d’utiliser un hacker pour le vérifier, mais nous n’en connaissons pas, et ça peut s’avérer dangereux
surtout si le site contient des données financières ou stratégiques ! J’ai donc décidé d’investiguer pour vous, en essayant de trouver sur Internet tous les outils disponibles pour un pirate « en
herbe », et de les essayer à travers une méthode concrète sur une configuration de réseau et de systèmes très répandue dans les entreprises. Je pratique ce type de tests depuis plusieurs années,
et la méthode ci-après pourra donc être utilisée pratiquement par n’importe quel informaticien doué de sens pratique.
Avant cela, il faudra distinguer les typologies des hackers et des motivations variées, car le type et la dangerosité d’attaque dépendra de la typologie de
l’attaquant: Les pirates peuvent se partager en trois catégories distinctes :
– les « script kiddies », des imbéciles qui essayent toutes sortes de logiciel qui traîne dans les forums sur le piratage sur Internet
(warez). I
ls sont dangereux parce qu’ils visent n’importe quel site sans aucune distinction d’intérêt. Ces attaques, que je qualifie de « gazeuses
», consistent à scanner des milliers d’adresses IP et de détecter les vulnérabilités des sites, puis de s’amuser à « défacer » le site (modifier la page d’accueil) avec un « tag »
plus ou moins humoristique… –
–les « véritables hackers », soit des « script kiddies » qui ont vieilli et maintenant travaillent dans l’informatique, soit des ingénieurs qui ont
un compte à régler avec une ou plusieurs « cibles ».Ces attaques dites « liquides » sont plus ciblées et utilisent souvent des moyens plus sophistiqués, comme la
programmation en « C » de virus ou de vers, les denis de service distribués, etc. –
Lles « équipes prohack », en général l’apanage de grandes sociétés ou Etats, qui sont des ingénieurs extrêmement qualifiés et qui bénéficient de
puissants moyens informatiques. Ces attaques dites « solides » sont pratiquement imparables! Si vous en avez un jour connaissance ! Les traces sont souvent effacées
avant même que l’alerte puisse être donnée.
Dans les trois cas, la méthodologie est la même, ainsi que les outils de base. Cette méthodologie est souvent appelée « Ethical Hacking »
outre-Atlantique, mais on lui préfère le vocable de « Tests d’intrusion » ou « Audit de vulnérabilités » en Europe. Je vous rappelle que la Loi punit de sévères peines de prison
et d’amendes « toute personne qui pénètrera un système d’informations ou qui en fera la tentative » sans autorisation explicite du demandeur.
Comment alors concilier alors ces tests d’intrusion avec la Loi ? Une équipe ou un individu qui se livrent à ce genre d’activités doivent respecter quelques
principes simples : En externe à l’entreprise, on doit faire signer une autorisation explicite écrite au demandeur, et s’assurer que celui-ci est bien habilité à la donner (RSSI
en titre, Responsable Sécurité). On doit souscrire une assurance RC Pro qui explicite le type d’activités en question, et les garanties couvertes en cas de dommage. Enfin,
on doit se déclarer ou être connu de l’ANSSI comme ayant ce type d’activités. En interne, seul le RSSI en titre, ou toute personne dont la description de l’emploi explicite
clairement sa responsabilité en tant que « sécurité des systèmes d?information », peuvent effectuer ce type de tests. Prévenir les équipes informatiques, les utilisateurs, les dirigeants ? Qui
faut-il prévenir ? Pour l’efficacité maximale du test, seule la Direction Générale et la Direction des Risques doivent être prévenues.
En effet, si les équipes informatiques sont prévenues elles vont réagir de manière beaucoup plus efficace qu’en temps normal, ce qui faussera le test par rapport à
une attaque inopinée : 70% des attaques de déni de service et virales ont lieu entre le vendredi après-midi et le dimanche…
Le test se déroule de la manière suivante : On détermine avec le RSSI le périmètre du test, en principe toutes les adresses IP des sites visibles
par le public en externe, et également toutes les adresses IP des serveurs du site en interne. Le test se subdivise alors en deux : Les attaques externes et les attaques internes.
Dans les deux cas la première action est une action de « renseignement » : il faut connaître les défenses de « l’ennemi » et ses points faibles. On
va donc utiliser un « scanner de vulnérabilités » tel que LAN Guard: http://www.gfi.com/lannetscan/lanscanfreeware.htm (à chaque étape, je vous indiquerai le logiciel utilisé et le lien pour le
télécharger 😉 Ce logiciel est appliqué sur la plage d’adresses-cible et permet rapidement de déceler les vulnérabilités de la machine : ports indûment ouverts, possibilité d’insérer un « trojan
», absence de patches de sécurité, partages de disque, utilisation de protocoles « faibles », utilisation de mots de passe faibles etc… Le logiciel va également renseigner le hacker sur le type
de système d’exploitation, le type du serveur web etc… et ainsi permettre de cibler l’attaque. Essayez sur votre propre machine vous serez… effondré !
Une fois les vulnérabilités connues, il s’agit de passer à la phase « deux », le ciblage de l’attaque. Le hacker va maintenant analyser le
compte-rendu du scanner et décider sur quelles machines l’attaque va porter : Par exemple une machine installée avec une configuration par défaut, sans aucun patch de sécurité sera une excellente
« victime ». Il n’est pas nécessaire que celle-ci soit la machine ou le système qui contienne les données « intéressantes », mais elle permettra d’atteindre l’objectif du pirate par rebond:
gagner les droits administratifs sur le réseau-cible.
Phase trois : Exploitation des failles, dite phase « d’exploit ».
Le hacker, dispose d’une liste de vulnérabilités et il va tenter de les exploiter ; L’outil que j’utilise dans cette phase se trouve sur le projet « Metasploit » ;
Ce groupe recense toutes les failles disponibles et publie les codes sources et compilés pour pouvoir les exploiter, notamment vis-à-vis des sites web ; Encore une fois, l’idée est de récupérer
des droits administratifs (NT/SYSTEM ou root) sur l’une des machines du réseau, vous allez très vite comprendre pourquoi… http://www.metasploit.com/
Une fois administrateur d’une machine du réseau on va pouvoir y installer dessus un logiciel de « crack », c’est la phase « quatre ».
On se trouve alors dans la même situation que quelqu’un à l’intérieur du réseau. Remarque importante : cela veut dire que n’importe quel utilisateur disposant de
droits administratifs sur sa machine est déjà à ce niveau là ! Cette remarque vaut également pour les « trojans » qui auront été amenés à l’insu de l’utilisateur par les ordinateurs portables
dans le réseau, après un « séjour » à l’extérieur de celui-ci? Le logiciel de crack, véritable « couteau Suisse » du hacker, est « Cain & Abel » : http://www.oxid.it/cain.html
Une fois le logiciel installé il va « sniffer » tous les paquets du réseau, et repérer et casser tous les mots de passe !!! Plus le mot de passe sera faible (en
clair, pas assez long, que des lettres et des chiffres) plus il aura vite fait! Une fois un seul mot de passe administratif du réseau connu, la totalité du système d’information sera dévoyé
!!!
La dernière phase, va consister à établir un rapport détaillé qui explicite les failles du système et comment y remédier.
Le hacker, lui, se distingue en n’ayant pas de rapport à rédiger. Pas de panique ! Par itérations successives, nous allons renforcer nos défenses et empêcher le
piratage de nos données : il s’agit de la notion de « défense en profondeur », mais c’est une autre histoire…
« Si tu ne connais rien de toi et de tes ennemis alors l’heure de la défaite sonnera certainement. Si tu connais tes forces et tes faiblesses, et que tu as de
la chance, alors la victoire te sourira. Si tu connais en plus celles de ton ennemi, alors les délices de la victoire te seront acquis. » Sun Tzu – L’Art de la Guerre.
http://www.ifrance.com/artdelaguerreselonsuntzu/
Le « Netwizz »